As 75 Melhores Ferramentas de Segurança para Sistemas em Rede

Em Maio de 2003 lancei uma consulta aos utilizadores do Nmap, através da lista e-mail nmap-hackers para conhecer as suas ferramentas de segurança preferidas. Cada participante poderia indicar no máximo 8 ferramentas. Esta consulta veio no seguimento de outra, a Lista das Melhores 50, realizada em Junho de 2000. Um número incrível de 1854 pessoas responderam em 2003 e as suas recomendações foram tão relevantes que expandi a lista para 75 ferramentas! Todos os que trabalham no domínio da segurança informática deveriam consultar a lista e estudar mais aprofundadamente as ferramentas desconhecidas. Eu descobri diversas ferramentas novas muito poderosas desta forma. Penso mesmo indicar esta página a principiantes quando eles me escreverem dizendo "Não sei por onde hei-de começar".

Os participantes foram livres de indicar ferramentas comerciais ou com código público para qualquer plataforma computacional. As ferramentas comerciais são assinaladas como tal na lista abaixo. A maior parte das descrições foram obtidas das páginas raiz das ferramentas ou de descrições de pacotes distribuídos pelo Debian ou pelo Freshmeat. Dessas descrições removi afirmações propagandísticas como "revolucionário" ou "próxima geração". Não foram contados votos relativos ao inventariador de segurança Nmap porque a consulta foi feita numa lista de e-mail afecta ao Nmap. É natural que os participantes, por pertencerem a esta lista, tenham demonstrado uma maior inclinação para "ferramentas de ataque" do que para ferramentas defensivas.

Estes são os ícones usados:
Não aparecia na lista de 2000

Normalmente é paga. Estas raramente incluem código fonte. Uma versão limitada/de demonstração/de avaliação pode ser disponibilizada.
Para Linux
Para FreeBSD/NetBSD/OpenBSD e/ou sistemas UNIX proprietários (Solaris, HP-UX, IRIX, etc.)
Para Microsoft Windows

Esta é a lista (começando pelos mais populares):


 Nessus: A melhor ferramenta de inventariação de vulnerabilidades com código fonte disponível
O Nessus é uma ferramenta de inventariação remota de vulnerabilidades para sistemas Linux, BSD, Solaris e outros Unixes. O seu funcionamento é baseado em plugins, possui uma interface GTK e efectua mais de 1200 verificações remotas de segurança. Produz relatórios em HTML, XML, LaTeX e texto simples que indicam as vulnerabilidades detectadas e os passos que devem ser seguidos para as eliminar.


Ethereal: Cheirando a cola que aguenta a Internet
O Ethereal é uma ferramenta pública de análise de protocolos para sistemas Unix e Windows. Permite a observação de dados capturados da rede em tempo real ou previamente capturados e guardados num ficheiro ou disco. Pode-se navegar interactivamente nos dados capturados, observando resumos ou informação pormenorizada de cada datagrama. O Ethereal possui diversas facilidades poderosas, nomeadamente uma linguagem rica para filtragem dos dados apresentados e a possibilidade de observar o fluxo de dados de uma sessão TCP reconstruída. Possui uma versão textual, não-gráfica, chamada tethereal.



Snort: Um sistema de detecção de intrusões (IDS) público para as massas
O Snort é uma ferramenta eficiente de detecção de intrusões, capaz de efectuar análises em tempo real de tráfego capturado e registo de datagramas em redes IP. Permite analisar protocolos, procura de conteúdos e pode ser usado para detectar diversos ataques e sondas, nomeadamente transbordamentos de memória (buffer overflows), levantamentos furtivos (stealth) de portos de transporte, ataques usando CGI, sondas para SMB, tentativas de identificação de sistemas operativos, etc. O Snort usa uma linguagem flexível baseada em regras para descrever o tráfego que deverá ser considerado ou não para posterior análise e um motor de detecção modular. Várias pessoas sugeriram que a Consola de Análise de Bases de Dados de Intrusões (Analysis Console for Intrusion Databases, ACID) fosse usada com o Snort.



Netcat: O canivete Suíço da rede
Um utilitário simples para Unix que lê e escreve dados de e para uma rede usando os protocolos TCP e UDP. Foi concebido para ser uma ferramenta terminal fiável para ser usada directamente ou indirectamente por outros programas ou scripts. É ainda uma ferramenta poderosa para analisar problemas ou explorar uma rede, uma vez que permite criar praticamente qualquer tipo de ligação que seja necessária e possui diversas capacidades intrínsecas interessantes.



TCPDump / WinDump: A ferramenta clássica de captura de dados em redes para monitorização e aquisição de tráfego
O Tcpdump é uma ferramenta não gráfica bem conhecida e muito apreciada para análise de tráfego em redes. Pode ser usada para apresentar os cabeçalhos dos datagramas que passam por uma interface de rede e que validam uma regra imposta. Esta ferramenta pode ser usada para detectar problemas de rede ou para monitorizar a actividade na rede. Existe uma versão própria para Windows chamado WinDump. TCPDump é ainda o código fonte da biblioteca Libpcap/biblioteca WinPcap de captura de datagramas, que é usada pelo Nmap entre outros utilitários. Note-se que muito utentes preferem o Ethereal, uma ferramenta de captura mais actual.


Hping2: Um utilitário para sondar a rede, um ping dopado
O hping2 cria e envia datagramas ICMP/UDP/TCP específicos e apresenta respostas aos mesmos. Foi inspirado no comando ping mas permite um maior controlo sobre as sondas enviadas. Também possui um modo traceroute muito conveniente e suporta fragmentação de IP. Esta ferramenta é particularmente útil para detectar (descobrir caminhos, se estão a funcionar, etc.) máquinas por detrás de uma firewall que bloqueie sondas enviadas por utilitários padrão.



DSniff: Uma série de ferramentas poderosas para auditoria de redes e testes de penetração
Esta colecção, bem concebida por Dug Song e muito popular, possui muitas ferramentas. As ferramentas dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf e webspy permitem monitorizar uma rede de forma passiva em busca de conteúdos interessantes (senhas, e-mail, ficheiros, etc.). As ferramentas arpspoof, dnsspoof, e macof facilitam a intercepção de tráfego de rede normalmente inacessível a um atacante (v.g., por causa da comutação de nível 2). As ferramentas sshmitm and webmitm realizam ataques activos de brincalhão-no-meio, contra sessões SSH ou HTTPS redireccionadas, explorando validações fracas inerentes ao uso de PKI ad-hoc. Um transporte parcial para Windows, suportado separadamente, está disponível aqui.




GFI LANguard: Um inventariador de problemas de segurança comercial para Windows
O LANguard analisa redes e produz relatórios com informação que inclui quais os nível de actualização (Service Packs level) do sistema de cada máquina, as correcções de segurança em falta, os recursos partilhados disponíveis, os portos de transporte disponíveis, serviços/aplicações disponíveis no computador, entradas-chave do registo (registry), senhas fracas, utilizadores e grupos e mais ainda. Os resultados da análise são apresentados num relatório em HTML, que pode ser adaptado/pesquisado. Aparentemente uma versão gratuita limitada está disponível para fins não comerciais ou para avaliação.




Ettercap: Caso ainda acredite que LAN comutadas fornecem muita segurança extra
O Ettercap é uma ferramenta não gráfica para inspecção/intercepção/registo de tráfego em LAN Ethernet. Ë capaz de dissecar de forma passiva ou activa inúmeros protocolos (inclusive os que são cifrados, como o SSH ou HTTPS). É ainda capaz de injectar dados em ligações estabelecidas e filtrar dados das mesmas em tempo real sem as des-sincronizar. Possui diversos modos de captura de tráfego que permitem fornecer um conjunto completo e eficaz de formas de inspecção. Suporta plugins. Consegue verificar se está ou não numa máquina ligada a uma LAN comutada e consegue ainda efectuar o levantamento da geometria da rede através do reconhecimento, activo ou passivo, de sistemas operativos.



Whisker/Libwhisker: A biblioteca e o inventariador de vulnerabilidades em CGI do Rain.Forest.Puppy
O Whisker é ferramenta de inspecção de servidores HTTP que permite detectar muitos problemas de segurança, nomeadamente a presença de CGI perigosos. Libwhisker é uma biblioteca de perl (usada pelo Whisker) que permite a criação de inspectores de HTTP específicos. Se pretende auditar mais do que servidores HTTP veja o Nessus.



John the Ripper: Um prospector de senhas sumariadas extraordinariamente eficaz, flexível e eficiente para múltiplas plataformas
John the Ripper é um prospector de senhas eficiente, actualmente disponível para muitas versões de Unix (11 são suportadas oficialmente, sem distinguir arquitecturas), DOS, Win32, BeOS e OpenVMS. A sua finalidade primeira é descobrir senhas Unix fracas. Suporta diversos tipos de sumários de senhas crypt(3) que são usuais nas várias versões de Unix, bem como sumários usados no Kerberos do AFS e sumários LM do Windows NT/2000/XP. Várias outras formas de sumariar senhas podem ser acrescentadas com a contribuição de melhoramentos.



OpenSSH / SSH: Um modo seguro de aceder remotamente a computadores
O Ssh (Secure Shell) é um programa para iniciar sessões em computadores remotos e neles executar comandos. Fornece um canal de comunicação seguro (cifrado) sobre uma rede insegura entre duas máquinas sem confiança mútua. Ligações X11 e demais tráfego para portos arbitrários TCP/IP podem ser redireccionados para o canal seguro. Foi também concebido para substituir o rlogin, rsh e rcp e pode ser usado para fornecer rdist e rsync com um canal de comunicação seguro. OpenSSH é parte do projecto OpenBSD, muito embora uma versão transportável execute na maioria dos sistemas UNIX. Note que o link SSH.Com acima não é gratuito para alguns fins, enquanto o OpenSSH é sempre gratuito. Os utentes com Windows podem experimentar a versão pública PuTTY SSH Client ou a versão agradável para consolas do OpenSSH que vem com o Cygwin. Há dezenas de outros clientes (gratuitos ou pagos) disponíveis para a maioria dos sistemas - aqui está uma lista enorme.


Sam Spade: Ferramenta pública de interrogação de redes para Windows
O SamSpade fornece uma realização e uma interface gráfica coerente para diversas tarefas de interrogação de redes. For desenhada com o propósito de detectar spammers mas pode ser útil para outras tarefas relacionadas com a exploração, administração e segurança de redes. Inclui ferramentas tal como o ping, nslookup, whois, dig, traceroute, finger, navegador HTTP elementar, transferência de zonas DNS, detector de retransmissores SMTP, localizador de servidores Web, entre outras. Utentes que não usem o Windows podem recorrer a versões interactivas de muitas das suas ferramentas.



ISS Internet Scanner: Inventariador de vulnerabilidades ao nível das aplicações
O Internet Scanner foi iniciado por Christopher Klaus em '92 como um detector mínimo com código público. Actualmente é responsável por a ISS ser uma empresa milionária que comercializa uma miríade de produtos relacionados com segurança. O ISS Internet Scanner é bastante bom, mas não é barato. Portanto, empresas com orçamentos apertados podem querer experimentar alternativamente o Nessus. A revista Information Security de Março de 2003 avaliou 5 ferramentas de inventariação de vulnerabilidades (incluindo estas) e as conclusões estão disponíveis aqui. Note que as ferramentas de inventariação de vulnerabilidades apenas reportam a sua existência. Ferramentas comerciais para efectivamente explorar essas vulnerabilidades incluem a CORE Impact e a Canvas de Dave Aitel. Exploradores gratuitos de algumas vulnerabilidades podem ser encontrados em locais tal como Packet Storm e SecurityFocus.




