Los ataques del núcleo

Saludos Mundo LIbre.

He leido un articulo sobre Los ataques del núcleo que lo boy a traducir en dos partes asi que aqui tienen la primera.

Los ataques del núcleo a través de devoluciones de llamada de modo de usuario
Tarjei Mandt Norman Investigación de Amenazas tarjei.mandt @ norman.com Resumen.

Hace 15 años, Windows NT 4.0 introdujo a Win32k.sys abordar las limitaciones inherentes de los mayores de cliente-servidor subsistema de gráficos sistema modelo.

Hoy en día, win32k sigue siendo un componente fundamental de la arquitectura de Windows y gestiona tanto el gestor de ventanas (User) y la Interfaz de dispositivo gráfico (GDI). Con el fin de correctamente intercara con los datos en modo de usuario, win32k utiliza devoluciones de llamada en modo de usuario, un mecanismo que permite al kernel para hacer llamadas de nuevo en modo de usuario. Por el usuario callbacks modo de permitir una variedad de tareas tales como la invocación de la aplicación de nido ganchos, proporcionando eventos cationes NotI, y la copia de datos a / desde de modo de usuario. En este trabajo se discuten los retos y problemas sobre devoluciones de llamada en modo de usuario en Win32k. En particular, se muestra cómo dependencia win32k en cerraduras mundiales en proveer un ambiente seguro para subprocesosción no se integra bien con el concepto de devoluciones de llamada en modo de usuario.

Aunque muchas vulnerabilidades relacionadas con devoluciones de llamada en modo de usuario han sido dirigida, su naturaleza compleja sugiere que más sutil aws podría aún estar presente en win32k. Así, en un correo? ORT para mitigar algunos de los
más prevalentes clases de errores, de manera concluyente que ofrecen algunas sugerencias a cómo los usuarios pueden protegerse contra ataques futuros del kernel.

Palabras clave:

Win32k, de modo de usuario devoluciones de llamada, las vulnerabilidades 1 Introducción En Windows NT, el subsistema de entorno Win32 permite a las aplicaciones ininterface con el sistema operativo Windows e interactuar con componentes tales
como el Window Manager (Usuario) y la interfaz de dispositivo gráfico (GDI).

La subsistema proporciona un conjunto de funciones, conocidos colectivamente como la API de Win32 y sigue un modelo cliente-servidor en el que las aplicaciones cliente comunicarse con un servidor más privilegiado de los componentes.

Tradicionalmente, el lado del servidor del subsistema Win32 se implementó en el tiempo de ejecución de cliente-servidor subsistema (CSRSS). Con el fin de proporcionar una óptima pormiento, cada hilo en el lado cliente tenía un hilo emparejado en el Win32 servidor en espera en una facilidad de comunicación entre procesos especial llamado Fast LPC.

Como las transiciones entre temas apareados en LPC Fast no requería una programación suceso en el kernel, el hilo servidor podría funcionar durante el intervalo de tiempo restante de el subproceso de cliente antes de tomar su turno en el hilo preventiva planificador. Adnalmente, la memoria compartida se utiliza tanto para grandes transferencias de datos y proporcionando clientes acceso de sólo lectura a servidor gestionado estructuras de datos para reducir al mínimo la necesidad para las transiciones entre los clientes y el servidor de Win32.

A pesar de las mejoras de rendimiento hechas a los Win32 tradicionales sub sistema, Microsoft decidió con el lanzamiento de Windows NT 4.0 para migrar una gran parte del componente de servidor en modo de núcleo.

Esto condujo a la introducción de Win32k.sys, un controlador en modo kernel de gestionar tanto el gestor de ventanas (Usuario) y la interfaz de dispositivo gráfico (GDI). El paso a modo de núcleo en gran medida reproducida la sobrecarga asociada con el diseño del subsistema de edad, por tener mucho hilo y menos cambios de contexto (y usando el usuario mucho más rápido / kernel transición) y reducir los requisitos de memoria. Sin embargo, como usuario / kernel transiciones
están relativamente lento en comparación con el código directo / acceso a los datos dentro de la misma privilegio, algunos viejos trucos como el almacenamiento en caché de las estructuras de gestión en el de modo de usuario porción del espacio de direcciones del cliente se mantiene todavía. Por otra parte, algunas estructuras de gestión se almacenan exclusivamente en modo de usuario con el fin de evitar transiciones de anillo. Como Win32k necesitaba una manera de acceder a esta información y También soporta la funcionalidad básica, como las ventanas de enganche, requería una forma de pasar el control al cliente de modo de usuario. Esto se realizó mediante el modo de usuario callback mecanismo.

De modo de usuario callbacks win32k permitir realizar llamadas de nuevo en modo de usuario y realizar tareas tales como la invocación de aplicaciones de nido ganchos, proporcionando evento no cationes Ti, y la copia de datos desde / hacia el modo de usuario. En este artículo, se discute la muchos desafíos y problemas relativos a las devoluciones de llamada en modo de usuario en Win32k.

