Auditando la seguridad de Mac con Lynis

Como ya se ha podido ver en anteriores entradas, el autor de este blog tiene cierta debilidad por los sistemas, equipos, gadgets, que trae a la vida la compañía de Cupertino.
Se que dentro del mundo de la seguridad, como pasa en cualquier otro lugar y con cualquier otro tema, esto tiene gente a favor y totalmente en contra.

En este artículo, como ya he hecho en otros, voy a mostrar como con un Mac se puede hacer lo mismo que con cualquier otro tipo de equipo.

Para todos los que tienen un equipo de Apple (Macbook, Macbook Pro, Macbook Air, etc.) vamos a ver como poder auditar la seguridad de nuestro equipo. Para ello vamos a utilizar "Lynis", una estupenda herramienta para las auditorías de seguridad de código abierto.

Lynis es utilizada a menudo por administradores de sistemas, profesionales de seguridad y auditores, para evaluar las defensas de seguridad de sus sistemas basados ​​en Linux y UNIX. Se ejecuta en el propio host, por lo que realiza análisis de seguridad más extensos que los escáneres de vulnerabilidades.

En esta entrada se va a ver como se puede instalar en un sistema Mac, pero esta herramienta esta hecha para poder ejecutarse en casi todos los sistemas basados en Unix, como por ejemplo: AIX / FreeBSD / HP-UX / Linux / OS X / Mac OS / NetBSD / OpenBSD / Solaris.
También funciona en dispositivos como Raspberry Pi, o QNAP.

Lynis en su escaneo, realiza cientos de pruebas individuales, con lo que busca determinar el estado de seguridad del sistema. Además esto lo hace de manera totalmente inocua, ya que no necesita herramientas de terceros en su análisis, por lo que puede mantener el sistema totalmente limpio.
SI por ejemplo, Lynis detecta que Apache esta siendo ejecutado, comenzará a realizar pruebas relacionadas con Apache, y si durante esta ronda de pruebas detecta también una configuración de SSL / TLS, realizará posteriormente una auditoria de esto, guardando los certificados descubiertos para que el posterior escaneo.

Bien. Vamos a pasar a ver como se audita la seguridad de un Mac con Lynis.

Lo primero es descargar e instalar la herramienta. Hay varias posibilidades y no creo que haya una mejor que otra, ya que es algo que dependerá de como nos guste trabajar a cada uno.
Lynis esta disponible en sitios como "github.com", donde se puede descargar y posteriormente hacer todo el proceso de instalación.
Yo como se ha podido ver en otras entradas, cuando se trata de instalar en Mac, soy partidario de la utilización de gestores de paquetes, ya que facilitan mucho las cosas. En este caso como en otros, utilizaré Homebrew para instalar Lynis en mi equipo (En esta entrada no se verá evidentemente como instalar Homebrew, pero solo tienes que buscar como, ya que es verdaderamente sencillo).

 Abrimos el terminal y buscamos en el repositorio de Homebrew si está Lynis.


 Tras ver que si, pasamos a instalarlo.

 

Una vez que está instalado en el equipo, la ejecución es muy sencilla. Solo hay que ejecutar el comando: lynis -c ; y esta empieza atrabajar automáticamente, revisando todas las configuraciones en el sistema operativo.

El análisis empieza por lo más básico, va análizando y recopilando toda la información del sistema operativo, kernel, hardware, hostname, profiles, etc. 

 




































 
En su auditoría del sistema irá recabando información, encontrando a su paso vulnerabilidades y configuraciones por defecto.
Como se puede ver en la siguiente imagen, aún siendo una herramienta de terminal, consigue un aspecto muy visual, ya que emplea coloresalgo llamativos, a modo de semáforo, dando más importancia o menos a la información que va recopilando, siendo un "OK" Verde exponente de tranquilidad, hasta llegar al otro extremo, el Rojo de "WARNING".

 

Lynis hace un análisis totalmente extenso del sistema.

• System Tools
• Plugins
• Boot and Services
• Kernel
• Memory and Proccesses
• Users, Groups and Authentication
• Shells
• File Systems
• Ports and Packages
• Printers
• Software
• E-Mail and Messaging
• Firewall
• Support
• PHP
• Cryptography
• Y un largo etc...

Analiza cada archivo de configuración para saber en qué estado se encuentra el núcleo, esto le permitirá al usuario saber en qué estado se encuentra y poder tomar las medidas necesarias para fortalecerlo más.



