Un lugar sin fin

General

Top 100 Open Source Security Tools

Escrito por unlugarsinfin 16-10-2009 en General. Comentarios (0)

Más de una vez nos hemos encontrado con que teníamos que realizar una tarea en lo que a seguridad se refiere, y requeríamos de alguna herramienta válida para dicho propósito.

Jeromie Jackson, reconocido consultor de seguridad informática ha elaborado una lista bajo su criterio de las que serían las 100 mejores herramientas dedicadas a la seguridad.

 

Dicha lista de herramientas junto con sus links de descargas la podemos encontrar en la siguiente URL:

 

http://www.jeromiejackson.com/index.php/top-100-security-tools

 

Top 100 Open Source Security Tools

 

Written by Jeromie Jackson

Monday, 13 April 2009 02:04

 

Top 100 Security Assessment, Vulnerability Auditing, & Security Tools

 

1-Stockade-Virtual Appliance with Snort, BASE, Inprotect, CACTI, NTOP & Others

2-Nessus-Open source vulnerability assessment tool

3-Snort-Intrusion Detection (IDS) tool

4-Wireshark-TCP/IP Sniffer- AKA Ethereal

5-WebScarab -Analyze applications that communicate using the HTTP and HTTPS protocols

6-Wikto -Web server assessment tool

7-BackTrack-Penetration Testing live Linux distribution

8-Netcat-The network Swiss army knife

9-Metasploit Framework-Comprehensive hacking framework

10-Sysinternals-Collection of windows utilities

11-Paros proxy -Web application proxy

12-Enum-Enumerate Windows information

13-P0F v2-Passive OS identification tool

14-IPPersonality-Masquerade IP Stack

15-SLAN-Freeware VPN utility

16-IKE Crack-IKE/IPSEC cracking utility

17-ASLEAP-LEAP cracking tool

18-Karma-Wireless client assessment tool- dangerous

19-WEPCrack-WEP cracking tool

20-Wellenreiter-Wireless scanning application

21-SiteDigger-Great Google hacking tool

22-Several DDOS Tools-Distributed Denial of Service(DDOS) tools

23-Achilles-Web Proxy Tool

24-Firefox Web Developer Tool-Manual web assessment

25-Scoopy-Virtual Machine Identification tool

26-WebGoat-Learning tool for web application pentests

27-FlawFinder-Source code security analyzer

28-ITS4-Source code security analyzer

29-Slint-Source code security analyzer

30-PwDump3-Dumps Windows 2000 & NT passwords

31-Loki-ICMP covert channel tool

32-Zodiac-DNS testing tool

33-Hunt-TCP hijacking tool

34-SniffIT-Curses-Based sniffing tool

35-CactiEZ-Network traffic analysis ISO

36-Inprotect-Web-based Nessus administration tool

37-OSSIM-Security Information Management (SIM)

38-Nemesis-Command-Line network packet manipulation tool

39-NetDude-TCPDump manipulation tool

40-TTY Watcher-Terminal session hijacking

41-Stegdetect-Detects stego-hidden data

42-Hydan-Embeds data within x86 applications

43-S-Tools-Embeds data within a BMP, GIF, & WAV Files

44-Nushu-Passive covert channel tool

45-Ptunnel-Transmit data across ICMP

46-Covert_TCP-Transmit data over IP Header fields

47-THC-PBX Hacker-PBX Hacking/Auditing Utility

48-THC-Scan-Wardialer

49-Syslog-NG-MySQL Syslog Service

50-WinZapper-Edit WinNT 4 & Win2000 log files

51-Rootkit Detective-Rootkit identification tool

52-Rootkit Releaver-Rootkit identification tool

53-RootKit Hunter-Rootkit identification tool

54-Chkrootkit-Rootkit identification tool

55-LKM-Linux Kernal Rootkit

56-TCPView-Network traffic monitoring tool

57-NMAP-Network mapping tool

58-Ollydbg-Windows unpacker

59-UPX-Windows packing application

60-Burneye-Linux ELF encryption tool

61-SilkRpoe 2000-GUI-Based packer/wrapper

62-EliteWrap-Backdoor wrapper tool

63-SubSeven-Remote-Control backdoor tool

64-MegaSecurity-Site stores thousands of trojan horse backdoors

65-Netbus-Backdoor for Windows

66-Back Orfice 2000-Windows network administration tool

67-Tini-Backdoor listener similar to Netcat

68-MBSA-Microsoft Baseline Security Analyzer

69-OpenVPN-SSL VPN solution

70-Sguil-An Analyst Console for network security/log Monitoring

71-Honeyd-Create your own honeypot

72-Brutus-Brute-force authentication cracker

73-cheops / cheops-ng-Maps local or remote networks and identifies OS of machines

74-ClamAV-A GPL anti-virus toolkit for UNIX

75-Fragroute/Fragrouter-Intrusion detection evasion toolkit

76-Arpwatch-Monitor ethernet/IP address pairings and can detect ARP Spoofing

77-Angry IP Scanner-Windows port scanner

78-Firewalk-Advanced traceroute

79-RainbowCrack-Password Hash Cracker

80-EtherApe-EtherApe is a graphical network monitor for Unix

81-WebInspect-Web application scanner

82-Tripwire-File integrity checker

83-Ntop-Network traffic usage monitor

84-Sam Spade-Windows network query tool

85-Scapy-Interactive packet manipulation tool

86-Superscan-A Windows-only port scanner

87-Airsnort -802.11 WEP Encryption Cracking Tool

88-Aircrack-WEP/WPA cracking tool

89-NetStumbler-Windows 802.11 Sniffer

90-Dsniff -A suite of powerful network auditing and penetration-testing tools

91-John the Ripper-Multi-platform password hash cracker

92-BASE-The Basic Analysis and Security Engine- used to manage IDS data

93-Kismet-Wireless sniffing tool

94-THC Hydra-Network authentication cracker

95-Nikto-Web scanner

96-Tcpdump-TCP/IP analysis tool

97-L0phtcrack-Windows password auditing and recovery application

98-Reverse WWW Shell-Shell access across port 80

99-THC-SecureDelete-Ensure deleted files are unrecoverable

100-THC-AMAP-Application mapping tool

 

Fuente:

 

http://www.dragonjar.org/top-100-herramientas-de-seguridad-open-source.xhtml

 

SiVuS - un escáner para VoIP

Escrito por unlugarsinfin 30-09-2009 en General. Comentarios (1)

SiVuS es un veterano escáner de vulnerabilidades para redes VoIP que utilizan el protocolo SIP. Este escáner proporciona varias características para verificar la robustez y para asegurar la implementación de una red VoIP segura.

 

http://unlugarsinfin.blogspot.es/img/sivus.jpg

 

Las características de este escáner son las siguientes:

Generador de mensajes SIP: puede ser utilizado para enviar varios tipos de mensajes a un componente del SIP incluyendo contenido del SDP. Esta característica se puede utilizar para probar ediciones específicas del SIP o para generar varios ataques, como por ejemplo un ataque de denegación de servicios.

Explorador de componentes del SIP: explora una gama de direcciones IP para identificar los anfitriones que utilizan el protocolo SIP y se puedan utilizar como blancos para el análisis adicional. Es una opción del explorador que permite el descubrimiento preliminar de objetivos antes de una exploración real.

Explorador de la vulnerabilidad del SIP: El explorador proporciona la configuración flexible de varias opciones que se pueden utilizar, para verificar la robustez y la seguridad de una implementación del protocolo SIP. Se realizan chequeos como: análisis de las cabeceras de mensajes del protocolo SIP para identificar vulnerabilidades tales como desbordamientos del buffer o ataques de denegación de servicio, autentificación de mensajes que identifican componentes del SIP, autentificación de las peticiones del registro, inspección para las comunicaciones seguras (SIPS) y verificación de las capacidades de cifrado.

Componente de log: posee un completo sistema de log en HTML que permite omitir mensajes de error para crear logs mas fáciles de comprender, también posee base de datos para históricos.

Ayuda del SIP: el interfaz de SiVuS proporciona ayuda rápida en los aspectos más comunes sobre SIP que pueden ser útiles a un usuario mientras que utiliza SiVuS. La ayuda del SIP proporciona información sobre última versión del estándar RFC 3261 (SIP), muestra también ayuda a un usuario para construir mensajes SIP a través del generador.

Descarga Sivus 1.09:
http://www.vopsecurity.org/sivus-1.09.exe

Manual Sivus 1.09:
http://www.vopsec.net/SiVuS-User-Doc.pdf

Seguridad en VoIP a través del protocolo ZRTP.
http://vtroger.blogspot.com/2007/10/seguridad-en-voip-travs-del-protocolo.html

Herramienta de test de penetración para VoIP:
http://vtroger.blogspot.com/2007/10/herramienta-de-test-de-penetra

 

 

HoneyBOT para Windows

Escrito por unlugarsinfin 22-09-2009 en General. Comentarios (0)

HoneyBOT es un honeypot de baja interacción basado en Windows. Funciona abriendo un amplio rango de sockets en tu equipo relacionados con servicios vulnerables. Cuando un atacante se conecta a estos servicios se le intenta engañar haciéndole creer que se trata de un servidor real.

 

http://unlugarsinfin.blogspot.es/img/honeybot1.jpg 

 

El honeypot captura de forma segura todas las comunicaciones del atacante y registra estos resultados para futuros análisis.

 

http://unlugarsinfin.blogspot.es/img/honeybot2.jpg 

 

Además si el atacante intenta ejecutar un exploit o subir un rootkit o troyano al servidor el entorno puede almacenar de forma segura estos ficheros para analizarlos y añadirlos a la colección de malware.

 

Podéis encontrarlo en: http://www.atomicsoftwaresolutions.com

 

Llamada a la participación en HackMeeting 2009

Escrito por unlugarsinfin 20-09-2009 en General. Comentarios (0)

HackMeeting 2009
CALL 4 NODES LLAMADA A LA PARTICIPACIÓN v.1.0

..:: conocimiento | tecnología | poder ::..
..:: compartir | construir | resistir ::..


9-12 Octubre 2009, Madrid
http://sindominio.net/hackmeeting
http://blog.hackmeeting.org


* Qué: Encuentro Anual de Hacktivistas
* Dónde y Cuando: Del 9 al 12 de Octubre en el CSOA "Patio Maravillas",
C/ Acuerdo 8, Madrid.

* Fecha límite para propuestas: 4 de Octubre hasta las 12.00 GMT+2

intro
====================================

Este mensaje es una invitación a participar en la construcción del
hackmeeting 2009 para seguir tejiendo una red de actividades y
encuentros en torno al hacktivismo, el ciberespacio, la telemática y sus
dimensiones tecnopolíticas. Una red que se materializará durante un
intenso fin de semana autogestionado y libre, en el Patio Maravillas
(Madrid) del 9 al 12 de Octubre.


cómo proponer un nodo
========================================

Todas las propuestas de
http://sindominio.net/hackmeeting/index.php?title=2009/Nodos
se comentan en la lista de correo del HM (hackmeeting @ sindominio.net),
recomendamos, por tanto, que te suscribas a la lista en
http://listas.sindominio.net/mailman/listinfo/hackmeeting para empezar
a participar en el nodo que propongas y ver el proceso que sigue
tu propuesta.

En cualquier caso para proponer un nodo sigue las instrucciones
del wiki:
http://sindominio.net/hackmeeting/index.php?title=Manual/Proponer_un_nodo


otras formas de participación
========================================

Otras formas de participación aparte de los nodos de
actividades (como aportar material, participar en las
asambleas, coordinar actividades, hacer streaming,
traducciones, etc.) son bienvenidas y necesarias. Para
más información y coordinación la asamblea del HM se reúne
virtual y permanentemente en la lista de correo
hackmeeting @ sindominio.net.
Podéis suscribiros en:
http://listas.sindominio.net/mailman/listinfo/hackmeeting

Defenderse de slowloris

Escrito por unlugarsinfin 13-09-2009 en General. Comentarios (0)

Parece que, por el momento, definitivamente la mejor manera de contrarestar Slowloris sin modificar la configuración de Apache y sin asumir riesgos de disponibilidad es utilizar delante otro servidor web no vulnerable, como haproxy.

