| KeyLoggers |
|
| Vulnerabilidades |
Los sitios CERT, los fabricantes de equipos y Sistemas Operativos y las compañías
de software de seguridad proveen de listas de vulnerabilidades en software y sistemas.
Igualmente los portales de seguridad, en base a las listas de tipo BugTraq y similares.
- El CERT/CC (Computer Emergency Response Team / Coordination Center) ha sido el pionero en la
gestión de incidencias de seguridad, desde la publicación del
CA-1988-01.
Está localizado en el Software Engineering Institute y operado por la Carnegie Mellon University.
Incluye
advisories,
vulnerabilidades,
Incidentes y
Actividad actual.
Actualmente está asociado con el US-CERT para la publicación
conjunta de boletines de seguridad.
- El CVE (Common Vulnerabilities and
Exposures) del MITRE es un intento de tener una nomenclatura y sintaxis común para determinar las
vulnerabilidades encontradas en los programas. Esta iniciativa es actualmente la de mayor éxito dentro de la
estandarización de la sintaxis de vulnerabilidades, siendo la primera el
CVE-1999-0002. Actualmente
también se está impulsando en OVAL (Open Vulnerability Assessment Language).
- Otros identificadores de vulnerabilidades reconocidos son el
Bugtraq ID y el
Nessus ID
- Los propios fabricantes de equipos y sistemas también publican las vulnerabilidades de sus productos, como es el
caso de
Cisco,
Check Point,
Microsoft, Sun, etc.
- ICAT es un metabuscador entre diversos índices
- La iniciativa OASIS también ha publicado un acuerdo para categorizar vulnerabilidades a
nivel de aplicaciones web, con el reciente
OWASP Top Ten y las especificación
AVDL (Application Vulnerability Description Language).
- RootShell http://rootshell.com/beta/exploits.html
- Anticode http://www.antionline.com/cgi-bin/anticode/anticode.pl
- hack.co.ca http://www.hack.co.za/www.hack.co.za.tar.gz
- Technotronic http://www.technotronic.com
- NewOrder http://neworder.box.sk/
- HackerWhacker http://www.hackerwhacker.com
- FW-1 Alerts http://www.checkpoint.com/techsupport/alerts/
- Base de datos de vulnerabilidades http://advice.networkice.com/Advice/default.htm
- Steve Christey, de MITRE y Chris Wysopal, de @stake, Inc. han propuesto un RFC como Procedimiento de revelación de vulnerabilidades; que ha causado ampollas y ha sido rechazado porque (¿?) no se refiere a protocolos técnicos. http://www.ietf.org/internet-drafts/draft-christey-wysopal-vuln-disclosure-00.txt
- El OIS es un proyecto similar
|
| Sniffers |
Los sniffers son programas que capturan todo el tráfico que circula por una red local,
aceptando no sólamente los paquetes dirigidos a la dirección MAC de su tarjeta,
sino a todas las direcciones. Es lo que se denomina interfaz en modo promiscuo.
- Puede encontrarse información genérica sobre los sniffers en la Sniffing FAQ http://www.robertgraham.com/pubs/sniffing-faq.html
- En el Berkeley National Laboratory ftp://ftp.ee.lbl.gov/ se ha desarrollado una serie de herramientas como
- tcpdump, the protocol packet capture and dumper program http://www.tcpdump.org/;
- libpcap, the Packet Capture library;
- arpwatch, the ethernet monitor program; for keeping track of ethernet/ip address pairings,
- traceroute for printing the route packets take to a network host, and
- pathchar for inferring the characteristics of Internet paths.
- Sniffit http://sniffit.rug.ac.be/sniffit/sniffit.html
- http://www.ethereal.com/ es uno de los mejores sniffers, aparte de ser gratuito y tener una potente gestión de filtros, análisis de protocolos y reconstrucción de sesiones, todo ello bajo interfaz gráfico. Inicialmente para Linux, se ha portado a Windows y Solaris, necesitando las librerías GTK+ y Packet Driver WinPCAP.
Packetyzer Analyzer for Windows
es un interfaz gráfico para Ethereal.
- IRIS, el sniffer gráfico para Windows del grupo eeye. http://www.eeye.com/html/Products/Iris/overview.html
- Analyzer http://netgroup-serv.polito.it/analyzer/
- EtherPeek permite grabar en disco varios Gigabytes de captura. ¿Dónde leí que era el utilizado por Carnivore? ftp://ftp.wildpackets.com/public/demos/epwdemo.exe
- dsniff http://www.monkey.org/~dugsong/dsniff/
- Taranis es un software que permite capturar poarejas de logins y passwords redireccionando el tráfico POP e IMAP al servidor que ejecuta Taranis; guardando la información en un fichero.http://www.bitland.net/taranis/
- ntop permite gestionar el tráfico de red, capturando y analizando el flujo de tráfico IP
|
| Anti-Sniffers |
Existen varios métodos para detectar la presencia de un sniffer en la red. Aparte de
comprobar en la propia máquina local que la salida del comando ifconfig no muestra
el interfaz en modo "promiscuo", la mayoría se basan en hacer que el sniffer remoto
se delate, contestando a una solicitud que él no debería haber recibido.
|
| Intrusion Detection Systems |
Los primeros IDSs fueron derivando de sniffers. En Phrack 45 aparece ensniff.c
y en Phrack 50 aparece
Juggernaut.
