Darkstat, es una herramienta muy sencilla de utilizar especialmente desarrollada para monitorizar el tráfico de red en servidores, aunque puede utilizarse sin problemas en una red doméstica.

A continuación veremos como  instalar, configurar y utilizar esta sencilla herramienta de monitorización del tráfico de red que nos va a permitir controlar y analizar el tráfico de nuestra red local desde Linux sin necesidad de utilizar complejas herramientas. Darkstat, al igual que la mayoría de las aplicaciones para Linux, es gratuita y de código abierto. Darkstat también está disponible para Mac OS X.

Cómo instalar Darkstat

Darkstat es una herramienta para Linux que por lo general viene incluida en la mayoría de los repositorios oficiales. Lo primero que debemos hacer es instalarla en nuestra distribución. Para ello, suponiendo que utilicemos Ubuntu o alguna otra distribución basada en ella, abrimos un terminal y tecleamos:

sudo apt install darkstat

Automáticamente se descargará la última versión y se instalará en nuestro ordenador. Cuando finalice podremos ver en el terminal un aviso que nos indica que antes de ejecutarla debemos realizar unas pequeñas configuraciones, que vamos a ver a continuación.

Cómo configurar Darkstat

El archivo de configuración de Darkstat se encuentra en la ruta "/etc/darkstat/init.cfg". Antes de poder ejecutar la herramienta debemos cambiar unos valores en este fichero, por lo que desde el mismo terminal volvemos a teclear:

sudo nano /etc/darkstat/init.cfg

Aquí debemos prestar atención a dos elementos:

START_DARKSTAT=no. Debemos cambiar este valor por el de START_DARKSTAT=yes para permitir que la aplicación pueda ejecutarse.

También debemos descomentar los apartados de DIR, PORT, BINDIP y LOCAL para activar el servidor web y poder acceder a una sencilla interfaz desde el navegador. El resultado final del archivo de configuración debe ser similar al siguiente



Los usuarios más avanzados pueden cambiar otros parámetros como el puerto (nosotros utilizamos el 8081), la BINDIP a la IP privada del equipo, la dirección de la red local y la resolución DNS.



Con todo listo sólo nos queda arrancar la aplicación. Para ello tecleamos:

sudo /etc/init.d/darkstat start

Cómo funciona Darkstat

Esta aplicación funciona como un demonio, no dispone de interfaz ni de ningún otro elemento que podamos usar. Por ello toda la aplicación se controla desde nuestro navegador. Para ello sólo debemos abrirlo y escribir en la barra de direcciones localhost:666 (o la IP de nuestra máquina virtual y el puerto configurado) para ver la ventana de monitorización de esta aplicación.



Esta es la primera página que veremos, donde nos mostrará una gráfica con todo el tráfico de red que se está generando. Si cambiamos a la pestaña "hosts" podremos ver todas y cada una de las conexiones que se han establecido y el tráfico que se ha generado en cada una de ellas.



Como podemos ver, una aplicación muy sencilla de utilizar y de configurar pero que nos va a permitir tener un control casi total de toda nuestra red.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando hablamos de malware o software malicioso por lo general solemos tener en mente un virus o un troyano, sin embargo en la red existe una gran variedad de aplicaciones dañinas que en muchas ocasiones no buscan hacer daño al usuario sino que simplemente buscan molestar y obtener una remuneración económica. Un ejemplo de malware no dañino son los secuestradores de navegadores que aunque no atacan directamente nuestro sistema lo utilizan para mostrar anuncios que, por detrás, generan ingresos a los piratas informáticos responsables de su desarrollo.

Browsefox (también conocido como Yontoo o Sambreel) es uno de los secuestradores de navegadores, también conocidos como "browser hijackers", más conocidos y extendidos por la red. Una vez instalado en el ordenador de la víctima automáticamente toma el control del mismo recopilando todo tipo de información introducida, redirigiendo al usuario hacia webs de su propio interés y mostrando constantes banners publicitarios.

El equipo de seguridad de Malwarebytes ha detectado en las últimas horas un considerable aumento de la actividad de nuevas variantes, hasta ahora desconocidas, de Browsefox. Estas variantes están llegando a los usuarios como "herramientas para optimizar y mejorar la experiencia de uso del navegador web y de las webs que se visitan", aunque en realidad lo que instalan es el malware en los equipos.

Una de las últimas aplicaciones maliciosas que se han podido identificar es High Stairs, una supuesta extensión para el navegador web pero que en realidad no se especifica muy bien lo que hace. Por lo general este tipo de aplicaciones maliciosas no dependen del usuario ya que muchas veces no se pregunta por su instalación sino que simplemente se copia al disco y se ejecuta junto a otros programas. Además esta falsa extensión instala una variante del malware Browsefox y es incluso capaz de identificar si se está ejecutando en una máquina virtual y, de ser así, cancelar su instalación.



Cuando Browserfox está instalado en el sistema empieza a controlar el navegador. Si se analiza su comportamiento se puede ver cómo se instala como una extensión para el navegador (Google Chrome, Firefox, Opera e Internet Explorer) y desde ellos empieza a recopilar todo tipo de datos. También debemos tener en cuenta que la principal finalizad de los secuestradores de navegadores es remunerar a los piratas informáticos. Estas aplicaciones maliciosas normalmente se basan en mostrar publicidad a los usuarios, aunque es probable que recopilen información sobre la actividad de los mismos, e incluso datos personales, que posteriormente pueden venderse a terceras personas.

Browsefox carga iframes de 1 pixel con código para mostrar publicidad e incluso podría ser capaz de explotar vulnerabilidades de día cero, aunque por suerte esto no se ha detectado.

Por suerte Browsefox es muy sencillo de eliminar, y sólo hay que instalar una herramienta actualizada como Malwarebytes AntiMalware y escanear nuestro equipo en busca de malware. Esta se encargará de identificar y eliminar todo lo relacionado con esta aplicación maliciosa de nuestro sistema de forma automática, sin que tengamos que hacer nosotros nada más.

El malware Browsefox ha sido denominado como PUP.Optional.HighStairs.A.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hoy el Proyecto KDE lanza Plasma 5.4, la última versión de la reimplementación de su entorno de escritorio basado en Qt 5.

Plasma 5.4 trae consigo varias novedades que los usuarios percibirán nada más usar el entorno, como un mejor soporte DPI para las pantallas de alta resolución, autocompletado de KRunner y nuevos iconos, que pretende darle un aire más moderno al entorno.



Además de los detalles descritos, Plasma 5.4 pone a disposición una versión previa de la sesión de Wayland, junto a otras novedades relevantes.

Nuevo applet de el volumen del audio

El nuevo applet de audio de KDE ahora trabaja directamente con PulseAudio, el servidor de sonido que lleva tiempo siendo el estándar (de facto) en GNU/Linux. Ha sido rediseñado para ofrecer control total sobre el volumen de las aplicaciones y el sistema en general.



Panel de aplicaciones como lanzador alternativo

Plasma 5.4 incorpora un nuevo lanzador a pantalla completa, llamada Application Dashboard y que está presente en kdeplasma-addons. Ofrece todas las características del Menú de Aplicaciones e incluye un escalado sofisticado a pantalla completa, además de permitir una navegación espacial a través del teclado. Desde este lanzador podrá buscar aplicaciones, documentos recientes, documentos favoritos y contactos. Personalmente, me recuerda un poco a Windows 8.



Artwork Galore

Plasma 5.4 trae consigo más de 1.400 nuevos iconos que abarcan mucho más que las aplicaciones de KDE, sino que cubren también muchas aplicaciones ajenas y que no se basan en Qt como Firefox, Inkscape y LibreOffice, en un intento de ofrecer un aspecto más homogéneo.



Historial de KRunner

KRunner, la herramienta multiusos de KDE y que se invoca a través de alt+F2, ahora tiene un historial que recuerda las búsquedas recientes, reforzado con un mecanismo de autocompletado.



Applet de red más útil

La applet de red de Plasma 5.4 muestra ahora gráficos sobre el tráfico de red, además soporta dos plugins de VPN para conectarse a través de SSH o SSTP.



Estos cambios son los destacados por KDE en el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, aunque vienen otros muchos más que merecen la pena ser mencionados (en esta lista no están todos):

-Menor consumo de memoria.
-La papelera de reciclaje vuelve a soportar el arrastrar y soltar.
-La bandeja del sistema ahora tiene una configuración más rápida.
-Documentación revisada y actualizada.
-Distintas mejoras en el reloj digital.
-Se ha añadido el número de la semana en el calendario.
-Los contactos favoritos de Telepathy ahora muestran la foto y el estado en tiempo real.
-Mejoras en la Vista Carpeta del escritorio, con correcciones en los tamaños por defecto y en la interacción con el ratón.
-El Gestor de Tareas intenta ahora preservar el icono que deriva del lanzador.
-La barra de tareas vuelve a soportar la adición de lanzadores a través del arrastre.
-Se ha añadido un monitor de configuración.

Como se puede apreciar, Plasma 5.4 viene cargado de pequeños detalles que ayudarán a facilitar la vida a los usuarios, recuperando características que se perdieron en la transición de KDE 4 a Plasma 5.

En el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta se puede ver todo lo que ha sido modificado o añadido de forma pormenorizada.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hoy, en tu aniversario de nacimiento, Underc0de quiere estar junto a ti para desearte el mejor día!
Pasa momentos estupendos junto a tu familia y amigos... y ese proyecto que desees al apagar las velitas comience hoy a cumplirse!!!

Un ramillete de felicidades!

Gabi

El Modo Dios es un truco de Windows 10 pensado para los desarrolladores que te permite acceder a una aplicación oculta que recopila cientos de opciones de configuración y personalización de Windows 10, todo ello reunido en categorías, en un cómodo menú, y en un único lugar.

El proceso es en realidad muy sencillo. Sólo hay que crear una carpeta especial en el disco duro en donde está instalado Windows. El lugar no importa.

Para que sea más cómodo de acceder, vamos a crearla en el Escritorio. Debes pinchar con el botón derecho del ratón en un lugar libre del Escritorio, elegir Nuevo, y luego Carpeta. Debe tener exactamente este nombre:

        Modo Dios.{ED7BA470-8E54-465E-825C-99712043E01C}

Verás algo así en la pantalla:



La clave es el punto que puedes ver en dicho nombre. Lo que está a la derecha del punto es intocable, si cambias algo el Modo Dios de Windows 10 no se activará. Lo que está a la izquierda del punto puede ser cualquier cosa. Hemos utilizado Modo Dios pero también puedes poner GodMode, o como hace mucha gente, Modo Jedi...

Recuerda, cambia sólo lo que hay a la izquierda del punto. Si lo llamas Modo Dios, aparecerá un icono como éste:



Lo puedes mover y colocar en la carpeta que quieras, anclarlo a la barra de tareas... ¡Tu decides!

Al hacer un doble clic en el icono, abre una app especial con un menú que contiene cientos de opciones de configuración y personalización de Windows 10:



Simplemente ve bajando por la docena de categorías del menú hasta encontrar lo que quieres cambiar. Hay opciones sencillas como cambiar la resolución y el tamaño de los iconos, junto a otras que alteran el funcionamiento del sistema y pueden hacer que deje de funcionar, así que cambia sólo aquello que conoces:



Es muy útil porque todo está reunido en un único sitio y no tienes que entrar en diferentes apps, menús y submenus de configuración de Windows 10 para encontrarlo. Y descubrirás opciones de personalización que ni sabías que existían.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La red Tor es una red distribuida donde todo nuestro tráfico viaja de forma segura y cifrada a través de una serie de proxies (o relés) desde nuestro ordenador al ordenador remoto. De esta manera se complica considerablemente la posibilidad de acceder a dicho tráfico y, en caso de conseguirlo, es casi imposible asociarlo a un usuario concreto y seguir su ruta. Para navegar por esta red debemos instalar en nuestro ordenador una serie de software que nos brinde el acceso a estos relés.

La aplicación más conocida y utilizada para conectarnos a la red Tor es Tor browser. Este software se trata de una versión modificada de Firefox que viene ya con todo lo necesario para conectarnos con un clic simplemente al ejecutarlo. Es de vital importancia mantener el navegador actualizado a la última versión ya que de no hacerlo es posible que nuestra seguridad se vea comprometida al conectarnos a esta red.

Novedades de Tor Browser 5.0

Tor Browser es el navegador recomendado para conectarse a la red Tor y navegar por ella preservando la seguridad y la privacidad. Este navegador viene con una serie de configuraciones y plugins que nos garantizan una alta seguridad y privacidad al navegar por dicha red, sin embargo es de vital importancia mantenerlo actualizado para evitar que usuarios no autorizados puedan explotarlo y comprometer nuestra seguridad.

Las principales novedades de esta nueva versión del navegador web son:


*Se han actualizado los componentes básicos del navegador como:

==>Firefox recibe la versión 38.2.0esr.
==>OpenSSL a 1.0.1p.
==>HTTPS-Everywhere a la versión 5.0.7.
==>NoScript a 2.6.9.34.
==>Meek a la versión 0.20.
==>Tor a la versión 0.2.6.10 con varios parches de seguridad y estabilidad.
==>Torbutton se actualiza a la versión 1.9.3.2 con varios parches de seguridad.
==>Tor Launcher recibe la versión 0.2.7.7.

*Se han solucionado un gran número de fallos, tanto de seguridad como de estabilidad, en el navegador.

*Se han solucionado fallos específicos que habían sido detectados tanto en Windows como en Mac OS X.


Para finalizar cabe destacar un nuevo módulo que permite al navegador recibir actualizaciones automáticas. De esta manera podremos tener la seguridad de utilizar siempre la versión más reciente del software sin tener que estar pendientes de buscarla y descargarla manualmente.