 

Si no se desea utilizar otro servidor web adicional se puede utilizar IPTABLES con el módulo connlimit (fig.1) o, ya a nivel de aplicación, utilizar el módulo de Apache mod_qos en conjunción con el mod_noloris (fig.2).

 

fig.1:

 

# /sbin/iptables -A INPUT -p tcp –syn –dport 80:443 -m connlimit –connlimit-above 12 –connlimit-mask 24 -j REJECT

 

 

fig.2:

 

# minimum request/response speed

QS_SrvMinDataRate 150 1200

 

 

No obstante, tal y comentamos, parece que lo más sencillo y seguro por el momento es usar un servidor web no vulnerable delante.

 

Para probar a contrarestar el ataque Slowloris, podemos modificar el puerto de nuestro servidor apache (8080) e instalar el servidor haproxy delante (80):

 

 

/home/usuario/haproxy-1.3.20 # wget <http://haproxy.1wt.eu/download/1.3/examples/antidos.cfg>

http://haproxy.1wt.eu/download/1.3/examples/antidos.cfg

--00:54:37--   <http://haproxy.1wt.eu/download/1.3/examples/antidos.cfg>

http://haproxy.1wt.eu/download/1.3/examples/antidos.cfg

           => `antidos.cfg'

Proxy request sent, awaiting response... 200 OK

Length: 2,014 (2.0K) [text/plain]

 

 

 

100%[=======================================================================

===========>] 2,014         --.--K/s

 

00:54:38 (53.35 MB/s) - `antidos.cfg' saved [2014/2014]

 

 

 

/home/usuario/haproxy-1.3.20 # haproxy -?

HA-Proxy version 1.3.20 2009/08/09

Copyright 2000-2009 Willy Tarreau < <mailto:w@1wt.eu> w@1wt.eu>

 

 

 

Usage : haproxy [-f <cfgfile>]* [ -vdVD ] [ -n <maxconn> ] [ -N <maxpconn> ]

        [ -p <pidfile> ] [ -m <max megs> ]

        -v displays version ; -vv shows known build options.

        -d enters debug mode ; -db only disables background mode.

        -V enters verbose mode (disables quiet mode)

        -D goes daemon

        -q quiet mode : don't display messages

        -c check mode : only check config files and exit

        -n sets the maximum total # of connections (2000)

        -m limits the usable amount of memory (in MB)

        -N sets the default, per-proxy maximum # of connections (2000)

        -p writes pids of all children to this file

        -sf/-st [pid ]* finishes/terminates old pids. Must be last arguments.

 

/home/usuario/haproxy-1.3.20 # haproxy -f antidos.cfg

 

 

                                                   

Una vez instalado haproxy, procedemos a lanzar el ataque para comprobar si es vulnerable:

 

 

 

http://unlugarsinfin.blogspot.es/img/qslowloris.jpg

 

 

 

 

Y efectivamente, comprobamos que nuestro servidor web deja de ser vulnerable a Slowloris:

 

 

 

/home/usuario/haproxy-1.3.20 # tail -f /var/log/apache2/error_log

[Wed Sep 16 23:36:52 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/

[Wed Sep 16 23:36:53 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/

[Thu Sep 17 00:48:04 2009] [notice] caught SIGTERM, shutting down [Thu Sep 17 00:48:05 2009] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]

[Thu Sep 17 00:48:05 2009] [notice] mod_antiloris 0.4 started

[Thu Sep 17 00:48:05 2009] [notice] Apache/2.2.13 (Linux/SUSE)

mod_ssl/2.2.13 OpenSSL/0.9.8a configured -- resuming normal operations

[Thu Sep 17 00:48:32 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/

[Thu Sep 17 00:56:00 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/

[Thu Sep 17 00:56:04 2009] [error] [client 127.0.0.1] Directory index forbidden by Options directive: /srv/www/htdocs/

[Thu Sep 17 00:56:07 2009] [error] [client 127.0.0.1] Directory index forbidden by Options directive: /srv/www/htdocs/