miércoles, enero 28, 2015

Obtener hábitos de navegación de servidor DNS con técnicas de DNS Snooper.

DNS Snooper es una técnica que se basa en beneficiarse de los resultados de las consultas recursivas hechas a un servidor DNS por sus clientes, que se almacenan en la cache del servidor. Los usos de esta información van desde saber que dominios visitan frecuentemente sus clientes (para la comercialización y otros fines) o para determinar qué dominios frecuentemente visitados podría ser útiles para un ataque de envenenamiento de caché DNS.


Esta técnica se puede realizar de dos formas:

  • Uso de consultas no recursivas. Esta es la opción más sencilla, desde un cliente que el servidor DNS responderá, se envía una consulta no recursiva (con el bit de recursión deseada en el encabezado de consulta establecido en cero). Si las respuestas están en la memoria caché, el servidor se les proporcionara.
  • Uso de consultas recursivas. Esto es muy similar a la anterior, excepto que  tiene que deducir que el servidor DNS respondió desde la memoria caché midiendo el tiempo que tomó el servidor para responder (aunque, dependiendo de la carga del servidor, esto puede no ser significante) y TTL de las respuestas dadas.

FAB DNS Snooper es una herramienta para auditar la seguridad de un servidor DNS  frente a técnicas de DNS Snooper. Esta herramienta permite extraer información de la caché de un servidor DSN mediante consultas recursivas, para obtener los patrones de comportamiento tecnológicos y sociales.

Entre las características de esta herramienta destaca:

  • Puede configurarse para realizar sólo una consulta o múltiples cada 30, 40 o 50 minutos, a un DNS elegido.
  • Contiene una base de datos de páginas web organizadas en categorías.
  • Permite generación de informes y exportación pdf.
  • Es multiplataforma y multiproceso.

La eficacia de la técnica de DNS Snooper, depende de la latencia de la caché almacenada del servidor DNS. Si esta cache por ejemplo, se renueva cada 3 minutos para obtener información se tendría que escanear con múltiples barridos para conocer los tiempos de resolución.

Más información y descarga de FAB DNS Snooper:
http://sourceforge.net/projects/fabdnssnooper/

miércoles, enero 21, 2015

Combinar araña Web con técnicas de extracción de metadatos.

Una araña web, es una herramienta que examina páginas Web, de forma ordenada y automatizada. Los buscadores de Internet suele usan estas herramientas a modo de bots, para crear una copia de la página web, para su posterior procesado e indexado, consiguiendo así búsquedas más rápidas.


Las arañas web identifica los hiperenlaces de la página y los agrega a la lista de URLs a visitar, de forma recurrente dependiendo de el conjunto de reglas que se han definido en su configuración, como puede ser restringir la búsqueda a un dominio. La araña descarga estas direcciones y algunos tipos de arañas también descarga los archivos que contiene el sitio Web.

Con ese archivos que recoge la araña web se pueden usar técnicas de extración de metadatos. Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación…

Los metadatos pueden tener varias aplicaciones como:

  • En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos.
  • En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red… para después realizar un ataque de fuerza bruta.

Un ejemplo es Web Crawler una araña Web basada en Python, orientado a ayudar en las tareas de test de penetración. La tarea principal de esta herramienta es la búsqueda y la lista de todos los enlaces páginas y archivos en un sitio web.

Entre las características de Web Crawler destaca:

  • Analiza sitios Web en Http y Https, incluso si no utilizan los puertos comunes de estés protocolos.
  • Permite determinar la profundidad del rastreo.
  • Genera un resumen al final del rastreo con estadísticas sobre los resultados.
  • Implementa método HEAD para el análisis de los tipos de archivos antes de descargarlos. Esta característica mejora la velocidad de manera significativa.
  • Utiliza expresiones regulares para encontrar enlaces 'href', 'src' y 'content'.
  • Identifica vínculos relativos.
  • Identifica archivos no html y los muestra.
  • Identifica la indexación de directorios.
  • Permite exportaciones en un archivo separado con una lista de todas las URL de archivos encontrados durante el rastreo.
  • Permite seleccionar el tipo de archivos para descargar. Guarde los archivos descargados en un directorio. Sólo crea el directorio de salida si hay al menos un archivo para descargar.
  • Genera un registro de salida en CLF de la solicitud realizada durante el rastreo.
  • Trata de detectar si el sitio utiliza un CMS como: WordPress, Joomla, etc
  • Busca archivos tipo: '.bk' y '.bak' de php, asp, aspx, jps...