Podemos descargar esta nueva versión de Tor Browser No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tails 1.5, todo lo necesario para navegar de forma anónima, privada y sin dejar rastro

Tails es una distribución Linux especialmente diseñada para poder navegar por Internet de forma totalmente anónima y privada. Esta distribución se ejecuta completamente desde la memoria ram (no deja ningún rastro en los discos duros) y no requiere instalación, por lo que simplemente con una unidad óptica e incluso desde una memoria USB podemos hacer uso de ella en cualquier momento.

La nueva versión de Tails ha incluido ya el nuevo Tor Browser 5.0 con todas las novedades que hemos visto antes del propio navegador y se han mejorado también otros aspectos relevantes de la distribución:

*Se ha mejorado el soporte UEFI para los sistemas de 32 bits.
*Se ha reforzado la seguridad de AppArmor.
*Se ha deshabilitado el acceso a la red local desde Tor Browser. Ahora esto se debe realizar desde otro navegador.
*El resto de aplicaciones y componentes del sistema han sido actualizados.


Tails 1.5 se encuentra disponible No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Windows 10 incluye una nueva función relacionada a las actualizaciones que permite que una vez descargada una actualización en tu sistema, tu ancho de banda sea usado para distribuir esta actualización con otros usuarios de Windows 10. Por defecto está activado tanto para dispositivos en nuestra propia red como para otros en Internet, esto ha provocado las quejas de muchos usuarios que desconocían esta función. A continuación vamos a ver como controlar esta opción.

En los últimos días un gran número de usuarios ha reportado que al instalar Windows 10, su ancho de banda disponible había bajado drásticamente, esto es debido a Update Delivery Optimization (WUDO), una nueva funcionalidad de Windows 10 que se podría equiparar a un sistema p2p para agilizar la distribución de actualizaciones tanto en redes LAN como en Internet.

Realmente es una muy buena opción sobretodo en redes LAN en las cuales podemos salvar un enorme ancho de banda ya que una vez descargada una actualización en un dispositivo este ayudará al resto a recibir la misma de manera mucho más ágil y rápida. El problema para la mayor parte de usuarios es la opción para compartir de la misma manera con dispositivos en Internet y principalmente que WUDO venga activado por defecto.

Afortunadamente Windows 10 ofrece un control granular de esta funcionalidad por lo que la podemos activar o desactivar independientemente para dispositivos situados en nuestra LAN o en Internet, vamos a ver como:

Vamos a Inicio -> Configuración -> Actualizaciones y Seguridad



Alli clickamos en "Opciones Avanzadas"



Ahora clickamos en "elegir como las actualizaciones son distribuidas"



Y ya en este menú podemos ver las opciones para seleccionar si queremos activar o desactivar completamente esta función y si la queremos solo para dispositivos en nuestra LAN o también para aquellos en Internet.



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Para los que habéis actualizado a Win 10 o pensáis hacerlo, revisad que Microsoft con un par de... ha colado  muchas configuraciones "por defecto". En este caso, que nos pillen ancho de banda sin consentirlo o sin saber que lo están haciendo es un auténtico robo, por más que Microsoft diga: "No hace que tu conexión vaya lenta ya que utiliza una porción limitada de ancho de banda".
La solidaridad está muy bien, pero cuando nosotros elegimos con quien ejercitarla.

Este virus se puede trasmitir sin conexión a internet, instalarse a sí mismo y replicarse si se conecta un periférico infectado.

Las computadoras de Apple siempre fueron conocidas por tener un firmware más seguro que el resto de las PC. Sin embargo, ya no es así.
Los investigadores especializados en seguridad informática Xeno Kovah y Trammell Hudson difundieron la existencia un nuevo virus gusano llamado Thunderstrike 2, capaz de infectar el BIOS de una Mac replicándose a tal punto que no puede ser borrado ni siquiera formateando el sistema operativo o cambiando partes de su hardware.

Este virus instala una gran variedad de malware en la PC sin requerir ningún tipo de autorización ni contraseña por parte del usuario. Para agravar aún más el panorama, este virus puede esparcirse entre las Macs inclusive si no tienen conexión a internet. El virus se puede instalar a sí mismo y replicarse si se conecta un periférico infectado como un adaptador Thunderbolt de Apple.

Kovah explicó que este tipo de vulnerabilidades puede ser explotada para infectar máquinas alrededor del mundo si se venden adaptadores Ethernet en eBay u otras plataformas. Además, este movimiento se puede masificar si se infecta directamente a una fábrica.

"Los usuarios no están al tanto de que estos pequeños dispositivos pueden infectar su firmware. Cualquier puede recibir este gusano que se está expandiendo con un perfil bajo. Si la gente no toma conciencia de los ataques, van a bajar la guardia y van a exponen completamente sus sistemas", explicó Kovah

Los fabricantes de hardware generalmente no acompañan sus productos con mejoras de software y actualizaciones, aunque Kovah asegura que esto brindaría una capa extra de protección para los usuarios. "La mayoría de las empresas, incluyendo Apple, no se ocupan de las nuevas vulnerabilidades que aparecen", aseveró.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hoy llega Windows 10, el esperado nuevo sistema operativo de Microsoft. Los usuarios podrán actualizar de forma gratuita desde Windows 7 y Windows 8 pero son muchas las preguntas que surgen en un momento así. En este artículo hemos intentado recoger las principales inquietudes de los usuarios y la solución a cada una de ellas.

¿Cuándo está disponible?



Windows 10 estará disponible a partir de hoy 29 de julio. Es muy importante el matiz "a partir" ya que será un proceso gradual. Ya os explicado en alguna ocasión que Windows 10 no estará disponible para todos el mismo día de su lanzamiento. Los primeros en tener la actualización serán los miembros de Windows Insider y después, los usuarios serán informados cuando la versión de Windows 10 ya se haya descargado y esté lista para instalar. También dependerá de la versión, mientras que Windows 10 Pro y Windows 10 Home estarán disponibles desde el día 29, las versiones Enterprise y Education tendrían que esperar al 1 de agosto.

¿Es gratis?



Windows 10 se ofrece como actualización gratuita para los dispositivos Windows 7, Windows 8.1 y Windows Phone 8.1 que cumplan los requisitos. Los requisitos son básicamente el contar con una copia legal de uno de estos sistemas operativos. La mayoría verá como habrá aparecido un icono para reservar la actualización en la barra de tareas. Se podrá actualizar de forma gratuita (y para siempre) durante 1 año

¿Y si no tengo el icono? Pues también podrás conseguir la actualización siguiendo los pasos indicados en este artículo. También te invitamos a leer lo que ocurrirá si no reservamos la actualización gratuita a Windows 10. Por último, existe un supuesto para tener Windows 10 gratis sin tener una copia legal de un sistema anterior o viniendo desde Windows XP y Vista, sólo necesitas ser miembro permanente de Windows Insider.

¿Y si no reservo la actualización?



No hay ningún problema si no reservas la actualización desde el icono de Windows 10 o directamente no te aparece este icono. Microsoft ha explicado que una vez que nuevo sistema operativo esté disponible, comenzará a mostrar notificaciones para que consigamos la actualización. De todas formas, nos aclara que aunque no reservemos la actualización, ésta seguirá estando disponible.

La ventaja de utilizar el icono de Obtener Windows 10 es que la descarga de los archivos necesarios para actualizar, comenzará tan pronto como sea posible y estén disponibles. En caso de no utilizar este método, tendremos que actualizar de forma "manual". De una u otra forma, a partir de hoy 29 de julio podremos dar el salto al nuevo sistema operativo de los de Redmond.

¿Cuánto cuesta Windows 10?



Ya hemos aclarado el tema de la actualización gratuita desde sistemas anteriores pero también se puede dar el caso en que queramos comprar una licencia nueva. Podremos comprar Windows 10 en los distribuidores autorizados, aunque los precios oficiales todavía no se han desvelado. Lo que sí tenemos son los precios filtrados para España. Por cierto, Windows 10 también se venderá en memorias USB. Como curiosidad, apuntar que se ha creado un mercado de segunda mano de licencias baratas de Windows 7 para actualizar a Windows 10.

¿Requisitos mínimos?



Cómo cualquier software, Windows 10 tiene los siguientes requisitos mínimos para funcionar:

-Sistema operativo: Windows 7 SP1 o Windows 8.1 Update
-Procesador: Un procesador a 1 GHz o más rápido
-RAM: 1 GB para 32 bits o 2 GB para 64 bits
-Espacio Disco duro: 16 GB para 32 bits o 20 GB para 64 bits
-Tarjeta gráfica: DirectX 9 o posterior con un controlador WDDM 1.0
-Pantalla: 1024 x 600 píxeles

Cómo vemos, cualquier ordenador que ya ejecute Windows 7, Windows 8 o Windows 8.1 puede actualizar perfectamente a Windows 10 con el mismo nivel de funcionamiento. En equipos más antiguos habrá que mirar las características para ver si cumplen los mínimos de Microsoft.

¿Cuánto tarda la instalación?



Microsoft nos aclara que la actualización tarda una hora en instalarse, aunque los equipos más actuales pueden tardar sólo 20 minutos. Todo esto sin contar que debemos descargar antes el archivo de la actualización aunque si la hemos reservado, esta se descargará automáticamente.

¿Qué edición de Windows 10 tendré?



Se ha establecido una conversión entre las versiones de Windows 10 y sus correspondientes en Windows 7 o Windows 8. Los usuarios se actualizarán según estos criterios:

-Windows 7 Starter, Home Basic o Home Premium -> Windows 10 Home
-Windows 7 Professional o Ultimate -> Windows 10 Pro
-Windows Phone 8.1 -> Windows 10 Mobile (según fabricante)
-Windows 8.1 -> Windows 10 Home
-Windows 8.1 Pro o Pro para Estudiantes -> Windows 10 Pro

¿Puedo actualizar Windows Phone?



La regla general es que todos los dispositivos Windows Phone 8.1 podrán actualizar, aunque Microsoft aclara que "estamos trabajando con partners de Windows Phone 8.1 para poner la actualización de Windows 10 a disposición de la mayoría de teléfonos más adelante este año"

¿Puedo actualizar Windows RT?



Al contrario que Windows Phone, los dispositivos Windows RT no se actualizarán a Windows 10. Desde Redmond informan que durante el lanzamiento de Windows 10, se lanzará también una actualización para estos sistemas.

¿Qué funciones perderé con respecto a Windows 7 y Windows 8?



Antes de actualizar, debes conocer lo que pierdes en el proceso. Los usuarios de Windows 7 y Windows 8 tienen una serie de funciones y características que no estarán en Windows 10, tal y como te detallamos en este completo artículo. A grandes rasgos, se eliminará Windows Media Center, será necesario un software independiente para ver DVD, los gadgets de escritorio de Windows 7 desparecen, las actualizaciones en Windows 10 Home se aplicarán automáticamente, los juegos de Windows 7 que vienen preinstalados no estarán, las unidades de disco externo necesitarán nuevos drivers y se cambiará la versión de OneDrive si tenemos Windows Live Essentials.

¿Puedo hacer una instalación limpia?



Podremos hacer una instalación limpia cuando hayamos completado el proceso de actualización a Windows 10. Microsoft deja claro este punto con estas palabras: "Una vez que hayas actualizado a Windows 10 usando la oferta de actualización gratuita, podrás reinstalar, incluida una instalación limpia, en el mismo dispositivo. No tendrás que comprar Windows 10 ni volver a tu versión anterior de Windows y volver a actualizar. También podrás crear tu propio medio de instalación, como una unidad USB o DVD, y usarlo para actualizar tu dispositivo o reinstalarlo una vez actualizado".

¿Seguirán funcionando mis aplicaciones, programas y juegos?



Pues depende, es complicado contestar de forma genérica esta cuestión. Algunos desarrolladores ya han lanzado versiones compatibles con Windows 10 mientras otros trabajan en adaptar sus programas al nuevo sistema operativo. La regla general dice que si algo funcionaba en Windows 8, debería hacerlo en Windows 10 pero no podemos tomarlo como Ley.

La aplicación Obtener Windows puede servirnos para obtener más detalles sobre nuestro ordenador y sus aplicaciones. En el menú de la parte superior izquierda pulsaremos sobre "Check your PC" (Analizar tu PC) o "Your PC is good to go" (Tu PC está preparado). Ahí aparecerán los posibles problemas de compatibilidad.

¿Cuáles son las principales novedades de Windows 10?



Cuando descubrimos que Windows 9 no iba a existir y en su lugar se iba a apostar por Windows 10, también se desvelaron algunas de sus novedades. La vuelta del menú de inicio, aplicaciones Modern en ventanas, mejoras en pantalla partida, múltiples escritorios, Cortana como asistente, el navegador Edge, DirectX 12, Windows Hello para autentificación biométrica o Continuum.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Durante las últimas horas no han cesado de aparecer noticias hablando de la investigación de Joshua Drake, de la empresa Zimperium Mobile Security, que podría suponer un grave riesgo de seguridad para la mayoría de smartphones con Android.

Este investigador ha descubierto varias vulnerabilidades en el reproductor de medios nativo de Android (Stagefright) que podrían provocar que un atacante escribiese código en el sistema o robase información del dispositivo.

Funcionamiento del ataque

El origen de este agujero de seguridad se oculta entre las miles de líneas de código que componen Android. Stagefright es una librería de medios que se encarga de gestionar varios formatos para que el usuario pueda ver vídeos o escuchar música en su smartphone.

