GITHUB EMPEZARÁ A AVISAR A LOS DESARROLLADORES DE LAS VULNERABILIDADES EN LAS DEPENDENCIAS DE SUS PROYECTOS

GitHub es una de las plataformas más utilizadas por los desarrolladores de software de código abierto de manera que puedan, además de versionar sus proyectos, colaborar con otros usuarios en la creación, mejora y depuración de los mismos. Aunque las aplicaciones de código abierto suelen ser, por lo general, seguras debido a la gran cantidad de usuarios que las analizan y ayudan en la depuración, muchas veces estas se ven afectadas por vulnerabilidades ocultas en alguna de las dependencias del proyecto, y esto es lo que pretende solucionar GitHub.

La mayoría de los proyectos de código abierto suele tener ciertas dependenciasque facilite el uso y la implementación de determinadas funciones. Una de las dependencias más utilizadas en los proyectos que se conectan a Internet de forma segura es OpenSSL. Un proyecto puede ser muy seguro, pero si una de sus dependencias tiene la más mínima vulnerabilidad (volvemos la vista atrás a Heartbleed, la peor vulnerabilidad en la historia de OpenSSL y de la informática), todos aquellos proyectos que hicieran uso de esta librería vulnerable estarían poniendo en peligro igualmente a los usuarios.

Así, en el apartado “Insights” de los proyectos de GitHub encontraremos esta nueva función dentro de la categoría “Dependency graph“, donde si alguna de las dependencias de nuestro proyecto se ve afectada por una vulnerabilidad, nos aparecerá un aviso que nos informará de dicha vulnerabilidad para poder solucionarla lo antes posible.

Vulnerabilidades Dependencias GitHub

Los avisos de vulnerabilidades también llegarán a los desarrolladores a través del correo electrónico, y también se notificará a los desarrolladores cuando los responsables de la dependencia la actualicen para solucionar la vulnerabilidad. Esta nueva función también avisará a los desarrolladores de la nueva información que se vaya conociendo sobre las vulnerabilidades.

Por el momento, los ingenieros de GitHub están trabajando con los identificadores CVE de las vulnerabilidades para llevar un seguimiento de las mismas, aunque más adelante también podrán avisar de las vulnerabilidades más conocidas incluso cuando no puedan tener acceso al CVE.

POR EL MOMENTO, ESTA FUNCIÓN SOLO FUNCIONA CON LOS PROYECTOS EN JAVASCRIPT Y RUBY. EN 2018 LLEGARÁ TAMBIÉN A PYTHON

Por el momento, esta función solo es compatible con dos lenguajes de programación: JavaScript, un lenguaje cada vez más utilizado, especialmente en la web, y Ruby. De todas formas, desde GitHub han confirmado que van a seguir mejorando esta función de seguridad para su plataforma y que, además, tienen intenciones de llevarla a otros lenguajes de programación, empezando por Python, a quien llegará, sin ir más lejos, en 2018.

Sin duda, esta es una gran función, que ha sido muy bien recibida también por la comunidad, gracias a la cual los desarrolladores van a poder evitar más fácilmente que sus proyectos se vean afectados por vulnerabilidades causadas por culpa de una de las dependencias. Y a medida que aumente el número de lenguajes compatibles, esta será aún mejor.

Por el momento GitHub no ha facilitado información sobre si tiene intenciones de añadir soporte para PHP, pero los usuarios que quieran analizar el código de proyectos PHP para detectar vulnerabilidades pueden recurrir a la herramienta Roave Security Advisories.