En en particular, se muestra cómo el diseño win32k en la preservación de la integridad de los datos (por ejemplo, en
depender de bloqueo global) no se integra bien con el concepto de modo de usuario devoluciones de llamada. Recientemente, MS11-034 [7] y MS11-054 [8] abordó varios vulnerables en un correo? ORT para hacer frente a múltiples clases de errores relacionados con devoluciones de llamada en modo de usuario.

Sin embargo, debido a la compleja naturaleza de algunos de estos problemas y la prevalencia de las devoluciones de llamada en modo de usuario, aws más sutil es probable que sean aún presente en win32k.

Así, en un correo? ORT para mitigar algunas de las clases de errores más frecuentes, se con exclusivamente discutir algunas ideas en cuanto a lo que Microsoft y los usuarios finales pueden hacer reducir aún más el riesgo de ataques futuros en el subsistema win32k.

El resto del trabajo se organiza de la siguiente manera. En la sección 2 se revisan de nuevomaterial del suelo necesario para comprender la que quedaba del papel, centrado en objetos de usuario y devoluciones de llamada en modo de usuario. En la sección 3, discutimos nombre de la función decoración en win32k y presente varias clases de vulnerabilidad propias de Win32k y en modo de usuario devoluciones de llamada. En la sección 4, se evalúa la posibilidad de explotación de vulnerabilidad Las habilidades disparadas por devoluciones de llamada en modo de usuario, mientras que en la Sección 5 intento de advestir a estos ataques mediante la propuesta de medidas de mitigación para las clases de vulnerabilidad prevalente.

Por último, en la Sección 6 se ofrecen ideas y sugerencias sobre el futuro de win32k y en la sección 7 se proporciona una conclusión del trabajo.

2 Antecedentes

En esta sección, se revisan los antecedentes necesarios para entender el resto del documento. Comenzamos Win32k brie y su introducción y arquitectura, antes de pasar a especificaciones más componentes C, tales como la Ventana
Manager (centrado en los objetos de usuario) y el mecanismo de devolución de llamada en modo de usuario.

2,1 Win32k Win32k.sys fue presentado como parte de los cambios realizados en Windows NT 4.0 a aumentar el rendimiento gráfico de representación y reducir los requisitos de memoria de Aplicaciones de Windows [10]. En particular, el Administrador de Windows (usuario), así como la Interfaz de dispositivo gráfico (GDI) se mudó de la ejecución de cliente-servidor de sub sistema (CSRSS) e implementado en un módulo de núcleo de su propio.

En Windows NT 3.51, la representación gráfica y la gestión de la interfaz de usuario se realiza por CSRSS utilizando una forma rápida de comunicación entre procesos entre la aplicación (Cliente) y el proceso del servidor subsistema (CSRSS.EXE). Aunque este diseño se ha optimizado para el rendimiento, la gran cantidad de gráficos de Windows naturaleza de plomo
los desarrolladores de pasar a un diseño basado en kernel con las llamadas al sistema mucho más rápido.

Win32k esencialmente consta de tres componentes principales: el dispositivo de gráficos Interface (GDI), el gestor de ventanas (User) y procesadores para DirectX API para apoyar tanto el XP/2000 y Longhorn (Vista) modelos de controlador de pantalla (a veces también se considera para ser una parte de GDI). El gestor de ventanas es responsable para la gestión de la interfaz de usuario de Windows, tales como el control de escaparates, la gestión de la salida de pantalla, recogiendo las aportaciones de ratón y el teclado, y de paso ING mensajes a las aplicaciones. GDI, por otro lado, se refiere sobre todo
la representación de gráficos e implementa GDI objetos (cepillos, lápices, superficies, dispositivos contextos, etc), el motor de procesamiento de gráficos (Gre), soporte de impresión de color ICM, a juego, una biblioteca de matemáticas de punto otante, y el apoyo de la fuente.

A medida que el diseño del sistema tradicional de CSRSS se construyó en torno a tener un proceso por usuario, cada sesión de usuario tiene su propia copia de win32k.sys correlacionada. La concepto de sesiones también permite a Windows para proporcionar una separación más estricta entre los usuarios (de otro modo conocido como aislamiento de la sesión). A partir de Windows Vista, servicios se trasladaron también a su propia sesión no interactiva [2] para evitar la serie de problemas asociados con sesiones compartidas como rompen los ataques [12] y vulnerabilidades en los servicios privilegiados. Por otra parte, el Usuario Interface Privilege Iso mento (UIPI) [1], aplica el concepto de niveles de integridad y asegura que bajo
procesos de privilegios no pueden interactuar (por ejemplo, mensajes de paso a) los procesos de una mayor integridad.

