/*codigo slider*\

lunes, 16 de abril de 2012

CRYPTEX - Seguridad de la Información: Wireshark v1.6.7 Released

CRYPTEX - Seguridad de la Información: Wireshark v1.6.7 Released:

Wireshark is the world’s foremost network protocol analyzer. It lets you capture and interactively browse the traffic running on a computer network. It is the de facto (and often de jure) standard across many industries and educational institutions.
Wireshark development thrives thanks to the contributions of networking experts across the globe. It is the continuation of a project that started in 1998.

What’s New
Bug Fixes
The following bugs have been fixed:
  • Wireshark could crash while reading SSL decryption keys on 64-bit Windows.
  • Malformed Packets H263-1996 (RFC2190). (Bug 6996)
  • Wireshark could crash while trying to open an rpcap: URL. (Bug 6922)
New and Updated Features
  • There are no new features in this release.
New Protocol Support
  • There are no new protocols in this release.
Updated Protocol Support
  • H.263
New and Updated Capture File Support
  • There are no updates in this release.
Download Wireshark v1.6.7

 Visto en toolswatch.org







martes, 10 de abril de 2012

Legislación informática en Colombia: Ley Lleras y TLC

Legislación informática en Colombia: Ley Lleras y TLC



En el último año una de las mayores conmociones que se ha gestado a nivel mundial a causa de las legislaciones se deriva de los acuerdos y la legislación aprobadas que regulan el uso de la información de Internet y endurecen los derechos de autor y la propiedad intelectual, llegando hasta penalizar las violaciones al copyright.
En Colombia, durante 2011 se discutió la “Ley Lleras”, la cual buscaba regular la responsabilidad por las infracciones al derecho de autor y los derechos conexos en Internet, y que terminó cayéndose luego de varias protestas y de una serie de argumentos frente a los cuales el Presidente del Senado del momento, Juan Manuel Corzo, expresó:"hoy promoví el hundimiento de una Ley que cercena la libertad de comunicación de prensa, de los medios de normas-ticcomunicación, de los tuiteros y de los cibernautas en Colombia. Hoy todas las redes sociales tienen la total libertad mundial de seguir, insisto, con absoluta libertad, el desarrollo de sus aplicaciones y sin ningún tipo de restricción."
En 2012, con motivo de la aprobación del Tratado de Libre Comercio – TLC con los Estados Unidos, Colombia revivió con “urgencia” el tema de la legislación informática e incluye una serie de normas que controlan el uso de información en el ciberespacio dentro del Proyecto de Ley 201 de 2012 “por medio de la cual se implementan compromisos adquiridos por virtud del acuerdo de promoción comercial suscrito entre la República de Colombia y los Estados Unidos de América y su protocolo modificatorio, en el marco de la política de comercio exterior e integración económica”.
El gobierno radicó el Proyecto de Ley el pasado 20 de marzo ante el Congreso con un llamado de “urgencia” por ser acuerdos necesarios para la firma definitiva del TLC; el viernes 23 de marzo las Comisiones Segundas de Cámara y Senado dieron su visto bueno y se prevé que el Proyecto sea aprobado sin ningún tipo de discusión en los próximos días, amparado bajo la premura del TLC.
La sociedad civil y los ciudadanos digitales están consternados por la forma en que se está desarrollando el debate político, especialmente por la ausencia del mismo, ya que no ha habido espacio para que sean escuchados los argumentos a favor y en contra del articulado que haría parte de la Ley.
Como herramienta para alimentar el debate público presentamos los textos completos de los Proyectos de Ley presentados en Colombia, y los textos de las legislaciones similares aprobadas en otros países, además de dos textos relacionados con la temática expuesta.

proyecto-de-ley-201
Colombia: Proyecto de Ley 201 de 2012
“Por medio de la cual se implementan compromisos adquiridos por virtud del acuerdo de promoción comercial suscrito entre la República de Colombia y los Estados Unidos de América y su protocolo modificatorio, en el marco de la política de comercio exterior e integración económica”.
Ver ficha       Ver documento


proyecto-de-ley-241

Colombia: Proyecto de Ley 241 de 2011 – Ley Lleras


“Por la cual se regula la responsabilidad por las infracciones al derecho de autor y los derechos conexos en internet”.
Ver ficha       Ver documento





publicacion-armonizacion


Colombia: Publicación “Armonización del derecho informático en América Latina: del mito a la realidad”,
propuesta legislativa del Dr. Manuel José Cárdenas en relación con la necesidad de legislar asuntos informáticos.
www.colombiadigital.net





concepto-carolina-botero

Colombia: Concepto de Catalina Botero, líder de Creative Commons Colombia, sobre el Proyecto de Ley 201 de 2012

equinoxio.org







ley-hr-3261

Estados Unidos: Ley H.R. 3261


“Stop Online Piracy Act – SOPA” (Acto de cese de la piratería en línea)
Ver ficha       Ver documento



anti-counterfeiting

Internacional: Anti-Counterfeiting Trade Agreement


ACTA – Acuerdo Comercial Anti-falsificación
Ver ficha       Ver documento

Seguridad de la Informacion en Colombia: Gestión de Riesgos

Seguridad de la Informacion en Colombia: Gestión de Riesgos:

Gestión de Riesgos


Teniendo entendido que para la gran mayoría de Organizaciones actualmente la Gestión u Administración de Riesgos se constituye como parte fundamental de la Gerencia de la Organización que pretende respaldar eficientemente a la identificación, análisis, tratamiento, comunicación y monitoreo de los riesgos del negocio; este análisis se convierte en tema de obligatorio cumplimiento cuando se habla de un Sistema de Gestión de Seguridad de la Información.

Por años este tema estuvo regido por la Norma Australiana AS/NZS 4360, la cual sirvió de guiá a muchísimos profesionales que querían hacer un análisis de riesgos en sus labores cotidianas; y si hablamos específicamente en Colombia dicha norma fue adaptada bajo el nombre de NTC 5254 en el año 2006 la cual se convirtio en texto obligado al momento de hacer evaluaciones de riesgos para las diferentes Organizaciones en Colombia. Que incluye dicha norma? Básicamente orienta al lector en la necesidad de identificar riesgos que impacten su Organización, Como analizarlos midiendo consecuencia y probabilidad, Evaluar el impacto que tiene la materialización de cada uno de los riesgos identificados, Identificar opciones de manejo de los riesgos (Plan de tratamiento de riesgos); y por ultimo la Medición y análisis de los riesgos.


Pero que es todo este tema del Análisis de Riesgos, Mapas de Riesgos y demás? Veamos paso a paso como se hace esta evaluación.


IDENTIFICACIÓN DE RIESGOS.

En la identificación de riesgos se debe determinar la posibilidad de ocurrencia de riesgos potenciales, lo cual pueda entorpecer el normal desarrollo de las funciones de la Organización.

Para esto podemos elaborar un listado de los riesgos inherentes a las actividades o procedimientos que se llevan a cabo en cada proceso, priorizándolos según el grado en que estos afecten los objetivos misionales del mismo.


ES MUY IMPORTANTE TENER EN CUENTA QUE PARA REALIZAR LA IDENTIFICACIÓN DEL RIESGO ESTE NO SE HAYA MATERIALIZADO.


ANÁLISIS DE FACTORES DE RIESGO.


En el análisis de factores de riesgo es necesario tener en cuenta aquellos que pueden incrementar la probabilidad de que un riesgo ocurra. Inclusive, es posible generar riesgos nuevos como por ejemplo la integridad, la ética de las personas involucradas, el tamaño y la complejidad de las transacciones involucradas en el proceso, así como, los cambios en los sistemas o en el personal clave; adicionalmente se debe tener en cuenta los factores de carácter externo que pudieran llegar a afectar la Organización como son los económicos, sociales, legales o de cambio tecnológico.


CLASIFICACIÓN DEL RIESGO.

La clasificación del riesgo permite realizar una mejor identificación de los riesgos inherentes a los procesos de la Organización, ya que delimita los parámetros a seguir por el responsable. Esta seria una posible clasificación:
  • Riesgo estratégico
  • Riesgo operativo
  • Riesgo de control
  • Riesgo financiero
  • Riesgo de tecnología
  • Riesgo de incumplimiento
  • Riesgo de fraude
  • Riesgo de ambiente laboral
Que riesgos analizar? Esta imagen es de gran ayuda para visualizar los "anillos del riesgo" a los cuales se expone una Organización:



PONDERACIÓN DEL RIESGO
La ponderación del riesgo consiste en establecer los niveles adecuados de calificación, tanto de la probabilidad como del impacto, para determinar realmente el nivel de vulnerabilidad en la Organización ante situaciones previsibles. También se debe tener en cuenta los factores de riesgo enunciados durante el proceso de identificación.
  • Probabilidad de ocurrencia: para determinar este ítem se debe considerar los controles utilizados hasta el momento y la efectividad de los mismos, así como, la frecuencia en la que ocurren los riesgos y en la que se van a analizar.
  • Impacto: en este ítem se evalúan las consecuencias en caso que el hecho que originó el riesgo se materialice. También analiza el grado en que afecta los objetivos de los procesos involucrados o, inclusive de manera general a la Organización.
MANEJO DEL RIESGO.

Después de realizar la ponderación de los riesgos se debe elaborar un plan de manejo de los mismos. En la elaboración de dicho plan se debe tener en cuenta la relación costo/beneficio del riesgo que se desea tratar, así como, las consecuencias y las posibles acciones que se van a implementar. Se debe tener claro que existen varias posibilidades en cuanto a manejo del riesgo, las cuales se describen a continuación:
  • Evitar el riesgo: es realizar modificaciones a los procesos o a las actividades generadoras del riesgo, para generar los controles pertinentes, adecuados y efectivos para el tipo de riesgo que está revisando.
  • Reducir el riesgo: es aplicar controles directamente para reducir la probabilidad o el impacto del riesgo. Este manejo se da cuando dicho riesgo no puede ser evitado, por lo que se trata de utilizar medidas correctivas en los procesos que ayuden a minimizar el riesgo inherente de las actividades involucradas.
  • Transferir el riesgo: es trasladar el riesgo a otra área de la Entidad o adquiriendo seguros que cubran estos riesgos, de esta manera se logra que el tercero los asuma.
  • Compartir o diversificar el riesgo: es distribuir el riesgo, por ejemplo, guardar varias copias de un documento en lugares diferentes para que de esta manera se evite que la pérdida de un documento origine la nulidad del proceso que respalda.
  • Retener, asumir o aceptar el riesgo: es una decisión que el área de donde proviene el riesgo debe tomar, y para hacerlo debe necesariamente haber llegado a la conclusión que la relación costo/beneficio no es viable, es decir, que el costo de implementar los controles es mayor al costo que puede originar la materialización del riesgo. Esta situación puede ocurrir además cuando el riesgo no es reconocido o cuando al reducir el riesgo queda una parte residual, originando consecuencias que son asumidas por cada área.
Teniendo claro los posibles manejos que se le da a cada riesgo se deben formular acciones para su realización, estableciendo responsables de estas y fijando fechas para su desarrollo. Los responsables también deben velar por el cumplimiento en el desarrollo e implementación de los puntos de control.

DESCRIPCIÓN DE LA MATRIZ DE RIESGOS.

Básicamente una matriz de riesgos puede ser como la siguiente:




Pero la información que se debe manejar al administrar riesgos seria idealmente la siguiente:
  • Riesgo: es la posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la Organización y le impidan el logro de sus objetivos.
  • Impacto: son las consecuencias que puede ocasionar a la Organización la materialización del riesgo.
  • Probabilidad: es la posibilidad de ocurrencia del riesgo.
  • Control existente: en este ítem se debe especificar cual es el control que la Entidad tiene implementado para combatir, minimizar o prevenir el riesgo.
  • Nivel De Riesgo: es el resultado de la aplicación de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes.
  • Causas: son los medios, circunstancias y agentes que generan los riesgos.
  • Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entraran a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.
  • Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas, también se debe determinar en cabeza de quien va a quedar el compromiso del cumplimiento del cronograma.
  • Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo.
  • Indicadores: se deben usar para evaluar el desarrollo de las acciones implementadas y pueden ser de tipo cuantitativo o cualitativo, pero deben permitir emitir un juicio mediante su utilización.
ESCALAS PARA LA DETERMINACIÓN DE PROBABILIDAD E IMPACTO DE CADA RIESGO.

Tomando los criterios establecidos para la evaluación de los riesgos en la Norma NTC 5254: Norma Técnica Colombiana de Gestión de Riesgos, se construye una tabla donde se describen los riesgos; se muestra el resultado del cruce de las variables de impacto o consecuencia versus probabilidad de ocurrencia del riesgo, y mediante colores se representa la severidad del riesgo.

PLAN DE MANEJO DEL RIESGO

Tal como se menciono previamente se encuentran las diferentes alternativas del manejo del riesgo, las cuales seran tenidas en cuenta para el Monitoreo de los Riesgos y son las siguientes:
  • Evitar el riesgo: es realizar modificaciones a los procesos o a las actividades generadoras del riesgo, para generar los controles pertinentes, adecuados y efectivos para el tipo de riesgo que está revisando.
  • Reducir el riesgo: es aplicar controles directamente para reducir la probabilidad o el impacto del riesgo. Este manejo se da cuando dicho riesgo no puede ser evitado, por lo que se trata de utilizar medidas correctivas en los procesos que ayuden a minimizar el riesgo inherente de las actividades involucradas.
  • Transferir el riesgo: es trasladar el riesgo a otra área de la Entidad o adquiriendo seguros que cubran estos riesgos, de esta manera se logra que el tercero los asuma.
  • Compartir o diversificar el riesgo: es distribuir el riesgo, por ejemplo, guardar varias copias de un documento en lugares diferentes para que de esta manera se evite que la pérdida de un documento origine la nulidad del proceso que respalda.
  • Retener, asumir o aceptar el riesgo: es una decisión que el área de donde proviene el riesgo debe tomar, y para hacerlo debe necesariamente haber llegado a la conclusión que la relación costo/beneficio no es viable, es decir, que el costo de implementar los controles es mayor al costo que puede originar la materialización del riesgo. Esta situación puede ocurrir además cuando el riesgo no es reconocido o cuando al reducir el riesgo queda una parte residual, originando consecuencias que son asumidas por cada área.
Teniendo claro los posibles manejos que se le da a cada riesgo se deben formular acciones para su realización, estableciendo responsables de estas y fijando fechas para su desarrollo. Los responsables también deben velar por el cumplimiento en el desarrollo e implementación de los puntos de control.

EJECUCIÓN DEL PLAN DE MANEJO DE RIESGOS

Dentro de esta secuencia de actividades ya se cumplió con la identificación, análisis y evaluación de riesgos, quedando por ejecutarse el Monitoreo de los riesgos identificados inicialmente. Se realizará un monitoreo de las matrices de riesgos de las diferentes áreas en reuniones periódicas; en donde cada uno de los responsables de los procesos de la Organización estará encargado de complementar y actualizar sus matrices a medida que surgen nuevos riesgos o si los controles aplicados logran reducir o incluso eliminar los riesgos existentes.

Las modificaciones a las matrices después de su oficialización deben ser debidamente aprobadas. Pasos a seguir por proceso para realización del monitoreo:
  1. Revisar cuidadosamente la última matiz de riesgos aprobada.
  2. Listar las medidas existentes o planeadas para reducir la ponderación del riesgo. Se listaran medidas para reducir la probabilidad y para reducir el impacto.
  3. Evaluar si los riesgos y las causas que los originaron persisten, de ser así confirme que los controles de estos riesgos no se hayan modificado o tergiversado con el tiempo.
  4. Proponer nuevos controles para los que son obsoletos.
  5. Considerar el (los) riesgo(s) que han desaparecido y con base en esto elaborar un informe explicando su apreciación para que éste sea retirado del mapa oficial del área.

A continuación se enumeran las metodologías más conocidas de análisis y gestión de riesgo. La mayoría de ellas constan de documentos que desarrollan los conceptos necesarios y luego se especifican los pasos a ser llevados a cabo para realizar el relevamiento completo. Algunas de ellas también disponen de planillas, matrices, tableros y reportes de ejemplos que pueden utilizarse como base.

Herramienta OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización.
Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.
Herramienta MAGERIT
MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España.

El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”, y es un método formal orientado a activos, cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

La metodología MAGERIT ha sido elaborada por un equipo interdisciplinario del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales, SSITAD, del Consejo Superior de Informática.

MAGERIT persigue los siguientes objetivos generales:

  • Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
  • Ofrecer un método sistemático para analizar tales riesgos.
  • Ayudar a descubrir y planificar las salvaguardas oportunas para mantener los riesgos bajo control.
  • Apoyar a la Organización en la preparación de procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
MAGERIT está estructurado en tres partes diferenciadas:
  • Libro I: Método.
  • Libro II: Catálogo de Elementos.
  • Libro III: Guía de Técnicas.
Puede descargarse la metodología desde la web del Ministerio de Administraciones Públicas de España.
Herramienta EAR/PILAR
Como herramienta informática para el análisis de riesgos, basado en MAGERIT, disponemos de PILAR. Este software puede descargarse gratuitamente, en su versión de prueba, desde el enlace www.ar-tools.com/pilar.

PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:
  • ISO/IEC 27002:2005 - Código de buenas prácticas para la Gestión de la Seguridad de la Información.
  • SP800-53:2006 - Recommended Security Controls for Federal Information Systems.
  • Criterios de Seguridad, Normalización y Conservación del Consejo Superior de Informática y para el Impulso de la Administración Electrónica.
Herramienta CRAMM
CCTA Risk Analysis and Method Management (CRAMM) es una metodologia creada en 1987 por la Central Agency of Data Processing and Telecommunications del Gobierno del Reino Unido.

Esta metodología comprende tres fases:
  • Fase 1: Establecimiento de objetivos de seguridad
  • Fase 2: Análisis de riesgos
  • Fase 3: Identificación y selección de salvaguardas
CRAMM es actualmente la metodología de Análisis de Riesgos utilizada por la OTAN, el Ejército de Holanda, y numerosas empresas de todo el mundo.

En la dirección www.cramm.com podemos encontrar la más completa información sobre esta prestigiosa metodología.
Otras metodologías conocidas son:
  • Mehari, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita y se encuentra disponible en varios idiomas
  • METRICA3 específica para desarrollo de software (Software Life Cycle Processes)
  • Desarrollada en español y gratuita
  • The Security Risk Management Guide de Microsoft, en inglés y gratuita
  • COBRA, con costo y en inglés
  • Callio, con costo y en inglés
  • MARION, Méthodologie d'Analyse des Risques Informatiques et d'Optimisation par Niveau, desarrollada en Francia por el Club de la Sécurité Informatique Français (CLUSIF).
  • ISAMM, Information Security Assessment & Monitoring Method, desarrollada en Bélgica por Telindus N.V.
  • IT-Grundschutz, desarrollada por la Bundesamt für Sicherheit in der Informationstechnik (Oficina Federal para la Seguridad de la Información) de Alemania.
Todas estas metodologías pueden ser implementadas en cualquier organización, pero cada una deberá realizar un análisis pormenorizado para adaptar el modelo a la organización que se trate.

A futuro: Tendremos la Norma ISO 31000, la cual ya esta disponible en idioma Ingles, pero que saldra obviamente en nuestro idioma.

Para terminar, los dejo con el ciclo del análisis de riesgo:

Seguridad de la Informacion en Colombia: ISO 27001 e ISO 27002: Dominio 13 Gestión de los i...

Seguridad de la Informacion en Colombia: ISO 27001 e ISO 27002: Dominio 13 Gestión de los i...:

Continuando con los Dominios de la ISO 27002 (Numeral 13) o Anexo A de la ISO 27001 (Anexo A13), hoy vamos a revisar la Gestión de los incidentes de la seguridad de la información. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen dos objetivo2 de control:
13.1 reporte sobre los eventos y las debilidades de la seguridad de la información
Objetivo: asegurar que los eventos y las debilidades de la seguridad de la información asociados con los sistemas de información se comunican de forma tal que permiten tomar las acciones correctivas oportunamente.

Es conveniente establecer el reporte formal del evento y los procedimientos de escalada.

Todos los empleados, contratistas y usuarios de tercera parte deberían tener conciencia sobre los procedimientos para el reporte de los diferentes tipos de evento y las debilidades que puedan tener Impacto en la seguridad de los activos de la organización. Se les debería exigir que reporten todos los eventos de seguridad de la información y las debilidades tan pronto sea posible al punto de contacto designado.