Finalmente Lynis te ofrece los resultados obtenidos, haciendo especial referencia las vulnerabilidades encontradas.
Aparte de la información que Lynis muestra en la pantalla, todos los detalles técnicos sobre la exploración se almacenan en un archivo de registro a modo de informe técnico.

Cualquier hallazgo (advertencias, sugerencias, recopilación de datos) se almacena en un archivo de informe. Este lo podemos encontrar, si nos fijamos en la imagen de debajo, en "Follow-up" nos indica las rutas.



En Lynis "security scan details" en la imagen superior, se puede ver entre otras cosas en nivel de fortaleza que tiene el sistema auditado. En este caso un 73%.


Ahora solo tenéis que descargar la herramienta y empezar a practicar.





Un saludo y hasta la próxima entrada ;)

Auditando con OWASP ZAP en OS X

Dentro del análisis de aplicaciones web, la entrada de hoy está dedicada a OWASP ZAP (Zed Attack Proxy), una de las herramientas más potentes del proyecto OWASP.

Aunque el apunte de "...con OS X" en el título de la entrada realmente es irrelevante, ya que la herramienta a utilizar "OWASP ZAP" es igual en todas las plataformas, va dirigido a todos aquellos puristas y defensores de otras plataformas y en la línea de anteriores entradas, recordando de que con OS X o macOS Sierra (próximamente), se puede hacer exactamente hacking con todas las posibilidades.

OWASP ZAP, está disponible para multiples plataformas en (compatible incluso con Raspberry Pi):
Descarga: https://github.com/zaproxy/zaproxy/wiki/Downloads

Para Mac, se descarga un formato .dmg que gracias a la tecnología Mac ni si quiera hay que pasar un proceso de instalación, ya que tras abrirlo no tendremos más que arrastrar el icono de ZAP a la carpeta Aplicaciones.

 Es una herramienta con unas características y/o funciones muy parecidas a Burpsuite. Algunas de ellas:

• Análisis de peticiones cliente/servidor.
• Localización de recursos.
• Análisis varios (Automáticos, pasivos, de sistemas de autenticación).
• Posibilidad de lanzar varios ataques a la vez.
• Uso de SSL dinámicos.
• Uso de plugins adicionales.
• Soporte de uso de DNI electrónico, certificados digitales, etc.
• Configuración de reglas.

Para empezar con escaneo automático de OWASP ZAP, solo tenemos que introducir la URL objetivo que queramos analizar.
En el caso de este escaneo de ejemplo, voy a utilizar unas direcciones que ya hemos visto en anteriores entradas, que la organización de Acunetix nos facilita como webs vulnerables, para realizar las pruebas, pero que en este caso nos sirven para lo que vamos a realizar.

- http://testphp.vulnweb.com
- http://testasp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testhtml5.vulnweb.com

Yo en mi caso, voy a utilizar - http://testaspnet.vulnweb.com.

Una vez tengamos la URL, damos a iniciar y el proceso empezará a correr y como suele pasar en todo escaneo, la duración será directamente proporcinal a la densidad y complegidad de la web a analizar.



En esta entrada me limitaré a explicar la herramienta y cada uno de sus apartados, para que el usuario tenga una mayor comprensión de ella y en siguientes entradas, pasaremos a realizar acciones de mayor complegidad.

Comovemos en la parte inferior, podemos ver como el proceso de análisis se divide en varios apartados:

Spider (la araña) nos muestra como la herramienta va analizando los diferentes archivos y directorios en busqueda de vulnerabilidades.











En "Escaneo Activo", se pueden ver en proceso directo, todas las peticiones que se van enviando "POST" ...














Si seleccionamos cualquiera de ellas, en la parte superior derecha de la ventana podremos estudiar o analizar, la petición que ha realizado la herramienta y la respuesta recibida por el sistema...




























Algo muy interesante que nos ofrece OWASP ZAP es presenciar en directo el tipo y progreso de ataques que está realizando, dandonos la posibilidad de presenciar pruebas concretas. Esto mediante el "Show scan progress details".

Como vemos en la siguiente captura de pantalla, entre otros:
- Escaneos de directorio transversal.
- Inclusión de archivos.
- XSS.
- Inyecciones.
- Buffer overflow.

Una vez terminado el escaneo vamos a pasar a la parte más importante, ver las vulnerabilidades que se han encontrado en la URL a analizar.
Para ello vamos al botón "Alertas" caracterizado con el icono de una banderita roja o anaranjada.
Aquí vamos a encontrar como en cualquier otro escaner de vulnerabilidades, las encontradas, clasificadas según su gravedad.



