Lee aquí tus blogs preferidos...

Guru de la informática

En este blog informático esta reflejada mi experiencia en el mundo de la informática. Mis publicaciones seran sobre seguridad informática e internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético.
  • Hardening SSL/TLS.


    Con Harden SSL / TLS una aplicación que permite mejorar la seguridad de SSL / TLS de las versiones de Windows 2000, 2003, 2008, 2008 R2, XP, Vista y 7. Esta aplicación permite establecer a nivel local y remota políticas basadas en permitir o denegar ciertos hashes o conjuntos de cifrado, establecer prioridades y modificar parámetros de la caché de sesión TLS.


    Harden SSL / TLS permite realizar políticas específicas de ajuste con respecto a los cifrados y los protocolos que estén disponibles para aplicaciones que utilizan el interfaz SCHANNEL de criptografía, ya sean aplicaciones cliente o servidor. Una gran cantidad de aplicaciones de Windows utilizan esta interfaz, por ejemplo: Google Chrome, Safari de Apple… Al cambiar la configuración indirectamente se puede controlar que cifrados pueden utilizar estas aplicaciones. Teniendo en cuenta que una aplicación puede solicitar un conjunto específico de sistemas de cifrado, y si se ha desactivado este conjunto ya no puede usarlo.

    En el modo avanzado de esta aplicación permite:

    • Habilitar el modo ECC P521; Microsoft eliminó el modo ECC P521 después de Vista y Server 2008, esta opción permite volver a habilitar y volver a introducir el modo ECC P521 para Windows 7 y Server 2008R2.
    • Habilitar soporte módulo 1; Cuando un servidor Web utiliza un certificado con un exponente 1 de clave pública RSA, el exponente de la clave privada también se pone a 1. Si estas condiciones están presentes, la conexión no tiene la seguridad de encriptación. Al habilitar esta se configura el cliente para permitir una conexión a un servidor Web que utiliza un certificado con un exponente 1 de clave pública RSA.
    • Modificar el tiempo de la cache TLS / SSL; Una de las razones para cambiar el valor predeterminado de la caché de sesión SSL es obligar al cliente a autenticar con más frecuencia. El frecuente almacenamiento en caché es útil a veces, por ejemplo, si se desea reducir el esfuerzo computacional o si se sabe que el cliente está utilizando una tarjeta inteligente y desea que la página web sea accesible sólo cuando el usuario inserta la tarjeta inteligente en el lector.
    • Tamaño de la cache TLS / SSL; IIS mantiene los objetos en memoria para el seguimiento de cada conexión a la web de entrada. Después de cinco minutos de tiempo de inactividad, estos objetos son destruidos para reclamar los recursos. Durante este proceso, IIS purga el ID de sesión SSL / TLS de la tabla sesión ID de la caché del sistema operativo. IIS también purga toda la información de conexión que se negocia entre el cliente y el servidor. Cuando un cliente intenta reanudar una sesión de SSL / TLS mediante el identificador de sesión anterior, el servidor no puede encontrar la información de conexión en la memoria caché. Por lo tanto, el cliente debe renegociar la conexión. Además, el cliente debe obtener un nuevo identificador de sesión. El aumento del tamaño de la caché puede reducir la carga de la CPU, pero aumenta el uso de memoria, cada elemento de caché de la sesión normalmente requiere de 2 a 4 Kb de memoria.

    Más información de Harden SSL / TLS:
    http://www.g-sec.lu/sslharden/documentation.pdf

    Descarga de Harden SSL / TLS:
    http://www.g-sec.lu/sslharden/HardenSSL.zip


    Seguridad en el protocolo SSL:
    http://vtroger.blogspot.com/2011/02/seguridad-en-el-protocolo-ssl.html

    Auditar seguridad de SSL:
    http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html


  • Cortafuegos de aplicación Web.


    Se trata de IronBee, cortafuego de aplicación web (WAF) de fuente abierta. Llevado por el equipo que diseñó y construyó ModSecurity, el nuevo proyecto apunta a producir un cortafuegos de aplicación web que sea seguro, de alto rendimiento, portable, y libremente disponible incluso para el uso comercial.

    Un WAF es típicamente una aplicación, un plugin del servidor, o un filtro basado en programas que aplica un sistema de reglas a una conversación del HTTP para supervisar y controlar el movimiento de datos, manteniéndolo seguro de posibles ataques. Modificando las reglas para requisitos particulares de un WAF, muchos ataques pueden ser identificados y bloqueados.

