¿CÓMO CREAR PODEROSA PUERTA TRASERA AUTOMÁTICA/ AUTO-BACKDOOR?

Según Huiqing Wang, el profesor del curso de hacking ético de IICS hay otras herramientas para hackear el sistema  y backdoorme es una de esas herramientas. Backdoorme es una utilidad capaz de crear una puerta trasera en equipos de Unix. Backdoorme utiliza una interfaz de Metasploit con más funcionalidades. Backdoorme usa una conexión SSH existente o las credenciales de la víctima, a través de la cual se transferirá y desplegaría una puerta trasera.

Backdoorme viene con una serie de puertas traseras integradas, módulos y auxiliares. Existen puertas traseras como netcat backdoor, msfvenom backdoor y otras. Acuerdo con el curso de hacking ético, pueden usar módulos con cualquier puerta trasera y se usan para hacer puertas traseras más potentes, ocultas o más fáciles de instalar. Auxiliares son operaciones útiles que podrían realizarse para ayudar a la persistencia.

¿CÓMO INSTALAR BACKDOORME?

Git clone https://github.com/Kkevsterrr/backdoorme <Your Clone Folder Name>

cd <your Folder>

python dependencies.py

python master.py

TIPOS DE PUERTAS TRASERAS DISPONIBLE

Hay diferentes puertas trasera disponible en backdoorme según Huiqing Wang, el profesor del curso de hacking ético.

remove_ssh backdoor: La puerta trasera de remove_ssh quita el servidor ssh en el cliente. Es usado al final de sesión backdoorme para quitar todos los rastros.

ssh_key/ ssh_port backdoor: La puerta trasera de ssh_key crea claves RSA y añade un nuevo puerto de ssh.

setuid backdoor: Puerta trasera setuid trabaja por el bit setuid en un binario mientras que el usuario tiene acceso root, de modo que cuando el usuario ejecuta el binario sin acceso a root, el código binario es ejecutado con acceso de root. Tenga en cuenta que tener acceso root es inicialmente necesario para implementar esta puerta trasera.

shell backdoor: La puerta trasera de shell es una puerta trasera de elevación de privilegios similar a setuid. Se duplica a bash shell a un binario oculto, y establece el bit SUID.

keylogger backdoor: Añade un keylogger en el sistema y enviar por correo electrónico los resultados.

simplehttp backdoor: Instalar python’s SimpleHTTP servidor en el cliente.

user backdoor: Añade nuevo usuario en el cliente.

web backdoor: Instalar servidor de Apache en el cliente.

bash/bash2 backdoor: Utiliza un simple script bash para conectarse a una combinación de IP y puerto específico y enviar los resultados.

metasploit: Emplea msfvenom para crear un tcp reverse binario en el destino, y luego ejecuta el binario para conectar a un shell meterpreter.

netcat/netcat_traditional backdoor: La puerta trasera de netcat utiliza netcat, proporciona al usuario un shell interactivo.

perl backdoor: La puerta trasera de perl es un script escrito en perl que redirige el resultado a bash, y cambia el proceso para ver menos llamativo.

php backdoor: La puerta trasera de php ejecuta un backdoor php que redirige el resultado a bash. No se instala automáticamente un servidor web, pero en su lugar, utiliza el módulo de web.

pupy backdoor: La puerta trasera de pupy usa n1nj4sec’s Pupy backdoor.

python backdoor: La puerta trasera de python, utiliza un script en python para ejecutar comandos y enviar los resultados al usuario.

web backdoor: La puerta trasera de web ejecuta un backdoor php que redirige el resultado a bash y se instala automáticamente un servidor web

TIPOS DE MÓDULOS DISPONIBLE

Hay diferentes módulos disponible en backdoorme según el curso de hacking ético.

Módulo Poison: Realiza bin envenenamiento del equipo y compila un ejecutable para llamar a una utilidad de sistema y una puerta trasera existente.

Módulo Cron: Añade una puerta trasera existente a crontab del usuario root para correr con una frecuencia determinada.

Módulo Web: Configura un servidor web y una página web que dispara la puerta de atrás. Simplemente visita el sitio y la puerta trasera se iniciará.

Módulo User: Agrega un nuevo usuario en el equipo.

