Archive for Seguridad Informática

octubre 25th 2016

Más y mejor seguridad para poder vivir en un mundo del internet de las cosas

Número de lecturas: 625
{lang: 'es-419'}

La final del Cyber Grand Challenge, una competencia de tecnología

La visión del llamado internet de las cosas —darle a todo tipo de cosas físicas una transformación digital— ha estado adelantada a la realidad por años, pero esa brecha se está cerrando rápidamente.

Hoy en día, el rango de cosas que se computarizan y se conectan a redes es sorprendente, y va desde relojes, dispositivos y ropa, hasta automóviles, motores de reacción y equipamiento de fábrica. Incluso las carreteras y campos agrícolas se están actualizando con sensores digitales. En los últimos dos años, el número de dispositivos del ‘internet de las cosas’ en el mundo ha aumentado cerca del 70 por ciento hasta alcanzar la cifra de 6,4 mil millones, según Gartner, una firma de investigación. Para 2020, la firma predice que la población del internet de las cosas alcanzará los 20,8 mil millones.

El pronóstico optimista es que el internet de las cosas será una tecnología que ayudará a que la gente y los sistemas físicos del mundo —la atención médica, la producción de alimentos, el transporte, el consumo de energía— sean más inteligentes y eficientes.

¿Cuál es el pronóstico pesimista? Los hackers tendrán más que hackear. Además, los consumidores acostumbrados a añadir herramientas de seguridad a susCOMPUTADORAS y celulares podrían tener que adoptar precauciones similares con electrodomésticos conectados a internet.

“Si cada vez queremos poner tecnologías de red a más cosas, también debemos encontrar una manera de hacerlas más seguras”, dijo Michael Walker, un gestor de programas y experto en seguridad computacional de la sección de investigación avanzada del Pentágono. “Es un desafío para la civilización”.

Para ayudar a abordar ese desafío, Walker y la Agencia de Proyectos de Investigación de Defensa Avanzada (DARPA, por su sigla en inglés) crearon un concurso con millones de dólares como premio, llamado Cyber Grand Challenge. Para ganar, los concursantes debían crear sistemas automatizados de defensa digital que pudieran identificar y solucionar vulnerabilidades de software por sí mismos… básicamente, robots centinelas para la seguridad digital.

Un recordatorio de la necesidad de seguridad aumentada llegó hace unas semanas, después de la competencia patrocinada por DARPA, que se llevó a cabo en agosto. Investigadores de Level 3 Communications, una empresa de telecomunicaciones, dijeron que habían detectado varias cepas de programas malignos que lanzaban ataques en sitios web desde dispositivos afectados.

Los investigadores de Level 3, que trabajan con Flashpoint, una firma de gestión de riesgos en internet, halló que hasta un millón de dispositivos —principalmente cámaras de seguridad y videograbadoras— habían sido utilizadas por los así llamados ataques botnet. Dijeron que se trataba de “un cambio drástico” hacia utilizar dispositivos del internet de las cosas como huéspedes de ataques en vez de huéspedes tradicionales, como centros computacionales de información pirateados y enrutadores deCOMPUTADORAS en hogares.

La semana pasada, investigadores de Akamai Technologies, una empresa de entrega de contenido web, reportó otra violación de seguridad. Detectaron hackers que estaban al mando de hasta dos millones de dispositivos, incluyendo puntos wifi y antenas de satélite con el fin de probar si los nombres de usuario y contraseñas robados podían utilizarse para obtener acceso a sitios web.

El Cyber Grand Challenge se anunció en 2013, y las rondas clasificatorias comenzaron en 2014. Al principio, más de 100 equipos competían. A través de una serie de rondas eliminatorias, los competidores fueron ubicados en siete equipos que participaron en las finales en agosto en Las Vegas. Los tres equipos ganadores reunieron un total de 3,75 millones de dólares del premio.

Con el concurso de seguridad computacional, DARPA aprovechó una táctica que funcionó en el pasado. La agencia organizó un concurso similar que sirvió para arrancar el desarrollo de vehículos autónomos en 2005. Al vehículo autónomo del equipo ganador le tomó casi siete horas completar el trayecto de 212 kilómetros, a una pésima velocidad de menos de 32 kilómetros por hora.