En este caso vemos que ZAP ha encontrado dos vulnerabilidades de alto riesgo (caracterizadas en color rojo).  De "Cross-site Scripting" y una de "inyección SQL".
23 de riesgo medio (color naranja) y otras tantas de bajo riesgo (color amarillo).
Si seleccionamos cualquiera de ellas, a la derecha del cuadro podemos ver la descripción completa de la vulnerabilidad, una posible solucción ofrecida por la herramienta y enlaces de referencia por si queremos documentarnos al respecto.

Finalmente, para procesos de auditoría ZAP nos da la posibilidad de guardar un reporte de vulnerabilidades en diferentes formatos.

Nessus - Escaneo de vulnerabilidades

Hace unas semanas ya estuvimos desgranando a grosso modo el escaner de vulnerabilidades Acunetix.
Hoy le ha tocado el turno a otro de los punteros en el ámbito de la seguridad: "Nessus".

Nessus es un escaner desarrollado por Tenable Network Security (posiblemente el más conocido del mundo de su tipo).
En la web de Tenable podrás descargarte varias versiones de "Nessus", desde la "Home" que es totalmente gratuita (pero con bastantes limitaciones), a versiones de prueba de "Professional", "Manager" y "Cloud".

En esta entrada yo utilizaré la versión "Home".

 Una vez descargada Nessus te pedirá un usuario y contraseña, para ello solo tienes que registrarte gratuitamente en la web y ellos te enviarán tus claves al mail.

Una  vez dentro del menu, vemos que hay un botón que nos indica "New Scan", a través de él accedemos a los "Scanner templates" donde vemos todas las posibilidades que Nessus nos ofrece.
Veremos que algunos de ellos son inaccesibles a nosotros debido a que lo hacemos desde la versión "Home" (está limitada).


Como vemos Nessus permite exploraciones de diferentes ámbitos y para diferentes tipos de vulnerabilidades:
-Vulnerabilidades de acceso y control, de configuración de sistema, contraseñas, denegación de servicio, etc.

Para realizar una prueba de escaneo avanzado "Advanced Scan", voy a utilizar alguna de las utilidades que he ido necesitando en otras entradas.
Como necesitamos algo que escanear y para ver algo que sea interesante lo suyo es que sea medianamente vulnerable, voy a utilizar "Metasploitable 2", un sistema de servicios vulnerables los cuales pueden ser explotados usando metasploit, pero que en este caso nos va a ser muy útil.

(Para saber de lo que hablo, leer Metasploit 3ªParte).

Una vez instalada y arrancada "Metasploitable 2" como ya hemos visto en otras ocasiones, con el comando "ifconfig" conseguimos la Ip de esta máquina virtual, que va a ser la IP que voy a usar en Nessus.

 
 Volviendo a Nessus....en los diferentes tipos de escaneo elijo el de escaneo avanzado.

 Relleno los parámetros mínimos requeridos, nombre, descripción y el objetivo.
 En mi caso el Target u objetivo, es la IP de la máquina virtual de Metasploitable (192.168.1.38).
Guardamos.



Si vamos al menu principal vemos que ya se ha guardado nuestro proyecto, así que solo tenemos que dar "play" y el escaneo comenzará.

 Te recomiendo que te armes de paciencia, ya que depende del espectro de actuación de análisis que hayas elegido puede tardar bastante.

Nessus comienza escaneando los puertos buscando los que están abiertos y después utiliza exploits para atacarlo.
Cuando el proceso haya acabado, si accedemos a los informes de nuestro escaneo encontraremos algo parecido a la siguiente imagen, que variará dependiendo del caso, de las vulnerabilidades encontradas y la gravedad de las mismas.

Nessus clasifica las vulnerabilidades dependiendo de su gravedad por colores:

- Rojo = Critica

- Naranja = Alta

- Amarillo = Media

- Verde = Baja

- Azul = Info

Vienen muy bien identificadas y explicadas, ya que las vulnerabilidades encontradas se muestran por filas, pero vienen también colocadas acorde a las columnas que especifican información, mandando en su orden como ya he indicado de mayor a menor criticidad. Nos señala también el "plugin name" al que afecta dicha vulnerabilidad, la familia a la que pertenece, etc.

Si seleccionamos cualquiera de las vulnerabilidades clicando sobre ella, accederemos a toda la información pormenorizada de esta.

Nessus nos muestra una descripción de la vulnerabilidad, que está pasando y como puede afectarnos.
Seguidamente más abajo nos sugiere una posible solucción al problema y acceso a más info complementaria.

