Es un error grave no tener este enlace dentro de bookmarks o favoritos… es absolutamente vital:

http://cb.vu/unixtoolbox.xhtml

Traducción desde la página:

Éste documento es una colección de comandos y herramientas de Unix/Linux/BSD que son útiles para trabajar en TI o para usuarios avanzados. Esta es una guía práctica con explicaciones concisas, de cualquier forma, se asume que el lector sabe lo que esta haciendo.

Ciertamente el sitio esta genial. Se trata de un repositorio de capturas donde uno puede suscribirse y subir sus propias capturas de estudio o simplemente descargar las de otros usuarios para su posterior analisis.

Esto tiene como gran ventaja el hecho de poder estudiar y aprender mas sobre los protocolos en los cuales trabajamos diariamente, muchas veces sin entender como funcionan en el mundo real mas alla de lo teorico.

En el sitio se pueden encontrar desde simples consultas http hasta procedimientos de protocolos de ruteo. Para acceder al contenido completo no hace falta mas que de agregar tu correo y setear un password.

Otra de las cosas geniales que se puede ver son las funciones web de analisis que vienen en la pagina. Con los visores puedes dividir entre los protocolos de diferentes capas e incluso ver el contendio que estos mandan, asi claro como la sesion en la que estan siendo transferidos. Una especie de Wireshark Lite web.

El sitio lo pueden revisar desde este link.

Cuando tenemos bajo nuestro cargo un servidor de tipo nix que es usado por multiples usuarios, adquirimos tambien la responsabilidad de tener un seguimiento de cada cosa que sucede en el equipo. Desde los servicios que ejecuta el equipo hasta los procesos que crean los usuarios.

Tomando como ejemplo un equipo con un sistema operativo Linux, tenemos que cada comando que un usuario ejecuta es acumulado en un registro que funciona como un historial de los comandos, este archivo es guardado como un archivo oculto ( precedido por un “.” ) en el directorio personal del usuario.

Sin embargo, un usuario que esta haciendo cosas las cuales no le es permitido por terminos de uso en nuestro servidor y conciente de este registro de comandos, lo primero que hara despues de haber cometido tal violacion sera borrar el contenido del archivo o simplemente borrar “evidencia” de los hechos cometidos para que nosotros como administradores no nos demos cuenta de ello. Esto es en especial verdad cuando tenemos un atacante que ha adquirido acceso a alguna cuenta del sistema y utiliza herramientas para borrar evidencias.

De cualquier forma, es bueno conocer diferentes formas de tener una auditoria que realmente nos muestre lo que sucede, y esto se puede llevar acabo ademas de conociendo el funcionamiento de nuestro sistema, utilizando herramientas que nos den un poco de ayuda mas detallada.

En fin, el paquete que abordo aqui es acct, el cual contiene un conjunto de utilidades que nos ayudaran en nuestra tarea como administradores para determinar estadisticas de uso de cpu, tiempo de conexion, procesos iniciados por cada usuario, duracion e inicio de los procesos en el sistema en general, etc.

Entre las herramientas tenemos:

• ac:  Imprime estadisticas sobre el tiempo de conexion de los usuarios, imprimiendo totales por dia o por todas las entradas registradas.
• accton: Activa o desactiva el registro.
• last: Hace un listado de los logins en el sistema.
• lastcomm: Hace un listado de los comandos iniciados en el sistema, desde el mas reciente, mostrando el estado de cada uno.
• sa: Genera reportes sobre los comandos, dando el numero de invocaciones, tiempo de cpu usado, etc.

ac:

Ejecutando el comando sin parametros nos da el total de horas de sesion por todos los usuarios del sistema:

xLair# ac
total               49.25

Horas de Uso por Dia:

xLair# ac -d
Jan 14  total        6.34
Jan 15  total       18.24
Jan 19  total        7.13
Jan 20  total        3.14
Jan 21  total        2.24
Jan 22  total        3.28
Jan 25  total        5.63
Jan 26  total        2.55
Jan 27  total        0.73

Uso por usuario:

xLair# ac -p

analyzt           30.17
forensics        19.12
total               49.29

accton:

Esta utilidad se encarga de activar el proceso de accounting del sistema, al usarse sin parametros setea en off el registro y al darle como parametro un path de un archivo se usa como el registro de almacenamiento.

xLair# accton /var/account/accountingfile

En la 2nda parte abordare los comandos last, lastcomm y sa.

Antes, yo pensaba que todo lo que afectaba de manera adversa un equipo de computo era un “virus”:

“No puedo entrar a windows?” Es un virus.

