viernes, 24 de marzo de 2017

El Top 10 Técnicas De Hacking Web Utilizados Por Los Hackers



La investigación más influyente en las vulnerabilidades y exploits, según lo votado por la comunidad de seguridad. 
MONSTRUO
SSL / TLS la vulnerabilidad que permitiría a los atacantes para interceptar las conexiones HTTPS y los obligan a utilizar el cifrado debilitada. 
Investigadores: Karthikeyan Bhargavan en INRIA en París y los miTLS equipo 
más detalles sobre la investigación: https://freakattack.com 

atasco
Otra vulnerabilidad TLS que permite man-in-the-middle por degradar las conexiones TLS vulnerables a la encriptación de 512 bits. 
Investigadores: David Adrian, Karthikeyan Bhargavan, Zakir Durumeric, Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Drew Springall, Emmanuel Thomé, Lucas Valenta, Benjamin VanderSloot, Eric Wustrow, Santiago Zanella-Beguelin, y Paul Zimmermann 
Información adicional : https://weakdh.org 

web ataques puntuales Hecho Practi 
cal

Negro Sombrero charla sobre cómo ajustar la sincronización ataques de canal lateral para que sea más fácil de realizar ataques a distancia contra de temporización modernas aplicaciones web. 
Los investigadores Timothy Morgan y Jason Morgan 
Vídeo: https://www.youtube.com/watch?v=KirTCSAvt9M 

Evadir Todos * WAF XSS Filtros
La investigación que muestra cómo es posible evadir los filtros de cross-site scripting de todos los firewalls de aplicaciones web populares. 
Investigador: Mazin Ahmed 
Información adicional: http://blog.mazinahmed.net/2015/09/evading-all-web-application-firewalls.html 

que abusa del CDN de FRSS con Flash y DNS
La investigación puso de manifiesto en Sombrero Negro mirando una colección de patrones de ataque que puede ser utilizado contra las redes de distribución de contenidos para apuntar a una amplia gama de sitios web de alta disponibilidad. 
Investigadores: Mike Brooks y Matt Bryant 
de vídeo:
ank "> https://www.youtube.com/watch?v=ekUQIVUzDX4 
IllusoryTLS
Un patrón de ataque que pueden destruir las garantías de seguridad de la arquitectura de seguridad X.509 PKI mediante el empleo de certificados de CA que incluyen una puerta trasera en secreto incrustado. 
Investigador: Alfonso De Gregorio 
Información adicional: http://www.illusorytls.com 
Explotación XXE en la funcionalidad de análisis de archivos
Una charla Sombrero Negro examinar los métodos de explotación de vulnerabilidades XML de entidad en la funcionalidad de análisis / carga de archivos para los formatos de archivo XML soportado como DOCX, XSLX y PDF. 
Investigador: Will Vandevanter 
vídeo: https://www.youtube.com/watch?v=ouBwRZJHmmo 
Abusar XLST para los ataques prácticos
Investigación y ataques de prueba de concepto de relieve en Sombrero Negro que muestran cómo XSLT se puede aprovechar para socavar la integridad y confidencialidad de la información del usuario. 
Investigador: Fernando Arnaboldi 
vídeo: https://www.youtube.com/watch?v=bUcd-yibTCE~~number=plural 

hashes mágicas
Se ve en una debilidad en la forma en PHP maneja hash cadenas en ciertos casos, para que sea posible poner en peligro los sistemas de autenticación y otras funciones que utilizan comparaciones de hash en PHP. 
Investigadores: Robert Hansen y Jeremi M. Gosney 
información adicional: https://www.whitehatsec.com/blog/magic-hashes/~~number=plural Caza asíncrono vulnerabilidades 


La investigación presentada en 44CON profundiza en el uso de métodos de devolución de llamada inducidas por explotar para encontrar vulnerabilidades que se esconden en las funciones de back-end y subprocesos en segundo plano. 
Investigador: James Hervidor 
vídeo: https://vimeo.com/ondemand/44conlondon2015

