You can subscribe to this list here.
2002 |
Jan
|
Feb
|
Mar
|
Apr
|
May
|
Jun
|
Jul
|
Aug
|
Sep
(27) |
Oct
(5) |
Nov
(19) |
Dec
(42) |
---|---|---|---|---|---|---|---|---|---|---|---|---|
2003 |
Jan
(23) |
Feb
(27) |
Mar
(34) |
Apr
(16) |
May
(31) |
Jun
(23) |
Jul
(49) |
Aug
(40) |
Sep
(20) |
Oct
(31) |
Nov
(20) |
Dec
(7) |
2004 |
Jan
(7) |
Feb
(9) |
Mar
(3) |
Apr
|
May
(4) |
Jun
(1) |
Jul
(2) |
Aug
(2) |
Sep
|
Oct
|
Nov
|
Dec
|
2005 |
Jan
|
Feb
|
Mar
|
Apr
|
May
(1) |
Jun
|
Jul
|
Aug
|
Sep
|
Oct
(7) |
Nov
|
Dec
|
2006 |
Jan
(1) |
Feb
|
Mar
|
Apr
|
May
|
Jun
|
Jul
(4) |
Aug
(3) |
Sep
|
Oct
|
Nov
|
Dec
|
2007 |
Jan
(2) |
Feb
|
Mar
|
Apr
|
May
|
Jun
|
Jul
|
Aug
|
Sep
|
Oct
|
Nov
|
Dec
|
From: Tora <tag...@us...> - 2004-05-03 18:47:14
|
Buen trabajo! hab=EDa un cambio de fuente a la mitad del documento (por lo menos se ve=ED= a as=ED desde mi moz-firefox). Creo que ahora se ve bien... Lo que me ha resultado curioso es la resoluci=F3n del Dto. Justicia de los = EEUU sobre el "Wiretap Act", no hab=EDa o=EDdo hablar de ella (no se ha mencinad= o en la lista de securityfocus). Personalmente no creo que est=E9n tan claros los t= emas legales all=ED en los EEUU, sobre todo cuando cada estado tiene sus leyes l= ocales. Por cierto, s=E9 que tengo pendiente colgar el resumen de mi PFC. Estoy en = ello, es que latex2html me lo hab=EDa dejado muy feo :( Saludos Tora Diego Gonzalez <dg...@ar...> va escriure: > Hola gente, >=20 > Como ahora estoy metido justamente en estas historias, he aprovechado par= a=20 > traducir el art=EDculo sobre redes trampa en iniversidades que ha publica= do=20 > recientemente el HProject. > http://his.sourceforge.net/trad/honeynet/papers/edu/ >=20 > Saludos, > Diego >=20 >=20 >=20 > ------------------------------------------------------- > This SF.Net email is sponsored by: Oracle 10g > Get certified on the hottest thing ever to hit the market... Oracle 10g.= =20 > Take an Oracle 10g class now, and we'll give you the exam FREE.=20 > http://ads.osdn.com/?ad_id149&alloc_id_66&op=3Dclick > _______________________________________________ > His-discusion mailing list > His...@li... > https://lists.sourceforge.net/lists/listinfo/his-discusion |
From: Diego G. <dg...@ar...> - 2004-05-03 18:03:07
|
Hola gente, Como ahora estoy metido justamente en estas historias, he aprovechado para= =20 traducir el art=EDculo sobre redes trampa en iniversidades que ha publicado= =20 recientemente el HProject. http://his.sourceforge.net/trad/honeynet/papers/edu/ Saludos, Diego |
From: Diego G. <dg...@ar...> - 2004-03-02 17:19:15
|
Estar=EDa bien hacerlo, pero lo mismo que vosotros... no s=E9 si dispondr=E9= de=20 tiempo. Ya veremos. De momento, parece bastante interesante. :) Saludos, Diego At 19:29 01/03/2004, Tora wrote: >En mi anterior correo me quejaba de la falta de SOTM desde Septiembre, si= =20 >lo s=E9 >me quejo antes! > >Si no pasa nada, creo que tendr=E9 suficiente tiempo... aunque me pillan= las >fallas por medio. oops =3D) |
From: Tora <tag...@us...> - 2004-03-01 18:29:57
|
En mi anterior correo me quejaba de la falta de SOTM desde Septiembre, si l= o s=E9 me quejo antes! Si no pasa nada, creo que tendr=E9 suficiente tiempo... aunque me pillan las fallas por medio. oops =3D) Saludos Tora David Barroso <to...@so...> va escriure: > Para los que tengan tiempo :) >=20 > All, >=20 > Honeynet Project Scan of the Month Challenges are BACK with a vengeance! >=20 > Today we announce a new type of challenge: an Analysis Challenge. Scan of > the Month #30 offers you an opportunity to draw your conclusions from a > massive pool of honeynet firewall log data. Questions to guide your > creativity in the analysis process are provided. >=20 > Check it out now at: http://www.honeynet.org/scans/scan30/ >=20 > And, yes, prizes will be given out! >=20 > Best, > --=20 > Anton A. Chuvakin, Ph.D., GCIA, GCIH > http://www.info-secure.org > http://www.securitywarrior.com >=20 > ----- End forwarded message ----- |
From: David B. <to...@so...> - 2004-03-01 18:12:24
|
Para los que tengan tiempo :) All, Honeynet Project Scan of the Month Challenges are BACK with a vengeance! Today we announce a new type of challenge: an Analysis Challenge. Scan of the Month #30 offers you an opportunity to draw your conclusions from a massive pool of honeynet firewall log data. Questions to guide your creativity in the analysis process are provided. Check it out now at: http://www.honeynet.org/scans/scan30/ And, yes, prizes will be given out! Best, -- Anton A. Chuvakin, Ph.D., GCIA, GCIH http://www.info-secure.org http://www.securitywarrior.com ----- End forwarded message ----- |
From: Tora <tag...@us...> - 2004-02-29 15:34:36
|
Hola a todos, lo prometido es deuda, as=ED que os adjunto un paquete con todo lo necesari= o para instalar mod_sebek con la =FAltima versi=F3n de Sebek (2.1.7) He incluido u= nas peque=F1as indicaciones para la instalaci=F3n que espero resulten lo sufici= entemente claras, si no es as=ED, preguntad ;) Muy relacionado con el tema, comentar que el pasado mi=E9rcoles present=E9 = (por fin) mi proyecto fin de carrera, as=ED que vuelvo a estar aqu=ED dando la lata o= tra vez ;P Sobre el proyecto, si os interesa puedo hacer un resumen del dise=F1o e implementaci=F3n de mod_sebek (el resto es el dise=F1o de la red trampa y e= l uso de Sebek, que creo est=E1 ya bastante tratado en los textos que tenemos en la = web) Por cierto, =BFque ha pasado con los SOTM? Creo recordar que desde septiemb= re no han dado se=F1ales de vida :( Saludos Tora |
From: Diego G. <dg...@ar...> - 2004-02-19 16:52:43
|
Hola Aitor, Me sumo a Tora en darte la bienvenida. Estoy de acuerdo con Tora en que, aunque tu esquema de red es correcto, no= =20 es necesario utilizar una m=E1quina separada para obtener los logs. Puedes= =20 hacerlo todo desde el Bridge-Firewall. Pero si lo haces porque te sobran=20 recursos... pues adelante. :) Respecto a tu problema con snort-inline, =BFhas comprobado que est=E1= cargado=20 correctamente el m=F3dulo ip_queue o que tu kernel lo soporta? De lo=20 contrario vas a tener que recompilarlo para que lo haga. Encontrar=E1s m=E1s= =20 informaci=F3n en el fichero README.INLINE. Tambi=E9n es recomendable que las= =20 primeras veces ejecutes "snort_inline -Qvc <configuration file>" para=20 asegurarte de que snort est=E1 capturando correctamente el tr=E1fico de red. Sobre Sebek te remito a Tora, que por estos lugares es el que m=E1s controla= =20 del tema. Y por =FAltimo, en cuanto a an=E1lisis forense, adem=E1s del pu=F1ado de= enlaces=20 que tengo en mi miserable paginilla y el resto de recursos que te coment=F3= =20 Tora, yo intentar=EDa hacerme con una copia del siguiente libro, si tu=20 bolsillo te lo permite. Merece la pena: -- "Incident Response & Computer Forensics, 2nd ed" de Kevin Mandia, Chris= =20 Prosise & Matt Pepe. Editorial McGraw Hill. Espero que soluciones esos problemas y nos cuentes tus experiencias. Saludos! Diego Gonz=E1lez At 11:48 19/02/2004, Aitor Facio Valero wrote: >Hola! Acabo de registrarme en la lista, y os comento en que estoy metido: >Estoy realizando un proyecto de Fin de Carrera(para Ingenier=EDa t=E9cnica= =20 >inform=E1tica) que consiste en montar un honeypot y simular un sistema= real.=20 >Llevo menos de un mes con la realizaci=F3n(antes estuve ley=E9ndome= Tracking=20 >Hackers y Know Your Enemy) y de momento, casi todo son problemas. >Os comento m=E1s o menos el esquema: > >[Conexi=F3n Externa]---[Bridge-Firewall]----[HoneyPot]---[Equipo de Log] > >En el Bridge Firewall uso el script rc.firewall del proyecto Honeynet y he= =20 >instalado tambi=E9n Snort,aunque no me funciona en modo inline( me dice=20 >InlineInit: netlink message error o algo parecido), as=ED que de momento lo= =20 >uso sin el -Q. >En el HoneyPot tengo instalado Sebek(o eso supongo jeje) y en el de Log el= =20 >sbk_extract, aunque me da problemas con los otros dos scripts. >De momento, no quiero andarme con demasiadas restricciones, aunque=20 >intentar=E9 ir refinando para captar ataques interesantes y no= sencillamente=20 >"scriptkiddies". Pero de momento, lo =FAnico que me interesa es que= funcione ;) > >Una cosita m=E1s, para aprender algo de an=E1lisis forense, que me= recomendais? |
From: Tora <tag...@us...> - 2004-02-19 11:49:35
|
Hola Aitor, antes que nada, bienvenido! tengo una duda sobre tu dise=F1o de la red. Has colocado un equipo exclusiv= amente para recolectar los datos de Sebek, =BFpor qu=E9 no hacerlo desde el propio Bridge-Firewall? Sobre los problemas con sbk_ks_log.pl, decirte que no eres el =FAnico. Yo o= pt=E9 por hacer mi propia versi=F3n en C del sbk_ks_log, muy sencillita. Ahora, para simplemente visualizar los paquetes de Sebek te recomiendo Ethereal, que en= la =FAltima versi=F3n (yo tengo la 0.10.0) identifica los paquetes de Sebek y = muestra los datos de una forma muy clara y c=F3moda (al menos a mi gusto). Para aprender algo de an=E1lisis forense... en la p=E1gina de Diego[1] hay = muuuchos enlaces al respecto, tambi=E9n se aprende mucho de la pr=E1ctica p.ej. con = los SOTM[2] o si te atreves con el reciente Reto de RedIris[3] [1] http://www.dggomez.arrakis.es/secinf/recursos/sitios/ [2] http://www.honeynet.org/scans/index.html [3] http://www.rediris.es/cert/ped/reto/ Saludos Tora Aitor Facio Valero <hon...@wa...> va escriure: > Hola! Acabo de registrarme en la lista, y os comento en que estoy metido: > Estoy realizando un proyecto de Fin de Carrera(para Ingenier=EDa t=E9cnica > inform=E1tica) que consiste en montar un honeypot y simular un sistema re= al. > Llevo menos de un mes con la realizaci=F3n(antes estuve ley=E9ndome Track= ing > Hackers y Know Your Enemy) y de momento, casi todo son problemas. Os come= nto > m=E1s o menos el esquema: >=20 > [Conexi=F3n Externa]---[Bridge-Firewall]----[HoneyPot]---[Equipo de Log] >=20 > En el Bridge Firewall uso el script rc.firewall del proyecto Honeynet y he > instalado tambi=E9n Snort,aunque no me funciona en modo inline( me dice > InlineInit: netlink message error o algo parecido), as=ED que de momento = lo uso > sin el -Q. En el HoneyPot tengo instalado Sebek(o eso supongo jeje) y en = el de > Log el sbk_extract, aunque me da problemas con los otros dos scripts. De > momento, no quiero andarme con demasiadas restricciones, aunque intentar= =E9 ir > refinando para captar ataques interesantes y no sencillamente "scriptkidd= ies". > Pero de momento, lo =FAnico que me interesa es que funcione ;) >=20 > Una cosita m=E1s, para aprender algo de an=E1lisis forense, que me recome= ndais? >=20 > Venga, gracias por leer a los que llegueis hasta aqui :D |
From: Aitor F. V. <hon...@wa...> - 2004-02-19 10:53:57
|
Hola! Acabo de registrarme en la lista, y os comento en que estoy metid= o: Estoy realizando un proyecto de Fin de Carrera(para Ingenier=EDa t=E9cn= ica inform=E1tica) que consiste en montar un honeypot y simular un sist= ema real. Llevo menos de un mes con la realizaci=F3n(antes estuve ley=E9= ndome Tracking Hackers y Know Your Enemy) y de momento, casi todo son p= roblemas.=20 Os comento m=E1s o menos el esquema: [Conexi=F3n Externa]---[Bridge-Firewall]----[HoneyPot]---[Equipo de Log= ] En el Bridge Firewall uso el script rc.firewall del proyecto Honeynet y= he instalado tambi=E9n Snort,aunque no me funciona en modo inline( me = dice InlineInit: netlink message error o algo parecido), as=ED que de m= omento lo uso sin el -Q.=20 En el HoneyPot tengo instalado Sebek(o eso supongo jeje) y en el de Log= el sbk_extract, aunque me da problemas con los otros dos scripts. De momento, no quiero andarme con demasiadas restricciones, aunque inte= ntar=E9 ir refinando para captar ataques interesantes y no sencillament= e "scriptkiddies". Pero de momento, lo =FAnico que me interesa es que f= uncione ;) Una cosita m=E1s, para aprender algo de an=E1lisis forense, que me reco= mendais? Venga, gracias por leer a los que llegueis hasta aqui :D http://webmail.wanadoo.es. Tu correo gratuito, r=E1pido y en espa=F1ol |
From: David B. <to...@so...> - 2004-02-18 22:21:33
|
Bueno, por fin est=E1n los resultados, enhorabuena a todos los participantes :) Y enhorabuena a Paco (Monserrat) por su apoyo y dedicaci=F3n :) Date: Wed, 18 Feb 2004 22:55:34 +0100 To: CERT-ES@LISTSERV.REDIRIS.ES =46rom: Francisco Jesus Monserrat Coll <francisco.monserrat@REDIRIS.ES> Subject: Re: [CERT-ES] reto de an lisis forense Hola, En primer lugar y para todos aquellos que estabais=20 interesados en los resultados del reto de an=E1lisis forense, disculpar por la tardanza en hacer p=FAblicos los resultados, al final por diversos motivos hemos tardado m=E1s de la cuenta en publicar los resultados. Estos se encuentran disponibles en=20 http://www.rediris.es/cert/ped/reto/resultados.html , al=20 igual que los informes presentados por cada uno de los=20 participantes. Hay que felicitar a todos los participantes del reto y agradecerles el esfuerzo que les ha debido suponer el an=E1lisis del equipo atacado y la realizaci=F3n de la documentaci=F3n requerida, para todos ellos nuestras m=E1s sincero agradecimiento. Nos ha sorprendido gratamente a los miembros del jurado la calidad de todos los informes presentados, lo que=20 demuestra que el an=E1lisis forense/digital goza de buena salud y que muchas veces no es necesario buscar muy lejos para encontrar buena informaci=F3n sobre este tipo de=20 an=E1lisis; es muy recomendable la lectura de los informes presentados si se quiere profundizar en estos temas. =20 Quiero tambi=E9n aqu=ED mostrar nuestro agradecimiento a las=20 personas que han colaborado en la realizaci=F3n de este reto a los que un poco "enga=F1ados" se les propuso la participaci=F3n en el reto, un poco m=E1s trabajosa que lo que se pensaba en principio ;-): Ruben Aquino - UNAM-CERT, UNAM Mexico David Barroso - S21Sec Javier Fernandez-Sanguino - Germinus Jess Garcia LAEFF-INTA / SANS Institute Jordi Linares y Matias Bevilacqua - Cybex Borja Marcos - Sarenet Jacomo Piccolini - CAIS/RNP Brasil =20 Bueno un saludo=20 Francisco Monserrat IRIS-CERT, RedIRIS |
From: Diego G. <dg...@ar...> - 2004-02-14 13:01:13
|