Debido a que la gestión de estos medios tiene que ser rápida y consumir el mínimo de recursos posible, esta librería está desarrollada en el lenguaje C++, más propenso a las corrupciones de memorias que otros lenguajes más modernos como Java.

Para realizar este ataque, el investigador asegura que tan solo se necesita el número de teléfono de la víctima. Con este dato se puede enviar un mensaje MMS (con contenido multimedia) especialmente modificado e incluso, en algunos casos, se podría eliminar el mensaje antes de que el usuario lo viera, quedando solo la notificación de que ha sido recibido.

Si este ataque funciona tal y como lo ha descrito el investigador, estaríamos ante uno de los más peligrosos a los que se han enfrentado los usuarios de Android, puesto que no se requiere que la víctima haga nada como por ejemplo abrir un archivo adjunto a un mensaje, instalar una aplicación o pulsar sobre un enlace. Todo esto se realizaría de forma transparente para el usuario siempre que el teléfono tuviese cobertura.

El hecho de que la víctima no se dé cuenta de que está siendo el objetivo de un ataque supone que muchos podrían tener su smartphone comprometido y no darse cuenta de ello, algo que le permitiría al atacante obtener información muy importante del usuario objetivo.

En las siguientes capturas de pantalla vemos cómo funcionaría supuestamente este ataque en un Nexus 5 con Android Lollipop 5.1.1 instalado:



Versiones de Android afectadas

Según esta investigación, todas las versiones de Android a partir de Froyo (2.2) inclusive serían vulnerables, algo que supone, según algunos estudios, el 95 % de dispositivos o alrededor de 950 millones de usuarios en todo el mundo. Además, las versiones anteriores a Jelly Bean son las que tienen un riesgo mayor, puesto que no incorporan mitigaciones de exploits adecuadas.



Hay que tener en cuenta que Stagefright se compone en realidad de siete vulnerabilidades diferentes, que ya han sido reportadas y se les ha asignado su correspondiente CVE. Además, la empresa que ha publicado esta investigación avisó de la seriedad del problema a Google, lo que hizo que se prepararan y aplicaran parches en el código vulnerable en poco tiempo.

El problema reside en quién va a recibir estos parches. Los usuarios de dispositivos de Google como el smartphone Nexus 6, pueden estar seguros de que verán publicada esta actualización. Otros fabricantes puede que la lancen a sus dispositivos estrella más actuales, pero seguirá quedando una gran mayoría de usuarios sin actualizar debido a que ni los fabricantes ni las operadoras se van a molestar en lanzar esta actualización para aquellos dispositivos considerados obsoletos.

Mitigación del ataque

Parece ser que tan solo una actualización por parte del fabricante podría solucionar este grave problema, algo que ya hemos dicho es bastante improbable que se produzca para cientos de millones de usuarios de Android en sus smartphones.

Así pues, ¿qué solución nos queda? De momento, esperar. No olvidemos que este anuncio se ha producido la semana antes de que empiecen las conferencias de seguridad BlackHat y Defcon en Las Vegas, por lo que es lógico que se trate de ganar notoriedad para que asista el mayor número posible de gente a las charlas que el investigador dará en esa conferencia.

No obstante y de momento, la única información de la que disponemos es la proporcionada por la empresa en la que trabaja este investigador, por lo que deberíamos esperar a ver esta presentación antes de sacar nuestras propias conclusiones. No sería la primera vez que se presentase una vulnerabilidad como extremadamente crítica y luego se viese cómo su alcance se ve limitado a unos escenarios muy concretos.

Por eso recomendamos a los usuarios de Android que no se deshagan todavía de sus dispositivos y esperen a ver en qué consiste realmente este fallo de seguridad y cuáles son las posibilidades reales de sufrir un ataque de estas características.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las formas de conseguir que un usuario descargue malware en su equipo sin que sea realmente consciente son bastantes variadas. Un grupo de investigadores italianos ha descubierto la forma de utilizar HTML5 para realizar ataques basados en descargas dirigidas de forma satisfactoria.

Tal y como han detallado los propios investigadores, en muchas ocasiones la utilización de este tipo de práctica no evita que las herramientas de seguridad instaladas en los equipos sean capaces de detectar las amenaza. Por este motivo, los ciberdelincuentes buscan en muchas ocasiones la forma de ofuscar el código y así evitar este problema.

De esta forma, APIs como Canvas, WebSocket, Web Workers, IndexedDB, localStorage o Web SQL servirían sin ningún tipo de problema para desempeñar esta funcionalidad y evitar que la amenaza sea descubierta.

Las pruebas comenzaron en el año 2013 y su culminación ha llegado este mismo mes, obteniendo pruebas satisfactorias en Firefox e Internet Explorer.

Los expertos en seguridad han comprobado que mientras los exploit que no poseen ningún tipo de ofuscación se detectan por la mayoría de las herramientas de seguridad, al agregar esta el resultado es muy distinto y solo unos poco antivirus consiguen detectar la presencia de la amenaza.

Tres técnicas diferentes de ofuscado se pueden utilizar con HTML5

Gracias a las APIs mencionadas con anterioridad el atacante puede realizar tres tipos de ofuscado:

-Delegado
-Distribuido
-Dirigido en tiempo de uso

Todas ellas son eficaces ante herramientas de protección estática y dinámica, por lo que los ciberdelincuentes van a tener donde elegir en las próximas semanas, sobre todo porque se trata de un fallo de seguridad que afecta a muchas herramientas de seguridad y que en algunos casos tardará en solucionarse varias semanas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para el análisis de malware, es importante estar actualizado con las nuevas herramientas que van surgiendo; por este motivo, la nueva versión 6 de REMnux, una suite de aplicaciones que podrá serte útil en el estudio de distintos tipos de amenazas.

REMnux es una distribución gratuita de Linux, cuyo objetivo es ayudar a los analistas en el estudio de códigos maliciosos. Es recomendable para el análisis estático de ejecutables maliciosos y páginas web; incluye herramientas para el examen de los documentos sospechosos, como el caso de archivos Microsoft Office y archivos con extensión PDF que podrían ser algún tipo de malware.



Este sistema operativo está basado principalmente en la distribución de Ubuntu 14.04 LTS, siendo particularmente sencillo a la hora de su instalación y manejo. Por este motivo y por su arsenal de herramientas, es ampliamente utilizado en la comunidad –tanto por analistas principiantes como por profesionales de muchos años en el área.

Instalación

Veamos algunas opciones sencillas de cómo descargar este software e instalarlo.

El primer modo que analizaremos, es ingresando en los No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y descargando la imagen que pesa 1,98Gb y cuyo hash es SHA-256C26BE9831CA414F5A4D908D793E0B8934470B3887C48CFE82F86943236968AE6.

El archivo descargado tendrá una extensión OVA (Open Virtualization Format). Utilizando algún software de virtualización  como VirtualBox o Vmware player podrás importar la imagen descargada, como te mostramos en la siguiente pantalla:



Al arrancar la máquina virtual verás que se encuentra configurada para utilizar con el teclado en inglés; si prefieres cambiar el idioma, te sugiero que lo actualices ingresando en la opción Preferences /keyboard Input Methods agregando el teclado en español o cualquier opción que desees:



De este modo ya tendrás configurada tu distribución; un poco más adelante detallaremos cómo actualizarla cada vez que esté disponible una nueva versión que corrija fallos y mejore su desempeño.

Si ya tienes tu versión de Ubuntu 14.04 con una arquitectura de 64bits, puedes utilizarla descargando las herramientas de REMnux ejecutando el siguiente comando desde la terminal:

usuario:~$ wget –quiet -O – https://remnux.org/get-remnux.sh | sudo bash

Este script demorará un tiempo en descargar e instalar las aplicaciones, el cual dependerá de la velocidad de descarga de red, pero con un ancho de banda adecuado será de unos 45 minutos aproximadamente.

Conectándose a Internet desde REMnux

Dado que la configuración por defecto es a través de NAT, la máquina anfitriona compartirá inmediatamente su conexión a Internet con el entorno virtualizado, es decir con REMnux de manera automática.

Sin embargo, en algunos casos convendrá utilizar otro tipo de topologías y poner al sistema de análisis como "host-only"; así no tendrá salida hacia afuera y solo se podrá comunicar en redes internas. De esta manera podremos ubicarnos entre medio de algunas comunicaciones, como por ejemplo entre el panel de control de un código malicioso y la máquina infectada, lo cual será muy útil para interpretar comandos enviados por el atacante a la PC víctima.

Actualizando los últimos detalles

Para actualizar el sistema debes ejecutar en la terminal el siguiente comando:

remnux@remnux:~$ update-remnux

El proceso llevará unos pocos minutos y como verás en la siguiente figura, te indicará el estado de la actualización:



De esta forma, tus herramientas de análisis serán actualizadas arreglando algunos fallos, agregando funcionalidades y mejorando su funcionamiento. A partir de esta versión 6, REMnux es fácilmente actualizable y ya no será necesario reinstalar todo el sistema para futuras versiones.

Al finalizar las actualizaciones verás el siguiente mensaje:




Nuevas aplicaciones en la versión 6

Lenny Zeltser, el creador de la herramienta, nos comenta sobre las últimas aplicaciones agregadas y que no están disponibles en las versiones anteriores. Si no las conoces, a continuación incluimos una breve descripción:

-pedump, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta: se utiliza para realizar un análisis estático de archivos ejecutables en plataformas de Microsoft Windows
-VirusTotal: interactúa con la base de datos VirusTotal desde la línea de comandos
-Nginx: servidor web que sustituye a Tiny, presente en la versión anterior
-VolDiff: compara imágenes forenses de memoria
-Rekall: herramienta forense para el análisis de memorias
-Reglas Yara: firmas para detectar características maliciosas en archivos
-Plugins OfficeDissector MASTÍN: para examinar los archivos basados en XML de Microsoft Office.
-Docker: ejecuta aplicaciones de manera aislada en el host local
-AndroGuard: analiza aplicaciones Android sospechosas
-vtTool: determina el nombre de la familia de malware de la muestra mediante una consulta a VirusTotal
-oletools , libolecf: analiza los archivos de Microsoft Office OLE2
-flujo TCP: examina el tráfico de red y archivos de captura PCAP
-py: realiza búsquedas de DNS pasivos utilizando la biblioteca PDNS
-CapTipper: examina el tráfico de red y archivos de captura PCAP
-oledump: examina los archivos de Microsoft Office sospechosos
-CFR: descompila archivos de Java sospechosos
-Decompyle ++: decompila Python

REMnux v6 también incluye las siguientes bibliotecas, con el fin de que los desarrolladores de software puedan usarlas para la construcción de nuevas herramientas de análisis de malware:

-Escritor COI: biblioteca de Python para la creación y edición de objetos OpenIOC
-Cybox: biblioteca de Python para analizar, manipular y generar contenido CybOX
-diStorm3, Capstone: bibliotecas de Python para desmontar archivos binarios
-Yara Biblioteca: Biblioteca de Python para identificar y clasificar muestras de malware
-olefile: biblioteca de Python para leer/escribir archivos de Microsoft Office OLE2
-PyV8: biblioteca de Python para motor de JavaScript
-OfficeDissector: biblioteca de Python de archivos de Microsoft Office sospechosos, basados en XML
-PDNS: biblioteca de Python para realizar búsquedas DNS pasivos
-Javassist: biblioteca de Java que ayuda con el examen de código de bytes de Java

Una de las cosas que podrás ver al iniciar el equipo es su Cheat Sheet, en el cual te dejará ver una lista de trucos de la mayoría de las aplicaciones y cómo utilizarlas:




Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una Red Privada Virtual (VPN) es utilizada entre otras cosas para eludir la censura de Internet impuesta en algunos países o para acceder a contenido bloqueado. Empero, investigadores advierten que las promesas de privacidad y anonimato que suelen ofrecer pueden no ser ciertas.

Un grupo de investigadores de la Universidad de Spienza en Roma y la Queen Mary University de Londres han sometido a prueba a 14 de los servicios comerciales más populares de VPN: Hide My Ass, IPVanish, Astrill, ExpressVPN, StrongVPN, PureVPN, TorGuard, AirVPN, PrivateInternetAccess, VyprVPN, Tunnelbear, proXPN, Mullvad y Hotspot Shield. Los resultados son alarmantes ya que al menos 10 de ellos presentan fugas de datos (leak IP data) y todos excepto uno son vulnerables a ataques IPv6 DNS hijacking como se puede ver en la siguiente imagen.



Los investigadores exploraron toda la infraestructura, las tecnologías que las empresas utilizan y el software de los clientes descubriendo que muchos de ellos todavía confían en  outdated tech a sabiendas que puede fácilmente ser vulnerado por medio de ataques de fuerza bruta.

Estos investigadores han ofrecido posibles contramedidas para evitar las fallas encontradas, sin embargo, han mencionado que si en realidad se desea anonimato y privacidad la mejor opción es Tor y no los VPNs. Además  recalcaron que las VPNs empresariales también pueden estar expuestas a estos ataques aunque su impacto puede ser menor en comparación con los servicios comerciales de VPN.

"A lo largo de este estudio nos dimos cuenta de otro aspecto preocupante en el mercado de los servicios de VPN y es la enorme desinformación a la que usuarios finales están expuestos, lo cual hace difícil que ellos puedan hacer un reclamo acerca de estas problemáticas. Creemos que si los usuarios estuviesen mejor informados sobre lo que su proveedor debe proporcionarles, estos estarían obligados a preocuparse por corregir sus fallas, asimismo los usuarios podrían elegir la combinación de tecnologías que mejor se adapten a sus necesidades.", acotó uno de los investigadores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

David Reguera de Buguroo está trabajando en el desarrollo de AntiCuckoo, una herramienta escrita en C/C++ para detectar y crashear el Sandbox de Cuckoo.

