Un Nuevo Año

Como dice el título "un nuevo año", lo que a la fuerza implica que otro ha pasado: nuestro primer año online. Por ello creemos que es un buen momento de hacer una pequeña evaluación del mismo.

Cuando se creó este blog nunca se concibió como un sitio masivo, sino más bien como un pequeño lugar, bastante minoritario, donde contar y hacer público todo aquello que formando parte de nuestro trabajo cotidiano consideramos puede ser útil a otras personas.

De esa forma nació el blog y nació el primero de sus proyectos, SecGame, continuación de un proyecto formativo realizado para un Master en Seguridad de la Información. Con el paso del tiempo otras ideas se han ido sumando, modestas en su mayoría, pues son producto del quehacer diario: un script que autentica OpenVPN en Active Directory, un programa que captura terminales ssh, alguna conferencia que se ha realizado, etc.

Pero quizá, debido al impulso inicial proporcionado por "Sauron" y Kriptópolis, las cifras hayan estado por encima de la idea original e incluso por encima del espíritu del blog. En total este año se han recibido más de 16000 visitas, casi 5000 usuarios únicos repartidos por más de 45 paises, más de 40 visitas diarias ...

Y todo ello con el blog "sin actualizar", o mejor dicho, con un ritmo errático de publicación. Lo cual algunas veces ha supuesto que algún visitante mande un email preguntando por nuestro estado. La respuesta es sencilla: estamos trabajando.

Y aprovechamos para aclarar este aspecto: SG6 Labs no es un grupo de I+D que trabaje a jornada continua en ello, ni tampoco es un blog divulgativo sobre seguridad de la información. Precisamente es por ello por lo que tiene un ritmo errático, porque su frecuencia es aquella que marca el interés de nuestro trabajo en SG6. Donde hay meses donde se crean cosas interesantes, y meses en los que nada hay que publicar.

En esa línea seguiremos este próximo año. Está prevista la publicación de un nuevo SecGame, cuyo nombre será Melkor, de algunas nuevas herramientas producto de la labor diaria, y quizá de algunos advisories de seguridad.

Gracias por cada una de las visitas y por el interés en nuestros proyectos. Gracias también a todos los que habéis apoyado y colaborado con nosotros: Kriptópolis, Pensando en Red, Extrelan, etc.

Por último, queremos aprovechar la entrada para desearos a todos una feliz navidad y un próspero 2009.

Shrek: Monitor de terminales basado en strace.

Saludos a todos,

después de un periodo de pausa en la publicación de contenidos en el blog, pero no de inactividad en la creación y desarrollo de nuevos proyectos, volvemos a la actividad pública con una herramienta que esperamos os sea de utilidad.

Shrek es un monitor, denominados comúnmente snoopers, con funciones de grabación y de reproducción de la actividad que sucede en un terminal Linux, incluídos terminales enlazados mediante sshd. En definitiva, una herramienta útil tanto para administradores de sistemas, como eventualmente para profesionales del pentest, destinada a conocer lo que un determinado usuario está realizando a través de su terminal.

Debemos comentar que existen otros medios para realizar esta tarea, como pueden ser ttysnoop, discontinuado y reaparecido para kernels de la rama 2.6, o snoop, un parche para el kernel de Linux. Sin embargo, estas herramientas parten de la idea de extender las funcionalidades propias de un sistema Linux, por lo que requieren de modificaciones, bien de los ficheros de configuración, de los binarios, o del propio del kernel.

Shrek, a diferencia de estas soluciones es una herramienta mucho más sencila y ligera, basada en la característica integrada en los sistema Linux para la monitorización de procesos, ptrace, haciendo uso de ella a través del binario strace, destinado a la monitorización de llamadas al sistema. De esta forma es capaz de monitorizar y grabar a disco las llamadas de entrada/salida (aquellas que contienen la información enviada y recibida por el usuario), tanto de procesos sshd asociados a una terminal, como de procesos bash, permitiendo su posterior reproducción como si de una película se tratara.

Shrek está compuesto de los siguientes elementos:
  • shrek-pid: Permite obtener los identificadores de proceso (pids) que pueden ser monitorizados por shrek.
  • shrek-rec: Permite la grabación a disco de la actividad que se está llevando a cabo en un determinado proceso.
  • shrek-play: Permite visualizar las grabaciones realizadas mediante shrek-rec.

Por último, SG6 agradece la colaboración desinteresada de todos los que han aportado su granito de arena en la depuración y mejora de esta idea.

Contenidos Descargables