Tripwire: O decano dos verificadores de integridade de ficheiros
É um verificador de integridade de directorias e ficheiros. O Tripwire é uma ferramenta que ajuda administradores de sistemas e utentes a monitorizar quaisquer modificações em conjuntos arbitrários de ficheiros. É usado regularmente (v.g. diariamente) em ficheiros nucleares dos sistemas. O Tripwire pode notificar administradores acerca de ficheiros corrompidos para que os mesmos possam iniciar atempadamente acções de controlo de estragos. Uma versão pública em código fonte é disponibilizada em Tripwire.Org. Os utilizadores de UNIX podem também optar pela ferramenta AIDE, que foi concebida como uma substituta gratuita do Tripwire. Ou podem querer conhecer melhor o Radmind.




Nikto: um inspector de servidores Web mais abrangente
O Nikto é um inspector de servidores Web que procura mais de 2000 ficheiros /GCI potencialmente perigosos e problemas em mais de 200 servidores. Usa a biblioteca LibWhisker mas normalmente é actualizado mais frequentemente que o próprio Whisker.




Kismet: Um poderoso inspector de comunicações sem fios
O Kismet é um poderoso inspector e dissecador de tráfego em redes 802.11b. É capaz de capturar tráfego com a maioria das interfaces de redes sem fios, de detectar automaticamente infra-estruturas de rede IP através de datagramas UDP, ARP e DHCP e de listas de equipamentos Cisco através do Cisco Discovery Protocol, de registar datagramas cifrados com técnicas vulneráveis e de produzir registos de capturas com um formato compatível com o Ethereal e com o tcpdump. Permite ainda desenhar redes detectadas e estimar áreas de cobertura em mapas importados ou imagens em ficheiro fornecidas pelos utentes. O suporte para Windows é actualmente rudimentar, pelo que os utentes podem experimentar o Netstumbler se tiverem problemas. Os utentes de Linux (e PDA Linux como o Zaurus) podem querer experimentar o inspector de redes sem fios Wellenreiter.



SuperScan: inventariador de portos TCP para Windows da Foundstone
Um inventariador de portos TCP abertos baseado em ligações, detector de máquinas com ping e tradutor de nomes de máquinas. Não é fornecido código fonte. Permite inventariar portos e máquinas usando gamas de endereços IP. Permite ainda iniciar uma ligação a um porto descoberto usando aplicações de apoio indicadas pelos utentes (v.g. Telnet, navegadores Web, FTP).



L0phtCrack 4 (actualmente "LC4"): Auditor e recuperador de senhas para Windows
O L0phtCrack tenta descobrir senhas em sistemas Windows a partir de sínteses que consegue obter de máquinas Windows NT/2000 isoladas, servidores em rede, controladores primários de domínios ou máquinas com Active Directory (desde que às mesmas se tenha acesso). Em alguns casos consegue capturar as sínteses do tráfego de rede. Possui também várias formas de adivinhar senhas (com dicionários, por força bruta, etc.). O L0phtCrack custa actualmente 350 USD/máquina e não é fornecido código fonte. Empresas com um orçamento apertado podem optar por experimentar as ferramentas John the Ripper, Cain & Abel e pwdump3.



Retina: Inventariador de vulnerabilidades comercial da eEye
Tal como o Nessus e o ISS Internet Scanner previamente mencionados, a função do Retina é a de procurar vulnerabilidades em todas as máquinas de uma rede e de produzir um relatório de avaliação sobre as mesmas.

