Nessus - Escaneo de vulnerabilidades

Hace unas semanas ya estuvimos desgranando a grosso modo el escaner de vulnerabilidades Acunetix.
Hoy le ha tocado el turno a otro de los punteros en el ámbito de la seguridad: "Nessus".

Nessus es un escaner desarrollado por Tenable Network Security (posiblemente el más conocido del mundo de su tipo).
En la web de Tenable podrás descargarte varias versiones de "Nessus", desde la "Home" que es totalmente gratuita (pero con bastantes limitaciones), a versiones de prueba de "Professional", "Manager" y "Cloud".

En esta entrada yo utilizaré la versión "Home".

 Una vez descargada Nessus te pedirá un usuario y contraseña, para ello solo tienes que registrarte gratuitamente en la web y ellos te enviarán tus claves al mail.

Una  vez dentro del menu, vemos que hay un botón que nos indica "New Scan", a través de él accedemos a los "Scanner templates" donde vemos todas las posibilidades que Nessus nos ofrece.
Veremos que algunos de ellos son inaccesibles a nosotros debido a que lo hacemos desde la versión "Home" (está limitada).


Como vemos Nessus permite exploraciones de diferentes ámbitos y para diferentes tipos de vulnerabilidades:
-Vulnerabilidades de acceso y control, de configuración de sistema, contraseñas, denegación de servicio, etc.

Para realizar una prueba de escaneo avanzado "Advanced Scan", voy a utilizar alguna de las utilidades que he ido necesitando en otras entradas.
Como necesitamos algo que escanear y para ver algo que sea interesante lo suyo es que sea medianamente vulnerable, voy a utilizar "Metasploitable 2", un sistema de servicios vulnerables los cuales pueden ser explotados usando metasploit, pero que en este caso nos va a ser muy útil.

(Para saber de lo que hablo, leer Metasploit 3ªParte).

Una vez instalada y arrancada "Metasploitable 2" como ya hemos visto en otras ocasiones, con el comando "ifconfig" conseguimos la Ip de esta máquina virtual, que va a ser la IP que voy a usar en Nessus.

 
 Volviendo a Nessus....en los diferentes tipos de escaneo elijo el de escaneo avanzado.

 Relleno los parámetros mínimos requeridos, nombre, descripción y el objetivo.
 En mi caso el Target u objetivo, es la IP de la máquina virtual de Metasploitable (192.168.1.38).
Guardamos.



Si vamos al menu principal vemos que ya se ha guardado nuestro proyecto, así que solo tenemos que dar "play" y el escaneo comenzará.

 Te recomiendo que te armes de paciencia, ya que depende del espectro de actuación de análisis que hayas elegido puede tardar bastante.

Nessus comienza escaneando los puertos buscando los que están abiertos y después utiliza exploits para atacarlo.
Cuando el proceso haya acabado, si accedemos a los informes de nuestro escaneo encontraremos algo parecido a la siguiente imagen, que variará dependiendo del caso, de las vulnerabilidades encontradas y la gravedad de las mismas.

Nessus clasifica las vulnerabilidades dependiendo de su gravedad por colores:

- Rojo = Critica

- Naranja = Alta

- Amarillo = Media

- Verde = Baja

- Azul = Info

Vienen muy bien identificadas y explicadas, ya que las vulnerabilidades encontradas se muestran por filas, pero vienen también colocadas acorde a las columnas que especifican información, mandando en su orden como ya he indicado de mayor a menor criticidad. Nos señala también el "plugin name" al que afecta dicha vulnerabilidad, la familia a la que pertenece, etc.

Si seleccionamos cualquiera de las vulnerabilidades clicando sobre ella, accederemos a toda la información pormenorizada de esta.

Nessus nos muestra una descripción de la vulnerabilidad, que está pasando y como puede afectarnos.
Seguidamente más abajo nos sugiere una posible solucción al problema y acceso a más info complementaria.

Muy interesante es lo que nos ofrece la columna a la derecha del todo, con los datos más importantes de dicha vulnerabilidad y sobre todo el detalle de indicarnos si existe algún parche para la vulnerabilidad y su nombre, facilitando mucho nuestro trabajo.

Dejo algún pantallazo más para ver resultados de vulnerabilidades encontradas en este análisis de prueba.

Ingeniería Social - La amenaza invisible / Entrevista a Ismael González Durán

He decidido que a lo largo de su andadura, en este blog dedicaré bastantes entradas a hablar de lo que yo considero una de las mayores amenazas de nuestro tiempo "La Ingeniería social".
Y es que nos encontramos en una era, en la que fuerza física, armas o dinero han pasado a un segundo plano, dando todo el foco de importancia a la información. Quien posea más información tendrá el dominio absoluto sobre muchas cuestiones.