Con el fin de interactuar correctamente con el ejecutivo NT, win32k varios registros (llamadas PsEstablishWin32Callouts
) Para apoyar a los objetos GUI orientados tales como escritorios y estaciones de ventana. Es importante destacar que también registra win32k llamadas para subprocesos y procesos de las estructuras ne por hilo y por los procesos utilizados por el subsistema de interfaz gráfica de usuario.

GUI Temas y Procesos

Como no todos los hilos de hacer uso de la GUI sub sistema, la asignación de las estructuras de interfaz gráfica de usuario por adelantado para todas las discusiones sería una pérdida de espacio. Por lo tanto, todas las discusiones sobre el inicio de Windows como sin interfaz gráfica (12 temas pila KB).

Si un hilo accede a cualquiera de los usuarios o las llamadas GDI del sistema (número > = 0x1000), Ventanas promueve el hilo de un hilo GUI ( nt! PsConvertToGuiThread ) y llama al proceso y llamadas de rosca. En particular, un hilo de interfaz gráfica de usuario tiene un mayor hilo pila para afrontar mejor la naturaleza recursiva de win32k así como el apoyo
modo de usuario callbacks que pueden requerir espacio adicional de la pila 1 para marcos de trampa y otros metadatos.

Cuando el hilo de RST de un proceso se convierte en un hilo de interfaz gráfica de usuario y llama W32pProcessCallout
, Win32k llama win32k! xxxInitProcessInfo para inicializar el por proceso W32PROCESS / ProcessInfo 2 estructura.

Especıficamente, esta estructura sostiene GUI información relacionada con espec ca para cada proceso, tales como la asociada
escritorio, estación de ventana y el usuario y cuenta con GDI mango. Los asigna la función la misma estructura en win32k! AllocateW32Process antes de que el usuario relativos ELDs se inicializan en win32k! xxxUserProcessCallout seguido por el GDI
ELDs relacionados inicializado en GdiProcessCallout.

Además, win32k también inicializa un hilo por W32THREAD / THREADINFO estructura para todos los temas que se convierten en hilos GUI. Esta estructura tiene hilo espec co información relacionada con el subsistema de interfaz gráfica de usuario, tales como información en las colas de cadena de mensajes, registrada ventanas ganchos, escritorio dueño, menú
estado, y así sucesivamente. Aquí, W32pThreadCallout llamadas win32k! AllocateW32Thread a asignar la estructura, seguido
GdiThreadCallout y UserThreadCallout para inicializar la información propia de la GDI y subsistemas de usuario respectivamente.

La función más importante en este proceso es win32k! xxxCreateThreadInfo , que es responsable de la inicialización de la estructura de información hilo.

Window Manager 2.2

Una de las funciones importantes del gestor de ventanas es llevar un registro de usuario entidades tales como ventanas, menús, cursores, etc. Esto se hace mediante la representación entidades como objetos de usuario y mantiene su propia tabla de identificador para realizar un seguimiento de su uso dentro de una sesión de usuario. Así, cuando una aplicación solicita una acción a realizar en una entidad de usuario, proporciona su valor de identificador que el mango
e manager cientemente se asigna al objeto correspondiente en la memoria del kernel.

Objetos de usuario

Los objetos de usuario se dividen en tipos y por lo tanto tienen su propia Tipo espec cos estructuras. Por ejemplo, todos los objetos de la ventana son de nidas por el win32k! tagWND estructura, mientras que los menús son de nidas por el
win32k! tagMENU estructura.

Aunque los tipos de objetos son estructuralmente di? Erent, todos comparten un común cabecera conocido como el CABEZA
estructura (Listado 1).
La CABEZA estructura tiene una copia del valor mango ( h ) Así como un recuento de bloqueos ( cLockObj ), Incrementa cada vez que un objeto está siendo utilizado.

Cuando el objeto está ya no se usa por un componente en particular, su recuento de bloqueos es decrementado.
En el punto donde el recuento de bloqueos llega a cero, el administrador de ventanas sabe que el objeto ya no está siendo utilizado por el sistema y lo libera.

Saludos Mundo Libre.

Hacking Wifi

Saludos Mundo libre.

Hoy fui al super y me toco cuidar a la nena asi que como no tenia nada que hacer mas que cuidar a la nena pues ni modo a hackear una red y en esta ocasion le toco a una de megacable del super comercia mexicana que se encuentra en la hermanos serdan en puebla a si que hay se las dejo.

             megacable    26 5A A1 E8 84

asi que espero que la disfruten y recuerden a liverar el acceso al internet.

Hackeada con wifite en backtrack4.

Dellcom1@.

Saludos Mundo Libre.

Principales usos de Internet en Mexico

Saludos Mundo Libre.

 

 

He leido un articulo en el periodico sobre los principales usos que en mexico se da a internet y la estadistia es asi.