Módulo Startup: Permite puertas traseras que se generó con los archivos bashrc y init.

Módulo Whitelist: Las listas blancas de IP’s para que sólo la IP puede conectarse a la puerta trasera.

Servidores Unix se utilizan en muchas empresas y hay gran cantidad de vulnerabilidades de seguridad en el sistema Unix. Hay una gran cantidad de medidas de seguridad que se pueden implementar para asegurar un sistema Unix. Usted puede aprender más acerca de la arquitectura de seguridad de Unix y cómo proteger contra las herramientas del tipo backdoorme durante el curso de hacking ético del International Institute of Cyber Security.

Read More

¿CÓMO ASESGURAR BASES DE DATOS?

Las bases de datos pueden ser un tesoro de datos sensibles. Normalmente la mayor parte de bases de datos contienen los datos sensibles, datos confidenciales de las empresas, gente, propiedad intelectual, empleados, o clientes. Los datos pueden incluir la información de cliente, salario de empleado, dirección de empleado, registros pacientes, datos financieros, números de la tarjeta de crédito y mucho más. Desde el punto de vista de empresa de seguridad en bases de datos, un base de datos de cualquier empresa u organización, es un sistema que se forma por un conjunto de datos organizados, los cuales se almacenan o estructuran en nube o en servidores local, y cuyo tratamiento y acceso requiere de aplicaciones que aprueban modificarlos o utilizarlos. Según consultores de servicios de auditoría de base de datos, el acceso concurrente por parte de varios usuarios sin soluciones de seguridad de base de datos implica muchos riesgos como perdidos o robo de datos. Según una encuesta de empresa de seguridad en bases de datos, los datos perdidos o robados, especialmente los datos sensibles, pueden causar daños de marca, multas graves, juicios y desventaja competencia.

Estos riesgos obligan a las empresas a tomar en cuenta aspectos como la seguridad de base de datos e implementación de soluciones de seguridad de base de datos. Alternativamente las empresas pueden tomar ayuda de servicios de seguridad de base de datos que incluyen respaldo y recuperación en caso de incidentes, causados por errores humanos, desastres naturales y en muchos casos por ataques cibernéticos.

Los servicios de seguridad de base de datos implican protegerlos de actividades indebidas que pongan en peligro la estructura, disponibilidad, consistencia e integridad de base de datos. Además los reglamentos de privacidad de protección de datos personales requieren la implementación de soluciones y servicios de seguridad de base de datos para alinear con la ley de protección de datos personales.  Empresas de seguridad en bases de datos deben lograr seguridad de base de datos mediante procedimientos que permiten controlar el acceso, reestructurar o actualizar la base datos acuerdo a los requisitos de las aplicaciones sin necesidad de modificar mucho el diseño del modelo de datos. Las empresas u organizaciones pueden implementar solución de seguridad de base de datos en el nivel de la aplicación, el nivel de almacenamiento o el nivel de la base de datos según expertos de empresas de seguridad en bases de datos. La solución de seguridad de base de datos implementada en nivel de almacenamiento (en disco o cinta), asegura contra el riesgo en el caso que se pierdan los medios de almacenamiento. Pero la misma solución de seguridad de base de datos no puede asegurar frente a empleados internos o infraestructura infectada por malware.

La solución de seguridad de base de datos implementada en el nivel de la aplicación representa otra opción y proporciona el mayor nivel de control. Pero la misma solución de seguridad de base de datos no puede proteger en el caso que se pierdan los medios de almacenamiento. Además implementación de la solución de seguridad de base de datos en el nivel de la aplicación requiere muchos cambios en la aplicación y a veces no puede ser un planteamiento viable.

Debido a estas complejidades, muchas empresas u organizaciones están eligiendo ayuda de expertos de empresas de seguridad en bases de datos para que puedan implementar soluciones avanzadas. Estos servicios de seguridad de base de datos proporcionan seguridad al nivel almacenamiento, al nivel aplicación y al nivel de datos en flujo.

¿CÓMO PUEDEN SOLUCIONAR EL PROBLEMA DE SEGURIDAD EN BASE DE DATOS? 