Aun así, el concurso de 2005 demostró que era posible crear vehículos autónomos; eliminó dudas arraigadas y estimuló tanto la inversión como la investigación que llevó a la comercialización de la tecnología de los vehículos autónomos.

“Estamos en ese mismo momento con la ciberdefensa autónoma”, dijo Walker. El concurso, de acuerdo con los líderes de los tres equipos ganadores, fue un logro técnico, pero también arrojó luz sobre cómo la automatización de las máquinas y la pericia humana podrían combinarse de manera más eficiente en la seguridad computacional.

Para la prueba de DARPA, el código de ataque era nuevo, creado para el evento. En el concurso los equipos participaron como ofensa y defensa. No hubo interferencia humana durante la competencia. El software actuaba por sí mismo para encontrar y aprovechar fallas en el software de los oponentes,BUSCAR redes para detectar ataques entrantes y escribir códigos para reforzar su defensa.

Los ganadores lograron integrar distintas técnicas de software, de maneras novedosas, en “sistemas de ciberseguridad” automatizada. El concurso se llevó a cabo en un ambiente computacional aislado en vez de en internet abierto.

Los científicos están de acuerdo con que se necesita hacer más trabajo de desarrollo para que la tecnología se utilice de manera general en redes comerciales y el internet abierto. “Sin embargo, esta fue una demostración de que la ciberdefensa automatizada tiene la madurez suficiente y está llegando”, dijo David Melski, capitán del equipo que obtuvo el segundo lugar, cuyos miembros provenían de la Universidad de Virginia y una joven empresa surgida en la Universidad Cornell, GrammaTech, donde Melski dirige las investigaciones.

 Fuente:
nytimes.com
octubre 13th 2016

24 Horas en la vida de mi router doméstico

Número de lecturas: 2580
{lang: 'es-419'}

¿Estamos preparados para vivir en un mundo donde cualquier dispositivo conectado está expuesto a ciberataques?Esta es la frase con la que comencé mi última ponencia en las jornadas de Ciberseguridad QurtubaCON16 (y con la que comenzaré en las Jornadas de Ciberseguridad y Derecho en HoneyCON16 el próximo 11 de Noviembre en Guadalajara). Mi intención es que los asistentes saquen sus propias conclusiones sobre el nivel de riesgo que todos asumimos cada vez que conectamos nuestros dispositivos a Internet.

¿Te has preguntado alguna vez que ocurre en tu router doméstico y que amenazas le acechan en el mismo momento en que pulsas el botón de encendido?. En este artículo pretendo realizar un análisis de los eventos de seguridad y ataques recibidos en mi propio router doméstico de un famoso ISP español.  Así podrás tomar conciencia del nivel de exposición al que están sometidos estos dispositivos que permiten conectar nuestra vida a la red de redes.  Y pongo en el punto de mira a nuestros routers porque muchas veces no le prestamos la atención que merecen y en ocasiones los tenemos encendidos 24x7x365. Los dejamos expuestos de forma permanente, sin ser conscientes de que en ocasiones los paneles de administración están expuestos hacia Internet con credenciales por defecto o débiles, que tienen expuestos determinados puertos sin nuestro conocimiento que pueden ser atacados, que son vulnerables a determinados ataques o que presentan distintos fallos de seguridad que no han sido parcheadas ni por nuestro proveedor de Internet ni por el fabricante del dispositivo. Te recomiendo que visites la web http://routersecurity.org/ en el apartado Router Bugs y Security Checklist sobre vulnerabilidades detectadas en los últimos años y recomendaciones de seguridad.

Durante estos últimos años se han producido noticias acerca de vulnerabilidades en routers distribuidos en España que ponen de manifiesto la gravedad del asunto:

 

¿Qué ocurriría si un atacante consiguiera acceder a la configuración DNS de tu router y modificarla? No solamente podrías perder tu privacidad (ya que el atacante podría monitorizar tu navegación en Internet) sino que además podrían suplantar por ejemplo la web de tu banco o la de tu compañía a fin de obtener tus credenciales. Eso es solo un ejemplo de lo que podría ocurrir y que se describe en el siguiente gráfico:

En muchos casos, los ataques recibidos son automatizados y por tanto si tu router está dentro del rango de red objetivo que el atacante o dispositivo vulnerado escanea serás una víctima potencial. Aquí no vale la excusa “quien me va a atacar a mi si yo no soy nadie”. Solo es necesario que estés en su rango de ataque. No es necesario que el ataque esté dirigido exclusívamente a ti. Cuanto mayor sea el número de víctimas potenciales mayor será el porcentaje de éxito.