    El uso cada vez mayor de aplicaciones web y de la transición a la computación en nube hace necesario desplegar tecnología WAF, para proteger datos y aplicar regulaciones tales como las impuestas por la industria de tarjeta de pago (PCI).

    Entre las características de IronBee destaca:

    • Motor avanzado de la inspección de seguridad de uso, que proporciona las nuevas herramientas de proceso y el análisis para el tráfico HTTP.
    • Licencia v2, una licencia no-viral del software de Apache de fuente abierta que permite que participen igualmente los individuos y las organizaciones comerciales, creando una comunidad de usuarios, así como una comunidad de desarrollo.
    • La portabilidad, que le permite múltiples modos de trabajo tales como: pasivo, embebido, fuera del proceso y como proxy reverso.
    • Arquitectura modular, permitiendo a contribuidores ejecutar fácilmente sus propios módulos sin requerir la comprensión profunda de la arquitectura de IronBee, así como permitir el empaquetado directo de la información y de los módulos de configuración apropiados a las necesidades de cada usuario.
    • Esfuerzo de colaboración de la comunidad para capturar, centralizar y compartir la información necesaria para defender aplicaciones web.

    Está cada vez más claro que no importa si somos buenos en programación segura (SDLC), y no importa si nuestras herramientas de la exploración de código y de análisis de vulnerabilidades son eficaces, ninguna de las dos cosas solventara nuestro problema de seguridad de aplicaciones web, la mejor técnica es tener una protección y un remiendo. Cuando descubrimos una nueva vulnerabilidad, nos blindamos con cortafuegos y otras técnicas de seguridad perimetral (protección), para después parchear la vulnerabilidad (remiendo) y poner solución problema.

    Más información y descarga de IronBee:
    https://www.ironbee.com/


  • Seguridad SCADA: Disponibilidad en servicios OPC.


    Dentro de la seguridad informática la disponibilidad es un factor muy importante que normalmente se le suele menospreciar. Entendemos por disponibilidad a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red cuando los necesiten. La disponibilidad es un factor imprescindible en sistema SCADA. En este post tratare sobre herramientas para mejorar la disponibilidad en OPC.

    OPC (OLE for Process Control) de Microsoft es un estándar de comunicación con arquitectura Cliente-Servidor usada en la industria de control de procesos. Está pensada para garantizar la comunicación entre dispositivos de distintos fabricantes, permitiendo la comunicación entre aplicaciones de control y de supervisión con independencia de la red en la que trabaje. OPC se basa en los estándares de Microsoft: DCOM, OLE y RPC.

    MatrikonOPC dispone de cuatro herramientas gratuitas que nos permiten: probar clientes y servidores OPC, simular y testear problemas de conexión en OPC. Estas aplicaciones son:

    MatrikonOPC Explorer:

    Es una herramienta para visualizar variables OPC y realizar pruebas con conexiones en tiempo real. MatrikonOPC Explorer es una herramienta fácil y rápida para comprobar el funcionamiento de servidores OPC y realizar desarrollos OPC de una forma más simple. Más allá de la prueba simple de conexión, esta herramienta proporciona funciones avanzadas incluyendo la prueba de carga del servidor OPC, identificando los servidores OPC seguros y la capacidad de conectar con ellos para buscar la configuración más óptima.

    Más información y descarga de MatrikonOPC Explorer:
    http://www.matrikonopc.com/products/opc-desktop-tools/opc-explorer.aspx

    MatrikonOPC Simulation Server:

    Es una herramienta diseñada para integradores y desarrolladores que necesitan realizar pruebas con aplicaciones OPC. Esta aplicación permite realizar pruebas de conectividad y calidad de clientes OPC. Los usos de pruebas en los servidores OPC en servicio, pueden dar lugar a pérdida de datos de la producción real. El servidor de simulación de MatrikonOPC crea un ambiente simulado para en caso de problemas, no perder ningún dato de proceso real.

    Más información y descarga de MatrikonOPC Simulation Server:
    http://www.matrikonopc.com/products/opc-drivers/opc-simulation-server.aspx

    MatrikonOPC Analyzer:

    Es una utilidad para encontrar áreas problemáticas comunes de OPC y archivos importantes de respaldo de OPC.
    Características:
    • Soprota archivos de configuración de XML y ficheros de log del servidor del OPC.
    • Comprueba áreas problemáticas comunes del OPC tales como ajustes del cortafuego, DEP, ajustes de red, así como la información del registro de acontecimientos y actualización del sistema operativo
    • Resume los ajustes de DCOM por defecto, ajustes de OPCEnum y ajustes específicos de DCOM en el servidor OPC.
    Más información y descarga de MatrikonOPC Analyzer:
    http://www.matrikonopc.com/products/opc-desktop-tools/opc-analyzer.aspx

    MatrikonOPC Sniffer:

    Especialmente diseñada para integradores de instalaciones y configuración de arquitecturas OPC, MatrikonOPC Sniffer ayuda a investigar objetivamente la solución de problemas de interoperabilidad entre Cliente OPC / Servidor OPC. MatrikonOPC Sniffer señala rápidamente cuando los Servidores OPC y Clientes no se comunican correctamente. Registra la actividad entre Servidores y Clientes OPC para aislar los problemas de interoperabilidad y ayudar a resolver problemas de forma rápida y sencilla.

    Más información y descarga MatrikonOPC Sniffer:
    http://www.matrikonopc.es/products/opc-data-management/opc-sniffer.aspx



    Seguridad SCADA: Honeypot para simular redes SCADA:
    http://vtroger.blogspot.com/2010/10/seguridad-scada-honeypot-para-simular.html

    Seguridad SCADA: Fingerprinting de dispositivos que trabajan sobre MODBUS/TCP:
    http://vtroger.blogspot.com/2010/08/seguridad-scada-fingerprinting-de.html

    Seguridad SCADA: Firewall para MODBUS/TCP:
    http://vtroger.blogspot.com/2010/08/seguridad-scada-firewall-para-modbustcp.html

    Seguridad SCADA: Vulnerabilidades en OPC:
    http://vtroger.blogspot.com/2010/09/seguridad-scada-vulnerabilidades-en-opc.html


  • Honeypot para SSH.


    Se trata de Kippo un honeypot para SSH diseñado para registrar ataques de fuerza bruta y la interacción del atacante en el mismo. Kippo se inspira, pero no está basado en Kojoney.

    Algunas características interesantes:

    • Simula un sistema de ficheros completo que se asemeja a una instalación de Debian 5.0, con capacidad de agregar y quita archivos.
    • La posibilidad de agregar archivos a ese sistema de ficheros falso permite que el atacante pueda ver archivos tales como “/etc/passwd”, solo se incluye un contenido mínimo del archivo.
    • Registros de la sesión del atacante son almacenados en un formato compatible con UML para la respuesta fácil con sincronizaciones originales.
    • Kippo salva los archivos transferidos con el wget para la inspección posterior.

    Kippo está probado en las plataformas: Debian, CentOS, FreeBSD y Windows 7. Y necesita de los siguientes componentes para su funcionamiento: Python 2.5+, Twisted 8.0+, PyCrypto y interface Zope.

    Más información y descarga de Kippo en:
    http://code.google.com/p/kippo/


  • Seguridad en el protocolo SSL.


    Muchos dispositivos de red, utilizan para cifrar sus conexiones SSL, llaves hard-coded almacenadas en su firmware, de esta forma, dos routers que tengan el mismo firmware utilizaran las mismas llaves para cifrar sus conexiones SSL. Esto significa que si capturamos la llave privada del firmware podemos descifrar todo el trafico encriptado en SSL.

    Existe una herramienta llamada LittleBlackBox que contiene una base de datos donde se correlacionan llaves privadas de SLL, con sus respectivos certificados públicos, que corresponden a determinado hardware. Esta base de datos incluye más de 2 millones llaves privadas tanto de SSL como de SSH.

    Con esta herramienta es posible identificar un dispositivo de red por su certificado público SSL. Además, dado un certificado público, la herramienta busca en la base de datos para considerar si tiene una llave privada correspondiente; si es así, la llave privada se puede utilizar con: Wireshark o SSLsniff, para descifrar tráfico o para realizar ataques de MITM.

    Con LittleBlackBox podemos auditar la seguridad del cifrado SSL que utilizan nuestros dispositivos de red. Para mejorar la seguridad de cifrado SSL de nuestros dispositivos de red lo mejor es cambiar los certificados SSL que utilizan por defecto (esta medida es posible en muchos dispositivos).

    Más información y descarga de LittleBlackBox:
    http://code.google.com/p/littleblackbox/

    Más información y descarga de Wireshark:
    http://www.wireshark.org

    Más información y descarga de SSLsniff:
    http://www.thoughtcrime.org/software/sslsniff/

    Auditar seguridad de SSL:
    http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html