“Ya no me puedo conectar a internet?” Es un virus.

“Mi mouse se esta moviendo en la pantalla y se esta conectando a una pagina en Rusia con una URL para descargar un exe que al momento de darle click se instala en la computadora y me aparece un icono de antivirus raro en el escritorio?” Es un virus…

Como verán, era ignorante de que existían diferentes tipos de Malware… Todos en algún momento pasamos por esto. La razón de tener diferentes conceptos de Malware se debe que se tiende a separar en categorias dependiendo el comportamiento que tengan.

En fin, el propósito de este post es poner una lista para nada exaustiva o definitiva de los diferentes tipos de Malware que existen:

Malware:

Malware es un software que tiene como objetivo infiltrarse en o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos desde un troyano hasta un spyware.

Virus:

Un virus es una pieza de código autoreplicable que se adjunta a otros programas y usualmente requiere de ayuda humana para propagarse.

Gusano:

Un gusano es una pieza de código autoreplicable que se propaga a traves de redes de computo y no requiere de interacción para esto.

Código Móvil Malicioso:

Código móvil malicioso son programas ligeros que son descargados desde sistemas remotos y ejecutados localmente con mínima o ninguna intervención del usuario.

Puerta Trasera (Backdoor):

Un Backdoor es un programa que le permite a los atacantes traspasar controles de seguridad normales en un sistema, ganando acceso en los términos propios del atacante.

Caballo de Troya (Trojan Horses):

Un Caballo de Troya es un programa que aparenta tener un propósito útil o benigno, pero en realidad enmascara una funcionalidad maliciosa.

RootKits:

RootKits son herramientas de tipo Caballos de Troya con Puerta Trasera (Trojan Horse Backdoors) que modifican software de un sistema operativo existente para que un atacante pueda ganar acceso a un sistema y esconderse para aparentar que nunca estuvo o sigue en el.

Para mayor información se recomienda leer el libro de Ed Skoudis, Malware: Fighting Malicious Code o si de plano no sabes como conseguirlo o no te interesa leer un libro para saber del tema, wikipedia no se raja =P.

Por cierto, cabe finalizar que lo que uno puede hacer para evitar ser infectado de este tipo de cosas es usar Antivirus, Firewall, Educación mínima al respecto (Sobre todo!) y siempre tener las actualizaciones automáticas no importa que.. esto no asegura que jamás serás infectado pero es el consejo más simple que uno puede llevar a cabo sin meterse a profundidad para un usuario doméstico.

HeX es una distribucion basada en FreeBSD orientada a los analistas cuyo trabajo consiste en investigar eventos e incidentes en las redes de computo.

Fue creada por entusiastas de Malasia basados en los fundamentos del enfoque de seguridad NSM o en su traducción Monitorización de Seguridad de Redes. Como en ya había mencionado en otros posts NSM aborda un enfoque de análisis forense en la red, llevando a cabo una investigación de los incidentes y eventos ocurridos en la red en lugar de una gestión de alertas sin más complejidad.

HeX viene equipado con una buena cantidad de herramientas para trabajar con las 4 fases de investigación del NSM: Contenido total, sesiones, estadísticas y alertas.

Entre las herramientas que van incluídas caben mencionar:

- Sguil
- Snort
- Wireshark
- Tshark
- Scapy
- Bro
- Nmap
- Argus
- p0f
- Daemonlogger

y docenas mas de otras herramientas de gran utilidad. Tambien incluye una gran cantidad de herramientas para Analisis de Host y otras mas de Pentesting como Metasploit, Nikto, etc.

Cabe recalcar, que una de las cosas mas interesantes de HeX, es la integración de una consola hecha en ruby para poder trabajar con muchas de las herramientas antes mencionadas en forma de plugins de una forma muy parecida a Metasploit. Y cuenta con la flexibilidad para crear nuestros propios plugins e integrarlos en la consola para ejecutar procedimientos secuenciales e incluso de forma paralela mientras trabajamos.

En fin, el sitio de los creadores de HeX se puede visitar en esta direccion raWPacket y la de HeX aqui.

Como se puede ver claramente, no tengo la paciencia para tener un blog de cosas personales y de mucho menos noticias… realmente no me llama la atención  escribir sobre cada cosa que ocurre cada día o mas bien me da flojera. No es como que solo tardo 5 minutos haciendo este post..

Sin embargo, comenzando un nuevo año, he decidido aprovechar realmente este espacio tanto como para mejorar mis habilidades de escritura y para hacer de este sitio un util de información que requiero tanto volver a analizar o recordar.

