[27/04/2021] Como profesional de la infoseguridad, es posible que ya esté familiarizado con herramientas de seguridad y monitorización de redes de hace décadas, como Nmap, Wireshark o Snort, y con descifradores de contraseñas como Ophcrack. Tener estas aplicaciones a su disposición ha sido una parte indispensable del trabajo.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
¿Cuáles son otras herramientas y servicios gratuitos de los que puedes beneficiarse? La siguiente lista de casi dos docenas de herramientas y servicios incluye desde descifradores de contraseñas hasta descompiladores de software, pasando por sistemas de gestión de vulnerabilidades y analizadores de redes. Sea cual sea su función de seguridad, encontrará algo útil en esta lista.
Aquí están, sin ningún orden en particular, las 21 mejores herramientas de seguridad gratuitas:
Maltego
Originalmente desarrollada por Paterva, Maltego es una aplicación forense y de inteligencia de código abierto (OSINT) diseñada para ofrecer una imagen clara de las amenazas en el entorno del usuario. Demuestra la complejidad y la gravedad de los puntos únicos de falla, así como las relaciones de confianza que existen en el ámbito de la propia infraestructura. Extrae información publicada en Internet, ya sea la configuración actual de un router en el borde de la red de la empresa o el paradero actual del vicepresidente de su compañía. La licencia comercial tiene un precio, pero la edición comunitaria es gratuita con algunas restricciones.
Puede ampliar las capacidades de Maltego integrándolo con VirusTotal, Wayback Machine de Internet Archive y más de cinco docenas de "transformaciones" de Maltego.
OWASP Zed Attack Proxy (ZAP)
Zed Attack Proxy (ZAP) es una herramienta de pruebas de penetración fácil de usar que encuentra vulnerabilidades en aplicaciones web. Ofrece escáneres automatizados y un conjunto de herramientas para aquellos que deseen encontrar vulnerabilidades manualmente. Está diseñada para ser utilizada por profesionales con una amplia experiencia en seguridad, y es ideal para los probadores funcionales que son nuevos en las pruebas de penetración, o para los desarrolladores: Incluso hay un plugin oficial de ZAP para la aplicación de integración y entrega continua Jenkins.
Shodan
Shodan es un popular motor de búsqueda del Internet de las Cosas (IoT, por sus siglas en inglés) para buscar dispositivos como cámaras web conectadas a Internet, servidores y otros dispositivos inteligentes. Ejecutar consultas en Shodan puede ayudarle a identificar servidores y dispositivos de cara al público, como lectores de matrículas, semáforos, dispositivos médicos, instalaciones de tratamiento de agua, turbinas eólicas y prácticamente todo lo "inteligente".
Esto puede ser especialmente útil para buscar dispositivos vulnerables a exploits y vulnerabilidades conocidas. Un pen-tester puede, por ejemplo, utilizar un motor de búsqueda de IoT como Shodan como parte de sus actividades de reconocimiento para identificar cualquier aplicación o servidor expuesto inadvertidamente que pertenezca a un cliente de pen-testing.
El uso de Shodan es gratuito en lo que respecta a las funciones básicas, aunque las opciones como los planes de pago y la licencia de por vida ofrecen la posibilidad de utilizar filtros de búsqueda avanzados. La actualización académica también está disponible de forma gratuita para estudiantes, profesores y personal informático de las universidades.
Kali Linux
Kali Linux es la distribución de pen-testing basada en Linux conocida anteriormente como BackTrack. Los profesionales de la seguridad la utilizan para realizar evaluaciones en un entorno puramente nativo dedicado al hacking. Los usuarios tienen fácil acceso a una variedad de herramientas que van desde escáneres de puertos hasta descifradores de contraseñas. Se pueden descargar ISOs de Kali para instalarlas en sistemas x86 de 32 o 64 bits, o en procesadores ARM. También está disponible como imagen VM para VMware o Hyper-V.
Las herramientas de Kali se agrupan en las siguientes categorías: recopilación de información, análisis de vulnerabilidades, ataques inalámbricos, aplicaciones web, herramientas de explotación, pruebas de estrés, análisis forense, sniffing y spoofing, ataques con contraseña, mantenimiento de accesos, ingeniería inversa, informes y hacking de hardware.
DNS Dumpster
Para sus necesidades de investigación de dominios y reconocimiento de DNS, DNS Dumpster le tiene cubierto. Como servicio web gratuito de investigación de dominios, DNS Dumpster le permite buscar todo lo relacionado con un dominio, desde los hosts hasta los subdominios difíciles de encontrar que le gustaría aprovechar como parte de un compromiso de evaluación de seguridad.
