Rootkits – HackerDefender

Los Rootkits son un tipo de malware utilizado por los hackers con el objetivo de ocultar información que podría delatar su presencia en aquellas máquinas a las que ya han conseguido acceso.

A pesar de su nombre, no debemos confundirnos y pensar que un root kit es una aplicación diseñada para conseguir acceso como root en un sistema. Los root kits siempre son usados una vez que hemos conseguido el acceso (generalmente inmediatamente despues) con dos objetivos fundamentales:

1. Ocultar las huellas tanto del propio root kit como de cualquier otro malware que hayamos instalado en la máquina victima
2. Dejar preparada una puerta trasera a través de la cual facilitarnos el acceso a la máquina víctima en el futuro.

Seguir leyendo →

Buffer overflow – La base para los payloads de los exploits

Existen muchos payloads que aprovechan determinados exploits para comprometer sistemas remotos que emplean técnicas de inyección de código.
La inyección de código empleando técnicas de buffer overflow siempre ha parecido algo propio de los Hackers «jedi». No significa que sea dificil, pero si son necesarios ciertos conocimientos y sobre todo paciencia.
En este artículo os voy a explicar de una forma sencilla una prueba de concepto sobre como crear el comienzo de un «payload» para una inyección de código empleando una vulnerabilidad de determinado servicio.
Seguir leyendo →

Fuzzing

Vamos con otro tema interesante,… el fuzzing, un termino empleado para referirse a las técnicas de software automatizadas, capaces de generar y enviar datos secuenciales o aleatorios a una o varias áreas o puntos de una aplicación, con el objeto de detectar defectos o vulnerabilidades existentes en el software auditado.
Seguir leyendo →

Ocultación de datos en NTFS (ADS)

Existe un tema algo oscuro relacionado con la ocultación de datos en un sistema de archivos NTFS, en concreto me refiero a Alternate Data Streams.
En resumen se trata de «anexar» a cualquier tipo de fichero tanto información como ficheros enteros (Metadatos en el FS NTFS)
Normalmente esta caracteristica es empleada por los sistemas de antivirus para marcar ficheros, estados, incluso una copia del original.
Seguir leyendo →

NetCat, la navaja suiza de los hackers y administradores

Netcat (a menudo referida como la navaja multiusos de los hackers) es una herramienta de red bajo licencia GPL (en la versión de GNU) disponible para sistemas UNIX, Microsoft y Apple que permite a través de intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).

Sus capacidades hacen que sea a menudo usada como una herramienta para abrir puertas traseras una vez invadido un sistema y obtenido privilegios de administrador o root del equipo. También resulta extremadamente útil a efectos de depuración para aplicaciones de red. Seguir leyendo →

Auditoría y Seguridad Informática – parte 2

Fortificación

• Proceso a priori automatizable
• Dependiente del Rol
• Aplicación de tres principios:

1. Mínimo Punto de Exposición
2. Mínimo Privilegio Posible
3. Defensa en Profundidad

Seguir leyendo →

Auditoría y Seguridad Informática – parte 1

Software SeguroServicios de Seguridad
La teoría, o experiencia, nos dice que un software seguro es aquel que:

• El software Fiable es aquel que hace lo que se supone que debe hacer.
• El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas.

Son los sorprendentes “algo mas” los que producen inseguridad.

• Para estar seguro, se debe ejecutar sólo software perfecto
• …o, hacer algo para mitigar ese “algo mas” Seguir leyendo →