lunes, 6 de marzo de 2017

REALIZAN CIBEREXTORSIÓN POR LO DATOS COMPROMETIDOS EN MYSQL


El ransomware se ha convertido en uno de los ataques favoritos de los ciberdelincuentes para afectar a las empresas, pero no todos los intentos de extorsión cibernética se realizan con este tipo de malware.
Desde el comienzo del año, los atacantes han comprometiendo bases de datos, filtrando los datos de las mismas, vaciándolas y pidiendo dinero para devolver los datos. Sus objetivos han sido las bases de datos implementadas en MongoDB, CouchDB y Hadoop, y ahora han puesto en su mira a MySQL.
Según los investigadores de GuardiCore, los primeros ataques comienzan al 12 de febrero. Cientos de ellos fueron detectados y todos fueron rastreados a una dirección IP (109.236.88.20) alojada en la empresa de hosting WorldStream.
“El ataque es mediante un ataque fuerza bruta. Una vez conectado, busca una lista de las bases de datos existentes de MySQL y sus tablas y crea una nueva tabla llamada “WARNING” que incluye una dirección de correo electrónico de contacto, una dirección bitcoin y una demanda de pago”, explicaron.
“En una variante del ataque, la tabla se agrega a una base de datos existente; en otros casos la tabla se agrega a una base de datos recién creada llamada ‘PLEASE_READ’. A continuación, el atacante eliminará las bases de datos almacenadas en el servidor y se desconectará, a veces sin siquiera respaldarlas primero.”
Protección y remediación
Es más que probable que se produzcan ataques similares de nuevo. Afortunadamente, proteger sus servidores contra ellos es fácil: use contraseñas más fuertes.
Minimizar los servicios disponibles desde Internet también es una buena idea, y la creación de un sistema de respaldos de seguridad robusto y automatizado es una necesidad, por lo que no tiene que preocuparse si los atacantes logran afectarlo.
Para aquellos cuyas bases de datos han sido afectadas, los investigadores de GuardiCore tienen el siguiente consejo: antes incluso de considerar pagar el rescate, asegúrese de que los atacantes realmente tienen sus datos.
“En los ataques que revisamos no pudimos encontrar evidencia de ninguna operación de descarga o filtración de datos”, dieron a conocer.
Es interesante notar que las dos direcciones de Bitcoin a las que se supone que las víctimas transferirán dinero han recibido recientemente varios pagos, algunos de ellos aparentemente de víctimas.
Sin embargo, los pagos podrían ser tan fácilmente obtenidos de los propios atacantes y esto podría ser una simple maniobra para convencer a las víctimas de que otros ya han pagado el rescate, por lo que deberían hacerlo.
Fuente:http://www.seguridad.unam.mx/
Conocimiento pertenece al mundo

PARALLEL SSH: CONOCE LA HERRAMIENTA PSSH PARA CONECTARNOS A VARIOS SERVIDORES SSH A LA VEZ


Parallel SSH (pssh) es una herramienta totalmente gratuita y compatible con todos los sistemas operativos basados en Unix y Linux, que nos va a permitir conectarnos de manera simultánea a varios servidores SSH para ejecutar comandos a la vez, sin necesidad de ir entrando en cada uno de ellos para realizar las mismas acciones.
Cuando una web o empresa tiene varios servidores, normalmente están configurados todos ellos con el mismo sistema operativo y las mismas versiones de los programas. Si por ejemplo queremos modificar algo en un grupo de ellos, o actualizar a las últimas versiones todos los programas, deberíamos entrar uno por uno y ejecutar los mismos comandos, por lo que tendremos una tarea repetitiva.
Gracias a herramientas como pssh, podremos conectarnos de manera remota a varios servidores SSH simultáneamente, y ejecutar una misma orden en todos ellos. Por lo que estaremos automatizando en gran medida todo el proceso de despliegue y actualización de dichos servidores.
Algunas características importantes de pssh es que nos permite introducir las contraseñas de acceso, por lo que no es necesario tener únicamente claves privadas en el sistema.

INSTALACIÓN DE PSSH EN DEBIAN

Esta herramienta está disponible en todos los repositorios de las principales distribuciones, nosotros lo hemos probado en Debian 8 y únicamente tenemos que poner la siguiente orden para instalarlo correctamente:
1sudo apt-get install pssh

Si usáis FreeBSD o derivados podéis usar el propio pkg para instalarlo y si utilizáis sistemas basados en Red Hat podéis instalarlo a través de yum. En tu sistema es probable que no se pueda ejecutar el comando “pssh” propiamente dicho, sino que es a través del comando “parallel-ssh” tal y como podéis ver a continuación:

CÓMO UTILIZAR PSSH PARA CONECTARNOS SIMULTÁNEAMENTE A VARIOS SSH

Lo más sencillo para utilizar esta herramienta es crear un fichero de texto con todos los hosts a los que queremos conectarnos, la sintaxis es muy sencilla, a continuación podéis verlo:
1[usuario@]IP_servidor[:puerto]
Un ejemplo de nuestro fichero de texto de pruebas:
1root@10.10.2.1
2
3root@10.10.2.2
4
5root@10.10.2.3
Es recomendable que en la organización o en nuestro hogar hagamos uso de las claves criptográficas de SSH, no solo porque de cara a la seguridad es más seguro, sino porque no tendremos que introducir la contraseña de acceso a cada uno de los servidores SSH a los que queremos conectarnos.
Una vez que hayamos creado el fichero de texto, deberemos poner la siguiente orden:
1parallel-ssh -i -h nombre_archivo_texto COMANDO
Si por ejemplo queremos mostrar la fecha de todos los servidores a los que nos hemos conectado, bastaría simplemente con hacer:
1parallel-ssh -i -h nombre_archivo_texto date
Os recomendamos visitar la página MAN de Parallel-ssh o pssh donde encontraréis todas las opciones que tenemos disponibles, entre las que se incluye poder conectarnos a varios servidores sin necesidad de utilizar un fichero de texto como entrada de datos:
1pssh -i -H "host1 host2" echo "hello, world"
Artículos Recomendados sobre SSH:
  • Manual para configurar un servidor SSH en Linux
  • Manual para configurar un servidor SSH en Windows
  • SSH Tunneling: Conoce cómo configurar y usar un túnel SSH para navegar de manera segura
  • Mejora al máximo la seguridad de tu servidor SSH
Fuente: https://www.redeszone.net/
Conocimiento pertenece al mundo

ESTE DISPOSITIVO SIRVE DE ‘CORTAFUEGOS’ FRENTE AL ‘MALWARE’ OCULTO EN UNIDADES USB


Los troyanos y el ‘phishing’ no dejan de multiplicarse aunque cada vez sean más las medidas para hacerles frente. Los ciberataques a través de unidades USB son algunos de los métodos utilizados para causar grandes daños porque los antivirus inicialmente no pueden detectar la presencia de ‘malware’, por ello, conviene usar una solución como USG, que funcione como ‘cortafuegos’.
‘BadUSB’ es una vulnerabilidad presente en el ‘firmware’ de los dispositivos con conector USB que permitiría a un tercero infectar un chip para que, posteriormente, ese código malicioso se extendiera al equipo donde ha sido conectado el USB.
Los sistemas de seguridad no pueden detectar si alguien se ha aprovechado de esta vulnerabilidad, por lo que resulta útil emplear un sistema USG. “Forma una barrera cortafuegos que bloquea eficazmente los comandos USB maliciosos que afecten a su computadora”, explica Robert Fisk, el encargado de este proyecto, en GitHub.
El dispositivo está a la venta por 60 dólares, aunque el proyecto compartido en GitHub es de código abierto, para que los más habilidosos puedan construirlo por sí mismos. Se trata además de un proyecto recomendado por un programador veterano de Mozilla o netscape Navigator, Jamie Zawisnki. La solución para acabar con los ataques a través de USB.
Fuente:http://www.europapress.es
Conocimiento pertenece al mundo

ESTE DISPOSITIVO SIRVE DE ‘CORTAFUEGOS’ FRENTE AL ‘MALWARE’ OCULTO EN UNIDADES USB


Los troyanos y el ‘phishing’ no dejan de multiplicarse aunque cada vez sean más las medidas para hacerles frente. Los ciberataques a través de unidades USB son algunos de los métodos utilizados para causar grandes daños porque los antivirus inicialmente no pueden detectar la presencia de ‘malware’, por ello, conviene usar una solución como USG, que funcione como ‘cortafuegos’.
‘BadUSB’ es una vulnerabilidad presente en el ‘firmware’ de los dispositivos con conector USB que permitiría a un tercero infectar un chip para que, posteriormente, ese código malicioso se extendiera al equipo donde ha sido conectado el USB.
Los sistemas de seguridad no pueden detectar si alguien se ha aprovechado de esta vulnerabilidad, por lo que resulta útil emplear un sistema USG. “Forma una barrera cortafuegos que bloquea eficazmente los comandos USB maliciosos que afecten a su computadora”, explica Robert Fisk, el encargado de este proyecto, en GitHub.
El dispositivo está a la venta por 60 dólares, aunque el proyecto compartido en GitHub es de código abierto, para que los más habilidosos puedan construirlo por sí mismos. Se trata además de un proyecto recomendado por un programador veterano de Mozilla o netscape Navigator, Jamie Zawisnki. La solución para acabar con los ataques a través de USB.
Fuente:http://www.europapress.es
Conocimiento pertenece al mundo