Netfilter: O filtro de datagramas/firewall actual do núcleo Linux
O Netfilter é um filtro de datagramas poderoso que faz parte do núcleo Linux padrão. A sua configuração é feita através da aplicação iptables. Actualmente suporta filtragem de datagramas (mantendo ou não estado), todos os diferentes tipos de NAT (Network Address Translation) e alteração de datagramas. Para outras plataformas que não Linux ver pf (OpenBSD), ipfilter (várias outras variantes de UNIX), ou mesmo a firewall pessoal Zone Alarm (Windows).



traceroute/ping/telnet/whois: as ferramentas básicas
No meio de toda a propaganda acerca de ferramentas altamente sofisticadas que são disponibilizadas para apoiar a gestão dos mais variados aspectos de segurança, há que não esquecer as ferramentas básicas! Todos deveriam estar à vontade com estas ferramentas, uma vez que elas estão disponíveis na maioria dos sistemas operativos (excepto o Windows, que não possui whois e usa o nome tracert). Elas podem ser muito úteis para resolver enrascadas, muito embora para usos mais complexos sejam preferíveis os Hping2 e Netcat.



Fport: o netstat aperfeiçoado da Foundstone
A ferramenta fport indica todos os portos TCP/IP e UDP abertos na máquina onde é executada e mostra quais são as aplicações que os estão a usar. Desta forma serve para identificar rapidamente portos abertos desconhecidos e as aplicações que lhes estão associadas. Só executa em Windows mas muitos sistemas UNIX actualmente fornecem esta informação através do netstat (experimentar 'netstat -pan' em Linux). Aqui está um artigo da SANS acerca do uso do Fport e da análise dos seus resultados.



SAINT: Security Administrator's Integrated Network Tool
SAINT é uma outra ferramenta comercial de inventariação de vulnerabilidades (tal como o ISS Internet Scanner ou o eEye Retina). Ao contrário dessas ferramentas apenas para Windows, o SAINT executa exclusivamente em UNIX. O código fonte do SAINT chegou a ser disponibilizado publicamente sem custos, mas actualmente é um produto comercial.



Network Stumbler: Inspector de rede 802.11 gratuito para Windows
O Netstumbler é a melhor ferramenta para Windows para encontrar pontos de acesso sem fios disponíveis ("wardriving"). Existe também uma versão WinCE para PDA e similares chamada Ministumbler. A ferramenta é actualmente gratuita apenas para Windows e não é fornecido o código fonte. Os autores assinalam que "o autor reserva-se o direito de alterar este acordo de licenciamento como melhor lhe convier sem disso dar nota." ("the author reserves the right to change this license agreement as he sees fit, without notice."). Os utentes de UNIX (e utilizadores avançados do Windows) podem experimentar alternativamente o Kismet.


SARA: Security Auditor's Research Assistant
O SARA é uma ferramenta de inventariação de vulnerabilidades que derivou do mal-afamado inventariador SATAN. Os seus autores tentam disponibilizar actualizações de versões duas vezes por mês para acompanhar os avanços de software desenvolvido pela comunidade adepta do código aberto (como o Nmap e o Samba).




N-Stealth: um avaliador de servidores Web
O N-Stealth é uma ferramenta comercial de avaliação de segurança de servidores Web. É normalmente actualizado mais frequentemente que os similares gratuitos, como o whisker e o nikto, mas mantenha algum cepticismo em relação ao seu sítio Web. As afirmações "30,000 vulnerabilidades e explorações" e "Dezenas de verificações de vulnerabilidade são adicionadas todos os dias" são muitíssimo questionáveis. Note ainda que a maioria das ferramentas genéricas de inventariação de vulnerabilidades, como o Nessus, o ISS, o Retina, o SAINT e o SARA incluem componentes para avaliar servidores Web. Nem todas poderão, no entanto, estar tão actualizadas ou ser tão flexíveis. O N-stealth é apenas para Windows e não é fornecido código fonte.




AirSnort: uma ferramenta de criptanálise do 802.11 WEP
O Airsnort é uma ferramenta para redes locais sem fios (WLAN) que descobre chaves de cifra usadas na comunicação. Foi desenvolvida pelo Shmoo Group e actua monitorizando as comunicações sem fios de forma passiva, conseguindo calcular as chaves de cifra após a captura de um número suficiente de datagramas cifrados. O suporte para Windows está ainda muito rudimentar.