13.2 Gestión De Los Incidentes Y Las Mejoras En La Seguridad De La Información
Objetivo: asegurar que se aplica un enfoque consistente y eficaz para la gestión de los incidentes de seguridad de la información.

Es conveniente establecer las responsabilidades y los procedimientos para manejar los eventos y debilidades de la seguridad de la información de manera eficaz una vez se han reportado. Se debería aplicar un proceso de mejora continua a la respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes de seguridad de la información.

Cuando se requiere evidencia, ésta se debería recolectar para garantizar el cumplimiento de los requisitos legales.
Interpretando los requisitos de la norma, podemos encontrar lo siguiente:
La gestión de los incidentes de seguridad se ha convertido en un componente importante dentro de los programas de tecnología de información y seguridad de la información.

Las acciones preventivas y correctivas que se generan una vez se realizan análisis de riesgos y auditorias del SGSI pueden disminuir el número de incidentes que sean susceptibles de presentarse, pero no todos pueden ser prevenidos.
Deben definirse lineamientos para la gestión de varios tipos de incidentes específicos:

• Negación de Servicio (DoS – Denial of service):
Los ataques de denegación de servicio se refieren al uso específico de ciertas herramientas por parte de intrusos con el fin de causar que las redes y/o sistemas dejen de operar apropiadamente.

Los ataques de denegación de servicio distribuido son aquellos realizados por un grupo de atacantes localizados en diferentes sitios geográficos en donde simultáneos ataques son lanzados hacia el sistema víctima. Debido a ello, es difícil localizar las fuentes del ataque.

• Ataques de Código malicioso:
Código malicioso pueden ser programas como virus, gusanos, troyanos, spyware o scripts utilizados por intrusos para lograr acceso privilegiado, capturar contraseñas o información confidencial. Los ataques de código malicioso son a veces difíciles de detectar debido a que ciertos virus o gusanos son diseñados para modificar su propia firma después de lograr infiltrar un sistema, algunos incluso son capaces de ocultar logs de auditoría para ocultar las actividades no autorizadas.

• Acceso no autorizado:
El acceso no autorizado va desde el uso no autorizado de credenciales hasta la modificación o cambio de archivos y directorios almacenados en un sistema o medio de almacenamiento. Esto adicionalmente puede lograr acceso a otros sistemas a través de programas o dispositivos de “sniffing” que pueden ser instalados para capturar información confidencial que este moviéndose por la red.

• Usos no apropiados:
Ocurren cuando un usuario lleva a cabo acciones que violan las políticas de uso aceptable de los recursos computacionales.

Estos lineamientos deben incluir la definición de procedimientos para la preparación frente a incidentes, identificación, análisis, contención, eliminación y recuperación de incidentes.
Ya teniendo como base una identificación de posibles incidentes que se puedan presentar en la Organización, como seria entonces la gestión de incidentes de seguridad de la información? Veamos:
Un incidente de seguridad de la información se debe entender como un evento relevante que atenta contra la seguridad de los sistemas de cómputo, redes de computadores u otro recurso informático o no informático de la organización; generalmente interrumpe su procedimiento de operación normal.

Los tipos de incidentes de seguridad de la información pueden estar relacionados con cualquier tipo de evento que pueda considerarse que atenta contra la seguridad de los componentes de la infraestructura de tecnología informática y telecomunicaciones u otros activos de la Organización.

1. Detección y reporte de incidentes
Deben existir mecanismos que permitan la detección y el registro de eventos informáticos de forma que sea posible realizar el análisis de los mismos por medio de una evidencia de su ocurrencia.

Los incidentes pueden ser detectados y registrados a través de los siguientes medios:

a) Equipos IDSs, IPSs de red e IDSs basados en Host (HIDS).
b) Alertas generadas por medio de software antivirus, antispyware o antyspam.
c) Software de verificación de integridad de archivos.
d) Servicios externos de monitoreo contratados por la Organización.
e) Logs de sistemas operativos, servicios de red y aplicaciones como sitios Web, entre otras.
f) Logs de los dispositivos de red (router, switch, access point, etc).
g) Información de vulnerabilidades conocidas sobre diferentes tecnologías.
h) Información de incidentes ocurridos en otras Organizaciones.
i) Personas dentro de la organización (usuarios de los servicios informáticos, administradores de red, administradores de sistemas de información, etc.) que hacen uso del servicio de soporte de sistemas y/o tecnologia.
j) Personas de otras organizaciones que detectan vulnerabilidades en diferentes servicios y notifican a la Organización.

Todos los incidentes de seguridad informática deben ser reportados en el menor tiempo posible, para acelerar la detección, restauración y reparación de cualquier daño causado, y para facilitar la obtención de cualquier evidencia asociada.

Todos los funcionarios involucrados con la Organización, deben ser conscientes y estar alertas a que la evidencia relacionada con incidentes de seguridad de la información debe ser adecuada y formalmente registrada, retenida y entregada al Administrador de Seguridad de la información, utilizando los medios que estén disponibles para tal fin.

2. Preparación ante Incidentes
Según la complejidad de los incidentes se deben asignar prioridades de atención a éstos. Estas prioridades están clasificadas de la siguiente manera:

a) Incidentes Críticos:
  • Estos incidentes pueden afectar la integridad o la confidencialidad de la información, lo cual tiene como resultado la pérdida directa del negocio y/o la reputación.
  • El problema y/o incidente requiere solución inmediata, ya que este causa la completa pérdida de un servicio o la interrupción de las actividades laborales.
  • Se genera un impacto crítico en el cliente.
  • Se genera un impacto crítico en aplicaciones o procesos de negocio
  • Afecta una comunidad de usuarios o a un usuario de servicios informáticos de alto rango.
b) Incidentes Severos:
  • Estos incidentes afectan típicamente la disponibilidad de la información, pero no la integridad de la misma.
  • El servicio informático, sistema de información o aplicación opera con problemas críticos.
  • El servicio informático, sistema de información o aplicación no está operativo, pero no requiere solución inmediata.
  • El impacto del negocio no es crítico.
c) Incidentes Normales:
  • Estos incidentes pueden afectar la confidencialidad, integridad o disponibilidad de la información, sin embargo no existe pérdida alguna.
  • El servicio informático, sistema de información o aplicación opera con funcionalidades limitadas.
  • El servicio informático, sistema de información o aplicación no está operativo, pero existen alternativas paralelas y están disponibles.
  • No se ven afectados servicios informáticos importantes para el negocio.
d) Incidentes Menores (no afectan la seguridad de la información ni de telecomunicaciones):
Se acuerda y programa con el usuario de servicios informáticos la atención, para una fecha determinada. En este tipo se incluyen:
  • Actualizaciones de hardware y software.
  • Nuevas instalaciones de PC, hardware y software.
  • Movimientos de oficinas o reasignación de máquinas.
  • Reporte y registro de fallas de software.
Con base en los requerimientos contractuales y para darle peso y solución inmediata a los incidentes reportados, se debe dar respuesta en máximo una hora al usuario sobre el tema o inconveniente reportado, con la fecha estimada inicial que se de de acuerdo a la valoración que se realice.

Se deben preparar, mantener y probar regularmente planes para asegurar que el daño producido por posibles ataques externos puede ser minimizado y que la restauración tendrá lugar lo más pronto posible.

3. Análisis de Incidentes
Los incidentes de seguridad deberán ser apropiadamente investigados por personal adecuadamente entrenado y calificado. Ningún incidente se dará por resuelto sin que sea cerrado por el responsable de su manejo, dependiendo de la categoría del incidente.

En caso de que el incidente se relacione con un sistema tecnológico específico, nunca se debe apagar o reiniciar el sistema comprometido de manera inmediata, ya que esto puede llevar a la pérdida de información o evidencia necesaria para una investigación forense posterior.

4. Contención
Se debe limitar la posibilidad de que el daño causado por el incidente se extienda. Para ello se debe evaluar si se aíslan los componentes comprometidos del resto de componentes de la red, teniendo en cuenta que esto puede afectar o interrumpir la operación normal en caso de que el sistema comprometido sea crítico o muchos sistemas sean afectados por el problema como sucede en una epidemia de virus.
En caso de que la atención de cualquier incidente implique riesgo para la seguridad de las personas involucradas en su atención, se deberá informar a la gerencia de la Organización, y no se realizará intervención hasta que no se realice el aseguramiento de las condiciones del sitio a intervenir.

5. Eliminación
Después de lograr la contención, se debe iniciar una etapa de investigación que permita establecer la causa del incidente. Si son incidentes relacionados con tecnología, es necesario realizar un análisis detallado de los logs, en diferentes dispositivos (firewalls, routers, logs de sistema/aplicaciones). Para ello se deben utilizar herramientas diferentes a aquellas existentes en el sistema comprometido.
Después de la investigación, el sistema afectado debe ser reinstalado.

6. Recuperación
Se debe validar la ejecución de las tareas de eliminación.
Se debe restaurar el componente afectado desde un backup limpio.
Se debe monitorear el componente para determinar si su funcionamiento es normal, previo a la puesta en producción.
Se debe implementar un monitoreo a nivel de red para detectar intentos posteriores de ataque.

7. Seguimiento
Se debe crear una base de datos de incidentes en la cual se consignen los reportes de incidentes y la solución dada a los mismos, que sirva en un futuro como primera alternativa de consulta en la resolución de incidentes informáticos.

La información de registro de administración de incidentes debe contener aspectos como: descripción de la secuencia exacta de eventos, forma de descubrimiento del incidente, acción preventiva utilizada, análisis que determine que los pasos de recuperación son suficientes y recomendaciones adicionales que deban ser consideradas.

La base de datos de incidentes que se generen al interior de la Organización será revisada con intervalos no mayores a un año para verificar que los mismos no se repitan o si se han modificado las circunstancias, desarrollar una nueva medida de control que minimice la posibilidad e impacto de este incidente en caso de que se diera la posibilidad de volver a presentarse.

8. Evidencias de Incidentes
Todo incidente de seguridad que se reporte debe venir acompañado de algún tipo de evidencia que respalde el reporte que se realice. Estas evidencias resultan fundamentales en situaciones como la aplicación del proceso disciplinario desarrollado para el SGSI

Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de la información implica acciones legales (civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para la evidencia establecidas en la jurisdicción pertinente.

Como se puede apreciar, la gestión de incidentes es un insumo de increíble valor para el SGSI, pues contribuye a robustecer cualquier areá que se vea afectada con un incidente, de alli la importancia de que este Dominio este aplicado en la Organización con una estructura muy fuerte de trabajo, respuesta y gestión de incidentes.

lunes, 9 de abril de 2012

IT Auditing Fundamentals – Theoretical to Practical | Ethical Hacking-Your Way To The World Of IT Security

IT Auditing Fundamentals – Theoretical to Practical | Ethical Hacking-Your Way To The World Of IT Security

Information security is a vast field and has a broad interest there are so many penetration tester and ethical hacker out there that provides there services for network and web application testing. IT auditing is an essential part of today networks, network can be a small (LAN) and a big both are requires auditing.

IT auditing is not directly reflect the image of penetration testing and vulnerability assessment because there are multiple types of audit, its all depend on the objectives and the goals. An organization uses IT auditing to control the flow of information, to find the network weaknesses, policies, backup procedure, patching and to ensure the protection of users and customer information, well as said earlier its all depend on the goal.
 
Generally IT audit means to find the hardware’s and software’s that are associated with the network, like IT auditing can be used to track
  • Partition
  • Sound cards, Videos cards, LAN cards and other
  • System component
  • Installed software’s (including OS)
  • Security setting

UberHarvest - Email & Domain Harvesting Multi Purpose Tool | Ethical Hacking-Your Way To The World Of IT Security

UberHarvest - Email & Domain Harvesting Multi Purpose Tool | Ethical Hacking-Your Way To The World Of IT Security

This FREE tool was designed to get a user to enter an individual website or load a text file containing many URLs at once. Once the URL(s) have been entered, the uberharvest application crawl through the website (and all the links within that website) searching for valid email addresses. The application can search for email addresses randomly (i.e. something@domain.something or the user can chose to search for email addresses for a specific domain (i.e. for www.ubersec.com the application can search for all @ubersec.com email addresses within the website). 

Then the user can chose to either print the results on the screen or save them into a text file or print them out to an XML file with XSL style-sheet. In addition, the application can also be used to search for Mail Exchange (MX) server Internet Protocol (IP) addresses corresponding with each URL that has been found by the uberharvest application. And then that information can be used by the uberharvest application to test if the MX server is also an Open-Relay server or not. Yet, the uberharvest application also provides the user with the option to use a random user-agent crawling each link and performing the scans using anonymous proxy servers.

martes, 3 de abril de 2012

Ethical Hacking-Your Way To The World Of IT Security: Metasploit Tutorials

Ethical Hacking-Your Way To The World Of IT Security: Metasploit Tutorials


Metasploit is the best penetration testing and ethical hacking tool that automate all the process of penetration testing, there are different tutorials are available on Internet but we have discussed metasploit from basic to advance and these series are going on. 
Here is the list of all the available tutorials for metasploit be active to get more tutorials.

Bugtraq-I Distribution for Pentesting & Forensics | Ethical Hacking-Your Way To The World Of IT Security

Bugtraq-I Distribution for Pentesting & Forensics | Ethical Hacking-Your Way To The World Of IT Security

Bugtraq system offers the most comprehensive distribution, optimal, stable and automatic security to date. Bugtraq is a distribution based on the 2.6.38 kernel has a wide range of penetration and forensic tools. Bugtraq can be installed from a Live DVD or USB drive, the distribution is customized to the last package, configured and updated the kernel. The kernel has been patched for better performance to recognize a variety of hardware, including wireless injection patches pentesting that other distributions do not recognize.

Adquirir seguro:guía de ENISA para la supervisión de los contratos de computación en la nube

Adquirir seguro:guía de ENISA para la supervisión de los contratos de computación en la nube

La contratación de servicios en la nube es una tarea cada vez más importante para los gobiernos y las empresas en toda la UE - y la seguridad de la información es el punto débil. Con el fin de ayudar a solventar este problema, la agencia de seguridad cibernética de la UE, ENISA, ha lanzado hoy una nueva guía práctica dirigida a los equipos informáticos de adquisición , centrándose en la vigilancia continua en lo que concierne la seguridad en todo el ciclo de vida de un contrato en la nube.

La publicación se basa en un trabajo preliminar realizado por ENISA en el 2009, cuando la Agencia desarrolló un sistema y una herramienta de garantía para los equipos informáticos cuyo objetivo era evaluar la seguridad de los proveedores de servicios antes de tomar la decisión de trasladarse a la nube. Hoy, ENISA va un paso más allá con una guía de seguimiento explicando la manera de supervisar la seguridad de los servicios en la nube durante todo el ciclo de vida del proyecto.
La nueva guía "Procure Secure: A guide to monitoring of security service levels in cloud contracts" se centra en la contratación pública, que representa casi el 20% del producto interior bruto de la UE, alrededor de 2,2 trillones de euros (según las cifras de Eurostat del 2009).

BackTrack 5 R2 – VirtualBox Guest Additions + USB Issues Fixes | Ethical Hacking-Your Way To The World Of IT Security

BackTrack 5 R2 – VirtualBox Guest Additions + USB Issues Fixes | Ethical Hacking-Your Way To The World Of IT Security

VirtualBox is of course the most suitable virtualization solution to run BackTrack. Unfortunately, with this latest version of BackTrack, the VirtualBox Guest Additions cannot be installed on a fresh new install. Fortunately after some modifications, everything can be fixed to compile these additions for the 3.2.6 Linux Kernel of BackTrack 5 R2.



Download and Install

Pentest.sh Penetration Testing Script for Backtrack 5 | Ethical Hacking-Your Way To The World Of IT Security

Pentest.sh Penetration Testing Script for Backtrack 5 | Ethical Hacking-Your Way To The World Of IT Security

Penetration testing and Ethical hacking can be done by manually and automatically, both manual and automatic vulnerability scanning and hacking has their own importance like automatic process save time while manual hacking can find more vulnerabilities and so on. There are so many tools and techniques has been discussed before but in this article I will share a wonderful script written by phillips321 that can make the job of information gathering and enumeration easy.

lunes, 2 de abril de 2012

1. CONSULTORÍA DE SEGURIDAD DE LA INFORMACIÓN

1.1. GESTIÓN DE LA SEGURIDAD

  • Análisis de riesgos.
  • Gap Analysis ISO 27001
  • SGSI - Sistema de Gestión de la Seguridad de la Información.
  • Definición de métricas, políticas, buenas prácticas y procedimientos del SGSI.
1.2. SOLUCIONES E IMPLEMENTACIÓN

  • VPN. 
  • Firewalls.
  • Soluciones de Redes Seguras.
  • Aplicaciones Seguras.
  • IDS, IPS.
  • AntiSpam y Antivirus.

3. ESTRATEGIA GOBIERNO EN LÍNEA:  es una estrategia del gobierno nacional, liderada por el Ministerio de Tecnologías de la Información y las Comunicaciones, para contribuir a la construcción de un Estado más eficiente, transparente, participativo y que preste los mejores servicios a los ciudadanos y a las empresas mediante el aprovechamiento de las TIC.

LA ESTRATEGIA GOBIERNO EN LÍNEA CONSTA DE 6 COMPONENTES

1.    Elementos Transversales
2.    Información en línea
3.    Interacción en línea
4.    Transacción en línea
5.    Transformación
6.    Democracia en línea


4. INFORMÁTICA FORENSE

La Informática Forense puede descubrir un fraude, el uso no autorizado de computadoras o una violación de políticas en una empresa, entre otras.  
Se examinan los dispositivos electrónicos (discos duros, cintas de respaldo, PC, portátiles, memorias, archivos y/o correos electrónicos) con el fin de recolectar, comparar y analizar la información disponible, oculta y eliminada, que puede ser evidencia para soportar una acción o en el caso de pérdida accidental de datos.

  • Captura y preservación de evidencia digital.
  • Recuperación de información borrada y/o dañada.
  • Análisis forense de videos, imágenes digitales y audio.
  • Recuperación de contraseñas
  • Seguimiento  a correos electrónicos anónimos.
  • Esterilización
  • Asesoría y detección en infidelidad empresarial partiendo de  un indicio.
                                                                                                                             
5. AUDITORIA INFORMÁTICA

Evaluando los controles de Seguridad de la Información implementados en una empresa, se identifican los riesgos asociados con el fin de suministrar acciones que permitan mitigarlos y que apoyen tanto a TI como a la gerencia en la toma de decisiones en cuanto a seguridad de la información.

  • Definición y configuración de la seguridad.
  • Procesamiento e interacción de los sistemas de información.
  • Plan de contingencia / Plan de recuperación.
  • Planeación estratégica.
  • Soporte a la infraestructura tecnológica.
  • Cumplimiento con la normatividad.

                                  

Contacto

difcan@gmail.com
@fernac on twitter

Redes botnet. Controlando una botnet por irc (Parte II)

Redes botnet. Controlando una botnet por irc (Parte II)
En esta segunda entrega presentaré un ejemplo de la creación, configuración y funcionamiento de una red botnet, pero en un entorno controlado. Para la implementación de esta práctica se usó el bot ruso llamado Illusion, el cual tiene como fin principal la realización de ataques de negación de servicios, y permite ser controlado tanto por irc como por http. Para este ejemplo el control se hará por medio de irc.
Para no hacer esta entrada más extensa, solo mostraré las configuraciones de este bot y algunas de sus funciones. Partiremos del hecho de que tenemos:
  • Un servidor IRC en una de nuestras máquinas, con un canal de chat, en donde se llevará a cabo el control de las máquinas zombie a través del envió de comandos.
  • Un cliente IRC que permitirá la comunicación con el bot, logrando el envió de instrucciones por medio del canal de chat creado anteriormente. Este cliente se configura con los datos del dueño de la Botnet, como el alias, el servidor Irc y el puerto.



For more than a decade, the Nmap Project has been cataloguing the network security community's favorite tools. In 2011 this site became much more dynamic, offering ratings, reviews, searching, sorting, and a new tool suggestion form. This site allows open source and commercial tools on any platform, except those tools that we maintain (such as the Nmap Security Scanner, Ncat network connector, and Nping packet manipulator).
We're very impressed by the collective smarts of the security community and we highly recommend reading the whole list and investigating any tools you are unfamiliar with. Click any tool name for more details on that particular application, including the chance to read (and write) reviews. Many site elements are explained by tool tips if you hover your mouse over them. Enjoy!

 
Wireshark (#1
Wireshark (known as Ethereal until a trademark dispute in Summer 2006) is a fantastic open source multi-platform network protocol analyzer. It allows you to examine data from a live network or from a capture file on disk. You can interactively browse the capture data, delving down into just the level of packet detail you need. Wireshark has several powerful features, including a rich display filter language and the ability to view the reconstructed stream of a TCP session. It also supports hundreds of protocols and media types. A tcpdump-like console version named tshark is included. One word of caution is that Wireshark has suffered from dozens of remotely exploitable security holes, so stay up-to-date and be wary of running it on untrusted or hostile networks (such as security conferences). 
Latest release: version 1.6.5 on Jan. 10, 2012 (2 months, 3 weeks ago). sniffers
Metasploit (#2
Metasploit took the security world by storm when it was released in 2004. It is an advanced open-source platform for developing, testing, and using exploit code. The extensible model through which payloads, encoders, no-op generators, and exploits can be integrated has made it possible to use the Metasploit Framework as an outlet for cutting-edge exploitation research. It ships with hundreds of exploits, as you can see in their list of modules. This makes writing your own exploits easier, and it certainly beats scouring the darkest corners of the Internet for illicit shellcode of dubious quality.
Metasploit was completely free, but the project was acquired by Rapid7 in 2009 and it soon sprouted commercial variants. The Framework itself is still free and open source, but they now also offer a free-but-limited Community edition, a more advanced Express edition ($3,000 per year per user), and a full-featured Pro edition ($15,000 per user per year). Other paid exploitation tools to consider are Core Impact (more expensive) and Canvas (less).
The Metasploit Framework now includes an official Java-based GUI and also Raphael Mudge's excellent Armitage. The Community, Express, and Pro editions have web-based GUIs. 
Latest release: version 4.1 on Oct. 18, 2011 (5 months, 2 weeks ago). sploits

Nessus (#3)

Nessus is one of the most popular and capable vulnerability scanners, particularly for UNIX systems. It was initially free and open source, but they closed the source code in 2005 and removed the free "Registered Feed" version in 2008. It now costs $1,200 per year, which still beats many of its competitors. A free “Home Feed” is also available, though it is limited and only licensed for home network use.
Nessus is constantly updated, with more than 46,000 plugins. Key features include remote and local (authenticated) security checks, a client/server architecture with a web-based interface, and an embedded scripting language for writing your own plugins or understanding the existing ones. The open-source version of Nessus was forked by a group of users who still develop it under the OpenVAS name.
Latest release: version 5 on Feb. 15, 2012 (1 month, 2 weeks ago). vuln-scanners
Aircrack (#4)

Aircrack is a suite of tools for 802.11a/b/g WEP and WPA cracking. It implements the best known cracking algorithms to recover wireless keys once enough encrypted packets have been gathered. . The suite comprises over a dozen discrete tools, including airodump (an 802.11 packet capture program), aireplay (an 802.11 packet injection program), aircrack (static WEP and WPA-PSK cracking), and airdecap (decrypts WEP/WPA capture files). 
Latest release: version 1.1 on April 24, 2010 (1 year, 11 months ago).crackers wireless
Snort (#5)

This network intrusion detection and prevention system excels at traffic analysis and packet logging on IP networks. Through protocol analysis, content searching, and various pre-processors, Snort detects thousands of worms, vulnerability exploit attempts, port scans, and other suspicious behavior. Snort uses a flexible rule-based language to describe traffic that it should collect or pass, and a modular detection engine. Also check out the free Basic Analysis and Security Engine (BASE), a web interface for analyzing Snort alerts.
While Snort itself is free and open source, parent company SourceFire offers their VRT-certified rules for $499 per sensor per year and a complementary product line of software and appliances with more enterprise-level features. Sourcefire also offers a free 30-day delayed feed. 
Latest release: version 2.9.2.1 on Jan. 18, 2012 (2 months, 2 weeks ago). ids

UNIX users often smugly assert that the best free security tools support their platform first, and Windows ports are often an afterthought. They are usually right, but Cain & Abel is a glaring exception. This Windows-only password recovery tool handles an enormous variety of tasks. It can recover passwords by sniffing the network, cracking encrypted passwords using dictionary, brute-force and cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, revealing password boxes, uncovering cached passwords and analyzing routing protocols. It is also well documented
Latest release: version 4.9.43 on Dec. 3, 2011 (4 months ago). crackers  sniffers
BackTrack (#7)

This excellent bootable live CD Linux distribution comes from the merger of Whax and Auditor. It boasts a huge variety of Security and Forensics tools and provides a rich development environment. User modularity is emphasized so the distribution can be easily customized by the user to include personal scripts, additional tools, customized kernels, etc. 
Latest release: version 5 R2 on March 1, 2012 (1 month ago). sec-distros
 Netcat (#8)

This simple utility reads and writes data across TCP or UDP network connections. It is designed to be a reliable back-end tool to use directly or easily drive by other programs and scripts. At the same time, it is a feature-rich network debugging and exploration tool, since it can create almost any kind of connection you would need, including port binding to accept incoming connections.
The original Netcat was released by Hobbit in 1995, but it hasn't been maintained despite its popularity. It can sometimes even be hard to find a copy of the v1.10 source code. The flexibility and usefulness of this tool prompted the Nmap Project to produce Ncat, a modern reimplementation which supports SSL, IPv6, SOCKS and http proxies, connection brokering, and more. Other takes on this classic tool include the amazingly versatile Socat, OpenBSD's nc, Cryptcat, Netcat6, pnetcat, SBD, and so-called GNU Netcat.
Latest release: version 1.10 on March 20, 1996 (16 years ago).  general  packet-crafters
tcpdump (#9)

Tcpdump is the network sniffer we all used before (Wireshark) came on the scene, and many of us continue to use it frequently. It may not have the bells and whistles (such as a pretty GUI and parsing logic for hundreds of application protocols) that Wireshark has, but it does the job well and with less security risk. It also requires fewer system resources. While Tcpdump doesn't receive new features often, it is actively maintained to fix bugs and portability problems. It is great for tracking down network problems or monitoring activity. There is a separate Windows port named WinDump. tcpdump is the source of the Libpcap/WinPcap packet capture library, which is used by Nmap and many other tools. 
Latest release: version 4.2.1 on Jan. 1, 2012 (3 months ago).  sniffers

John the Ripper is a fast password cracker for UNIX/Linux and Mac OS X.. Its primary purpose is to detect weak Unix passwords, though it supports hashes for many other platforms as well. There is an official free version, a community-enhanced version (with many contributed patches but not as much quality assurance), and an inexpensive pro version. You will probably want to start with some wordlists, which you can find here, here, or here
Latest release: version 1.7.9-jumbo-5 on Dec. 18, 2011 (3 months, 2 weeks ago). crackers

Kismet (#11)

Kismet is a console (ncurses) based 802.11 layer-2 wireless network detector, sniffer, and intrusion detection system. It identifies networks by passively sniffing (as opposed to more active tools such as NetStumbler), and can even decloak hidden (non-beaconing) networks if they are in use. It can automatically detect network IP blocks by sniffing TCP, UDP, ARP, and DHCP packets, log traffic in Wireshark/tcpdump compatible format, and even plot detected networks and estimated ranges on downloaded maps. As you might expect, this tool is commonly used for wardriving. Oh, and also warwalking, warflying, and warskating, etc.
Latest release: version Kismet-2011-01-R1 on Jan. 19, 2011 (1 year, 2 months ago). sniffers wireless

