WiFi-Pumpkin es un framework que nos permite montar un Rogue AP, esto es, crear un  punto de acceso falso donde los clientes se conectarán a nosotros y hacer un ataque Man In The Middle para capturar todo el tráfico de red.

De uso bajo los sistemas Linux,  presenta algunas funcionalidades interesantes a saber, según describen en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login :

Características


•   Rogue Wi-Fi Access Point

•   Deauth Attack Clients AP

•   Probe Request Monitor

•   DHCP Starvation Attack

•   Credentials Monitor

•   Transparent Proxy

•   Windows Update Attack

•   Phishing Manager

•   Partial Bypass HSTS protocol

•   Support beef hook

•   Mac Changer

•   ARP Poison

•   DNS Spoof


Como se puede leer, además de la característica anotada, destacamos que WiFi-Pumpkin tiene otras funciones tales como mandar ataques de desautenticación (Deauth Attack Clients AP)  a los clientes que están conectados a otros AP, para que sus dispositivos se conecten directamente a nosotros.

Asimismo, es de señalarse el  ataque  denominado DHCP Starvation, consiste en llenar de solicitudes un determinado servidor DHCP para que posteriormente nosotros seamos quienes hagamos de servidor DHCP, de esta forma los clientes se conectarán directamente a nosotros.

WiFi-Pumpkin también incorpora los ataques ARP Poisoning que es uno de los más típicos y DNS Spoof para redirigir a los usuarios que se conecten a nuestro servidor DNS y poder redirigirles a cualquier web.

Esta herramienta, consta también de plantillas para realizar phishing, permite hacer un bypass parcial del protocolo HSTS, capturar los credenciales de usuario, y también ver todos los logs en un fichero HTML para facilitar su lectura.

La tools y más información sobre la misma se encuentra en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y  podéis descargarla o clonarla. Como único requisito se necesita tener instalado Python 2.7 en el sistema operativo.

En mi caso,  la cloné:

git clone https://github.com/P0cL4bs/WiFi-Pumpkin.git
cd WiFi-Pumpkin
./installer.sh --install

Una vez culminada esta sencilla instalación, la podéis lanzar escribiendo en el terminal, lo que se ve en la siguiente captura:



Y a dedicarse a explorar, jugar y hacer pruebas desde la creatividad de cada uno.

Saludos

Gabriela


Fuentes para la elaboración del post: GitHub|Redeszone.net

Fosshub es uno de los mayores repositorios open-source de la red, y es el sitio al que redirigen la mayoría de programas de código abierto, algunos tan famosos y populares como qBittorrent, Audacity, Classic Shell, MKVToolNix, Calibre, HWiNFO o IrfanView. Todos estos programas se han visto comprometidos con virus muy peligrosos que incluso bloquean el arranque del ordenador.

Un grupo de hackers bajo el nombre de PeggleCrew ha conseguido acceso al sitio, y han podido modificar los archivos que descargaban los usuarios e introducir malware en ellos. Los atacantes aseguran que consiguieron acceder gracias a "un servicio de red sin autenticación que estaba expuesto a Internet". A partir de ahí, accedieron al código fuente y credenciales de acceso de la web, lo cual les permitió acceder a la infraestructura de FossHub.

El grupo de hackers ha estado comentando todos los problemas que han tenido los usuarios a raíz de esto, y mofándose de ellos. Además, han comentado que han accedido al correo personal del administrador de la web, y aunque no han hecho pública ninguna información personal, aseguran que las contraseñas no estaban cifradas.


Todos los programas del sitio web fueron sustituidos

Inicialmente, los hackers sólo sustituyeron  los instaladores de Audacity y Classic Shell, subiéndolos a través de la interfaz de la que disponen los desarrolladores para subir su contenido. El instalador de Classic Shell ocupa 6.88 MB, mientras que el infectado ocupaba 6.81 MB. Mismo nombre, mismo icono, y prácticamente el mismo tamaño. La única diferencia es que el archivo infectado no ejecutaba ningún instalador.

Una vez los administradores de FossHub lo descubrieron, revirtieron los cambios, y aquí es cuando Cult of Peggle reemplazó todos los ejecutables de los servidores de FossHub con un reemplazador de MBR. Este código malicioso pasa prácticamente desapercibido por los antivirus por ser nuevo.

Cuando los usuarios ejecutaban e instalaban el programa descargado de la web y reiniciaban el ordenador, se encontraban con un mensaje que los atacantes habían escrito, y no se podía iniciar el ordenador. Esto es debido a que el malware reescribía el código MBR (Master Boot Record), que es una sección que se encuentra en la unidad de inicio (SSD o HDD) y que es clave para el arranque del ordenador.


A pesar de que querían instalar un rootkit para tener acceso de administrador al sistema, no lo consiguieron, y simplemente se limitaron a crear este virus que bloqueaba el inicio del ordenador.


En el caso de que os hayáis visto infectados por esto, aquí tenéis un vídeo de cómo eliminar el malware. Tan sólo hay que iniciar en reparación del sistema antes del boot. En opciones avanzadas, vamos a Símbolo del sistema, y escribimos:

bootrec /fixmbr

Reiniciamos, y ya quedará arreglado.

Al parecer la web vuelve a estar en pie, y el problema habría quedado solucionado, aunque de momento os recomendamos que no descarguéis nada.

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Instala You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login 

Busca Hidden Wiki, para empezar y de ahí vas tirando.

Hace tiempo (bastante) este enlace funcionaba (lo copias y pegas en en la barra de navegación de Tor Browser), pero como los .onion cambian con frecuencia no sé si será válido:

Hidden Wiki: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Saludos

Gabriela

Varios sitios webs se hacen eco de una prueba de concepto publicada hace pocos días en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en la cual se plantea una técnica de ataque llamada QRLJacking que permite evadir sistemas de seguridad e inicio de sesión SQRLs (Secure QR Logins). 

¿Qué es QRLJacking?

QRLJacking o Quick Response Code Login Jacking, según se lee (en inglés)  en  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login  es  un vector de ataque -ingeniería social mediante- que afecta a todas las aplicaciones que permitan iniciar sesión a través del escaneo de un código QR y  cuyo  objetivo es secuestrar dicha sesión del usuario por el atacante.

Hay que señalar que para que este tipo de ataque pueda funcionar es necesario que tanto el atacante como la víctima estén conectados al mismo tiempo.  Asimismo, basado en la ingeniería social, es indispensable suplantar la identidad de las páginas web reales para que la víctima escanee el código QR malicioso, esto es, el que fue modificado por el atacante.

Esta técnica, conocida como secuestro QR basado en sistema de acceso, plantea una serie de etapas que pueden resumirse en:

-   El atacante ingresa al sitio que utiliza el código QR (por ejemplo WhatsApp web). El sitio muestra el código generado.

-   El atacante clona/copia del código QR de inicio de sesión en una página de phishing creada por él.

-   Esta página se envía a la víctima.

-   Si la víctima "cae", escanea el código QR, en nuestro ejemplo, con WhatsApp.

-   La aplicación móvil envía un token secreto al servicio web para completar el proceso de autenticación.

-   Como resultado, el atacante inicia la sesión cliente y obtiene el control sobre la cuenta de la víctima, esto es, el servicio inicia el intercambio de todos los datos de la víctima con la sesión del navegador del atacante.

-   Para llevar a cabo un resultado exitoso, el atacante debe refrescar continuamente (cada N segundos) el código generado en la página falsa.

Citar"Lo que los atacantes necesitan hacer para llevar a cabo con éxito un ataque QRLJacking es escribir un script para clonar periódicamente los códigos QR expirables y refrescar los que aparezcan en la página web de phishing creada, porque como sabemos un proceso QR Login bien implementado debe tener una intervalo de caducidad para los códigos QR"

Se puede apreciar el esquema en la siguiente imagen:




Este escenario, no solo aplica al WhatsApp, sino que se puede replicar en  WeChat, AirDroid, Weibo, Yandex, Alibaba y cualquier otro proyecto que utilice código QR como método de autenticación.



Por otra parte, en GitHub leemos (en inglés):

¿Cuáles  son los requisitos para lograr un ataque QRLJacking  con éxito?


El ataque  QRLJacking consta de dos partes:

1-   Del lado del servidor: Se necesita un script del lado del servidor para mostrar a la víctima la página desde que atacaremos.

2-   Del lado del cliente: Desde donde clonaremos el código QR, llevándolo a nuestra página de phishing, ya que cuando la víctima intenta acceder a la web, por ejemplo, de WhatsApp, lo que estará haciendo en cargar la web maliciosa y el script oculto en  el servidor nos enviará el token de acceso a nuestro servidor, a través del cual podremos acceder a la cuenta de la víctima.


Configuración del Servidor (Hosting del atacante)

1.   Subir el archivo " qrHandler.php " al servidor, este archivo php se utiliza para convertir la cadena de código QR base 64 en un archivo .JPG válido. Una vez que tenemos  una imagen válida generada QR , la nombramos como  " tmp.jpg " , la cual se localizará en la misma carpeta raíz de los archivos  y  se actualizará cada vez que se llame ese archivo php.

2.   A continuación, actualizar el archivo " phishing.html " del código fuente de  la página de phishing preferida.


Configuración del lado del cliente (browser del atacante) :

1.   Abrir el navegador Firefox.

2.   Clic en "opciones" y escribe You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Dar clic en aceptar: "Tendré cuidado, lo prometo".

3.   Buscar "security.csp.enable" y cambiar el valor a "false" haciendo doble clic en él y así permitir la realización de una solicitud XHR sobre un dominio diferente. Se recomienda que después de las pruebas restablecer el valor original).

4.   Instalar el Greasemonkey addon  [   url=You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login] addon/Greasemonkey[/url]   ] y asegurarse que el archivo del modulo   "WhatsAppQRJackingModule.js"  se carga y está corriendo.

5.   Ahora vayamos You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y esperar el inicio de sesión del WhatsApp. Greasemonkey  deberá inyectar nuestro archivo en el módulo de WhatsApp.

6.   Enviar el enlace directo de la última página de phishing a una víctima.  Una vez escaneada la QR , la sesión de la víctima será nuestra.




En GitHub se comparte, también un video demo de la POC



Más información y recursos en el sitio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Sed buenos 

Gabriela

PD: Hay que comentar que con acceso físico al dispositivo, esta técnica de secuestro del código QR, ya se hablaba desde hace tiempo. En el youtube hay videos de 2014/2015.


Fuentes para la elaboración del post: GitHub|segu-info.com.ar|hackplayers.com

Citar1- ¿se debe complementar con otras ramas de la seguridad?

En mi opinión, sí.

Citar2- ¿Sinceramente vale la pena estudiar esto (perfeccionar) ?

Depende de tus preferencias, pero es una rama informática interesante y muy desafiante.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos

Gabriela

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Yo creo que va en tu madurez frente al caso, por ejemplo.

He visto gente que llega preguntando "como conseguir la contraseña de XXmail de una persona" o "necesito la clave de fb de alguien", es ahí donde uno se pregunta "Estos niños saben el nivel de QA que tendrán esas empresas que piensan que sacar claves es tan sencillo?" o en otros casos cuando alguien te tiene un poco cabreado y consigues su IP ( o de su web, server, lo que sea) y dices los voy a hackear por venganza!!

ping xxx.xxx.xxx.xx 

.

Que quiero decir con esto, el hacking es una herramienta que tu puedes usar bajo lo que TU creas bueno y correcto para ti, no para estar "alardeando" diciendo "si me molestas te hackeo" ya que la mayoría de las veces se resume a un DOS o DDOS de niñitos.

Saludos!

~DBP

Al leerte no puedo evitar suscribir tus palabras,  tu exacta descripción y compartir totalmente lo que has escrito.

¿Dónde se vota por @DeBobiPro ? 

La ética es algo  personal de cada uno, por eso el elenco de respuestas puede ser muy diverso. En lo particular, el límite está en no ocasionar daños y asumir con -madurez- las situaciones que se puedan presentar. Esto último solo llega con el tiempo.

Saludos
Gabriela

El proyecto bootcamp esta suspendido, de momento.
Avisaremos si se retoma.

Respecto a los lenguajes de programación, todo depende para donde quieras enfocarte.
En lo particular, me gusta Python, por lo limpio, sencillo y potente.

Saludos

Gabriela

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos

Gabriela

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hola compañeros y sabedores sobre el tema me dirijo a uds. en esta oportunidad para ver si me pueden ayudar. recien compre un iphone 5c por internet al extranjero y resulta que no es liberado y quisiera saber el origen de donde proviene y que operadora y si alguien sabe como liberarlo o como pueda hacer para poder usarlo en mi pais salu2.

Reformula tus preguntas, porque no nos puedes estar preguntando a nosotros el origen del móvil quE tu compraste o la operadora (entre otras cosas), o yo no entiendo lo que quieres decir.

Saludos

Gabriela

El ransomware es en la actualidad una de las amenazas de mayor preocupación para los expertos en seguridad. De expansión en contante progresión creciente, se ha transformado en la industria de la ciber-delincuencia por la que se obtienen importantes sumas de dinero a cambio de liberar archivos o sistemas secuestrados.

Si bien se aconseja no pagar los rescates, tenemos noticias de hospitales que han terminado pagando el rescate, por lo que este malware florece cada vez más. Se modifican los códigos, aparecen nuevos, pero el objetivo sigue siendo el mismo, y parece que no hay dudas que un sector de infectados paga por recuperar sus archivos o sistemas.

A raíz de esta problemática, se unen los esfuerzos conjuntos de Europol, la Policía Nacional Holandesa y las firmas de seguridad Intel Security y Kaspersky Lab para la en la creación de un sitio web: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login .

El portal mencionado  brinda información a los usuarios sobre los riesgos de este tipo de malware, se leen consejos, soluciones y se ofrecen You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de descifrado de algunas familias de ransomware. El sitio nos permite reportar casos de ransomware y es posible también  subir un archivo infectado   y ver si puede ser descifrado con alguna de las 160.000 claves que ofrece su base de datos.

Nota: La información para redactar este post se obtuvo de varios portales informáticos (tanto en inglés como en español).

Gabriela

La red Tor es una red distribuida creada especialmente para permitir a los usuarios más preocupados por su privacidad navegar de forma totalmente anónima por Internet. Aunque esta red es, aparentemente, segura, en muchas ocasiones se ha visto comprometida por usuarios malintencionados y organismos gubernamentales que buscan acabar con la privacidad que aporta esta red. Con el fin de poder ofrecer la máxima seguridad posible, muchos expertos de seguridad suelen analizar periódicamente la red en busca de cualquier indicio de que esta ha sido comprometida.

Recientemente, dos expertos de seguridad han estado llevando a cabo un experimento en el que han analizado más de 1500 servidores dentro de la red Tor y, de los cuales, han encontrado un total de 110 servidores maliciosos que probablemente estaban siendo utilizados por piratas informáticos o gobiernos para comprometer el tráfico de esta red.

Estos investigadores introdujeron en la red Tor una serie de sistemas trampa, llamados HOnions, que ejecutaban una serie de macros cuando detectaban un tráfico anormal en la red. Tras 72 días, los investigadores recuperaron los registros de estos servidores trampa y demostraron como se habían encontrado un total de 110 servidores con un comportamiento fuera de lo normal.

La mayoría de estos servidores tan solo intentaban recuperar datos sobre la configuración del servidor, por ejemplo, la ruta a la raíz del servidor, los archivos .json o la página del estado de Apache, sin embargo, algunos de ellos sí que tenían un comportamiento malicioso, por ejemplo, intentando llevar a cabo ataques SQL Injection.

Además, el 25% de estos servidores maliciosos eran nodos de salida de la red Tor, por lo que los responsables de los mismos podían llevar a cabo ataques más complejos directamente contra los usuarios permitiendo, por ejemplo, que estos puedan llevar a cabo ataques MITM y controlar el tráfico de los usuarios.

La red Tor protege la privacidad de los usuarios, pero la atacan a menudo

La red Tor, por defecto, es una red segura que en teoría protege la seguridad y privacidad de sus usuarios, sin embargo, en la práctica no lo es tanto. Desde hace mucho tiempo, piratas informáticos, cuerpos y fuerzas de seguridad y organismos gubernamentales buscan por igual distintas formas de comprometer la seguridad y el anonimato de los usuarios que utilizan esta red. Además, estas búsquedas de poder se realizan indiscriminadamente a todos los usuarios, ya quieran estos tan solo saltarse la censura regional de su país o utilizar dicha red para el tráfico de armas. A ojos de los gobiernos, todos son iguales.

Por suerte, poco a poco, investigadores de seguridad desinteresados suelen llevar a cabo este tipo de experimentos para ayudar a los responsables de esta red a identificar y bloquear estos servidores y nodos maliciosos con el fin de permitir a los usuarios que confíen en esta red hacer un uso de ella lo más seguro posible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

World of Warcraft es uno de los juegos online más jugados actualmente. Prácticamente desde el inicio de este juego, ambientado en el universo Warcraft de Blizzard, se han estado llevando a cabo todo tipo de estafas en las que un atacante vende oro u objetos por dinero real (algo prohibido por los términos del juego) aprovechándose de las diferentes técnicas de ingeniería social, sin embargo, recientemente ha aparecido un nuevo vector de ataque que, además de basarse en ingeniería social, se aprovecha del mal uso de una característica no documentada en la interfaz del WoW.

Lo primero que debe hacer el atacante es engañar a los usuarios para que le acepten en un clan (por ejemplo) alegando, por ejemplo, que va a compartir determinados objetos raros e interesantes. Una vez dentro, lo único que le queda por hacer es engañar a los usuarios objetivo para que ejecuten en su chat la siguiente línea:

/run RemoveExtraSpaces=RunScript

Una vez ejecutado dicho comando (que explicamos más adelante), todos los demás comandos que se envíen a través del chat serán procesados como comandos LUA en lugar que mensajes, por lo que el atacante podrá controlar por completo la interfaz de la víctima.

Cómo funciona esta vulnerabilidad de World of Warcraft

Toda la interfaz del juego está escrita en lenguaje LUA, por lo que al introducir el comando anterior, este en lugar de procesarse se está ejecutando en ella debido a que todos los comandos son comandos legítimos del lenguaje LUA:

• /run es un comando que indica a la interfaz que interprete lo siguiente como script.

• RemoveExtraSpaces es una función que elimina los espacios innecesarios de texto

• RunScript es una función que se encarga de ejecutar todo el texto como código LUA.

Una vez ejecutado el comando, se sobrescribe la función original de la interfaz y a partir de ese momento todo lo que recibamos será procesado y ejecutado como código. Por ejemplo, un atacante puede utilizar la función "message" para mostrar una ventana con un mensaje personalizado por el atacante o establecer nuevos canales de comunicación para poder seguir controlando la interfaz tras reiniciar el juego sin que en nuestro chat aparezca el más mínimo mensaje, ya que todo se ejecutará de forma oculta.




Qué daños puede causar un atacante con estos ataques

Lo primero, y más importante, es que con esta técnica el atacante puede localizar a la víctima en cualquier parte del mundo digital. Esto, unido a las funciones de comercio del World of Warcraft y a la posibilidad de controlar la interfaz de forma remota puede permitir a un atacante situarse dentro del radio de interacción de la víctima, abrir de forma remota una ventana de comercio, añadir todos sus objetos y el oro a dicha ventana y, finalmente, aceptar el intercambio mediante los comandos remotos que se están ejecutando.

Lo único que podemos hacer para evitar que los piratas informáticos controlen nuestra cuenta de esta manera es no ejecutar la primera línea de código (ni otros scripts) en el chat. La solución definitiva de la vulnerabilidad depende de Blizzard, sin embargo, al utilizarse solo funciones nativas del lenguaje LUA es muy complicado que la vulnerabilidad pueda solucionarse. Sin embargo, como medida preventiva, la compañía ha añadido en su último parche del World of Warcraft un mensaje de advertencia que aparece a todos los usuarios que intentan ejecutar scripts personalizados desde el chat de manera que, al menos, sean conscientes de los peligros que esto supone.


Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los expertos de seguridad, y más precisamente un informe de Trend Micro, alertan de un ransomware (CrypMIC)que clona casi a la perfección a CryptXXX;  ejercitando de esta manera, la  reutilización de código.

Llamado CryptMIC, la reutilizada amenaza imita con bastante acierto a CryptXXX: utiliza las mismas notas de rescate, la misma interfaz de usuario del sitio web de pago de rescate, igual cifrado y los mismos métodos de distribución ya que emplea el exploit Neutrino por medio de publicidad maliciosa o sitios web comprometidos, y hasta exige la misma suma como pago de rescate. Utiliza un  servidor de control personalizado, estableciendo comunicaciones periódicas y asignación de identificadores individuales con víctimas infectadas.

La tabla siguiente, muestra con mayor detalle la comparación de las capacidades de  CryptMIC y CryptXXX








Por otra parte, los expertos anotan como diferencias que CryptMIC, dirige su acción al borrado de copias de seguridad del sistema comprometido, como forma compulsiva de obligar al pago del rescate. No obstante, las similitudes referidas, los expertos señalan que no estamos ante una copia perfecta, ya que entre otras cosas, le falta la capacidad de infectar y cifrar unidades no asignadas de red, la función de bloqueo de pantalla y de robo de contraseñas.

De momento, no hay herramienta de recuperación de archivos.

NOTA: La información (en inglés) y la tabla se obtuvo de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
La traducción, no es literal.

Gabriela

A menudo, y más desde las revelaciones de Edward Snowden, oímos hablar de puertas traseras utilizadas para que alguien acceda a los sistemas y espíe o realice actividades maliciosas en ellos. No obstante, muchos usuarios aún no terminan de comprender qué es un backdoor y la funcionalidad de este tipo de códigos (que no tienen por qué ser maliciosos, como veremos más adelante) y por eso hemos escrito esta breve guía sobre backdoors.

¿Son backdoors y troyanos lo mismo?

Según nuestra definición de Glosario, se define a un backdoor como:

CitarTipo de troyano que permite el acceso al sistema infectado y su control remoto. El atacante puede entonces eliminar o modificar archivos, ejecutar programas, enviar correos masivamente o instalar herramientas maliciosas.

Esto significa que backdoors y troyanos no son exactamente lo mismo aunque, a día de hoy, muchos troyanos incorporan funcionalidades de backdoor para poder acceder a la máquina infectada cuando lo desee el atacante, para seguir realizando sus actividades maliciosas. Sin embargo, los backdoors puros pueden venir previamente instalados en el sistema o aplicaciones utilizadas por el usuario, ya sea porque los desarrolladores se les olvidó quitar o bloquear esa función o se dejó así a propósito.

Por hacer un símil con la realidad, un backdoor sería como una entrada secreta a una fortaleza, oculta para la mayoría pero que unos pocos conocen y pueden aprovecharla para entrar sin ser vistos y realizar sus acciones. Por su parte, un troyano (o caballo de Troya) sería, tal y como la referencia mitológica de su nombre indica, algo que dejamos acceder a nuestra fortaleza y que, una vez dentro nos causa algún daño.

Tipos de backdoors; ¿son necesariamente peligrosos?

Como hemos indicado en el punto anterior, el uso de backdoors en la actualidad suele verse integrado dentro de los troyanos. Gracias a esta usabilidad, un atacante puede conectarse siempre que quiere a los sistemas infectados, actualizar o cambiar los malware instalados para que realicen todo tipo de actividades o robar información sin que el usuario se dé cuenta, entre otras cosas.

No obstante, quizás el tipo que más preocupa es el de aquellos que permanecen ocultos a la vista durante largos períodos de tiempo y que vienen ya instalados en algunos sistemas o aplicaciones. Esto permite a quien conozca de su existencia tener un gran poder sobre los sistemas afectados, para hacerse con el control de los mismos.

También hay que señalar que no todos los backdoors presentes en sistemas y aplicaciones tienen por qué ser peligrosos, puesto que muchos están instalados a propósito para realizar tareas de mantenimiento o actualización en un dispositivo. Siempre que estén bien configurados y solo permitan el paso de usuarios legítimos, no habrá problemas.

Pensemos por ejemplo en el elevado número de dispositivos que tenemos actualmente conectados y que pertenecen al Internet de las Cosas. Algunos de ellos reciben actualizaciones sin interacción del usuario e incluso permiten que un técnico acceda remotamente y trate de solucionar problemas que hayan aparecido. Esto es posible gracias a estas puertas traseras que están instaladas y que evitan que el usuario tenga que configurar y permitir cada uno de estos accesos.

Uso malicioso de los backdoors

Sin embargo, empresas, organizaciones y gobiernos a veces cruzan la raya en la instalación y uso de backdoors y realizan actividades maliciosas en los sistemas de los usuarios. Mucho se ha hablado en los últimos meses de su inclusión en todo tipo de sistemas, e incluso la herramienta de cifrado TrueCrypt estuvo en el punto de mira tras su repentina despedida, al pensarse que incluía puertas traseras de la NSA -sospecha que se ha demostrado falsa tras haber completado la auditoría de su código.

Lo cierto es que no deberíamos extrañarnos de la inclusión de este tipo de puertas traseras en los tiempos que vivimos, puesto que la recopilación de información de todo tipo de usuarios resulta vital para empresas y gobiernos. Otra cosa es la legalidad de estas prácticas; está muy bien que se pretenda luchar contra amenazas actuales como el terrorismo Yihadista o la pornografía infantil, e incluso que se utilicen herramientas que permitan controlar remotamente las actividades de los sospechosos, pero siempre que se solicite previamente una autorización judicial que salvaguarde los derechos de los ciudadanos.

Sabemos que los delincuentes no tienen escrúpulos a la hora de explotar cualquier herramienta a su alcance para conseguir su objetivo (fundamentalmente, dinero) e incluso han habido casos en los que se han estado aprovechando de fallos de seguridad que permitían utilizar una puerta trasera en ciertas aplicaciones o sistemas en su propio beneficio.

Lo que está claro es que se pueden tener muy buenas intenciones para justificar la presencia de un backdoor pero la realidad es que, si no se protege de forma adecuada, esa puerta trasera puede traer muchos dolores de cabeza a los usuarios, no solo de ordenadores, sino también de dispositivos móviles o de cualquier otro dispositivo conectado.

¿Cómo protegerte frente a los backdoors?

En este punto, ahora que sabes qué es un backdoor, es importante volver a diferenciar entre aquellos que se intentan instalar en nuestro sistema (fundamentalmente utilizando troyanos) y los que vienen ya incluidos en él o en alguna aplicación de confianza.

Los primeros son relativamente fáciles de eliminar, puesto que un análisis del tráfico de nuestra red o incluso del propio binario puede sacar a la luz funcionalidades no deseadas. Un antivirus actualizado o, si preferimos entrar nosotros mismos en materia, un análisis profundo con una herramienta de desensamblaje pueden revelar funciones ocultas de backdoor que no se ven a primera instancia.

El problema viene con aquellas aplicaciones o sistemas que lo llevan incluido en su sistema. En esos casos es cuando debemos confiar en la comunidad de usuarios que lo revisan, en el caso de utilizar software libre, o cruzar los dedos y confiar en las buenas intenciones de la empresa a la que hemos dado nuestra confianza.


Conclusión

A día de hoy, los backdoor son una de las herramientas más utilizadas (de forma maliciosa o no) para acceder a los sistemas de los usuarios. Como hemos visto en este post, es probable que tengamos uno instalado y sea perfectamente normal. Sin embargo, debemos permanecer alertas para evitar que alguno no deseado haga de las suyas y cause problemas.


Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Puedes escribir a @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login por MP, pero como bien dicen antes, si miras la fecha del post, ya está quemado.

Saludos

Gabriela

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos

Gabriela

No tarda, ultimo unos detalles  y se postea.



Saludos

Gabriela.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hasta hoy me puse a leer con tranquilidad el actual post.
Yo no programo en C#, pero no me impide leerlo ni algo más importante, apreciar ese com-partir lo propio o personal de que toda Comunidad siempre necesita.

Un tutorial claro que habilita -a quien lo desee- reconstruir tus etapas y de paso -aprender-

Gracias por el aporte y fundamentalmente,por la actitud.

Gabriela

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es muy interesante el aporte, y algo que fundamentalmente se agradece: un temario ordenado para ir escalando en el aprendizaje.
Lo guardaré en favoritos para tenerlo a mano,  porque se suele pedir mucho por el foro este tipo de cosas.

Gracias.

Gabriela.