miércoles, 30 de septiembre de 2015

Bro: Una herramienta forense para archivos pcaps


Una de las partes fundamentales en el análisis dinámico de códigos maliciosos es la obtención de información a partir de una captura de tráfico. Para conseguir este objetivo además de las opciones para hacer gráficos, casi todos hacemos uso de los filtros en Wireshark para detectar actividad maliciosa, esta suele ser una de las alternativas más utilizada.



Pero esta no es la única herramienta que existe actualmente para realizar dicha tarea. Por suerte tenemos una gran variedad de opciones, por ejemplo, Malcom nos permite examinar estructuras de redes maliciosas facilitándonos el análisis de las relaciones entre las diversas direcciones IP, dominios y servidores DNS que toman parte en una comunicación C&C, permitiendo procesar rápidamente los datos recolectados y creando gráficos intuitivos que ponen en evidencia las conexiones entre equipos en red. 

Por otra parte también tenemos otra utilidad para analizar archivos pcap llamada CapTipper y desarrollada en Python. Posee una variedad de características que facilita la lectura de este tipo de archivos, permitiendo ahorrar tiempo y optimizando todo el trabajo de la auditoría.

Pero como habéis podido deducir por título del post la herramienta de la que os voy a hablar hoy se llama Bro, y es una utilidad que pertenece a la familia de herramientas de todas estas utilidades que comentábamos anteriormente.

Pensado como un sistema de detección de intrusiones (IDS) que corre en plataformas UNIX/Linux y cuyo principal objetivo es permitir el análisis del tráfico de red en busca de actividad sospechosa. 

Dado que es una herramienta bastante útil y que por su facilidad para hacer scripts resulta bastante flexible y adaptable, sobre todo para el análisis forense de una gran cantidad de datos. Vamos a exponer en este artículo algunas ideas que podrían resultar relevantes.


Por donde debemos empezar

Esta herramienta nos permite analizar la actividad de red a nivel de aplicación para ir comparando este comportamiento con patrones que pudieran ser considerados sospechosos ya sea por el tipo de paquetes que se intercambien o las características de su contenido.

Para iniciar nuestros análisis solo debemos ejecutar el comando para copiar el repositorio directamente desde GitHub. Con esto además de asegurarnos que tenemos la última versión se nos facilitará su actualización:

git clone --recursive git://git.bro.org/org


Una vez tengamos el repositorio en nuestra máquina, solo nos queda instalar algunas dependencias y ejecutar la instalación. Esta herramienta es conocida por sus funcionalidades de IDS, pero en este caso nos va interesar darle una mirada a las características para extraer información de las capturas de tráfico.

Una de las características que vale la pena resaltar es la capacidad para analizar grandes volúmenes de tráfico. El funcionamiento de la utilidad como ya hemos mencionado se hace a través de scripts, con los cuales se realiza la extracción de información que se esté buscando.

Como resultado de aplicar Bro sobre un archivo pcap resultan varios archivos con información más específica y organizada de acuerdo a las características de cada script. Utilizando la opción más básica de Bro podemos obtener una gran cantidad de información discriminada por protocolos:

bro –r [ruta_archivo_pcap]


Ahora tenemos varios archivos con la información organizada de diferentes manera. Por ejemplo en el archivo http.log podemos encontrar filtradas las peticiones HTTP de la captura de tráfico. Como se puede ver en la siguiente imagen, algo que nos puede llamar la atención durante un análisis es la descarga de un archivo ejecutable:


El string que está resaltado en amarillo, nos va a permitir hacer seguimiento de este evento en particular a través de los demás archivos generados por la herramienta. Por ejemplo si vamos al archivo conn.log y buscamos esta cadena de caracteres vamos a obtener más información sobre la conexión como el momento en que se llega el primer paquete, las ip y puertos utilizados, la duración de la conexión, el origen de la conexión, entre otra información que nos podría resultar interesante para el análisis:


Hasta este punto con el manejo de Bro podremos obtener información similar a la que podríamos encontrar en otras herramientas como Wireshark o CapTipper, solo que organizada de una manera diferente.

viernes, 25 de septiembre de 2015

Descubriendo la red con Nmap (2 de 2)

Ya vimos en el post anterior que era y para que nos podía servir Nmap, también pudimos ver algunos ejemplos de algunos tipos de escáners que podemos utilizar con esta herramienta para conocer un poco mejor las redes. Y esta segunda entrada la dedicaremos a ver algunas otras opciones un poco más avanzadas para que podáis seguir practicando.