Fuente:https://www.redeszone.net/2017/11/17/github-avisara-vulnerabilidades-proyectos/

Anuncios

LOS ANTIVIRUS PUEDEN SER PIRATEADOS PARA COMPROMETER SISTEMAS WINDOWS

A pesar de que Microsoft convierte a Windows Defender en un producto de seguridad más avanzado, las herramientas antivirus de terceros aún son consideradas por muchos herramientas imprescindibles para evitar que el malware comprometa a los ordenadores. Ningún sistema está exento de sufrir un ataque informático y el de Microsoft es donde más centran sus esfuerzos los hackers.Resultado de imagen de ANTIVIRUS

LOS ANTIVIRUS PUEDEN SER PIRATEADOS

Pero resulta que instalar una protección antivirus puede ser un arma de doble filo, ya que una vulnerabilidad de seguridad en dicho software puede permitir que los ciberdelincuentes abusen de la restauración de la opción de cuarentena y, al final, infecten el dispositivo de destino.

El investigador de seguridad Florian Bogner ha descubierto la vulnerabilidad en el motor de varios productos antivirus, y como explicó en un análisis en profundidad, hace posible que los atacantes simplemente muevan un archivo en cuarentena infectado con malware a una ubicación sensible en las unidades locales donde puede generar más daño.

Su demostración se redujo a un ataque de phishing que fue bloqueado por el software antivirus cuando se detectó la muestra de malware. Con el archivo movido a la cuarentena, la vulnerabilidad que él llamó AVGater permitió obtener acceso sin privilegios al contenido que ha sido marcado como infectado.

DESHABILITAR LA RESTAURACIÓN DE ARCHIVOS DE LA CUARENTENA

Al apropiarse de los servicios de Windows como las uniones de dirección NTFS y el orden de búsqueda de la biblioteca de vínculos dinámicos, pudo transferir un archivo infectado de la cuarentena a una ubicación sensible en el disco duro.

Bogner dice que varios proveedores de antivirus grandes se han visto afectados por la vulnerabilidad, y algunos ya han lanzado parches, incluidos Trend Micro, Emsisoft, Malwarebytes, Kaspersky y ZoneAlarm. Otros les seguirán pronto, pero no se proporcionaron otros detalles ya que las empresas están trabajando en parches.

AVGater requiere acceso local al sistema de destino, lo que significa que la vulnerabilidad no se puede explotar de forma remota. Un ataque exitoso, sin embargo, puede llevar a un atacante a obtener el control total sobre el sistema, advierte.

No hace falta decir que la mejor manera para que los usuarios permanezcan seguros es instalar las versiones más recientes de software antivirus. Pero Bogner también recomienda a los administradores que deshabiliten la restauración de la funcionalidad de cuarentena hasta que se implementen los parches.

Como siempre decimos, la seguridad de nuestros equipos es fundamental para el buen funcionamiento. Contar con un buen software de seguridad y perfectamente actualizado es la mejor manera para poder hacer frente a posibles amenazas externas.

Los ataques de malware, por desgracia, han aumentado notablemente en los últimos tiempos. La variedad es importante. Podemos encontrar también muchas formas en las que se puede infectar un equipo. Por ello hay que contar con un buen antivirus. Pero además también es muy importante el sentido común. La gran mayoría del malware entra a través de la acción del usuario. Es decir, requiere que demos clic en algún lugar o instalemos alguna aplicación infectada.

Fuente:https://www.redeszone.net/2017/11/19/los-antivirus-pueden-pirateados-comprometer-sistemas-windows/

ESCANEO DE UEFI, UNA FORMA DE COMBATIR AL MALWARE PERSISTENTE

En líneas generales, un escaneo de UEFI te ayuda a proteger tu computadora de quienes intenten tomar el control de ella abusando de su interfaz de firmware extensible unificada (UEFI).

Un ataque exitoso a este componente puede darle al atacante el control total del sistema, incluida la persistencia: la capacidad de mantener en secreto el acceso no autorizado a la máquina a pesar de reiniciar y/o formatear el disco duro.

Como te puedes imaginar, esta forma de persistencia no es una virtud y puede prolongar la inconveniencia de una infección de código malicioso.

Si tu software de seguridad solo analiza las unidades y la memoria, sin escanear UEFI, podrías pensar que tienes una máquina limpia cuando no es cierto. Por eso, recomendamos una solución de seguridad que sí lo escanee, como ESET.

¿POR QUÉ MI DISPOSITIVO TIENE UN UEFI?

UEFI scanner

Los dispositivos informáticos funcionan mediante la ejecución de código: las instrucciones que llamamos software y hacen que el hardware, como una computadora portátil o un teléfono inteligente, haga algo útil.

El código se puede enviar al dispositivo de varias maneras. Por ejemplo, puede leerse desde el almacenamiento en un disco, mantenerse en la memoria o entregarse a través de una conexión de red. Pero cuando enciendes un dispositivo digital, tiene que comenzar en alguna parte (el arranque), y esa primera pieza de código generalmente se almacena en un chip en el dispositivo.

Este código, conocido como firmware, puede incluir una “autoprueba de encendido” (“power-on self-test” o POST) para asegurarse de que las cosas funcionen correctamente, seguida de la carga en la memoria de las instrucciones básicas para manejar la entrada y la salida.

NO SABEMOS CUÁNDO APARECERÁ UNA CAMPAÑA DE MALWARE QUE ABUSE DE UEFI DE MANERA MASIVA

Si te has interesado en las computadoras por un tiempo, es posible que reconozcas este código basado en chips como BIOS o Basic Input Output System. De hecho, la tecnología BIOS se remonta a la década de 1970, por lo que no es de extrañar que finalmente tenga problemas para satisfacer las demandas de las computadoras de hoy en día, un comentario hecho por mi colega, Cameron Camp, en este excelente artículo sobre el escaneo de UEFI. Como detalla Cameron, la tecnología UEFI ha evolucionado para reemplazar el BIOS, aunque algunos dispositivos todavía se refieren a él como BIOS.

Técnicamente, UEFI es una especificación, mantenida por el Unified Extensible Firmware Interface Forum (uefi.org). Según el foro, la especificación define un nuevo modelo para la interfaz entre los sistemas operativos de la computadora personal y el firmware de la plataforma, y consiste en:

“Tablas de datos que contienen información relacionada con la plataforma, además de llamadas de servicio de arranque y tiempo de ejecución que están disponibles para el sistema operativo y su gestor de arranque o boot loader“.

Sin entrar en mayores detalles técnicos, UEFI añadió una gran cantidad de funcionalidad al proceso de arranque, incluidas algunas medidas de seguridad serias (estas se discuten en el white paper de ESET al que hace referencia este artículo).

Desafortunadamente, los beneficios ilícitos de la creación de un código que subrepticiamente puede tomar el control de un sistema al principio del proceso de arranque, denominado genéricamente bootkit, son un poderoso motivador para las personas que se especializan en el acceso no autorizado a dispositivos digitales.

Tales personas podrían ser: ciberdelincuentes, agencias nacionales y extranjeras como NSA y CIA, y compañías privadas que venden “herramientas de vigilancia” a los gobiernos.

Para obtener más detalles, consulta el excelente artículo de mi colega de ESET, Cassius Puodzius, que analiza estos “actores” detrás de las amenazas y su interés en UEFI. Asimismo, el investigador senior de ESET cubrió extensivamente el tema más amplio de la evolución del bootkit desde los primeros días hasta el año 2012, y también puedes consultar el documento “Bootkits, pasado, presente y futuro”, presentado en Virus Bulletin 2014. Por supuesto, hay muchos documentos técnicos en el sitio del Foro UEFI.

ENTONCES, ¿CUÁL ES EL RIESGO PARA TU UEFI?

Para la mayoría de las personas, la respuesta correcta dependerá de quién sean. Por ejemplo, ¿eres alguien cuya computadora podría ser de interés para la NSA o la CIA u otra entidad gubernamental que tenga los recursos para invertir en código que abuse de UEFI, ya sea su propio código o un producto de vigilancia comercial comprado a un proveedor comercial?

¿Estás usando tu computadora para desarrollar, revisar o manejar propiedad intelectual que vale la pena robar? Si respondiste afirmativamente a cualquiera de esas preguntas, diría que tienes un riesgo superior al promedio de encontrarte con malware para UEFI.

