miércoles, mayo 27, 2015

Herramienta para auditar vulnerabilidades en dispositivos VoIP.

Vsaudit (VOIP Security Audit Framework) es una herramienta de código abierto para realizar auditorias de seguridad a los servicios generales VoIP. Permite escanear toda la red o un host único, para hacer la fase de recolección de vulnerabilidades. Es capaz de buscar vulnerabilidades más conocidas en los dispositivos de la red que trabajan en VoIP y tratar de explotarlas.


Vsaudit tiene una shell formada por:


Comandos de entorno.

  • Muestra las opciones disponibles que se pueden establecer.
  • Enumeran las variables de entorno.
  • Permiten obtener el valor de las variables de entorno.
  • Permiten establecer o cambiar las variables de entorno.

Comandos de auditoría.

  • Comprueba los errores en los archivos de configuración local de dispositivo VoIP.
  • Escanear una red local o remota.
  • Enumerar las extensiones.
  • Realizar ataques fuerza bruta a extensiones.
  • Obtener el tráfico de red en vivo.
  • Interceptar el tráfico de red por bpf personalizada.

Comandos de información.

  • Obtener información sobre los módulos.
  • Mostrar la lista de informes.
  • Mostrar la lista de extensiones.

Comandos globales.

  • Muestran mensaje de ayuda.
  • Salir el entorno.

Más información y descarga de vsaudit:
https://github.com/sanvil/vsaudit

Manual de uso de vsaudit:
http://deftcode.ninja/post/vsaudit-voip-security-audit-framework/


Otros post publicados en este blog relacionados con seguridad en VoIP:

LiveCD para realizar test de de penetración en redes voz sobre IP (VoIP) y Comunicaciones Unificadas (UC):
http://www.gurudelainformatica.es/2014/02/livecd-para-realizar-test-de-de.html

Herramienta de auditoría de seguridad de video sobre IP:
http://www.gurudelainformatica.es/2009/12/herramienta-de-auditoria-de-seguridad.html

Interceptar conversaciones VoIP/UC:
http://www.gurudelainformatica.es/2009/03/interceptar-conversaciones-voipuc.html

Auditar seguridad en dispositivos VoIP basados en SIP:
http://www.gurudelainformatica.es/2008/07/auditar-seguridad-en-dispositivos-voip.html

Interceptar conversaciones VoIP:
http://www.gurudelainformatica.es/2008/06/interceptar-conversaciones-voip.html

Escáner de vulnerabilidades de telefonía VoIP.
http://www.gurudelainformatica.es/2008/01/escner-de-vulnerabilidades-de-telefona.html

Seguridad en VoIP a través del protocolo ZRTP:
http://www.gurudelainformatica.es/2007/10/seguridad-en-voip-travs-del-protocolo.html

Herramienta de test de penetración para VoIP:
http://www.gurudelainformatica.es/2007/10/herramienta-de-test-de-penetracin-para.html

miércoles, mayo 20, 2015

Herramienta para evitar y detectar ataque DDOS en servidor Web.

Log2ban es una herramienta que permite la detección y bloqueo de IPs que participan en DDOS o un ataque de fuerza bruta contra un servidor Web. Este tipo de ataques se caracteriza por un alto número de peticiones similares a un servidor Web, por parte de un subconjunto relativamente pequeño de IPs en un corto período de tiempo.


Su modo de funcionamiento se basa en que, cada petición al servidor está marcado con un identificador creado a partir de las propiedades de la solicitud. Cuando el número de visitas identificadas llega al margen de tolerancia dentro de una ventana de detección, la IP del cliente se envía como un argumento para el comando externo (BAN_IP_COMMAND) y se recoge en la lista de bloqueo.

Log2ban se limita a operar en el tiempo real, contra el registro de acceso del servidor Web. No está destinado a ser utilizado como analizador de registros históricos. Debe ser utilizado junto con un firewall (el firewall iptables combinado con ipset) para prohibir realmente el acceso a los atacantes.

El script lee registro de acceso en el tiempo real, usando 'tail -n 1 -f', tal como se especifica en la configuración. Si el comando envía EOF, log2ban terminará. Si el comando dejar de escribir registros a la salida estándar(stdout), log2ban colgará.

Log2ban es lo suficientemente rápido por sí mismo, pero para un número muy elevado de peticiones, el uso de la CPU puede convertirse en un problema de disponibilidad del servidor Web. Para evitar esto se puede deshabilitar el registro de las solicitudes a los recursos estáticos como: imágenes, scripts o hojas de estilo. Además  la optimización puede incluir el uso de formato de registro de acceso más simple(csv), en lugar de, utilizar la opción por defecto.

La política de detección de log2ban puede ser optimizada. El parámetro más importante es “TOLERANCE_MARGIN” que representa el margen tolerable de conexiones hacia el servidor Web. Tambien existen otros parámetros más importantes son “WINDOW_SIZE” y “SLOT_INTERVAL”. Cuanto más corto es el intervalo y el aumento de tamaño significa, una mejor detección y peor rendimiento debido al consumo de recursos. Para cambiar la política de asignación de ID, se debe modificar la función "create_server_hit_id". Log2ban soporta el registro de acceso por defecto de Apache/nginx. Las modificaciones introducidas en el formato por defecto deben reflejarse en la variable “ACCESS_LOG_RECORD_FORMAT”. Para saltar lo criterios de registro, la función de modificar "skip". Actualmente, las solicitudes a varios tipos de archivos estáticos se omiten en la tramitación.

Más información y descarga de log2ban:
https://github.com/unicodefreak/log2ban


Otros post publicados en este blog relacionados con DDOS:

Herramienta para probar la vulnerabilidad de un servidor ante un ataque DOS:
http://www.gurudelainformatica.es/2014/05/herramienta-para-probar-la.html

Reducir impacto ataques HTTP Flood/DoS en aplicaciones Web:
http://www.gurudelainformatica.es/2014/01/reducir-impacto-ataques-http-flooddos.html

Proteger servidor Linux contra ataques de fuerza bruta y denegación de servicios:
http://www.gurudelainformatica.es/2010/01/proteger-servidor-linux-contra-ataques.html

Auditar el impacto de ataques de denegación de servicios y fuerza bruta:
http://www.gurudelainformatica.es/2009/02/auditar-el-impacto-de-ataques-de.html

jueves, mayo 14, 2015

Herramientas forenses para WhatsApp.

WhatsApp mas que una aplicación para smartphones, se ha convertido en el medio de comunicación mas usado por la telefonía móvil. Por lo que las imágenes enviadas, el listado de contactos, el historial de conversaciones... pueden ser considerados pruebas muy importantes en un juicio; por lo que probar su fiabilidad, es una aspecto muy importante a la hora de realizar un análisis forense de un dispositivo móvil. Existen dos aplicaciones de código abierto ideales para un análisis forense de WhatsApp:  WhatForensics y WhatsApp Xtract.


WhatForensics es una herramienta escrita en C# para la adquisición de datos y análisis forense de WhatsApp, en dispositivos iOS. Permite adquisición automática y rápida, ver los datos de dispositivos sin correr WhatsApp (y modificarlos), visualizar datos como identificadores Jabber de contacto, mensajes no enviados y mucho más. Es mas efectivo y veraz cuando se utiliza en combinación con el método de adquisición de copia de seguridad iTunes, porque asegura la integridad de los archivos en los dispositivos.

WhatForensics utiliza tres modos para la adquisición y análisis de datos:

  • Cargar la base de datos de forma automática navegando por la copia de seguridad de iTunes.
  • Cargar la base de datos de forma automática desde dispositivos iOS con jailbreak través afc2. Desde el punto de vista forense no es muy correcto, pero la integridad de los archivos esta garantizada porque todas las operaciones se establecen como sólo lectura.
  • Cargar manualmente la base de datos desde el disco.

Una vez que los datos se cargan y analizan correctamente, se puede:

  • Ver información extendida de grupos, número de mensajes, la última persona que envió un mensaje dentro de un grupo y sus documentos asociados enviados por los miembros.
  • Permite realizar una búsqueda entre los datos utilizando la sintaxis SQLite.
  • Ver lista de usuarios bloqueados por el usuario en WhatsApp.
  • Ver nombres de contactos almacenada en el dispositivo.
  • Ver mensajes no enviados que fueron hechos en el campo de texto.
  • Exportar datos a un informe HTML.

Más información y descarga de WhatForensics:
https://github.com/jglim/WhatForensics


WhatsApp Xtract, es una herramienta para extraer datos de la base de datos de WhatsApp, y realizar análisis o copias de seguridad. Se puede emplear para dispositivos Android y para dispositivos iOS. Esta herramienta no extrae los datos de forma automática del dispositivo, el usuario tiene que extraer la base de datos manualmente el las siguientes ubicaciones.

En Android, la ubicación del archivo suele ser:
/sdcard/WhatsApp/Databases/msgstore.db.crypt
(Base de datos encriptada en la tarjeta SD, puede crearse a partir de la copia de seguridad de la configuración avanzada de WhatsApp)

Y estos archivos:
/data/data/com.whatsapp/databases/msgstore.db y wa.db
(Para eso, es necesario acceso de root. La ventaja es que se mostrarán los nombres de los contactos correspondientes a números de teléfono.)

En iPhone, este archivo:
net.whatsapp.WhatsApp/Documents/ChatStorage.sqlite
(Puede utilizar una herramienta de copia de seguridad de Iphone para obtener el archivo)

Una vez localizados los archivos y tratados con WhatsApp Xtract, se generara un archivo html con el resultado. El tamaño del archivo resultante será ligeramente más grande que el tamaño de la base de datos.

Más información y descarga de WhatsApp Xtract:
 https://code.google.com/p/hotoloti/downloads/detail?name=Whatsapp_Xtract_V2.0_2012-05-02.zip


Otros post publicados en en este blog relacionados con análisis forense de smartphones:

Análisis forense de dispositivos iOS:
http://www.gurudelainformatica.es/2014/09/analisis-forense-de-dispositivos-iphone.html

Distribución ideal para análisis de vulnerabilidades, análisis forense y análisis de malware, a sistemas Android:
http://www.gurudelainformatica.es/2014/08/distribucion-ideal-para-analisis-de.html

Análisis forense, análisis de malware y análisis de vulnerabilidades, en teléfonos móviles:
http://www.gurudelainformatica.es/2014/06/analisis-forense-analisis-de-malware-y.html