Performing Fast scan (Realización de análisis rápido)

$ sudo nmap -F 192.168.1.1

Con la opción -F le indicamos a la herramienta que realice un análisis solo de los primeros 100 puertos más utilizados. Nmap por defecto escanéa los primeros 1000 puertos, con la opción -F reducimos esa cifra en 100, de esta forma aumentamos de manera significativa la duración del escáner, al mismo tiempo que comprobamos los puertos más utilizados.




Scan only specific ports (Sólo se analizan puertos específicos)

$ sudo nmap -p80 192.168.1.1

La opción -p nos servirá para cuando queramos escanear un puerto en concreto. Si quisiéramos escanear más de un puerto podemos hacerlo mediante la adición de una coma, y para utilizar un rango de direcciones lo podemos hacer separándolo por un guión (-).



Scan Ports by name (Escanear puertos por su nombre)

$ nmap -p smtp, ftp 192.168.1.1

También podemos utilizar la opción -p para escanear los puertos por su nombre, por ejemplo:



Scan all ports (Analizar todos los puertos)

$ nmap -p “*” 192.168.1.1

Otra cosa que podemos hacer con la opcion -p “*” es  escanear todos los puertos TCP 65535/puertos IP de la máquina de destino.



Operating system and service detection  (Detección de sistema operativo y servicios)

nmap -O 192.168.1.1

Para detectar el sistema operativo que está corriendo de detrás una dirección podemos utilizar el parámetro -O



Attempt to guess an unknown O.S  (Tratar de adivinar un O.S desconocido)

$ nmap -O – osscan-guess 192.168.1.1

Hay veces que Nmap no es capaz de detectar el sistema operativo, para estas ocasiones tenemos la opción -osscan-gues



Service version detection (Detección de versión de servicios)

$ nmap -sV 192.168.1.1

Por último el parámetro  -sV se utiliza para identificar la versión que están usando los servicios.



Y hasta aquí esta pequeña introducción a Nmap. Hasta ahora hemos visto la mayoría de las opciones básicas de esta herramienta, más adelante veremos otra serie de entregas donde utilizaremos Nmap de una manera más avanzada, combinando diferentes técnicas y parámetros para poder sacar el mayor partido de la herramienta. Nos vemos en el siguiente post !

lunes, 21 de septiembre de 2015

Descubriendo la red con Nmap (1 de 2)

Es una de las herramientas que todo pentester alberga en su arsenal,  y es utilizada día a día para realizar pruebas de penetración y tareas de seguridad informática en general. Por supuesto estamos ablando de Nmap (Mapeador de Redes), una herramienta de código abierto para la exploración de redes y auditorías de seguridad.




En resumen Nmap nos ayudará a descubrir tanto los equipos que se encuentran disponibles en una red, como los servicios que están corriendo en esos equipos, junto con la versión y el SO del equipo en el que están ejecutándose. Soy consciente de que muchos sabréis perfectamente que es Nmap y para que sirve, pero tenía ganas de hacer un post con esta herramienta, ya que nunca hemos hablado de ella en este blog y me parece que es una herramienta que todo el que esté interesado en la seguridad informática debería conocer.

La herramienta en cuestión podemos descargarla desde su pagina web o también podemos descargarla directamente desde los repositorios oficiales si estamos utilizando linux.

Nmap esta provista de una interfaz gráfica (Zenmap), disponible tanto para linux como para Windows, y por supuesto también la podemos utilizar desde la linea de comandos.


Escaner básico

Para empezar simplemente nos vamos a la terminal y ejecutamos "sudo su" (sin comillas) para dar permisos como superusuario, introducimos la contraseña de administración y seguidamente tecleamos el siguiente comando:

sudo nmap 192.168.1.1




Como podemos ver en la imagen la herramienta hace un escáner de los primeros 1000 puertos que son utilizados por defecto, y nos entrega los servicios que se están utilizando en cada equipo y los puertos a los que pertenecen.

También puedes escanear varias direcciones IP al mismo tiempo, solo tienes que separarlas por un espacio de esta forma (como se puede apreciar en el ejemplo hay 3 direcciones diferentes):

sudo nmap 192.168.1.1 192.168.1.100 192.168.1.101






No ping (-PN)

Con esta opción basicamente la herramienta no hace ping al destino/s.

sudo nmap -PN 192.168.1.1






Sólo escaneo Ping (-sP)

Este comando se utiliza para realizar una exploración simple de ping del host. Esta exploración nos resulta útil cuando se desea hacer una búsqueda rápida en la red de destino para ver que hosts están en linea, sin pararse a escanear puertos ni servicios.

sudo nmap -sP 192.168.1.1






Escaneo ping ARP (-PR)

