Como detectar y prevenir escalada de privilegios en GNU/Linux

Hoy en día es muy común la escalada de privilegios en sistemas GNU/Linux debido a diferentes fallos  de seguridad que se descubren en el kernel de linux. Sin embargo existe una herramienta  llamada NINJA que nos permite  detener y prevenir este tipo de ataques, monitoreando toda la actividad de los procesos locales y además guardando un log con la informacion de todos los procesos ejecutados como root. Adicionalmente Ninja puede matar todo aquel proceso que haya sido creado por usuarios no autorizados. Ninja actualmente se encuentra en la versión 0.1.3 y se instala desde los repositorios. apt-get install ninja La configuración de NINJA consta de   el archivo de configuración  y un archivo llamado whitelist donde se almacenaran los ejecutables el grupo y los usuarios que podrán correrlos, estos dos se encuentran en la carpeta /etc/ninja. Adicionalmente debemos crear un archivo que guardara el log de nuestra herramienta, para esto hacemos lo siguiente: touch /var/log/ninja.log chmod o-rwx /var/log/ninja.log Ahora creamos un grupo llamado ninja(por favor tomen nota del GID): addgroup ninja El siguiente paso consiste en agregar nuestro usuario y el usuario root al  grupo que acabamos de crear: usermod -a -G tusuario usermod -a -G root usermod -a -G messagebus Editamos el archivo de configuración: gedit /etc/ninja/ninja.conf Buscamos las siguientes lineas y hacemos los cambios respectivos group= GID -> aquí debe ir el GID que guardaste cuando creaste el grupo ninja daemon=yes interval=0 logfile=/var/log/ninja.log // asegúrese de quitar el # del comentario whitelist=/etc/ninja/whitelist no_kill = no no_kill_ppid = no El turno es para la lista blanca abrimos el archivo  y borramos la linea de SUDO ya que en Debian no se utiliza, quedaría de esta forma: /bin/su:users: /bin/fusermount:users: /usr/bin/passwd:users: /usr/bin/pulseaudio:users: /usr/sbin/hald:haldaemon: /usr/lib/hal/hald-runner:haldaemon: Por ultimo agregamos  ninja al inicio, adicionamos la siguiente linea en el archivo /etc/rc.local: /usr/sbin/ninja /etc/ninja/ninja.conf Solo nos queda reiniciar  y probar que nuestro ninja este funcionando como debería. Haciendo una pequeña prueba Después de reiniciar, y ver que ninja se esta ejecutando haremos una pequeña prueba: Cuando detecta un proceso prohibido: Cabe resaltar que es fundamental leer toda la documentación del paquete ya que pueden haber configuraciones diferentes para cada situación y sistema. Recordemos que  en el campo de la seguridad, no solo basta con instalar la aplicacion sino que también es importante personalizar la configuración, es decir, evitar las configuraciones por default. Mas Información: Pagina Oficial del...

Leer Más

Herramienta Anti Forense para Windows

ACTUALIZADO 16/01/2010: Despues de aparentar ser una aplicacion falsa y engañar a diferentes medios de comunicacion, DECAF “volvio” y con nueva version (2.0) que ademas no solo permite detectar si el COFEE de microsoft esta siendo utilizado en nuestra maquina, sino que ahora detecta todas estas herramientas forenses Helix, EnCase, Passware, Elcomsoft, FTK Imager Port, Forensic Toolkit, ISOBuster, y Ophcrack. Esta nueva versión de DECAF incluye la posibilidad de añadir nuestras propias firmas, por lo que podemos detectar cualquier software antiforense en nuestra maquina y realizar una acción especifica. Aqui les dejo el enlace de descarga a modo de mirror, por si la herramienta vuelve a desaparece, aunque la pagina oficial sigue siendo www.decafme.org Hace poco les comentaba en la comunidad sobre el COFEE (Computer Online Forensic Evidence Extractor), la herramienta forense que Microsoft le regaló a varias entidades policiales en diferentes países, para realizar fácilmente el levantamiento de pruebas digitales en equipos de computo, también comentábamos que se había filtrado por la redutilizaba este Kit de Herramientas Forenses. Ahora me entero de la existencia de DECAF (Detect and Eliminate Computer Assisted Forensics) una herramienta anti forense, que monitores en tiempo real el PC y tan pronto detecta la presencia del Microsoft COFEE, realiza una serie de tareas pre establecidas, que pueden ir desde borrar los registros del COFEE, expulsar la Memoria USB desde donde se ejecuto y bloquear el computador para que no puedan trabajar mas en el. DECAF es totalmente configurable y personalizable, permitiendo al usuario definir que quiere hacer cuando se detecte la presencia del Microsoft COFEE, podria borrar archivos específicos, desactivar casi cualquier parte de hardware del PC, matar procesos, contaminar la Mac del equipo, entre otras opciones, DECAF permite simular el COFEE para poner a prueba las configuraciones que pusiste y ver que todo funciona correctamente. Su autor promete en futuras versiones, la posibilidad de enviar por correo electrónico un mensaje notificando que se ha detectado la presencia del COFEE, bloqueo remoto de la maquina y la posibilidad de ejecutar el DECAF como un servicio de Windows. Descargar DECAF Mas Información: Pagina Oficial de...

Leer Más

Process Hacker, Mata Procesos en Windows

Process Hacker es un administrador de procesos para windows, totalmente libre y open source, algo así como un “administrador de tareas” con esteroídes, ya que permite ver procesos ocultos, editar la memoria del sistema, matar procesos que el “administrador de tareas” de windows no permite entre otras funciones muy útiles. Existen muchos programas de este tipo, uno de los mas populares es el Process Explorer de la empresa sysinternals que fue comprada por Microsoft, precisamente por esa compra process explorer ha perdido adeptos (aunque no calidad) y muchos han optado por alternativas totalmente libres como Process Hacker. A diferencia de otros administradores de tareas, Process Hacker cuenta con su propio drivers para manejar los procesos del sistema, lo que le permite matar procesos incluso si estos están siendo utilizados por el sistema operativo u otras aplicaciones, esta funcionalidad también le permite ver procesos que pueden estar ocultos al “administrador de tareas” de windows, pero no solo podemos ver y eliminar procesos, también podemos realizar las mismas tareas con los servicios del sistema, podemos ver que aplicaciones están haciendo uso de nuestra conexión y con quien se están comunicando. Sólo funciona en Windows XP o superior de 32 bits y requiere del .NET Framework 2.0. En las versiones de 64 bits su funcionalidad se ve enormemente reducida a causa de que sólo son permitidos drivers firmados con un certificado digital válido emitido por una entidad de confianza, por lo que si deseamos poder cargar el driver de Process Hacker deberemos deshabilitar esta característica que viene por defecto en los sistemas de 64 bits. Descargar Process Hacker, excelente administrador de Procesos en Microsoft Windows Para Mas Información: Pagina Oficial del Process Hacker Pagina Oficial del Process...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES