10 may 2013

Mi análisis de Alienvault/OSSIM 4.2.1

Mi análisis de Alienvault/OSSIM 4.2.1:







A lo largo de un año conociendo las tripas de las redes de los clientes de Securízame, me propuse ver el estado de OSSIM, la rama libre de Alienvault, para proponerlo, si lo veía conveniente, en aquellos sitios que pudiera aportar valor.

Fue allá por 2005 cuando propuse montar OSSIM por primera vez en un gran cliente, como parte de un proyecto de seguridad que me resultó muy interesante. En aquella época, ni la tecnología hardware era todo lo potente que es ahora, ni las soluciones estaban tan evolucionadas. La idea del cliente era clave: Quiero una solución que me permita monitorizar el tráfico de mi red, y saber qué pasa, pero sin tener cientos de logs diferentes que mirar. 

Para los que no conozcáis OSSIM, deciros que estamos hablando de una herramienta de tipo SIEM que integra un montón de aplicaciones de seguridad, muchas de ellas de código abierto y de utilización libre, en una única plataforma. 

A grandes rasgos, a nivel hardware, la arquitectura es como la de cualquier entorno IDS. Se despliegan máquinas a modo de sondas, que por un interfaz escuchan todo el tráfico deseado, generalmente proveniente de un port mirroring (o port span o monitor session). El objetivo es tener un interfaz sin pila TCP/IP montada, que "se traga" una copia del tráfico existente en una VLAN. Cada sonda, dispone al menos de otro interfaz, esta vez con IP, perteneciente a una red de gestión por la que envía los eventos detectados a un servidor o colector. En esta máquina servidora existirá un proceso que recopilará esos eventos almacenándolos y generando alertas de mayor valor, al correlar diferente tipo de eventos.  

Aprovechando que las sondas reciben el tráfico en RAW, podemos elegir qué programas (o plugins) queremos que corran. En su día, Snort, ntopp0f y pads  eran los más usados (tampoco había muchas más) para monitorizar y detectar ataques, aplicaciones y sistemas operativos de forma pasiva, etc,.... Por otra parte, aporta bastante valor si además, incluímos algún analizador de vulnerabilidades como Nessus, por ejemplo, que luego permita correlar las vulnerabilidades existentes en nuestros sistemas, a partir de los resultados de nuestra propia auditoría, con los eventos detectados por las sondas. En 2005, esto era lo que había. Una consola centralizada que incluía de forma muy rudimentaria los accesos a los diferentes programas que corrían en las sondas.

Actualmente, OSSIM pasó de estar soportado por ITDeusto en España, a una compañía americana llamada Alienvault. Sin duda, la financiación y los recursos que Alienvault introdujo en OSSIM, hicieron que pasara de ser una solución libre, con bastante proyección, a ser una solución SIEM consolidada y admitida a competir, de tú a tú, con otras soluciones comerciales de fabricantes de primera división. 

Sin embargo, al igual que otras compañías que han "comprado" una solución libre, Alienvault mantiene la rama community completamente activa, nutriéndose de las experiencias de los usuarios para mejorar la versión comercial. 

Ocho años después, mi experiencia de montar OSSIM en 2005, a probarlo en 2013, ha sido totalmente diferente.


Para empezar, se nota que es mucho más "producto". La gente de Alienvault ha hecho todo lo posible para hacer que la instalación y configuración sea lo más "Next-> Next -> Next" posible. Mediante un menú ncurses, en las sondas, le indicas cuál serán los interfaces de escucha (que estarán sin IP y en modo promiscuo), cuáles son las redes montorizadas y cuál es el interfaz de gestión. Es interesante y cómodo, porque se supone que así se generarán los ficheros de configuración de todos los plugins que estén corriendo en la sonda, para analizar el tráfico del interfaz configurado como escucha. Otros parámetros como el hostname, un mail relay (que obligatoriamente deberá tener un usuario de correo y contraseña válidos), etc,… también se configurarán desde aquí. En la versión 4.1 (un par de meses antes) había una opción para acceder a una shell directamente como root dentro de la propia sonda. En versión 4.2, han añadido una opción llamada "Jailbreak this appliance" que te da una shell, pero te pide que indiques en una web, qué es lo que no puedes hacer vía menú para lo que necesitas una shell de root (obviamente con la idea de añadir, en vidas futuras, esas opciones al menú).

Los plugins actuales son diferentes y más variados que los de 2005. Además de snort, también corre suricata. Pads y p0f han sido sustituidos por Prads, y permite que levantes un montón de plugins más que permiten interactuar con soluciones de diferentes fabricantes como Stonesoft, checkpoint, juniper, Cisco, etc,…







Por otra parte, la consola de gestión, está bastante más evolucionada. Se accede vía web y permite tener al alcance de la mano todos los Assets de la organización. Estos pueden haber sido introducidos "a mano", o haber sido reconocidos mediante un escaneo planificado desde la propia consola. Para esta misión, OSSIM utiliza Nmap. Es decir, que permite inventariar nuestros assets y configurar un valor.

Además OSSIM incluye una versión de Nagios, que nos permita monitorizar todas aquellas máquinas/servicios que necesitemos.



Otras herramientas dignas de mención podría ser OSSEC como colector de eventos de máquinas que queramos que envíen sus eventos de agentes HIDS del mismo nombre. También puede resultar interesante la utilización de Alienvault/OSSIM como servidor OCS con la finalidad de inventariar el software de las máquinas que queramos, a fin de contar con más información para correlar.



Asimismo, nos permite planificar análisis de vulnerabilidades de los assets, utilizando Openvas o Nessus, según elijamos, o si el cliente tiene una licencia previa, se puede configurar.









Mis conclusiones:
  • Como ya he dicho antes, Alienvault ha hecho bastante por OSSIM, permitiendo que la versión libre y la comercial se retroalimenten, lo cuál es beneficioso para ambas. Ossim dispone de un mantenimiento y una evolución, y Alienvault mejora un producto que luego vende a clientes, y a un precio nada barato por cierto.
  • Como ventajas de la versión Pro podríamos destacar, la cantidad de directivas de correlación de eventos que vienen hechas, es mucho más rica en la pro, aunque en la libre puedes añadir lo que quieras manualmente; la gestión de sondas en la versión libre, los vitals o stats de la máquina, es únicamente la del servidor, y en la pro puedes ver stats de cada sonda en un formato gráfico muy trabajado. 
  • Desde un punto de vista de guardar TODOS los eventos, sean o no falsos positivos, OSSIM no permite configurar (o al menos no he encontrado cómo hacerlo) qué eventos quiero definir como falsos positivos, para que no vuelvan a aparecer. Me pregunto yo: ¿qué sentido tiene guardar eventos producidos por mis propias máquinas que sé positivamente que son falsos positivos? Según Alienvault puedes crear una directiva para que no aparezcan pero,… ¿no es más sencillo una opción que te permita hacer un "mute" a esa regla, o crear una excepción?
  • Cuando planificas una auditoría con Openvas o Nessus, te aparecerán alertas de ataques de tus propias sondas. Obviamente, estoy auditando internamente máquinas. ¿Tampoco existe una forma sencilla de añadir direcciones IP a una lista blanca para que no aparezcan nunca como origen?
  • Asimismo, cuando aparecen hosts nuevos, aunque los borres la primera vez, si vuelves a hacer una auditoría, vuelven a aparecer. Esto es más un "nice-to-have" que un "must", pero estaría bien que OSSIM "aprendiera" lo que le dices respecto a direcciones IP anteriormente borradas. 
  • La integración con Nagios no está tan lograda como se debería. Sí, te crea automáticamente un fichero con la configuración del asset que quieres monitorizar, pero a la hora de enviar las alertas, hay que tocar el fichero de configuración de Nagios a mano, indicando las direcciones de correo, grupos, etc, a los que hay que notificar cuando haya algún problema en la monitorización de los assets. ¿No debería esto hacerse automáticamente desde la consola?
  • En esta instalación, en el despliegue de un cliente, me dí cuenta que NTOP no monitorizaba el tráfico de los interfaces de red deseados. Buscando los ficheros de configuración, en /var/lib/ntop/init.cfg, la variable INTERFACES estaba siempre con valor "lo" (es decir, localhost)… y con los menús no había manera de hacer que cambiase. Se supone que cuando configuras qué interfaz es el de escucha de tráfico, esto debería modificarse automáticamente. Hablando con gente interna de Alienvault, efectivamente en la versión 4.2.1 hay un bug que no actualiza ese fichero. Si se viene de un upgrade de la 4.1 (como era en mi laboratorio) esto sí que funciona correctamente.
  • Sigo teniendo múltiples problemas con la configuración de envío de correos indicándole un servidor, tanto desde la consola, como un relay desde las sondas. En mi laboratorio funciona correctamente. En la instalación del cliente, una 4.2.1 pura, ni siquiera hace ademán de enviar un correo (comprobado con un tcpdump -n -i eth0 port 25), teniendo un hostname en formato FQDN.
  • Si bien la documentación existente a disposición de los mortales me parece bastante pobre, el producto en sí es bastante intuitivo de usar por lo que para cosas más avanzadas como la creación de directivas complejas sería deseable que no se guardasen todo para la versión de pago.
  • En cuanto a consumo de recursos, si os animais a probarlo, os emplazo a que tengáis cuanta más RAM mejor, puesto que todos los procesos que corren en OSSIM, devoran memoria como si no hubiera un mañana.
  • Por lo demás, me parece un producto que va en la dirección correcta. Imagino que en la versión free pasa como Fedora con RedHat, en la que los usuarios son los testers de las últimas funcionalidades, con lo bueno y con lo malo que esto tiene. La información que provee es bastante buena y permite aunar en un mismo framework la consola de monitorización de assets, herramientas de monitorización de tráfico de red como NTOP, así como correlar ataques detectados con sistemas operativos/versiones de aplicaciones existentes en la organización junto a auditorías de herramientas automatizadas como Openvas o Nessus con reportes integrados. 