Con la opción -PR le indicamos a Nmap que realiza una exploración ARP (Address Resolution Protocol) de ping sobre la IP de destino. Lo que hacemos con esta opción es que ignore el escaneo de una red local. Este tipo de escaneo suele ser mucho más rápido en comparación con otros métodos de ping y tiene la ventaja añadida de ser mucho más apropiado, ya que el LAN host no puede bloquear la petición ARP que le enviamos. (Esta exploración no nos funcionará si nuestros objetivos no están en el rango de subred)

sudo nmap -PR 192.168.1.1





Estos son sólo algunos ejemplos para utilizar la herramienta de manera básica, en el siguiente post veremos algunas formas más de utilizar Nmap. Os mostraré algunas opciones para el escaneo de puertos y para detectar el sistema operativo junto con los servicios y sus versiones. 


viernes, 18 de septiembre de 2015

Qark: herramienta para la detección de vulnerabilidades

Qark es una utilidad que nos ayudará con la identificación de vulnerabilidades en aplicaciones para Android y que podemos descargar gratis desde el sitio de la aplicación en Github.    



El nombre de la aplicación proviene de "Quick Android Review Kit", la herramienta funciona escaneando de manera estática el código de aplicaciones basadas en Java para poder llegar a identificar posibles fallos que puedan dar pie a una futura explotación o a la fuga de información, intentando fusionar comportamientos de Drozer y Metasploit. El único problema es que actualmente solo la podemos utilizar en Linux y OS X.


Funcionalidades

Nos ofrece un entorno de trabajo para auditores e investigadores donde podrán buscar vulnerabilidades en sus aplicaciones, como puede ser contenido inseguro dentro de componentes del tipo WebView, la incorrecta validación de certificados susceptibilidad al tapjacking, el manejo inseguro de URL, una mala gestión de intentos de claves criptográficas o del almacenamiento en bases de datos que posibilite inyecciones SQL.

Otra de las grandes virtudes que podemos destacar de esta  herramienta es que nos permite la creación de reportes con los fallos encontrados, detallando el impacto de la vulnerabilidad, su explicación y sus formas de explotación.


Como funciona

Para empezar a utilizar Qark podemos hacerlo a través del parámetro -s (Source), el usuario podrá elegir si el análisis de vulnerabilidades se dará sobre un APK (asignando el valor 1) o una carpeta de código fuente (asignando el valor 2).

Si nos decantamos por la primera opción además tendremos que declarar la ruta al APK, con el parámetro -p. Si por el contrario escogemos la segunda opción deberemos indicar la ruta del archivo manifiesto (-m) y la ruta a la carpeta raíz del código (-c).

También podemos utilizar algunos parámetros opcionales como son -e para la generación de APK exploit, -i  para instalar el exploit previamente producido a través de ABD, -d para especificar los mensajes de depuración que se pretenden recibir (10=Debug, 20=INFO, 30=Warning, 40=Error), y por último -r para indicar la ruta donde queremos que se guarden los reportes generados.

En la siguiente imagen podéis ver el resultado del análisis tras la ejecución de la herramienta, donde vemos que nos ofrece una breve explicación de cada posible debilidad, lo que la hace realmente útil para desarrolladores que se inician en la seguridad.




Por otra parte el informe se genera en formato HTML, lo que nos permite una rápida exploración de los resultados según la categoría de análisis a la que pertenece.







Concluciones


Qark nos permite realizar un rápido análisis de vulnerabilidades, permitiendo didentificar los fallos mas comunes en aplicaciones para Android, desde una perspectiva de una auditoria de seguridad. ¡Ojo! esto no deja de invalidar la necesidad de un análisis manual del código que nos pueda revelar otros tipos de fallos más específicos.

Estamos frente a una herramienta extremadamente fácil de utilizar, lo que la hace especialmente útil para desarrolladores que estén interesados en comprender cuales son los puntos débiles que tienen sus propias creaciones con el único objetivo de producir sistemas más robustos.

martes, 15 de septiembre de 2015

Cinco prácticas de seguridad que recomiendan los expertos

Todos los expertos en cyberseguridad a pesar de su trabajo, ante todo son usuarios de la red, navegan, interactúan y consumen contenido como todos. Pero, ¿qué prácticas utilizan comúnmente estos expertos para protegerse de todos los peligros que acechan en la internet? ¿Están este tipo de prácticas al alcance de cualquier mortal?




Pues la respuesta a la segunda pregunta es sí, muchas de estas prácticas no se basan más que en el propio sentido común de la persona que controla la máquina.

La información que os mostramos a continuación está basada en un estudio realizado por Google en el cuál se entrevistaron a más de 200 expertos en cyberseguridad y a otros 300 usuarios comunes, para buscar las diferencias en las prácticas de cada grupo. Destacando que la mayoría de los expertos si actúan de acuerdo a lo que predican, a diferencia de los usuarios corrientes, que siguen cayendo en errores tan básicos que hacen que el cyberfraude cobre sentido.

