Comenzaremos con Knoppix STD una distribución basada en Debian y no necesita instalarse ya que en realidad es un LiveCD y puede ejecutarse directamente desde un CD, DVD o USB de inicio.
Knoppix STD cuenta con una serie de herramientas clasificadas en varias categorías: authentication, password cracking, encryption, forensics, firewalls, honeypots, intrusion detection system, network utilities, penetration, packet sniffers, assemblers, vulnerability assessment and wireless networking.
Para darnos una idea de lo potente que es esta distribución vamos a revisar una herramienta correspondiente a cada una de las categorías mencionadas al inicio de este articulo con el objetivo de irnos familiarizando con esta distribución y sus alcances:
Steganography (MP3Stego): Es una herramienta que sirve para ocultar información (preferentemente texto) dentro de archivos MP3. La información es ocultada y cifrada en el proceso de compresión del audio especificando una contraseña que servirá tanto para ocultar la información como para extraerla del archivo MP3 resultante y puede funcionar bajo plataformas Windows.
Forensics (TestDisk): Esta herramienta en lo personal me gusta bastante ya que para poder realizar análisis forense muchas veces tenemos que recuperar tablas de particiones dañadas, reparar una MFT o reconstruir los sectores de arranque. Esta herramienta provee todas estas funcionalidades y puede ejecutarse prácticamente bajo cualquier plataforma incluido MacOS. Además de que puede recuperar archivos de un sin número de sistemas de archivos principalmente Windows y Linux.
Firewall (Firewalk): No me equivoque en escribir la palabra firewalk es correcto y es el nombre con el que se identifica a una técnica que con base al análisis de paquetes (traceroute) y a las respuestas de los paquetes IP determina qué controles de acceso (ACL’s) o filtros de paquetes están configurados en un firewall aunque también puede utilizarse para mapear una red.
Honeypots (Honeyd): Esta herramienta puede correr bajo plataformas Linux y Windows y permite simular una gran cantidad de servicios e infraestructura como correo electrónico, routers, servidores, etcétera, con configuraciones débiles. Esto tiene como objetivo el atraer a los atacantes pues recordemos que siempre la seguridad trataran de romperla por el eslabón más débil. Este tipo de aplicaciones pueden ayudarnos para darnos una idea de qué tipo de ataques podría utilizar un usuario mal intencionado o alguien de la comunidad hacker.
Ids (Swatch): Este herramienta se integra de manera nativa con Snort pero al estar escrita en lenguaje perl puede adaptarse para monitorear prácticamente cualquier log de un IDS. Su funcionalidad es muy sencilla ya que siempre está monitoreando los logs que escriben los sistemas IDS y al encontrar algún patrón especifico o coincidencia (previamente configurado) detona una acción. Esta puede ser desde mandar una alerta hasta la ejecución de un script o comando.
Network-Utilities (Argus): Esta es una poderosa herramienta que opera bajo un modelo cliente-servidor. La utilidad de esta herramienta de verdad es invaluable sobre todo para investigaciones forenses ya que permite llegar a correlacionar toda la actividad de red de un determinado equipo, realizar gráficas, estadísticas etcétera.
Esta herramienta es muy útil sobre todo si la necesidad de no repudio es imperativa ya que, configurando esta herramienta adecuadamente, se puede contar con los elementos necesarios para probar que una actividad ocurrió en la red y qué equipos (hosts) estuvieron involucrados.
Password-Tools (cisilia): Esta herramienta es un software para romper contraseñas de Windows. A diferencia de otras herramientas, que únicamente resetean o ponen en blanco el password de una cuenta de usuario cuando olvidamos la contraseña, cisilia está diseñada para realizar ataques de fuerza bruta de modo que podemos obtener o recuperar la clave extraviada. Dado que este tipo de ataques generalmente consumen un elevado tiempo de espera para probar con todas las combinaciones posibles, esta herramienta puede utilizarse para distribuir las tareas en varios equipos; de tal forma que una tarea de recuperación de password, que normalmente tomaría una semana de manera tradicional, podríamos realizarla en sólo 12 horas con cisilia, utilizando hasta 10 equipos de forma distribuida.
Servers (TFTPD): Es muy similar al FTP aunque con demasiadas limitantes y sin mecanismo de autenticación. Quise citar esta herramienta porque por en la red generalmente hacen referencia a este tipo de servidor cuando tienen un cable modem y quieren tener más velocidad de la que contrataron (uncap modem) pero eso es tema de otro artículo pero ahí les dejo el tip.
Packet-Sniffers (msgsnarf): Esta herramienta es capaz de capturar conversaciones (CHAT) de la mayoría de las herramientas de comunicación instantánea como MSN Messenger, IRC, ICQ, etcétera. Es muy útil pero como todo puede usarse de manera inapropiada e incurrir en delitos de espionaje o robo de secretos industriales por citar algunos.
TCP-Tools (arping): Esta es una herramienta muy similar al tradicional ping solo que en lugar de actuar en la capa 3 del modelo OSI opera en la capa 2. Como su nombre lo indica sirve para descubrir host en una red utilizando el protocolo ARP muy útil cuando por cuestiones de seguridad cerramos todo el tráfico ICMP (ping tradicional) y queremos saber si un host está activo o no.
Tunnels (cryptcat): A grandes rasgos mantiene la funcionalidad normal de netcat adicionando el soporte para realizar cifrado de datos utilizando el algoritmo Twofish, que dicho sea de paso es bastante seguro y hasta la fecha la manera más eficiente de romperlo es por ataques de fuerza bruta. Por otro lado, al ser finalmente un netcat puede utilizarse para infinidad de aplicaciones, no en vano netcat se ha ganado el mote de “la navaja suiza”.
Vulnerability-Assessment (Hydra): Una de mis herramientas favoritas dada su flexibilidad para intentar romper infinidad de mecanismos de autenticación (login). Esta herramienta puede utilizarse desde cosas muy sencillas como obtener el password de un modem infinitum (web de administración) hasta ataques a bases de datos o correo electrónico muy útil sobre todo cuando necesitamos romper un password a través de la red.
Wireless-Tools (Kismet): Una de las mejores herramientas utilizadas para la auditoria de redes inalámbricas. En lo personal me gusta porque no solo sirve para interceptar y capturar tráfico para poder romper una red inalámbrica sino que también lo podemos utilizar como un sistema de detección de intrusos (IDS) para redes inalámbricas.
Con esta última herramienta damos por terminada la revisión es esta gran distribución basada en Debian y dejamos para el siguiente artículo una distribución diseñada para hacer frente al enemigo en el campo de batalla.
No me resta más que agradecer al equipo de b:Secure por aguantarme en mis retrasos (de mis artículos) y a ustedes los lectores por hacer posible esta sección invitándolos nuevamente a que participen dejando sus comentarios y sugerencias para tratar de abordar temas que consideren relevantes y sobre todo para saber si lo que se publica es de su interés.
Fuente: http://www.bsecure.com.mx/opinion/los-sabores-de-linux-construyendo-el-arsenal-del-hacker/?utm_medium=twitter&utm_source=twitterfeed
0 comentarios:
Publicar un comentario