Posteriormente, el proyecto SHADOW
(Secondary Heuristic Analysis for Defensive Online Warfare) se consolida como uno de los
IDSs más utilizados, dejando paso al IDS open-source por excelencia:
SNORT
Hogwash es similar a un firewall; pero en vez de cerrar los puertos, un filtro encima del driver de red (por lo que no necesita una pila IP) elimina o modifica los paquetes que encajan con una firma de ataques basada en SNORT. http://hogwash.sourceforge.net/
LIDS, (Linux Intrusion Detection System) http://www.lids.org es un sistema de detección de intrusiones GPL para Linux http://www.securityfocus.com/infocus/1502
En http://www.ktwo.ca/security.html puede encontrarse ADmutate, una API para ocultar ataques a los IDS y The Universal Rootkit.Puede encontrase más sobre los Shellcodes polimórficos en http://www.ngsec.com/whitepapers.html
Anualmente se celebra el RAID, Recent Advances in Intrusion Detection
OSSIM
Mod Security permite la protección de aplicaciones Web mediante la utilización de un Proxy inverso. Hay un artículo
interesante sobre el tema, denominado Web Security Appliance With Apache and mod_security
Configuring the Catalyst Switched Port Analyzer (SPAN), IDS en entornos de switching
En el Internet Storm Center y en el
Distribuited Intrusion Detection System (Dshield)
pueden encontrarse los datos de los protocolos más atacados
|
| HoneyPots |
The Value of Honeypots, Part One: Definitions and Values of Honeypots http://www.securityfocus.com/cgi-bin/infocus.pl?id=1492
The Value of Honeypots, Part Two http://www.securityfocus.com/cgi-bin/infocus.pl?id=1498
Know Your Enemy: Honeynets http://project.honeynet.org/papers/honeynet/
Curiosa versión Multimedia de un ataque a la HoneyNet http://www.msnbc.com//modules/hack_attack/hach.htm
The Deception Toolkit Home Page. DTK es un conjunto de scripts PERL que simulan servicios, escuchando puertos y generando respuestas, realizando un log de cada transacción. Sirve para atraer a los hackers dando una falsa sensación de inseguridad. http://www.all.net/dtk/
Specter 5.5 Intrusion Detector System. SPECTER es un honeypot inteligente o un deception system. Requiere Windows NT y simula hasta 11 Sistemas Operativos y hasta 13 servicios comunes de Internet, de tipo SMTP,FTP, etc. con funcionamiento aparentemente normal, pero que en en realidad son trampas para capturar las acciones del hacker e investigarle automáticamente. http://www.specter.com
Mantrap requiere Solaris y puede emular hasta 4 hosts ejecutando varios servicios http://www.recourse.com/product/ManTrap/
Netfacade requiere Solaris y puede simular hasta una clase C, 8 sistemas operativos diferentes y 13 servicios de Internet
Comparativa entre Specter 5.01 y WatchGuard ServerLock 1.1 http://www.zdnet.com/products/stories/reviews/0,4161,2699621,00.html
|
| Análisis Forense |
Dan Farmer (Earthlink) y Wietse Venema (IBM) han escrito bastante documentación http://www.porcupine.org/forensics/ sobre el Análisis Forense. Son los creadores del software The Coroner's Toolkit (TCT) y SATAN
Freeware Forensics Tools for Unix http://www.securityfocus.com/cgi-bin/infocus.pl?id=1503
El Forensic Challenge es un reto lanzado por el proyecto Honeynet, prueba de la estrecha relación entre la detección de intrusiones y el análisis forense http://project.honeynet.org/challenge/
En la página de Dave Dittrich http://www.cac.washington.edu/People/dad/ (y en general en las páginas de la mayoría del resto de componentes del grupo HoneyNet) existe documentación, clases y presentaciones sobre Análisis forense.
Se han llegado a resolver varios casos criminales gracias a las técnicas de análisis forense http://www.computerworld.com/storyba/0,4125,NAV47_STO67299,00.html
T0rn Rootkit http://www.sans.org/y2k/t0rn.htm
Rootkit Hunter es un producto detecto de Rootkits, para Linux
Un artículo interesante sobre cómo localizar físicamente una máquina cuando no se sabe muy bien dónde está
Existen varias utilidades de diagnóstico y auditoría en SysInternals y Somarsoft
Laboratorio en ciberinvestigacion y analisis forense de sistemas
International Journal of Digital Evidence (IJDE)
A Guide to Forensic Testimony: The Art and Practice of Presenting Testimony as an Expert Technical Witness
DFRW 2003 (Digital Forensics Research Workshop)
|
| Otras herramientas |
Existen varias páginas web con enlaces a distintas herramientas, como por ejemplo
la encuesta de Insecure.org,
la lista de herramientas de OSSTMM,
las herramientas de PacketStorm,
la lista de JPeltier o
las Herramientas de Seguridad de Debian
1,2
HAcking Exposed
Existen varias distribuciones Linux con herramientas de seguridad, como el Linux Live CD Knoppix STD 0.1b security tools
(no confundir con Knoppix),
LAS Linux o
Sentinix. Incluso modificaciones seguras de Linux, como
Security-Enhanced Linux, una apuesta de la NSA por
mejorar el kernel linux en lo que respecta a seguridad.
|
| Varios |
Textos técnicos
|