Jun
4
Hoy en día existen múltiples herramientas destinadas a la auditoría de redes inalámbricas, como es el caso de la suite aircrack-ng la cual por medio de varias herramientas nos facilita el crackeo de claves WEP (también WPA y WPA2), bastaría con disponer de una tarjeta inalámbrica en modo monitor y dejarla hacer su trabajo.
Existen varios scripts que permiten la automatización de este trabajo además de distribuciones Linux especializadas en esta labor. WEPBuster nace como una herramienta alternativa que permite automatizar al máximo el proceso de obtención de una clave WEP haciendo uso de la anteriormente mencionada suite aircrack-ng. Incluye muchos agregados en comparación con los tradicionales scripts como por ejemplo la posibilidad de crackear todas las claves WEP dentro el rango que estés en una sola pasada.
Leer el resto de la entrada »

May
29
Al momento de realizar un pentesting en equipo es muy importante ir compartiendo la información que se vá obteniendo para evitar así malgastar tiempo en recursos ya analizados. Debido a que todos manejamos diferentes formas de mostrar datos, las herramientas manejan diferentes tipos de reportes, etc. puede resultar de mucha utilidad el uso de un medio en el que se pueda ir informando de los datos obtenidos a los demás integrantes de una manera rápida, fácil y entendible para todos los que los analizarán.
Dradis es una herramienta open source que permite organizar y compartir la información que se vá obteniendo en un test de penetración. Maneja un repositorio centralizado en donde son almacenados los reportes y las cosas pendientes a realizar. Leer el resto de la entrada »
May
25

NetworkMiner es una herramienta forense de análisis de redes para Windows (posible emulación en GNU/Linux con Wine). El propósito de NetworkMiner es recolectar información (como evidencia forense) sobre los hosts de la red en vez de recoger información concerniente al tráfico de la red. Puede ser usado como esnifer pasivo/herramienta de captura de paquetes con el objetivo de detectar detalles específicos del host como sistemas operativo, hostname, sesiones, etc. sin generar ningún tráfico en la red.
Leer el resto de la entrada »
Nov
10
=========================================================
Iphone/Ipod Touch como herramienta de Test de Penetración (I de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (II de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (III de III)
=========================================================
Continúa desde “Iphone/Ipod Touch como herramienta de Test de Penetración II de III“
Luego de haber visto algunas herramientas y utilidades un poco más “comunes” para la administración de redes y los Test de Penetración es hora de ver algunas más específicas.

Nmap en nuestro Iphone/Ipod Touch
Nmap ya ha sido objeto de estudio en Labs.DragonJAR y en la Web de la Comunidad. Tan solo dejaré una corta definición de la herramienta y los enlaces a dichas publicaciones:
Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.
Leer el resto de la entrada »
Nov
5
=========================================================
Iphone/Ipod Touch como herramienta de Test de Penetración (I de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (II de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (III de III)
=========================================================
Continúa desde “Iphone/Ipod Touch como herramienta de Test de Penetración I de III“
Quiero aclarar que el tutorial o guía que vengo publicando no pretende ser una guía de cómo realizar un Test de Penetración, tan solo trata de ofrecer distintos recursos y herramientas necesarias para llevarlo a cabo, pues el tema de Test de penetración y metodologías para realizarlos ya han sido publicadas en la Web, Labs y el Foro.
Definición de Test de Penetración
Guía de pruebas OWASP 2007 v2.0 traducida al español
Preguntas frecuentes sobre seguridad en aplicaciones Web (OWASP FAQ)
Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM) de ISECOM
Test de penetración con BackTrack, Introducción
Veamos ahora entonces como podemos adecuar ciertos recursos muy necesarios para cualquier Test de Penetración en Seguridad.
Leer el resto de la entrada »
Oct
30
=========================================================
Iphone/Ipod Touch como herramienta de Test de Penetración (I de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (II de III)
Iphone/Ipod Touch como herramienta de Test de Penetración (III de III)
=========================================================
Hace poco DragoN publicó una noticia sobre la disponibilidad de NeoPwn (BackTrack para celulares) y muchos de nosotros quedamos más que enamorados de dicha herramienta, a falta entonces de $$$ trataremos de implementar algunas de las prestaciones (herramientas) de NeoPwn en nuestro Ipod Touch
.

Todos los procesos aquí descritos serán llevados a cabo sobre un Ipod Touch 1G, pero en teoría deberían funcionar sobre los Iphone.
El Ipod Touch es un reproductor portátil de fotos, sonidos y videos digitales diseñado y distribuido por Apple (más información), y que puede ser “modificado” para realizar otras tareas adicionales para las que fue creado, incluso para labores de Test de Penetración como será en este caso.
Leer el resto de la entrada »
Ago
20

A continuación les dejo un listado de herramientas de seguridad lanzadas en la reunión de hackers “DEFCON 16” en la Vegas
Beholder – by Nelson Murilo and Luis Eduardo
# Descripción: An open source wireless IDS program
# Pagina: http://www.beholderwireless.org/
# Correo: bh@beholderwireless.org
The Middler – by Jay Beale
# Descripción: The end-all be-all of MITM tools
# Pagina: http://www.themiddler.com/ (Online?)
# Preface Link: http://www.intelguardians.com/themiddler.html
ClientIPS – by Jay Beale
# Descripción: An open source inline “transparent” client-side IPS
# Pagina: http://www.ClientIPS.org/ (Online?)
Marathon Tool – by Daniel Kachakill
# Descripción: A Blind SQL Injection tool based on heavy queries
# Download Link: http://www.codeplex.com/marathontool (Gracias Chema
)
# Correo: dani@kachakil.com
Leer el resto de la entrada »