Aquí os mostramos un pequeño resumen de dicho estudio , en el que os mostramos cinco prácticas fundamentales, que todos los usuarios deben tener en cuenta al navegar por la red.


1. Utilizar un Antivirus

Contar con una solución Antivirus es fundamental. Esta recomendación es tan básica que ni siquiera debería ser necesario escribirla en este artículo. Pero por el contrario la realidad es que hay muchos usuarios que piensan que el antivirus es un mero elemento decorativo y no es así. Contar con una solución de seguridad actualizada, nos puede ayudar contra amenazas ya conocidas, además este tipo de soluciones van mejorando con el tiempo, proviniendo a sus usuarios de nuevas herramientas actualizas para protegerlos de los nuevos tipos de amenazas que que van apareciendo.


2. Mantener las actualizaciones al día

Sin ninguna duda es la recomendación más importante para mantenerse protegido. Mantener el sistema operativo y todas las aplicaciones que utilizamos siempre actualizadas, sobre todo las aplicaciones que hagan uso de internet. No servirá de nada utilizar el sistema más seguro, si luego no nos preocupamos de mantenerlo siempre actualizado con todas las mejoras que se van incluyendo.


3. Usar contraseñas diferentes para cada sitio.

El hecho de rutilizar las contraseñas para diferentes servicios en linea, hace que si un atacante nos roba la contraseña de un sitio, pueda acceder con esa misma contraseña a otras cuentas que nos pertenezcan. Lo más inteligente es utilizar siempre contraseñas diferentes, al igual que no usas la misma llave para todas las puertas. Si no tenemos muy buena memoria y creemos que se nos van a olvidar tantas contraseñas, podemos hacer uso de un gestor de contraseñas que nos ayude a tener todas las contraseñas almacenadas en un sitio seguro. Si lo utilizamos de la manera correcta un gestor de contraseñas nos puede ser de gran ayuda.


4. Hacer uso de la doble autenticación 

Muchos servicios como Google o Facebook, permiten a sus usuarios que hagan uso de una verificación en dos pasos. Esta doble verificación puede ser de varias formas: una vez introducidas las credenciales, el usuario podrá recibir un código en su correo o en su móvil como un mensaje de texto,  mediante una aplicación o mediante la comprobación con dispositivos físicos. Un mundo infinito de posibilidades a explorar, por lo que utilizar este tipo de verificación es más que recomendable. Por otra parte esto, evitará que si alguien roba nuestras credenciales, aunque tenga nuestro usuario y contraseña no pueda llegar a acceder a la cuenta ya que necesitaría también cumplir con esa doble autenticación.


5. Navegar siempre por sitios seguros

Descubrir nuevos contenidos en lo inconmensurable de Internet es una gozada, pero hay que hacerlo con un poco de cabeza. Visitar webs desconocidas puede esconder cierto riesgo, por lo que no es mala idea confiar en las referencias que ya se hayan ganado tu confianza, valga la redundancia. 

Consejo: hay extensiones para el navegador que te pueden servir, como WOT, que te dará aviso de la reputación del sitio que estás visitando; o HTTPS Everywhere, que forzará el uso de conexiones seguras siempre que se pueda.

Sin duda recomendaciones muy simples que todos pueden seguir para estar más seguros en el cyberespacio, si tu tienes alguna otra recomendación que crees que debemos conocer, no dudes en dejarla en los comentarios para que otros puedan beneficiarse de ella.





miércoles, 9 de septiembre de 2015

Consejos para mantener la seguridad de nuestra conexión wifi

Siempre hablamos de como podemos proteger todos nuestros equipos, y de las medidas que debemos tomar para evitar ser víctimas de un ataque informático. Con el auge de las redes wifi en los últimos años también hemos tenido un crecimiento exponencial de redes vulnerables a todo tipo de ataques, dejando una puerta de entrada para futuros intrusos. 

En posts anteriores hemos visto como podemos atacar redes wifi con diferentes tipo de cifrado, y de lo fácil que le puede resultar a cualquier persona apoderarse de nuestra conexión,. Y por todo ello, hoy veremos como podemos protegernos, creando una  configuración lo más robusta posible para nuestra router.



Fortificar nuestra configuración de red

Cambia la contraseña por defecto de la red: todos los fabricantes utilizan algoritmos para establecer claves por defecto en sus routers. Hoy en día existen miles de apps que cualquiera puede utilizar, y que se basan en el descubrimiento de dicho algoritmo, por lo que cambiar la contraseña que nuestro dispositivo trae por defecto es primordial.