Para la recolección de eventos de seguridad y ataques, hago uso de un sensor hacia el cual redirijo todo el tráfico que va dirigido hacia mi IP pública que corresponde con mi router doméstico y monitorizo toda la actividad entrante producida en todo el rango TCP y UDP. También monitorizo los paquetes ICMP. Considero como sospechoso todo el tráfico dirigido hacia mi IP y monitorizo cualquier intento de conexión a cualquier puerto TCP.

No consideraré ataque la recepción de paquetes SYN a un determinado puerto, sino el acceso por fuerza bruta a determinados servicios expuestos en el sensor tales como SSH, Telnet, RDP o FTP, la ejecución y descarga de muestras de malware o determinados comportamientos anómalos en los servicios.

Hay que tener en cuenta que una dirección IP de un posible atacante por si sola no es un dato relevante, ya que se pueden utilizar diferentes técnicas para ocultar la IP real del origen o incluso el atacante puede usar un dispositivo ya vulnerado para realizar su ataque a través de él. En ningún momento he difundido mi dirección IP para recibir ataques.

La recolección de datos se produjo entre el miércoles 6 de Octubre a las 18:00 y el jueves 7 de Octubre hasta las 18:00. 24 horas.

Una vez agotado el tiempo de recolección de información, los datos obtenidos son los que voy a presentar a continuación.

En 24 horas se produjeron un total de 20.070 eventos hacia mi router doméstico, de los cuales 4678 puedo considerarlos como ataques. Se han registrado un total de 92 países distintos desde los cuales he recibido conexiones a un total de 349 puertos diferentes.

Más de la mitad de los eventos son recibidos desde Asia. Entre los puertos que han recibido más conexiones destacamos el servicio SSH, Telnet, 443, 2323, RPD, VNC, 8080 entre otros. Si yo en ningún momento he difundido que tengo esos servicios expuestos, tendríamos que preguntarnos que están buscando y por que llegan hasta mi. Eso solamente lo podemos saber si realizamos un análisis de todo lo que se ha producido.

Entre los orígenes de los eventos es normal encontrarnos últimamente a Vietnam en el top. La respuesta a esto es respondida en el artículo http://securityaffairs.co/wordpress/52015/hacking/mirai-botnet.html y es debido a la gran cantidad de dispositivos IOT infectados con Mirai y que tienen entre sus objetivos rangos de IPs españolas.

Sensor recogiendo información de eventos desde Vietnam

Dispositivos detectados por Shodan pertenecientes a Mirai

El gráfico general referido a ataques (no a todos los eventos) de las 24 horas quedaría de la siguiente manera (País origen, ASN, IP y puerto):

Algunos países destacados por el número de ataques realizados (ASN, IPs y Puerto):

La mayor parte de los ataques recibidos tienen origen Europeo y Asiático. También hemos recibido una pequeña parte de ataques desde España.

Analizando algunas de las IPs que han atacado mi router podemos encontrar los siguientes paneles de administración Web que corresponden a cámaras y routers:

Algunos de ellos no necesitan credenciales para su acceso y otros tienen credenciales por defecto. Todos ellos han visitado mi router (o quizás algún equipo que está detrás de esa red), se han conectado a mis puertos señuelo, han descargado muestras de malware, han intentado incluirme en su botnet, me han usado de pasarela para realizar ataques, entre otras actividades.

Se han descargado varias muestras de malware, entre ellas Mirai:

Pero no ha sido el único malware que han intentado descargar. Puedes ver a continuación la una demostración de la gran cantidad de descargas mediante wget que han intentado realizar:

Una vez observados todos los datos, no deberías preguntarte si tu router doméstico será atacado o no. Pregúntate cuando. Con todo lo expuesto anteriormente creo que ya eres consciente de que más tarde o más temprano te llegará tu turno. Y espero que para entonces no tengas tu panel expuesto en Internet, o que tus credenciales sean demasiado débiles o por defecto, o que no hayas parcheado tú, el fabricante o el proveedor del servicio las posibles vulnerabilidades del router o que no hayas expuesto más servicios de los necesarios. Quizás ya hayas sido atacado y todavía no lo sepas.

Si no tienes en cuenta estos consejos, quizás sea tu dirección IP la que aparezca en la siguiente lista de dispositivos vulnerados de cualquiera de mis sensores en las próximas 24 horas.

Saludos a todos.

Fr4n

Twitter: @0fjrm0

Fuente:

fwhibbit.es

octubre 11th 2016

Ransomware: Nuevo foco de ataques

Número de lecturas: 1765
{lang: 'es-419'}

Para ir directo al grano, el ransomware ha aumentado 200% desde enero de 2015 y por supuesto que se va a acrecentar aún más en 2017, es un negocio deDINERO RÁPIDO y pocas, muy pocas empresas están preparadas para hacerle frente.

Negocio rentable

La campaña de Ransomware en solo en el primer semestre 2016 generó ganancias de alrededor de 94 millones de dólares para los atacantes en USA y Canada principalmente, es más que suficiente motivación para que cada vez más hackers se enfoquen en este tipo de ataques y planifiquen nuevos objetivos: Hospitales, manufactura, colegios, ONGs, federaciones, entre muchos otros, no podemos decir “este sector no es de interés” es cuestión de tiempo para que encuentren una vía lucrativa para cada sector, en el caso de México, son muchas las medianas y pequeñas empresas, así como entes de gobierno federal estadal que han sufrido estos ataques y a todos los toman desprevenidos, y a pesar que se han realizado grandes esfuerzos para contrarrestarlo, aun quedan puntos débiles por donde vuelven a ser atacados.

¿Cómo me preparo?

Prevención es el mejor enfoque contra el ransomware, hay que cambiar el paradigma, “dejar de correr detrás de la cola”, las soluciones actuales han agregado más capas de seguridad (mayor complejidad) a la arquitectura tecnológica, estas capas se han definido:

  1. Antivirusy antimalware, esta capa no resuelve el ransonware, no está diseñada para detectar malware avanzado, el antivirus trabaja sobre “lo bueno conocido y lo malo conocido” pero y ¿Qué pasa con lo desconocido?
  2. Para lo desconocido se ha agregado otra capa, una con capacidad de consultar y compartir con otros entes (BD de malware en la nube por ejemplo), a ver si alguien en el mundo ya ha sido afectado e identificado para compartir esta información. ¿Qué pasa si nadie lo ha identificado?
  3. Para ello se ha incluido una tercera capa “Sandbox” hardware dedicado en sitio o en la nube con la capacidad de ejecutar el archivo desconocido, interactuar con él para detectar comportamiento anormal o hurgar dentro de su código enBUSCA de “alguna pieza de código malicioso conocido” esto también es conocido como análisis dinámico y análisis estático, pero ¿Cuánto tarda este proceso? Que hago mientras esto ocurre? Si el archivo desconocido es benigno o propietario. ¿Cuándo lo puedo ejecutar? Si el ataque es enfocado con técnicas evasivas y avanzadas como segmentar el código en varias piezas ¿Cómo un sandbox lo puede detectar?
  4. En vista de que tendremos que tener el “paciente cero” o la primera infección para efectivamente saber que un código es malicioso, luego debemos removerlo de todos los dispositivos donde se encuentre, para ello se agrega otra capa conocida como EDR “Endpoint Detection and Response”. finalmente debemos analizar el origen y volver al punto 3 para nuevo análisis.

Hemos descrito 4 capas de seguridad para el endpoint que implican costos adicionales de licenciamiento para atacar la problemática del malware avanzado (sin mencionar las listas blancas, DLP, cifrado, que apunta a otros casos de uso como el robo de información) con técnicas de detección. Cuando la solución puede ser simple en el enfoque, aunque no tan obvio en la implantación.

Y ahora ¿Quién puede ayudarnos?

Como comenté anteriormente, la prevención vuelve a la palestra como una solución mucho más efectiva contra el malware avanzado que la detección. Ahora bien, como toda estrategia debemos siempre involucrar a los tres pilares de toda organización: Personas, procesos y tecnología. Un plan de conciencia en seguridad para incrementar el nivel de sensibilidad en seguridad de las personas, procesos vivos, ágiles y efectivos que aumente la inteligencia organizacional y por último (y mi enfoque) la tecnología correcta, insisto el antivirus convencional no es la solución contra el malware avanzado, si alguien está recomendando algún antivirus a su cliente para resolver este punto, sugiero reevalúe y amplíe su propuesta.