Según expertos de IICS – Instituto Internacional de seguridad Cibernética, las soluciones, servicios de seguridad de base de datos pueden añadir nuevos niveles de seguridad en su empresa y ayudar su empresa a proteger y administrar datos confidenciales de forma eficaz. Los servicios deben incluir los servicios de auditoría de base de datos y cursos de seguridad de base de datos. Los servicios de seguridad de base de datos gestionarán la confidencialidad, integridad y continuidad de la información empresarial, incrementando con esto la credibilidad y confiabilidad de la empresa. Los siguientes son algunos aspectos y ventajas de los servicios de auditoría de base de datos:

§  El servicio de auditoría de base de datos incluye pruebas de intromisiones. Eso le ayudaría poner controles de seguridad en los bases de datos.

§  Toda la infraestructura de base de dato se somete a los servicios de auditoría de base de datos. Sin ayuda de los servicios de auditoría de base de datos, no pueden conocer todos los riesgos y vulnerabilidades.

§  Los servicios de auditoría de base de datos ayudan a implementar un sistema de monitoreo. El sistema tiene la capacidad de supervisar y verificar todas las actividades. Este sistema puede descubrir cualquier actividad indebida o errónea.

§  Creación de los procesos por desarrollar y mantener información detallada sobre las vulnerabilidades y riesgos empresariales de redes y aplicaciones.

§  Aseguran de la implementación de los procedimientos para la gestión de controles criptográficos para el resguardo y fortalecimiento de base de datos después de terminación de los servicios de auditoría de base de datos.

§  Los servicios de auditoría de base de datos aseguran implementación y ejecución periódica de los procesos de respaldos.

§  Generar las políticas y procedimientos para la eficaz gestión de los proveedores de servicios y terceros.

§  Implementan el plan de continuidad del negocio, forense y recuperación de los datos en caso de un ataque cibernético.

§  La infraestructura de base de datos estaría protegida contra el fuego, el robo y otras formas de daño físico. Los servicios de seguridad de base de datos desarrollan las políticas de seguridad física y seguridad lógica.

Con los cursos de seguridad de base de datos aprenderán gestionar los riesgos, los incidentes de seguridad, las vulnerabilidades existentes, y disminuir los riesgos de incumplimiento a la legislación de protección de datos personales. Los siguientes son algunos aspectos y ventajas de las capacitaciones de seguridad de base de datos:

§  Puede aumentar la eficacia reduciendo los costes de gestión vinculados a la seguridad en bases de datos en los entornos de gran escala, con la arquitectura de gestión de seguridad enseñada durante la capacitación de seguridad de base de datos.

§  Con el curso de seguridad de base de datos, puede aprender en tiempo real las habilidades de seguridad en base de datos con mucha práctica.

§  Durante el curso de seguridad de base de datos puede implementar la seguridad sobre infraestructura real y agregar mayores niveles de seguridad.

§  Personalizan capacitaciones y cursos de seguridad de base de datos para que se integren fácilmente en sistemas de gestión de base de datos implementados y otras soluciones de seguridad.

§  Enseñan la implementación de la solución de cifrado de bases de datos de alta garantía durante el curso de seguridad de base de datos.

§  Además temas como simplificación de las obligaciones de cumplimiento de privacidad de datos, cómo aplicar mejores prácticas y normas de cumplimiento, la copia de seguridad y automatización de respaldo están parte del curso de seguridad de base de datos.

Read More

HOW TO SECURE DATABASES?

Databases can be a treasure trove of confidential data. Normally most databases contain confidential information, private data of companies, people, intellectual property, employees or customers. Confidential data may include the customer data, employee’s salary data, employee address data, patient records, financial data, credit card numbers and much more. From a database security company’s point of view, a database of any company or organization, is a system which is formed by sets of organized data, which are stored and structured in cloud or local servers, and any kind of data treatment or access by any individual or application should be done with access or modification permissions. According to database security audit services consultants, any concurrent database access by several users without any database security solutions involves many risks such as database hack or deletion. According to a survey of a database security company, lost or stolen data, especially confidential data, can cause brand damage, fines, legal complications and disadvantage over competition.

These risks are forcing companies to take into account issues such as database security and implementation of database security solutions. Alternatively, companies can take help of database security audit services which include backup and recovery in the event of incidents caused by human error, natural disasters and in many cases by cyber-attacks.