Con estas afirmaciones no estoy diciendo nada nuevo, de hecho si no tuvieramos claro esto, ni si quiera existiría la seguridad informática. Pero actualmente damos importancia y sobre todo en el mercado, tanto a productos como a servicios orientados a un tipo de seguridad más "visible" por definirlo de alguna manera, más física. Antivirus, firewalls, hardware de seguridad, Sistemas de detección de intrusos (IDS), test de intrusión... Pero estamos en la mayoría de los casos (no quiero generalizar) descuidando un aspecto muy importante, "el componente humano" y ahí es donde entra en juego la ingenieria social.

Hace unos días leí en una publicación una cita que define esto a la perfección:
"El componente más débil de los sistemas de la información, es el componente humano".

En las entradas posteriores me pondré más técnico tratando herramientas de apoyo de la ingeniería social, como ya lo he hecho anteriormente con por ejemplo una de las principales herramientas de recopilación de información (MALTEGO - Recopilación de datos básica) , pero este artículo será más bien introductorio y de presentación al término.

 ¿Que es la Ingeniería Social?
Muchas son las formas en las que se ha definido y muchas son de las que se puede definir, pero a fín de cuentas, en una definición para todos los públicos, es una seríe de técnicas y/o tácticas de actuación, que mediante el uso de psicología (forma de hablar, ganarse la confianza de la víctima, apoyarse en descuidos del objetivo, engañarle mediante la facilitación de datos confidenciales,...) conseguiremos el acceso a datos confidenciales de terceros.
En el caso de la seguridad informática, dichas prácticas tendrán el objetivo de conseguir dicha información relevante, para acceder a sistemas, robar datos, modificarlos o destruirlos, realizar acciones fraudulentas, etc.

Cuando al principio del artículo, incluso en el título, hablo de amenaza invisible, me refiero a que otros aspectos a los que considero se les da más importancia los cual ya he nombrado, se pueden monitorear y vigilar en algún sentido (un intruso o un virus pueden ser detectados por un IDS o un antivirus), pero la Ingeniería social puede causar daños incluso mayores sin ser detectada, ya que contra las vulnerabilidades que atenta son las de un individuo, un ser humano, contra lo que no hay posible defensa.

Para el que todavía no lo haya visto claro, un ejemplo de Ingeniería social, el más simple:
Un individuo coge una carta de telefónica de un buzón de su edificio.
En la carta tenemos nombre y apellidos, dirección, (algunos datos más que nadie puede saber), cuota que se a cobrado ese mes, teléfono, etc.
Una simple llamada al número de telefono:
-Buenos días, estamos haciendo reajustes de línea. ¿Hablo con José Angel Rodríguez Martín? ¿Calle Cuba, 26? Me facilita su Dni si es tan amable...
Este més le hemos cobrado 96,54 ¿Es cierto? Sí. .......A partír de aquí le hemos facilitado datos que nadie más sabría.
-Le voy a reconfigurar el Router, ¿me puede facilitar su clave?
Ya tenemos Wifi gratis en el edificio.

ESTO ES INGENIERÍA SOCIAL

La solucción: Un buen entrenamiento del equipo humano y unas buenas políticas de seguridad de actuación en una empresa u organización y una concienciación generalizada a la gente de la calle.

El ejemplo a simulado una de las formas más simple y sencillas, pero hablando de alguna manera, podemos decir que hay verdaderas obras de arte en el desarrollo de las técnicas de engaño y manipulación.

Encontramos multitud de ataques dirigidos y todo tipo de técnicas, físicas y lógicas y por desgracia muy de actualidad. Muchos de ellos los trataré en próximas entradas:
Phising, Vishing, obtención de información a través de fuentes abiertas (OSINT), Smishing, Personificación, programación neurolingüística (PNL), lockpicking y un largo etc.

Si quieres estár actualizado sobre posibles estafas por ejemplo en twitter @GDTGuardiaCivil cada día encontramos avisos de estafas nuevas que circulan por la red.















En internet podemos encontrar diversa y extensa información sobre la Ingeniería social, pero en este caso he preferido ponerme en contacto con el analista de seguridad y experto en la materia y coautor del libro:
"Hacking con Ingeniería Social. Técnicas para hackear humanos" del editorial RA-MA:

Ismael González Durán

D.H.: ¿Como ves la I.Social en la actualidad? ¿Crees que se le da menos importancia de la que se merece?