De nuevo, la tecnología correcta, dos conceptos: Inteligencia artificial e Inteligencia de máquina oCOMPUTACIÓN cognitiva, ya existe en el mercado una solución que trabaja en base a Inteligencia artificial y computación cognitiva cuyos resultados han sido asombrosos contra el malware avanzado, las estadísticas de detección son superiores versus las soluciones de endpoint protection tradicionales, incluyendo las cuatro (4) capas antes mencionadas, no se trata de una moda, o de algo pasajero, en los próximos años empresas de seguridad que no apliquen algoritmos de Inteligencia Artificial en la lucha contra el malware avanzado se quedarán rezagadas, la inteligencia artificial no es nueva, lo novedoso es su aplicación contra la prevención de malware avanzado, estos algoritmos aprenden luego de analizar cientos de millones de muestras de malware de todo tipo y logran definir modelos matemáticos, estos modelos son aplicados a los archivos nuevos o desconocidos dando como resultado un nivel de riesgo del archivo y en base a este riesgo se toman acciones.

Recomendación

Aplicar un enfoque holístico en la estrategia de prevención: Personas, procesos y tecnología, seleccionar la tecnología correcta que use Inteligencia artificial e inteligencia de máquina, esto nos permitirá ganar tiempo y tener una barrera efectiva mientras las personas y los procesos se equilibran.

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a las amenazas de malware avanzado, que es y será el principal reto a resolver por todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Fuente:

blog.adv-ic.com

octubre 7th 2016

Algunas de las mejores herramientas de hacking de 2016

Número de lecturas: 11490
{lang: 'es-419'}

Poco a poco nos aproximamos al final de este año, de forma inexorable. Por eso -y porque sé que siempre hay personas ávidas de utilizar nuevas herramientas he decidido preparar una lista que incluya algunas de las mejores herramientas de hacking de 2016.

No es una lista descomunal ni es la lista definitiva pero lo que sí encontraréis es una lista con herramientas para diferentes propósitos, todas ellas con una fiabilidad probada por la comunidad. Son útiles tanto para principiantes en esto del ethical hacking como para los que ya llevan tiempo y quieren refrescar la memoria y no perderse nada de lo que hay a su disposición.

Por supuesto se aceptan comentarios y sugerencias. Si me parecen apropiados no tendré inconveniente en incluirlos en la lista. Dicho esto, podemos empezar a detallar nuestras herramientas recomendadas.

Algunas de las mejores herramientas de hacking de 2016

Encontrarás el contenido distribuído en subcategorías, con algunas opciones adicionales a la que he decidido destacar en cada caso. La opción destacada no tiene por qué ser la mejor (en parte esto es algo subjetivo) pero definitivamente merecerá la pena probarla.

Herramientas para escaneo de vulnerabilidades web

Acunetix Web Vulnerability Scanner

El escaneo de vulnerabilidades en web está bien provisto con la herramienta que nos proporciona Acunetix. Si gestionamos un servidor web o que proporcione acceso a aplicaciones mediante este protocolo conviene evitar fallos de configuración que puedan producir el aterrizaje del malware en el mismo o comprometer la información de los usuarios.

acunetix-web-vulnerability-scanner_10

Este scanner de vulnerabilidades multi-hilo recorre todas las rutas de nuestro sitio web y nos ofrece un interesante informe que muestra si estamos expuestos a algunos de  los ataques más frecuentes y graves contra sitios en internet. Sólo en plataformas WordPress es capaz de reconocer 1200 vulnerabilidades, ocasionadas en su mayoría por fallos de configuración que debilitan la seguridad:

  • XSS – Cross Site Scripting
  • SQLi – Inyecciones de código SQL
  • CSRF – Cross Site Request Forgery
  • Un largo etcétera…

Este software de seguridad viene con un logger que realiza seguimiento del proceso de inicio de sesión y accede a áreas protegidas de la web. Su nueva tecnología Acusensor reduce la tasa de falsos positivos en comparación con otras herramientas. Definitivamente una herramienta que probar si te encuentras en este escenario. Compatible con Windows XP o superior.