Obtener Informacion con un 59.7 %
Labores Escolares con un 51.8 %
Comunicacion con un 49.3 %
Entretenimiento con un 39.5 %
Apoyo al Trabajo con un 30.2 %

Segun esta estadistica o estudio fue realizado por el inegi.

www.inegi.org.mx

Bueno pue yo totalmente en contra sobre esa estadistica  para mi muy incuerente hay se las dejo que si tu entras en esta estadistica tedigo que no conoces la internet .

Dellcom1@.


Saludos Mudo Libre

Day 0

Saludos Mundo Libre.

Hoy les traigo una de Day 0.


Apple, Facebook y "cientos de otras compañías" han tenido sus computadoras Mac hackeados en una sofisticada campaña montado por un adversario desconocido.
Los atacantes fueron capaces de infectar Apple, junto con otras empresas de todo el mundo con malware Mac entregado a través de Java vulnerabilidad de día cero, informó Reuters el martes, después de recibir información de una fuente de Apple.
El truco utilizado el mismo Java de día cero y malware asociado Mac como el que Facebook reveló la semana pasada, la fuente de Apple se indica.
Cientos de compañías, incluyendo a los contratistas de defensa, han sido infectados con el software malicioso mismo, dijo la fuente.
"Este es el primer ataque realmente grande en Macs", dijo a Reuters la fuente, "Apple tiene más en sus manos que el ataque a sí mismo."
Apple planea lanzar una herramienta de software para detectar y eliminar el malware relacionada con Java, informó la compañía en un comunicado a AllThingsD. Java no se ha enviado con Macs desde el lanzamiento de OS X Lion.
El malware para Mac podría haber sido utilizado para ofrecer una puerta trasera en los equipos a través de la instalación de un demonio SSH, permitiendo a los hackers controlar de forma remota las partes del sistema afectado, expertos finlandeses virus F-Secure indicó en un blog el lunes.
A la vez, se clasifica el hack de Facebook como un "pozo de agua" ataque, que pretendía dirigirse a usuarios de Facebook mediante la infección de la compañía detrás de la red social.
Con las revelaciones de Apple, parece que el ataque podría haber sido parte de una amplia campaña contra la piratería diversas empresas como Facebook y Twitter también.
En el momento de redactar Google no ha respondido a las preguntas sobre si había sido también blanco, y Microsoft no quiso hacer comentarios.
La noticia llega junto a la publicación de un informe el martes que unía el Ejército Popular de Liberación de China a los piratas informáticos que han sido un montaje "Guerra Fría" campaña de estilo contra las compañías occidentales.
El informe de la PLA implicado en una variedad de importantes campañas de hacking que han ocurrido durante los últimos años, incluyendo 2011 de hackeo que comprometió tokens RSA SecurID cifrado. ®

Fuente:http://www.theregister.co.uk/2013/02/19/apple_hacked/

Traduccion:Dellcom1@.

Paladin

Saludos Mundo Libre.

Como siempre les traigo las mejores iso para forenses y ahora le toca a.

Adquisición Forense Vista previa y Análisis - simplificado!


PALADIN es una modificación de la distribución Linux Live basada en Ubuntu que simplifica el proceso de creación de imágenes forenses de manera forense de sonido. PALADIN fue diseñado con el entendimiento de que muchos de los encargados de la creación de imágenes forenses no se siente cómodo con el uso de la línea de comandos, pero todavía quiere utilizar el poder de Linux. PALADIN también fue diseñado con el entendimiento de que muchas agencias o compañías tienen presupuestos limitados. PALADIN viene en dos sabores - la libre versión de DVD y USB como un estilo de tarjeta de crédito que se puede comprar por $ 49.95 USD aquí.


¿Por qué utilizar PALADIN?


PALADIN versión en DVD está siempre libre!
PALADIN es increíblemente fácil de usar y elimina la necesidad de recordar comandos confusos e interruptores.
PALADIN funcionará en cualquier ordenador o hardware que sea compatible con Ubuntu Linux - incluyendo la mayoría de los Mac Intel!
PALADIN permite a un usuario de forma segura la imagen, vista previa y analizar los discos duros internos sin necesidad de desmontar el ordenador o portátil.
PALADIN ha sido modificado para proteger contra escritura todos los soportes conectados durante el arranque, por lo tanto, la prevención accidental escribe o tener que usar costosos físicas de escritura-bloqueantes.