Actualmente, no tengo conocimiento de ninguna campaña de malware criminal a gran escala y de gran alcance que explote a UEFI para atacar los sistemas informáticos del público en general (si conoces alguna, comparte el dato, por favor).

Sin embargo, incluso si no estás en una categoría de alto riesgo, pienso que igualmente necesitas un software de seguridad con capacidad de escaneo de UEFI. ¿Por qué? ¿Recuerdas esas agencias de tres letras que han estado desarrollando ataques UEFI? Bueno, no tienen una reputación estelar por mantener sus herramientas en secreto.

De hecho, la mayor novedad en malware en lo que va de año ha sido WannaCryptor o WannaCry, y una razón por la que ese ransomware en particular se propagó tan rápido fue porque usaba un exploit “ultra secreto” desarrollado por la NSA, una agencia conocida por haber incursionado en el compromiso de UEFI.

En otras palabras, simplemente no sabemos cuándo una nueva campaña de malware que abuse de UEFI para mantener la persistencia en sistemas comprometidos aparecerá in the wild. Lo que puedo decir es que las personas que realizan escaneo de UEFI de forma regular estarán mejor preparadas para proteger sus sistemas que las personas que no lo hacen. Y de eso se trata el escaneo de UEFI.

Fuente: https://www.welivesecurity.com/la-es/2017/11/10/escaneo-de-uefi-combatir-malware-persistente/

DNSTWIST AYUDA AL USUARIO A DETECTAR PHISHING EN UN DOMINIO

El phishing es uno de los tipos de ciberataques que más han aumentado en los últimos tiempos. Los atacantes intentan hacerse pasar por una web legítima, una página de un banco por ejemplo, y lograr que las víctimas introduzcan sus credenciales. Realmente están entregando en bandeja sus datos a los delincuentes que pueden utilizarlos para el mal. La función que tiene Dnstwist es la de detectar phishing y otras posibles amenazas, en un dominio web determinado.

DETECTAR PHISHING CON DNSTWIST

Dnstwist es un script de Python creado por Marcin Ulikowski hace un tiempo. Resulta muy útil para los usuarios, ya que nos permite detectar phishing, errores de tipografía y dominios de ataque basados ​​en un dominio que introducimos. Si alguien es propietario de una página o está a cargo de la administración de dominios y la seguridad de marca de una compañía, esta herramienta puede ser de gran utilidad para ver posibles sitios que intentan dañar a otros pretendiendo ser esa marca.

La premisa detrás de dnstwist es realmente simple. Toma un nombre de dominio como entrada y luego usa varios algoritmos para generar dominios derivadosque podrían ser potencialmente utilizados para phishing, errores de tipografía o espionaje corporativo. Usar dnstwist también es muy fácil.

Para un uso básico, simplemente tenemos que ingresar un dominio para obtener una lista de posibles dominios de ataque. Aunque es algo útil, al usar varios argumentos en la línea de comandos podemos refinar aún más la búsqueda para llegar a la esencia de lo que estamos buscando.

OPCIONES

Dnstwist contiene una variedad de opciones que podemos usar cuando se ejecuta el script. Estas opciones son:

usage: ./dnstwist.py [OPTION]… DOMAIN

Find similar-looking domain names that adversaries can use to attack you. Can

detect typosquatters, phishing attacks, fraud and corporate espionage. Useful

as an additional source of targeted threat intelligence.

positional arguments:

domain                domain name or URL to check

optional arguments:

-h, –help            show this help message and exit

-a, –all             show all DNS records

-b, –banners         determine HTTP and SMTP service banners

-c, –csv             print output in CSV format

-d FILE, –dictionary FILE

generate additional domains using dictionary FILE

-g, –geoip           perform lookup for GeoIP location

-j, –json            print output in JSON format

-m, –mxcheck         check if MX host can be used to intercept e-mails

-r, –registered      show only registered domain names

-s, –ssdeep          fetch web pages and compare their fuzzy hashes to

evaluate similarity

-t NUMBER, –threads NUMBER

start specified NUMBER of threads (default: 10)