¿Qué es Cuckoo?  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Algunas características de ANTI-Cuckoo:

- Se ha probado en la versión oficial y la de Accuvant
- Detecta toda clase de hooks de Cuckoo
- Busca datos sospechosos en memoria, sin APIs, escaneando página por página
- Con el argumento "-c1" provoca un crash del Sandbox. Lo hace modificando el valor de la instrucción RET N de una API hookeada (el HookHandler de Cuckoo sólo pasa los argumentos reales de la API y la intrucción RET N modificada corrompe su stack)



- Agente y proceso de detección en python (al 70%)
- Mejora la detección comprobando los bytes correctos en los sitios conocidos (por ejemplo las APIs nativas siempre tienen las mismas firmas, etc.)
- Detección de las entradas TLS de Cuckoo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El infame grupo de espionaje Sednit está utilizando los exploits de Hacking Team que se filtraron a comienzos de esta semana para atacar instituciones de Europa Oriental.

La semana pasada se publicaron en Internet más de 400GB de datos internos de la empresa Hacking Team. Según su sitio web, desarrolla y vende "tecnología ofensiva fácil de usar para agencias encargadas de hacer cumplir la ley y comunidades de inteligencia del mundo". Los datos filtrados incluyen información muy diversa, desde propuestas de ventas hasta el código fuente del software que vende la empresa.

En particular, hay dos proyectos de desarrollo entre los datos filtrados que son de sumo interés:

1. Un exploit para Flash que aprovecha la vulnerabilidad CVE-2015-5119

Esta vulnerabilidad se corrigió el día miércoles 8 de julio en el boletín de seguridad de Adobe APSB15-16, por lo que fue una amenaza 0-day hasta esa fecha. Le permite al atacante ejecutar código arbitrario en forma remota, siempre y cuando pueda antes convencer a la víctima potencial de que abra un archivo Flash especialmente preparado.

Por más sorprendente que parezca, el exploit es capaz de atacar todos los navegadores principales y a su vez puede desplegarse con facilidad en documentos de Microsoft Office (Word, Excel, PowerPoint). Los datos filtrados de Hacking Team contienen diversas herramientas que facilitan la manipulación del exploit para Flash, por lo que no era de esperar que muchos exploit kits las hayan integrado con tanta rapidez, como lo informó el investigador en seguridad Kafeine. Ahora también está disponible un módulo de Metasploit.

2. Un exploit de la escala de privilegios para usuarios locales de Windows

La vulnerabilidad aún sigue sin corregirse y no tiene asignado ningún número de CVE (Vulnerabilidades y Exposiciones Comunes). Este exploit le permite al atacante ejecutar un programa con los máximos privilegios.

Por lo tanto, las fugas de Hacking Team proporcionan una cadena de aprovechamiento de vulnerabilidades completa, comenzando por un exploit para Flash con el que se infecta el sistema, hasta uno para escalar privilegios que permite ejecutar el payload con privilegios elevados.

Esta semana, ESET detectó que un grupo malicioso aprovechó rápidamente esta oportunidad para integrar los exploits de Hacking Team a su arsenal: Sednit. Este grupo, también conocido como APT28 o Fancy Bear, ha estado atacando a diversas instituciones desde 2006 para realizar espionaje. Para ello, desarrollan su propio software, incluyendo herramientas como software espía especializado y exploit kits.

El miércoles 8 de julio de 2015, el grupo Sednit comenzó a usar el exploit para Flash de Hacking Team en su exploit kit. Sus víctimas luego quedaron expuestas a la siguiente cadena:

1. La víctima recibe un correo electrónico dirigido con una dirección de URL que apunta a un nombre de dominio muy similar a uno legítimo. En este caso en particular, figuraba "osce-press.org", que se hacía pasar por "osce.org/press".

2. Si la víctima abre la URL, el navegador llega a una página con código en JavaScript que recopila información detallada sobre el equipo.

3. Si el equipo cumple con ciertos criterios especificados por los operadores de Sednit (idioma, zona horaria, etc.), el servidor le envía un exploit. Desde este miércoles, aquel para Flash se entrega bajo el nombre "flash_video_x86.swf". Al descompilar el código del exploit notamos que es prácticamente el mismo que el de Hacking Team: para ser más precisos, la versión denominada "scratch_ie_ff_bytearray" en los datos filtrados. La única diferencia entre ambos parece ser que la versión de Sednit recibe el shellcode para ejecutarse en un parámetro de entrada en forma similar a los exploits de Metasploit, mientras que, en la versión de Hacking Team, el shellcode está codificado en forma rígida en el archivo Flash. Las siguientes imágenes muestran la función principal en ambos casos.


Función principal del exploit para Flash de Hacking Team


Función principal del exploit para Flash de Sednit

4. Si el exploit para Flash logra su cometido, la víctima recibe un backdoor correspondiente a la primera etapa: un programa malicioso cuyo propósito es asegurarse de que la víctima es el objetivo de ataque deseado. Este malware contiene el exploit para escalar privilegios de Windows creado por Hacking Team. Como detectamos la presencia de ciertas diferencias sintácticas, parece que el grupo Sednit volvió a compilar el código fuente del exploit, pero sin modificar su lógica.

Si la funcionalidad para escalar privilegios tiene éxito, el malware se hace persistente en el equipo mediante la creación de una tarea programada que se ejecuta con el máximo privilegio.

Esto demuestra que los grupos de atacantes experimentados también emplean estrategias oportunistas. Bastó tan solo con unos pocos días para que el grupo Sednit reutilizara la cadena de exploits de Hacking Team en beneficio propio. Esta semana también se informó que Webky, otro grupo dedicado a crear amenazas persistentes avanzadas (APT), hizo lo mismo. Les recomendamos firmemente a los usuarios que actualicen sus programas de Flash.

Indicadores de sistemas comprometidos



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estimado compañero de mágicos diseños, particularmente hoy, queremos estar presentes junto a ti.

Cuando brindes, cuando soples velitas, la Comunidad también te cantará : FELIZ CUMPLEAÑOS!!!!!

Gracias por tu presencia en Underc0de, por tu trabajo y, especialmente, por tu inmensa humanidad.

Pasa un día estupendo!!!

Empezamos la semana con una noticia de alcance en el mundo de la seguridad informática. La empresa de seguridad Hacking Team ha visto cómo unos atacantes han conseguido acceder a sus sistemas y han robado y publicado más de 400GB de información acerca de sus actividades.

Normalmente esta sería otra noticia más hablando de alguna de las múltiples intrusiones que se producen a diario en empresas de todo el mundo. Sin embargo, las actividades a las que se dedica Hacking Team hacen de este ataque algo especialmente importante.


Venta de herramientas de espionaje

Hacking Team es conocida por las herramientas de vigilancia y espionaje que desarrolla (con la herramienta Da Vinci a la cabeza) y vende a países y organizaciones de todo el mundo. Por eso resulta tan polémico conocer el listado de sus clientes, listados que supuestamente están ya circulando (junto con otro tipo de material confidencial como correos y código fuente) por todo Internet.

Precisamente por lo polémico de estas actividades esta noticia está causando gran revuelo, no solo entre los que integramos el mundo de la seguridad informática sino también entre los medios generalistas. Sin duda, la lista de clientes publicada es polémica, pero se tendría que contrastar para poder aceptarla como confiable y, en el momento de escribir estas líneas, no es posible hacerlo.

Cronología del ataque

Todo este ataque se produjo durante la pasada madrugada y parece que, si hacemos caso a parte del material filtrado, buena culpa de que el ataque tuviese éxito fue por el uso de contraseñas débiles. Entre estas contraseñas estarían las del Twitter oficial, desde donde los atacantes empezaron a publicar emails confidenciales y, finalmente, un enlace desde donde poder descargar toda la información robada.





Aparentemente, los responsables de Hacking Team se han enterado de este ataque cuando se han despertado esta mañana y Christian Pozzi, uno de los miembros de esta empresa, ha hecho unas declaraciones:





Al respecto del material filtrado Pozzi ha dicho: "No crean todo lo que vean. Mucho de lo que los atacantes han dicho no es verdad. Se están propagando un montón de mentiras sobre nuestra empresa. El fichero torrent con la información robada contiene un virus".

Al respecto de este malware incluido en este fichero, puede que Pozzi se refiera a alguna de las herramientas que su empresa utiliza para realizar labores de vigilancia. No obstante, debido a la repercusión de la noticia, recomendamos estar alerta por si aparecieran nuevos enlaces de descarga preparados por delincuentes y que sí contuvieran malware.

Volviendo a las declaraciones de los responsables de Hacking Team, Pozzi dijo que ya habían avisado a sus clientes de este ataque y que su compañía no realiza nada ilegal: "Nosotros tan solo proporcionamos soluciones de software adaptadas a las necesidades de nuestros clientes"
declaró Pozzi.

La polémica sobre el malware gubernamental o policeware

Siendo Hacking Team una empresa encargada de desarrollar software un tanto polémico no es de extrañar el revuelo provocado. Pero como cada vez que se produce una situación similar, las empresas que nos dedicamos a la seguridad informática y a proteger los datos de los usuarios somos preguntadas acerca de nuestra capacidad de detección de amenazas pensadas para ser utilizadas por gobiernos y fuerzas policiales.

Esta pregunta no es algo que nos pille por sorpresa y en ESET ya dejamos clara nuestra posición al respecto cuando fuimos preguntados acerca de este tema e incluso cuando se produjo una situación similar con el troyano Finfisher.

Precisamente, el troyano Finfisher es un precedente que con el caso de Hacking Teamead, puesto que la empresa desarrolladora también lo vendía a países y organizaciones de todo el mundo hasta que varias muestras y un listado de clientes fueron publicados por WikiLeaks.


Conclusión

Esta filtración demuestra que ninguna empresa está libre de este tipo de incidentes, ni aunque se dedique a tareas de seguridad de alto nivel. Tan solo un descuido o una contraseña poco segura puede desencadenar un incidente de este tamaño que dañe severamente la confianza de sus usuarios en la empresa o incluso provoque reacciones de mayor magnitud, como parece que va a ser el caso si se confirma la veracidad de los datos filtrados.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Esperamos que hoy sea un día diferente para ti.
El aniversario del nacimiento, conlleva momentos de felicidad y encuentro con los amigos y la familia.

Underc0de no quiere estar ajeno a este día, y agradeciéndote tu trabajo para el foro, tu permanencia; hoy especialmente, te deseamos: qué los cumplas muy feliz!!!

Pásatela genial, Doddy!

Cada día se crea un gran número de malware de todo tipo, cada vez más y más complejo. Los piratas informáticos son cada vez más profesionales y programan sus piezas de software de forma silenciosa para evadir las protecciones y evitar ser detectados por las empresas de seguridad, quienes están constantemente mejorando su software y optimizando sus técnicas de detección y eliminación de malware para poder ir un paso por delante de estos piratas, aunque cada vez es más difícil adelantar ese paso.

La empresa de seguridad Eset ha analizado un nuevo software espía que ha empezado a trabajar de forma oculta en la red. Este software, llamado Dino ha sido desarrollado por el grupo de piratas informáticos "Animal Farm", quienes anteriormente ya han desarrollado otras piezas de malware conocidas como Babar (una completa plataforma de espionaje), Bunny (una puerta trasera) y Casper (un software sencillo de análisis de sistemas). Dino comparte con estos anteriores una parte considerable de código y en las primeras versiones analizadas el servidor de comando y control era el mismo que el de los 3 malwares anteriores.

Se cree que el malware tiene un origen francés ya que muchas variables y los datos del sistema donde fue compilado están configurados en francés. Aunque por lo general los piratas informáticos suelen eliminar estos datos para dificultar aún más el rastreo del software malicioso, en esta ocasión los datos han quedado guardados junto al programa.

Algunos de los comandos funcionales de Dino son:

- sysinfo: Muestra la información del sistema de la víctima.

- conf: Muestra y actualiza los módulos del malware (actualización remota).

- wget: Descarga un archivo desde el servidor de control al sistema de la víctima.

- showip: Muestra la IP del sistema infectado.

- search: Permite buscar prácticamente cualquier elemento en el sistema de la víctima.

- !<comando>: Permite ejecutar comandos de CMD.

También se ha podido ver que algunas partes del código hacen referencia a un directorio llamado "arithmetique", palabra francesa que se traduce como "aritmética".

Como hemos dicho Dino es un software espía destinado a objetivos importantes. Se cree que los piratas informáticos utilizaron en un primer lugar un software mucho más sencillo como Casper para analizar a sus víctimas y, una vez identificadas se procedía a instalar Dino en sus sistemas para empezar un espionaje mucho más en profundidad.

Dino ha sido programado en C++ con las ideas bien puestas. Este software espía prácticamente no deja ningún rastro en los sistemas de las víctimas. El binario de Dino muestra una especial delicadeza durante el desarrollo, desde la creación de estructuras de datos personalizadas hasta un sistema de archivos propio.

Al igual que con el resto del malware de Animal Farm se demuestra que los piratas informáticos de este grupo son desarrolladores profesionales y con notable experiencia. Pese a ello estos piratas informáticos no están al día de las medidas anti-análisis que suelen aplicar otros piratas informáticos, por ejemplo, eliminando los datos de región o del sistema donde se ha compilado el malware.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El material del post, más que desarrollar novedosas técnicas, sistematiza algunas ya conocidas. Y todo lo que ordene, siempre es bien recibido.