NBTScan: Recolhe informação NetBIOS em redes Windows
O NBTscan é um programa que pesquisa redes IP à procura de informação afecta a nomes NetBIOS. Envia pedidos de estado NetBIOS para cada endereço indicado numa gama e lista a informação recebida de forma legível por humanos. Para cada máquina que responde indica o endereço MAC, o endereço IP, o nome NetBIOS do computador e o nome do utente com sessão aberta no mesmo.



GnuPG / PGP: Proteja os seus ficheiros e comunicação usando criptografia avançada
O PGP é o programa de cifra famoso, criado por Phil Zimmerman, que ajuda a proteger os seus dados de terceiros não autorizados e a evitar outros riscos. O GnuPG é uma realização muito cuidada, e com código fonte disponível, do padrão PGP (o nome do programa é gpg). O GnuPG é totalmente gratuito, enquanto o PGP tem que ser pago para certos usos.


Firewalk: Um traceroute avançado
O Firewalk emprega técnicas semelhantes ao traceroute, na análise de respostas a datagramas IP, para determinar filtros de controlo de acesso em gateways e para levantar mapas de redes. Esta ferramenta clássica foi totalmente reescrita de raiz em Outubro de 2002. Note que a maior parte ou a totalidade da sua funcionalidade pode ser obtida com o Hping2 (quando usado com a opção --traceroute).



Cain & Abel: O L0phtcrack dos pobres
Cain & Abel é uma ferramenta gratuita de prospecção de senhas para sistemas Microsoft Windows. Permite uma prospecção fácil de vários tipos de senhas através da escuta da rede, da pesquisa de senhas cifradas usando ataques com dicionários ou exaustivos, da descodificação de senhas baralhadas, da descoberta de chaveiros e de senhas em cache e da análise de protocolos de encaminhamento. O código fonte não é fornecido.



XProbe2: Uma ferramenta activa de identificação de sistemas operativos
O XProbe é uma ferramenta que permite identificar o sistema operativo de uma máquina remota. Para o conseguir usa uma parcela das técnicas do Nmap bem como outras abordagens diferentes. O XProbe sempre privilegiou o protocolo ICMP na sua aproximação à identificação.




SolarWinds Toolsets: Uma imensidão de ferramentas de pesquisa/monitorização/ataque de redes
A SolarWinds criou e vende dúzias de ferramentas especializadas destinadas a administradores de sistemas. As ferramentas relacionadas com a segurança incluem vários pesquisadores de rede e um prospector SNMP exaustivo. Estas ferramentas são só para Windows, custam dinheiro e não incluem código fonte.



NGrep: um capturador & apresentador de datagramas muito útil
O ngrep procura fornecer todas as funcionalidades do grep da GNU mas aplicando-as ao nível rede. O ngrep é uma ferramenta baseada na biblioteca pcap que lhe permitirá especificar expressões regulares estendidas ou hexadecimais para encontrar conteúdos de transporte ou datagramas. Actualmente reconhece TCP, UDP e ICMP sobre Ethernet, PPP, SLIP, FDDI, Token Ring e interfaces nulas, e entende lógica de filtragem bpf de forma semelhante à de ferramentas comuns de captura de datagramas, tais como o tcpdump e o snoop.



Perl / Python: Linguagens interpretadas portáveis de aplicação generalizada
Muito embora esta página apresente muitas ferramentas desenhadas para lidar com as tarefas mais comuns, é importante ter a possibilidade de escrever as suas próprias (ou modificar outras existentes). O Perl e Python facilitam a criação rápida de scripts portáveis para teste, exploração de vulnerabilidades ou mesmo para corrigir sistemas! Arquivos como o CPAN estão recheados de módulos tais como o Net::RawIP e concretizações de protocolos para facilitar ainda mais a sua tarefa.



THC-Amap: Um inventariador de aplicações
O Amap (da THC) é um recente mas poderoso inventariador que analisa cada porto para identificar aplicações ou serviços sem tomar em considerar os mapeamentos estáticos.




OpenSSL: A melhor biblioteca criptográfica SSL/TLS
O Projecto OpenSSL é um esforço conjunto com o intuito de desenvolver um arsenal robusto, de nível comercial, com inúmeras funcionalidades e com código fonte público para exploração dos protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), bem como para uso genérico de criptografia topo-de-gama. O projecto é gerido por uma comunidade mundial de voluntários que usam a Internet para comunicar, planear e desenvolver o arsenal OpenSSL e a sua documentação.



NTop: Um monitor de tráfego de rede
O Ntop mostra o uso da rede de uma forma muito similar à usada pelo top para processos. No modo interactivo mostra o estado da rede no terminal do utente. No modo Web actua como um servidor Web, criando imagens HTML com o estado da rede. Suporta um emissor/colector NetFlow/sFlow, uma interface HTTP para os clientes criarem aplicações sobre o Ntop e RRD para armazenar estatísticas de tráfego.



Nemesis: Um injector de datagramas simplificado
O Projecto Nemesis tem como intuito a gestão da pilha IP por humanos em UNIX/Linux (e actualmente também Windows) usando comandos de consola. O arsenal subdivide-se por protocolo e deverá permitir a injecção útil de fluxos de datagramas a partir de scripts. Se aprecia o Nemesis poderá também conhecer o hping2. Eles complementam-se muito bem.


LSOF: LiSt Open Files
Esta ferramenta de diagnóstico forense para Unix lista informação acerca dos ficheiros abertos pelos processos actuais do sistema. Pode também listar sockets de comunicação abertos por cada processo.

Hunt: Um capturador de datagramas avançado e intromissor em ligações para Linux
O Hunt observa ligações TCP e intromete-se nas mesmas ou termina-as. O Hunt foi concebido para ser usado na Ethernet e possui mecanismos activos para escutar ligações em redes comutadas. As funcionalidades avançadas incluem a retransmissão selectiva de ARP e a sincronização de ligações após os ataques. Se aprecia o Hunt veja também o Ettercap e o Dsniff.




Honeyd: A sua rede isco pessoal
O Honeyd é um pequeno servidor que simula uma rede de máquinas virtuais. As máquinas podem ser configuradas para executar serviços arbitrários e a sua personalidade TCP pode ser adaptada de modo a aparentarem determinadas versões de sistemas operativos. O Honeyd permite que uma única máquina use diversos endereços de uma LAN para simular a rede fictícia. É possível detectar as máquinas com ping ou com traceroute. Qualquer tipo de serviço numa máquina virtual pode ser simulado de acordo com um simples ficheiro de configuração. É ainda possível redirigir acessos a serviços para outras máquinas em vez de os simular. A página Web está actualmente indisponível por razões legais, mas o pacote tar V. 0.5 está ainda disponível aqui.



Achilles: Um mediador de ataque a servidores Web para Windows
Achilles é uma ferramenta concebida para testar a segurança de aplicações Web. Achilles é um servidor mediador (proxy) que actua interceptando sessões HTTP. O mediador HTTP típico retransmite dados de e para um navegador cliente e um servidor Web. O Achilles irá interceptar os dados de uma sessão HTTP em qualquer direcção e permite que o seu utente os altere antes de os retransmitir. Por exemplo, durante uma ligação HTTP SSL normal um mediador típico irá retransmitir a sessão entre o servidor e o cliente e permitir que as duas máquinas nos extremos negoceiem a sessão SSL. Pelo contrário, o Achilles, quando em modo intercepção, irá simular ser o servidor e irá negociar duas sessões SSL, uma com o navegador cliente e outra com o servidor Web. Durante a transmissão de dados entre os dois extremos o Achilles decifra os dados e permite que o seu utente altere e/ou registe os dados em claro antes da sua retransmissão.