-w, –whois           perform lookup for WHOIS creation/update time (slow)

–nameservers LIST    comma separated list of nameservers to query

–port PORT           the port to send queries to

Sin embargo, antes de llegar a las diversas opciones, primero hay que instalar Dnstwist. Para Ubuntu, tenemos que usar el siguiente comando para configurar las dependencias:

sudo apt-get install python-dnspython python-geoip python-whois python-requests python-ssdeep python-cffi

Una vez que esas dependencias están instaladas, podemos clonar el repositorio desde https://github.com/elceef/dnstwist y comenzar a usarlo:

git clone https://github.com/elceef/dnstwist

A continuación vamos a ver algunos de los argumentos de línea de comandos que pueden resultar muy útiles.

Prueba de Dnstwist

MOSTRAR SOLO DOMINIOS DE ATAQUE REGISTRADOS

Si bien es útil ver una lista de posibles nombres de dominio, es mucho más útil ver una lista de los dominios que están realmente registrados. Afortunadamente, Dnstwist contiene el distintivo -r que hace que el programa solo genere dominios realmente registrados. Al usar esta bandera, la cantidad de dominios basados en un dominio determinado, baja para que sea más manejable.

Para usar el distintivo -r, simplemente hay que ejecutar un comando como./dnstwist.py -r redeszone.net y solo se generará una lista de dominios registrados.

¿DÓNDE ESTÁN ALOJADOS ESTOS DOMINIOS?

Si bien la ubicación geográfica de un sitio no es de ninguna manera una buena indicación de la nacionalidad del atacante, puede darnos pistas sobre si el sitio está siendo mal utilizado o no. Por ejemplo, si tenemos una empresa en España y vemos algunos dominios registrados en un país con el que no tenemos afiliación, entonces podría ser una pista de que alguien no está haciendo algo bueno.

Fuente:https://www.redeszone.net/2017/11/12/dnstwist-ayuda-al-usuario-detectar-phishing-dominio/

CÓMO PROTEGER NUESTRO TELÉFONO MÓVIL CONTRA EL SPYWARE

La seguridad en los tiempos que corren es uno de los apartados que más preocupan a los usuarios habituales de tecnología, ya hablemos de entornos de escritorio, como en lo referente a los dispositivos móviles.

De hecho, cada vez queda más patente que los ciberatacantes parecen ir, en la mayoría de las ocasiones, un paso por delante de las empresas de seguridad a la hora de lanzar nuevos y cada vez más devastadores ataques informáticos, tanto a título individual como empresarial. Es por ello que, como se suele decir, siempre es mejor prevenir que curar, por lo que a continuación os vamos a hablar de la manera de evitar un tipo de ataque que con el paso del tiempo se ha ido convirtiendo en más habitual de lo deseado.

Nos referimos a los ataques mediante el malware tipo spyware a nuestros dispositivos móviles, algo que puede causarnos serios problemas debido a la enorme cantidad de datos que ya manejamos desde estos productos relacionados con la movilidad. Para todo ello lo primero es proteger el terminal contra las posibles aplicaciones espía que os puedan llegar y de ese modo lograr evitar como sea, el potencial espionaje que nos llegue desde el exterior, para lo que es recomendable tomar una serie de medidas preventivas.

NO CONFÍES EL TELÉFONO A EXTRAÑOS

Para empezar, hay que tener en cuenta que a menos que hayamos descargado un programa espía accidentalmente, otra de las formas de instalar spyware en el smartphone es a través del contacto físico real. Por lo tanto, si queremos proteger el teléfono, lo primero es no permitir que personas en las que no confiamos, e incluso a veces en las que en principio confiamos, tengan acceso a los parámetros, configuración o datos del dispositivo móvil para ahorrarnos disgustos.