DNS Dumpster proporciona datos de análisis sobre los nombres de dominio tanto en forma de archivo Excel como de gráfico visual (mapa) que puede ayudarle a comprender mejor las conexiones entre un dominio y sus subdominios. Además, descubrir subdominios colgantes, abandonados o mal aparcados puede ayudar a un investigador a descubrir vulnerabilidades de toma de control de subdominios.
Photon
Photon es un rastreador web súper rápido diseñado para recopilar OSINT. Se puede utilizar para obtener direcciones de correo electrónico, cuentas de redes sociales, cubos de Amazon y otra información crucial relacionada con un dominio, y se basa en fuentes públicas como Google e Internet Archive's Wayback Machine. Escrito en Python, Photon viene con la capacidad de añadir plugins como, por ejemplo, para exportar los datos recogidos en JSON con un formato claro, o para integrar DNSDumpster con Photon.
Hybrid Analysis
Hybrid Analysis es un servicio web de análisis de malware impulsado por Falcon Sandbox de CrowdStrike. La mayoría conoce VirusTotal, un motor de análisis de malware en el que los miembros de la comunidad pueden enviar muestras de malware y URLs sospechosas para su análisis con más de cinco docenas de motores antivirus. Las muestras y los artefactos recogidos se analizan y almacenan en los servidores de VirusTotal para su uso futuro, y se genera un informe de análisis de acceso público para que cualquiera pueda verlo.
Hybrid Analysis no es muy diferente, excepto que no solo analiza las URLs y muestras enviadas a través de su propio sandbox, sino que también corrobora los hallazgos con VirusTotal y MetaDefender. Además, mientras que VirusTotal no permite a los usuarios descargar muestras de malware de forma gratuita, Hybrid Analysis lo permite para los miembros registrados de la comunidad que han pasado por un sencillo proceso de investigación (es decir, que planean tentativamente contribuir con muestras a Hybrid Analysis, y utilizar cualquier muestra descargada con fines de investigación). Si tiene un hash de muestra de malware de un informe de VirusTotal, a menudo merece la pena pasarlo por Hybrid Analysis para ver si puedes descargar la muestra sin coste alguno.
Nessus
Nessus es una de las herramientas de evaluación de vulnerabilidad y configuración más populares del mundo. Comenzó como un proyecto de código abierto, pero el desarrollador Tenable cambió a una licencia propietaria en la versión 3. A partir de octubre del 2020, se encuentra en la versión 8.12.1. A pesar de ello, Nessus sigue siendo gratuito para uso personal en redes domésticas, donde escaneará hasta 16 direcciones IP. La versión comercial permitirá escanear un número ilimitado de direcciones IP. Según el sitio web de Tenable, Nessus ofrece descubrimiento de alta velocidad, auditoría de configuración, perfil de activos, descubrimiento de datos sensibles, integración de gestión de parches y análisis de vulnerabilidad.
ANY.RUN
ANY.RUN supera ampliamente las capacidades de cualquier sandbox de análisis de malware que haya visto y viene con ventajas como el acceso a la máquina virtual (VM) en línea. En primer lugar, el servicio se ejecuta completamente en su navegador web y le permite subir una muestra de malware, configurar el entorno virtual que quieres para su análisis y le muestra una sesión de VM en directo, que se graba para posteriores repeticiones.
Al buscar el hash de una muestra de malware en Google, suelen aparecer análisis de ANY.RUN realizados anteriormente por miembros de la comunidad. Por ejemplo, aquí hay un informe de ANY.RUN de un minero de criptomonedas que había analizado usando ANY.RUN mientras investigaba el reciente ataque a la infraestructura de GitHub a través de GitHub Actions.
ANY.RUN no solo le permite reproducir una sesión de análisis grabada, sino que tiene botones de interfaz de usuario simples de un solo clic para mostrar los Indicadores de Compromiso (IoC), las solicitudes de red, los gráficos de procesos y los hallazgos de VirusTotal para una muestra. El servicio web también permite descargar la muestra analizada sin coste alguno.
El servicio es gratuito para todo el mundo, aunque algunas funciones (ampliar el tiempo de análisis a más de 60 segundos, utilizar un sistema operativo de 64 bits, etc.) requieren que el usuario se inscriba en un plan de precios de pago. A menudo ejecuto muestras de malware a través de ANY.RUN y Hybrid Analysis, además de utilizar VirusTotal para maximizar el resultado de la investigación.
Tor Browser
Ningún artículo sobre herramientas de seguridad puede estar completo sin la mención de Tor Browser. El proyecto Tor está diseñado para una comunicación y navegación web altamente anónima que funciona encriptando su tráfico de Internet y transmitiéndolo a través de múltiples hosts ("nodos") alrededor del mundo. Esto hace prácticamente imposible que se conozca la ubicación o la identidad de un usuario de Tor.
Tor se alimenta de una red superpuesta voluntaria y gratuita de más de siete mil nodos de retransmisión en todo el mundo, diseñada para combatir la vigilancia de la red o el análisis del tráfico. Aparte de utilizar el Tor Browser para sus necesidades de navegación web centrada en la privacidad, el principal caso de uso de la herramienta sigue siendo actuar como una puerta de entrada a la web oscura, y muchos sitios ".onion" a los que solo se puede acceder a través de Tor. Por lo tanto, no es de extrañar que encuentre a Tor al acecho en los kits de herramientas de los analistas de inteligencia de amenazas y los investigadores de la red oscura.
DarkSearch.io
Hablando de la web oscura, ¿no ayudaría si también mencionáramos un motor de búsqueda para ella? Mientras que los visitantes frecuentes de la darknet pueden estar ya familiarizados con dónde buscar qué, para aquellos que pueden ser nuevos, darksearch.io puede ser una buena plataforma para comenzar con sus actividades de investigación.
Al igual que otro motor de búsqueda de la darknet, Ahmia, DarkSearch es gratuito, pero además viene con una API gratuita para ejecutar búsquedas automatizadas. Aunque tanto Ahmia como DarkSearch tienen sitios .onion, no tienes que ir necesariamente a las versiones .onion o usar Tor para acceder a cualquiera de estos motores de búsqueda. Simplemente acceder a darksearch.io desde un navegador web normal le permitirá buscar en la web oscura.
John the Ripper
John the Ripper es un descifrador de contraseñas disponible para muchos sabores de UNIX, Windows, DOS, BeOS y OpenVMS - aunque es probable que tenga que compilar la versión gratuita usted mismo. Se utiliza principalmente para detectar contraseñas débiles de UNIX. Además de varios tipos de hash de contraseñas crypt(3) que se encuentran comúnmente en varios sistemas UNIX, se soportan los hashes LM de Windows, además de muchos otros hashes y cifrados en la versión mejorada por la comunidad. La versión mejorada de la comunidad incluye soporte para GPUs para acelerar la búsqueda.
OWASP Dependency-Check
OWASP Dependency-Check es una herramienta de análisis de composición de software (SCA, por sus siglas en inglés) gratuita y de código abierto que puede analizar las dependencias de un proyecto de software en busca de vulnerabilidades públicas conocidas. Además de consultar el NVD y otras fuentes públicas de información sobre vulnerabilidades, Dependency-Check también consulta el Índice OSS de Sonatype para obtener información sobre vulnerabilidades relativa a un nombre o una coordenada precisa de un componente de software, en lugar de los CPE más amplios proporcionados por el NVD.
Microsoft Visual Studio
Algunos podrían encontrar sorprendente la mención de una herramienta de entorno de desarrollo integrado (IDE) como Visual Studio, pero pueden estar seguros de que es por una buena razón. Cuando se analizan DLL troyanizadas, como la utilizada en el ataque a la cadena de suministro de SolarWinds, o se realiza ingeniería inversa de binarios C#/.NET, Microsoft Visual Studio resulta muy útil.
Al abrir una DLL .NET con Visual Studio, por ejemplo, la herramienta reconstruirá a grandes rasgos el código fuente original a partir del lenguaje intermedio de Microsoft (MSIL) contenido en la DLL, lo que facilita la ingeniería inversa y la comprensión del propósito del código. Visual Studio funciona tanto en sistemas operativos Windows como Mac, y existe una edición comunitaria gratuita que se puede descargar.
Para aquellos interesados en un descompilador de DLL en lugar de un IDE completo, dotPeek de JetBrains también es una opción, aunque actualmente solo está disponible para usuarios de Windows.
Java Decompiler
Al igual que puede tener la necesidad de descompilar y analizar las DLL de Windows de vez en cuando, lo mismo podría ocurrir con los programas de software de Java publicados como archivos JAR. Los paquetes ejecutables escritos en Java a menudo se envían como JARs que son, en efecto, archivos ZIP que contienen múltiples archivos de "clase" Java.
Estos archivos de clase están escritos en bytecode de Java (un conjunto de instrucciones intermedias para la máquina virtual de Java) en lugar de código nativo específico para el entorno del sistema operativo. Por este motivo, Java se ha promocionado tradicionalmente como un lenguaje de "escritura única, ejecución en cualquier lugar (WORA)".
Para realizar la ingeniería inversa de un JAR y reconvertir aproximadamente el código de bytes en su forma de código fuente original, una herramienta como el Descompilador de Java (JD) es muy útil y hace el trabajo suficientemente bien. JD está disponible de forma gratuita como una utilidad gráfica independiente llamada JD-GUI, o como un plugin de Eclipse IDE, JD-Eclipse.