PALADIN Características principales


Inicie PCs y Macs Intel estándar de manera forense de sonido (incluyendo la mayoría de los Macs Intel, incluida la MacBook Air)!
Imagen de varios formatos, incluyendo Perito (. E01), EWF2 (. EX01), Imagen de Apple Disk (. Dmg), RAW (. Dd), SMART y AFF!
Imagen directamente como un formato de disco virtual (. Vmdk)!
Cree clones de disco duro!
Crear dos imágenes forenses o clones al mismo tiempo en el mismo formato o diferente!
Simplificación de GUI Toolbox!
Rápido y ligero entorno de escritorio XFCE!
Imagen a través de una red!
Dar formato a cualquier unidad como NTFS, HFS +, FAT32, exFAT y EXT4!
Crear una imagen forense de sólo el Slack espacio no asignado, el espacio libre y archivo!
Limpie rápidamente (esterilizar), verificar y medios de hash!
De búsqueda y presentación a la prensa por nombre de archivo, palabras clave o tipos MIME!
Progress Live Viewer Log!
Capacidad para guardar los registros a cualquier destino!
Capacidad de crear una imagen forense solo o dividir archivos forenses imagen!
Administrador de discos permite una fácil visualización de todos los medios de comunicación conectados y su estado!
Disk Manager códigos de color volúmenes montados para facilitar su identificación!
Imagen Mounter permite el montaje de imágenes forenses en PALADIN!
Enhanced encontrar características que permiten la búsqueda de un volumen entero o un solo directorio!
Capacidad de búsqueda de varios directorios al mismo tiempo!
PALADIN ahora tiene algunas de las herramientas de código abierto más populares forenses en su pecho herramienta forense!
Capacidad para realizar exámenes forenses completos usando Autopsia / Sleuthkit o DFF!
Capacidad para recuperar las contraseñas de la memoria utilizando lanzamiento!
Capacidad para analizar los archivos de copia de seguridad mediante el Analizador de iOS iPhone!
y mucho, mucho más!



Caja de herramientas FORENSE - Incluye software de código abierto!


Clamscan
Bulk Extractor
Principal
Photorec
Bisturí
SQLite Database Browser
TrueCrypt
Autopsy Browser
DFF
Md5deep
Bendice Hex Editor
DC3DD
DCFLDD
Pasco
EML Visor
ReadDBX
ReadOE
ReadPST
Comienzo
ExifTool
LinkInfo
Log2Timeline
RifiUtii
IPDDump
Analizador de iPhone
Wireshark
Registro Ripper
Ser más astuto que


PALADIN USB Características


Wicked-cool de tarjetas de crédito estilo USB thumbdrive!
Mucho más rápidos tiempos de arranque en comparación con la versión en DVD
Capacidad para almacenar los registros, informes, capturas de pantalla o lo que sea para el dispositivo en miniatura PALADIN.


PALADIN USB actualmente no soporta el arranque de los Macs Intel, sin embargo, esto es apoyado por la libre versión en DVD de PALADIN que se puede descargar desde www.sumuri.com después de su registro en el sitio web.


Foros PALADIN y Apoyo


PALADIN versión en CD se proporciona como una cortesía de SUMURI. Hacemos nuestro mejor esfuerzo para responder a cualquier pregunta que pueda surgir. Hay algunos pasos que usted puede tomar para tratar de responder a cualquier pregunta que usted pueda tener acerca de las características, el apoyo o la solución de problemas. En primer lugar, PALADIN se basa en Ubuntu. Cualquier problema de hardware que se pueden encontrar más probable ser resuelto mediante la comprobación de los sitios de soporte de Ubuntu, como https://help.ubuntu.com/.


Además, Sumuri tiene un foro para PALADIN donde puedes publicar tus preguntas y recibir ayuda de la comunidad PALADIN. El acceso a los foros se concede después de Registrarse.


Recaudación de fondos PALADIN


Mostrar el amor!


Usted puede ayudarnos a mantener la versión en DVD de PALADIN gratis para todo el mundo de comprar la versión USB de PALADIN o por orgullo llevar o exhibir ropa Paladin y / o Sumuri.


Todas las ganancias de la venta de USB PALADIN ropa, y los regalos se utilizan para financiar el desarrollo y mantener la versión DVD gratis para todos!






Descarga:http://www.sumuri.com/index.php/joomla/what-is-paladin-forensic-software

Fuente:http://www.sumuri.com/index.php/joomla/what-is-paladin-forensic-software

Traduccion:Dellcom1@.

Weevely

Saludos Mundo Libre.

Weevely es un sigilo shell PHP Web que proporciona una consola tipo telnet. Es una herramienta esencial para la explotación posterior de aplicaciones web, y se puede utilizar como puerta trasera sigilo o como una cáscara web para gestionar las cuentas de fiar web, incluso los gratuitos alojados.

Weevely se incluye actualmente en retroceso y la caja y todas las principales distribuciones de Linux orientada para pruebas de penetración.

Comience con un rápido tutorial, lea acerca de Módulos y Generadores.
• Más de 30 módulos para automatizar las tareas de administración y posterior explotación
◦ Ejecutar comandos y navegue sistema de archivos remoto, incluso con restricción de seguridad de PHP
◦ Auditoría de errores de configuración común del servidor
◦ Ejecutar SQL consola pivotante en la máquina de destino
◦ Proxy HTTP a través de su tráfico de destino
◦ Montar sistema de archivos local de destino para el punto de montaje
◦ simple transferencia de archivos desde y hacia el objetivo
◦ Engendro conchas TCP inversa y directa
◦ fuerza bruta SQL cuentas a través de sistema de destino
◦ Ejecutar escaneo de puertos de la máquina de destino
◦ Y así sucesivamente ..
• Las comunicaciones de puerta trasera se ocultan en las cookies HTTP
• Las comunicaciones se ofuscan para eludir la detección NIDS firma
• Backdoor código polimórfico PHP se ofusca para evitar HIDS detección AV

Weevely autor mantiene disección, un blog relacionado con la seguridad en el idioma italiano.

Descarga:http://epinna.github.com/Weevely/

Fuente:http://epinna.github.com/Weevely/

Traduccion:Dellcom1@

Saludos Mundo Libre.

20 vulnerabilidades criticas 14

Saludos Mundo Libre.

Y retomamos nuestras 20 vulnerabilidades criticas ahora le toca ala.
14.0 Mantenimiento, seguimiento y análisis de los registros de auditoría,

¿Cómo atacantes aprovechan de la ausencia de este control?

Las deficiencias en el registro y análisis de seguridad permite a los atacantes para ocultar su ubicación, el software malicioso utilizado para el control remoto, y las actividades en las máquinas de las víctimas. Incluso si las víctimas saben que sus sistemas han sido comprometidos, sin registros de registro protegidas y completo que son ciegos a los detalles del ataque y acción tomada posteriormente por los atacantes. Sin registros de auditoría sólidas, un ataque puede pasar desapercibido por tiempo indefinido y los daños hechos particulares puede ser irreversible.

A veces los registros de registro son la única evidencia de un ataque exitoso. Muchas organizaciones mantienen registros de auditoría para fines de cumplimiento, pero los atacantes se basan en el hecho de que estas organizaciones rara vez mirar los registros de auditoría, por lo que no saben que sus sistemas han sido comprometidos. Debido a los procesos de análisis deficientes o inexistentes de registro, los atacantes controlar las máquinas víctimas a veces durante meses o años sin que nadie en la organización objetivo conocer, a pesar de la evidencia de que el ataque haya sido registrada en los archivos de registro no examinados.
Cómo implementar, automatizar y medir la efectividad de este control

1. Ganancias rápidas: Cada organización debe incluir por lo menos dos fuentes sincronizadas de tiempo (es decir, Network Time Protocol - NTP) de la que todos los servidores y equipos de red recuperar información de tiempo sobre una base regular para que las marcas de tiempo de los registros son consistentes.

2. Ganancias rápidas: Validar la configuración del registro de auditoría para cada dispositivo de hardware y el software instalado en él, lo que garantiza que los registros de incluir una fecha, fecha y hora, la dirección de origen, dirección de destino, y varios otros elementos útiles de cada paquete y / o transacción. Los sistemas deben registrar los registros en un formato estándar, tales como entradas del registro del sistema o las contenidas en la iniciativa de sucesos expresión común. Si los sistemas no pueden generar registros en un formato normalizado, iniciar herramientas de normalización se pueden implementar para convertir troncos en dicho formato.

3. Ganancias rápidas: Asegúrese de que todos los sistemas que los registros de almacén tienen suficiente espacio de almacenamiento para los registros generados de forma regular, por lo que los archivos de registro no se llenará entre los intervalos de rotación de logs. Los registros deben ser archivados y firmado digitalmente sobre una base periódica.

4. Ganancias rápidas: Desarrollar una política de retención de registros para asegurarse de que los registros se conservarán durante un período suficiente de tiempo. Como APT (amenaza persistente avanzada) continúa demostrando sus sigilosamente en los sistemas, las organizaciones están a menudo comprometida por varios meses sin ser detectado. Los registros se conservarán durante un período más largo de tiempo que se tarda una organización para detectar un ataque por lo que puede determinar con precisión lo que ocurrió.

5. Triunfos rápidos: todos los accesos remotos a una red, ya sea a la zona de distensión o de la red interna (es decir, VPN, dial-up, u otro mecanismo), se debe registrar verbosely.

6. Victorias rápidas: Sistemas operativos deben configurarse para registrar los eventos de control de acceso asociadas a un usuario intenta acceder a un recurso (por ejemplo, un archivo o directorio) sin los permisos adecuados. Intentos fallidos de inicio de sesión también debe estar conectado.

7. Ganancias rápidas: El personal de seguridad y / o los administradores de sistemas deben ejecutar informes quincenales que identifican anomalías en los registros. Luego deben revisar activamente las anomalías, documentando sus hallazgos.

8. Visibilidad / Reconocimiento: Los dispositivos de red de frontera, incluyendo firewalls, IPS basados ​​en redes y servidores proxy de entrada y salida, se deben configurar para registrar verbosely todo el tráfico (tanto permitidos y bloqueados) que llegan al dispositivo.

9. Visibilidad / Reconocimiento: Para todos los servidores, las organizaciones deben asegurarse de que los registros se escriben en la escritura solo dispositivos o servidores dedicados de tala que se ejecutan en máquinas separadas de los anfitriones que generan los registros de eventos, reduciendo la posibilidad de que un atacante puede manipular los registros almacenados localmente en las máquinas comprometidas .

10. Visibilidad / Reconocimiento: Implementar una o SIM / SEM (gestión de incidentes de seguridad / gestión de eventos de seguridad) iniciar las herramientas de análisis para la agregación de registro y consolidación de varias máquinas y para la correlación de registro y análisis. Con la herramienta SIM / SEM, los administradores de sistemas y personal de seguridad debe diseñar perfiles de acontecimientos comunes de los sistemas propuestos de modo que se puede sintonizar a centrarse en la detección de la actividad inusual, evitar falsos positivos, más rápidamente identificar anomalías, y evitar que los analistas abrumadoras con alertas insignificantes.

11. Avanzado: Es importante vigilar cuidadosamente para eventos de creación de servicios. En los sistemas Windows, muchos atacantes utilizar la funcionalidad psexec para propagarse de un sistema a otro. Creación de un servicio es un evento raro y debe ser vigilado de cerca.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles

(1), AC-19, AU-2 (4), AU-3 (1,2), AU-4, UA-5, UA-6 (a, 1, 5), AU-8-17 AC, AU-9 (1, 2), AU-12 (2), SI-4 (8)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red

Seguridad de acceso remoto

Gestión de registros
Procedimientos y herramientas para implementar y automatizar este control

La mayoría de los sistemas operativos libres y comerciales, servicios de red y tecnologías de firewall ofrecen capacidades de registro. Este registro debe ser activado, con los registros enviados a servidores centralizados de registro. Firewalls, proxies y sistemas de acceso remoto (VPN, dial-up, etc) deben ser configuradas para el registro detallado, el almacenamiento de toda la información disponible para el registro en el caso que se requiera una investigación de seguimiento. Además, los sistemas operativos, en especial los de los servidores, se debe configurar para crear registros de control de acceso cuando un usuario intenta acceder a los recursos sin los privilegios apropiados. Para evaluar si el registro de tal está en su lugar, una organización debe analizar periódicamente a través de sus registros y compararlos con el inventario de activos montados como parte de críticos de control 1 con el fin de asegurar que cada artículo gestionado activamente conectado a la red es periódicamente la generación de registros.

Programas analíticos como SIM / SEM soluciones para la revisión de los registros pueden proporcionar valor, pero las capacidades empleadas para analizar los registros de auditoría son bastante extensas, incluyendo, de manera importante, aunque sea un simple examen por una persona. Herramientas actuales de correlación pueden hacer registros de auditoría mucho más útil para la inspección manual posterior. Estas herramientas pueden ser de gran ayuda en la identificación de los ataques sutiles. Sin embargo, estas herramientas no son ni una panacea ni un sustituto de personal cualificado en seguridad de la información y administradores de sistemas. Incluso con las herramientas automatizadas de análisis de registro, la experiencia humana y la intuición a menudo tienen que identificar y comprender los ataques.
 
14 de control métrico:





El sistema debe ser capaz de registrar todos los eventos a través de la red. El registro debe ser validado a través de ambos sistemas basados ​​en la red y host-based. Cualquier evento debe generar una entrada de registro que incluye una fecha, fecha y hora, dirección de origen, dirección de destino y otros detalles sobre el paquete. Cualquier actividad que se realiza en la red debe estar conectado inmediatamente a todos los dispositivos a lo largo de la ruta crítica. Cuando un dispositivo detecta que no es capaz de generar logs (debido a un fallo del servidor de registro o cualquier otro problema), debe generar una alerta o e-mail para el personal administrativo de la empresa en 24 horas. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.
14 de control de la prueba:

Para evaluar la aplicación de control 14 de forma periódica, un equipo de evaluación debe revisar los registros de seguridad de los diferentes dispositivos de red, servidores y hosts. Como mínimo, los siguientes dispositivos deben ser probados: dos enrutadores, servidores de dos, dos interruptores, servidores 10, 10 y los sistemas cliente. El equipo de pruebas debe utilizar herramientas de generación de tráfico para enviar paquetes a través de los sistemas bajo análisis para verificar que el tráfico se registra. Este análisis se realiza mediante la creación de eventos controlados, benignos y determinar si la información está debidamente registrada en los registros con la información clave, incluyendo una fecha, fecha y hora, dirección de origen, dirección de destino y otros detalles sobre el paquete. El equipo de evaluación debe verificar que el sistema genera registros de auditoría y, si no, una alerta o notificación por correo electrónico sobre el registro no debe ser enviado dentro de las 24 horas. Es importante que el equipo de verificar que toda la actividad se ha detectado. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada máquina, incluyendo información sobre el propietario de los activos.
Sistema de Control de la Entidad 14 Diagrama de relaciones (ERD):

Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.

Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los registros de auditoría, el sistema de base de datos de registro central, el sistema de hora del centro, y los analistas de registro. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. También ayuda a identificar lo que cada uno de los pasos es con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.

Paso 1: Sistemas de producción generar registros y enviarlos a un sistema de registro de base de datos administrada centralmente

Paso 2: Sistemas de producción y el sistema de base de datos de registro de tira sincronizar la hora con los sistemas centrales de gestión del tiempo

Paso 3: Los registros analizados por un sistema de análisis de registros

Paso 4: Los analistas Log analizar los datos generados por el sistema de análisis de registros .

Fuente:http://www.sans.org/critical-security-controls/control.php?id=14

Traduccion:Dellcom1@.

Saludos Mundo libre.

wifi script

Saludos Mundo Libre.

Ya de nuevo por mi blog ya que he sido padre por cuarta ocacion bueno sin mas preambulos empecemos .

He comparedo los airoscrips de wifiway contra el de backtrack y los dos muy funcionales tanto para usuarios novatos como expertos .

En backtarck he encontrado na aplicacion que me ha llamado mi atencion se llama wifite.

Wifite de exelente aspecto y muy facil de usar.

./wifite.py - all

Y openemos o scaneamos toas las redes a nuestro alrededor tanto wep como wap, wap2.

Solo lo arrancamos y solo empieza a explotar las redes las podemos seleccionar una por una o todas con el comando -all con exelentes resultados.

Hay se las dejo como yo para que la exploren se que les va a gustar.

En wifi Way no la encontre esta aplicacion.

¿Qué hay de nuevo en esta versión:

    apoyo a la formación de grietas en las CM-cifrados redes (via reaver)
    2 nuevos ataques WEP
    WPA más precisa captura apretón de manos
    diversas correcciones de errores

La versión 2 no incluye una interfaz gráfica de usuario, por lo que todo debe hacerse en la línea de comandos.
mención en el New York Times

Wifite fue mencionado en el artículo del New York Times, "Nuevas Herramientas de Hacking Pose más grandes amenazas a la Wi-Fi Usuarios" del 16 de febrero de 2011. Aquí hay un enlace al artículo.
introducción

Diseñado y probado en Linux, funciona con Backtrack 5, BlackBuntu, BackBox y Pentoo! Linux sólo, sin ayuda de Windows o OSX (pero te invitamos a probar).
propósito

Para atacar múltiples WEP, WPA y redes WPS cifrados en una fila. Esta herramienta se puede personalizar para ser automatizada con sólo unos pocos argumentos. Wifite pretende ser el "establecer y olvidarse de él" herramienta de auditoría inalámbrica.
características

    tipo de objetivos intensidad de la señal (en dB); grietas puntos de acceso más cercanos primero
    automáticamente de-autentica los clientes de redes ocultas para revelar SSID
    numerosos filtros para especificar exactamente qué atacar (WEP / WPA / tanto, por encima de ciertas intensidades de señal, canales, etc)
    ajustes personalizables (tiempos de espera, paquetes / seg, etc)
    "Anónimo" característica, los cambios a una dirección MAC aleatoria antes de atacar, y luego vuelve a cambiar cuando los ataques son completos
    todos los apretones de manos WPA capturados se copian en el directorio wifite.py 's actual
    WPA-inteligente de autenticación; ciclos entre todos los clientes y deautenticaciones difusión
    detener cualquier ataque con Ctrl + C, con opciones para continuar, pasar al siguiente objetivo, pase a las grietas, o la salida
    Resumen Muestra sesión en la salida, muestra las claves agrietados
    todas las contraseñas guardadas en cracked.txt
    built-in de actualización:. / wifite.py-upgrade

requisitos

    linux sistema operativo (confirmado trabajando en Backtrack 5, BackBox, BlackBuntu, Pentoo, Ubuntu 8,10 (BT4R1), Ubuntu 10.04, Debian 6, Fedora 16)
    puso a prueba utilizando Python 2.6.x, 2.7.x y python,
    controladores inalámbricos parche para el modo monitor y la inyección. La mayoría de las distribuciones de seguridad (Backtrack, BlackBuntu, etc) vienen con controladores inalámbricos pre-parcheado,
    aircrack-ng (v1.1) Suite: disponible a través de apt: apt-get install aircrack-ng o en la página web de aircrack-ng,

aplicaciones sugeridas

    reaver, para atacar WPS-cifrados redes
    Pyrit, cowpatty, tshark: no es necesario, sino que ayudan a verificar las capturas WPA handshake

Si necesita ayuda para instalar alguno de estos programas, consulte la guía de instalación (alojado en github)
ejecución

descargar la última versión:

wget-O wifite.py http://wifite.googlecode.com/svn/trunk/wifite.py

cambiar los permisos de ejecutable:

chmod + x wifite.py

ejecutar:

python wifite.py

o, para ver una lista de comandos con información:






La podremos descargar desde:http://code.google.com/p/wifite/

Saludos Mundo Libre.