Hola a todos, Acabo de leer este aviso sobre un art=EDculo relacionado con sistemas trampa= =20 en entornos wireless. Wireless Honeypot Trickery by Laurent Oudot Feb 13, 2004 This paper will introduce honeypots as a countermeasure for attacks on wireless environments using WiFi-related technologies. They can be used to identify and defeat unsuspecting blackhat attackers. http://www.securityfocus.com/infocus/1761 Saludos, Diego |
From: Tora <tag...@us...> - 2004-02-13 15:28:08
|
Hola, de la parte de Solaris no puedo decir nada :| Sobre el vlogger, como t=FA dices no intercepta ninguna 'syscall'. Para cap= turar los datos, hace casi lo mismo que Sebek pero con las funciones de tratamien= to de los buffers que utilizan las tty. Para enviar los datos a trav=E9s de la red, escriben directamente en el dispositivo (al igual que lo hace Sebek) para evitar las reglas de filtrado= y, seg=FAn ellos, tambi=E9n evita que esos paquetes sean capturados mediante l= ibpcap. Digo que "seg=FAn ellos" porque Sebek instala una versi=F3n modificada de la interfaz 'raw socket' para evitar a los sniffers, y aunque vlogger no escri= be de la misma forma que Sebek, no he podido ver donde est=E1 el truco... tendr= =E9 que repasar mis apuntes ;P Y hablando de Sebek, =BFalguien ha probado la versi=F3n para Windows? Supon= go que utilizar=E1 hooks globales como los t=EDpicos keyloggers para Win, pero si = alguien se atreve a comentar algo m=E1s... pues mejor PD: Me quedan 15 d=EDas de estar "estresado", luego ya volver=E9 a dar la l= ata como de costumbre xD Saludos Tora David Barroso <to...@so...> va escriure: > Hola a todos, > =FAltimamente ha estado paradilla la lista, as=ED que vamos a animarla un > poco. Tengo dos cuestiones que plantear: >=20 > Siguiendo el tema de Sebek en Solaris, los que lo utilic=E9is, pod=E9is > decir: > - Versi=F3n de sistema operativo > - Plataforma (Sparc, x86) > - Versi=F3n del kernel > - gcc y ld (binutils o no) utilizado > - Interfaz de red utilizada >=20 > Estoy teniendo problemas en hacerlo funcionar en una interfaz dmfe0. En > otras m=E1quinas, con hme0 y eri0 funciona perfectamente, y justo con la > dmfe0 no, siguiendo los mismos pasos y utilizando las mismas > herramientas. =BFAlguien tiene una dmfe0 para probar? :P >=20 > Por otro lado, he estado mirando el vlogger de THC. =BFAlguien lo ha > probado? En teor=EDa es similar a sebek, aunque tiene la ventaja de que no > 'hookea' la syscall read (por lo menos eso dice). >=20 > Saludotes |
From: David B. <to...@so...> - 2004-02-12 20:29:58
|
Hola a todos, últimamente ha estado paradilla la lista, así que vamos a animarla un poco. Tengo dos cuestiones que plantear: Siguiendo el tema de Sebek en Solaris, los que lo utilicéis, podéis decir: - Versión de sistema operativo - Plataforma (Sparc, x86) - Versión del kernel - gcc y ld (binutils o no) utilizado - Interfaz de red utilizada Estoy teniendo problemas en hacerlo funcionar en una interfaz dmfe0. En otras máquinas, con hme0 y eri0 funciona perfectamente, y justo con la dmfe0 no, siguiendo los mismos pasos y utilizando las mismas herramientas. ¿Alguien tiene una dmfe0 para probar? :P Por otro lado, he estado mirando el vlogger de THC. ¿Alguien lo ha probado? En teoría es similar a sebek, aunque tiene la ventaja de que no 'hookea' la syscall read (por lo menos eso dice). Saludotes |
From: Diego G. <dg...@ar...> - 2004-02-02 19:24:01
|
Hola a todos, En la UPM han desarrollado la herramienta open-source VNUML, que automatiza= =20 la labor de creaci=F3n de entornos de red utilizando UML. VNUML http://jungla.dit.upm.es/~vnuml/ Saludos, Diego Gonz=E1lez dg...@ar... |
From: David B. <to...@so...> - 2004-01-26 07:25:23
|
* Tora (tag...@us...) wrote: > > David Barroso <to...@so...> va escriure: > > [...] > > Yo no termino de entenderlo del todo. Sí, detectan sebek, pero qué > > vulnerabilidad explotan luego? La versión de pcap que hablan, que > > supongo que será la 0.8.1, no la 0.81 que tanto ellos como los del > > Honeynet Project ponen mal (vaya advisory!!) es nueva, del 29 de Mayo y > > no se conoce ninguna vulnerabilidad pública, aunque eso no quita que > > exista, pero parece ser que si existe la han encontrado en menos de 15 > > días (y encima navideños). > > ¿Porqué dices lo de los 15 días? Oops, antes me equivoqué, me referería a que es del 29 de Diciembre :) No sé en que estaría yo pensando de Mayo.. ;) > > > Yo me creo lo del exploit en un 10%. Si es verdad, me empezaria a > > asustar, porque yo por lo menos ando rodeado de aplicaciones que usan > > pcap :( > > Un exploit de este tipo no es fácil de llevar a cabo, sobre todo porque se está > atacando a una máquina de forma indirecta (el tráfico no va destinado a ella), > así que desconocen SO y arquitectura de la "máquina de control" (HoneyWall > Gateway si os gusta más). Tampoco saben la configuración de red, pero eso se > puede arreglar desde el exploit (asignando una IP, eliminar filtros > ip/ebtables...) > > En fin, veremos si algún día nos sorprenden con el dichoso exploit. Pues sí, un exploit de este tipo es muy muy improbable, sin conocer a priori lo que comentas. De todas formas, qué credibilidad tiene este 'fake' de phrack? |
From: Tora <tag...@us...> - 2004-01-23 15:11:51
|
David Barroso <to...@so...> va escriure: > [...] > Yo no termino de entenderlo del todo. Sí, detectan sebek, pero qué > vulnerabilidad explotan luego? La versión de pcap que hablan, que > supongo que será la 0.8.1, no la 0.81 que tanto ellos como los del > Honeynet Project ponen mal (vaya advisory!!) es nueva, del 29 de Mayo y > no se conoce ninguna vulnerabilidad pública, aunque eso no quita que > exista, pero parece ser que si existe la han encontrado en menos de 15 > días (y encima navideños). ¿Porqué dices lo de los 15 días? > Yo me creo lo del exploit en un 10%. Si es verdad, me empezaria a > asustar, porque yo por lo menos ando rodeado de aplicaciones que usan > pcap :( Un exploit de este tipo no es fácil de llevar a cabo, sobre todo porque se está atacando a una máquina de forma indirecta (el tráfico no va destinado a ella), así que desconocen SO y arquitectura de la "máquina de control" (HoneyWall Gateway si os gusta más). Tampoco saben la configuración de red, pero eso se puede arreglar desde el exploit (asignando una IP, eliminar filtros ip/ebtables...) En fin, veremos si algún día nos sorprenden con el dichoso exploit. > De todas formas, me he reido leyéndoles, y eso está bien :) No tiene > desperdicio: > [...] Sí, parece que tienen algo "personal" contra Lance, según ellos luchan contra las redes trampa para que Internet no quede sembrada de sistemas vulnerables. Por cierto, he probado el "sebek_rape" y detecta la presencia de Sebek, aunque sólo acierte 2/7 (lo único que está bien son los puertos): Sebek Magic is d0d0d0 Sebek Dest Port is 1101 Sebek Source Port is 1101 Sebek Source IP is 0 Sebek Dest IP is 0 Sebek Eth Src is 82:c4:4d: 4: 0: 0 Sebek Eth Dest is 0:c0:15:c1:de:cf Seguiremos atentos... Saludos Tora |
From: David B. <to...@so...> - 2004-01-22 22:34:53
|
* Tora (tag...@us...) wrote: > Hola a todos, > > sí, aún sigo por aquí, algo liado pero sigo... vivo ;P Hey :P > > Bueno, supongo que habreis leido todos el "Security Advisory" del Honeynet > Project respecto a Sebek. Yo me he ido rápidamente a leer el artículo donde se > explica el problema: > > http://www.phrack.org/fakes/p63/ > > Se explica una técnica para detectar Sebek, que es la que ya conocíamos (se > mencionó en esta lista hace algún tiempo). El programa al que han llamado > "sebek_rape" simplemente busca el símbolo "__insmod_sebek_S.data" en /dev/kmem y > a partir de ahí saca los valores de los símbolos del módulo (direcciones IP/MAC, > MAGIC_NUMBER, puerto...). > > Lo más gracioso, según mi sentido del humor xD es el comentario que hacen al > final: > > "Now, having this information it can be fed into a libpcap 0.81 exploit > modified to work against the sebek server, phcebek. If successful, the > shellcode will open a listening and spawn a shell in response to each > incoming connection." Yo no termino de entenderlo del todo. Sí, detectan sebek, pero qué vulnerabilidad explotan luego? La versión de pcap que hablan, que supongo que será la 0.8.1, no la 0.81 que tanto ellos como los del Honeynet Project ponen mal (vaya advisory!!) es nueva, del 29 de Mayo y no se conoce ninguna vulnerabilidad pública, aunque eso no quita que exista, pero parece ser que si existe la han encontrado en menos de 15 días (y encima navideños). Yo me creo lo del exploit en un 10%. Si es verdad, me empezaria a asustar, porque yo por lo menos ando rodeado de aplicaciones que usan pcap :( De todas formas, me he reido leyéndoles, y eso está bien :) No tiene desperdicio: "The concepts arround detecting HoneyD are very complex, so I will attempt to explain them in such a way that a CISSP can understand. " "* ED: Heh, a Security Tool used to detect hackers being used as the * entry point. Undoubtedly anyone running Honeynetworking tools * doesnt worry about being compromised because they run snort. " |
From: Diego G. <dg...@ar...> - 2004-01-22 22:28:42
|
Ya estaba tardando en aparecer un art=EDculo de estas caracter=EDsticas=20 (t=E9cnicas de detecci=F3n de sistemas trampa). La comunidad black-hat est= =E1=20 reaccionando contra este tipo de dispositivos (AHA, =A1pero que bueno!)=20 proporcionando a sus desarrolladores precisamente lo m=E1s valioso: Cu=E1les= =20 son sus puntos d=E9biles (y por lo tanto, c=F3mo mejorarlos). :) Tora, como comentas, no se dice nada nuevo. Es una recopilaci=F3n de lo que= =20 se conoce sobradamente hasta ahora. No s=F3lo con sebek, sino con VMWare,=20 etc. (incluso han tenido tiempo de incluir el parche de Kostyra= Kortchinsky). Por otra parte, me gustar=EDa se=F1alar que no han comentado un hecho=20 importante que afecta a todas las redes trampa, si est=E1n bien hechas.=20 Naturalemente, este dato puede ayudar a identificarlas: el n=FAmero de=20 conexiones salientes est=E1 limitado, llegando en algunos casos a= modificarse=20 los ataques externos (pej. snort_inline). Saludos, Diego Gonz=E1lez At 22:30 22/01/2004, you wrote: >Hola a todos, > >s=ED, a=FAn sigo por aqu=ED, algo liado pero sigo... vivo ;P > >Bueno, supongo que habreis leido todos el "Security Advisory" del Honeynet >Project respecto a Sebek. Yo me he ido r=E1pidamente a leer el art=EDculo= donde se >explica el problema: > >http://www.phrack.org/fakes/p63/ > >Se explica una t=E9cnica para detectar Sebek, que es la que ya conoc=EDamos= (se >mencion=F3 en esta lista hace alg=FAn tiempo). El programa al que han= llamado >"sebek_rape" simplemente busca el s=EDmbolo "__insmod_sebek_S.data" en=20 >/dev/kmem y >a partir de ah=ED saca los valores de los s=EDmbolos del m=F3dulo= (direcciones=20 >IP/MAC, >MAGIC_NUMBER, puerto...). > >Lo m=E1s gracioso, seg=FAn mi sentido del humor xD es el comentario que= hacen al >final: > >"Now, having this information it can be fed into a libpcap 0.81 exploit >modified to work against the sebek server, phcebek. If successful, the >shellcode will open a listening and spawn a shell in response to each >incoming connection." > >Exploits privados y 0days aparte, se les olvid=F3 mencionar que el dichoso= =20 >exploit >aparte de abrir una shell debe ejecutar: > >ifconfig =BFeth0? 10.0.0.1 up; iptables -F; ebtables -F > >Por si acaso... je je > >Yo sigo diciendo que todo esto no hace m=E1s que beneficiar a las redes= trampa, >porque mientras intentan detectar si est=E1n o no dentro de un servidor= trampa, >nos est=E1n proporcionando informaci=F3n que nos servir=E1 para pon=E9rselo= m=E1s >dif=EDcil... o no. > >Hasta pronto. Saludos >Tora > > >------------------------------------------------------- >The SF.Net email is sponsored by EclipseCon 2004 >Premiere Conference on Open Tools Development and Integration >See the breadth of Eclipse activity. February 3-5 in Anaheim, CA. >http://www.eclipsecon.org/osdn >_______________________________________________ >His-discusion mailing list >His...@li... >https://lists.sourceforge.net/lists/listinfo/his-discusion |
From: Tora <tag...@us...> - 2004-01-22 21:19:33
|
Hola a todos, sí, aún sigo por aquí, algo liado pero sigo... vivo ;P Bueno, supongo que habreis leido todos el "Security Advisory" del Honeynet Project respecto a Sebek. Yo me he ido rápidamente a leer el artículo donde se explica el problema: http://www.phrack.org/fakes/p63/ Se explica una técnica para detectar Sebek, que es la que ya conocíamos (se mencionó en esta lista hace algún tiempo). El programa al que han llamado "sebek_rape" simplemente busca el símbolo "__insmod_sebek_S.data" en /dev/kmem y a partir de ahí saca los valores de los símbolos del módulo (direcciones IP/MAC, MAGIC_NUMBER, puerto...). Lo más gracioso, según mi sentido del humor xD es el comentario que hacen al final: "Now, having this information it can be fed into a libpcap 0.81 exploit modified to work against the sebek server, phcebek. If successful, the shellcode will open a listening and spawn a shell in response to each incoming connection." Exploits privados y 0days aparte, se les olvidó mencionar que el dichoso exploit aparte de abrir una shell debe ejecutar: ifconfig ¿eth0? 10.0.0.1 up; iptables -F; ebtables -F Por si acaso... je je Yo sigo diciendo que todo esto no hace más que beneficiar a las redes trampa, porque mientras intentan detectar si están o no dentro de un servidor trampa, nos están proporcionando información que nos servirá para ponérselo más difícil... o no. Hasta pronto. Saludos Tora |
From: David B. <to...@so...> - 2004-01-20 07:28:17
|
Hola a todos, recientemente he estado probando el cliente de Sebek en Solaris 5.8 (64 bits). Parece que funciona bien, aunque un par de veces al cargarlo (incluso al cargar el test sebek64) me ha reiniciado la máquina. ¿Habéis encontrado algún problema parecido? Para compilarlo he utilizado gcc 3.2, puesto que con otro compilador u otra versión más antigua es imposible :( |
From: Diego G. <dg...@ar...> - 2004-01-15 18:28:41
|
Hola a todos, Hace tiempo que no escribo por aqu=ED, y me gustar=EDa aprovechar para=20 informaros de que se ha publicado recientemente un art=EDculo sobre sistemas= =20 trampa en Securityfocus. Problems and Challenges with Honeypots By Lance Spitzner Jan 14, 2004 In this paper we take a look at some of the many challenges and problems facing honeypots, and possible approaches on how to solve them. By identifying these problems now, we can hope to make honeypots a stronger technology for the future. http://www.securityfocus.com/infocus/1757 Saludos, Diego Gonz=E1lez dg...@ar... |
From: Tora <tag...@us...> - 2003-12-30 19:11:05
|
Hola Antonio, sobre la parte de Solaris no sé qué decirte, porque no tengo mucha experiencia en este tipo de servidores, pero quería comentar que yo tuve problemas con la recolección de datos en el servidor (en linux). En cuanto cambiaron el script 'sebeksniff' por los 'sbk*', a mí me dejó de funcionar. En la documentación/textos sobre Sebek está la estructura utilizada para transmitir los datos, así que primero comprobé que el tráfico que generaba el cliente era correcto. Luego comprobé la salida de sbk_extract (puedes volcar la salida a hexdump, a un fichero, etc. y luego comprobar que recoge bien la carga de los paquetes), así que por algún motivo que no pude descubrir por falta de tiempo, estaba fallando sbk_ks_log. La solución que tomé fué hacer mi propio sbk_ks_log, porque conociendo la estructura en 20 minutos puedes hacer uno. Si ese es tu problema, dímelo y te paso el mío. Sobre el tema de registrar la salida de los comandos, en principio habría que monitorizar las llamadas a sys_write(), fijarse en que el descriptor de fichero fuera 1 ó 2, y a partir de aquí pulirlo un poco para que sólo se capturen datos de las 'shells', todo depende de cuánto ruido estemos dispuestos a capturar. Por lo que yo sé, no hay nadie trabajando en esto, aunque el que mejor lo sabrá es Ed Balas ;) Saludos, y feliz 2004! Tora "Antonio Javier G. M." <le...@ti...> va escriure: > Hola. > > He instalado la última versión de SEBEK en solaris y tengo algún > problemilla. > En linux me ha ido muy bien hasta ahora, en solaris la parte cliente > funciona bien (compilada a 64 bits, es invisible, el tráfico no se vé y todo > eso), y en el servidor recibo datos, sin embargo los datos parecen no estar > bien o el script en perl que los procesa no lo hace bien (no lo sé, tampoco > he probado a almacenarlo en base de datos, sólo quería probar en solaris a > ver si daba problemas). > > al cargar el módulo sebekhiden64 en un solaris 8 me aparece el siguiente > mensaje en /var/adm/messages: > > Dec 30 17:28:43 espia krtld: [ID 151736 kern.notice] > /root/sebeksol-2.05.03/client/sebekhide64 symbol > Dec 30 17:28:43 espia krtld: [ID 197480 kern.notice] open multiply defined > > Sin embargo el módulo parece cargarse correctamente y de hecho comienza a > enviar datos, no se vé con modinfo, en fin, como un auténtico LKM. > > En la máquina servidora recibo lo siguiente: > > moria:~# sbk_extract -i eth0 -p 12345 | sbk_ks_log.pl > monitoring eth0: looking for UDP dst port 12345 > malformed sebek record: data length=4 packet caplen=97 > malformed sebek record: data length=4 packet caplen=97 > malformed sebek record: data length=4 packet caplen=97 > malformed sebek record: data length=4 packet caplen=97 > .... > > ¿Tenéis idea de porqué ese "malforme sebek record"? ¿Puede ser que el script > no esté bien hecho? (No me he puesto a mirar, lo siento, no he tenido > tiempo). > > Con linux sin embargo, va estupendo. > > Ya que estamos, una pregunta más... sebek sólo almacena la entrada, ¿pero si > quisieramos almacenar entrada y salida de los comandos? ¿Sabéis si alguien > está trabajando en ese sentido? (algún parche para el sebek o algo similar). > > He probado un parche para la bash de honeynet que guarda los comandos que > tecleas, pero si saltas a otra máquina o abres una shell distinta ya no > graba nada. ¿Conocéis algún parche para bash que guarde a un nivel parecido > a sebek? (OJO!!! tiene que guardar incluso aunque saltes a otras máquinas o > abras varias aplicaciones por encima). > > Un saludo. |
From: Antonio J. G. M. <le...@ti...> - 2003-12-30 18:30:15
|