Buscador de Exploits con tecnología Google

Buscador de Exploits con tecnología Google:

Buscador de Exploits Buscador de Exploits con tecnología Google

Una de las tareas que realizamos cuando estamos en las labores de pentest, es buscar fallos de seguridad conocidos en las aplicaciones y servicios que encontramos en la etapa de enumeración, normalmente realizamos estas búsquedas en bases de datos de exploits como 1337day, exploit-db y todos estos servicios que enumeramos cuando murió el proyecto milw0rm.

Buscador de Exploits Buscador de Exploits con tecnología Google

Buscar manualmente en todas esas bases de datos es bastante desgastante, por ese motivo y aprovechando que puedo utilizar los servicios de Google para realizar búsquedas en sitios web específicos, en la comunidad decidimos sacar un con tecnología Google, en este buscador encontraremos los resultados de todos los servicios que enumeramos anteriormente y ofrecemos los resultados de todas las bases de datos de en una sola pagina.


Pero nosotros no fuimos los primeros en tener esta idea y Shodan hace unos meses también saco su propio buscador de exploits, que utiliza también como fuente para sus resultados algunos de las base de datos de exploits mas populares que tenemos en la red, puedes hacer tus búsquedas en el buscador de Shodan directamente desde el siguiente formulario y ahorrar tiempo.


Un buscador de exploits Chino no tan conocido pero que ofrece buenos resultados es Sebug, como la idea con esta herramienta no es tener exclusividad sino que quienes la usen encuentren lo que están buscando, también les dejo un formulario dentro del mismo sitio para que puedan realizar búsquedas en Sebug desde esta misma pagina.


Actualizado 29/03/2013:

Gracias a N30N3t quien en los comentarios nos recomienda otro buscador llamado ExploitSearch.net, paso a poner también su formulario para almacenar en un solo enlace (que espero ahora haga parte de tus favoritos).


Espero que tanto el Buscador de Exploits con tecnología Google que realizamos en La Comunidad, como los otros buscadores de exploits te sean de utilidad; De momento sacamos resultados de las siguientes fuentes:

  • http://www.1337day.com
  • http://www.exploit-db.com
  • http://ariko-security.com/index-7.html
  • http://cxsecurity.com/exploit
  • http://nvd.nist.gov
  • http://osvdb.org
  • http://packetstormsecurity.com
  • http://sebug.net
  • http://secunia.com/advisories/historic
  • http://www.expbase.com
  • http://www.securelist.com/en/advisories
  • http://www.security-database.com
  • http://www.securityhome.eu

Si conoces otra base de datos de exploits, que sea indexable por Google, solo déjala en los comentarios y con gusto la añadiremos a nuestro buscador de exploits.