Database security services aim to protect the database from unauthorized activities that endanger the structure, availability, consistency and integrity of database. Also privacy and personal data protection regulations require the implementation of database security audit services and solutions to align with data protection law. Database security companies must achieve implementation of data security using procedures that allow access control, restructure or update of the database according to application requirements without changing much the design of the data model.

Companies or organizations can implement database security solution at the application level, the infrastructure level or at database storage level explains an expert from database security company. The database security solution implemented at the database storage level (disk or tape), secures against the risks such as storage media loss or theft. But the same database security solution cannot secure against malware infected infrastructure or internal employees.

The database security solution implemented at the application level is another option and provides the highest level of control. But the same database security solution can’t secure against loss or theft of storage media. Also, implementation of the database security solution at the application level requires many changes in the application and at times is not be a viable approach.

Because of these complexities, many companies and organizations are choosing help of experts of database security company so that they can implement advanced solutions. These database security solutions provide database security at storage level, application level and the level of data flow.

HOW YOU CAN RESOLVE THE DATABASE SECURITY PROBLEM?

According to experts from IICS – International Institute of Cyber Security, the database security solutions and services  can add new levels of security to your company and help your company to protect and manage confidential data in an effective manner. Our services include database security audit services and database security training courses. Our database security audit services manage the confidentiality, integrity and continuity of business information, thus increasing the credibility and reliability of the company. The following are some aspects and advantages of ourdatabase security audit services:

§  Database security audit services include penetration testing. This helps in putting security controls in the database.

§  All the database infrastructure is subjected to database security audit services. Without the help for database security audit services it would be difficult to know all the risks and vulnerabilities.

§  Database security audit services help in implementing a monitoring system. The system has the ability to monitor and verify all activities. This system can detect any unusual and unauthorized activity.

§  Creating processes that would develop and maintain detailed information about the vulnerabilities and business risks of company’s networks and applications.

§   Ensure proper implementation of cryptographic controls management procedures for safeguarding and strengthening database upon completion of database security audit services.

§  Database security audit services ensure proper implementation and regular execution of database backup processes.

§  Generate policies and procedures for effective management of service and third party providers.

§  Implementation of business continuity plan, forensic and data recovery plan in case of any cyber attack.

§  The database infrastructure would be protected against fire, theft and other forms of physical damage. Database security audit services generate policies for physical and logical security.

With database security training courses, you will learn to manage risks, security incidents, vulnerabilities and decrease the risks of non-compliance with the personal data protection law. The following are some aspects and advantages of database security training:

§  You can increase the efficiency by reducing management costs linked to database security in a large-scale environment with the help of security management architecture taught during database training course.

§   With database security training, you can easily learn all the database security skills in real-time with lot of practice.

§  During the database security training course, you can implement database security controls on the actual infrastructure and add higher levels of security.

§  Customize database security training can be easily integrated into database management systems and other security solutions already implemented.

§  During the course you learn implementation of database encryption solution.

§  Also the topics such as simplification of compliance with data privacy obligations, backup automation, implementation of industry best practices and standards are part of database security training course.

Read More

Arquitectura de seguridad de VoIP

Voz sobre IP (VoIP) ha estado alrededor durante mucho tiempo. Es omnipresente en los hogares, centros de datos y redes. A pesar de esta ubicuidad, la seguridad no suele ser una prioridad y por esa razón hay muy pocas empresas de seguridad informática trabajando en esta área.  Según la experiencia de profesor de hacking ético,  con la combinación de unos protocolos estándar, es posible hacer que sea seguro e implementar cifrado en llamadas VoIP.

TLS es el protocolo de seguridad entre los puntos extremos de señalización de la sesión. Es la misma tecnología que existe para los sitios web           ; comercio electrónico, correo web cifrado, Tor y muchos otros utilizan TLS para la seguridad. A diferencia de los sitios web, VoIP utiliza un protocolo diferente llamado el Protocolo de Iniciación de Sesión (SIP) para señalización: acciones como sonar un dispositivo, respondiendo a una llamada y colgar. SIP-TLS utiliza las autoridades de certificación estándar para definir las claves. Esto implica la confianza entre el emisor del certificado y los extremos de la llamada.