Muy interesante es lo que nos ofrece la columna a la derecha del todo, con los datos más importantes de dicha vulnerabilidad y sobre todo el detalle de indicarnos si existe algún parche para la vulnerabilidad y su nombre, facilitando mucho nuestro trabajo.

Dejo algún pantallazo más para ver resultados de vulnerabilidades encontradas en este análisis de prueba.

Acunetix - Escaner de vulnerabilidades Web

En la entrada de hoy vamos a echar un vistazo a un potente escaner de vulnerabilidades de aplicaciones web "Acunetix".

Al igual que muchas veces utilizamos herramientas más específicas, a la hora de buscar un resultado concreto, con los escáneres de vulnerabilidades, gracias a su compendio de herramientas variadas y especializadas encontramos agujeros de seguridad que desconociamos, en este caso en aplicaciones web.

Es muy importante el uso de estos escáneres con asiduidad periódica, ya que cualquier vulnerabilidad que aparezca puede suponernos un susto y un problema, si es encontrado por algún atacante antes que por nosotros.

Acunetix, al igual que la mayoría de los escáneres de vulnerabilidades, nos ayuda a mejorar la seguridad de nuestro sistema, además de encontrando los puntos débiles (SQL Injection, Cross Site Scripting, desactualizaciones del sistema, passwords débiles, etc.) haciendonos una serie de sugerencias para evitarlas o soluccionarlas.

En su web oficial: http://www.acunetix.com/ , podemos dercargar una versión de prueba (de 14 días), que aunque tiene ciertas limitaciones (por ejemplo no nos genera informes), nos podemos hacer una idea de como funciona y los servicios que ofrece.

Una vez instalado, lo arrancamos ...

De entrada nos mostrará esto:




















Acunetix en un primer momento nos dará como vemos en esta ventana emergente, la opción de bajo una serie de opciones a rellenar, realizar un análisis de forma automática.
























































Si vamos rrellanando los datos que se nos piden, adaptandolos a los parámetros adecuados a nuestra busqueda, comenzará el análisis que hemos programado.

Si queremos configurar el análisis de forma manual, solo tenemos que cancelar esta ventana emergente y proceder a la elección de la herramienta a utilizar y configurarla adecuadamente a nuestro gusto.
Estas herramientas las veremos facilmente situadas en la columna izquierda de Acunetix.





























En esta entrada voy a probar el "Web escaner".
Podemos ver que en la parte superior, hay una barra de URL, en la que podremos introducir la web que queremos escanear.









La organización de Acunetix nos facilita una serie de URLs de webs vulnerables, para realizar las pruebas:

- http://testphp.vulnweb.com
- http://testasp.vulnweb.com
- http://testaspnet.vulnweb.com
- http://testhtml5.vulnweb.com

Podeís utilizar cualquiera de estas para realizar los análisis y escaneos.
En este caso, yo voy a utilizar:
- http://testhtml5.vulnweb.com

La introduzco en "Start URL" y doy a comenzar.

El escaneo empieza y podemos ver como instantaneamente empezamos  a tener los primeros resultados, aunque la realización del escaneo completo suele tardar bastante tiempo, dependiendo la complejidad de la web.

En el centro de la pantalla podemos ver los errores que el escaner va encontrando en la web.

Se encarga de diferenciar la gravedad del error encontrado, de vulnerabilidad muy grave, a leve.

Esta diferenciación, nos la va señalando con colores, siendo el rojo el de mayor gravedad, amarillo gravedad media y verde leve.

 

En la columna de la derecha, si pinchamos una de los resultados en concreto, se nos especificará en que consta esta vulnerabilidad, que peligro supone, y nos aconseja como podríamos soluccionarla.

En la web que estamos analizando - http://testhtml5.vulnweb.com - el escaner como podemos observar, ha encontrado por el momento: Un Cross site scripting, XML injection, vulnerabilidades en HTML, de Javascript library, etc...

Vamos a seleccionar la de Cross site scripting, a ver que nos indica Acunetix.


Vamos a fijarnos en los detalles.

Vemos los detalles del ataque realizado por acunetix, el impacto de las vulnerabilidades, etc.
Haciendo un correcto uso de esta información, y bajo los consejos que nos ofrece la herramienta, deberemos de poner solucciones a los problemas detectados.

De la misma manera, si vamos seleccionando las demás vulnerabilidades encontradas, cada una tendrá sus especificaciones técnicas concretas.