Evil FOCA – Manual NO Oficial

Evil FOCA – Manual NO Oficial:
Manual Evil FOCA 0 Evil FOCA   Manual NO Oficial
Hace unos días leía en el lado del mal que los chicos de informatica64 publicaron la Evil FOCA, una herramienta que estaban prometiendo publicar hace un tiempo y que permite realizar ataques a redes IPv4 e , como viene siendo habitual con las ’s trataré de hacer el Manual NO Oficial de esta herramienta, para que podamos sacarle el máximo provecho a la misma.
Manual Evil FOCA 0 Evil FOCA   Manual NO Oficial
Lo primero que nos encontramos al abrir la herramienta (después de seleccionar la interface que vamos a sniffear) es una interface simple, similar a la FOCA tradicional que básicamente consta de los siguientes elementos:
Manual Evil FOCA Evil FOCA   Manual NO Oficial
  • #1 – Menú superior de la , donde encontraremos las opciones de configuración, Cerrar programa y los créditos.
  • #2 – Pestaña de Ataques, En estas pestañas se enumeran los diferentes ataques que se pueden hacer con la FOCA y sus configuraciones.
  • #3 – Listado de todas las maquinas que se van descubriendo en nuestra red, con su IPv4 e IPv6
  • #4 – En este bloque se muestran las opciones de configuración de cada ataque.
  • #5 – Ventana informativa con la descripción de cada ataque.
  • #6 – En este panel podemos ver los ataques que están en ejecución, también podemos activarlos o desactivarlos.
  • #7 – Botones para buscar vecinos (con las diferentes opciones enumeradas por chema), buscar router y añadir manualmente otros equipos si sabemos que se encuentran en la red.
  • #8 Ventana de log´s donde se va mostrando lo que acontece con la herramienta.
  • #9 – Publicidad Maligna }:-P
El primero de los ataques que encontramos, son los ataques a las redes IPv6, que dieron origen a los post de elladodelmal, los libros de informatica64 sobre el tema y la misma evil foca, estos ataques a redes IPv6 y en especial el ataque SLAAC están muy bien documentados en los siguientes post:
Manual Evil FOCA 1 Evil FOCA   Manual NO Oficial
El segundo ataque que nos permite realizar la foca es el de “Hombre en el Medio” utilizando ARP Spoofing en IPv4, para esto solo seleccionamos la puerta de enlace de nuestra red y la dirección ip de nuestra victima, después damos al botón start para hacerle creer a la victima que somos la puerta de acceso y a la puerta de acceso que somos la victima, consiguiendo de esta forma que el trafico en las 2 direcciones pase siempre por nosotros.
Manual Evil FOCA 2 Evil FOCA   Manual NO Oficial
En la misma pestaña de ataques MiTM a IPv4 encontramos el ataque DHCP ACK Injection, que pone nuestra maquina como un servidor DHCP falso en la red, logrando que todos los clientes nuevos que se conecten a la red mientras lancemos el ataque envíen sus peticiones a nosotros como si fuéramos la puerta de enlace.
Manual Evil FOCA 3 Evil FOCA   Manual NO Oficial
El siguiente ataque en la lista de pestañas, es una denegación de servicio en IPv6, normalmente el ataque causaría un consumo del 99% en la CPU, a equipos con Windows 7 o Vista, pero lo he probado contra un Macbook usando Mountain Lion y aunque no se notaron aumentos en en el consumo de recursos, si quedamos sin conexión en la victima mientras el ataque estaba activo. (una herramienta que nos permite ajusticiar en sitios públicos aquellos que se consumen todo el ancho de banda con sus vídeos de YouTube o sus Descargas por Torrent icon wink Evil FOCA   Manual NO Oficial )
Manual Evil FOCA 4 Evil FOCA   Manual NO Oficial
En la Evil FOCA también existe un apartado para los ataques de denegación de servicios en IPv4, en esta ocasión podemos especificar la dirección de la victima y con que equipo queremos impedir que se comunique, lo mas común es denegar el acceso a la puerta de acceso, pero podríamos impedir la comunicación con cualquier otra ip de la red.
Manual Evil FOCA 5 Evil FOCA   Manual NO Oficial
Finalmente el ultimo ataque que nos proporciona la Evil FOCA es el de DNS Hijacking, que nos permite suplantar un dominio o todos los dominios por la dirección ip que nosotros deseemos, primero hacemos un ataque MiTM a cualquier ip suplantando la puerta de acceso y luego simplemente lanzamos el ataque, consiguiendo en nuestro caso que toda las paginas visitadas por la ip 192.168.1.254 apunten a la ip de google 173.194.37.50.
Manual Evil FOCA 6 Evil FOCA   Manual NO Oficial
Esos son todos los ataques que nos permite realizar la Evil FOCA de momento (recordemos que aun esta en alpha), espero que en próximas versiones añadan la funcionalidad que me hizo mas falta al utilizar la herramienta y es un panel para ver los datos que esta capturando el sniffer, también con el tiempo se podrían implementar filtros para estos datos y separar por ejemplo los passwords, las cookies, las conversaciones, las paginas vistas, etc… como lo hacen herramientas como Intercepter-NG o el mismo Cain & Abel.
En conclusión Evil FOCA es una herramienta para realizar ataques a redes que tiene como característica diferenciadora la posibilidad de realizar ataques sobre IPv6, es una herramienta fácil e intuitiva, con buenas funcionalidades y que definitivamente promete, pero de momento no la utilizaría en entornos de producción, mientras se sigue con el desarrollo de la Evil FOCA seguiré usando para ataques MiTM en entornos Windows Intercepter-NG o Cain & Abel.

Para descargar la Evil FOCA o mas información, visita su pagina OFICIAL

Parseando pcaps con tshark

Parseando pcaps con tshark:
filters wireshark Parseando pcaps con tshark
En una investigación en la que tenemos que tratar tráfico de red, si no contamos con algunos tricks puede ser una tarea bastante tediosa.
Una de las primeras cosas que tendremos que saber es:
¿Qué queremos obtener?
Imaginad que estamos en un equipo anti-fraude y tenemos que mandar a cerrar al ISP aquellos dominios relacionados con phishing o malware. En este caso nos dará igual las peticiones GET o POST (aunque también son útiles), lo más rápido que buscaremos son las peticiones DNS, por ejemplo. En este caso no hará falta que revisemos el entero, podríamos directamente extraer las peticiones DNS, si además lo podemos scriptar mucho mejor, por si hay que mirar mucha cantidad de paquetes.
¿Que herramientas nos pueden ayudar?
Bueno, en este caso mostraré la versión GUI de la herramienta y luego la versión consola, que es de lo que trata el artículo icon wink Parseando pcaps con tshark
Esta imagen nos debería de ser muy familiar, se trata de Wireshark, este programa nos sirve entre otras cosas para capturar el tráfico de red.
Si abrimos un pcap podemos ver gráficamente todo el flujo de datos, además podremos aplicar filtros para hacer las búsquedas que necesitemos.
filters wireshark 300x292 Parseando pcaps con tshark
Seleccionando el filtro adecuado podríamos obtener por pantalla el resultado del filtro en el pcap.
A mi me encantan las interfaces GUI, pero reconozco que es mucho más rápido y, además puedes procesar mas cantidad de información el poder usar alguna herramienta del tipo command line.
En este caso usaremos , la versión de consola de Wireshark.
Se puede encontrar en los repositorios, para instalarlo solo hemos de hacer:
apt-get install tshark
Vamos a ver unos ejemplos para obtener cierta información de un pcap.
Extrayendo peticiones DNS
Para extraer peticiones DNS de un pcap tendríamos que lanzar tshark de la siguiente forma:
tshark -r PCAP -T fields -e ip.src -e dns.qry.name -R “dns.flags.response eq 0″
En este caso veríamos por pantalla:
dns querys 300x161 Parseando pcaps con tshark
Extrayendo User-agents
En una determinada investigación, puede ser útil extraer los user agents del pcap, la sentencia de tshark sería:
tshark -nn -r PCAP -T fields -e ip.src -e http.user_agent -R “http.user_agent”
Por pantalla podemos ver los resultados
user agent pcap 300x129 Parseando pcaps con tshark
Extrayendo peticiones MYSQL
Imaginad que en una investigación una base de datos forma parte de la investigación, también podemos extraer facilmente información del pcap
La sentencia de tshark sería:
tshark -r PCAP -d tcp.port==3306,mysql -T fields -e mysql.query
Por pantalla podemos ver los resultados de nuevo:
mysql querys pcap 300x155 Parseando pcaps con tshark
Peticiones GET:
Si queremos de manera rápida, extraer las peticiones GET, con tshark realizamos:
tshark -r PCAP -R “http.request.method==GET”
Por pantalla nos muestra:
GET querys 300x92 Parseando pcaps con tshark
Aunque hemos visto que podemos extraer información de un pcap, con tshark, podremos también capturar tráfico de red y pedir con filtros tráfico específico
Capturar peticiones HTTP:
La sentencia con tshark sería:
tshark ‘tcp port 80 and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0)’ -R ‘http.request.method == “GET” || http.request.method == “HEAD”‘
Y lo que veríamos en el output de tshark es:
190.302141 192.168.0.199 -> 74.125.77.104 HTTP GET / HTTP/1.1

190.331454 192.168.0.199 -> 74.125.77.104 HTTP GET /intl/en_com/images/srpr/logo1w.png HTTP/1.1
190.353211 192.168.0.199 -> 74.125.77.104 HTTP GET /images/srpr/nav_logo13.png HTTP/1.1190.400350 192.168.0.199 -> 74.125.77.100 HTTP GET /generate_204 HTTP/1.1
En este artículo hemos visto como podemos con tshark extraer información de un pcap, además de como podemos capturar tráfico aplicando un filtro específico.
No he podido encontrar un cheatsheet de tshark, ¿Te animas a compartir algún script con tshark?