Para añadir una pequeña complejidad, el contenido de las llamadas tiene sólo una pequeña relación con SIP. Según experto de empresa de seguridad informática, el protocolo para definir clave para contenido P2P VoIP se llama ZRTP. En un sistema de P2P, el acuerdo de clave y cifrado del contenido de la llamada ocurre en las aplicaciones de extremo. Una distinción importante entre VoIP y otras comunicaciones en red es que todos los dispositivos son cliente y servidor a la vez, así que tenemos sólo "extremos" en lugar de "clientes" o "servidores". Una vez que los extremos están de acuerdo en un secreto compartido, la sesión termina ZRTP y la sesión SRTP comienza menciona el profesor del curso de hacking ético. Cuando, todo el contenido audio y video sobre la red está encriptado. Sólo los dos pares extremos que establecieron una sesión con ZRTP pueden descifrar la secuencia de los medios de comunicación. Esta es la parte de la conversación que no puede ser interceptada ni pueden espiar los metadatos de sesiones.

En primer lugar es SIP (Protocolo de inicialización de sesión). Este protocolo se cifra con TLS. Contiene las direcciones IP de los extremos que deseen comunicarse pero no interactúa con la secuencia de audio o vídeo.

En segundo lugar, hay ZRTP. Este protocolo entra en la mezcla después de un exitoso diálogo SIP establece una sesión de llamada por localizar los dos extremos. Transmite información de acuerdo clave sobre un canal SRTP no verificado. Los extremos usan sus voces para hablar un secreto que verifica que el canal es seguro entre sólo los dos extremos.

En tercer lugar, introduzca SRTP. Sólo después de que el intercambio de claves de ZRTP tiene éxito se cifra el contenido de la llamada con el protocolo seguro de Tiempo Real. Desde este punto en adelante, todo el audio y el vídeo son seguros y únicamente con llave para cada sesión individual menciona Mike Smith, profesor de forense digital de IICS.

Según expertos de empresa de seguridad informática, VoIP es complejo en comparación con HTTP y el entendimiento de la corriente principal de los elementos de seguridad a menudo omite el contenido SRTP/ ZRTP, más bien se centra sólo en la señalización SIP-TLS. En el próximo artículo cubriremos más sobre la arquitectura de seguridad de VOIP con la ayuda de profesor de curso de hacking ético y forense digital de IICS.

Read More

¿Cómo proteger su software o malware contra piratería?

Los hackers hacen la vida difícil, incluso para el usuario de Internet más inocente, y es todo gracias a un pequeño truco desagradable llamada ingeniería inversa. Esto es cuando un hacker toma aparte el código que hace un programa, luego busca las vulnerabilidades o explotaciones. Hay una nueva solución de de seguridad está siendo utilizada para proteger contra la ingeniería inversa del software.

Según los expertos de empresa de pruebas de penetración, cuando se elimina malware de una máquina, se produce el mismo proceso. Con los conocimientos de hacking ético y usando técnicas de la ingeniería inversa los expertos excavan en el código del malware y explotan sus vulnerabilidades en contra de él. Sin embargo, ¿qué pasaría si el malware o software tenga un lógico que podría evitar la ingeniería inversa en el sistema? Según Dave Smith, el profesor del curso de hacking ético, hay una metodología que se llama Hardened Anti-Reverse Engineering System (HARES) y con eso es posible evitar ingeniería inversa.

¿Cómo funciona HARES?                                                 

Los expertos de empresa de pruebas de penetración explican que, HARES intenta cifrar el código de programa hasta el momento exacto en que procesador necesita para ejecutar el código, lo que significa que no se puede descifrar y analizar el código mientras que el código está siendo ejecutado. Según Dave Smith, el profesor del curso de hacking ético esto se traduce en un código extremadamente protegido de cualquier hacker que quiere piratear el programa y luego averiguar los fallos de seguridad que se podrían utilizar para su propio beneficio.

Para proteger de las herramientas de ingeniería inversa, HARES utiliza un truco de hardware que funciona con chips de Intel y AMD denomina Translation Lookaside Buffer (or TLB) Split. Eso TLB Split separa la parte de la memoria de una computadora que almacena los datos de programa de la parte donde se almacenan las instrucciones. Todos los partes de la memoria de las instrucciones está encriptado de tal manera que sólo puede ser descifrado con una clave que reside en el procesador de la computadora. Cuando una herramienta de ingeniería inversa lee la memoria de la computadora para encontrar las instrucciones del programa, la división TLB redirige la herramienta a la sección de la memoria que está llena de comandos encriptados, ilegibles mencionan expertos de empresa de pruebas de penetración.

Las protecciones proporcionadas por HARES son: el aumento de la protección de código de un programa contra el análisis estático y significativamente difícil análisis dinámica. Estas protecciones pueden ayudar a prevenir algoritmos sensibles de ser invertidos, así como proteger una aplicación vulnerable contra ciertos tipos de explotaciones.

Según experiencia de empresa de pruebas de penetración, el resultado es una protección resistente al crack de cualquier hacker que le piratean el software, encontrar fallos de seguridad que podrían comprometer a los usuarios e incluso en algunos casos entender sus funciones básicas.

Por supuesto, cualquier herramienta que puede ser usada para el bien de la seguridad cibernética también podría ser usada por hackers para crear malware que son muy difíciles de descifrar y ser analizados. Pueden aprender más sobre HARES durante el curso de hacking ético de IICS.

Read More

Hardsploit: Una herramienta como Metasploit para hacking del hardware

Adopción de Internet de las cosas (IoT) está ganando impulso, y escuchamos muchas veces que será el desafío más grande implementar seguridad en IoT. Una empresa de seguridad informática ha salido con una herramienta que permitirá a los auditores  de seguridad informática de IoT, dispositivo industrial, sistemas SCADA y productos electrónicos básicos utilizados en la vida cotidiana. Se llama HardSploit y es un marco modular de hardware y software destinado a facilitar una opción por auditoría de los sistemas electrónicos, a los consultores  de hacking ético. En resumen, es una herramienta de hardware hacking.

Módulos de Hardsploit permiten expertos de empresa de seguridad informática interceptar los datos, hacer pruebas, reproducción y enviar datos a través de cada tipo de bus electrónico utilizado por el dispositivo probado. El nivel de interacción que expertos de empresa de seguridad informática tendrán depende de las características del bus electrónico, menciona el experto de hacking ético.

Hardsploit es una herramienta con software y los elementos electrónicos. Es una plataforma técnica y modular (usando FPGA) para realizar pruebas de seguridad en las interfaces de comunicaciones electrónicas de dispositivos integrados.

Módulos de Hardsploit

Las principales funciones de auditoría de hacking ético de dispositivos integrados son:

·         Sniffer, escáner, Proxy, interactuar con el bus electrónico

·         Dump de Memoria

·          Exploits

Módulos de HardSploit 's le permiten analizar toda clase de bus electrónico (tipo serie y paralelo)

 

·         JTAG, SPI, I2C

·         Dirección paralelo y bus de datos en el chip

·          y otros más por venir en el futuro (OneWire, UART, etc ...)

Función visual de ayuda para cablear

Los expertos de empresa de seguridad informática, no deben preocupar con parte de las pruebas de hacking ético de dispositivos integrados. Los expertos de empresa de seguridad informática sabrán donde tiene que conectar los cables y cómo conectarlas  con la ayuda de función visual de ayuda para cablear. Este módulo ayuda  en conexión de los cables con el dispositivo probado:

·         GUI guía la organización de pin (pin OUT) del chip de dispositivo probado.

·         GUI le guía durante todo el proceso de cableado entre conector de Hardsploit y el dispositivo probado.

·         GUI controla un conjunto de LED que se encienden y se apagan y permiten encontrar el Hardsploit Pin para conectar con el dispositivo probado.

GUI y software asociado

La parte del software de Hardsploit ayuda a llevar a cabo una auditoría de hacking ético de extremo a extremo. Será compatible (integrado) con las herramientas existentes, como Metasploit. Existen API’s para la integración con otras API en el futuro.

HardSploit pretende convertirse en una herramienta de auditoría de hacking ético para la seguridad de Internet de las cosas y Hardware. Pueden aprender más sobre hacking de hardware en el curso de hacking ético de IICS.

Read More

APRENDER NUEVO LENGUAJE DE SEGURIDAD INFORMÁTICA: HAKA (PARTE:REGLAS)

En el último artículo aprendimos más acerca de Haka, un lenguaje de seguridad orientado a código abierto con ayuda de expertos de servicios de seguridad informática.http://noticiasseguridad.com/importantes/aprender-nuevo-lenguaje-de-seguridad-informatica-haka/ En este artículo vamos a cubrir como escribir las reglas de seguridad en Haka con ayuda de profesor de hacking ético. Haka ofrece una forma sencilla de escribir reglas de seguridad para filtrar, modificar, crear e inyectar paquetes. Según expertos de auditoría de seguridad informática, cuando se detecta un flujo con algo malicioso, pueden informar los usuarios o pueden dejar el flujo. Los usuarios pueden definir escenarios más complejos para mitigar el impacto de un ataque. Por ejemplo, se puede alterar peticiones http y obligar a los navegadores obsoletos para actualizar o falsificar paquetes específicos para engañar herramientas de análisis de tráfico.

La siguiente regla es una regla de filtrado de paquetes básico que bloquea todas las conexiones de una dirección de red.

local ipv4 = require(“protocol/ipv4”)

local tcp = require(“protocol/tcp_connection”)

local net = ipv4.network(“192.168.101.0/24”)

haka.rule{

   hook = tcp.events.new_connection,

   eval = function (flow, pkt)

       haka.log(“tcp connection %s:%i -> %s:%i”,

           flow.srcip, flow.srcport,

           flow.dstip, flow.dstport)

       if net:contains(flow.dstip) then

           haka.alert{

               severity = “low”,

               description = “connection refused”,

               start_time = pkt.ip.raw.timestamp

           }

           flow:drop()

     end

   end

}

Las primeras líneas del código cargan los disectores de protocolo, Ipv4 y TCP explica profesor de hacking ético, Mike Stevens. La primera línea se encarga de paquetes IPv4. Después usamos un disector de TCP de estado que mantiene una tabla de conexión y gestiona flujos de TCP. Las siguientes líneas, definen la dirección de red que debe ser bloqueada.

La regla de seguridad se define a través de palabras clave haka.rule. Según experto de servicios de auditoría informática, reglas de haka son muy útiles. Una regla de seguridad está hecha de un gancho y una función de evaluación eval. El gancho es un evento que activará la evaluación de la regla de seguridad. En este ejemplo, la regla de seguridad se evaluará en cada intento de establecimiento de conexión TCP. Los parámetros pasados a la función de evaluación dependen del evento explica el experto de servicios de seguridad informática. En el caso del evento new_connection, eval toma dos parámetros: flow y pkt. Lo primero de ellos tiene detalles sobre la conexión y el segundo es una tabla que contiene todos los campos del paquete TCP.

Según recomendación de profesor de hacking ético, en el núcleo de la regla de seguridad debemos registrar en haka.log primero alguna información acerca de la conexión actual. Luego, comprobamos si la dirección de origen pertenece a la gama de direcciones IP’s no autorizadas. Si la prueba tiene éxito, elevamos una alerta (haka.alert) y liberamos la conexión. Menciona Roberto Talles, experto de auditoría de seguridad informática que tenga en cuenta que se informa sólo algunos detalles de la alerta. Se puede añadir más información, como el origen y el servicio de destino.

Utilizamos hakapcap herramienta para probar nuestra filter.lua regla en un archivo de pcap trace filter.pcap:

$ hakapcap filter.lua filter.pcap

De aquí en adelante, en los resultados sale algo de información sobre disectores cargados y reglas registrados. El resultado muestra que Haka logró bloquear conexiones dirigidas a dirección 192.168.101.62:

En el ejemplo anterior, hemos definido una sola regla para bloquear las conexiones. Uno puede escribir un conjunto de reglas de firewall usando la palabra clave haka.group mencionó profesor de hacking ético. En este caso, la configuración, se puede elegir un comportamiento por defecto (por ejemplo, bloquear todas las conexiones) si ninguno de la regla de seguridad autoriza explícitamente el tráfico.

En el próximo artículo vamos cubrir más sobre inyección de paquetes con la ayuda de expertos de servicios de seguridad informática.

Read More