Search for in Google by Dino

Google Custom Search

miércoles, 11 de noviembre de 2009

Elementos a Auditar en Oracle


Hola a todos,

Retomando este blog, deseo compartir un procedimiento que prepare para una forensia que estoy llevando a cabo, en la cual se tomo como evidencia una Base de Datos Oracle 10g, es una recopilacion de varios procesos que debemos tener en cuenta en la segunda Fase de Analisis de Datos.



1. Determinar si la BD esta activo el modo de operación en ARCHIVELOG o NONARCHIVELOG. Si este no esta activo, la evidencia de ataque o cambios serán sobrescritos por un nuevo redo.

Se puede determinar realizando una sentencia SQL a la BD:

SELECT VALUE V$PARAMETER WHERE FROM NAME='archiv_log_start';

2. Análisis de los Oracle Data Blocks, para determinar:

a. Registros eliminados
b. Localizar bloques asignados a tablas (OBJETOS DE INTERES)
c. Seguimiento de Objetos creados y eliminados
d. Localización de tablas eliminadas
e. Localización de Funciones eliminadas

3. Obtención del SID de la BD
4. Enumeración de usuarios

a. SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
b. SELECT USERID, COMMENT$TEXT FROM SYS.AUD$;


5. Consultar Ataques de Fuerza bruta o Diccionario a cuentas de usuario

a. SQL> SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
b. SELECT NAME, LCOUNT FROM USER$ WHERE LCOUNT>0;
c. SELECT NAME, LTIME FROM USER$ WHERE ASTATUS = 4;

6. Consulta de Ataques de Fuerza Bruta a la cuenta SYS
7. Consulta de intentos del exploit AUTH_ALTER_SESSION

SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;

8. Consulta de intentos de iniciar una sesión la base de datos a través de XML (XDB)

SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;
SELECT COMMENT$TEXT FROM SYS.AUD$ WHERE USERID = 'DBSNMP';
SELECT TERMINAL,SPARE1,TIMESTAMP# FROM SYS.AUD$ WHERE USERID='DBSNMP';


9. Consulta si la Auditoria esta habilitada

a. SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY ORDER BY SAMPLE_TIME;

b. SELECT USERID, ACTION#, RETURNCODE, TIMESTAMP# FROM SYS.AUD$;

c. SELECT USERID,ACTION#,TIMESTAMP#,LOGOFF$TIME FROM AUD$;

10. Consulta del archivo sqlnet.log,Agntsrvc.log, spfilesid.ora, o el init.ora todas las ubicaciones referentes a estos parámetros:

audit_file_dest -------> Sistema de Auditoria (ORACLE_HOME/rdbms/audit)
background_dump_dest -------> archivo alert.log y tracer de procesos ($ORACLE_HOME/admin/$ORACLE_SID/bdump)
core_dump_dest -------> archivos Oracle core dump ($ORACLE_HOME/DBS/)
db_recovery_file_dest -------> redo logs, flashback logs, y RMAN backups
user_dump_dest -------> Archivos trace debuggin procesos/usuarios (/oracle/utrc)
utl_file_dir -------> Especifica uno o más directorios que Oracle debe utilizar para PL/SQL archivos E/S.
control_files -------> Especifica uno o varios nombres de archivos de control de Oracle
db_create_file_dest -------> Especifica la ubicación predeterminada de archivos de datos administrados por Oracle.
db_create_online_log_dest_n ----> Especifica la ubicación de los redo logs y file control
log_archive_dest -------> Es aplicable solo si la BD esta en modo de ARCHIVELOG
log_archive_dest_n -------> Define hasta 10 archivos de registros logs.

11. Consulta de archivos Log Listener (ORACLE_HOME/network/admin/listener.ora) (lsnrctl status me dará la ubicación actual)
12. Revisión de los LOGS de sentencias(SQL $ORACLE_HOME/bin/LOGIN.SQL,$ORACLE_HOME/dbs/LOGIN.SQL,$ORACLE_HOME/SQLPlus/admin/glogin.sql)
13. Consultando información de los inicios de Sesión:

SELECT USER_ID, SESSION_ID, SAMPLE_TIME FROM SYS.WRH$_ACTIVE_SESSION_HISTORY

14. Consultar una lista de usuarios y roles, usuarios con funciono de DBA, para buscar inconsistencias,o usuarios creados por un atacante y la generación de contraseñas fuertes con la validación delos hash, cuentas bloqueadas, tiempos de password

SELECT USER#, NAME, ASTATUS, PASSWORD, CTIME, PTIME, LTIME FROM SYS.USER$ WHERE TYPE#=1;
SELECT U.NAME AS "GRANTEE", U2.NAME AS "ROLE" FROM SYS.USER$ U,SYS.USER$ U2, SYS.SYSAUTH$ A WHERE U.USER# = A.GRANTEE# AND PRIVILEGE# = U2.USER#;


15. Consultar una lista de objetos y privilegios en el sistema

SELECT U.NAME AS "GRANTEE", P.NAME AS "PRIVILEGE", U2.NAME AS "OWNER", O.NAME AS "OBJECT" FROM SYS.USER$ U, SYS.USER$ U2, SYS.TABLE_PRIVILEGE_MAP P, SYS.OBJ$ O, SYS.OBJAUTH$ A WHERE U.USER# =A.GRANTEE# AND A.OBJ# = O.OBJ# AND P.PRIVILEGE = A.PRIVILEGE# AND O.OWNER#=U2.USER#;

SELECT OBJ#, OWNER#, NAME, TYPE#, CTIME, MTIME, STIME FROM SYS.OBJ$ ORDER BY CTIME ASC;


16. Consulta de tablas eliminadas

SELECT U.NAME, R.ORIGINAL_NAME, R.OBJ#, R.DROPTIME, R.DROPSCN FROM SYS.RECYCLEBIN$ R, SYS.USER$ U WHERE R.OWNER#=U.USER#;

17. Consulta de Directorios, archivos datos, archivos externos, tablas externas, buscando elementos perdidos o ubicados en sitios diferentes por el atacante.