Web Crawler posee la opción interactiva de descargar archivos generando una lista de exportación en un archivo. Con esta lista se pueden descargar archivos y analizarlos con un software para extracción de metadatos como: ExifToolMetagoofil

ExifTool, la mejor herramienta para extraer metadatos de imágenes ya que puede trabajar con EXIF e IPTC (estándares utilizados por cámara de fotos para intercambiar ficheros de imágenes con compresión JPEG). Además reconoce metadatos insertados por cámaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/Konica-Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux.

Metagoofil, diseñada para extraer archivos: pdf, doc, xls y ppt de un sitio web a través de google, y analizar los metadatos de los archivos. Para obtener información y realizar un ataque o un test de intrusión.

También existe una herramienta llamada CeWL que integra las dos técnicas actúa como una araña Web y extrae los metadatos del sitio web a rastrear. Esta herramienta genera tres listas con la siguiente información:

  • Una lista de palabras de la Web que se pueden utilizar como contraseña para ataques de diccionario. 
  • Una lista con direcciones de correo electrónico, de la que se puede extraer posibles usuarios. 
  • Una lista con usuarios y autores extraídos de los metadatos de los archivos encontrados en el sitio Web, soporta archivos de formato Office hasta 2007 y PDF. Ideal para recabar lista de de nombres de usuarios.  

CeWL es una herramienta para sistemas Linux escrita en Ruby ideal para auditar la seguridad de sitios Web, controlando la información que se proporciona en los metadatos. Como una primera toma de contacto esta bien, pero siempre es mas eficiente combinar los resultados de una araña Web con herramientas de extracción de metadatos.

Más información y descarga Web Crawler:
http://sourceforge.net/projects/webcrawler-py/

Más información y descarga ExifTool:
http://www.sno.phy.queensu.ca/~phil/exiftool/

Más información y descarga Metagoofil:
http://www.edge-security.com/metagoofil.php

Más información y descarga de CeWL:
http://www.digininja.org/projects/cewl.php

miércoles, enero 14, 2015

Herramienta para prevenir ataques de MITM (man-in-the-middle).

La técnica de envenenamiento ARP consigue evitar las limitaciones de tráfico broadcast impuestas por los switch. Los switch solo envían paquetes entre los host que están incluidos en su tabla ARP, limitando así el broadcast entre las maquinas de la red, con el envenenamiento ARP se consigue mediante una técnica denominada ataque man-in-the-middle, falsear la MAC del atacante para poder recibir ese broadcast y capturar los paquetes dirigidos a las maquinas en las que se ponga en medio.

 

Etherwall es una herramienta gratuita de seguridad de red  especifica para prevenir ataques de MITM (man-in-the-middle) a través de envenenamiento de cache ARP . También sirve para prevenir varios ataques como: Sniffing, Hijacking, Netcut, DNS Spoofing y DHCP Spoofing.

Características principales de Etherwall:

  • Ejecución en modo demonio del sistema.
  • Filtrado de paquetes ARP.
  • Protección Punto a Punto y Punto a Multipunto.
  • Protección en tiempo real.
  • Sistema de registro de log.
  • Sistema de alerta temprana.
  • Soporte de redes estáticas y dinámicas.
  • Soportes para Ethernet inalámbrico y por cable de interfaz (IEEE 802.3 y IEEE 802.11).

Etherwall se ejecuta como un demonio, que tiene tres algoritmos básicos:

  • Filtrado de paquetes ARP, por defecto sólo Etherwall permite los paquetes procedentes del router. Si se desea permitir paquetes de otros hosts entonces el usuario puede hacer una lista de hosts que se permite a través del archivo de configuración “/etc/etherwall/allow.conf”.
  • Protección punto a punto, es un algoritmo para mantener la comunicación entre dos hosts y proporcionar una dirección válida de manera que siempre se mantendrá la comunicación
  • Protección punto a multipunto, algoritmo punto a multipunto es el mismo que el punto a punto, pero con aplicaciones para dos o mas hosts.

Etherwall esta escrito en lenguaje Python. Diseñado para Linux, ha sido probado en varias distribuciones populares como Slackware, Debian, Ubuntu, Backtrack, Mint, CentOS, Fedora, OpenSUSE, etc.

Más información y descarga de Etherwall:
https://github.com/rndc/etherwall


Herramientas para realizar MITM (man-in-the-middle) en SLL:
http://www.gurudelainformatica.es/2014/01/herramientas-para-realizar-mitm-man-in.html