Hace poco contamos por aquí como instalar la última versión de OpenVAS en Fédora. Si prefieres trabajar con Ubuntu o una distribución derivada puedes seguir lo que se cuenta en ese mismo post salvo en algunos pequeños detalles:

• La instalación manual se hace descargando los paquetes desde esta dirección si usamos arquitectura i386 o desde este otra si nuestro sistema está compilado para 64 bits.
• Si queremos integrar el repositorio en nuestro sistema debemos de añadir la siguiente línea en nuestro fichero de fuentes de software (/etc/apt/sources.list):

  1	deb http://download.opensuse.org/repositories/security:/OpenVAS:/STABLE:/v4/xUbuntu_11.04/ ./

• Para añadir la firma de autenticación de los paquetes ejecutamos lo siguiente:

  1	sudo apt-key adv --keyserver hkp://keys.gnupg.net --recv-keys BED1E87979EAFD54</code>

• Ahora ya podemos instalar. Primero actualizamos la base de datos de paquetes (sudo apt-get update) y luego, si queremos una instalación que integre cliente y servidor en la misma máquina, ejecutamos lo siguiente:

  1	sudo apt-get install libopenvas4 libmicrohttpd10 openvas-scanner openvas-manager openvas-administrator greenbone-security-assistant gsd openvas-cli sqlite3

  Si sólo queremos la parte de servidor:

  1	sudo apt-get install libopenvas4 libmicrohttpd10 openvas-scanner openvas-manager openvas-administrator greenbone-security-assistant sqlite3

  Y para instalar sólo el cliente:

  1	sudo apt-get install libopenvas4 gsd openvas-cli

• Y ya casi. El último punto que nos falta a tener en cuenta es que los ficheros de configuración se encuentran aquí en el directorio /etc/default, así que será aquí donde tendremos que hacer las modificaciones necesarias para habilitar la conexión del cliente desde otra máquina si queremos una instalación distribuida.

OpenVAS es un scanner de vulnerabilidades de red de código abierto creado a partir de un fork de la versión 2 de Nessus que se convirtió en código propietario en su versión 3, allá por el año 2005. Si queremos instalar la última versión de OpenVAS, la 4, disponible en fase beta desde diciembre de 2010, tenemos que hacerlo manualmente. Existen indicaciones de como hacerlo para diferentes distribuciones en esta dirección pero, a mi parecer, son difíciles de seguir para quién no está bien familiarizado con la arquitectura que usa esta herramienta, he detectado algunos errores y no explican, por ejemplo, algo tan básico como la forma de realizar una instalación distribuida cliente-servidor que es uno de los puntos fuertes de la herramienta. Así que vamos allá.

ACTUALIZACIÓN: Desde el día 17 de marzo la versión 4 es ya definitiva (ya es casualidad que lo tuviera escrito desde una semana antes y que no mirara la lista de correo hasta días después ¿eh?). El procedimiento de instalación aquí descrito sigue siendo válido y si lo has seguido usando los repositorios se te habrán actualizado los últimos cambios de forma automática.

Para disponer de los paquetes necesarios podemos hacer dos cosas, descargarlos manualmente (de esta dirección si usas arquitectura de 64 bits o de esta otra si usas arquitectura i386) e instalarlos con rpm (o yum con la opción --localinstall) o, mucho más recomendable, añadir un nuevo repositorio a tu máquina para recibir las futuras actualizaciones. En este segundo caso debes de crear un nuevo archivo .repo (por ejemplo openvas.repo) en tu directorio /etc/yum.repos.d y copiar en él lo siguiente (o bajártelo diréctamente desde aquí):

1
2
3
4
5
6
7

[security_OpenVAS_STABLE_v4]
name=security:OpenVAS:STABLE:v4 (Fedora_14)
type=rpm-md
baseurl=http://download.opensuse.org/repositories/security:/OpenVAS:/STABLE:/v4/Fedora_14/
gpgcheck=1
gpgkey=http://download.opensuse.org/repositories/security:/OpenVAS:/STABLE:/v4/Fedora_14/repodata/repomd.xml.key
enabled=1

Lo siguiente que tenemos que hacer es decidir que instalar. Cómo decíamos antes, OpenVas tiene una estructura cliente servidor de forma que la parte del programa que realiza el escaneo propiamente dicho puede instalarse en una máquina diferente a aquella desde la que se lanza y monitoriza el análisis o, incluso, distribuirlo entre varias para aliviar la carga. Tenemos, así, la posibilidad de instalar servidores en diferentes puntos estratégicos de nuestra red y usar siempre el cliente desde nuestro ordenador de trabajo. Existe una detallada descripción de la arquitectura que se usa en esta dirección pero si no te interesa meterte en tantos detalles, échale al menos un vistazo a esta imagen para comprender lo que sigue:

El servidor de OpenVAS está formado por tres módulos (scanner, manager y administrator) y disponemos de tres posibles clientes para explotarlos: uno en línea de comando (openvas CLI), otro con una aplicación clásica de escritorio que usa las librerías qt4 (greenbone security desktop o gsd) y una tercera posibilidad que es acceder directamente a través de un navegador usando, para ello, el módulo denominado greenbone security assistant.

Y vamos a instalar. Si queremos hacer una instalación completa (cliente y servidor) en la misma máquina y estamos usando el repositorio que hemos puesto anteriormente, tenemos que instalar (recordad, como usuario root) los siguientes paquetes:

1

sudo yum install sqlite nmap libopenvas4 libmicrohttpd10  openvas-scanner openvas-manager openvas-administrator  greenbone-security-assistant gsd openvas-cli

Si lo que queremos es hacer una instalación sólo con la parte de servidor y, además, tener la posibilidad de conectarnos usando un navegador como cliente, instalaríamos lo siguiente:

1

sudo yum install sqlite nmap libopenvas4 libmicrohttpd10  openvas-scanner openvas-manager openvas-administrator  greenbone-security-assistant

Si queremos instalar sólo el cliente en línea de comandos:

1

sudo yum install libopenvas4 openvas-cli

Y, por último, si sólo quisieramos instalar la aplicación cliente de escritorio:

1

sudo yum install libopenvas4 gsd

Instalación completada. Ahora hay que poner esto en marcha. Si hemos realizado una instalación distribuida (servidor en una máquina y cliente en otra) lo primero que tenemos que hacer es unos cambios en la configuración del servidor ya que este, por defecto, arranca los servicios usado el parámetro --listen=127.0.0.1 de forma que no admite conexiones que no vengan de la propia máquina. Para corregir esto procedemos de la siguiente forma:

Si lo que queremos es poder conectarnos al servidor a través de un navegador web desde otra máquina, debemos de editar el fichero /etc/sysconfig/greenbone-security-assistant y localizar las siguientes líneas:

1
2
3
4
5

GSA_ADDRESS=127.0.0.1
...
ADMINISTRATOR_ADDRESS=127.0.0.1
...
MANAGER_ADDRESS=127.0.0.1

En el fichero original no aparecen todas así una debajo de otra ¿eh? Bien, pues lo único que tenemos que hacer es sustituir el 127.0.0.1 por la ip real de la máquina que actúa como servidor.

Si lo que queremos es usar el cliente de escritorio gsd desde otra máquina, el fichero que debemos de editar es /etc/sysconfig/openvas-manager. Localizamos ahora la siguiente línea y hacemos la misma operación que hemos descrito antes:

1

MANAGER_ADDRESS=127.0.0.1

¿Continuamos? Lo siguiente (aún en el servidor) sería añadir un primer usuario con privilegio de administrador (cualquiera de los clientes nos pedirá autenticación antes de darnos acceso). El siguiente comando nos creará un usuario llamado josemaria y nos pedirá de forma interactiva la contraseña para este:

1

sudo openvasad -c add_user -n josemaria -r Admin

A continuación generamos los certificados que también usaremos en la autenticación:

1

sudo openvas-mkcert -q<br/>sudo openvas-mkcert-client -n om -i

Y ya casi estamos. Para quién no lo conozca, un programa como este que analiza vulnerabilidades se parece en algunos aspectos a un antivirus: alguien tiene que actualizar de forma permanente que nuevas vulnerabilidades existen y de que forma reconocerlas. Al igual que actualizamos las “firmas” de nuestro antivirus necesitamos actualizar estos patrones de reconocimiento que en OpenVAS reciben el nombre de NVT’s Es por lo tanto necesaria una sincronización periódica. El siguiente script podría servirnos para ello. Además de la sincronización realiza la activación de servicios en el orden correcto de forma que deberíamos de usarlo antes de la primera conexión y después de cada reinicio de la máquina con el servidor:

1
2
3
4
5
6
7
8
9
10
11
12

sudo openvas-nvt-sync
sudo service openvas-manager stop
sudo service openvas-scanner stop
sudo openvassd
sudo openvasmd --migrate
sudo openvasmd --rebuild
sudo service openvas-administrator stop
sudo service openvas-manager stop
sudo service openvas-scanner restart
sudo service openvas-manager start
sudo service openvas-administrator start
sudo /etc/init.d/greenbone-security-assistant restart

Y con esto está todo. Si queremos asegurarnos o posteriormente cuando lancemos un cliente tenemos algún problema, existe un pequeño script que podemos descargar desde aquí y que, ejecutado con privilegios de root, nos permite verificar si nuestra instalación está correcta o, por el contrario, nos alertaría acerca de que es lo que nos falta. Si lo ejecutamos con el parámetro --server obviaría en esta comprobación todo lo referente a la instalación del cliente.

Ahora ya podemos empezar a auditar la red. El cliente de escritorio no crea entrada en ningún menú, así que lo tenemos que ejecutar a mano (pulsando Alt+F2 o directamente desde un terminal) con el comando gsd. En las siguientes ilustraciones se ve la pantalla de conexión y la principal del programa

Si preferimos usar el cliente web (mucho más ligero, la verdad) “apuntamos” con nuestro navegador al puerto 9392 de la máquina donde hemos instalado el servidor usando protocolo seguro https (por ejemplo https://192.168.1.217:9392 o https://localhost:9392 en caso de que lo tengamos todo en la misma máquina). A continuación tienes también los pantallazos de la ventana de login y la principal del cliente:

ACTUALIZACIÓN: En systenadmin nos cuentan como instalarlo en una Cent.OS además de algunas notas útiles sobre el escalado de eventos y la sobreescritura de alertas para evitar falsos positivos recurrentes.

ACTUALIZACIÓN (y II): y si prefieres instalarlo en Ubuntu échale un vistazo a estas notas adicionales.

Se acaba de presentar al público Intypedia, una enciclopedia visual de la Seguridad. Se trata de un proyecto de Criptored que ofrecerá vídeos educativos sobre esta materia.

Por el momento sólo hay dos entradas: un vídeo introductorio y una primera entrega (incrustada aquí abajo) sobre la historia de la criptografía y su desarrollo en Europa, pero en las próximas entradas contará con nombres como Arturo Ribagorda de la Universidad Carlos III o Gonzalo Álvarez Marañón del CSIC (¿recordais el Criptonomicón?)

Las entregas se acompañan de ejercicios (propuestos y resueltos) lo cual facilita muchísimo el uso de este material en la enseñanza. En el correo de presentación en Una al Día reproducen una nota de prensa con mucha más información sobre este proyecto.

Un cluster de 400 ordenadores para auditar la seguridad de una clave WPA en 10 minutos por 34$ (17$ si sólo queremos usar la mitad) mediante un ataque por fuerza bruta, la única posibilidad factible por el momento contra este sistema. Todo lo que necesitas, aparte de pagarles, es el ESSID de la red que quieres auditar, una captura de tráfico lo suficientemente grande (unos 10 Mbytes, indican en su FAQ) y una dirección de correo donde enviarte los resultados. Eso si, recuerda que se trata de una auditoria y que nadie te garantiza un resultado positivo.

Las tres últimas versiones de Windows (Vista, 2008 Server y Windows 7) son vulnerables a través del sistema de compartición de archivos e impresoras en red (SMB 2.0). Hablan de ello en Security by Default y en 48 bits y desde este último aseguran que, al contrario de lo que anuncia el descubridor de la vulnerabilidad, sería posible la ejecución remota de código. Mucha atención a los puertos 445 y 139 hasta que haya parche…

ACTUALIZACIÓN: En Invasión Tux han publicado un Escaner-exploit para esta vulnerabilidad.

Desde el blog de Kasrpersky Lab alertan de la reciente actividad de dos Troyanos que atacan a servidores del mundo Unix/Linux y para los cuales se han detectado varios centenares de incidencias. Kaspersky es parte interesada en este asunto, que duda cabe (¡su negocio son los sistemas antivirus!) y no se yo si los sistemas Linux son ya lo suficientemente rentables como objetivo para el malware como afirman en su texto, pero lo que si tengo claro es que, cuando llegue ese momento, nos encontraremos con muchos administradores descuidados y miles de usuarios tan incautos como los que tienen ahora mismo los sistemas de Microsoft. Así que quizás, por precaución, vaya siendo hora, de ir analizando alguna solución antivirus para nuestros sistemas. De entre los productos de software propietario tenemos disponibles versiones gratuitas para usuarios domésticos de, al menos, bitdefender, F-Prot , AVG, Panda (¡no actualizado desde el 2004!) y avast!. En software libre y hasta donde yo se sólo tenemos a ClamAv.

La última amenaza contra la seguridad que ataca un problema en Internet Explorer 7 (ya corregido con el parche MS09-002 publicado hace algo más de una semana) es, cuando menos, curiosa porque si usas cualquier versión de Microsoft Windows puede afectarte incluso aunque no sea este el navegador que usas de forma habitúal y predeterminada para moverte por Internet. ¿Cómo? Pues, como explican en este boletín del CERT porque se está usando un documento de word con un control ActiveX incrustado para explotarla y Word siempre usará Internet Explorer aunque nosotros tengamos seleccionado otro navegador como favorito. Más información en castellano en el boletín de Una al día y un gráfico muy fácil de entender de la forma de actuar de este virus en el blog de Trend Micro.

Microsoft acaba de publicar dos páginas dedicadas a informar sobre mecanismos de prevención y eliminación de Conficker, el gusano de moda en sus windows. Una de ellas está orientada al usuario doméstico y otra para profesionales. Ambas están en inglés.

Semana movidita para los que mantenemos varios sitios webs construidos sobre diferentes productos. Al lanzamiento de wordpress 2.7 tenemos que sumar las actualizaciones, estas por motivos de seguridad, de las versiones 6.8 y 5.14 de Drupal del jueves día 11 y la versión 3.0.4 de pbpBB de ayer viernes día 12. Paciencia…

El Internet Storm Center de Sans informa de que se está explotando un 0-day que afecta a Internet Explorer 7 corriendo en máquinas con Windows XP o Windows Server 2003 aunque estas estén al día de parches incluso con las actualizaciones de ayer martes. Aún no han estudiado que medidas pueden mitigar esta vulnerabilidad y aconsejan usar otro navegador mientras se evalúa el alcance y la difusión de la amenaza.

ACTUALIZACIÓN: Según Microsoft, la vulnerabilidad afecta a todas las versiones de Explorer y no sólo a la 7. La actualización en el apunte de SANS dice que también afecta a Vista y windows 2008 aunque por el momento no parece estar siendo explotada en estos sistemas.

ACTUALIZACIÓN y II: Ala, ya tenemos parche. Seguro que ha sido porque Enrique Dans lo ha chillado (con una semana de retraso y cuando lo ha leído en la prensa generalista…) ¡Y es que no hay nada como ser influyente!¡Ay!