CUIDADO CON LAS FUENTES DE DESCARGA

Si queremos mantener el teléfono a salvo del spyware, hay que tener mucho cuidado a la hora de descargar aplicaciones, ya que si bajamos e instalamos apps de fuentes inseguras o desarrolladores no certificados, corremos el riesgo de exponer el terminal al temido spyware. Por lo tanto, debemos asegurarnos de que el software del que hacemos uso esté disponible en tiendas de confianza como Play Store de Google o la App Store de Apple.

La razón de todo ello es que estas plataformas cuentan con estrictas medidas de seguridad para garantizar que los usuarios descarguen aplicaciones seguras que no comprometan su privacidad o seguridad, al menos en la mayoría de las ocasiones.

android-error-seguridad

UTILIZAR CONTRASEÑAS SEGURAS

Para mantener el teléfono a salvo de un rastreador ilegal, debemos usar siempre contraseñas seguras para proteger el acceso a la pantalla. La razón es que, si alguien quiere descargar un programa espía en el teléfono, necesita primero tener acceso al mismo, por lo que al usar una contraseña o código, dificulta el proceso. Además, debemos mantener en secreto las contraseñas en todo momento y, en caso necesario, tan solo revelarlas a una persona de total confianza. Por último es importante utilizar contraseñas complejas para que nadie las pueda hackear fácilmente.

ESTABLECER CONTRASEÑAS DE DESCARGA

Por otro lado, y siguiendo con el tema de las passwords, también se recomienda establecer una contraseña para descargar aplicaciones.  Esta medida asegura que cualquier persona que acceda al teléfono, aunque sea con nuestro permiso, no pueda instalar cualquier app sin autorización previa. De hecho, una de las principales razones de todo esto es que la mayoría de las aplicaciones espía que la gente tiene en sus smartphones fueron instaladas por personas que usaban sus teléfonos sin sospechar que podían llegar tan lejos.

USAR SOFTWARE ANTI-MALWARE

Si tenemos instalando alguna aplicación antispyware, siempre será una capa más de protección para el terminal. De hecho, en las tiendas oficiales podemos encontrar software de pago con el podremos obtener la máxima protección, ya que estas son consideradas como más seguras debido a que ofrecen características que los desarrolladores excluyen intencionadamente de sus versiones gratuitas.

CUIDADO CON LAS CONEXIONES BLUETOOTH Y WIFI

Decimos esto porque para mantener el teléfono a salvo de los rastreadores ilegales, hay que tener cuidado con la forma en la que accedemos a las conexiones WiFi y Bluetooth, ya que el uso de conexiones abiertas gratuitas nos deja expuestos a «ojos» no deseados de manera demasiado sencilla para cualquiera que tenga ciertos conocimientos en la materia.

LEER LOS ACUERDOS LEGALES DE LAS APLICACIONES

Otra medida que debemos tener en consideración para evitar el spyware, es tener cuidado con los términos y condiciones de cada aplicación que instalamos en el smartphone. Por ejemplo, es recomendable leer los términos y condicionesde estas apps, además de las políticas de privacidad que se encuentran detrás de cada software que descargamos. Decimos esto porque en ocasiones y sin darnos cuenta, damos permiso explícito a los desarrolladores para rastrear ciertos datos personales.

ESTAR ATENTO A LOS SÍNTOMAS DEL TELÉFONO

Del mismo modo es importante estar un poco atentos y alerta contra cualquier síntoma extraño que haga indicar que nuestro terminal móvil ya ha sido infectado. Por ejemplo, si vemos que el móvil se está reiniciando con mucha frecuencia, que su nivel de batería está disminuyendo de forma anormal, la luminosidad disminuye sin razón aparente, o el rendimiento ha bajado de manera excesiva, posiblemente indique que una aplicación espía está trabajando en segundo plano.

INSTALAR APLICACIONES ORIGINALES

Otra forma sencilla de exponer nuestro teléfono al spyware es descargando versiones pirata de aplicaciones, por lo que hay que tener cuidado con las herramientas «gratuitas» que se encuentran fuera de los sitios web oficiales de los desarrolladores, ya que algunas de ellas están conectadas a malware, incluido el spyware. Estos desarrolladores que ofrecen estas aplicaciones normalmente toman versiones pagadas originales, las corrompen y luego las ofrecen como gratuitas para acceder a nuestros datos personales.

Fuente: CÓMO PROTEGER NUESTRO TELÉFONO MÓVIL CONTRA EL SPYWARE

Sparta, Network Pentesting Tool

Una de las primeras fases de cualquier auditoría es la realización de una fase de escaneo de red con el fin de localizar equipos activos y detectar puertos abiertos, versiones de software, sistemas operativos, etc. Para ello contamos con muchas herramientas, entre ellas de la que hablaré hoy, SPARTA

SPARTA es una aplicación escrita en Python mediante una interfaz gráfica que simplifica la tarea de la que hablábamos anteriormente, permitiendo al auditor ahorrar tiempo teniendo una única aplicación desde la cual poder visualizar los resultados y analizarlos a posteriori.

Entre sus características destacan:

  1. Ejecutar nmap o importar los resultados desde un fichero XML
  2. Plataforma única donde visualizar resultados
  3. Menús contextuales para cada servicio descubierto.
  4. Posibilidad de correr cualquier script o software contra un servicio sobre equipos objetivo.
  5. Definir tareas automatizadas para servicios.
  6. Capacidad para realizar intentos de logueo con credenciales definidas de forma personalizada o por defecto.
  7. Identificación de host sobre los cuales ya se han realizado algún tipo de acción.
  8. Otras muchas más…

Si bien la aplicación ya viene instalada en la distribución Kali Linux el procedimiento de instalación es la siguiente:

Descargar  la aplicación:

https://github.com/SECFORCE/sparta/archive/master.zip

O bien:

git clone https://github.com/secforce/sparta.git

Luego deberemos resolver algunas dependencias.

Para Kali:

apt-get install python-elixir

Para distribuciones basadas en Debian

apt-get install python-elixir python-qt4 xsltproc

SPARTA requiere de otras aplicaciones para tener completa funcionalidad como son:

– nmap (para añadir equipos)
– hydra (para logueo on-line por fuerza bruta)
– cutycapt (para capturas de pantalla)

Para Kali:

apt-get install nmap hydra cutycapt

Finalmente nos aseguraremos tener instaladas otras herramientas que la configuración por defecto que utiliza Sparta:

apt-get install ldap-utils rwho rsh-client x11-apps finger

Sparta cuenta con un fichero de configuración situado sparta.conf. La aplicación verificará la existencia del mismo y si no lo encuentra lo generará de forma automática. En Kali lo tendremos en /etc/sparta.conf

Sparta 01

Allí podemos encontrar las lo que se denominan las “Actions”, esto es aquellos que se ejecutará sobre :

  • Host Actions: Será la que se ejecutará cuando hagamos “botón derecho” sobre un equipo concreto y cuyo resultado será almacenado y visualizado en la interfaz de Sparta.
  •  Port Actions: Idem pero con un puerto.
  • Terminal Actions: Lo mismo pero en este caso el resultado será exportado en un terminal ajeno a Sparta.

Si quisiéramos definir una nueva “Action” deberemos seguir la siguiente fórmula, o bien tomamos como ejemplo las ya creadas por defecto.

tool=label, command, services

Donde:

Tool, identificador único, normalmente el nombre de la aplicación.

Label, texto que aparecerá en el menú contextual.

Command, comando que se introduciría en una Terminal si quisiéramos utilizar la herramienta concreta. Los valores como IP, Puerto y Resultado vendrán por los campos [IP], [PORT] y [OUTPUT], respectivamente.

Services, lista de servicios de nmap sobre los cuales Sparta va a realizar una acción concreta.  Si hacemos “botón derecho” sobre un servicio concreto la herramienta sólo mostrará aquellos que esté definidos allí.

