miércoles, febrero 25, 2015

Auditar redes inalámbicaras utilizando la plataforma Raspberry Pi.

FruityWifi es una herramienta de código abierto para auditar redes inalámbricas. Permite al usuario desplegar ataques avanzados utilizando directamente la interfaz web o mediante el envío de mensajes a la misma. Fue inicialmente creado para ser utilizado en la plataforma hardware Raspberry Pi, pero puede instalarse en cualquier sistema basado en Debian. Esta probado en sistemas: Kali Linux, Kali Linux ARM (Raspberry Pi), Raspbian (Raspberry Pi), Pwnpi (Raspberry Pi) y Bugtraq.


FruityWifi tiene una interfaz basada en módulos, soporta chipsets Realtek, banda ancha móvil 4G/3G y  tiene un panel de control flexible, con un entorno Web. Es posible utilizar FruityWifi con una combinación de múltiples redes y configuraciones:

  • Ethernet  ↔ Ethernet.
  • Ethernet ↔ 3G / 4G.
  • Ethernet ↔ Wifi.
  • Wifi ↔ Wifi.
  • Wifi ↔ 3G/4G.

Dentro de las opciones del panel de control es posible cambiar el modo de AP entre: Hostapd y Airmon-ng que soporta más chipsets como Realtek. Es posible personalizar cada una de las interfaces de red, que permite al usuario mantener la configuración actual o cambiarla por completo.

FruityWifi se basa en módulos por lo que es muy flexible. Estos módulos se pueden instalar desde el panel de control para proporcionar a FruityWifi nuevas funcionalidades. Dentro de los módulos disponibles se pueden encontrar: urlsnarf, dnsspoof, Kismet, mdk3, ngrep, nmap, squid3, sslstrip, portal cautivo, autossh, Meterpreter, Tcpdump,WhatsApp...

DNS Spoof, permite crear un servidor DNS falso y redirigirlo.

Autossh, permite al usuario crear una conexión ssh inversa en caso de que la conexión se haya cerrado o se ha caído. Es útil para mantener una conexión permanente con FruityWifi.

Meterpreter, es una excelente herramienta para obtener información de un host comprometido y manipular los procesos del sistema. Este módulo permite comprometer más hosts y acceder a más dispositivos y redes.

Nessus, es un escáner de vulnerabilidad. Con este módulo es posible escanear sistemas sin utilizar la interfaz de Nessus. Es posible descubrir las vulnerabilidades presentes en cada uno de los anfitriones.

Tcpdump, es analizar el tráfico de red. Con este módulo se puede interceptar el tráfico que pasa a través del dispositivo, filtrarlo y  almacenarlo para su análisis posterior.

Ettercap, es una herramienta capaz de capturar el tráfico de red y realizar diferentes ataques. Con este módulo es posible realizar ataques MITM utilizando envenenamiento ARP.

WhatsApp, este módulo se basa en un fallo de privacidad en WhatsApp. Cuando se envía un mensaje, en el paquete enviado se puede ver el número de teléfono y el sistema con el cual se ha enviado el mensaje.

Estas herramientas para test de penetración WiFi en un equipo de reducidas dimensiones como una Raspberry Pi, da un gran abanico de posibilidades, debido a su gran movilidad. Ademas FruityWifi soporta banda ancha móvil 3G y 4G. Se puede utilizar este módulo para conectar un modem 3G/4G y dar acceso a Internet a FruityWifi sin necesidad de Wifi o Ethernet. Muestra algunas limitaciones de recursos frente a montar el sistema en un PC, pero sus beneficios, compensan con creces las limitaciones.

Más información y descarga de FruityWifi:
https://github.com/xtr4nge/FruityWifi

miércoles, febrero 18, 2015

Sistema SIEM con capacidades avanzadas para defensa perimetral de sistemas.

La plataforma de defensa MozDef busca automatizar el proceso de gestión de incidentes de seguridad y facilitar las actividades en tiempo de los administradores de sistemas. MozDef es un sistema SIEM con capacidades avanzadas para defensa perimetral de sistemas.


MozDef nace con el objetivo de hacer frente al gran arsenal de herramientas disponibles para los atacantes. Suites como: metasploit, armitage, lair, dradis y otras que están disponibles para ayudar a los atacantes, que comparten información y coordinan sus ataques en tiempo real. Los administradores de red para defenderse de estos ataques se limitan generalmente a los: wikis, los sistemas de ticketing y bases de datos de seguimiento manual unidos a un sistema de seguridad de la información y gestión de eventos (SIEM).

MozDef tiene como objetivo proporcionar funcionalidad SIEM tradicional, como:

  • La aceptación de eventos de una variedad de sistemas.
  • Almacenamiento de eventos.
  • Facilitar búsquedas de eventos
  • Permite configurar alarma con respecto a eventos.
  • Administración de eventos (archivado, restauración).