SELECT T.NAME AS "TABLESPACE", D.NAME AS "FILNAME" FROM V$DATAFILE D, TS$ T WHERE T.TS#=D.TS#;

SELECT U.NAME AS "OWNER", O.NAME AS "DIRECTORY", D.OS_PATH AS "PATH" FROM SYS.OBJ$ O, SYS.USER$ U, SYS.DIR$ D WHERE U.USER#=O.OWNER# AND O.OBJ#=D.OBJ#;

SELECT O.NAME, D.DEFAULT_DIR FROM SYS.OBJ$ O, SYS.EXTERNAL_TAB$ D WHERE D.OBJ# = O.OBJ#;


18. El Monitor del Sistema (SMON) MON_MOD$ Table

SELECT U.NAME AS "OWNER", O.NAME AS "OBJECT", M.OBJ#, M.INSERTS,M.UPDATES, M.DELETES, M.TIMESTAMP FROM SYS.MON_MODS$ M, SYS.USER$ U,SYS.OBJ$ O WHERE O.OBJ#=M.OBJ# AND U.USER#=O.OWNER#;

19. Revisión de Triggers al encendido, apagado, inicio y terminación de sesión

SELECT U.NAME AS "OWNER", O.NAME AS "ENABLED_TRIGGER_NAME",DECODE(T.TYPE#, 0, 'BEFORE',2, 'AFTER','NOTSET') AS "WHEN" FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1;

SELECT U.NAME AS "OWNER", O.NAME AS "ENABLED_TRIGGER_NAME" FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,1) = 1;

SELECT U.NAME AS "OWNER", O.NAME AS "ENABLED_TRIGGER_NAME" FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,2) = 2;

SELECT U.NAME AS "OWNER", O.NAME AS "ENABLED_TRIGGER_NAME" FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,8) = 8;

SELECT U.NAME AS "OWNER", O.NAME AS "ENABLED_TRIGGER_NAME" FROM SYS.OBJ$ O, SYS.TRIGGER$ T, SYS.USER$ U WHERE O.OBJ#=T.OBJ# AND O.OWNER# = U.USER# AND ENABLED=1 AND BITAND(T.SYS_EVTS,16) = 16;


20. Consulta de librerías, que puedan estar ejecutando código arbitrario(malicioso)

SELECT U.NAME AS "OWNER", O.NAME AS "LIBRARY", L.FILESPEC AS "PATH" FROM SYS.LIBRARY$ L, SYS.USER$ U, SYS.OBJ$ O WHERE O.OBJ#=L.OBJ# AND O.OWNER#=U.USER#;

21. Consultas de FlashBack (nuevos privilegios, derechos asignados, nuevos objetos, objetos eliminados) entre la tabla actual y la anterior en un tiempo determinado.

SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ MINUS SELECT GRANTEE#, PRIVILEGE# FROM SYS.SYSAUTH$ AS OF TIMESTAMP(SYSDATE - INTERVAL '3600' MINUTE);

SELECT NAME FROM SYS.OBJ$ MINUS SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE - INTERVAL '156' MINUTE);

SELECT NAME FROM SYS.OBJ$ AS OF TIMESTAMP(SYSDATE - INTERVAL '156' MINUTE) MINUS SELECT NAME FROM SYS.OBJ$;


22. Consulta de las tablas RECYLEBIN$ y OBJ$

SQL> SELECT MTIME, NAME, OWNER#, OBJ# FROM SYS.OBJ$ WHERE NAME LIKE 'BIN$%';

23. Consultas la Administración automática Deshacer ( UNDOTBS01.DBF)

SELECT SEGMENT_NAME,HEADER_FILE,HEADER_BLOCK,EXTENTS,BLOCKS FROM DBA_SEGMENTS WHERE SEGMENT_NAME LIKE '_SYSSMU%$';


Fuentes de referencia:
http://www.davidlitchfield.com/
http://www.petefinnigan.com/

martes, 16 de junio de 2009















H0l@s,


Bueno, en vista de que tengo que preparar un material para el Seminario de seguridad que inicia el 20 de Junio, decidi realizar este pequeño video tutorial de instalacion de Tor y Privoxy, con la finalidad de realizar los Labs practicos del Seminario, como siempre digo "Si vas a hacer tus @mores, hazlos de manera segura con C0nd0n" XD.

Cita del Proyecto Tor
Tor es un proyecto software que le ayuda a defenderse contra el análisis de tráfico, una forma de vigilancia de la red que amenaza la libertad personal y la privacidad, la confidencialidad en los negocios y relaciones, y la seguridad del estado. Tor le protege transmitiendo sus comunicaciones a través de una red distribuída de repetidores llevados por voluntarios de todo el mundo: evita que alguien que observa su conexión a Internet aprenda qué sitios visita, y evita que los sitios que visita aprendan su posición física. Tor funciona con muchas de sus aplicaciones existentes, incluyendo navegadores web, clientes de mensajería instantánea, acceso remoto, y otras aplicaciones basadas en el protocolo TCP.