Brutus: Um atacante por força bruta de autenticações em rede
Este prospector de senhas para Windows actua sobre serviços em rede de máquinas remotas, tentando adivinhar senhas usando um dicionário e permutações de termos do mesmo. Suporta HTTP, POP3, FTP, SMB, TELNET, IMAP, NTP e outros. O código fonte não é disponibilizado. Os utentes de UNIX devem consultar o THC-Hydra.




Stunnel: um interceptor criptográfico genérico de SSL
O programa stunnel foi concebido para actuar como um interceptor criptográfico de SSL entre um cliente remoto e um servidor local (lançável via inetd) ou remoto. Pode ser usado para adicionar a funcionalidade do SSL para servidores normalmente iniciados através do inetd, como servidores POP2, POP3 e IMAP, sem requerer quaisquer alterações dos seus programas. Ele negociará uma sessão SSL usando as bibliotecas OpenSSL ou SSLeay.



Paketto Keiretsu: TCP/IP radical
Paketto Keiretsu é uma colecção de ferramentas que usam estratégias novas e invulgares de exploração de redes TCP/IP. Elas encaixam funcionalidades no âmbito da infra-estrutura existente e puxam pelos protocolos para além dos seus fins originais. A colecção inclui Scanrand, um sistema invulgarmente rápido de descoberta de serviços em rede e de topologias de rede; Minewt, um encaminhador NAT/MAT que executa em modo utilizador; linkcat, que fornece uma ponte entre Ethernet e stdio; Paratrace, que faz o levantamento de caminhos em redes sem criar novas ligações; e Phentropy, que usa OpenQVIS para desenhar num espaço de fases tridimensional quantidades arbitrárias de entropia extraídas de fontes de dados. Apanharam tudo? :).



Fragroute: o pior pesadelo dos sistemas IDS
O Fragroute intercepta, modifica e reescreve tráfego de saída, concretizando a maioria dos ataques descritos no documento Secure Networks: IDS Evasion (Redes Seguras: Fuga aos IDS). Dispõe de uma linguagem de regras simples para atrasar, duplicar, descartar, fragmentar, sobrepor, imprimir, reordenar, segmentar, forçar o caminho de retorno (source route), ou de outra forma brincar com todos os datagramas de saída destinados a uma máquina alvo com um suporte mínimo para actuar de forma aleatória ou probabilística. Esta ferramenta foi concebida com o propósito honesto de ajudar a testar sistemas de detecção de intrusões, firewalls e comportamentos básicos da pilha TCP/IP. Tal como Dsniff e Libdnet, esta ferramenta excelente foi programada por Dug Song.




SPIKE Proxy: brincar com o HTTP
Spike Proxy é um mediador HTTP com código público que serve para descobrir falhas de segurança em serviços Web. Faz parte do Spike Application Testing Suite (Arsenal de Teste de Aplicações Spike) e suporta a detecção de injecções automáticas de SQL, varrimento de sítios Web, tentativas exaustivas de passagem através de formulários de controlo de entradas, detecção de tentativas de provocar transbordamentos de memória (memory overflows) e detecção de varrimentos de directorias.



THC-Hydra: Um desobstruidor paralelizado de autenticações em rede
Esta ferramenta permite ataques rápidos com dicionários contra sistemas de autenticação em rede, incluindo FTP, POP3, IMAP, Netbios, Telnet, autenticação HTTP, LDAP, NNTP, VNC, ICQ, Socks5, PCNFS e outros. Inclui suporte para SSL e aparentemente agora faz parte do Nessus. Tal como o Amap, esta distribuição vem da malta fixe da THC.

As 25 Seguintes

Para poupar espaço & tempo, as próximas 25 melhores ferramentas estão listadas numa tabela mais compacta: