Oh No AIX Security

Posted on July 5, 2012 by Simon Roses

[Español] Pues sí, estimados lectores, recientemente tuve que auditar entornos AIX (ya sabéis, esos UNIX propietarios de IBM), por lo que he pensado que sería interesante exponer una serie de consejos sobre cómo auditarlos.

[English] True, my dear readers, recently I had to perform an audit on AIX systems (you know, those proprietary IBM UNIX), so I thought it would be interesting to expose a series of tips on how to audit them.

Guías de seguridad AIX recomendadas: / Recommended AIX security guides:

AIX Security Expert
AIX Version 6.1: Security
Securing an IBM Aix Server
Hardening your AIX Security
Santosh Gupta’s passion for AIX

Algunos mis consejos para una rápida revisión:

• Revisar los permisos en el directorio /etc • Revisar y desactivar los servicios innecesarios en /etc/inted.conf, /etc/inittab, /etc/rc.nfs y /etc/rc.tcpip • Ejecutar el comando oslevel para obtener la versión • Ejecutar el comando instfix –I | grep ML para ver los parches instalados • Aunque parezca mentira recientemente salió una vulnerabilidad en Sendmail (CVE-2012-2200) • Revisar las políticas de seguridad y permisos de Java • El fichero /etc/motd tiene que incluir un mensaje corporativo • Determinar si se instaló con TCB, ejecutando: tcbck –y ALL • Buscar programas con SETUID / SETGID: find / ( -perm -004000 –o perm -002000 ) –type f -ls • Establecer el umask a los usuarios en /etc/security/user • Mirar en los directorios de /root y usuarios por certificados privados • Si tienes licencia de Nessus o Nexpose serán tus amigos, o Metasploit si eres más atrevido ;)

Some my tips for a quick review: • Review the permissions on /etc directory • Check and disable unnecessary services in /etc/inittab, /etc/rc.nfs, /etc/inted.conf and /etc/rc.tcpip • Execute the oslevel command to obtain the version • Execute the command instfix – I | grep ML to see installed patches • Oddly enough recently a vulnerability in Sendmail (CVE-2012-2200) was released • Review the security policies and permissions of Java • The /etc/motd file must include a corporate message • Determine if system was installed with TCB, run: tcbck – y ALL • Look for programs with SETUID / SETGID: find / \( -perm -004000 –o perm -002000 \) –type f –ls • Set the umask for users in /etc/security/user file • Look in /root and users directories for private certificates / keys • If you have a license for Nessus or Nexpose they are your friends, or Metasploit if you’re more daring ;)

Si sabemos Shell Scripting podemos automatizar prácticamente todo el proceso por lo que nuestra labor será más fácil, segura y rápida.

¿Y tú qué utilizas para auditar AIX?

If we know Shell Scripting we can automatize the entire process by which our work will be easier, safer and faster. What do you use for AIX audits?

— Simon Roses Femerling

Posted in Hacking, Pentest, Security | Tagged , , , , , , , | Leave a comment

Network Intelligence Analysis

Posted on June 20, 2012 by Simon Roses

Analizar tráfico de red es realmente apasionante y para este post he pensado que sería un tema de interés para los lectores. El tráfico aquí analizado es más a modo de hobby cuando estoy en redes públicas/abiertas como hoteles, cafés y aeropuertos :) Tiempo ha pasado desde que trabajaba como analista de IDS pero es un servicio que ofrecemos en VULNEX en materia de ciber seguridad.

Analyzing network traffic is really exciting and for this post I thought it would be an interesting topic to readers. The traffic analyzed here is more as a hobby when I’m in public/open networks as hotels, cafes and airports  Time has passed since I worked as an IDS analyst but it is a service that we offer at VULNEX in cyber security services.

Algunas de las herramientas que utilizo para mis análisis son: • NetworkMinerWiresharkXpicoSnort • Y herramientas exclusivas de VULNEX

Some of the tools that I use for my analysis are: • NetworkMinerWiresharkXpicoSnort • And custom VULNEX tools

Posted in Hacking, Pentest, Security, Technology | Tagged , , , , , , , , , | Leave a comment

Blackhat Europe 2012, MundoHackerTV and More

Posted on April 13, 2012 by Simon Roses

[Español] Llevaba demasiadas semanas sin escribir un post y no puede ser :) La verdad es que estoy bastante ocupado con VULNEX (startup especializada en ciberseguridad) pero he sacado un poco de tiempo para contaros las novedades.

[English] Too many weeks have passed without writing a post and that cannot be :) The truth is that I am quite busy with VULNEX (a cybersecurity startup) but I have taken a little time to tell you some news.

El pasado marzo se celebró el prestigioso congreso Blackhat Europe 2012 en Ámsterdam, en el que participé como ponente con una charla sobre inseguridad en Smartphone Apps, que tuvo muy buena acogida (gracias por el feedback!) y que podéis encontrar aquí.

Last March the prestigious conference Blackhat Europe 2012 was celebrated in Amsterdam in which I did participate as a speaker with a talk about insecurity in Smartphone Apps, which was very well received (thanks for the feedback!) – you can find it here.

Os recomiendo ver las otras ponencias y las herramientas presentadas en el Blackhat Arsenal, muchos temas interesantes!

I recommend you see the other talks and tools presented at the Blackhat Arsenal, many interesting topics!

Por otro lado la gente de MundoHackerTv me hizo una entrevista aprovechando el congreso que estoy seguro será de vuestro interés, ya que contaron con varios ponentes y personal de la organización.

On the other hand the people of MundoHackerTv made me an interview taking advantage of conference that I am sure will be of interest to you as they interviewed several speakers and staff.

Como veis sigo vivo y espero pronto poner un post en condiciones, hasta la próxima :)

As you can see I am still alive and I hope soon to put a nice post, until next time :)

— Simon Roses Femerling

Posted in Conference, Pentest, Security, Technology | Tagged , , , , , , , , , | Leave a comment