Cientos de miles de personas de todo el mundo usan Tor para una gran variedad de razones: periodistas y bloggers, trabajadores por los derechos humanos, fuerzas del orden, soldados, corporaciones, ciudadanos de regímenes represivos, y ciudadanos ordinarios. Vea la página ¿Quién usa Tor? para ejemplos de usuarios Tor típicos. Vea la página de perspectiva para una explicación más detallada de lo que hace Tor, por qué esta diversidad de usuarios es importante, y cómo funciona Tor.

Hay tres apartados en la letra pequeña de los que debe saber.

1. Tor no le protege si no lo usa correctamente. Lea nuestra lista de advertencias y asegúrese de seguir las instrucciones para su plataforma con cuidado.
2. Aunque configure y use Tor correctamente, hay también ataques potenciales que podrían comprometer la capacidad de Tor para protegerle.
3. Ningún sistema de anonimato es perfecto hoy en día, y Tor no es la excepción: no debería confiar sólamente en la red Tor actual si realmente necesita un gran anonimato.


E igual de Privoxy
Privoxy es un programa que funciona como proxy web, usado frecuentemente en combinación con Tor y Squid. Tiene capacidades avanzadas de filtrado para proteger la privacidad, modificar el contenido de las páginas web, administrar cookies, controlar accesos y eliminar anuncios, banners, ventanas emergentes y otros elementos indeseados de Internet. Privoxy tiene una configuración muy flexible y puede ser personalizado para adaptarse a las necesidades y gustos individuales. Privoxy es útil tanto como para sistemas aislados como para redes multiusuario.

Privoxy está basado en el programa Internet Junkbuster y está publicado bajo la licencia pública general GNU. Se ejecuta en Linux, Windows, Mac OS X, AmigaOS, BeOS y en muchas versiones de Unix. Casi cualquier navegador debería ser capaz de usar privoxy con un mínimo de cambios.


Pero creo que estas vainas ya las saben
XDDDDD

Asi que lo que me interesa es dejarles el link de descarga del Video Tutorial "Instalacion de Tor y Privoxy" "Sin curitas, ni Pio"

:P


Bytes


Dino



Descargar Tor & Privoxy

jueves, 23 de abril de 2009

Esteganografia By Dino :P

Sera la Mona Lisa???? o algo +

XD


Es el proceso de esconder datos en imagenes. Los atacantes pueden ocultar informacion de:

  • Tecnicas de ataque
  • Lista de Servidores comprometidos
  • Secretos de información
  • Planes de ataque
Bit Menos significativo


El bit a la derecha se llama el bit menos significativo (LSB). El LSB de cada byte puede ser sustituido con pocos cambio en el archivo general.

Los datos binarios del mensaje secreto son divididos y, se inserta en el LSB de cada píxel de la imagen de archivo. Uso el Rojo, Verde, Azul (RGB) un modelo de herramienta como STEGO hace una copia de una imagen de paleta.

El LSB de cada píxel de 8 bits número binario se sustituye por
uno del mensaje oculto. Un nuevo color RGB en la paleta de copiado se crea

El pixel es cambiado al número binario de 8-bits del nuevo
RGB color
Paso a explicar mejor :P


Insercción del ultimo Bit Menos significativo en Archivos de Imagenes

Recobrando Datos:
La herramienta Stego buscan el número 8-bith de cada pixel RGB Color
El LSB de cada uno de los pixel 8-bith (número binario) es un bit de los datos del archivo escondido, Cada LSB es entonces escrito en un archivo de salida


Ejemplo:

01001101 00101110 10101110 10001010 10101111 10100010 00101011 101010111

Una letra “H” es representada por digitos binarios 01001000
Para cambiar una “H” sobre el Stream quedaria asi:

01001100 00101111 10101110 10001010 10101111 10100010
00101010 101010110

Algoritmos y Transformación

Otra técnica de Steganografia es esconder los datos por medio funciones matematicas en algoritmos de comprensión.

Las imagenes JPG utilizan técnicas de (DCT Discrete Transform Cosine), para lograr la compresión de la imagen.

Esconder datos:

Tome la DCT o wavelet transformar cobertura de la imagen y encontrar los
coeficientes por debajo de un umbral específico. Remplazar estos Bits con Bits que se ocultan Aplica la inversa para transformar y alamacenar estos como una imagen normal


Herramientas para Steganografia
Esta utilidad permite combinar stream de documentos de Word en Stream de Libros de Excell o Viceversa.

Carpetas Invisibles

Esconder una carpeta o un grupo de carpetas con una combinación de pulsación de teclas, se le pueden aplicar un passwords

Una suite de seguridad que le ayuda a ocultar los archivos, cifrar archivos, destruir los rastros de Internet, triture los archivos, e incluso bloquear cualquier aplicación.
Image Hide

Permite esconder textos en Imagenes, realizar encripcion / desencripcion de datos, despues de añadir los datos no aumentara la imagen conservara su aspecto normal

Stealth Files
Permite esconder archivos ejecutables en otros archivos de otros formatos (Word, Excell, Adobe)

Steganography

Permite esconder archivos

Otras Herramientas de Steganografia

  • Hermetic Stego
  • DCPP – Hide an Operating System
  • Camera/Shy
  • www.spammimic.com
  • Mp3Stego
  • Snow.exe
  • Fort Knox
  • Blindside
  • S- Tools
  • Steghide
  • Steganos
  • Pretty Good Envelop
  • Gifshuffle
Cual prefieres Tú???

Enjoy!!



Dino

Contramedidas para Keylogger

H0l@ a todos,

Ah vaina!!!