Ismael González D.:  Efectivamente, creo que en la actualidad no se le da la importancia que se debería a la Ingeniería Social. En lo años 80s cuando Kevin Mitnick hizo de las suyas y la tecnología estaba menos avanzada uno de los principales riesgos que tenian las empresas eran los temidos ataques de ingenieria social por suplantación. Y en aquella época las empresas si tomaron más conciencia.

Sin embargo pienso que en la actualidad se ha descuidado el pensar en los riesgos que supone un ataque de IS. Las empresas pusieron ciertas medidas de seguridad en su momento y ciertas barreras para impedir estos ataques, pero al igual que avanza la tecnología avanza también el desarrollo de nuevos ataques y eso si que no lo están teniendo presente las empresas.

Por eso pienso que en la actualidad se debería de hacer un poco más de enfoco en el pricipal riesgo de seguridad en una empresa, el factor humano.

D.H.: A nivel del usuario normal de la calle, vemos cada día cientos de intentos de engaño, vía phising por ejemplo, y muchos de ellos no se quedan en intento si no que consiguen su objetivo.
A nivel empresa y organizaciones ¿Como ves el panorama actual? ¿Las ves preparadas? ¿Como deberían intentar soluccionar estas carencias?

Ismael González D.:  Bueno más o menos la respuesta a esta pregunta está ligada con la anterior.
Lo mas importante para lidiar la situación de engaños, suplantación o cualquier otro tipo de ataque, es la propia concienciación del usuario o empresa.

Mientras empresas y organizaciones no estén concienciadas de los riesgos que suponen los ataques de ingeniería social, siempre seguirán siendo vulnerables
D.H.: ¿Cual consideras los ataques más peligrosos y que se podría a llegar a conseguír con ellos?

Ismael González D.: Desde mi experiencia profesional podría decir que los ataques más peligrosos son los de suplantación de identidad de cualquier tipo, ya sea una llamada telefónica, un mail, un simple mensaje de texto.
 El riesgo que puede suponer esto, además de la obtención de datos sensible de los empleados, directivos, etc, es la obtención de credenciales que puedan suponer un acceso a los servidores y sistemas críticos de la empresa. Bases de datos, CRMs, controladores de dominio, etc.

D.H.:  Por último. Yo en mi opinión propia, creo que a la gente se le está yendo de las manos el derroche de información desde hace unos años, el facilitar datos personales a cada momento del día, donde están, con quien, que hacen, como viven, ... ¿Las redes sociales se nos han ido de las manos? ¿Son un peligro o están mal enfocadas en su uso? ¿Tú que recomiendas al usuario normal?

Ismael González D.:  En el mundo de las redes sociales existen dos problemas potenciales en los usuarios, por una parte existe el mal uso que se les da y por otra la poca concienciación que se tiene sobre los riesgos que supone exponer todos esos datos.

Facebook, twitter, Instagram, o cualquier otra red social no son en sí el problema.
Éstas como tal fueron creadas para compartir, y además tiene medidas de seguridad y privacidad que el usuario puede configurar de una forma muy granular si lo desea para evitar posibles fugas de información, el problema radica en la experiencia del usuario, y en el no conocer que riesgos supone hacer publica toda esta información.

Aquí no podría dar una sola recomendación como solución, sino que se trata de algo que el usuario tiene que ir aprendiendo y conocer y saber cuales son los riesgos de toda esa información expuesta.

Aunque en este punto, si que se puede apreciar que hay dos tipos de sector bien diferenciados por su edad, donde unos están más concienciados que otros.
Las personas comprendidas entre los 30 y los 55 años, están mucho menos conienciadas que los usuarios con edades comprendidas entre los 18 y los 30. Al final solo es una cuestión de educación, hábitos, costumbres y concienciación como decía.



Podemos seguir a Ismael en su blog:
http://www.kontrol0.com/

"Autopsy Forensic Browser" - Analizando evidencias digitales (2ªPARTE)

.... creada una dirección de Host para la prueba que se va a realizar "Prueba.koox" y ya con esto configurado, el siguiente paso es añadir la imagen que vamos a analizar.

Pulsamos "Add image".

"Add image file" Le vamos a indicar donde está la imagen que queremos analizar.

En mi caso, como ya indique al principio de la (1ªParte) he guardado la imagen de disco que quiero analizar en una carpeta en mi escritorio con el nombre "autopsy".

 Por tanto yo le diré que va a encontrar mi objetivo en: /root/Escritorio/autopsy/flash_drive.img

En "type" le indicamos si la imagen es de un disco o una partición.
De todas formas como se puede ver en las imagenes todo es muy intuitivo y vienen muy bien especificados los pasos a seguír.