CÓMO LOCALIZAR UN MÓVIL PERDIDO O ROBADO: BUSCA TU ANDROID O IPHONE


Si metes la mano en el bolsillo y no encuentras tu smartphone, ¡que no cunda el pánico! En esta guía te enseñaremos cómo localizar un móvil perdido o robado.
Nos ha pasado a todos. Metemos la mano en el bolsillo o el bolso y tras unos segundos de búsqueda un sudor frío recorre nuestra espalda. No está, no encuentras tu móvil. ¿Lo habré dejado en otra habitación? ¿Estará en el abrigo? ¿En la guantera del coche? Intentamos hacer memoria pero ya nos vamos anticipando para lo peor. Tranquilo, que no cunda el pánico. Afortunadamente tanto si tu móvil es Android o un iPhone, existen herramientas que te permitirán encontrarlo.
Perder un móvil es una experiencia traumática, no sólo por el valor material del terminal, sino por la importancia personal de la información que contiene y la privacidad de nuestros datos. Tanto si crees que has perdido tu móvil en este momento como si no, éste es uno de los tutoriales que tienes que tener a mano por si un día sucede la desgracia.
Aunque la herramienta para localizar un móvil perdido funciona de forma similar tranto en Android como en iOS, la interfaz y la forma de activación difiere bastante, por lo que explicaremos paso a paso cómo localizar un móvil perdido ya sea Android o si se trata de un iPhone. Es importante recordar que para que esta función sea efectiva se requiere que el dispositivo esté encendido y con batería, de lo contrario la señal que recibiremos será la de su última ubicación disponible.

CÓMO LOCALIZAR UN ANDROID PERDIDO

La herramienta empleada para localizar un smartphone Android se llama Administrador de dispositivos Android y es necesario que lo hayamos activado previamente en nuestro móvil. Se trata de una función incorporada a nuestra cuenta Google, por lo que se vinculará a nuestra dirección de correo electrónico Gmail que empleamos para descargar apps en la Google Store.
Ajustes de ubicación en AndroidAjustes de ubicación en AndroidLo primero de todo será tener activada la Ubicación. Para ello, en nuestro smartphone Android vamos a la app de Ajustes (es la que tiene el icono de engranaje) y en la pestaña Personal pulsaremos sobre Ubicación, que activaremos en caso de que no esté marcada. Ahora nos dirigimos a Ajustes> Google > Seguridad y marcamos tanto  Ubicar este dispositivo de forma remota como Bloquear el dispositivo y borrar los datos de forma remota. Esto nos permitirá tanto localizar el móvil como bloquearlo y borrarlo telemáticamente si se diera el caso.
Y ya está, ya podremos localizar un móvil perdido o robado. En caso de que hayamos extraviado un smartphone Android y queramos conocer su ubicación iremos a un ordenador, smartphone o tablet con conexión a internet y en el navegador (puede ser Internet Explorer, Mozilla, Chrome, Opera, Safari, etc. ) buscaremos Administrador de dispositivos Android.
Administrador dispositivos AndroidAdministrador dispositivos AndroidPara acceder al Administrador de dispositivos Android deberemos meter nuestra dirección de Gmail y su contraseña correspondiente. En ese momento veremos en un mapa la situación actual de nuestro móvil y aparecerán las posibilidades de que éste emita sonido, de su bloqueo y del borrado de datos. De este modo, con la señal sonora podremos descubrir su ubicación de forma precisa si nos encontramos físicamente próximos y en caso de que no tengamos esperanza, procederemos a bloquearlo y/o borrarlo.

CÓMO LOCALIZAR UN IPHONE PERDIDO

Como en el caso anterior, si queremos localizar un iPhone perdido lo primero de todo será activar la opción Buscar mi iPhone, localizada en Ajustes > iCloud > Buscar mi iPhone y activar las opciones Buscar mi iPhone y Enviar última ubicación, por si el nivel de la batería del iPhone es muy bajo o nulo. Esta opción viene englobada en la nube de Apple iCloud, por lo cual también requeriremos una cuenta de iCloud, un requisito complementario a nuestro ID de Apple que los usuarios de iOS emplean para descargar apps desde la App Store.
Ajustes de Buscar mi iPhoneAjustes de Buscar mi iPhoneUna vez realizadas estas premisas, ya podemos localizar un iPhone perdido o robado. Simplemente tendremos que acudir a cualquier ordenador, tablet o smartphone (da igual que sea de Apple o no) con conexión a internet y acceder a la web de iCloud. Entonces introducimos nuestro email y contraseña vinculados a nuestra cuenta iCloud y pulsamos sobre Buscar mi iPhone.
Buscar mi iPhoneBuscar mi iPhoneEn ese instante veremos la ubicación de nuestro iPhone (y cualquier otro dispositivo Apple vinculado a esa cuenta iCloud) y aparecerán las opciones de que emita sonido, bloquearlo y borrarlo. Con el sonido lo encontraremos fácilmente si por ejemplo estaba debajo del sofá. Si tenemos esperanzas de encontrarlo, lo mejor es bloquearlo de forma que sólo se pueda acceder a él mediante una contraseña propia. Por el contrario, si estamos seguros de que no vamos a recuperar, lo mejor será borrarlo por completo.
Esperamos que este tutorial para localizar un móvil perdido haya sido de tu ayuda. Si tienes cualquier comentario o duda, por favor, háznoslo saber en los comentarios.
Conocimiento pertenece al mundo

¿CÓMO PROTEGER DE USB RUBBER DUCKY CON HERRAMIENTA GRATUITA BEAMGUN?


El USB Rubber Ducky es una pequeña herramienta increíble puesta en marcha por los expertos de ciberseguridad de HAK5. Básicamente, este pequeño dispositivo USB se registra como un teclado, espera un poco y luego corta la computadora de la víctima con una ráfaga de pulsaciones de teclado a una velocidad super humana y las soluciones tradicionales de seguridad en redes no pueden detectar esto. Esto requiere una sesión activa, aunque obviamente la computadora no necesita ser desatendida.
Los posibles efectos de este ataque son devastadores para ciberseguridad de una empresa. Por lo general, es trivial elevar los privilegios al administrador (ya que está emulando un usuario escribiendo), por lo que puede instalar cualquier tipo de malware que se desee, extraer scripts más grandes desde un servidor remoto, o peor explican consultor de seguridad en redes, Salvador Ruiz de iicybersecurity.
Usted puede protegerse contra USB Rubber Ducky usando Beamgun, una herramienta de ciberseguridad. Beamgun escucha tranquilamente el USB insertado. Se ejecuta como un proceso de fondo. Beamgun bloquea la inyección de golpe de la llave robando continuamente el enfoque y bloqueando la máquina. Todas las teclas de teclado se graban y se puede ver lo que el hacker estaba tratando de hacer según consultor de seguridad en redes.
Según expertos de ciberseguridad de Instituto internacional de seguridad cibernética, Beamgun se muestra en los procesos del sistema cada vez que ejecuta BeamgunApp.exe. Si lo instalas utilizando MSI installer, esto sucederá cada vez que inicie sesión. Puedes hacer clic en el icono correspondiente para ver el estado de la aplicación. Desde aquí, puedes desactivar Beamgun. Si estás a punto de insertar y quitar dispositivos USB con frecuencia, durante los próximos 30 minutos. También puedes hacer “Reset” Beamgun si has sido alertado y, finalmente, puedes forzar a Beamgun para salir haciendo clic en “Exit”.
También puedes configurar los ajustes de seguridad en redes para Beamgun utilizando las dos casillas de verificación. Cuando el beamgun detecta un dispositivo USB, sólo ejecutará las funciones que haya seleccionado. Si selecciona “Attempt to steal”, Beamgun intentará robar todas las teclas de teclado y robando continuamente el enfoque. Si marca “Lock workstation”, Beamgun le dirá a Windows que se bloquee, forzándolo a escribir su contraseña para continuar.

beamgun

CÓMO FUNCIONA

Según expertos de seguridad en redes y ciberseguridad, hay algunas llamadas importantes de la API de Win32 que nos permiten hacer lo siguiente:
  • Supervisar las inserciones de dispositivos de teclado para que podamos alertar,
  • Enganchar teclas para que podamos ver lo que el atacante intentó hacer,
  • Roba continuamente el enfoque al teclado para evitar que el atacante progrese y, finalmente,
  • Bloquea la estación de trabajo. Como otra opción (potencialmente más robusta), el usuario puede optar por bloquear la estación de trabajo cada vez que se produce una inserción USB.

CONSIDERACIONES ESPECIALES

Dado que el Rubber Ducky es un dispositivo de teclado, los expertos de seguridad en redes y ciberseguridad tuvieron que ser muy cuidadoso en la implementación de Beamgun para tratar de frustrar algunas contramedidas. El experto de seguridad en redes se aseguró de que algunos fans de Rubber Ducky se esforzarán para subvertir Beamgun, por estsos razones hay más seguridad:
  • Desactivación de ALT-F4
  • Usando botones personalizados que no responden a eventos del teclado
  • Robo de enfoque en un loop con un intervalo muy ajustado

https://github.com/JLospinoso/beamgun
Conocimiento pertenece al mundo