Que pena, me faltaron las contramedidas para los keyloggers, ahi van:

  • Instalar sistemas de Deteccion de Intrusos (IDS, NIDS, HIDS)
  • Instalar Antivirus y firmas actualizadas, Kit de Seguridad
  • Asegurar recursos de Hardware
  • Procedimientos de chequeo y Monitorización de Hardware
  • Herramientas AntiSpyware y Malware
  • Herramientas de Mantenimiento de Software
  • AntiKeylogger
  • PrivacyKeyboard http://www.anti keylogger.com
Chaos,



Dino

miércoles, 22 de abril de 2009

Cordial saludo,


Colaborandole un poco a Gustavo Plazas (Evangelist Microsoft), los invito a este magno y magnifico evento e iniciativa de Microsoft





http://www.microsoft.com/colombia/activa/


No te lo pierdas!!!!


Enjoy


Dino

martes, 21 de abril de 2009

"Todo depende del Cristal con que se Mire" :P


Que tal esta Imagen Ah!!!

Sera un vago durmiendo???

Pero como si en EEUU eso no existe..........
XDDD

ó

Un Agente camuflado del glorioso Federal Bureau of Investigation - FBI.....

Bueno, de que se trata todo esto!!!

Solo quiero traer a mi Blog uno de los POST que tal vez causo controversia en el foro de la Comunidad Dragonjar cuando lo subi, y es debido a que estamos tan programados en nuestras vidas, que nuestro cerebro actua de acuerdo a nuestros impulsos, reflejos o situaciones en las cuales no vemos mas alla de lo que nuestros sentidos en este caso el de la vista nos permiten.

Mi frase es:

"Todos vemos, hasta donde nos permita los Ojos de nuestro conocimiento"

Sin más preambulo, voy a citar los POST de Inicio de esta nota y espero que les sea de agrado, aunque muchos de mis amigos Dragonautas ya los conocen.



Thank



Dino
**************************************************************************************

SE INICIA ASI:

Con este POST en el Foro Abierto de la comunidad :

http://comunidad.dragonjar.org/foro-abierto/6425-esto-si-es-spam-del-bueno-xdd-o-ud-que-piensa.html.

CITA:

" Esto si es SPAM del Bueno XDD!!! O ud que piensa??? :( "

El contenido del POST abreviado :P

Dear E-Commerce professional ; This letter was specially selected to be sent to you . This is a one time mailing there is no need to request removal if you won't want any more . This mail is being sent in compliance with Senate bill 1621 ; Title 2 , Section 309 ! This is not multi-level marketing . Why work for somebody else when you can become rich in 58 DAYS ! Have you ever noticed nobody is getting any younger and how many people you know are on the Internet . Well, now is your chance to capitalize on this . We will help you increase customer response by 140% plus deliver goods right to the customer's doorstep ! You can begin at absolutely no cost to you . But don't believe us ! Mrs Ames who resides in Colorado tried us and says "Now I'm rich, Rich, RICH" . We are a BBB member in good standing ! For the sake of your family order now ! Sign up a friend and your friend will be rich too ! Thanks . Dear Friend , This letter was specially
selected to be sent to you . We will comply with all removal requests ! This mail is being sent in compliance with Senate bill 2716 ; Title 2 , Section 309 ! This is a ligitimate business proposal . Why work for somebody else when you can become rich within 54 WEEKS . Have you ever noticed nobody is getting any younger & people love convenience ! Well, now is your chance to capitalize on this ! WE will help YOU sell more plus decrease perceived waiting time by 200% . You can begin at absolutely no cost to you ! But don't believe us . Mr Simpson of Connecticut tried us and says "Now I'm rich, Rich, RICH" . We are a BBB member in good standing . Don't delay - order today ! Sign up a friend and your friend will be rich too . Thanks . Dear Professional ; You made the right decision when you signed up for our club . If you are not interested in our publications and wish to be removed from our lists, simply do NOT respond and ignore this mail . This mail is being sent in compliance with Senate bill 1619 ; Title 4 , Section 304 ! Do NOT confuse us with Internet scam artists . Why work for somebody else when you can become rich as few as 15 weeks . Have you ever noticed nearly every.....................................................................


Para lo cual algunos se dieron a la tarea de analizar, otros de manera instintiva responder inmediatamente con un "Y Esto que es"??? tal vez SPAM (Basura), etc


=O =( :'(

Debido a que el POST fue borrado y desechado sin darse a la tarea de profundizar del tema y la situacion genere este POST de respuesta con desconcierto y dolor en mi alma Jejejejeje......

Mejor veamos que ya estoy llorando ¬¬ :'( :'( :'(

CITA:
***************************************************************************************

"Todo depende del Cristal con que se Mire" :P
H0l@,

Despues de enervarme y ponerme los pelos de mi cabeza como los de un Titi, por la premura y facilidad que nos damos para leer las cosas y no profundizar en ellas (27 lecturas 2 respuestas). No cuestionamos ni investigamos para saber que puede haber más halla de lo superficial y asegurarnos de lo inocuo que pueden ser los mensajes, hacen que nuestra vida sea algo mas que una simple respuesta a un reflejo o sentido de supervivencia, sin racionalizar o analizar lo que tenemos en frente. Mejor dicho me estoy volviendo un filosofico, orador enredado que más de uno no me entendera!!!! :'( :'(

Este preambulo es con relacion el POST que habia abierto de "ESTO SI ES SPAM o UD QUE PIENSA" .......

