SiVuS - un escáner para VoIP

SiVuS es un veterano escáner de vulnerabilidades para redes VoIP que utilizan el protocolo SIP. Este escáner proporciona varias características para verificar la robustez y para asegurar la implementación de una red VoIP segura.



Las características de este escáner son las siguientes:

Generador de mensajes SIP: puede ser utilizado para enviar varios tipos de mensajes a un componente del SIP incluyendo contenido del SDP. Esta característica se puede utilizar para probar ediciones específicas del SIP o para generar varios ataques, como por ejemplo un ataque de denegación de servicios.


Explorador de componentes del SIP: explora una gama de direcciones IP para identificar los anfitriones que utilizan el protocolo SIP y se puedan utilizar como blancos para el análisis adicional. Es una opción del explorador que permite el descubrimiento preliminar de objetivos antes de una exploración real.


Explorador de la vulnerabilidad del SIP: El explorador proporciona la configuración flexible de varias opciones que se pueden utilizar, para verificar la robustez y la seguridad de una implementación del protocolo SIP. Se realizan chequeos como: análisis de las cabeceras de mensajes del protocolo SIP para identificar vulnerabilidades tales como desbordamientos del buffer o ataques de denegación de servicio, autentificación de mensajes que identifican componentes del SIP, autentificación de las peticiones del registro, inspección para las comunicaciones seguras (SIPS) y verificación de las capacidades de cifrado.


Componente de log: posee un completo sistema de log en HTML que permite omitir mensajes de error para crear logs mas fáciles de comprender, también posee base de datos para históricos.


Ayuda del SIP: el interfaz de SiVuS proporciona ayuda rápida en los aspectos más comunes sobre SIP que pueden ser útiles a un usuario mientras que utiliza SiVuS. La ayuda del SIP proporciona información sobre última versión del estándar RFC 3261 (SIP), muestra también ayuda a un usuario para construir mensajes SIP a través del generador.


Descarga Sivus 1.09:
http://www.vopsecurity.org/sivus-1.09.exe
Manual Sivus 1.09: http://www.vopsec.net/SiVuS-User-Doc.pdf
Seguridad en VoIP a través del protocolo ZRTP. http://vtroger.blogspot.com/2007/10/seguridad-en-voip-travs-del-protocolo.html
Herramienta de test de penetración para VoIP:
http://vtroger.blogspot.com/2007/10/herramienta-de-test-de-penetra

Extraído de http://unlugarsinfin.blogspot.es

HoneyBOT para Windows

HoneyBOT es un honeypot de baja interacción basado en Windows. Funciona abriendo un amplio rango de sockets en tu equipo relacionados con servicios vulnerables. Cuando un atacante se conecta a estos servicios se le intenta engañar haciéndole creer que se trata de un servidor real.


El honeypot captura de forma segura todas las comunicaciones del atacante y registra estos resultados para futuros análisis.


Además si el atacante intenta ejecutar un exploit o subir un rootkit o troyano al servidor el entorno puede almacenar de forma segura estos ficheros para analizarlos y añadirlos a la colección de malware.

Podéis encontrarlo en: http://www.atomicsoftwaresolutions.com


Extraído de http://unlugarsinfin.blogspot.es

Llamada a la participación en HackMeeting 2009

HackMeeting 2009
CALL 4 NODES LLAMADA A LA PARTICIPACIÓN v.1.0

..:: conocimiento | tecnología | poder ::..
..:: compartir | construir | resistir ::..


9-12 Octubre 2009, Madrid
http://sindominio.net/hackmeeting
http://blog.hackmeeting.org


* Qué: Encuentro Anual de Hacktivistas
* Dónde y Cuando: Del 9 al 12 de Octubre en el CSOA "Patio Maravillas",
C/ Acuerdo 8, Madrid.

* Fecha límite para propuestas: 4 de Octubre hasta las 12.00 GMT+2

intro
====================================

Este mensaje es una invitación a participar en la construcción del
hackmeeting 2009 para seguir tejiendo una red de actividades y
encuentros en torno al hacktivismo, el ciberespacio, la telemática y sus
dimensiones tecnopolíticas. Una red que se materializará durante un
intenso fin de semana autogestionado y libre, en el Patio Maravillas
(Madrid) del 9 al 12 de Octubre.


cómo proponer un nodo
========================================

Todas las propuestas de
http://sindominio.net/hackmeeting/index.php?title=2009/Nodos
se comentan en la lista de correo del HM (hackmeeting @ sindominio.net),
recomendamos, por tanto, que te suscribas a la lista en
http://listas.sindominio.net/mailman/listinfo/hackmeeting para empezar
a participar en el nodo que propongas y ver el proceso que sigue
tu propuesta.

