Os presento esta utilidad que sirve para dibujar diagramas estructurados, como mapas de red, procesos, etc.  Está a años luz de Microsoft Visio, pero puede ser una alternativa suficiente para quien no necesite más que realizar diagramas sencillos, y sobretodo muy interesante teniendo en cuenta que es open souce.

DIA tiene versiones para Windows y Linux, y puedes descargarse aquí:

http://dia-installer.de/index_en.html

Una vez instalado, podemos encontrar diferentes tipos de objeto, como elementos de Cisco para diagramas de redes, ordenadores, etc. La interfaz es sencilla y las posibilidades un tanto escasas, pero como ya hemos dicho antes, considerando que no tiene coste alguno, puede ser una alternativa a tener en cuenta.

En la siguiente captura se aprecia la interfaz principal del programa:

En la siguiente imagen podemos ver un dibujo de ejemplo terminado y exportado a JPG (clic para ampliar):

Passware Kit Enterprise y Passware Kit Forensics permiten recuperar la contraseña de hasta 150 tipos de archivos diferentes. Se trata de  herramientas comerciales, no precisamente baratas, pero que pueden sernos muy útiles en diferentes circunstancias.

Password Kit Enterprise

- Permite recuperar contraseñas de más de 150 tipos de archivos diferentes (entre ellos pdf, Word, Excel, ZIP, RAR…),  en algunos casos incluso de forma instantánea. Permite también recuperación de contraseñas por fuerza bruta.

- Escanea el equipo en busca de archivos protegidos con contraseña.

- Precio de la licencia: $495

Más información: http://www.lostpassword.com/kit-enterprise.htm

Password Kit Forensic

Además de las funcionalidades descritas anteriormente, Password Kit Forensic permite:

- Recabar evidencias electrónicas, por lo que es ideal para un análisis forense cuyo fin bien pudiera ser una investigación judicial.

- Puede ser ejecutado directamente desde un pendrive, por lo que no contamina el equipo a analizar al no requerir instalación en Windows.

- Precio de la licencia: $795

Más información: http://www.lostpassword.com/kit-forensic.htm

No vamos a tratar en este post el uso de estas herramientas porque son realmente sencillas e intuitivas. Los tipos de archivo cuya contraseña  actualmente se puede recuperar con estas herramientas son las siguientes:

Una sencilla herramienta freeware que nos permite obtener toda la información en un equipo sobre el historial de uso de pendrives (u otro tipo de dispositivos de almacenamiento masivo USB), y averiguar cuántos se han instalado en el equipo, en qué fecha fueron introducidos, cuándo se usaron por última vez y otros datos que pueden ser útiles en el terreno del análisis forense digital.

Por una u otra razón, no voy a entrar en enumerarlas, podemos necesitar conocer si se ha introducido un pendrive o unidad de almacenamiento externo USB en un equipo, qué tipo, en qué letra fue montado, fecha en la que se usó por primera vez, y cuándo se usó por última vez.

Hay otras formas de obtener esta información, pero son mucho más farragosas, y por eso resulta interesante esta herramienta freeware de Nirsoft, que he conocido por una entrada en el blog http://hacking-avanzado.blogspot.com (gracias Sadot).

Descargar la herramienta aquí: http://www.nirsoft.net/utils/usb_devices_view.html

Una vez en el equipo a analizar, descomprimir y lanzar el ejecutable (no requiere información). Nos presentará una tabla, que además podremos exportar total o parcialmente a distintos formatos de archivo, con la información que estamos buscando:

En la captura podemos ver que, por ejemplo, en el equipo en el que ejecutó la herramienta, fué conectado un pendrive marca Kingston el 7-11-2009 a las 22:10, y que fué montado por Windows en la letra N:

El virus Conficker (también llamado Downandup o Kido) es, probablemente uno de los mas activos desde su aparición en Octubre de 2008.

En este post vamos a analizar cómo detectar equipos infectados con Conficker, en sus diferentes variantes, en una red.

Introducción

Primero, aclarar que este post se dirige exclusivamente a la detección de Conficker, y no a su eliminación. Detectar este virus es complicado debido a que es polimórfico y se guarda a sí mismo de forma cifrada de tal forma que muchos antivirus no consiguen detectarlo.

El virus aprovecha una vulnerabilidad publicada por Microsoft en Octubre de 2008 en el boletín MS08-067 y se corrige mediante la instalación del parche KB958644

Asimismo, Conficker ha sufrido diferentes mutaciones que le permiten infectar a otros equipos no sólo explotando dicha vulnerabilidad, sino a través de dispositivos de almacenamiento USB en equipos que tengan activada la función “autorun” (activada por defecto) usando un archivo autorun.inf que llama al ejecutable malicioso, aprovechando usuarios con password en blanco o débiles, o incluso mediante ataques de fuerza bruta y de diccionario.