El análisis forense digital se ocupa del estudio de la adquisición, preservación y presentación de evidencias electrónicas para ser procesadas y conservadas de tal forma que puedan utilizarse como prueba legal. Se trata de entender y contestar preguntas referidas a cómo, cuándo y desde dónde se produjo el incidente, así como cuál fue su impacto y a qué afectó.

Como contracara, desde un punto de vista ético es importante entender sobre técnicas anti forenses, porque así se podrán considerar a la hora de auditar un sistema comprometido o algún incidente de seguridad.

Algunos conceptos preliminares

Para los analistas forenses, se presentan retos cada día más exigentes en cuanto al rastreo y detección de un atacante, dada la sofisticación de los intrusos en sus técnicas de evasión. El reconocimiento de las vulnerabilidades en las herramientas utilizadas por procedimientos de esta materia ha generado la aparición de las llamadas técnicas anti forenses, que son definidas como metodologías para comprometer la disponibilidad de la evidencia en un proceso forense. De esta forma, se intenta manipular el material de una pericia destruyendo, ocultando, eliminando y/o falsificando la evidencia.

Si bien existen muchas técnicas, principalmente pueden ser agrupadas en cuatro clasificaciones, que veremos a continuación.

A) Técnicas de borrado o destrucción de la información

El fin de esta técnica es imposibilitar la recuperación de las evidencias ya sea por el borrado de archivos o particiones del disco. Existen muchas aplicaciones que realizan estas tareas y son capaces de ejecutarse en la mayoría de los sistemas operativos.
Algunas se basan en el Algoritmo de Gutmann, el cual detalla las operaciones para que un archivo o directorio sea borrado en forma segura; estas aplicaciones son generalmente de escaso tamaño y portables, es decir que no precisan una instalación.





En la imagen anterior se puede visualizar el sencillo funcionamiento de estas herramientas; fácilmente es posible localizar el archivo o carpeta a eliminar e inclusive elegir la cantidad de sobre escrituras para un borrado seguro. En sistemas Linux o Unix, los códigos más utilizados no contienen una interfaz gráfica sino que se ejecutan a través de un terminal o consola como es el caso de Wipe. Para probarlo, se puede instalar con el siguiente comando:

usuario@maquina:~$ sudo apt-get install wipe

Posteriormente, el comando man wipe será de gran ayuda para entender cómo funciona esta aplicación.
En el caso de la información no sea eliminada por este tipo aplicaciones, entrarán en escena diferentes técnicas como el file carving o slack space, las cuales intentarán recuperar la información borrada. En algunos casos pueden servir para recuperar archivos afectados por algunas familias particulares de ransomware.

En este grupo, también entran diversas técnicas vinculadas a la desactivación de logs, es decir, cuando el sistema tiene por defecto la creación de registros por eventos e incidentes, los atacantes intentarán desactivarlos para ocultar sus huellas.


B) Técnicas de ocultación de la información


Este método tiene como principal objetivo hacer invisible la evidencia para el analista. De este modo, los atacantes ocultan mensajes u objetos dentro de otros archivos, de tal forma que no se perciba su existencia.

Esta técnica, llamada esteganografía, puede llegar a ser muy eficiente de ser bien ejecutada, pero conlleva muchos riesgos para el atacante o intruso. Al no modificar la evidencia, de ser encontrada puede ser válida en una investigación formal y por lo tanto servir para la incriminación e identificación del autor de dicho ataque.


C) Técnicas de sobreescritura de metadatos


Este grupo de técnicas tiene como fin engañar, creando falsas pruebas para cubrir al verdadero autor, incriminando a terceros y por consiguiente desviando la investigación.

Si el analista descubre cuándo un atacante tuvo acceso a un sistema Windows, Mac o Unix, con frecuencia es posible determinar a qué archivos o directorios accedió. Utilizando una línea de tiempo para indicar las acciones  y clasificándolas en orden cronológico, el analista tendría un esquema de lo que fue ocurriendo en el sistema. Aunque un atacante podría borrar los contenidos de los medios de comunicación, esta acción podría atraer aún más la atención.

Otra estrategia bastante utilizada es cuando el atacante oculta sus pistas al sobrescribir los propios tiempos de acceso, de manera que la línea de tiempo no pueda construirse de forma fiable.

Existen varias herramientas comúnmente utilizadas con este fin, como ExifTool o Metasploit que en conjunto con Meterpeter permiten borrar o cambiar estos parámetros. Veamos un ejemplo:





Como se puede observar en la imagen, tenemos el archivo "líneadetiempo.txt" que mediante el comando timestomp –v  nos indica atributos de creación, último acceso y modificación.

El paso siguiente sería indicarle el archivo que se utilizará como ejemplo para sobreescribir esos metadatos; veremos el resultado final en la siguiente imagen:





Otra técnica similar y muy común es blanquear los atributos con el comando meterpreter > timestomp –b y para realizarlo de una forma recursiva meterpreter > timestomp C:\\ -r.

De este modo, afectando a los archivos claves sería casi imposible generar una línea de tiempo con los incidentes ocurridos en un orden cronológico para los analistas.

Este tipo de técnicas no necesariamente implica actividad maliciosa; por ejemplo, en algunos casos se pueden utilizar estos comandos para esconder información cambiando los atributos, debido a que es muy improbable que al atacante que haya ingresado a un sistema le interese un archivo antiguo –sobre todo si no ha sido abierto y ha sido creado algunos años atrás.


D) Técnicas de cifrado de la información


Estas técnicas tienen como objetivo dificultar la lectura de datos para los analistas. Esta información puede estar vinculada a un directorio, una aplicación, una partición o inclusive una comunicación. Veamos algunos ejemplos de estas técnicas en los diversos escenarios.

Algunas herramientas muy utilizadas para cifrar archivos o particiones son Truecrypt, Bitlocker o DiskCryptor. Estas herramientas permiten mantener almacenada de una forma segura la información que ha sido cifrada, y en teoría solo se podría tener acceso a ella mediante la clave que, como es lógico, el analista no tendría.

Como vemos en la siguiente imagen, Bitlocker viene preinstalada en las versiones más actuales de Microsoft Windows masificando su uso día a día.




Cuando hablamos de códigos maliciosos, normalmente los malware se encuentran empaquetados o comprimidos con el fin de dificultar el estudio y comprensión de su funcionamiento. Existen muchas aplicaciones utilizadas con tal fin, como es el caso de UPX, PEcompact o Themida; por otra parte, también existen mecanismos antiVM que se encargan de matar la aplicación en caso de que sea ejecutada en un entorno virtualizado con el objetivo de su estudio.


E) Otras técnicas


Diversas técnicas anti forenses también se observan en las comunicaciones; de este modo se utilizan proxies con el objetivo de enmascarar la IP de un atacante. Un ejemplo muy activo de estas  técnicas lo vemos en la mayoría de los ataques e inclusive en los códigos maliciosos como CTB-Locker, que se comunican a través de Tor con su C&C.

Por otra parte, siendo aún más meticulosos, los atacantes suelen utilizar herramientas como exploits dirigidos a las herramientas de análisis forense más utilizadas entorpeciendo aún más la investigación, es por esto que es conveniente utilizar varias herramientas distintas pero con el mismo objetivo para luego comparar resultados.

Está claro que irán apareciendo nuevas técnicas anti forenses, aunque tener conocimiento de las aquí mencionadas contribuye a generar un panorama más claro para entender cabos sueltos que puedan generarse en una investigación forense.


Fuente: welivesecurity

Felicidades, @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (Thanatos)!!!!

Hoy es un día de encuentro y festejos... los amigos, los familiares... y también Underc0de se quiere hacer presente, para desearte el mejor cumpleaños.
Gracias por los buenos momentos compartidos, tu trabajo y dedicación a nuestro foro!

Disfruta y sé muy feliz!!



Gabi

Para los que queráis revisar sobre de que trata el tema de los honeypots, podéis mirar aquí: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Aviso: El post plantea una visión panorámica de la tools en base a la documentación que se cita en la fuente. Asumo la responsabilidad de los errores de traducción, no siendo esta literal ni lineal, sino una síntesis. 

¿Qué es NOVA?

NOVA, es una herramienta de código abierto que funciona bajo Linux.  Detecta (y previene) toda clase de reconocimientos a una red,  tanto de un atacante extraño a la misma, como alguien de dentro  (empleados no autorizados) que estén tratando explorar la infraestructura de la red, o incluso malware; por eso altamente eficaz para cooperar en el mantenimiento de la seguridad. 

¿Cómo funciona NOVA?

NOVA, posibilita la creación de múltiples máquinas virtuales en la red a proteger (bajo una versión mejorada de Honeyd) con la apariencia de reales, sirviendo de señuelo al intruso cuando, por ejemplo,  escanea con herramientas  como Nmap o Nessus; pero que en definitiva, cumplen la función de confundir el  objetivo del atacante por medio de los falsos nodos.





Por otra parte, en la detección de actividad, NOVA utiliza algoritmos de 'aprendizaje' automático, activándose las alertas cuando se detecta actividad sospechosa o intentos de penetración  hostil, por lo que no será necesario acudir a la búsqueda manual en los archivos de registro del honeypot. La intrusión  se notifica a los administradores mediante la generación de alarmas al correo o entradas syslog.





Con una interfaz web intuitiva, de sencilla configuración, ofrece la información recogida en los honeypots en una serie de cuadros, gráficos y  tablas de tráfico que muestran los intentos de intrusión, cuyos datos permiten a los administradores de los sistemas de seguridad determinar si existe una amenaza en la red.










En síntesis, se puede destacar:

-Limita los efectos de  ciber ataques internos y externos, detecta actividad sospechosa actuando como IDS, proporciona datos falsos a los atacantes, y alerta a los administradores de red de sucesos críticos.

-Impide a los atacantes hostiles de realizar el reconocimiento sobre redes privadas.

-Mejora el conocimiento de la situación sobre las redes.

- Útil para entrenar y formar equipos de trabajo en la detección de intrusiones a la red.


Github: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuentes (en inglés):http: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

29/06/2015

Un día como hoy, hace exactamente un año,  a las 4:30 (UTC), MRX  [más conocido como Polsaker] registraba la primera cuenta en Hira. Cumplía así el acto fundacional de la red.   Esa red de IRC, pequeña y gigante a la vez, donde está alojado el #Underc0de.

Es pequeña porque tiene mucho para crecer, pero es gigante porque los vínculos que allí  van surgiendo se nutren de un racimo de componentes que la diferencia de otras. Risas, solidaridad, apoyo técnico, sin que falte algún trolling amigo o alguna desavenencia: todo profundamente humano, sin más.

Cuando desde la virtualidad es posible vivenciar emociones, el mundo de las letras cobra un significado especial;  en definitiva, las palabras se visten de gala para fomentar buenos lazos ( y alguno no tan bueno también  )

En este primer Aniversario,  nuestra Comunidad se hace presente para brindar por el proyecto Hira, por su ambiente y por todo lo que contribuye a que Underc0de sea la gran familia que somos.

!!!FELIZ ANIVERSARIO!!!

Abrazo para ti, Polsaker; y para todos los que hacen posible a Hira.

Gabriela

Con la llegada del verano y de las vacaciones llega también el tiempo de descansar, viajar y pasar un tiempo de ocio en la montaña o en la playa. Si llevamos nuestro móvil con nosotros puede que estos días queramos desconectar un poco, pero apartar la vista del terminal en ocasiones supone la ocasión ideal para que algún ladrón le eche el guante o simplemente lo extraviemos. No te preocupes, te explicamos qué puedes hacer para recuperar el móvil si este verano pierdes o protegerte si te lo roban.

Lo primero de todo y antes de pasar a las opciones tecnológicas que nos permite cada marca, es denunciar ante la Policía la sustracción o pérdida del teléfono, para que en el caso de que alguien lo encuentre o puedan dar con él, nos tengan localizados. Pero como hemos dicho, a nivel de usuario disponemos de algunas alternativas para tratar de encontrar el teléfono por nosotros mismos según sea un terminal Android, iOS o Windows Phone.


Android

La compañía de Mountain View ofrece la asistencia de su Administrador de Dispositivos al cual podremos acceder con nuestra cuenta de usuario de Google para gestionar todos los teléfonos móviles, tabletas o gadgets que utilicen el sistema operativo Android. En esta página, donde previamente habremos enlazado nuestro propio teléfono móvil se nos mostrará en Google Maps la localización exacta del terminal, siempre que no se encuentre bloqueada desde el mismo, por lo que conviene activar la opción acceder a la ubicación en el terminal, dentro de ajustes de Google y Ubicación.



Además nos dará datos acerca de cuándo fue la última vez que estuvo en dicho lugar. Pero también disponemos de varias opciones útiles más, la primera de ellas es que podemos hacer sonar el teléfono a máximo volumen durante 5 minutos, así si estamos cerca o hay alguien cerca podrá escucharlo. También tenemos disponible una opción para bloquear el teléfono de forma remota y reestablecer la contraseña y una última para borrar los datos del dispositivo, algo útil si intuimos que ha caído en malas manos.

iOS

Apple ofrece a los usuarios la opción "Buscar mi iPhone", mediante la cual será posible acceder a una web o usar una app móvil para encontrar el iPhone o iPad que haya desaparecido. En las últimas versiones de iOS se incluyó el  modo Perdido para bloquear el dispositivo de forma remota con una clave de cuatro dígitos.



Además se muestra en la pantalla de bloqueo un mensaje que podremos editar con el número de teléfono y se podrá registrar la ubicación. También se puede reproducir un sonido para encontrarlo si anda cerca. Pero además podemos borrar de manera remota el dispositivo de modo que ninguna otra persona pueda tener acceso a los datos, si el móvil está conectado a la red el borrado se iniciará de inmediato y si está desconectado comenzará la próxima vez que se conecte a Internet.