Y con funcionalidades añadidas:

  • Proporciona una plataforma para descubrir rápidamente y responder a los incidentes de seguridad.
  • Automatiza interfaces con otros sistemas como: MIG, flowspec, balanceadores de carga, etc.
  • Proporciona las métricas para los eventos e incidentes de seguridad.
  • Facilita la colaboración en tiempo real entre los administradores de incidentes
  • Facilita procesos predecibles para el manejo de incidentes.
  • Ir más allá de los sistemas tradicionales SIEM en la automatización de manejo de incidentes, el intercambio de información, flujo de trabajo, métricas y automatización respuesta
  • Acepta entradas sólo JSON y se integra con una variedad de cargadores de registro incluyendo: heka, logstash, beaver, nxlog y cualquier cargador que puede enviar JSON a cualquiera rabbit-mq o un punto final HTTP.
  • Proporciona plugins python para manipular los datos en tránsito.
  • Escalable, debe ser capaz de: manejar miles de eventos por segundo, proporcionar la búsqueda rápida, generar alertas, correlarlas y manejar las interacciones entre los equipos de administradores de incidentes.
  • Visualizaciones 3D de las amenazas.
La arquitectura MozDef se basa en tecnologías de código abierto, incluyendo:

  • Nginx, entrada de registro basasa en HTTPS.
  • RabbitMQ, cola de mensajes y basado en la entrada de registro amqp.
  • UWSGI, control de supervisión basado en Python.
  • bottle.py, interfaz basado en Python, para manejo de peticiones web.
  • Elasticsearch, modulo de indexación escalable y búsqueda de documentos JSON.
  • Meteor, marco sensible para Node.js que permite el intercambio de datos en tiempo real.
  • MongoDB, almacén de datos escalable, estrechamente integrada a Meteor.
  • VERIS, de Verizon taxonomía de código abierto de categorizaciones de incidentes de seguridad.
  • D3, librería javascript para documentos basados en datos.
  • dc.js, librería javascript  para proporcionar cartas comunes y gráficos d3.
  • Three.js, biblioteca javascript para visualizaciones 3D.
  • Firefox, navegador web.

Más información y descarga de MozDef:
https://github.com/jeffbryner/MozDef

miércoles, febrero 11, 2015

Herramientas para análisis forense en sistemas Mac OS X.

Existen tres herramientas gratuitas ideales para análisis forense de sistemas Mac OS X que son: Disk Arbritrator, OS X Auditor y Mac memoryze.


Disk Arbitrator es una utilidad diseñada para ayudar a realizar los procedimientos forenses correctos durante la exploración de un dispositivo de disco.  Cuando está activada, bloquea el montado de sistemas de archivos para evitar el montado como lectura y escritura y la violación de la integridad de las pruebas. Es importante señalar que no es un bloqueador de software de escritura, no cambia el estado de los dispositivos conectados, ni afecta a los dispositivos recién conectados.

Más información y descarga de Disk Arbitrator:
https://github.com/aburgh/Disk-Arbitrator

OS X Auditor es una herramienta de análisis forense para Mac OS X. Esta herramienta analiza el sistema o una copia del mismo, buscando las siguientes partes:

  • Las extensiones del kernel.
  • Los agentes del sistema y demonios.
  • Agentes de terceros y demonios.
  • Elementos de inicio del sistema.
  • Agentes de los usuarios.
  • Archivos descargados de los usuarios.
  • Las aplicaciones instaladas.

Extrae las siguientes invidencias forenses relativas a los usuarios de la maquina:

  • Los archivos en cuarentena.
  • El historial de Safari: descargas, sitios mas visitados, ultima sesión y bases de datos HTML5.
  • El localstore de los usuarios de Firefox: cookies, descargas, historial de formularios, permisos, lugares y inicios de sesión.
  • El historial de  Chrome: cookies, datos de inicio de sesión, los mejores sitios, datos de la web, bases de datos y el almacenamiento local de HTML5.
  • Las cuentas sociales y correo electrónico.
  • Los puntos de acceso WiFi del sistema, auditando donde ha sido conectada tratando de geolocalizarlos.
  • También busca palabras clave sospechosas en los propios “.plist”.

Se puede verificar la reputación de cada archivo en busca de malware, utilizando los servicios: Team Cymru's MHR, VirusTotal, Malware.lu y su propia base de datos local. Puede agregar en una zipball todos los registros de los siguientes directorios: “/var/log (-> /private/var/log)”,  “/Library/logs” y “nombreusuario~/Library/logs”.

Finalmente, los resultados pueden ser presentados como: un archivo de registro sencillo txt, un archivo de registro HTML o enviado a un servidor Syslog.

Más información y descarga de OS X Auditor:
https://github.com/jipegit/OSXAuditor

Memoryze para Mac es un software forense que ayuda al estudio de evidencias en memoria RAM de sistemas Mac OS X. Memoryze puede adquirir y analizar imágenes de la memoria. El análisis se puede realizar en imágenes de la memoria fuera de línea o en sistemas vivos.

Más información y descarga de Memoryze:
http://www.mandiant.com/resources/download/mac-memoryze