Bueno algo asi, la sintesis del asunto:

"Las Cosas no son como parecen ser"

"No todo lo que brilla es Oro"

Y

"Todo depende del Cristal con que se Mire"


Si señores por que la idea, era que cómo mínimo dejaramos de un lado nuestro pensamiento plano y lograramos una concepción mas tridimensional de las cosas, si bien es cierto que el titular de este POST es un SPAMMERO "King SPAMM", de igual forma mucho de los contenidos que publico tienen un sentido más profundo para recapitular o analizar con un mensaje que de alguna u otra manera busco den con su esencia, para los cuales algunos prefiero no explicarlos por que no veo la intención de los Dragonautas de llegar a ellos mejo dicho

"Dejen asi" ¬¬

En este caso como la acelerada fue la peluda al borrarme el POST sin percatarse de la intencionalidad del mismo, con la gratitud de los dos que respondieron en este caso Hecky que siempre ha demostrado avidez, humilda y caracter investigativo que de hecho estoy seguro que se dedico como minimo a traducir el mensaje o encontrarle un significado, que buena actitud por tu intencion Hecky eso merece un aplauso SPLAHSSPLAHSSPLAHSSPLAHSSPLAHSSPLAHSSPLAHSSPLAHSSP LAHSSPLAHS
(no se hacer graficos de aplausos) XDDDDD

Y el otro mensaje de mi amigo Raftafari Cronopio, que Yo creo que me carga hambre de lo bueno que estoy (es broma)XDDDD

Y la L@g@rt1j@ que se acelero a borrarlo catalogandolo como un SPAM respondiendo a sus impulsos energicos de Admin, a diferencia de mi amigo 3m060rd170 que se estoy mas que seguro que por su invaluable cerebro le paso algo como "Con que nos ira a salir Dino ahora", y habra optado por "La prudencia que hace verdaderos sabios"
XDDD

Por lo tanto paso a explicar de que se trataba (tanta chachara para llegar a esto) :P

Con un video por que si es de palabras para explicar no termino y se aburren más de lo que van hasta ahora!

Ahi les dejo de que se trataba!

http://rapidshare.com/files/175915415/spammimic.swf

Y recuerden

"No todo lo que brilla es Oro"
"Actitud de Expertos, Mente de Principiantes",
"Todo depende del
cristal con que se mire"



Bytes,


Dino

PD: Visualicenlo en pantalla completa (F11)

sábado, 18 de abril de 2009

Escalando Privilegios II (Keyloggers)


Continuando con la entrada anterior de Escalando Privilegios.....................................

De manera recursiva, si no se logra escalar privilegios con las tecnicas anteriores, podemos optar por poner un instrumento de captura de pulsaciones de tecla y de pantallas, permitiendonos hacernos a esa dificil información que no hemos podido lograr. Los KEY LOGGER pueden ser de dos tipos, a nivel de Software y Hardware, podriamos decir que se ubican entre el teclado y el Sistema Operativo.

Son muchos los buenos que existen, solo tratare algunos del curso preparado.

SC-Keylogger



Permite la captura de teclas, clicks, ventanas, hora y fecha, chats, capturas de sesion de windows, sitios web, email. La informacion es encriptada y puede ser enviada por E-mail a la direccion que se especifique.

Revealer Keylogger

Facil de instalar, es invisible en el sistema, procesos, barras de tareas, inicio. Permite la captura de teclas, configurable, y se pueden enviar los logs via E-mail, FTP y Red.

Handy Key Logger


Permite el registro de teclas, e-mail, mensajeria instantanea, es invisible, completo logs de uso de programas (4), monitoreo de todas las cuentas de usuario, encripta la informacion y es enviada via E-mail.



Trabaja en modo oculto, captura de teclas, captura de pantallas, cifra la informacion y es enviada por correo, ftp o red. Permite su uso por medio de contraseña de proteccion.




Trabaja a nivel de kernel, modo invisible, captura teclas, clicks, pantallas, programas, correos, mensajeria, administracion de reportes y de facil configuracion.

Perfect Keylogger

Registra pulsaciones de teclas, Web visitadas, captura de pantallas, correos, programas de mensajeria, password, cuentas de usuario, ecncripta la informacion y puede ser retornada via e-mail.

Otros Keylogger

  • Quick Keylogger
  • Spy-Keylogger
  • Perfect Keylogger for Mac
  • Invisible Keylogger
  • Actual Spy
  • Spytector FTP Keylogger
  • IKS Software Keylogger
  • Ghost Keylogger
Hardware Keylogger

Son dispositivos que permiten la captura de pulsaciones de tecla, se ubican fisicamente entre un teclado u otro medio de captura de datos en el computador, contrastan con los keylogger por software, son de 3 tipos :

  1. Adaptador
  2. Dispositivo
  3. Y teclado

Keyboard Keylogger: KeyGhost Security Keyboard


Keyboard PS/2








KeyloggerUSB














Intentalo, descarga los Demos y realiza tus propios Labs.

Bytes


Dino


miércoles, 15 de abril de 2009

"No estaba Muerto, andaba de Parranda" :P


H0l@ Amigos,

Decidi retornar con la actualizacion del blogger y para tal fin deseo compartir con uds, un material que prepare para un curso de CEH Basico y una noticia que para muchos que venimos del mundo de *nix y trabajamos con esta herramienta (SCO Unix) va a ser de mucho agrado (apesar de sus diferencias con el Mundo del pinguino) XD , espero que les guste.

De igual manera seguire compartiendo informacion y recursos, vivencias retomando la misión por la cual se construyo este Blog.