A no ser que queramos algo más específico lo dejamos por defecto, "Add".

Como vemos ya está todo configurado y nos da la opción de pasar a analizar, o si queremos añadir alguna imagen más a estudiar.

En este caso pasaremos directamente al análisis de la imagen que tenemos ya cargada y seleccionada.
Pulsamos "Analyze".

Ya estamos dentro.

Como se puede ver "Autopsy Forensic Browser" nos ofrece varias opciones.
No voy a meterme en profundidad con ninguna de ellas. Yo aquí ya te recomiendo que vayas probando todas las posibilidades y los resultados que nos ofrecen.

Podemos: Analizar el interior del disco navegando por sus archivos y documentos, realizar busquedas concretas (muy útil en caso de estar buscando algo muy concreto, una palabra específica, etc.), metadatos de documentos (algo muy interesante que ya trataremos en otro artículo),...

La verdad que Autopsy es una herramienta muy sencilla y que nos puede ofrecer bastante dentro de lo que es.

Por ejemplo vamos a ver un par de pestañas.
Si seleccionamos "Image Details" nos devolverá la información general del sistema.

Si seleccionamos "File analysis".

Vemos como nos ofrece un análisis muy completo de el interior del disco. 

Podemos ir analizando archivo por archivo, abrir todo tipo de documentos y estudiarlos.

Autopsy genera completos reportes sobre el todas las características de las evidencias encontradas.
Permiten visualizar el estado de MD5 y SHDA1, con el fin de comprobar que las evidencias examinadas desde una copia no han sido modificadas o alteradas con respecto a las evidencias originales, lo cual supone un punto más a favor de esta buena herramienta de análisis forense.

"Autopsy Forensic Browser" - Analizando evidencias digitales (1ªPARTE)

Ayer navegando y poniendome al día en las novedades dentro del análisis forense digital, me di cuenta de los pocos resultados que encontraba en Castellano y sobre artículos de herramientas muy útiles y realmente interesantes. Por eso que voy a dedicar esta entrada a "Autopsy".

¿Qué es Autopsy?
Sin duda una de las mejores herramientas de software libre para el análisis de evidencias digitales.

Aunque podemos encontrarla para diferentes sistemas operativos, voy a hacer una muestra en esta entrada con Autopsy para Linux.
Si estás trabajando en la plataforma Kali Linux lo encontrarás en el apartado de herramientas de análisis forense.

Para los que no os gusta trabajar a través del terminal tranquilos, porque pese a tener que arrancarlo desde él, rápidamente nos indica que ya podemos abrir su interfáz gráfica en el navegador a través de:
localhost:9999/autopsy







Autopsy soporta sistemas de ficheros NTFS, FAT, UFS1/2, Ext2/3, y puede hacer análisis tanto en sistemas que se encuentran en funcionamiento de los cuales tengamos algún tipo de sospecha y queramos investigar, como en sistemas muertos en los que analizaremos por ejemplo su estructura, integridad de archivos, documentos, incluso datos que han sido suprimidos con anterioridad.

En esta entrada y como lo que quiero mostrar es simplemente su funcionamiento y potencial, me voy a limitar a investigar un imagen de disco con lo que podremos ver que cosas podemos conseguir.
Una vez estemos utilizando Autopsy nos daremos cuenta que es muy fácil e intuitivo, así que basaré este artículo en una serie de pantallazos en los que iremos siguiendo el proceso de puesta en marcha de un análisis.

Si alguien quiere seguir la práctica, como he dicho partimos del hecho de que tenemos en nuestro poder una imagen de disco la cual vamos a análizar, así que os recomiendo que os hagáis una para pruebas como esta.

Yo he guardado la mía en /root/Escritorio/autopsy/flash_drive.img

Bien...Una vez arrancado en el navegador como vemos en la anterior imagen, seleccionamos "New case".

Ponemos un nombre al análisis para posteriormente poder seguirlo, ya que se guardará en nuestro sistema.

"New Case"

Seleccionamos la que acabamos de crear y "OK".

Nos informa que debemos de crear un Host, así que añadímos uno.

Rellenamos todos los datos que creamos necesario (no son obligatorios). Yo dejo el de defecto "host1".

Como vemos se ha creado una dirección de Host para la prueba que se va a realizar "Prueba.koox".

Con esto ya configurado, el siguiente paso es añadir la imagen que vamos a analizar.
Pulsamos "Add image".


SIGUE EN "Autopsy Forensic Browser" SEGUNDA PARTE ....