Alternativas para escanear vulnerabilidades web

Burp Suite, Firebug, AppScan, OWASP Zed, Paros Proxy

Herramientas de hacking ético

Metasploit

Más que denominar Metasploit como un conjunto de herramientas de explotación, podríamos decir que es como una infraestructura que podemos utilizar para construir nuestras herramientas de “hacking a medida”. Esta herramienta gratuita está soportada por una gran comunidad con más de 200000 usuarios y contribuyentes.

metasploit

Podemos decir, por tanto, que Metasploit es un framework muy potente (permite encontrar vulnerabilidades en sistemas muy diferentes) y el soporte de la comunidad lo hace cada vez más potente.

La potencia de Metasploit lo convierte en referencia tanto para expertos en seguridad informática como para ciberdelincuentes.

Esta navaja suiza es para mi una herramienta de hacking de primer orden también este 2016. Podemos simular ataques en escenarios reales, encontrando puntos débiles y explotando estos. Como pentester, podrías beneficiarte de los informes que produce la integración con Nexpose, obteniendo informes muy completos.

Descarga Metasploit aquí y comienza a utilizarlo en plataformas Windows, Linux o Mac OS.

Herramientas para escaneo de vulnerabilidades

Nessus Vulnerability Scanner

Se trata de una de las mejores herramientas de hacking de 2016 y funciona con la ayuda de un framework de tipo cliente-servidor. La empresa desarrolladora -Tenable- es conocida en el mercado principalmente gracias a la popularidad de este entorno.

nessus-vulnerability-scanner

Podemos encontrar Nessus en diferentes variantes: Nessus Home, Nessus Professional y las versiones Nessus Manager y Cloud.

Utilizando esta herramienta podemos escanear en busca de diferentes tipos de problemas de seguridad: vulnerabilidades, fallos de configuración, ataques DDoS hacia la pila TCP/IP, detección de malware o fugas de información sensible. También nos servirá para que nuestra organización cumpla con estándares como PCI DSS.

Están disponibles, además, ataques de diccionario mediante la conexión con la popular herramienta Hydra.

Pero ahí no acaban las posibilidades de Nessus, porque además podremos ejecutar análisis de red múltiples en IPv4 e IPv6, además de redes híbridas. Podemos programar análisis o lanzarlos a petición, además de llevar a cabo análisis selectivos contra módulos previamente detectados para ver si se han subsanado los fallos.

En cuanto a compatibilidad no debemos preocuparnos ya que soporta sistemas Windows y Mac, así como las distribuciones de Linux Debian, Ubuntu, Kali, etc.

Descarga Nessus aquí

Otras herramientas para escaneo de vulnerabilidades

Netsparker, sqlmap, Core Impact, WebGoat, BeEF

Herramientas para escaneo de puertos

NMAP

Nmap -también conocido como Network Mapper- es una herramienta de escaneo de puertos. Es gratuita y open source y podríamos decir que es la herramienta más popular para dicho propósito a día de hoy. Nos permitirá realizar descubrimiento de red y auditorías de seguridad en esta categoría.

Nmap

Se utiliza para un amplio número de servicios y emplea paquetes de IP “en bruto” para determinar el número y tipo de hosts alcanzables en una red, sus servicios, sistemas operativos o los firewalls utilizados, entre otras cosas.

Nmap ha ganado premios en años anteriores y ha sido utilizado en muchas películas con alguna relación con el hacking, como Matrix Reloaded, La Jungla de Cristal 4, etc. Disponible mediante línea de comandos, el ejecutable también nos ofrece una interfaz de usuario más amigable (gráfica).

Está disponible para sistemas operativos Windows, Linux y Mac OS X.

Descarga Nmap aquí

Otras herramientas para escaneo de puertos

Unicornscan, NetScanTools, Angry IP Scanner

Herramientas para escaneo de tráfico de red

Wireshark

Wireshark es una herramienta de creación y análisis de paquetes de red con un amplio recorrido. Puede encontrar vulnerabilidades en una red y sirve además para probar la fortaleza de las reglas de nuestros firewall.

Wireshark

Miles de profesionales en ciberseguridad lo utilizan habitualmente para analizar redes y capturar tráfico en diferentes protocolos, como Ethernet, wireless (IEEE 802.11), PPP/HDLC, ATM, Bluetooth, Fibra, Frame Relays y otros.

Estamos ante una herramienta gratuita y de código abierto que tiene una versión alternativa en forma de línea de comandos, de nombre TShark. Como curiosidad, su nombre original era Ethereal.

La compatibilidad está garantizada con sistemas Linux, Mac OS y también Windows.

Descarga Wireshark aquí

Otras herramientas para escaneo de redes

Nagios, Ntop, Splunk, Ngrep, Argus, TcpDump, Netmon…

Herramientas para análisis forense

Maltego

La suite Maltego es un entorno de pruebas forense, de código abierto y que ofrece una minería de datos muy potente y que nos permitirá pintar un cuadro muy detallado de las ciber-amenazas que nos rodean. Es excelente para mostrar la complejidad y los puntos de falla posibles en nuestro entorno.

Maltego

Maltego es una herramienta muy deseable para un hacker, porque analiza los puntos de unión entre personas, empresas, dominios, sitios web, documentos o direcciones IP. Todo ello en tiempo real.

Está basado en Java y se utiliza mediante una agradable y fácil de usar, que permite personalizar a nuestro gusto las opciones de escaneo. Está disponible para Windows, Linux y Mac.

Descarga Maltego aquí

Otras herramientas forenses recomendadas

The Harvester, Shodan, Metagoofil, GHDB, Foca, Autopsy, EnCase, Helix 3 Pro

Herramientas de ingeniería social

Social-Engineer Toolkit

El desarrollador TrustedSec pone a nuestro alcance una excelente suite de pruebas de ingeniería social que podemos encontrar con nombres diferentes: Mr. Robot y Social-Engineer Toolkit.

Con este kit podemos simular diferentes tipos de ataques mediante ingeniería social (tan comunes hoy en día) como ataques de phishing, robo de credenciales y otros tipos. En el vídeo podemos ver un ejemplo de phishing lanzado contra usuarios de Facebook que serán redirigidos desde una web suplantada.

Las posibilidades son muy amplias, podemos incluso realizar suplantación de identidad en mensajes SMS, así que recomiendo si os interesa este asunto que realicéis vuestras pruebas con la herramienta. Además nos permite automatizar totalmente los ataques y sentarnos a mirar.

Esta suite está basada en Python y es ahora mismo el estándar universal para realizar estas pruebas, con más de 2 millones de descargas.

Social-Engineer Toolkit está soportado en Windows, Mac OS y Linux. Para descargarlo en Linux utiliza el siguiente comando:

Descarga Social Engineer Toolkit

Herramientas para crackear contraseñas

oclHashcat

En caso de que estés interesado en realizar ataques contra contraseñas frecuentemente, seguro que ya conoces Hashcat. Este funciona utilizando los recursos de la CPU para crackear contraseñas. Sin embargo, oclHashcat es aún más reciente y avanzado, utilizando los mayores recursos que le brinda la GPU del equipo.

oclhashcat

oclHashcat es el crackeador de contraseñas más rápido del mundo, el primero en contar con un motor basado únicamente en cómputo GPGPU. Si dispones de una tarjeta gráfica medianamente decente y lo quieres probar, notarás la diferencia.

Ten en cuenta que necesitarás drivers a partir de ForceWare 346.59 para Nvidia y a partir de Catalyst 15.7 para tarjetas AMD. También funciona con APUs.

Los modos de ataque contra contraseñas son:

Plano

  1. Combinación
  2. Fuerza-bruta
  3. Diccionario híbrido + máscara
  4. Máscara híbrida + diccionario

Como característica adicional, oclHashcat es una herramienta open source que funciona con licencia propietaria del MIT, permitiendo fácil integración con diferentes distribuciones de Linux. También soporta sistemas Windows y Mac OS X.

Descarga oclHashcat aquí

Alternativas a oclHashcat

John the Ripper, Aircrack, Hydra, ophcrack


Herramientas adicionales y utilidades

Depuradores: IDA Pro, WinDbg, Immunity Debugger

Detección de Rootkits: Dumpsec, HijackThis, Rootkit Revealer, Tripwire

Fuente:

protegermipc.net