SSH (Secure Shell) is the now ubiquitous program for logging into or executing commands on a remote machine. It provides secure encrypted communications between two untrusted hosts over an insecure network, replacing the hideously insecure telnet/rlogin/rsh alternatives. Most UNIX users run the open source OpenSSH server and client. Windows users often prefer the free PuTTY client, which is also available for many mobile devices, and WinSCP. Other Windows users prefer the nice terminal-based port of OpenSSH that comes with Cygwin. There are dozens of other free and proprietary clients to consider as well.  crypto
Burp Suite (#13)

Burp Suite is an integrated platform for attacking web applications. It contains a variety of tools with numerous interfaces between them designed to facilitate and speed up the process of attacking an application. All of the tools share the same framework for handling and displaying HTTP messages, persistence, authentication, proxies, logging, alerting and extensibility. There is a limited free version and also Burp Suite Professional ($299 per user per year).
Latest release: version 1.4.01 on June 3, 2011 (10 months ago). web-scanners
 Nikto (#14)

Nikto is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 6400 potentially dangerous files/CGIs, checks for outdated versions of over 1200 servers, and version specific problems on over 270 servers. It also checks for server configuration items such as the presence of multiple index files, HTTP server options, and will attempt to identify installed web servers and software. Scan items and plugins are frequently updated and can be automatically updated. 
Latest release: version 2.1.4 on Feb. 20, 2011 (1 year, 1 month ago). web-scanners
Hping (#15)

This handy little utility assembles and sends custom ICMP, UDP, or TCP packets and then displays any replies. It was inspired by the ping command, but offers far more control over the probes sent. It also has a handy traceroute mode and supports IP fragmentation. Hping is particularly useful when trying to traceroute/ping/probe hosts behind a firewall that blocks attempts using the standard utilities. This often allows you to map out firewall rule sets. It is also great for learning more about TCP/IP and experimenting with IP protocols. Unfortunately, it hasn't been updated since 2005. The Nmap Project created and maintains Nping, a similar program with more modern features such as IPv6 support, and a unique echo mode
Latest release: version hping3-20051105 on Nov. 5, 2005 (6 years, 5 months ago). packet-crafters
Ettercap (#16)

Ettercap is a suite for man in the middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols (even ciphered ones) and includes many feature for network and host analysis.
Latest release: version 0.7.4-Lazarus on Dec. 6, 2011 (3 months, 4 weeks ago). sniffers  traffic-monitors
  
Sysinternals (#17
Sysinternals provides many small windows utilities that are quite useful for low-level windows hacking. Some are free of cost and/or include source code, while others are proprietary. Survey respondents were most enamored with:
  • ProcessExplorer for keeping an eye on the files and directories open by any process (like lsof on UNIX).
  • PsTools for managing (executing, suspending, killing, detailing) local and remote processes.
  • Autoruns for discovering what executables are set to run during system boot up or login.
  • RootkitRevealer for detecting registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.
  • TCPView, for viewing TCP and UDP traffic endpoints used by each process (like Netstat on UNIX).
Many of the Sysinternals tools originally came with source code and there were even Linux versions. Microsoft acquired Sysinternals in July 2006, promising that “Customers will be able to continue building on Sysinternals' advanced utilities, technical information and source code”. Less than four months later, Microsoft removed most of that source code. 
Latest release: Feb. 4, 2011 (1 year, 1 month ago).  rootkit-detectors

w3af (#18)

W3af is an extremely popular, powerful, and flexible framework for finding and exploiting web application vulnerabilities. It is easy to use and extend and features dozens of web assessment and exploitation plugins. In some ways it is like a web-focused Metasploit
Latest release: version 1.1 on Oct. 11, 2011 (5 months, 3 weeks ago). fuzzers sploits web-scanners
OpenVAS (#19)

OpenVAS is a vulnerability scanner that was forked from the last free version of Nessus after Nessus went proprietary in 2005. It continues to grow, with more than 23,000 tests as of November 2011. OpenVAS plugins are written in the same NASL language used by Nessus. 
Latest release: version 4.0.0 on March 17, 2011 (1 year ago).  vuln-scanners
Scapy (#20
Scapy is a powerful interactive packet manipulation tool, packet generator, network scanner, network discovery tool, and packet sniffer. Note that Scapy is a very low-level tool—you interact with it using the Python programming language. It provides classes to interactively create packets or sets of packets, manipulate them, send them over the wire, sniff other packets from the wire, match answers and replies, and more. 
Latest release: version 2.1.1 on April 19, 2010 (1 year, 11 months ago).  packet-crafters

While there are many advanced high-tech tools out there to assist in security auditing, don't forget about the basics! Everyone should be very familiar with these tools as they come with most operating systems (except that Windows omits whois and uses the name tracert). They can be very handy in a pinch, although more advanced functionality is available from Hping and Netcat..  general
THC Hydra (#22)

When you need to brute force crack a remote authentication service, Hydra is often the tool of choice. It can perform rapid dictionary attacks against more then 30 protocols, including telnet, ftp, http, https, smb, several databases, and much more. Like THC Amap this release is from the fine folks at THC. Other online crackers are Medusa and Ncrack. The Nmap Security Scanner also contains many online brute force password cracking modules
Latest release: version 6.1 on Feb. 3, 2011 (1 year, 1 month ago). crackers
While many canned security tools are available on this site for handling common tasks, scripting languages allow you to write your own (or modify existing ones) when you need something more custom. Quick, portable scripts can test, exploit, or even fix systems. Archives like CPAN are filled with modules such as Net::RawIP and protocol implementations to make your tasks even easier. Many security tools use scripting languages heavily for extensibility. For example Scapy interaction is through a Python interpreter, Metasploit modules are written in Ruby, and Nmap's scripting engine uses Lua. Review this tool.  general

Paros proxy (#24)

A Java-based web proxy for assessing web application vulnerability. It supports editing/viewing HTTP/HTTPS messages on-the-fly to change items such as cookies and form fields. It includes a web traffic recorder, web spider, hash calculator, and a scanner for testing common web application attacks such as SQL injection and cross-site scripting. 
Latest release: version 3.2.13 on Aug. 8, 2006 (5 years, 7 months ago).  web-proxy web-scanners
NetStumbler (#25)

Netstumbler is the best known Windows tool for finding open wireless access points ("wardriving"). They also distribute a WinCE version for PDAs and such named MiniStumbler. The tool is currently free but Windows-only and no source code is provided. It uses a more active approach to finding WAPs than passive sniffers such as Kismet or KisMAC
Latest release: version 0.4.0 on April 1, 2004 (8 years ago). sniffers wireless

Categories

Related Posts Plugin for WordPress, Blogger...