Dado que Conficker se esconde bien, en ocasiones y sobretodo si administramos una red relativamente grande, la detección de equipos infectados puede convertirse en un auténtico quebradero de cabeza. Por suerte, existen herramientas que facilitan la labor.

Para más información sobre Conficker, recomiendo leer la entrada de Wikipedia al respecto.

La siguiente ilustración (también de Wikipedia) muestra los diferentes mecanismos de propagación e infección de Conficker:

Estas herramientas se basan en el excelente trabajo realizado por el grupo especializado en Conficker de la  Universidad de Bonn.

Detectando Conficker en la LAN: herramientas

1-Nmap

La conocida herramienta Nmap permite, desde la versión 4.85, detectar si un equipo o rango de equipos de la red está infectado con Conficker. Puede detectar además, si el equipo dispone del parche KB958644.

Lo primero sería descargar la última versión de Nmap desde su web oficial e instalarlo.

Una vez instalado, bastará con ejecutarlo con los parámetros adecuados que buscan la presencia de Nmap en la IP, red, o rango especificados:

nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns
 --script-args safe=1 192.168.100.0/24

En el ejemplo anterior, lanzaríamos una auditoría en busca de Conficker para la red 192.168.100.0/24.

Una máquina limpia aparecerá como  “Conficker: Likely CLEAN”, mientras que una posiblemente infectada indicará “Conficker: Likely INFECTED”

Podríamos añadir al final del comando algo así como “> C:\detecciones.txt” para que nos guarde un archivo de texto con los resultados del escaneo.

Otro ejemplo:

nmap --script smb-check-vulns.nse -p445 <host>
sudo nmap -sU -sS --script smb-check-vulns.nse -p U:137,T:139 <host>

Salida del comando anterior en caso de que el equipo “host” estuviese infectado:

Host script results:
|  smb-check-vulns:
|  MS08-067: FIXED
|  Conficker: Likely INFECTED
|  regsvc DoS: FIXED
|_ SMBv2 DoS (CVE-2009-3103): VULNERABLE

2- Nessus

Nessus también dispone de un plugin específico para detectar la presencia de Conficker en una red.

Descargar Nessus desde su web oficial, e instalarlo. Nos pedirá registro (gratuito para uso doméstico) para poder descargar todos los plugins disponibles.

Una vez iniciado, en la pestaña Scan indicamos:

- Host/rango/red/subred a escanear

- Creamos una política específica para que escanee sólo con los plugins de Conficker. Para la creación de la política, tendremos en cuenta:

a) Pestaña “credentials”: añadiremos aquí las credenciales de los equipos a escanear (usuario, contraseña y dominio si procede). No es imprescindible, pero si muy necesario; sin credenciales para que la herramienta inicie sesión en los equipos, podría haber equipos infectados que no fuesen correctamente detectados.

b) Plugin selection: pinchamos en “Find” y escribimos “conficker” en la ventana “name contains…”. Automáticamente seleccionará los dos plugins que detectan Conficker.

c) Advanced:  seleccionar “Global variables settings”  y poner la opción “Log verbosity” en “debug” y “Debug level” en “1″ para obtener más información.

Hecho esto, lanzar el análisis. Los resultados aparecerán en el log C:\Program Files\Tenable\Nessus\nessus\logs\nessud.dump  y será algo así como:

conficker_detect.nasl(172.16.127.159): host is clean
 conficker_detect.nasl[29689.24]>DEBUG: conficker_detect.nasl(172.16.127.163): host is INFECTED
 conficker_detect.nasl[29690.24]>DEBUG: conficker_detect.nasl(172.16.127.164): host is clean
 conficker_detect.nasl[29692.24]>DEBUG: conficker_detect.nasl(172.16.127.166): host is clean
 conficker_detect.nasl[29691.24]>DEBUG: conficker_detect.nasl(172.16.127.165): host is clean
 conficker_detect.nasl[29654.22]>DEBUG: conficker_detect.nasl(172.16.127.128): Could not connect to port 445

Más información en este enlace.

3- Foundstone Conficker Detection Tool

Foundstone, empresa de seguridad propiedad de McAfee, especializada en sistemas de auditoría de red, ofrece una herramienta gratuita llamada “Foundstone Conficker Detection Tool” que se puede descargar desde la propia página de la compañía. Conviene decir que sólo detecta las variantes B, C y E del virus.

El uso es sencillo, y no requiere instalación ni credenciales de los equipos a escanear. Ejecutamos la herramienta, indicamos el host o rango a escanear (permite importar un listado de IP’s desde un archivo), y el resto de opciones si queremos (por ejemplo, podríamos indicar que envíe un mensaje a los usuarios de los equipos infectados).

El otro día alguien puso este enlace en Barrapunto y me parece muy interesante. Se trata de una comparativa entre Windows y Linux funcionando como servidores de Oracle.

http://assets1.csc.com/lef/downloads/Windows_Linux_OracleDP.pdf

Estos días pusieron de oferta este router en el mediamarket de Asturias con motivo de su aniversario (creo). Antes que nada me gustaría contar la anécdota del día: me confundí y fui a comprar dos chismes de estos un día antes de que se empezase la oferta. Allí, al mediodía, no había casi nadie sin embargo ya estaban los aparatos ofertados en su sitio, 300 routers en el pasillo de informática. Cogí dos y la sorpresa llegó en la caja, pues valía cada uno 89 euros en lugar de los 49 que esperaba. Total, que los devolví y volví al día siguiente. Moraleja: no os confundáis, pues nadie del personal del lugar te advierte que al día siguiente te puedes ahorrar una pasta.

Ahora al tema: el router da problemas de resolución DNS y frecuentemente aparecen errores en el navegador. Investigando el tema, encontré esta web donde se detalla: http://audipages.com/router/

Allí lo resolvieron instalando un firmware más antiguo. Dado que era de 2.008 busqué en la web de Linksys y era el último disponible… en la página española. En la página americana se puede encontrar una versión más actual. Ayer flasheé el router y parece que funciona bien. Ahí os va el enlace para bajar el último firmware: http://www.linksysbycisco.com/US/en/support/WRT160N/download

Esperemos que no tarden mucho en sacar el DD-WRT, pero esa ya es otra historia.

Microsoft, en colaboración con otras empresas, acaba de sacar la segunda versión de un libro imprescindible para los administradores de sistemas: “La protección de datos personales. Soluciones en entornos Microsoft”.

Este libro, que está actualizado tras los cambios habidos en la LOPD, supone una excelente guía paso a paso sobre las políticas y procedimientos técnicos a implementar para que los sistemas y la red de una empresa estén acordes a lo dictado por dicha Ley.

Podéis descargarlo de forma gratuíta aquí:

http://technet.microsoft.com/es-es/dd756060.aspx

Desde la pantalla de acceso de KDM – el gestor de acceso de KDE – no tenemos la opción de permitir el acceso al usuario root, para ello la forma más rápida y sencilla es la siguiente.

Editar el fichero de configuración de KDM llamado kdmrc, situado bajo /etc/kde3/kdm, dependiendo de la versión de KDE modificar la ruta como corresponda.

Localizar la entrada AllowRootLogin=false y modificar el valor a true.

Reiniciar KDM, /etc/init.d/kdm restart

Listo.

Os presento esta utilidad “Beta” gratuita que mejora el conocido “Hamachi” adquirido por Logmein, utilidad que nació en su dia para poder jugar en area local a través de internet, creando VPN de manera fácil, sencilla y rápida.

Remobo mejora este software añadiendo las posibilidades de control de remoto, acceso carpetas en red, personalización de la utilidad con nuestros logotipos y colores corporativos, etc, a la vez que mantiene las mejores cualidades de Hamachi.

Entre las múltiples posibilidades que se nos pueden ocurrir para este software está la de dar soporte (en empresas con poco presupuesto) a los usuarios fuera de la oficina.

Podemos consultar más información y descargar el software en la página del fabricante (en ingles). Disponible para Windows y Mac.

La grabación de imágenes por medio de cámaras de “seguridad” es cada vez más habitual en todo tipo de empresas y lugares públicos  privados, incluso ya quedan hasta pocos bares que no dispongan de una o varias cámaras.

Me ha parecido interesante reseñar esta guía que ha publicado la Agencia Española de Protección de Datos acerca, precisamente, de la videovigilancia de acuerdo a la LOPD.

La guía en cuestión se puede consultar aquí.

Es imprescindible leerla para todos aquellos que tengan que proveer de servicios de videovigilancia a sus clientes, y puede ser interesante para comprender algunos de los derechos que nos asisten como personas ante la grabación de nuestra imagen, ya que como ya he comentado antes, ya hay cámaras por todas partes, en cualquier empresa, organismo público, calle, pero también últimamente las hay en cualquier bar, restaurante o cafetería, en trenes y autobuses…. las cámaras son omnipresentes y bien parece que vamos camino del mundo de “1984″ de Orwell y su “Gran Hermano”.

Lo más destacable de la guía en mi opinión es lo siguiente:

1. Sólo es admisible la instalación de videocámaras si la vigilancia no pudiera hacerse por otros métodos.
2. Hay que inscribir el fichero de la grabación en la Agencia, como si de cualquier otro fichero se tratase.
3. No podemos grabar imágenes de zonas ajenas a las instalaciones. Es decir, no dirigir la cámara hacia la calle, por ejemplo.
4. Información: se ha de colocar un cartel informando al público de la videovigilancia, y de dónde puede ejercer sus derechos relativos a la LOPD. El cartelito, por cierto, puede descargarse de aqui.
5. Seguridad de los datos. El responsable tendrá que asegurarse que las grabaciones están seguras y que no pueden ser tratadas o accedidas por terceros no autorizados.