VulneraNET Project

El pasado viernes Grupo Gesfor realizó una presentación de Wapiti en la VI Reunión del capítulo de OWASP España que tuvo lugar en Barcelona. OWASP (Open Web Application Security Project) es una de las organizaciones más importantes en el campo de la seguridad. David del Pozo González (Grupo Gesfor), como desarrollador de Wapiti, realizó una exposición sobre Wapiti y la aportación del proyecto Romulus a su desarrollo. En la presencación se habló del proyecto Romulus que tiene con uno de sus cuatro objetivos más importantes asegurar la seguridad las aplicaciones web construidas con Roma Metaframework, tarea que se logró en gran parte gracias a Wapiti. En la presentación también mostró las características de Wapiti, cómo funciona, la manera de ampliarlo y un caso práctico de uso. Además como líneas de trabajo futuro se presentó el proyecto VulneraNET que colabora actualmente en la extensión de la herramienta.

El punto más destacable del evento es que se ofreció a la comunidad OWASP la oportunidad de conocer Wapiti y la participación en su evolución. Los asistentes al evento se quedaron una buena impresión de Wapiti.

El evento contó con la presencia entre otros de Richard Stallman quien presentó el "Software Libre, su libertad"; Fabio Cerullo quien presentó "OWASP: El riesgo más importante en las aplicaciones Web de 2010"; David del Pozo González, que presentó "Wapiti: Seguridad para desarrolladores web en el proyecto Romulus", y Christian Martorella que presentó "2010 y aún utilizando la fuerza bruta: Webslayer". Vicente Aguilera Díaz, como presidente del capítulo español de OWASP, hizo la introducción y cierre del evento.

El código fuente del robot de Google Wave vulneranet@appspot.com ha sido adaptado a la versión 2 del API de Java para el desarrollo de robots. La funcionalidad no ha sufrido modificaciones y se ha mejorado su presentación. En el perfil del robot se incluye ahora un logo y una url a la pagina de VulneraNET.

Con esta nueva versión del API de robots para Wave, Google mantiene la funcionalidad pero modifica en gran medida la biblioteca cliente con la intención de facilitar la programación de los robots. El API versión 1 dejará de ser válido el 30 de Junio de 2010.

Recientemente la herramienta OWASP Wapiti ha sido incluida en la distribución Backtrack.

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.

Se deriva de la unión de dos grandes distribuciones orientadas a la seguridad, el Auditor + WHAX. WHAX es la evolución del Whoppix (WhiteHat Knoppix), el cual pasó a basarse en la distribución Linux SLAX en lugar de Knoppix. La última versión de esta distribución cambió el sistema base, antes basado en Slax y ahora en Ubuntu.

Incluye una larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless. Fue incluida en el puesto 32 de la famosa lista "Top 100 Network Security Tools" de 2006.

Ya está en funcionamiento el robot de Google Wave de VulneraNET. Basta con añadir el robot vulneranet@appspot.com al contenido de una wave, para que éste muestre un formulario. El robot recibirá un archivo xml de vulnerabilidades y generará el informe html correspondiente ya sea en un solo blip (modo sencillo), o presentando cada vulnerabilidad encontrada en un blip independiente (modo múltiple).

El "modo múltiple" favorecerá especialmente la comunicación entre los diferentes participantes con respecto a los resultados del informe: