jEsuSdA liberó un curso de Administración de Sistemas GNU/Linux que ya está disponible para descargarlo en PDF o seguir el curso online en presentaciones desde su web, con un contenido muy interesante:
El primer paso de un test de intrusión es la búsqueda de información o information gathering. Esta información será utilizada para organizar el ataque de la forma más precisa posible en las siguientes fases. Hay desarrolladas múltiples aplicaciones para tratar de automatizar esta pesada tarea, aunque la necesidad de hacer consultas y búsquedas manuales es imprescindible.
Maltego es una herramienta completa, sencilla y vistosa que deja impresionado a todo consultor. Existe una versión gratuita denominada «Community Edition» y otra comercial, «commercial edition«. Seguramente Veronica Mars habría reducido su temporada a un par de episodios y hubiera prescindido de los servicios de su amiga «Mac» si hubiese conocido esta utilidad.
Entre otras cosas permite encontrar las relaciones que existen entre sistemas de información y personas:
Localización de nombres de usuario, nombres reales, números de teléfono, correo-e.
Localización de sistemas mediante DNS, Google Hacking, BBDD de RIRs
Búsqueda de otros dominios relacionados
Búsqueda de documentos y metadatos en los documentos
Representación gráfica de toda la información recolectada
En su versión comercial además, función de cliente/servidor.
El proceso es casi idéntico tanto para Linux como Windows, solo hay un paso que difiere a la hora de buscar el modulo PKCS#11 (el driver del DNI).
Al igual que con el post sobre Gmail, asumo que ya tienes el DNI digital configurado en tu PC y te funciona en Firefox y/o Explorer.
Sin mas preámbulos, empezamos:
Nos situamos en el menú Editar –> Preferencias, una vez ahí, nos vamos a ‘Avanzadas’, pinchamos en ‘Dispositivos de seguridad’
Una vez ahí, pulsamos en ‘Cargar’
Le ponemos como nombre al nuevo modulo ‘Dni Digital’ y, atención, aquí viene la diferencia entre Linux y Windows. En linux debemos localizar la ruta del fichero opensc-pkcs11.so lo podemos localizar con el comando $ locate opensc-pkcs11.so /usr/local/lib/opensc-pkcs11.so
En el caso de Windows el fichero que debemos poner es: C:\WINDOWS\system32\UsrPkcs11.dll
Si todo ha ido bien se nos pedirá que confirmemos el nuevo modulo que hemos añadido
Thunderbird nos informa que ya tenemos disponible el DNI
Podemos ver que Thunderbird ya reconoce el DNI, en mi caso aparece asociado a mi lector de tarjetas que viene integrado en el teclado Dell (si, el teclado de la película Firewall 😉
Ahora tenemos que asociar un certificado digital a nuestra cuenta de correo para poder realizar el firmado de correos. Nos situamos en el menú Editar –> Configuración de las cuentas. Una vez ahí, pinchamos en ‘Seguridad’. Como se puede ver en la parte derecha, podemos asociar un certificado para realizar la firma de correos, pinchamos en ‘Seleccionar’
Dado que el DNI-E pide el PIN para poder acceder a los certificados digitales, nos solicita que introduzcamos el susodicho PIN.
Si el PIN es correcto, veremos los dos certificados digitales que hay en el DNI-E, uno para Firma y otro para autenticación. Seleccionamos el de firma
Ahora Thunderbird nos informa que podemos también asociar un certificado para recibir correos electrónicos cifrados. Como decía en mi anterior post sobre Gmail, el DNI no tiene certificados digitales validos para cifrado, así que pulsamos en ‘Cancelar’ (de lo contrario aparecerá un mensaje de error)
Con todos los pasos anteriores ya dados, podemos enviar nuestro primer correo electrónico que lleve una firma digital en Thunderbird. Para ello nos vamos a ‘Redactar’ (como si fuéramos a escribir un email normal y corriente)
Para activar el firmado digital del correo, hemos de ir al candado de ‘Seguridad’ y entre las opciones que aparecen: ‘Firmar digitalmente este mensaje’
Una vez le demos a enviar, se nos pedirá el PIN del Dni para realizar la firma del correo
Ahi lo tienes¡¡¡¡ ya hemos enviado un mail firmado digitalmente con Thunderbird
Logrepes una solución de código libre para centralizar los logs de tus servidores, tanto para Linux como para Windows.
Los logs se presentar en formato HTML a través del componente cliente de esta utilidad que como ya hemos comentado es totalmente multiplataforma. El cliente es capaz de recoletar logs de 30 sistemas diferentes entre los que están: Snort, Squid, Postfix, Apache, syslog, ipchains, Qmail, Sendmail, iptables, Servidores Windows, Firewall-1, wtmp, xferlog, Oracle y Pix.
Entre las características de Logrep podemos citar:
Protocolo de comunicación segura entre cliente servidor a través de SSH.
Completa ayuda para la interpretación de logs.
Guardar copias de todos los logs en un sistema central.
El cliente extrator de datos consume realmente pocos recursos.
Tus logs con representación gráfica.
Logrep es sin duda la herramienta ideal para administradores de sistemas que necesiten centralizar la gestión de logs y tener una sistema de acceso rápido a todos ellos. La mejor forma de analizar por ejemplo una posible intrusión en la red.
Es una tarea habitual en los proveedores de alojamiento web encontrarnos con ips de clientes que se insertan en listas negras. Las razones pueden ser variadas:
a) Un cliente en un servidor compartido o dedicado realiza un envío masivo de emails y alguien legítimamente o nó lo denuncia en una de las páginas que manejan estas listas negras.
b) Un spammer utiliza scripts de envío ilegítimos y realiza envíos masivos desde su dominio habiéndose aprovechado de alguna vulnerabilidad en el mismo dominio (aplicaciones php inseguras, mal programadas..etc.)
C) Su ordenador local tiene algún virus o troyano y está siendo utilizado para enviar emails y realizar diversas actividades maliciosas.
El resultado es que la IP del servidor de correo saliente es prohibida en alguna lista y los proveedores de internet y otros proveedores de internet que usan servicio de listas negras para su propio filtrado, no podrán recibir su correo, este será eliminado y filtrado directamente antes de llegar a su destinatario. El cliente que envía el correo recibirá normalmente un mensaje devuelto indicando que su email no ha podido ser entregado debido a que su IP (la del servidor de correo saliente o o la de su conexión adsl) se encuentra en alguna lista negra.
¿Qué podemos hacer?
1) Primero necesitamos comprobar que efectivamente la ip está listada.
Si está listado podemos solicitar la baja de esa lista en esas webs citadas. El deslistado puede tardar 24-48 horas. El caso más grave es estar listado en Hotmail. En este caso hay que escribir a Hotmail directamente para solicitar el deslitado en el formulario http://www.hotmail.msn.com/cgi-bin/dasp/ua_info.asp?pg=contact_hotmail&_lang=ES.
En el caso de estar listados por telefónica es necesario contactarles vía email en nemesys@telefonica.es
En cualquier caso antes de contactarles es necesario asegurarse que el envío de spam ha cesado y que hemos encontrado al responsable del envío del correo. En la mayoría de casos, un script en php o perl que ha sido subido desde la web aprovechándose de una vulnerabilidad de sus aplicaciones y scripts.
2) Si la Ip listada es de nuestra conexión y nuestra IP es fija, entonces deberíamos realizar comprobar que en nuestros PCs no existen virus y no hay troyanos u otros bots que estén usando nuestra conexión para enviar spam.
3) Si la ip es del servidor, es el proveedor web el que debe de deslistar esa IP y averiguar quien ha sido el responsable del envío tomando las medidas necesarias para que no se vuelva a repetir ese tipo de abuso.