  Windows Phone

En Windows Phone también disponemos de una opción a nuestro alcance para localizar el móvil extraviado o hacerle la vida más complicada al ladrón que lo haya robado. Por un lado a través de la web de Microsoft Encuentra mi dispositivo, deberemos iniciar sesión con la cuenta de nuestro teléfono y elegir qué hacer, si llamar para que suene y encontrarlo si lo tenemos cerca nuestro, o bien bloquearlo a distancia con una contraseña u optar por la más drástica, realizar un borrado a distancia del dispositivo.



En cualquier caso, si tenemos iniciadas sesiones en aplicaciones o servicios online, conviene modificar las contraseñas cuanto antes para evitar daños mayores a la vez que contactar con la compañía telefónica para evitar cargos no deseados en la factura del móvil.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Linux/Moose. Breve descripción:

Linux/Moose es una nueva amenaza informática que puede darte más de un quebradero de cabeza. Descubierto por investigadores de ESET, hablamos de un malware que afecta  a los routers de uso doméstico (o de pequeñas empresas) basados en linux. Linux/Moose tiene en las redes sociales su principal objetivo. Una vez infectado el router, el dispositivo pasa a ser utilizado para robar tráfico de red sin cifrar, posibilitando su uso como proxys.

De esta forma y gracias a esta vulnerabilidad, los ciberdelincuentes tienen la posibilidad de robar cookies en las conexiones HTTP, pudiendo de esta forma realizar acciones fraudulentas en Facebook, Twitter, Instagram, YouTube y otras redes sociales con el objetivo es generar falsos seguidores, visitas y falsos "me gusta". Para los investigadores de ESET, Linux/Moose comparado con otros tipos de malware, muestra unas capacidades de penetración en routers fuera de lo común.

(...)


Hoy se publicó un paper de investigación titulado "Dissecting Linux/Moose", donde se analiza una familia de malware que ataca principalmente los routers basados en Linux, pero que también puede infectar otros tipos de dispositivos con sistema Linux integrado que se le crucen en el camino. Este artículo resume algunas ideas del informe completo.





Características generales de Linux/Moose

Linux/Moose es un archivo ejecutable estándar para Linux que tiene la forma de un binario ELF compilado en forma estática, al que se le quitaron todos los símbolos de depuración. Su funcionamiento se basa esencialmente en el uso de subprocesos múltiples, llegando a emplear unos 36 subprocesos. Puede clasificarse como un gusano, dado que el propósito de la mayoría de sus subprocesos es encontrar otros dispositivos e infectarlos automáticamente.

El siguiente diagrama muestra las funcionalidades de Moose:





El monitoreo que hicimos de la botnet indica que esta amenaza se usa para robar cookies HTTP no cifradas en sitios de redes sociales populares y para cometer fraudes, como por ejemplo usar una conexión SOCKS integrada en el malware para contactarse con un servidor proxy y así "seguir" cuentas o "ver" videos de estas redes populares.





Éste es un ejemplo proveniente de una solicitud HTTP que atravesaba el proxy operado por el malware:



Cabe notar que el servidor actualiza la conexión a HTTPS de inmediato. Casi todo el tráfico está cifrado con HTTPS, por lo que no podemos asegurar con precisión qué acciones realizaron los operadores.

Al monitorear durante un mes uno de los hosts infectados, notamos que el tráfico se dirigía a los siguientes sitios de redes sociales:

-Fotki (Yandex)

-Instagram (Facebook)

-Live (Microsoft)

-Soundcloud

-Twitter

-Vine

-Yahoo

-Youtube (Google)

El dominio de la red social afectada aparece en el campo "Subject" del certificado, en el protocolo handshake de TLS para el tráfico seguro HTTPS.

Las siguientes son las peticiones que se envían a diario a sitios de redes sociales desde un solo router infectado:




A continuación se ilustra cuáles fueron las redes sociales más afectadas en dicho período:




Durante nuestro análisis, con frecuencia nos preguntábamos: ¿para qué poner tanto esfuerzo en interactuar con las redes sociales? Pero, por supuesto, existe un mercado para comprar seguidores de Twitter, Me Gusta de Facebook, visualizaciones de YouTube, entre muchas otras cosas más. Los operadores de esta botnet generan ganancias mediante los fraudes de redes sociales. Gracias a los routers infectados, pueden distribuir tráfico malicioso a través de las redes sociales aprovechando la buena reputación de las direcciones IP de proveedores de servicios de Internet (ISP) confiables.


Esta amenaza en particular tiene una capacidad fuera de lo común para introducirse en las redes, al compararla con otros códigos maliciosos que infectan routers. Además, Moose es capaz de secuestrar DNS y detiene los procesos de otras familias de malware presentes en el dispositivo, que puedan competir por los recursos limitados que ofrece el sistema infectado. El informe completo suministra más detalles, incluyendo el protocolo de red utilizado para comunicarse con los servidores de Comando y Control (C&C).

Código desarrollado para la investigación, indicadores de sistemas comprometidos y más

Además del whitepaper, también estamos publicando otros recursos para la comunidad. En primer lugar, decidimos divulgar el código completo desarrollado para monitorear esta amenaza en nuestra cuenta de Github para investigación de malware. No creemos que sea muy útil guardarnos los scripts solo para nosotros. Aunque este código se creó en un laboratorio de investigación y no está tan pulido como el código final que incluimos en nuestros productos terminados, esperamos que les sirva a nuestros pares de la industria, a la comunidad de Linux y a los futuros analistas de malware.

github:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

(...)

Desinfección

Reinicia el dispositivo afectado y luego cambia tu contraseña lo antes posible. Sin embargo, recuerda que los operadores accedían al sistema infectado a través de credenciales que eran de su conocimiento, que también sabían su dirección IP y que contaban con los medios para acceder a su consola interactiva.

Es posible que hayan accedido en forma manual, lo que significa que pueden volver a infectar el dispositivo y pueden hacer modificaciones permanentes en el firmware. Lo mejor probablemente sea restablecer la configuración del dispositivo a su versión de fábrica, actualizar o reinstalar el firmware y cambiar la contraseña.

Prevención

Cambia las contraseñas predeterminadas en los equipos de red aunque no se pueda acceder a ellos desde Internet. Deshabilita el protocolo Telnet para inicio de sesión y utiliza SSH siempre que sea posible.

Asegúrate de que no se pueda acceder a tu router desde Internet en los puertos 22 (SSH), 23 (Telnet), 80 (HTTP) y 443 (HTTPS). Si no sabes cómo hacerlo, cuando estés en casa, usa la exploración de puertos comunes ("common ports") en el servicio ShieldsUP de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Verifica que los puertos mencionados arriba tengan el estado "Stealth" (oculto) o "Closed" (cerrado).

También se recomienda tener el último firmware que ofrece el fabricante de tu dispositivo con Linux integrado.

Fuentes: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta; No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

... Los dominios, ...suelen entregar mucha información y en ocasiones más de lo debido. A la hora de contar con servicios, dominios, sitios web y demás, muchas veces se escapan detalles como suelen ser las configuraciones en los servidores DNS, por lo que veremos de qué se trata la transferencia de zona a los DNS y cómo esto puede exponer información e infraestructuras.

... Los servidores DNS básicamente son equipos que se encargan de resolver nombres de dominio a direcciones IP. Esto permite a los usuarios acceder a servicios de manera amigable, ya que recordar las direcciones IP sería más complejo.

No obstante, suelen ser utilizados por los atacantes para recolectar información acerca de la infraestructura y subdominios de la posible víctima –aunque existen herramientas automatizadas para hacerlo, como por ejemplo Dnsnum. De esta última vemos una captura de pantalla a continuación:




Puede verse con claridad cómo con solo indicarle unos pocos parámetros (en este caso –enum para enumerar la información) ya comienza con la recolección de información, no solamente de los servidores DNS sino también haciendo búsquedas en Internet. Si bien hace todo por sí sola con solo indicarle el dominio, debe comprenderse cómo funciona por detrás.

Para obtener este tipo de información se puede utilizar el comando dig en los sistemas Linux y OS X; es una herramienta de consultas a servidores DNS, como veremos a continuación:




Vemos que al realizar la consulta, automáticamente se listan los servidores DNS que se encargan de resolver las consultas. Para realizar esta consulta se utiliza el siguiente comando:
   

dig NS midominio.net

Una vez ejecutado el comando en un entorno Linux, mostrará la lista de los correspondientes servidores encargados de responder a las solicitudes para ese dominio.

¿Por qué un atacante querría realizar la transferencia de zona y recolección los registros de los servidores DNS?

Sucede que a través de ellos se llega a recolectar información de una red corporativa, exponiendo en ocasiones sus direcciones IP internas, servidores y equipos. Para recolectar esta información debe usarse el parámetro "axfr" (a este tipo de ataque también se lo denomina AXFR) donde el comando queda de la siguiente manera:
   

 dig @ns1.midominio.net axfr midominio.net

El parámetro "axfr" es quien permite la transferencia de zona de dicho DNS, ya que se usa para sincronizar y actualizar datos de la zona cuando se produjeron cambios. Si bien la transferencia puede hacerse vía "axfr", también es posible hacerla de forma incremental, denominada entonces "ixfr" -cuando se ejecuta la solicitud se obtiene la transferencia de toda la zona como respuesta. Sin la debida configuración, esto le permite a un atacante replicar la base de datos DNS, obteniendo información sensible.

Una vez hecho esto, si el ataque tiene éxito, podrá verse cómo resulta la exposición de mucha información, como veremos en la siguiente captura de pantalla:




Puede apreciarse en el ejemplo mostrado que se listan direcciones IP, servicios que seguramente son de uso interno como portales de login, servicios de correo e inclusive los portales disponibles para las versiones móviles.

¿Cómo puedo ver esta información desde Windows?

De la misma forma en que podemos obtener esta información con el comando dig desde sistemas Linux, también podemos obtenerla desde sistemas Windows con Nslookup. Veamos en la siguiente captura de pantalla cómo hacerlo:



Si bien desde Windows cambian un poco los comandos y los parámetros, puede realizarse de igual forma. En primer lugar es necesario abrir la consola de Windows (también es posible usar consola aquí); para hacerlo basta con escribir "cmd" en la barra de búsqueda en el menú Inicio y presionar la tecla Enter.

Una vez abierta la consola, como se muestra en nuestro ejemplo anterior, se puede iniciar la secuencia de comandos:

1- El primero a ejecutar es nslookup seguido de la tecla Enter; esto inicia la herramienta para realizar consultas a servidores DNS

2- El segundo es: set type=ns (aquí se especifica que el tipo de consulta en este caso Name Server); una vez presionado Enter, en la siguiente línea debe colocarse el dominio a consultar, por ejemplo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

3- El tercero a ejecutar es: set type=all seguido de la tecla Enter (aquí se especifica que se realicen todas las consultas posibles)

4- El cuarto y último es: ls No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, el cual se encargará de listar la información disponible


Entonces ¿Qué hacemos para prevenir la fuga de este tipo de información?

Es muy importante comprender que toda esta información podría ser explotada por un cibercriminal para comprometer un equipo o la red completa. Sabiendo esto de antemano, disponemos de las herramientas para realizar el análisis proactivo para su prevención.

Para evitar estos dolores de cabeza de fuga de información, desde el Laboratorio de Investigación de ESET Latinoamérica recomendamos revisar los archivos de configuración en los servidores DNS.

Cabe destacar que dependiendo del software que se esté utilizando para este servicio, será donde se encuentra ubicado su archivo de configuración para permitir o denegar el o los equipos autorizados a realizar dicha transferencia.

Por ejemplo, para solucionar este problema en bind9, se debe acceder al archivo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (ubicado por defecto en /etc/bind) y editarlo, con la finalidad de admitir la transferencia de zona solo a direcciones IP de servidores DNS secundarios de confianza. Para hacerlo debe modificarse el archivo de la siguiente forma:




Es importante tener siempre presente que este archivo puede variar su configuración y ubicación dependiendo de qué software se utilice. Recomendamos comprender cómo funciona el que se está utilizando y realizar la configuración correspondiente.

Como pudimos ver, algo que puede parecer tan simple representa un serio riesgo de seguridad. Vimos cómo utilizando herramientas propias del sistema operativo, en conjunto con malas configuraciones del otro lado, se logra recopilar una gran cantidad de información sensible.

A través de la información obtenida, el atacante puede comprender la topología de la red y de esta forma intentar vulnerarla. Por eso, es necesario trabajar de forma proactiva para detectar este tipo de situaciones y corregirlas, antes que sea aprovechado por un atacante. Aplicando las correcciones necesarias a estos problemas proactivamente podremos utilizar la tecnología de forma segura y sin tantas preocupaciones.


Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los dominios de Internet identifican a una red de equipos a través de los servidores DNS (Domain Name Server), que se encargan de resolver un nombre de dominio a una determinada dirección IP -por ejemplo, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta a la IP No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Esto hace que acceder a un sitio web sea mucho más amigable al usuario, ya que sería difícil recordar direcciones IP, mientras que recordar nombres y URLs y asociarlos a una entidad o persona resulta más sencillo. En esta entrada veremos qué tipo de información brindan los dominios y cómo podría ser utilizada por un atacante y/o por un investigador.

¿Qué información se puede obtener explorando dominios?

En ocasiones, los dominios de Internet brindan mucha información (muchas veces, más de la cuenta) que a su vez es de gran valor para los cibercriminales. Veamos un ejemplo utilizando el comando whois desde un sistema operativo Linux:




Entre la información que arroja esta herramienta, está el detalle de los servidores DNS que se encargan de resolver las consultas (marcados con el recuadro color rojo superior); seguido de esto, muestra datos como la fecha de expiración y últimas actualizaciones, que vemos en los dos recuadros inferiores.