Hola. He instalado la última versión de SEBEK en solaris y tengo algún problemilla. En linux me ha ido muy bien hasta ahora, en solaris la parte cliente funciona bien (compilada a 64 bits, es invisible, el tráfico no se vé y todo eso), y en el servidor recibo datos, sin embargo los datos parecen no estar bien o el script en perl que los procesa no lo hace bien (no lo sé, tampoco he probado a almacenarlo en base de datos, sólo quería probar en solaris a ver si daba problemas). al cargar el módulo sebekhiden64 en un solaris 8 me aparece el siguiente mensaje en /var/adm/messages: Dec 30 17:28:43 espia krtld: [ID 151736 kern.notice] /root/sebeksol-2.05.03/client/sebekhide64 symbol Dec 30 17:28:43 espia krtld: [ID 197480 kern.notice] open multiply defined Sin embargo el módulo parece cargarse correctamente y de hecho comienza a enviar datos, no se vé con modinfo, en fin, como un auténtico LKM. En la máquina servidora recibo lo siguiente: moria:~# sbk_extract -i eth0 -p 12345 | sbk_ks_log.pl monitoring eth0: looking for UDP dst port 12345 malformed sebek record: data length=4 packet caplen=97 malformed sebek record: data length=4 packet caplen=97 malformed sebek record: data length=4 packet caplen=97 malformed sebek record: data length=4 packet caplen=97 .... ¿Tenéis idea de porqué ese "malforme sebek record"? ¿Puede ser que el script no esté bien hecho? (No me he puesto a mirar, lo siento, no he tenido tiempo). Con linux sin embargo, va estupendo. Ya que estamos, una pregunta más... sebek sólo almacena la entrada, ¿pero si quisieramos almacenar entrada y salida de los comandos? ¿Sabéis si alguien está trabajando en ese sentido? (algún parche para el sebek o algo similar). He probado un parche para la bash de honeynet que guarda los comandos que tecleas, pero si saltas a otra máquina o abres una shell distinta ya no graba nada. ¿Conocéis algún parche para bash que guarde a un nivel parecido a sebek? (OJO!!! tiene que guardar incluso aunque saltes a otras máquinas o abras varias aplicaciones por encima). Un saludo. |
From: David B. <to...@so...> - 2003-12-21 21:43:01
|
* David Barroso (dba...@s2...) wrote: > Una alternativa (o complemento) a chkrootkit. ¿Alguien lo ha utilizado? > > > Description: > Rootkit Hunter scans files and systems for known and unknown rootkits, > backdoors, and sniffers. The package contains one shell script, a few > text-based databases, and optional Perl modules. It should run on almost > every Unix clone. > > System requirements: UNIX (clone), BASH shell, Perl (optional) > Audience: System administrators, IT security experts > Homepage: http://www.rootkit.nl > Download: http://downloads.rootkit.nl/rkhunter-1.00RC1.tar.gz > Documentation: See FAQ for installation tips > (http://www.rootkit.nl/articles/rootkit_hunter_faq.html) > Development: developed on a FreeBSD system, tested on other platforms > like Red Hat Linux, Debian. > More information: http://www.rootkit.nl/projects/rootkit_hunter.html > > If you are interested, please test it so I can make this tool even better. > > Beware, 'false positives' are possible to this release. Are you in > doubt? Problems? Contact me (http://www.rootkit.nl/contact/) Bueno, parece que la gente ya está de vacaciones :) Yo sí que lo he probado, y bueno, siempre está bien tener complementos, pero tampoco hay que fiarse al 100%. Por ejemplo la detección de Sebek que hace. Hace un grep buscando la cadena adore en /proc/ksyms, lo que va además de ser una detección un poco simple ahora mismo no funcionaría, puesto que Sebek parece que ya no depende para nada (bueno sólo para el cleaner) de adore. Ya hablamos en la lista de HIS sobre esto, (y del documento que hablaba como detectar Sebek: http://www.phrack.nl/phrack62/p62-0x07.txt), así que consultad los archivos de la lista (http://his.sf.net) si estáis interesados. En fin, feliz navidad a todos :) |
From: Tora <tag...@us...> - 2003-12-11 18:41:27
|
Hola David, la función ap_popenf() es como la fopen() de C, pero al llamarla el propio servidor (Apache) hace algunas comprobaciones, además de cerrar el fichero de forma automática cuando no se va a usar más. Una de las comprobaciones, y que no creo se pueda modificar fácilmente (no lo encontré en su momento), es que no permite que se usen descriptores de ficheros por encima de 15 (fd > 15). Como durante las pruebas esto ocurrió alguna vez, decidí usar directamente fopen() que no tiene restricciones, aunque sea menos elegante. De todas formas, usando ap_popenf() debería funcionar el la mayoría de los casos y por eso lo dejé comentado, para repasar los casos en que se quejaba (cuando tenga tiempo ;) En cuanto pueda haré el parche y lo empaquetaré todo, aprovechando también para depurar un poco el código (y poner unos buenos comentarios, todos en castellano). Saludos y gracias. Tora David Barroso <to...@so...> va escriure: > Me parece una idea estupenda, enhorabuena Tora ;) > Tan sólo tengo una duda, > A que te refieres con: > * No utilizamos ap_popenf por la restriccion con > * el valor devuelto en el FD. > > > PD: envío el código completo. Cuando lo tenga definitivamente acabado, si > > interesa ya lo pasaré como parche para Sebek. > > A mi si me interesa, mándalo a la lista cuando lo tengas! :) |