Cambia el SSID: el SSID es el nombre que utilizamos para identificar nuestra red, al igual que la contraseña, el SSID es necesario para poder crackear redes con cifrado WPA/WPA2-PSK que se realizan mediante ataques de diccionario, por lo que es recomendable cambiarlo por uno que nadie haya podido pre-calcular anteriormente.

Elige un cifrado robusto con WPA/WPA2-PSK: es la mejor elección que podemos elegir en la actualidad, pero como todo en la informática no es 100% seguro, y ni mucho menos infalible contra algunos tipos de ataques específicos.

Filtra las conexiones mediante direcciones mac: otra recomendación que podemos tomar, para complicar las cosas un poco más a los atacantes, sería crear un filtro por la dirección mac de cada equipo que queremos que se conecte a la red, desde el panel de administración de nuestra conexión. Esto lo que hará será impedir el acceso de la red, a todos los dispositivos cuya dirección mac no se encuentre en el filtro que hemos creado anteriormente.

Cambia periódicamente la contraseña y el SSID: incluso aunque cumplamos con todos los consejos anteriores nuestra red puede acabar siendo comprometida, por lo que cambiar la clave del wifi y el SSID periódicamente, es una de las mejores medidas que se pueden tomar actualmente para proteger nuestra privacidad.

Desactiva la función de WPS(WiFi Protected Setup): Esta es una opción que le permite a un equipo que se conecte a una red Wifi utilizando un código temporal que simplifica el proceso de "enrollment" de un nuevo equipo. Pero el problema recide en que la mayoría de routers no están preparados para detectar ataques de fuerza bruta por lo que desactivar esta opción es lo más recomendable.

Apagar la Wifi cuando no la estamos utilizando: cuanto más tiempo tenga un atacante para acceder o para moverse por nuestra red, más problemas nos puede llegar a causar. Por lo si apagamos nuestra conexión Wifi cuando no la utilizamos minimizamos las posibilidades de sufrir un ataque.

Cambia la contraseña de administración del router: cambiar el pass por defecto del administrador de nuestro router, nos puede ser de gran ayuda. Si le damos el acceso a un atacante a nuestro router directamente le estamos regalando el poder de que se convierta en el administrador de nuestra propia red con todos los riesgos que ello conlleva, le estamos dando carta blanca a un intruso, para que acceda a todos nuestros dispositivos y los utilice como crea conveniente. Por lo que es muy recomendable cambiar la contraseña de administración que trae por defecto.

Actualiza el fimware del router: como repetimos en muchas ocasiones, mantener el software de nuestros dispositivos actualizado es primordial, y nuestro router no es menos. Si mantenemos nuestro router actualizado con la ultima versión que nos ofrece el fabricante, se convertirá en otro problema que el posible atacante debería sortear.

Estos son solo algunos de los muchos consejos que podemos encontrar en la red y que nos pueden ayudar día a día a protegernos, y a mantener nuestro nivel de privacidad lo más alto posible. Como ya hemos dicho estas son sola algunas recomendaciones, pero si tu tienes otro consejo que no haya mencionado, no dudes en dejarlo en los comentarios,  seguro que le puede ayudar a muchas personas.


lunes, 7 de septiembre de 2015

Aumenta tu privacidad cifrando los emails

Cada día que pasa dependemos más de los dispositivos electrónicos para poder comunicarnos entre nosotros, es por ello que no solo se hace necesario el mantener algunas pautas de seguridad, si no que también debemos ir renovando estas pautas e ir buscando nuevos métodos que nos permitan mantener la privacidad en nuestras comunicaciones. 



Hay muchos tipos de software con el que podemos realizar estas comunicaciones, pero si existe alguno que todos hayamos utilizado alguna vez, claramente hablamos del correo electrónico.

Por ello hoy veremos como podemos cifrar la emails y protejerlos con PGP para tener un grado más de seguridad y con ello un nivel más alto de privacidad.

Para conocer mejor que es PGP podéis entrar en este post en Underc0de de Cl0udswX.

Antes de empezar debemos instalar los siguientes paquetes: thunderbird o icedove y enigmail.


Configurando Icedove

Una vez ejecutemos por primera vez Icedove, podremos añadir una cuenta ya existente o crear una nueva, también podemos seguir adelante y hacerlo luego. En este caso utilizaremos una dirección existente. Colocamos los datos y pulsamos en "Finalizado".



Ya en este punto podemos utilizar Icedove para mandar y leer emails comunes desde nuestra cuenta.


Configurando Enigmail

Abrimos la herramienta y nos mostrará el menú de configuración y seleccionamos la opción "Sí, deseo que el asistente meayude".