Siguiendo con el análisis en esta primera consulta, podemos encontrar inclusive datos de contacto, administración, números telefónicos o ubicación, entre otros datos, tal como muestra la siguiente captura:




Como puede observarse, realmente se puede encontrar información muy valiosa, a través de la cual podría por ejemplo iniciarse un ciberataque dirigido por cualquiera de estos medios de comunicación, utilizando Ingeniería Social.

Sin embargo, también puede hacerse uso de algunos sitios en línea para consultar este tipo de información. En este caso usaremos Netcraft, sitio que cuenta con un buscador de dominios similar a whois; basta realizar la consulta sobre el que desee conocerse para que comience a arrojar los primeros resultados.

En primera instancia, mostrará entonces los dominios encontrados, tal como veremos a continuación:



Entre la información mostrada en el recuadro de la columna derecha, puede verse el sistema operativo corriendo, el cual podría ahorrar la etapa de reconocimiento de esta información con algún tipo de escáner como por ejemplo Nmap.

En tanto, en el recuadro situado a su izquierda se brinda información sobre dónde se encuentra alojado el servicio. Como podemos ver aquí, ya hay mucha información disponible que podría ser utilizada para un algún tipo de ciber ataque. Dentro de esta página también se cuenta con la posibilidad de acceder a un reporte donde brinda aún más datos. Veámoslo en la siguiente captura de pantalla:



En la parte superior del reporte puede encontrarse información que tal vez ya fuimos viendo con las herramientas utilizadas previamente, pero si revisamos el recuadro inferior, encontraremos las últimas modificaciones realizadas en los servidores, incluyendo la fecha.

Entonces, empecemos a enumerar la cantidad de información que hasta aquí un cibercriminal podría haber recolectado:

-Dirección física

-Número telefónico del registrante

-Correo electrónico del registrante

-País al que pertenece el dominio

-Servidores DNS

-Fecha de expiración de dicho dominio

-Empresa donde se encuentra albergado el servicio

-Sistemas operativos

-Actualizaciones aplicadas incluyendo sus fechas


¿Cómo podría aprovechar estos datos un cibercriminal?

Si analizamos los puntos anteriormente mencionados, vemos que realmente hay mucha información pública que podría ser explotada por un cibercriminal. Con este tipo de datos, el atacante puede elaborar un ataque dirigido de Ingeniería Social, como también comenzar a buscar exploits públicos para aprovechar algún tipo de vulnerabilidad, en caso de que el sistema no cuente con las últimas actualizaciones instaladas –si así lo indican- sus registros.

Algunos de los ataques que podría realizar el atacante son:

-Explotación de vulnerabilidades mediante correos electrónicos que contengan links maliciosos

-Podría enviar malware especialmente dirigido al registrante del dominio, si tenemos en cuenta las tendencias como Ransomware

-El envío de correos propagando campañas de phishing

-Esta información podría ser utilizada para buscar el perfil de la posible víctima en redes sociales, establecer amistad con algún perfil falso para robo de información, infectar o lo que el atacante requiera

Los puntos anteriormente mencionados son solo algunos ejemplos de cómo podría utilizar esta información un atacante. A través de estos ataques se podría comprometer información sensible, credenciales, archivos, equipos e incluso redes enteras.

Como en este caso utilizamos un dominio perteneciente a la región de Argentina, otra de las alternativas a consultar información es la entidad registrante de dicho país, en este caso NIC. Consultando este dominio llegamos también a información como es el CUIT (Clave Única de
Identificación Tributaria, que en otros países de Latinoamérica sería el equivalente al RUC o Registro Único del Contribuyente).

Veamos el siguiente ejemplo gráfico:



Como podemos ver, además de cierta información repetida, comenzamos a distinguir algunos detalles que tal vez sean utilizables con fines maliciosos.

¿Y un investigador de seguridad?

Si bien el hecho de que todo esto sea público puede parecer negativo, ya que podría ser utilizado por un ciberdelincuente, es importante remarcar que también podría ser utilizado de forma proactiva por investigadores mientras analizan muestras de malware.

En el supuesto caso de que algún código malicioso realice una conexión a un determinado dominio perteneciente a una entidad o persona real, el cual fuera evidente que fue vulnerado y utilizado para propagar malware. A través de esta información pública se podría reportar que estos dominios están siendo utilizados en actividades maliciosas y tomar las acciones adecuadas al caso.

Desde el Laboratorio de Investigación y Educación de ESET Latinoamérica recomendamos revisar periódicamente de forma proactiva el tipo de información expuesta en Internet. Ya sea utilizando herramientas, sitios web o simples buscadores, se podrá saber qué nivel de exposición tiene un determinado dominio en Internet y cómo lo ve el mundo realmente, de esta forma como investigador de seguridad se podrá prevenir la fuga de información evitando cierto nivel de exposición.

...

Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El uso de sistemas físicamente desconectados de Internet o de cualquier dispositivo que tenga acceso a la red es frecuente en aquellos equipos que requieran de un alto grado de seguridad y no puedan verse comprometidos al ser accedidos por hackers de forma remota. Pero un grupo de investigadores ha descubierto que mediante el uso del calor se puede extraer información y datos privados de dichos equipos gracias a los sensores térmicos.

Si pensabas que al desconectar tu equipo de Internet, tu información quedaba protegida, tenemos malas noticias. Y es que en la Universidad Ben Gurion de Israel se ha llevado a cabo una investigación mediante la cual es posible acceder a datos privados de un ordenador aislado (air-gapped system), usando para ello emisiones de calor y los sensores térmicos integrados en nuestro ordenador. De esta forma, un atacante podría acceder a credenciales de acceso y transmitir esa información a otro equipo conectado a la red que se encontrara en las proximidades.

Para que este ataque pueda llevarse a cabo es necesario que tanto un ordenador como el otro hayan sido previamente infectados mediante malware. En el caso del equipo aislado, esto no puede darse a través de la red, pero si mediante un archivo dentro de una memoria USB, un CD o DVD o un disco duro que conectemos al equipo. La transferencia de grandes volúmenes de datos mediante el calor aún no es posible, ya que es extremadamente lenta al limitarse únicamente a 8 bits por hora, pero se pueden transmitir órdenes básicas que puedan tener un gran impacto en cuanto a la seguridad de nuestros datos como se muestra en el siguiente vídeo.




El calor, un nuevo riesgo para la seguridad de tus datos

Además, dicha tasa de transferencia es suficiente para obtener contraseñas y datos de acceso a otras aplicaciones o plataformas online para posteriormente llevar a cabo un ataque a mayor escala en estos servicios. La otra gran limitación que por ahora existe es que el equipo receptor de la información ha de estar como mucho a cuarenta centímetros de distancia, pero por el contrario no requiere ni acceder a través de Internet ni conectarlo de forma física al equipo objetivo.

Pero como se hace uso de los sensores térmicos que ya incorporan elementos como la placa base, la CPU o la tarjeta gráfica, no es necesario ningún otro tipo de acción en el ordenador que queramos atacar, más allá del malware BitWhisper.  La capacidad de este malware de analizar las variaciones normales causadas por el funcionamiento del equipo y las provocadas por la transmisión de datos, hace posible recoger la información en el otro ordenador.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pentest Box, es una herramienta que permite la realización de pentesting desde entornos  Windows. No necesita instalador y  ejecuta diversos tipos de programas a través de la línea de comandos de la propia tools, aunque se lanza desde el CMD de Windows. De esta manera, se elude la necesidad del uso de máquinas virtuales.

Algunas de sus características a destacar:

-Funciona directamente en Windows de forma nativa, no en máquina virtual por lo que ganaremos en rendimiento.
-No se necesita ninguna dependencia de programa adicional, todo está incorporado en Pentest Box.
-Incorpora las principales utilidades de Linux Bash como cp, mv, ssh etc.
-Esta distribución sólo ocupa 2GB de espacio en disco y unos 20MB de memoria RAM cuando estamos ejecutando alguna herramienta.
-Portable: no necesita instalación, podremos llevarla siempre con nosotros en una memoria USB.




Algunos de los programas más  conocidos incorporados en la herramienta:

Categorías:

-Escáners de Vulnerabilidades Web
-Proxies Aplicaciones Web
-Rastreadores Web
-Recopilación De Información
-Herramientas de Explotación
-Fuerza bruta a las contraseñas
-Seguridad en Android
-Ingeniería Inversa
-Herramientas de Stress
-Sniffers
-Herramientas Análisis Forense
-Ataques y Auditorias Wireless
-Editores de Texto

Burp Suite: es una plataforma completa que permite realizar test de seguridad a las aplicaciones web de forma automática. Esta herramienta encontrará las vulnerabilidades de seguridad y las explotará para posteriormente sacar un informe sobre el análisis.

WPScan: es una herramienta de escáner de vulnerabilidades en las instalaciones de WordPress, encontrará si hay algún fallo de seguridad y posteriormente nos indicará cuál.

ZAProxy: Es una herramienta de penetración para encontrar vulnerabilidades en aplicaciones web. Está desarrollada por expertos en seguridad y es ideal tanto para desarrolladores como para administradores de sistemas.

Nmap: la popular herramienta Nmap también está disponible en esta distribución, Nmap permite descubrir los hosts en la red y averiguar si hay algún puerto abierto así como las versiones de programas que está usando dicho host. Es una de las herramientas fundamentales para cualquier administrador de redes.

SSLstrip: permite crear un proxy HTTP-HTTPS para que al realizar un ataque Man In The Middle, todo el tráfico cifrado se convierta a HTTP e interceptar todas las comunicaciones.

SSLyze: Es una herramienta Python que analiza la configuración SSL/TLS de nuestro servidor web y nos muestra los resultados del análisis y qué mejoras podríamos hacer.

Wireshark: Pentest Box también incluye WireShark, el conocido analizador de paquetes.

John The Ripper: Una de las herramientas más conocidas para crackear contraseñas.

Aircrack-ng: El popular software para crackear contraseñas inalámbricas de manera fácil y rápida.

SqlMap: SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar peticiones a los parámetros de una URL que se le indiquen, ya sea mediante una petición GET, POST, en las cookies, etc. Es capaz de explotar todo tipo de SQLi como union-base, time-base-blind, base-blind-injection, heavy-queries, etc.

Nikto: de código abierto (GPL), es un escáner servidor web que realiza pruebas exhaustivas contra servidores web para varios artículos, incluyendo más de 6.700 archivos potencialmente peligrosos / programas, controles de versiones no actualizadas de más de 1.250 servidores, y los problemas específicos de la versión sobre más de 270 servidores.

Fimap: es una pequeña herramienta escrita en python que puede encontrar , preparar, auditar, explotar automáticamente  errores de inclusión de archivos locales y remotos en aplicaciones web. Fimap debería ser algo como sqlmap pero para errores LFI / RFI en lugar de inyecciones SQL. Está actualmente bajo desarrollo pero es totalmente funcional.

ApkTool: Una herramienta para la ingeniería inversa de terceros, para aplicaciones Android Puede decodificar recursos a la forma casi original y reconstruirlas después de hacer algunas modificaciones; hace posible depurar código paso a paso. También hace que trabajar con una aplicación más fácil debido a la estructura de archivos como en proyectos y la automatización de algunas tareas repetitivas como la construcción de apk, etc.

OLLY Debugger: es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal.

Radare2:  Radare nació como una herramienta editor hexadecimal, debugger, assembler/disassembler, bajo la línea de comandos. Radare2 fue re-escrito de nuevo y poco a poco ha ido alcanzando el nivel del radare original.

Volatility: es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework está pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción están pensadas para que no dependan del sistema operativo del investigador, es decir podemos utilizar Windows y/o Linux.


Podéis ver una demo:


Para ampliar la información, programas y comandos, indicando el uso y aplicaciones, podéis consultar la página oficial: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente: La información para elaborar el post se obtuvo de diversas Webs

------------------------------------

Edición: Alex, Elbrujo, me escribe al correo, y si bien yo señalo que saqué de varias webs, incluida la suya, no hay problema en transcribir su anotación con el crédito que merece. Ahí va copia:

"Hola Gabriela

............................................................................................

Falta poner:

Fuente:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si porque yo lo ví en redeszone pero añadí varias cosas, las categorías y varias programas y tu trozo es copiar/pegar eh?

Saludos xD"

Cada vez son más los desarrolladores que optan por utilizar esta plataforma para crear las aplicaciones para diferentes sistemas operativos. Web, Android, iOS, PlayStation o Windows Phone son algunas de las opciones que ofrece. Sin embargo, un error detectado en Unity Web Player podría exponer los datos del disco duro del equipo en el que se ejecuta.

Utilizado para renderizar aplicaciones creadas con este motor y disponible para los navegadores web más importantes como complemento, la compañía estima que cerca de 600  millones de usuarios lo utilizan en la actualidad, cifra que ya avisamos tiene trampa ya que se han basado en las descargas realizadas hasta este momento.

La vulnerabilidad zero-day detectada permite a un atacante ejecutar una aplicación maliciosa y que acceda a servicios y haga uso de las credenciales almacenadas en el equipo sin el consentimiento del usuario y evitando la seguridad impuesta por crossdomain.xml.



CÓMO UTILIZAR ESTE FALLO DE SEGURIDAD DE UNITY WEB PLAYER

El investigador encargado de descubrir la vulnerabilidad ha publicado un vídeo en el que se puede apreciar cómo se puede producir este robo de información, acentuado en el navegador Internet Explorer por la presencia de determinadas características de seguridad.