En cualquier caso para proponer un nodo sigue las instrucciones
del wiki:
http://sindominio.net/hackmeeting/index.php?title=Manual/Proponer_un_nodo


otras formas de participación
========================================

Otras formas de participación aparte de los nodos de
actividades (como aportar material, participar en las
asambleas, coordinar actividades, hacer streaming,
traducciones, etc.) son bienvenidas y necesarias. Para
más información y coordinación la asamblea del HM se reúne
virtual y permanentemente en la lista de correo
hackmeeting @ sindominio.net.
Podéis suscribiros en:
http://listas.sindominio.net/mailman/listinfo/hackmeeting

Extraído de http://unlugarsinfin.blogspot.es

Defenderse de slowloris

Parece que, por el momento, definitivamente la mejor manera de contrarestar Slowloris sin modificar la configuración de Apache y sin asumir riesgos de disponibilidad es utilizar delante otro servidor web no vulnerable, como haproxy.

Si no se desea utilizar otro servidor web adicional se puede utilizar IPTABLES con el módulo connlimit (fig.1) o, ya a nivel de aplicación, utilizar el módulo de Apache mod_qos en conjunción con el mod_noloris (fig.2).

fig.1:

# /sbin/iptables -A INPUT -p tcp –syn –dport 80:443 -m connlimit –connlimit-above 12 –connlimit-mask 24 -j REJECT


fig.2:

# minimum request/response speed
QS_SrvMinDataRate 150 1200


No obstante, tal y comentamos, parece que lo más sencillo y seguro por el momento es usar un servidor web no vulnerable delante.

Para probar a contrarestar el ataque Slowloris, podemos modificar el puerto de nuestro servidor apache (8080) e instalar el servidor haproxy delante (80):


/home/usuario/haproxy-1.3.20 # wget <http://haproxy.1wt.eu/download/1.3/examples/antidos.cfg>
=> `antidos.cfg'
Proxy request sent, awaiting response... 200 OK
Length: 2,014 (2.0K) [text/plain]



100%[=======================================================================
===========>] 2,014 --.--K/s

00:54:38 (53.35 MB/s) - `antidos.cfg' saved [2014/2014]



/home/usuario/haproxy-1.3.20 # haproxy -?
HA-Proxy version 1.3.20 2009/08/09
Copyright 2000-2009 Willy Tarreau < <mailto:w@1wt.eu> w@1wt.eu>



Usage : haproxy [-f ]* [ -vdVD ] [ -n ] [ -N ]
[ -p ] [ -m ]
-v displays version ; -vv shows known build options.
-d enters debug mode ; -db only disables background mode.
-V enters verbose mode (disables quiet mode)
-D goes daemon
-q quiet mode : don't display messages
-c check mode : only check config files and exit
-n sets the maximum total # of connections (2000)
-m limits the usable amount of memory (in MB)
-N sets the default, per-proxy maximum # of connections (2000)
-p writes pids of all children to this file
-sf/-st [pid ]* finishes/terminates old pids. Must be last arguments.

/home/usuario/haproxy-1.3.20 # haproxy -f antidos.cfg



Una vez instalado haproxy, procedemos a lanzar el ataque para comprobar si es vulnerable:










Y efectivamente, comprobamos que nuestro servidor web deja de ser vulnerable a Slowloris:



/home/usuario/haproxy-1.3.20 # tail -f /var/log/apache2/error_log
[Wed Sep 16 23:36:52 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/
[Wed Sep 16 23:36:53 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/
[Thu Sep 17 00:48:04 2009] [notice] caught SIGTERM, shutting down [Thu Sep 17 00:48:05 2009] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Thu Sep 17 00:48:05 2009] [notice] mod_antiloris 0.4 started
[Thu Sep 17 00:48:05 2009] [notice] Apache/2.2.13 (Linux/SUSE)
mod_ssl/2.2.13 OpenSSL/0.9.8a configured -- resuming normal operations
[Thu Sep 17 00:48:32 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/
[Thu Sep 17 00:56:00 2009] [error] [client 172.20.32.223] Directory index forbidden by Options directive: /srv/www/htdocs/
[Thu Sep 17 00:56:04 2009] [error] [client 127.0.0.1] Directory index forbidden by Options directive: /srv/www/htdocs/
[Thu Sep 17 00:56:07 2009] [error] [client 127.0.0.1] Directory index forbidden by Options directive: /srv/www/htdocs/

Aquí no se salva ni D10s!

Desde este domingo, cualquiera que intente conectarse a la página web oficial de la AFA, se encontrará con el siguiente mensaje:


Y es que un grupo de intrusos informáticos identificados como 'KKR' subió a la página web de la Asociación del Fútbol Argentino (AFA) una fotografía del seleccionador Diego Maradona con la camiseta de Brasil.



Debajo del título 'Hacked by KKR' y de la foto de Maradona se lee "una imagen vale más que mil palabras...", lo cual bloquea la entrada a la página de la entidad AFA (mirror en Zone-H).

Los 'hackers' de KKR han bloqueado en los últimos tiempos, entre otras, la página del gobierno de la ciudad de Buenos Aires y de empresas multinacionales.

Maradona es blanco de duras críticas esta semana tras las derrotas de la selección argentina ante Brasil y Paraguay, que le han dejado en zona de repesca en las eliminatorias sudamericanas del Mundial 2010.

Fuente: Marca


Extraído de http://unlugarsinfin.blogspot.es

FOCA Release Candidate 1

Amigos de la FOCA, amigos todos.. llega la RC1:




De: Amigos De la Foca
Para: "micuenta@micuenta.ya" <>
Enviado: jueves, 10 de septiembre, 2009 19:35:58
Asunto: FOCA Release Candidate 1 has been published

FOCA Release Candidate 1 has been published
We are proud to announce that FOCA RC1 has been published. This new version has a lot of features you have asked for. In a short list:
- [+]Proxy supported
- [+]Added alternative domains
- [+]Search of IP address of servers in domains and alternative domains
- [+]Added scan IP range to search IP resolutions
- [+]Used Robtex to resolve IPs
- [+]Showed individual ACL in servers
- [+]Export Servers list
- [~]Better representation of network analysis
- [~]Improved used documents search
- [*]Fix error in bing search
You can download the new version from http://www.informatica64.com/FOCA. Please, send us your suggestions for improve, new ideas or bugs to be fixed to amigosdelafoca@informatica64.com. Also you can download OOMetaExtractor to clean OpenOffice documents from http://www.codeplex.com/OOMetaextrator and try Metashield Protector to clean documents published in your website from http://www.metashieldprotector.com
Informatica64
Extraído de http://unlugarsinfin.blogspot.es

Jugando con Yashira

Como ya sabemos, los Wargames & Challenges son websites donde existen pruebas especiales para que practiques tus habilidades y tu pericia, no solo en hacking, sino en cracking, programacion, cifrado, etc...

En esta ocasión os presento a http://www.yashira.org/, que ha iniciado el año 2009 con 10 nuevos retos en 6 diferentes categorías con diferentes niveles de dificultad (para que así todos puedan participar).

De lo destacado de esta nueva entrega es una nueva saga traída de la mano de g30rg3_x llamada "Sniffing" que vendrá a satisfacer la necesidad de aquellas personas quienes gustan de este arte o simplemente les gustan los retos de seguridad informática (hacking) en Yashira.


Extraído de http://unlugarsinfin.blogspot.es

El tamaño no importa, ¿o sí? ;-)


Dicen que las cosas pequeñas de la vida son las más importantes. Leyendo los premios concedidos por Kapersky a lo mejor del malware en 2007, llama la atención que el código malicioso de menor tamaño hace lo mismo que el de mayor tamaño: borrar en el disco.

Este pequeño malware, de tan sólo 9 bytes, no es otro que Trojan.DOS.DiskEraser.b, y su código en ensamblador puede obtenerse aquí.

Otro repositorio de código fuente malicioso, y quizás uno de los más famosos es http://www.totallygeek.com/vscdb/, y existen muchos más, ¿cuál es vuestro ‘bicho’ favorito?


Extraído de http://unlugarsinfin.blogspot.es