Luego elegimos el modo en el que queremos que se cifren los mensajes, podemos elegir entre automático, siempre por defecto o nunca por defecto, aquí ya cada uno selecciona la que prefiera.


Definimos si queremos que los emails se firmen por defecto o no.


Y en el siguiente paso ya nos dará la opción de poder crear las claves para PGP o utilizar unas existentes en el caso de que tenerlas.


Una vez configurado se nos mostrarán todas las acciones que se realizaran en base a nuestras preferencias. Pulsamos en siguiente.


En la generación de la clave nos pedirá una contraseña y luego nos avisará de que el proceso tardará unos minutos,  y que para acelerarlo se nos recomienda que naveguemos por internet o hagamos uso intensivo del disco .


Al finalizar el proceso de generación de la clave se nos da la posibilidad de crear un certificado de renovación. Este certificado puede usarse para invalidar nuestra clave.



Con esto ya habremos terminado de configurar Enigmail.


Como mandar emails cifrados cifrados y firmados

Lo único que debemos hacer es crear nuestro email como lo haríamos normalmente y una vez creado podemos elegir entre firmar o cifrar desde el menú de enigmail.


Aquí ya tenemos un email cifrado y para descifrarlo pues debemos utilizar la clave privada que elegimos en la creación de la clave pública.



jueves, 3 de septiembre de 2015

REMnux V6. Una suite para el análisis de malware

Como todos sabemos siempre es importante mantenerse actualizado con todas las nuevas herramientas que van surgiendo con el tiempo. Por ello, el día de hoy veremos la nueva versión de la suite REMnux, que nos será de gran ayuda en esta lucha diaria contra el malware, que a priori, parace interminable. 


REMnux es una distribución de linux con un objetivo muy concreto, su propósito es ofrecer una suite de aplicaciones para ayudar a los analistas en el estudio de códigos maliciosos. Incluye herramientas para el examen de documentos sospechosos, como archivos con extensión PDF, o documentos de Microsoft Office. Se recomienda para el análisis estático de ejecutables maliciosos y páginas web.

Está basado en Ubuntu 14.04 LTS, por lo que se destaca por su facilidad a la hora de su instalación y manejo. Por este motivo y por la gran cantidad de herramientas que nos ofrece, es ampliamente utilizado por toda la comunidad, desde analistas independientes y principiantes, hasta profesionales como muchas horas de trabajo a la espalda.

Instalación

Vamos a ver lo fácil que resulta instalar este sistema, en primer lugar debemos descargarlo, para ello podemos hacerlo directamente desde sus repositorios oficiales.

Una vez descargado tendremos un archivo con extensión OVA(Open Virtualization Format), con un tamaño de 1,98Gb. Para comenzar con la instalación utilizaremos algún software de virtualización como VirtualBox o VM Ware, tal como se puede ver en la siguiente captura:



En el momento de arrancar la máquina virtual podrás ver que está configurada en Inglés, pero si quieres cambiar el idioma puedes actualizarlo ingresando en la opción "preferences/keyboard Input methods" y desde aquí puedes agregar el idioma que desees.




De esta manera ya tendrás instalada la máquina virtual, un poco más adelante veremos como podemos actualizarla cada vez que haya una nueva distribución disponible que corrija fallos y mejore su funcionamiento.

En cambio si tienes instalada la versión de Ubuntu 14.04 con arquitectura de 64 bits, puedes utilizarla descargando directamente la herramienta de REMnux , para descargarla solo tenemos que introducir el siguiente comando en una terminal:

usuario:~$ wget –quiet -O – https://remnux.org/get-remnux.sh | sudo bash

El script tardará un rato en descargarse e instalar las aplicaciones, pero si tenemos un ancho de banda adecuado serán unos 45 minutos aproximadamente.


Conectándose a internet desde REMnux

Como la configuración que trae por defecto es a través de NAT, la máquina anfitriona compartirá inmediatamente la conexión con el entorno virtualizado. Sin embargo en algunos casos nos convendrá utilizar otro tipo de topologías y poner  un sistema de análisis como "host-only", así el tráfico no tendrá salida hacia fuera y solo nos podremos comunicar en redes internas.

De esta manera nos podremos colocar en medio de algunas comunicaciones, como por ejemplo entre el panel de control de un código malicioso y la máquina infectada, lo que nos será muy útil para poder interpretar comandos enviados por el atacante al equipo víctima.


Actualizando los últimos detalles

Para actualizar el sistema solo tienes que ejecutar el siguiente comando en la terminal:

remnux@remnux:~$ update-remnux

El proceso tardará unos minutos y como puedes ver en la siguiente imagen, te indicará el estado de la actualización:



De esta manera, habrás actualizado el sistema, corrigiendo algunos fallos, agregando nuevas funcionalidad y mejorando su rendimiento.

Al finalizar la actualización del sistema se te mostrará el siguiente mensaje:





Mejoras de la versión 6


  • pedump, readpe.py: se utiliza para realizar un análisis estático de archivos ejecutables en plataformas de Microsoft Windows
  • VirusTotal: interactúa con la base de datos VirusTotal desde la línea de comandos
  • Nginx: servidor web que sustituye a Tiny, presente en la versión anterior
  • VolDiff: compara imágenes forenses de memoria
  • Rekall: herramienta forense para el análisis de memorias
  • Reglas Yara: firmas para detectar características maliciosas en archivos
  • Plugins OfficeDissector MASTÍN: para examinar los archivos basados en XML de Microsoft Office.
  • Docker: ejecuta aplicaciones de manera aislada en el host local
  • AndroGuard: analiza aplicaciones Android sospechosas
  • vtTool: determina el nombre de la familia de malware de la muestra mediante una consulta a VirusTotal
  • oletools , libolecf: analiza los archivos de Microsoft Office OLE2
  • flujo TCP: examina el tráfico de red y archivos de captura PCAP
  • py: realiza búsquedas de DNS pasivos utilizando la biblioteca PDNS
  • CapTipper: examina el tráfico de red y archivos de captura PCAP
  • oledump: examina los archivos de Microsoft Office sospechosos
  • CFR: descompila archivos de Java sospechosos
  • Decompyle ++: decompila Python

REMnux v6 también incluye las siguientes bibliotecas, con el fin de que los desarolladores de software puedan usarla para la construcción de nuevas herramientas de análisis de malware.

  • Escritor COI: biblioteca de Python para la creación y edición de objetos OpenIOC
  • Cybox: biblioteca de Python para analizar, manipular y generar contenido CybOX
  • diStorm3, Capstone: bibliotecas de Python para desmontar archivos binarios
  • Yara Biblioteca: Biblioteca de Python para identificar y clasificar muestras de malware
  • olefile: biblioteca de Python para leer/escribir archivos de Microsoft Office OLE2
  • PyV8: biblioteca de Python para motor de JavaScript
  • OfficeDissector: biblioteca de Python de archivos de Microsoft Office sospechosos, basados en XML
  • PDNS: biblioteca de Python para realizar búsquedas DNS pasivos
  • Javassist: biblioteca de Java que ayuda con el examen de código de bytes de Java
Una de las cosas que podrás ver al iniciar el equipo es su Cheat Sheet, en el cuál podrás ver una lista de trucos de la mayoría de las aplicaciones y de como utilizarlas.

martes, 1 de septiembre de 2015

Varios libros de no-ficción, que no te puedes perder

En primer lugar deciros que está es una recopilación personal de varios libros que a mi parecer son de lo más interesante que te puedes encontrar sobre este tipo de temática, cada uno de ellos te aportará una visión amplia y extendida junto con una serie de conocimientos sobre la materia. Al final os dejaré un link donde podéis descargar todos los libros. 


Kevin Mitnick - El arte de la intrusión


“Entra en el mundo hostil de los delitos informáticos desde la comodidad de tu propio sofá. Mitnick presenta diez capítulos obligatorios, todos ellos resultado de una entrevista con un hacker de verdad. Un libro de lectura obligada para todo el que este interesado en la seguridad de la información.” -Tom Parker, analista de seguridad informática y fundador de Global InterSec, LLC. “Uno se queda atónito ante la tremenda brillantez que se halla en estas hazañas ilegales. Imaginen cuánto se podría conseguir si estos genios utilizaran sus capacidades para el bien.


Cypherpunks: La libertad y el futuro de internet


Lejos de ser una herramienta que permita la libertad de expresión, internet se ha convertido,en opinión de Julian Assange, en «una amenaza para la civilización humana», debido a que los Estados se han convertido en el mayor aparato de espionaje y vigilancia de los ciudadanos que haya existido jamás.A su juicio, si en internet se pudiera compartir y transmitir libremente la información, la red podría constituir el mejor impulso para el progreso. No obstante, ocurre justo lo contrario:los poderes fácticos, que quieren que nada cambie, obstaculizan la difusión por este medio y procuran que nada de lo que se transmita quede fuera de su alcance y de su control. Con ello, consiguen eliminar cualquier amenaza al statu quo.

Para Assange y sus colaboradores, sólo existe una herramienta para salvaguardar la libertad en internet: el conocimiento detallado de cómo está organizado el sistema de control estatal y el desarrollo de la criptografía para hacerle frente.En este libro, se describen las amenazas a las que la sociedad está expuesta debido al control que los gobiernos hacen de internet, denuncian las acotaciones más flagrantes de injerencia y censura, y proponen los mecanismos para que, gracias a la red, nuestro mundo sea mejor o, al menos, más justo.



Hackstory.es: La historia nunca contada del underground hacker en la Península Ibérica


Historia de la comunidad hacker en España, centrada en la década de los 90, cuando aparecen los primeros grupos y nace la cultura hacker. El libro narra el quién fue quién, así como sus hazañas, anécdotas y colectivos e individuales más punteros. Este ingente trabajo de investigación nació en 2009, con la puesta en marcha de un wiki, al estilo wikipedia, llamado Hackstory.net y donde en estos años la autora ha ido creando fichas, accesibles al público, que le han permitido escribir este libro, sin parangón en Europa. 

La comunidad hacker ha revisado los textos así como apoyado a la autora, tanto a la hora de aportar información, como en una campaña de “crowdfunding” con la que se consiguió una respetable cantidad para tener el tiempo suficiente de escribir el libro. Además de ser sus principales mecenas, protagonistas y aportadores de información, los hackers españoles han participado en todos los aspectos organizativos relacionados con la producción y distribución del libro, a través de un grupo en Facebook creado ex professo.



Steve Jobs, por Walter Isaacson


¿Cómo podría escribir una lista de libros no-ficción para geeks sin incluir Steve Jobs? Esta increiblemente oportuna biografía es una profunda (y en 656 páginas, bastante larga) retrospectiva en la vida de la persona que era reconocida como uno de los más inteligentes e implacables líderes en la industria al mismo tiempo que se retiraba de su posición como CEO de Apple.

Apple no fue su único trabajo, no obstante, por el cual este libro es una lectura obligada. Jobs además contribuyó decisivamente para que la compañía Pixar sea conocida hoy en día, y se involucró en muchos otros proyectos, como the NeXT Computer. Los éxitos y fallos de Job en la tecnología son informativos, pero es la historia de su vida y la excelente escritura de Walter Isaacson lo que te mantendrá leyendo hasta la página final.


Link para descargar los libros:  Click aquí!

Cómo abrir coches y puertas de garaje con este pequeño dispositivo

Solamente se necesitan dos radios, un microcontrolador y una batería, que en total no llegan a costar 
ni siquiera 30 euros. Con ellos podemos fabricar este dispositivo al que han llamado RollJam.
Solo tenemos que pulsar un botón para llegar a desbloquear la puerta de un coche.   




Este ataque se aprovecha de una tecnología inalámbrica de desbloqueo vulnerable que es usada por
la mayoría de los fabricantes.

Todos estos sistemas de desbloqueo Wireless, son sistemas sin llaves que le permiten al propietario
desbloquear el coche mediante este dispositivo con un rango de 20 metros.

Cómo funciona RollJan

El dispositivo es capaz de robar los códigos secretos (Rolling code) que se generan cada vez que se presiona el botón de desbloqueo del mando a distancia, y expira una vez que se usa”, asegura Samy Kamkar, el investigador detrás de este peculiar invento.

El código es básicamente un código aleatorio que se envía a través de radio frecuencia al coche. El bloqueo tiene un generador de código sincronizado que lo reconoce y después lo destruye para que no pueda volver a ser usado. La llave y el coche entonces generan un nuevo código para la siguiente vez, y el proceso se repite.

Sin embargo, cuando alguien acciona el botón de la llave para desbloquear el coche, el dispositivo RollJam usa su frecuencia de radio de forma que bloquea la señal y la almacena, forzando al propietario del coche a presionar el botón de nuevo.

Cuando se presiona el botón por segunda vez, el dispositivo fuerza de nuevo la señal y almacena un segundo código, pero también tiene la oportunidad de lanzar  en la misma señal el primer código interceptado, con lo que se desbloquea el coche.

Así que, cuando la víctima aparca su coche, se puede usar esa señal robada para desbloquear el automóvil, porque se han forzado dos señales, y el dispositivo todavía tiene una que se puede usar en el futuro.

Este proceso ha sido testado en diversas marcas de coches, y en todas han encontrado la vulnerabilidad y han podido usar el dispositivo. Entre ellos, Chrysler, Fiat, Honda, Toyota, Daewoo, GM, Volvo Volkswagen o Jaguar.

Además, este dispositivo funciona también con puertas de garaje, que actúan de la misma manera.

Pare evitar esto, según advierte el investigador, los códigos continuos en los coches deberían estar asociados a un periodo de tiempo. Otra forma de mitigar los ataques es usar un chip único para cada coche.  El investigador ha presentado su diseño en la conferencia de hacking DefCon en Las Vegas.