SSLScan, comprueba la seguridad de tu SSL

SSLScan, comprueba la seguridad de tu SSL:
Siempre se ha dicho que es más fácil ser atacante que no defensor. El que ataca normalmente buscará todos los vectores de entrada posible, cuando crea que ha encontrado uno lo atacará.
El defensor en cambio solo le resta ir revisando sus niveles de  para que no le ataquen.
Una de las cosas que se han de revisar es el , desde hace dos años atrás están saliendo ataques relacionados con el y no está de mas revisar el de nuestros servidores en la DMZ y en los servidores internos.
Una de las herramientas que nos pueden ayudar es .
En distribuciones como Ubuntu lo podremos instalar haciendo
apt-get install sslscan 
Una vez instalado, lo iniciamos y vemos las opciones disponibles.
darkmac:~ marc$ sslscan
_
___ ___| |___ ___ __ _ _ __
/ __/ __| / __|/ __/ _` | '_ \
\__ \__ \ \__ \ (_| (_| | | | |
|___/___/_|___/\___\__,_|_| |_|

Version 1.8.0

http://www.titania.co.uk

Copyright Ian Ventura-Whiting 2009

SSLScan is a fast SSL port scanner. SSLScan connects to SSL
ports and determines what ciphers are supported, which are
the servers prefered ciphers, which SSL protocols are
supported and returns the SSL certificate. Client
certificates / private key can be configured and output is
to text / XML.

Command:
sslscan [Options] [host:port | host]

Options:
--targets=&lt;file&gt; A file containing a list of hosts to
check. Hosts can be supplied with
ports (i.e. host:port).
--no-failed List only accepted ciphers (default
is to listing all ciphers).
--ssl2 Only check SSLv2 ciphers.
--ssl3 Only check SSLv3 ciphers.
--tls1 Only check TLSv1 ciphers.
--pk=&lt;file&gt; A file containing the private key or
a PKCS#12 file containing a private
key/certificate pair (as produced by
MSIE and Netscape).
--pkpass=&lt;password&gt; The password for the private key or
PKCS#12 file.
--certs=&lt;file&gt; A file containing PEM/ASN1 formatted
client certificates.
--starttls If a STARTTLS is required to kick an
SMTP service into action.
--http Test a HTTP connection.
--bugs Enable SSL implementation bug work-
arounds.
--xml=&lt;file&gt; Output results to an XML file.
--version Display the program version.
--help Display the help text you are now
reading.
Example:
sslscan 127.0.0.1</blockquote>
Como veis nos permite afinar el tipo de escaneo, además podemos incluso exportar los resultados.

Vamos a escanear una página cualquiera:
<blockquote>darkmac:~ marc$ sslscan www.minhacienda.gov.co
_
___ ___| |___ ___ __ _ _ __
/ __/ __| / __|/ __/ _` | '_ \
\__ \__ \ \__ \ (_| (_| | | | |
|___/___/_|___/\___\__,_|_| |_|

Version 1.8.0

http://www.titania.co.uk

Copyright Ian Ventura-Whiting 2009

Testing SSL server www.minhacienda.gov.co on port 443

Supported Server Cipher(s):
Rejected N/A SSLv2 168 bits DES-CBC3-MD5
Rejected N/A SSLv2 56 bits DES-CBC-MD5
Rejected N/A SSLv2 40 bits EXP-RC2-CBC-MD5
Rejected N/A SSLv2 128 bits RC2-CBC-MD5
Accepted SSLv2 40 bits EXP-RC4-MD5
Accepted SSLv2 128 bits RC4-MD5
Rejected N/A SSLv3 128 bits ADH-SEED-SHA
Rejected N/A SSLv3 128 bits DHE-RSA-SEED-SHA
Rejected N/A SSLv3 128 bits DHE-DSS-SEED-SHA
Rejected N/A SSLv3 128 bits SEED-SHA
Rejected N/A SSLv3 256 bits ADH-AES256-SHA
Rejected N/A SSLv3 256 bits DHE-RSA-AES256-SHA
Rejected N/A SSLv3 256 bits DHE-DSS-AES256-SHA
Rejected N/A SSLv3 256 bits AES256-SHA
Rejected N/A SSLv3 128 bits ADH-AES128-SHA
Rejected N/A SSLv3 128 bits DHE-RSA-AES128-SHA
Rejected N/A SSLv3 128 bits DHE-DSS-AES128-SHA
Rejected N/A SSLv3 128 bits AES128-SHA
Accepted SSLv3 168 bits ADH-DES-CBC3-SHA
Accepted SSLv3 56 bits ADH-DES-CBC-SHA
Rejected N/A SSLv3 40 bits EXP-ADH-DES-CBC-SHA
Accepted SSLv3 128 bits ADH-RC4-MD5
Rejected N/A SSLv3 40 bits EXP-ADH-RC4-MD5
Rejected N/A SSLv3 168 bits EDH-RSA-DES-CBC3-SHA
Rejected N/A SSLv3 56 bits EDH-RSA-DES-CBC-SHA
Rejected N/A SSLv3 40 bits EXP-EDH-RSA-DES-CBC-SHA
Rejected N/A SSLv3 168 bits EDH-DSS-DES-CBC3-SHA
Rejected N/A SSLv3 56 bits EDH-DSS-DES-CBC-SHA
Rejected N/A SSLv3 40 bits EXP-EDH-DSS-DES-CBC-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 56 bits DES-CBC-SHA
Accepted SSLv3 40 bits EXP-DES-CBC-SHA
Rejected N/A SSLv3 40 bits EXP-RC2-CBC-MD5
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted SSLv3 40 bits EXP-RC4-MD5
Rejected N/A SSLv3 0 bits NULL-SHA
Rejected N/A SSLv3 0 bits NULL-MD5
Failed N/A TLSv1 128 bits ADH-SEED-SHA
Failed N/A TLSv1 128 bits DHE-RSA-SEED-SHA
Failed N/A TLSv1 128 bits DHE-DSS-SEED-SHA
Failed N/A TLSv1 128 bits SEED-SHA
Failed N/A TLSv1 256 bits ADH-AES256-SHA
Failed N/A TLSv1 256 bits DHE-RSA-AES256-SHA
Failed N/A TLSv1 256 bits DHE-DSS-AES256-SHA
Failed N/A TLSv1 256 bits AES256-SHA
Failed N/A TLSv1 128 bits ADH-AES128-SHA
Failed N/A TLSv1 128 bits DHE-RSA-AES128-SHA
Failed N/A TLSv1 128 bits DHE-DSS-AES128-SHA
Failed N/A TLSv1 128 bits AES128-SHA
Failed N/A TLSv1 168 bits ADH-DES-CBC3-SHA
Failed N/A TLSv1 56 bits ADH-DES-CBC-SHA
Failed N/A TLSv1 40 bits EXP-ADH-DES-CBC-SHA
Failed N/A TLSv1 128 bits ADH-RC4-MD5
Failed N/A TLSv1 40 bits EXP-ADH-RC4-MD5
Failed N/A TLSv1 168 bits EDH-RSA-DES-CBC3-SHA
Failed N/A TLSv1 56 bits EDH-RSA-DES-CBC-SHA
Failed N/A TLSv1 40 bits EXP-EDH-RSA-DES-CBC-SHA
Failed N/A TLSv1 168 bits EDH-DSS-DES-CBC3-SHA
Failed N/A TLSv1 56 bits EDH-DSS-DES-CBC-SHA
Failed N/A TLSv1 40 bits EXP-EDH-DSS-DES-CBC-SHA
Failed N/A TLSv1 168 bits DES-CBC3-SHA
Failed N/A TLSv1 56 bits DES-CBC-SHA
Failed N/A TLSv1 40 bits EXP-DES-CBC-SHA
Failed N/A TLSv1 40 bits EXP-RC2-CBC-MD5
Failed N/A TLSv1 128 bits RC4-SHA
Failed N/A TLSv1 128 bits RC4-MD5
Failed N/A TLSv1 40 bits EXP-RC4-MD5
Failed N/A TLSv1 0 bits NULL-SHA
Failed N/A TLSv1 0 bits NULL-MD5

Prefered Server Cipher(s):
SSLv2 40 bits EXP-RC4-MD5
SSLv3 168 bits ADH-DES-CBC3-SHA

SSL Certificate:
El output generado es un poco feo, en el sentido de que nos ha sacado las pruebas fallidas, vamos a lanzar el escaneo y que solo nos extraiga los datos útiles.
darkmac:~ marc$ sslscan --no-failed www.agenciatributaria.gob.es
_
___ ___| |___ ___ __ _ _ __
/ __/ __| / __|/ __/ _` | '_ \
\__ \__ \ \__ \ (_| (_| | | | |
|___/___/_|___/\___\__,_|_| |_|

Version 1.8.0

http://www.titania.co.uk

Copyright Ian Ventura-Whiting 2009

Testing SSL server www.agenciatributaria.gob.es on port 443

Supported Server Cipher(s):
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5

Prefered Server Cipher(s):
SSLv3 128 bits RC4-SHA
TLSv1 128 bits RC4-SHA

SSL Certificate:
Version: 2
Serial Number: 2954
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=ES/O=FNMT-RCM/OU=AC APE
Not valid before: Jan 11 11:50:38 2010 GMT
Not valid after: Jan 11 11:50:38 2014 GMT
Subject: /C=es/O=FNMT-RCM/OU=AC APE/OU=500070015/CN=www.agenciatributaria.gob.es
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:b1:5d:5f:64:28:89:24:58:03:37:d7:da:99:35:
b6:7a:69:e0:9d:c8:99:d3:65:14:60:41:78:0b:04:
66:bd:ef:9e:86:b2:5e:6f:b0:ad:61:3b:a3:7e:a2:
55:3b:40:e9:2e:39:3c:95:dc:f8:5e:3f:c9:d3:f0:
28:32:9a:0f:ec:c7:da:b6:30:85:fd:0b:09:81:53:
a7:93:c6:fa:b6:ba:3f:82:9f:c6:b9:43:dc:1e:88:
8d:7a:1f:31:9b:a9:de:ea:60:60:10:8a:fa:a8:2b:
8b:bc:a6:0a:ff:64:92:c8:a5:df:43:35:33:4a:13:
fa:a4:d3:f6:92:86:e3:16:fd:2f:a7:8b:52:7a:24:
f5:43:1e:01:c7:bc:60:be:24:95:05:d7:1e:15:99:
4d:83:2c:74:26:aa:81:98:ad:60:48:8b:bc:71:cc:
19:8a:cb:9f:43:ac:d0:8e:2c:41:be:17:8b:6e:6b:
a5:b4:f8:e3:55:a8:c1:45:5f:15:0d:38:85:f6:5d:
da:f3:ff:41:90:99:38:84:c5:53:30:ab:a5:a9:12:
12:e0:cf:43:fa:57:8f:17:51:2a:5d:c5:55:59:7b:
e5:21:78:96:68:36:4d:7e:4a:9f:be:06:01:6d:77:
84:73:ec:d3:13:82:fe:09:00:60:64:e8:0e:4e:97:
47:17
Exponent: 65537 (0x10001)
X509v3 Extensions:
X509v3 Subject Alternative Name:
DirName:/1.3.6.1.4.1.5734.1.15=Q2826000H/1.3.6.1.4.1.5734.1.14=AGENCIA ESTATAL DE ADMINISTRACI\xD3N TRIBUTARIA/1.3.6.1.4.1.5734.1.8=www.agenciatributaria.gob.es, DNS:www.agenciatributaria.gob.es
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Subject Key Identifier:
49:22:23:54:F3:4C:96:92:42:00:43:E5:51:72:BD:39:B6:4A:0F:8A
X509v3 Authority Key Identifier:
keyid:63:4B:74:5B:07:BF:E8:66:D1:5A:2C:5F:CB:F9:79:6E:A0:8C:AE:27

Netscape Cert Type:
SSL Server, S/MIME
X509v3 Certificate Policies:
Policy: 1.3.6.1.4.1.5734.3.12
CPS: http://www.cert.fnmt.es/dpcs/
User Notice:
Explicit Text: Sujeto a las condiciones de uso expuestas en la Declaraci?n de Pr?cticas de Certificaci?n de la FNMT-RCM (C/Jorge Juan 106-28009-Madrid-Espa?a)

1.3.6.1.4.1.5734.1.33:
..SEDE ELECTRONICA
qcStatements:
0.0......F..0......F..0...EUR......0......F.....
Authority Information Access:
OCSP - URI:http://ocspape.cert.fnmt.es/ocspape/OcspResponder
CA Issuers - URI:http://www.cert.fnmt.es/certs/ACRAIZFNMT.crt

X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 CRL Distribution Points:
URI:ldap://ldapape.cert.fnmt.es/CN=CRL9,OU=AC%20APE,O=FNMT-RCM,C=ES?certificateRevocationList;binary?base?objectclass=cRLDistributionPoint
URI:http://www.cert.fnmt.es/crlsape/CRL9.crl

Verify Certificate:
unable to get local issuer certificate
Como veis, ha sacado los datos útiles por pantalla.
Una de las cosas mas interesantes de la herramienta es que permite cargarle un fichero con una lista de dominios para poder escamar uno detrás del otro.
Unos de los ataques mas sonados en SSL es el ataque Crime, la presentación sobre el ataque la podéis consultar aquí => http://netifera.com/research/crime/CRIME_ekoparty2012.pdf
En el artículo de hoy hemos aprendido a usar SSLScan para comprobar la seguridad SSL de tus servidores.