Por ejemplo si quisiésemos configurar la herramienta Nikto para ejejcutar una acción sobre un puerto concreto deberíamos añadir lo siguiente:

nikto=Run nikto, nikto -o [OUTPUT].txt -p [PORT] -h [IP], “http,https”

Importante tener en cuenta reiniciar la aplicación una vez realizados cambios en el fichero de configuración.

Por otra parte es posible configurar ataques automatizados ejecutando cualquier herramienta que previamente hayamos configurado en el apartado [PortActions]. Estos ataques automatizados están habilitados por defecto aunque podremos deshabilitarlos  editando la opción “enable-scheduler” en [GeneralSettings]. Bajo esta última opción también podremos añadir otros siguiendo el siguiente formato:

tool=services, protocol

Tool, identificador único el cual hemos utilizado para definir la herramienta en el apartado [PortActions].

Services, listado de servicios sobre los cuales actuará la herramienta.

Protocol, protocolo del servicio en cuestión, esto es, TCP o UDP. 

Pero como todas cosas mejor verlo con un ejemplo. 

En mi caso en lugar de llevar un escaneo desde la propia aplicación lo que haré será realizar uno con nmap mediante su interfaz gráfica Zenmap, exportar los resultado en un fichero .xml y luego importarlo a Sparta. 

Con el scan hecho:

Sparta 02

 Abrimos “Aplicaciones – Recopilación de Información – Sparta”

Sparta 03

Luego importamos el scaneo previamente guardado:

Sparta 04

Sparta 05

Pinchando en la pestaña “Host” veremos los equipos y los “Servicios” localizados en él.

Sparta 06

Mientras que el pestaña “Services” veremos todos los servicios detectados en el escaneo.

Sparta 07

A partir de aquí,  clickando con el botón derecho del ratón sobre el servicio podremos ejecutar otras aplicaciones.

Sparta 08

Las mismas se verán en la ventana “logs”:

Sparta 09

Y el resultado será:

Sparta 10

Ahora bien si lo hacemos sobre un dispositivo “Cisco”, en este caso un router, veremos que las pruebas nos revelan resultados distintos entre ellos el requisito de contraseña de nivel 15.

Sparta 11

Otra de las posibilidades de la herramienta es lanzar intentos de logueo online con “THC- Hydra”. Haremos la prueba sobre el equipo router Cisco.

Sparta 12

Elegiremos dos ficheros donde tendremos almacenadas nuestros diccionarios y no los que trae por defecto Sparta:

Sparta 13

Si quisiéramos guardar nuestros proyectos podremos hacerlo en un fichero identificado como:

Sparta 14

Como podemos comprobar Sparta es una herramienta donde podremos aglutinar aquellas herramientas que sean de nuestra utilidad cara a una auditoría o pentest. Como todo deberemos de ajustarla según necesidades o circunstancias ya que las configuraciones por defecto pueden no arrojar los resultados que esperamos. Vamos a verlo.

Según el archivo de configuración dispondremos de los siguientes diccionarios para la prueba con THC-Hydra:

Sparta 15

Los cuales comprenden:

Sparta 16

Este tipo de listados contendrán palabras generalmente en inglés por lo que resulta vital emplear otros con palabras en nuestro propio idioma. De nada nos sirve emplear el usuario “Administrator” cuando lo más probable es que sea “Administrador”.

Otro caso es el escaneo con herramientas desde la propia Sparta como es nmap. Los puertos por defecto son:

Sparta 17

Nuevamente volvemos a la misma pregunta, y si los puertos que nos interesan no están en la lista? Nuevamente tenemos que editar…

También deberemos comprobar las acciones bajo [PortActions]

Sparta 18

Con la entrada de hoy hemos visto una herramienta que bien nos puede ayudar y facilitar mucho el trabajo, en nuestras auditorias. Además podremos ajustarla a nuestras necesidades concretas mediante la edición de su archivo de configuración, todo desde una única interfaz.

Fuente: SPARTA: Herramienta de pentesting