Bastionado de Sistemas Windows con Tripwire SecureCheq


Publicado el 25/05/2013 | pentest hacking vulnerabilidades educativo

Configurar cualquier equipo, y más aún si se trata de algún servidor, para que cumpla con los estándares y disponga de un mínimo de seguridad es una tarea ardua y laboriosa. Se requiere un amplio conocimiento del sistema y modificar múltiples parámetros para controlar, entre otras cosas, los accesos, que la política de usuarios y contraseñas sea robusta, que los registros y LOGs del servidor almacenen toda la información necesaria al respecto de la actividad en el mismo, que se hayan instalado los últimos parches y actualizaciones de seguridad publicados por el fabricante, etc

Windows Powershell en un Pentest


Publicado el 10/05/2013 | pentest hacking vulnerabilidades

En un Servidor Microsoft Windows que ha sido fortificado o sobre el que se han aplicado técnicas de hardening, es muy probable que se haya limitado el acceso al intérprete de comandos (CMD.exe o command prompt), que se haya modificado el menú de inicio para que no se muestre la opción de ejecutar y que también esté bloqueado el acceso directo mediante las teclas de Windows y R (de run en inglés) o que, incluso, no se tenga acceso a todas las unidades de disco existentes en el equipo mediante el explorador (Windows Explorer). En estos casos, y durante una revisión de seguridad, Windows Powershell puede ser muy útil

Evolucionando la Web de Hacktimes by Funomy


Publicado el 15/04/2013 | www educativo

La seguridad informática no sólo consiste en mantener actualizado nuestro software, controlar las posibles vulnerabilidades y debilidades de nuestra página Web, vigilar ante posibles errores de configuración de nuestros sistemas, etc. Partiendo de la premisa de “cuanto menos expuesta esté nuestra infraestructura menor es el riesgo de sufrir un ataque” es recomendable detectar y eliminar aquellos servicios superfluos y paquetes de software que no son necesarios para el correcto funcionamiento de un sistema o, incluso, filtrar el tráfico de servicios que no necesitan estar publicados.

Avivore: obteniendo información sensible de los usuarios de Twitter


Publicado el 03/04/2013 | www educativo

Twitter es el servicio de microblogging más extendido de la red, con más de 500 millones de usuarios y 340 millones de tweets al día. Nunca antes 140 caracteres habían llegado tan lejos. Ante tal cantidad de usuarios, la información que se maneja es enorme y es fácil encontrar datos de dichos usuarios de lo más curiosos y sorprendentes. Existen diferentes herramientas que permiten hacer búsquedas por determinadas palabras clave, buscar en el historial de un usuario concreto, e incluso geolocalizarlo (tal y como se vió en un artículo antiguo de Hacktimes donde se explicaba el uso y funcionamiento de Creepy: http://www.hacktimes.com/geolocalizaci_n_descontrolada/). Ahora llega Avivore, una aplicación que, además, permite obtener números de teléfono de los usuarios de Twitter, direcciones IP e, incluso, el identificador de una BlackBerry

Informe del Sans Institute sobre sistemas IPS


Publicado el 29/03/2013 | logs www pentest firewall opinion educativo

Esta última semana del mes de marzo, Rob VandenBrink del Sans Institute, a través del Internet Storm Center (https://isc.sans.edu), se hacía eco de un interesante informe en el que había colaborado junto a otros integrantes del propio Sans Institute: "Beating the IPS" (Derrotando a los IPS). En este documento, se comprueba de qué forma se comportan los principales sistemas IPS existentes ante las técnicas de evasión más utilizadas. Las capacidades de productos como Check Point, Cisco, TippingPoint, Fortinet, Paloalto y Snort son analizadas de forma detallada en más de 63 páginas de informe. Es importante destacar que se echan de menos los productos de Stonesoft e Imperva ya analizados en hacktimes (http://www.hacktimes.com/waf_imperva/) pero aún así, se trata de una lectura muy recomendable para entender mejor el funcionamiento de un sistema IPS (Intrusion Prevention System) y repasar las principales técnicas de evasión existentes

Búsqueda

Síguenos


El staff de Hacktimes ruega a cualquier persona interesada en la distribución y/o publicación de estos artículos que lo haga sin alterar su contenido y cite a su autor y/o la fuente original. Muchas gracias.

Todos los artículos publicados se encuentran bajo la licencia Creative Commons

Noticias y GamePlay en MMOToda