Definitivamente no creo que este sitio se vuelva un lugar de debates sobre tópicos de TI ni mucho menos que tenga un gran volumen de personas revisandolo, mas bien, tengo pensado que funcione como un cuaderno de notas con todos esos temas que mas de una vez he revisado en internet pero igual no me se queda pegado en mi cabeza o simplemente no ha sido algo que requiera en verdad en ese momento. Y si es algo que suele pasar demasiado.

Entonces manos a la obra, y para los que tengan un ojo por aca pues igual sea de provecho.

Mmmm… Noviembre 8, ya todo el mundo se habia enterado de que en PacSec iba a haber una conferencia donde Erik Tews y Martin Beck (miembros del staff de aircrack-ng) hablarian sobre la vulnerabilidad encontrada en WPA usando TKIP… lo que se estaba esperando es el documento donde detallaban como se trataba todo el asunto…. y pues ya esta listo para el publico..

http://dl.aircrack-ng.org/breakingwepandwpa.pdf

Ahora resulta que tambien dan un ataque mejorado para WEP..

Para un 50% de probabilidad de exito el ataque solo necesita 24,200 paquetes,comparado a los 32,700 del ataque VX y 35,000 a 40,000 para otras implementaciones del ataque PTW.

En el caso de WPA:
El documento muestra que aun usando un buen password en WPA, este no es 100% seguro y puede ser atacado en un escenario real.

Sweet…. =D

Modo Masoquista… dirian algunos…..

root@xLair:/certs# openssl genrsa -out server.key 1024
Generating RSA private key, 1024 bit long modulus
……..++++++
……………………….++++++
e is 65537 (0×10001)
root@xLair:/certs# openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:MX
State or Province Name (full name) [Some-State]:Sonora
Locality Name (eg, city) []:Hermosillo
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Kill Init Corp.
Organizational Unit Name (eg, section) []:Security Task Force
Common Name (eg, YOUR name) []:www.kill-init.com
Email Address []:larsx2@kill-init.com

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
root@xLair:/certs# openssl x509 -req -days 365 -signkey server.key -in server.csr -out server.crt
Signature ok
subject=/C=MX/ST=Sonora/L=Hermosillo/O=Kill Init Corp./OU=Security Task Force/CN=www.kill-init.com/emailAddress=larsx2@kill-init.com
Getting Private key
root@xLair:/certs# openssl x509 -text -in server.crt
Certificate:
Data:
Version: 1 (0×0)
Serial Number:
a7:bd:f1:34:a3:b6:27:d6
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=MX, ST=Sonora, L=Hermosillo, O=Kill Init Corp., OU=Security Task Force, CN=www.kill-init.com/emailAddress=larsx2@kill-init.com
Validity
Not Before: Oct 14 04:18:04 2008 GMT
Not After : Oct 14 04:18:04 2009 GMT
Subject: C=MX, ST=Sonora, L=Hermosillo, O=Kill Init Corp., OU=Security Task Force, CN=www.kill-init.com/emailAddress=larsx2@kill-init.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:dd:49:71:eb:a6:10:e0:72:e3:a9:fe:98:83:e8:
d9:aa:ff:d6:e7:bf:76:f3:10:0a:ba:76:b8:e7:4f:
0e:83:a3:4a:d8:fe:58:e4:a7:4c:e9:bc:0b:5c:16:
fd:fb:57:59:a1:66:82:73:db:a4:9d:c4:d6:d1:ae:
70:dd:be:91:2d:97:49:e1:af:94:ad:16:a5:38:3a:
67:05:5f:53:87:5a:b6:cd:14:35:1e:8e:fc:04:b5:
cc:c5:05:b5:d1:65:f1:c4:5f:f6:b6:70:6e:b7:71:
52:c1:eb:2a:fc:a0:90:84:54:07:04:ec:e0:b3:70:
30:d8:8c:52:57:80:23:6f:93
Exponent: 65537 (0×10001)
Signature Algorithm: sha1WithRSAEncryption
48:ef:e7:dd:05:8b:89:e4:2a:1c:a2:01:66:f3:6d:38:b0:ae:
6f:b9:8b:b1:14:8c:31:4f:e0:01:bc:5d:70:3b:4c:33:c2:71:
79:c1:05:69:76:42:d5:c5:a4:b7:85:6e:97:05:0d:fd:4a:a4:
73:39:69:0d:66:12:2d:4f:4b:37:a5:a4:67:bf:83:d5:81:d8:
5a:90:ea:62:39:b9:47:99:e8:50:f1:e6:64:d7:16:34:f2:0c:
b9:15:f5:45:e4:18:28:7a:92:c2:67:df:74:d7:e6:21:4f:b2:
52:c1:ab:ba:bd:f9:9c:e6:76:bc:0b:b8:93:ff:5c:52:70:3b:
52:7d
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
root@xLair:/certs#

Algo asi…..

Bueno tuve un rato sin poner nada.. realmente era porque estaba concentrado en suplir las necesidades de la escuela, el trabajo y mis estudios personales… entre ellos estaba hacer el examen de CompTIA Security+.
Esta certificacion sirve para representar que el individuo cuenta con 2 años de experiencia trabajando en el area de seguridad de informacion. Es una certificacion de introduccion al campo y establece buenos fundamentos de seguridad, a decir verdad, en base al temario del examen me permitio investigar cosas con las que normalmente no trabajaba o simplemente no entendia del todo. Uno de esos casos fue con las VPN, no sabia nada de nada y nunca habia trabajado con una. Casualmente poco antes de presentar el examen me toco trabajar con una VPN que usaba PPTP de una de las empresas asociadas a la que trabajo y tambien aprendi lo facil que era configurar uno con IPSec.

Otro aspecto el cual me sirvio mucho fue sobre Seguridad Organizacional. El punto que mas me llego fue el de Politicas de Seguridad, de ahi me fui al material que tiene SANS sobre la creacion de politicas, me lei todos los documentos que tenian y empece a implementarlas en donde trabajo.

Sinceramente me siento feliz de haberla pasado y en el primer intento, y pues me considero afortunado porque aunque el examen no es “tricky” realmente, la forma en que te presentan las preguntas te puede dejar con un gran WTF en la cara. Mucha gente se queja de que la forma en que esta construida la pregunta esta horrenda o que incluso no tiene el mas minimo sentido… y ps dire que es cierto en gran parte =D..

Algunas preguntas se repitieron y otras las tuve que leer varias veces para intuir que era lo que realmente me estaban pidiendo. De cualquier forma, Security+ contiene buen material de introduccion a la seguridad y para fortuna de los que las hagan despues CompTIA sacara una nueva version 2008 y con nuevos topicos agregados y actualizados a mediados de octubre. Cabe recalcar que no te tienes que dedicar especificamente en seguridad de informacion para hacer esta certificacion, de hecho, estaria mas que contento de que todos los tecnicos de donde trabajo la tuvieran y que decir de los administradores de red.

En fin, con un objetivo ya logrado no me queda mas que seguir con la siguiente, aun pensando si hacer SSCP de ISC2, aunque ya empece a estudiar para el OSCP de Offensive Security ( los creadores de BackTrack ) que a lo que he escuchado es mas divertido y completo que el CEH de EC-Council el cual realmente se me hace muy basico y no tan divertido (aunque me piden 2 añitos los cuales no tengo U_U). Para aquellos que les interese saber un poco mas sobre las diferentes certificaciones de seguridad de informacion que un personal de IT podria tomar les dejo las siguientes dos fuentes:
De Daniel Miessler InfoSec Certifications y SearchSecurity

Como muchos pero no todos sabran, Google acaba de lanzar su propio navegador web nombrado Chrome.
El hype comenzo antier y para ayer ya Google lo andaba ofreciendo al publico. Entonces comenzaron las masivas descargas y los numerosos posts en sitios de noticias hablando del suceso.

En lo que va a mi experiencia: funciona muuuuyy bieeeeen. Es muy notorio el aumento de velocidad en la ejecucion de JavaScript, y como no se notaria si decidieron crear su propia maquina virtual para el lenguaje el cual hace el trabajo de convertir el codigo JavaScript a lenguaje maquina y ejecutarlo en el equipo.

Otro gran avance es la arquitectura de cada “tab” en el navegador. Google penso que era buena idea isolar cada tab ( o cada pagina ) con su propio proceso en el sistema lo cual nos da el beneficio de que si uno de estos tabs se ciclea con algun codigo mal hecho en Js o se comporta de manera erronea, ese tab puede crashear y no afecta a los demas tabs ( sinceramente esto de que valia gorro un tab se cargaba todo el navegador en firefox y he de ahi la necesidad de que le hayan puesto el Restore Session despues de un crash ) .

Si quieren ver un analisis detallado y en spanish para la raza pueden visitar el sitio de eliax en este link.

Sitio de Google Chrome aqui.

Y en este link el comic donde te explican las caracteristicas del browser. Son algunas paginas pero bien vale la pena leerlo.