El error fue reportado en diciembre del pasado año a los responsables de desarrollo de Unity pero el investigador aún no ha recibido ningún tipo de respuesta y el bug persiste, provocando que aparezcan las primeras dudas sobre la resolución del mismo.

Para minimizar el impacto de esta vulnerabilidad lo más recomendable es no ejecutar aplicaciones que provengan de fuentes desconocidas, pudiendo tomar como solución drástica llevar a cabo su desinstalación, algo complicado si de hacer si eres desarrollador y vas a necesitar este complemento.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pases hoy, un  día estupendo,recibas muchos regalos y la diversión esté donde vayas!
Felicidades!



Gabi

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tengas un día diferente a lo cotidiano, con muchísimos momentos felices.!!



Gabi

Tengas un día con muchísima alegría, Numeritos.!!!

Deseo que todas las metas que te propongas hoy, al soplar las velas, sean  comienzo de una realidad a lograr!!!.


Gabi. 

Google ha lanzado una nueva web para que los usuarios de sus productos comiencen a controlar sus cuentas de manera eficaz con el objetivo de mejorar la seguridad de su información sensible. Esta herramienta tratará de ofrecer toda la información y ayuda posible para que dicha gestión no se convierta en un dolor de cabeza.

A veces ocurre que cuantas más opciones tenemos de proteger y controlar nuestra información privada, más difícil es llevarlo a cabo. Esta situación se produce cuando tenemos un exceso de medios que dificultan poder poner en orden las defensas de nuestros datos personales a la vez que se muestra la información para llevarlo a cabo de forma poco concreta y difusa. La compañía Google ha querido desterrar este problema de una vez por todas y ha presentado una nueva página de usuario, también adaptada a móviles, con la que controlar de forma directa y precisa qué datos.

Y es que según un estudio de Pew, solo 7% de personas no consideran que controlar el acceso a su información sea importante y 9 de cada de 10 usuarios se preocupa por qué clase de datos son transmitidos. Curiosamente solo el 9% opina que controla toda esta información, por lo que parecía necesario un paso adelante en este sentido.

La nueva página de usuario se divide en varios bloques de interés: el inicio de sesión y la seguridad, información personal y privacidad y por último las preferencias de la cuenta de usuario. Además de poder configurar todos los aspectos de la seguridad de nuestras cuentas de servicios de Google, también podemos fijar de qué forma nos afectan el uso de productos como YouTube, Google+ o el propio historial de nuestra cuenta.



Otra de las opciones más interesantes de Mi cuenta, son los test para saber si nuestra información está suficientemente protegida. Con opciones como la comprobación de seguridad, será muy sencillo progresar a través de una especie de tutorial que permitirá a los usuarios proteger su información de forma cómoda e integrada. Google pretende además ser muy claro con el tratamiento que se da a los datos de los usuarios para evitar sospechas respecto a la cesión a terceros y otros problemas relacionados.


Fuente:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

ROLLTH, un racimo de buenos deseos y felicidad!!! 

Te deseamos, un día estupendo con tus amigos y familia.
Disfruta mucho!

En los últimos días una nueva oleada de un nuevo phishing se está llevando a cabo a través de esta red social. En esta ocasión, los piratas informáticos están distribuyendo falsos mensajes entre los usuarios donde afirman ser el servicio técnico de Facebook (Facebook Recovery) e indican que van a proceder a desactivar la cuenta si no se sigue el enlace correspondiente.


Tal como podemos ver en la imagen anterior, los piratas informáticos informan al usuario de que si no toma las medidas necesarias se va a desactivar su cuenta definitivamente y no podrá ser recuperada. Junto a dicho mensaje aparece una dirección URL acortada con el dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que, al acceder a ella podremos ver cómo nos aparece una nueva página (sospechosa) donde nos pide nuestra dirección de correo o teléfono junto a la contraseña de Facebook.


Una vez se introducen los datos de acceso en la web anterior estos se envían a un servidor en manos de los piratas informáticos que ya han conseguido acceso a la cuenta, sin embargo, esto no acaba aquí. Al iniciar sesión a través del enlace malicioso de los piratas el usuario llegará a una nueva página donde se le pedirán los datos bancarios (nombre, número de tarjeta, etc.) para poder seguir "verificando" la cuenta.



Están claras las intenciones de los piratas informáticos: hacerse con el control de las cuentas y de los datos bancarios para, posteriormente, venderlos en la Deep Web (o utilizarlos en su propio beneficio). Por el momento el enlace malicioso lleva activo desde el día 27 de abril, aunque el número de clicks desde dicha fecha hasta hoy no ha superado los 150. Es posible que a partir de este momento empiece a llegar a más usuarios e incluso que llegue en más idiomas (actualmente sólo está disponible en inglés) para tener así un mayor número de víctimas potenciales.

Para finalizar queremos indicar que este sitio web malicioso ya ha sido identificado por las principales firmas antivirus como podemos ver en VirusTotal aunque igualmente debemos seguir extremando la precaución si no queremos terminar en manos de piratas informáticos.




Fuente:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tenemos disponible en los repositorios de Kali Linux SMBMap, una herramienta que nos permitirá enumerar recursos compartidos samba a lo largo de un dominio. Y no sólo eso, enumera contenidos y permisos, soporta pass-the-hash, descarga/sube/borra ficheros, busca patrones de nombres de fichero con la opción de autodescargarlos e incluso ejecuta comandos en remoto.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta herramienta fue diseñada teniendo en mente el pentesting y tiene como objetivo simplificar la búsqueda de datos potencialmente sensibles a través de redes de gran tamaño.


Instalación en dos patas:

sudo apt-get update
sudo apt-get install smbmap

Algunos ejemplos de autor:


Salida por defecto:




Ejecución de comandos:




Listado de recursos no recursivo (ls):




Búsqueda de contenido en archivos:




Listado de unidades:
Esta característica fue añadida para complementar la búsqueda de conenido.




Shell "elegante":
Ejecuta el script Powershell en el host SMB de la víctima (cambia la IP por la tuya para la conexión inversa).




Listener netcat del atacante:




Para ampliar la información: 
Github: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Antes de comenzar, podéis ver qué son los CPL maliciosos aquí:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


De la misma forma que una DLL no puede ejecutarse por sí sola (requiere de un EXE que invoque alguno de los exports de la DLL, por ejemplo, rundll32.exe ruta_DLL, export_a_ejecutar), un CPL también requiere que alguien llame a CPlApplet. Sin embargo, dado que CPlApplet recibe diversos mensajes específicos, la ejecución directa con rundll32.exe no será adecuada en tanto esos mensajes no sean enviados.


La clave está entonces en observar que cada vez que se hace doble clic en un CPL se ejecutará control.exe, quien llamará a rundll32.exe con los parámetros adecuados. Luego, control.exe es un buen punto de partida para empezar nuestra sesión de debugging.



En la imagen anterior vemos cómo empezaremos a debuggear control.exe con la ruta hasta el CPL como argumento (esto puede configurarse desde el menú "File > Set New Arguments...", recordando que hay que presionar Ctrl+F2 para que se tomen los cambios). Luego, vamos a comprobar los nombres referenciados por control.exe, donde se destaca ShellExecuteEx, dado que es el único import que vemos que podría ejecutar rundll32.exe.



Si buscamos en qué partes del código de control.exe se referencia a ShellExecute, encontraremos que esto sucede en un único punto. Así, colocamos un breakpoint en esa instrucción y continuamos la ejecución hasta obtener lo que vemos en la próxima imagen.

Allí, puede apreciarse que rundll32.exe va a ser llamado con los argumentos: "Shell32.dll,Control_RunDLL <ruta_CPL>". Esto nos da un indicio de por qué no es correcto ejecutar directamente rundll32.exe con el CPL como argumento: es el código contenido en Control_RunDLL, de la librería Shell32.dll, el que sabe cómo pasar los mensajes a CPlApplet.

Asimismo, es importante notar que, la próxima vez que tengamos que debuggear un CPL, podemos empezar por rundll32.exe con estos argumentos que hemos encontrado, sin necesidad de debuggear control.exe antes.




Una vez que estamos detenidos en rundll32.exe, debemos buscar la llamada a Control_RunDLL. Una forma de hacer esto es buscar las referencias a GetProcAddress hasta encontrar aquella que trata de resolver la ubicación del import que buscamos. Así, colocamos breakpoints en todas las llamadas hasta obtener la dirección de Control_RunDLL en Shell32.dll.



Podemos colocar un breakpoint allí y continuar la ejecución. En este momento nos encontramos dentro del código de Control_RunDLL, con lo cual podemos buscar nuevamente las referencias a GetProcAddress para la resolución de CPlApplet.

Sin embargo, queremos capturar el momento en que el CPL se carga en memoria y se ejecuta el entry point (DllMain), ya que allí podría haber algún que otro truquito anti-VM , o incluso el mismo payload malicioso. Entonces, sería conveniente buscar en qué parte del código se llama a LoadLibrary para nuestro CPL.



Como se observa en la imagen, obtendremos muchos puntos del código de Shell32.dll desde donde se llama a LoadLibraryA o LoadLibraryW. A pesar de esto, si luego de colocar todos los breakpoints continuamos la ejecución, el primer LoadLibrary que se ejecutará es el de nuestro CPL. Para que la ejecución quede detenida en la primera instrucción de DllMain, una de las opciones es configurar Olly para que se detenga al cargar el CPL en memoria:



Ahora bien, si volvemos al punto posterior de la llamada a LoadLibrary, encontraremos la referencia a CPlApplet a unas pocas instrucciones de distancia. Eso sí, una vez que estemos en el código de CPlApplet, tenemos que prestar atención a los mensajes que se pasan como argumentos: sólo nos interesa el mensaje CPL_DBLCLK.



Si bien los pasos seguidos en este análisis son interesantes para comprender la ejecución de los archivos CPL, podemos formular un método más práctico para debuggear este tipo de amenazas. Para ello, podemos apoyarnos en la utilización de algún desensamblador como IDA Pro, con el cual podamos identificar la dirección del entry point y de CPlApplet.

Una vez conocidas estas direcciones, podemos abrir directamente el CPL en Olly (haciéndole creer que es un archivo de tipo EXE, y setear los breakpoints en esas direcciones. Luego, si cerramos esa instancia de Olly y abrimos una nueva para debuggear rundll32.exe, tal como hemos descripto, Olly "recordará" esos breakpoints establecidos en el CPL.


En resumen, para debuggear un CPL en forma rápida:

-Observar la dirección de DllMain y de CPlApplet, por ejemplo con IDA Pro.

-Abrir el CPL con Olly y setear los breakpoints donde nos interese. Cerrar OllyDbg.

-Abrir rundll32.exe con Olly, e ingresar "Shell32.dll,Control_RunDLL <ruta_CPL>" en los argumentos.

-Ejecutar hasta que se alcance el primer breakpoint en el CPL.



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Qué son las cookies?

De acuerdo a la información que nos proporciona Wikipedia:

CitarUna cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Se destaca que su función principal es la de facilitar la navegación al usuario, en la medida que la información recopilada por la web permite recordar su visita  cuando regrese al sitio, por ejemplo: preferencias, estadísticas de uso, hábitos de navegación, entre otros.
En el supuesto de que el usuario decida guardar información como nick y contraseña  no será necesario volver a introducirla hasta que caduque o expire el tiempo de almacenamiento. La mencionada información no implica identificación de datos personales o acceso a información privada del usuario guardada en su computador. En todo caso, siempre es posible eliminar, desactivar, bloquear, o no aceptar cookies, conforme a una configuración conveniente del navegador web que utilice.

En cumplimiento de la legislación vigente sobre "Políticas de Cookies",  este sitio web, advierte que almacena cookies propias y de terceros.

Cookies propias

1.   De sesión: son aquellas de carácter temporal, que permanecen en el archivo de cookies de su navegador hasta que abandone nuestro sitio,  por lo que ninguna queda registrada en el disco duro del usuario. La información obtenida por medio de estas cookies sirve para analizar pautas de tráfico en la web y mejorar, en base a esas estadísticas, el uso del sitio.

2.   Permanente: son aquellas guardadas en el disco duro y nuestra web las lee cada vez que usted realiza una nueva visita. Poseen una fecha de expiración determinada y dejarán de funcionar después de esa fecha. Su uso, en general, es para facilitar al usuario no tener que ingresar su nick y contraseña cada vez que inicia sesión.

Nuestra Web se compromete a no darle otro uso a las cookies propias que el descripto precedentemente, así como a tomar todas las medidas posibles para evitar el robo de las mismas. Si pese a las medidas de resguardo asumidas, se diera el caso del robo de cookies, este sitio web se exonera de toda responsabilidad respecto a la utilización que terceros puedan darle a las mismas.


Cookies de terceros

Corresponden, básicamente, a: Google, Facebook, Twitter, Youtube, RSS; en consecuencia, respecto de éstas nos eximimos de toda responsabilidad sobre el contenido de las directivas/políticas de privacidad, y será desde el sitio web de esos terceros donde deberá ejercerse el derecho a eliminación de las mismas.

Recuerde que, en algunos casos, su navegador le pedirá instalar cookies para recordar su preferencia de NO aceptación de  éstas.

Ante cualquier duda respecto a la eliminación de las cookies propias de este sitio, comuníquese con el Administrador de la web.

Hola a todos!

Hoy  traemos una propuesta para intercambiar y conocer algo de nosotr@s.

La pregunta es: ¿qué computadora tienes? Cuéntanos sobre tu hardware y si tiene nombre, no olvidéis decirlo!

Puedes subir una pic, si quieres.

Gabi