Bytes




Dino

ESCALANDO PRIVILEGIOS EN WINDOWS


Escalar privilegios, es la accion de lograr la cuenta del administrador a partir de una cuenta básica o limitada, por medio de tecnicas y comandos que permitan obtener una cuenta administrativa con privilegios o la cuentas del todo poderoso “Adminstrador o señor Root”

CRACKEANDO PASSWORD NT/2000

En Windows el archivo SAM contiene las cuentas (nombres de usuario y password) encriptadas de los usuarios, se encuentra en la carpeta:
%systemroot%\system32\config

La SAM es bloqueada al inicio del sistema, se debe bootear con una utilidad externa, realizar su proceso correspondiente de crack de password al hash de LM / NTML:

  • ERD Commander
  • CIA Commander
  • Hirens Boot CD
  • Ultimate Boot CD
  • Chntpwd
  • Active Password changer
  • NTFSDOS o un Live Cd de Linux
  • Ophcrack
  • Backtrack
  • Knoppix

Otra alternativa es ejecutar:

rdisk /s nos genera un archivo de copia SAM_ en %systemroot%\repair , y expandirlo con c:\>expand sam._ sam

Posteriormente se usa un soft para crackear la Hash como LOphtcrack.


Active@ Password Changer


X.exe

Conocido tambien como Windows32UserCreate Este tools nos permite en un sistema remoto crear un usuario X con password X y que sea añadido en el grupo de administradores.


PStools - PSEXEC

Permite ejecutar comandos en un sistema remoto, inicia un command prompt en el sistema remoto:

RMOXEC

Permite ejecutar aplicaciones de manera remota, se debe de conocer la cuenta del usuario, password, IP y aplicación a ejecutar.


Remote Executor.
Igual que la anterior permite ejecutar aplicaciones de manera remota, se debe de conocer la cuenta del usuario, password, IP y aplicación a ejecutar, su aplicabilidad es en uso de soporte remoto.

EMSA FLEXINPRO
Si de Administración remota se trata, este nos permite levantar diagnostico de las maquinas, cpu, memorias, ip, estados del sistema, en formato Html.



Bueno, espero que esta información les sea de utilidad, mas adelante me animare a realizar algunos videos tutoriales como los que ya conocen, como tambien subire los que ya he preparado para compartirlos con uds en el Blog.

No siendo mas me despido con cariño a los lectores de este blog que se levanto de la tumba
XDDDDD


Bytes


Dino


SCO Virtualización – Preguntas Frecuentes

SCO anuncia que las nuevas versiones optimizadas de sus sistemas operativos UNIX, estarán disponibles próximamente. Estas versiones correrán en un entorno VMware.

http://www.sco.com/images/products/virtual/sco_unix_v_sm.png

La primer versión que se va a liberar será OpenServer 5.0.7 pre-configurado con los últimos paquetes de mantenimiento y controladores, junto con las herramientas de VMware pre instaladas y optimizadas para mejor rendimiento.

Los clientes tendrán la opción de bajar de internet esta versión pre configurada de OpenServer 5.0.7 (que internamente llamamos “appliance”) o bien adquirir el CD. Una vez obtenida, se podrá importar a un entorno VMware y entonces licenciar el producto para activarlo. Esta versión pre configurada está actualmente siendo probada en VMware Workstation y ESX server.

Luego de la liberación de OpenServer 5.0.7V, se presentarán versiones similares para UnixWare 7.1.4 y OpenServer 6.0. Más abajo podrán encontrar algunas preguntas que le pueden ser de utilidad para entender mejor de este tema.

Estamos a disposición para aclarar cualquier duda.

Cordial Saludo,

-------------------------------------------------

Daniel O. Amato C.

Director, Latin America & Iberia Operations

Phone: +54 11 4671 4496

Fax: +54 11 4671 1624

email: daniel@sco.com

Web site: www.sco.com

Web Site in Spanish: www.ar.sco.com

SCO Virtualización – Preguntas Frecuentes

Generalidades:

P: ¿Qué es exactamente lo que SCO está ofreciendo con la nueva serie de productos de virtualización (o para entornos virtuales)?

P: Hemos estado utilizando servidores SCO por décadas ¿Para qué necesito esto?

P: Virtualización es completamente nuevo para mí, ¿Qué es?

P: ¿Cuales son las ventajas de virtualización de servidores?

P: ¿Qué plataformas de virtualización están soportadas en los productos “V” de SCO?

Tecnología SCO “V”:

P: ¿Cuáles son los tiempos estimados para la liberación de los productos SCO “V”?

P: ¿De qué forma la estrategia de virtualización mejora y extiende mi inversión en productos SCO y aplicaciones?

P: ¿Puedo hoy instalar SCO UNIX en una plataforma virtual tal como VMware, Xen o Microsoft Hyper-V?

P: ¿Cómo instalo SCO UNIX en VMware?

P: ¿ Los productos SCO “V” ofrecen la funcionalidad completa de las herramientas de VMware que están disponibles en otras plataformas?

P: ¿Qué formas existen para mejorar el rendimiento de redes, CPU e I/O bajo VMware comparado con mi plataforma de servidor original?

Licenciamiento:

P: ¿Cuáles son los requisitos de licenciamiento para correr SCO UNIX en un entorno virtual?

P: ¿Se requiere una licencia para cada Máquina Virtual o para cada instancia que un sistema operativo SCO corra en una máquina virtual?

P: ¿Puedo utilizar mis actuales licencias de usuario en un nuevo producto “V”?

P: ¿Puedo utilizar mi actual licencia de desarrollo de SCO UNIX en un nuevo producto “V”?

Consideraciones para la Migración:

P: Actualmente estoy corriendo SCO UNIX en VMware. ¿hay alguna actualización que pueda instalar para convertir mi SCO UNIX en un producto “V”?

P: Actualmente estoy corriendo SCO UNIX en VMware. ¿Cuáles son los beneficios de utilizar SCO V en lugar de SCO UNIX?

Generalidades:

P: ¿Qué es exactamente lo que SCO está ofreciendo con la nueva serie de productos de virtualización (o para entornos virtuales)?

R: SCO está ofreciendo versiones actualizadas de sus productos OpenServer 5.0.7, OpenServer 6 y UnixWare 7.1.4. Estas versiones especiales están optimizadas para correr en un entorno virtual de VMware. Las mejoras incluyen controladores actualizado, herramientas y otras modificaciones a los sistemas operativos para optimizar el soporte de SCO UNIX en dicha plataforma. Esta nueva tecnología le permite a los usuarios estar a tono con tecnologías emergentes y maximizar la eficiencia en hardware y software.

P: Hemos estado utilizando servidores SCO por décadas ¿Para qué necesito esto?

R: Si su empresa o su socio de soluciones de tecnología están entre las muchas empresas que están implementando un entorno virtual, entonces próximamente se encontrará con la pregunta si sus actuales servidores de aplicaciones criticas SCO pueden correr en un entorno tal como ese. Con la próxima liberación de los productos “V” de SCO, usted puede estar seguro que sus servidores SCO pueden correr en forma efectiva y eficiente en un entorno virtual.

P: Virtualización es completamente nuevo para mí, ¿Qué es?

R: Una respuesta adecuada y suficientemente explicativa, requeriría bastante más espacio que el disponible aquí. Sin embargo, el concepto de virtualización no es nuevo ya que se ha utilizado en el área de mainframes por décadas. Ha sido incorporado al entorno de servidores de consumo (“comodity servers”) por compañías como VMware y actualmente es un tema “caliente” en la industria de tecnología. Es un concepto muy arraigado en los “data centers” y se ha ido expandiendo al mercado de pequeña y mediana empresa en los últimos años. El concepto de virtualización es aplicable a varios temas, incluyendo almacenamiento y aplicaciones. En nuestro caso estamos hablando estrictamente de virtualización de servidores.

En esencia, virtualización permite correr un sistema operativo en una máquina virtual en vez de correr en un servidor nativo. En realidad la máquina virtual está corriendo en el hardware nativo pero encapsulado en este.

P: ¿Cuales son las ventajas de virtualización de servidores?

R: Las principales ventajas de virtualización de servidores son:

  • Consolidación de Servidores – los servidores modernos son mucho más poderosos y pueden soportar la carga de múltiples máquinas virtuales en vez de un único sistema operativo en un único servidor que estará mayormente desocupado.
  • Flexibilidad – Su sistema operativo corriendo en una máquina virtual es independiente del hardware del servidor, de los controladores, etc. El que maneja esta situación es el software que provee el entorno virtual (por ejemplo VMware ESX).
  • Protección de la inversión – su aplicación crítica puede moverse a un entorno virtual
  • Ahorro en costo de hardware.
  • Alta Disponibilidad y mejores posibilidades de administración son otros motivadores a considerar.

P: ¿Qué plataformas de virtualización están soportadas en los productos “V” de SCO?

R: Los productos “V” de SCO en principio estarán soportados en VMware ESX 3.5 y VMware Workstation 6.5 para Windows. SCO está evaluando otras plataformas de virtualización tales como Microsoft Hyper-V y Citrix XenServer con la idea de poder soportar estas plataformas en futuras versiones de los productos “V”.

Tecnología SCO “V”:

P: ¿Cuáles son los tiempos estimados para la liberación de los productos SCO “V”?

A: Estamos estimando la liberación de los productos en la primera mitad de 2009. El primer producto será OpenServer 5.0.7V. SCO está también evaluando liberar productos que soporten las plataformas Microsoft Hyper-V and Citrix XenServer posteriormente.

P: ¿De qué forma la estrategia de virtualización mejora y extiende mi inversión en productos SCO y aplicaciones?

R: La estrategia de virtualización puede beneficiar a los clientes de diferentes formas. Brinda una posibilidad de una actualización soportada para clientes corriendo aplicaciones en versiones heredadas de sistemas operativos SCO. También permite aprovechar el poder y flexibilidad de Nuevo hardware que puede no estar certificado para el sistema operativo SCO nativo. Además provee versiones de sistemas operativos SCO que han sido optimizadas especialmente para correr en plataformas VMware ESX y VMware Workstation.

P: ¿Puedo hoy instalar SCO UNIX en una plataforma virtual tal como VMware, Xen o Microsoft Hyper-V?

R: Hay reportes que indican que clientes o partners han instalado SCO UNIX en plataformas VMware. Sin embargo, SCO está trabajando en herramientas específicas y servicios para asegurar la optimización y soporte de la plataforma VMware. Los nuevos productos SCO UNIX para entornos virtuales sólo van a soportar la plataforma VMware por el momento.

P: ¿Cómo instalo SCO UNIX en VMware?

R: Los productos de virtualización de SCO se instalan fácil y rápidamente. Además SCO ofrece soporte y Servicios Profesionales para ayudar a sus clientes a comenzar con el uso de los sistemas SCO en entornos virtuales. Los productos “V” de SCO serán provistos como “aparatos virtuales” (appliances). Usted utilizará la funcionalidad Import de la plataforma soportada VMware para importar el “appliance” a su entorno virtual. Para mayor información de soporte y Servicios Profesionales puede consultar a su distribuidor SCO en su país. A bien a nosotros directamente.

P: ¿ Los productos “V” de SCO ofrecen la funcionalidad completa de las herramientas de VMware que están disponibles en otras plataformas?

R: Los productos “V” de SCO proveen los componentes más importantes de las herramientas VMware. Los productos “V” de SCO no sólo proveen las herramientas esenciales de VMware sino también otras modificaciones logradas por los ingenieros de SCO para optimizar y obtener el mejor rendimiento de los productos en la plataforma VMware. El “appliance” también brinda una forma muy cómoda para comenzar con el uso de los productos SCO “V” en VMware. Además no hay que olvidar que como parte del mantenimiento anual SCO ofrecerá actualizaciones del producto. Se está preparando un “Webinar” y documentos técnicos para ampliar estos conceptos. Les avisaremos en cuanto estén listos.

P: ¿Qué formas existen para mejorar el rendimiento de redes, CPU e I/O bajo VMware comparado con mi plataforma de servidor original?

R: Los ingenieros de SCO están haciendo pruebas, afinando el producto y agregando mejoras para optimizar el rendimiento de los productos bajo VMware. Los clientes tendrán acceso a estas mejoras a través de los productos “V”.

Licenciamiento


P: ¿Cuáles son los requisitos de licenciamiento para correr SCO UNIX en un entorno virtual?

R : Los productos “V” de SCO serán licenciados bajo un modelo de suscripción anual. Para poder utilizar cualquiera de los productos “V” lo primero que se debe hacer, es actualizar la licencia de sistema operativo a la última versión y luego comprar una subscripción de SCO “V” por un periodo de 12 meses.

Por ejemplo, si Usted ya tiene una licencia de OpenServer 5.0.7 y ahora quiere reemplazar esa instalación para correr OpenServer 5.0.7V en VMware, usted sólo necesita adquirir una licencia de subscripción anual de 5.0.7V.

Si Usted está utilizando OpenServer 5.0.6 (o alguna versión anterior) y quiere correr OpenServer 5.0.7V; Usted primero debe actualizar su licencia a OpenServer 5.0.7, y luego adquirir una licencia de subscripción anual de 5.0.7V.

La subscripción anual de SCO “V” incluye mantenimiento y actualizaciones para la versión “V” en cuestión, por el periodo de subscripción. Después de 12 meses, necesitará adquirir otra licencia de subscripción para el producto “V”, que estarán disponibles por 12 o por 36 meses. Para correr cualquier producto “V” se requiere una subscripción activa por máquina virtual.

Al momento de la fecha de liberación de los productos se proveerán mayores detalles.

P: ¿Se requiere una licencia para cada Máquina Virtual o para cada instancia que un sistema operativo SCO corra en una máquina virtual?

R: Cada sistema operativo SCO corriendo en una máquina virtual requiere de una licencia.
Puede visitar
http://www.sco.com/licensing/faq_openserver5.html para mayores detalles (Información en Inglés).

P: ¿Puedo utilizar mis actuales licencias de usuario en un nuevo producto “V”?

R: Se aplican las mismas reglas para licencias de usuarios y procesadores que para productos SCO UNIX . Aquí, algunos ejemplos para OpenServer 5.0.7V:

  • Si Usted tiene licencias de usuario válidas de OpenServer 5.0.7 y reemplaza éste por 5.0.7V, Usted puede utilizar las licencias de usuario de 5.0.7 en 5.0.7V. Las instala utilizando scoadmin como cualquier licencia.
  • Si Usted está actualizado su sistema operativo desde OpenServer 5.0.6 y tiene licencias de usuario validas de 5.0.6 y está reemplazando 5.0.6 por 5.0.7V, Usted puede utilizar las licencias de usuario de 5.0.6 en 5.0.7V. Las instala utilizando scoadmin como cualquier licencia.
  • Si Usted tiene OpenServer 5.0.5 (o anterior) y está actualizando a 5.0.7V, Usted debe actualizar el sistema operativo y las licencias de usuario correspondientes.

P: ¿Puedo utilizar mi actual licencia de desarrollo de SCO UNIX en un nuevo producto “V”?

R: Si. Usted puede siempre que no utilice esa licencia en más de un sistema operativo. Sin embargo el sistema de desarrollo no es parte del “appliance” de SCO “V”, por ello deberá instalar el sistema de desarrollo bajo SCO “V” como primera medida.

Consideraciones para la Migración:

P: Actualmente estoy corriendo SCO UNIX en VMware. ¿hay alguna actualización que pueda instalar para convertir mi SCO UNIX en un producto “V”?

R: Las características de virtualización están únicamente disponibles a través de las versiones “V” de los productos SCO UNIX.

P: Actualmente estoy corriendo SCO UNIX en VMware. ¿Cuáles son los beneficios de utilizar SCO “V” en lugar de SCO UNIX?

R: Los clientes que utilicen los productos “V” de SCO en plataforma VMware obtendrán los siguientes beneficios:

· Facilidad de instalación y configuración.

· Acceso a las herramientas Vtools portadas por SCO que permitirán una mayor integración entre SCO V y VMware

· Optimización de los productos “V” de SCO para mejorar rendimiento

· Mejora continua de características de los productos “V” de SCO

· Mantenimiento continuo de los productos “V” de SCO

· Servicios de soporte y posibilidad de escalar requerimientos de soporte.