ModSecurity
ModSecurity es un kit de herramientas de monitorización, registro y control de acceso de aplicaciones web desarrollado por el equipo SpiderLabs de Trustwave. Puede realizar un registro completo de transacciones HTTP, capturando solicitudes y respuestas completas, realizar evaluaciones de seguridad continuas y endurecer las aplicaciones web. Puede integrarlo en su instalación de Apache 2.x o desplegarlo como proxy inverso para proteger cualquier servidor web.
Burp Suite
Burp Suite es una plataforma de pruebas de seguridad de aplicaciones web. Sus diversas herramientas apoyan todo el proceso de pruebas, desde el mapeo inicial y el análisis de la superficie de ataque de una aplicación, hasta la búsqueda y explotación de las vulnerabilidades de seguridad. Las herramientas de la suite incluyen un servidor proxy, una araña web, un intruso y el llamado repetidor, con el que se pueden automatizar las peticiones. Portswigger ofrece una edición gratuita que carece del escáner de vulnerabilidad web y de algunas de las herramientas manuales avanzadas.
Metasploit
HD Moore creó el Proyecto Metasploit en el 2003 para proporcionar a la comunidad de seguridad un recurso público para el desarrollo de exploits. Este proyecto dio lugar al Metasploit Framework, una plataforma de código abierto para escribir herramientas de seguridad y exploits. En el 2009, Rapid7, una empresa de soluciones de gestión de vulnerabilidades, adquirió el Proyecto Metasploit. Antes de la adquisición, todo el desarrollo del marco se producía en el tiempo libre del desarrollador, consumiendo la mayor parte de los fines de semana y las noches. Rapid7 accedió a financiar un equipo de desarrollo a tiempo completo y a mantener el código fuente bajo la licencia BSD de tres cláusulas que todavía se utiliza hoy en día.
Aircrack-ng
Lo que Wireshark hace para Ethernet, Aircrack-ng lo hace para Wi-Fi. De hecho, es un conjunto completo de herramientas para monitorizar paquetes, probar el hardware, descifrar contraseñas y lanzar ataques a las redes Wi-Fi. La versión 1.2, lanzada en abril del 2018, trae grandes mejoras en velocidad y seguridad y amplía la gama de hardware con la que Aircrack-ng puede trabajar.
Intelligence X
Intelligence X es un servicio de archivo y un motor de búsqueda, el primero de su clase, que conserva no solo versiones históricas de páginas web, sino también conjuntos enteros de datos filtrados que, de otro modo, se eliminan de la web debido a la naturaleza objetable del contenido o a razones legales. Aunque pueda parecer similar a lo que hace Wayback Machine de Internet Archive, Intelligence X tiene algunas diferencias notables en cuanto al tipo de contenido que el servicio se centra en preservar. Cuando se trata de preservar conjuntos de datos, por muy controvertidos que sean, Intelligence X no discrimina.
Intelligence X ha conservado anteriormente la lista de más de 49 mil VPN de Fortinet que se encontraron vulnerables a una falla de Path Traversal. Más tarde, durante la semana, las contraseñas en texto plano de estas VPNs también fueron expuestas en foros de hackers que, de nuevo, aunque fueron eliminadas de estos foros, fueron preservadas por Intelligence X.
Anteriormente, el servicio ha indexado datos recogidos de los servidores de correo electrónico de prominentes figuras políticas como Hillary Clinton y Donald Trump. Otro ejemplo reciente de los medios indexados por Intelligence X son las imágenes de los disturbios del 2021 en el Capitolio y la filtración de datos de Facebook de 533 millones de perfiles. Para los recopiladores de información, los analistas políticos, los reporteros de noticias y los investigadores de seguridad, esta información puede ser increíblemente valiosa de varias maneras.
GrayhatWarfare
Hay un motor de búsqueda para todo y eso incluye los buckets y blobs de archivos expuestos públicamente, ya sean intencionados o accidentales. GrayhatWarfare indexa recursos de acceso público como los buckets de Amazon AWS y los recursos compartidos de almacenamiento de blobs de Azure.
A día de hoy, el motor afirma haber indexado más de 4.200 millones de archivos. De hecho, el reciente descubrimiento de una filtración de datos que expuso pasaportes y documentos de identidad de periodistas de voleibol de todo el mundo fue posible gracias a que GrayhatWarfare indexó el blob de Azure expuesto que filtraba esta información.
Para los investigadores de seguridad y los pen-testers, GrayhatWarfare puede ser un excelente recurso para descubrir cubos de almacenamiento expuestos accidentalmente, y proponer una solución adecuada.
Basado en el artículo de Peter Sayer, Bill Brenner (CSO) y editado por CIO Perú