[1] Respeto: El respeto hacia todos los usuarios es importante (tanto parte de algún Administrador, Moderador, Manager, o quien sea), la falta de respeto por parte de nosotros los usuarios debe ser/sera sancionada.

[2] Si algún usuario hace un aporte debe ser respetado por lo demás, sea el aporte que sea (si existe alguna queja hacerla hacia un miembro del Staff para que tome las medidas necesarias) y sobre todo no divulgar tutorial/firma/recurso sin los permisos del usuario autor.

[3] Mantener el orden en los temas es importante, teniendo en cuenta que no se debe desviar un tema, como tampoco se debe insultar en los temas a otros usuarios.

[4] Evitar hacer SPAM o PUBLICIDAD en los temas de este Sub-Foro, ya que serán sancionados.

[5] Respetar estas reglas como también las reglas general del foro (Ya que también ellas están sujetas a este Sub-Foro).

Nota:   Estas reglas están sujetas a cambios por cualquier parte del Staff (mientras sea necesario hacer un cambio), si existe algún tipo de problemas con las reglas debe hacerse saber con el Mod. del área para hacer alguna edición, las reglas fueron creadas para mejor funcionamiento del foro por parte de los usuarios.

[1] Se prohíbe la introducción de enlaces y sitios webs para beneficio propio del usuario en sistemas que acrediten puntos o dinero por cada entrada. (ad.fly/linkbucks/etc...)

[2] Se tendrá que poner el idioma del programa y el host donde esta subido. Ej: programa.underc0de [Español][Mediafire]

[3] Esta sección SI es para sistemas operativos e Isos.

[4] Si en el post hay un único link, y esta caído, su creador tendrá 1 semana para resubirlo, en caso contrario su post será eliminado.

[5] NO se admiten programas ya posteados. Es decir si un usuario ya a posteado: Autocad 2010.1 NO vuelvas a postearlo, de lo contrario tu post será eliminado.

(Lo que si se admite es el posteo de diferentes versiones, si un user postea Autocad 2010.1, y tú quieres postear Autocad 2010.2 en ese caso podrás hacerlo.)

[6] NO se permiten post con publicidad de otras webs, ya sea en las imágenes o en URL.


Si se incumple cualquiera de estas normas o  normas generales del foro, se le dará un aviso al infractor, si éste vuelve a reincidir será baneado de manera permanentes.

Última actualización 25/06/2015

[1] Se prohíbe la solicitud de crack, keygens, etc. de software comerciales
Queda prohibido cualquier tipo de solicitudes de este tipo, este subforo tiene como finalidad apoyar y fomentar la adquisición de conocimiento, no es un subforo para solicitar software, si tienes intenciones de comprobar la seguridad de un software comercial y te encuentras atascado, pues adelante, publica tus avances en la seccion de Dudas generales y con mucho gusto te ayudaremos.

[2] Se prohíbe nombrar cualquier software comercial
Por temas legales, se prohíbe mencionar directamente el nombre del software al que se desea comprobar su seguridad, como sugerencia puedes poner una imagen o link de descarga que sea de tu autoridad.

[3] Se prohíbe la comercialización de software pirateado (crack, serials, keygens, etc.)
Como sugerencia para esta regla, puedes enviar mensajes privados (MP) al usuario o usuarios interesados.

[4] Se prohíbe la publicación de retos (crackmes, serialme, etc.) que posean rutinas anti máquinas virtuales.
Como medida de seguridad para los nuevos usuarios de esta arte de la ingeniería inversa, se prohíbe que los retos expuestos en este subforo posean rutinas que impidan la ejecución de estos en máquinas virtuales, de esta forma evitamos la propagación de malware y nos aseguramos que el material encontrado en este subforo sea más confiable.

Importante: Las reglas anteriormente descritas están sujetas a cambios sin previo aviso, por lo cual es de suma importancia frecuentar periódicamente este post.

Felicidades, @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (Thanatos)!!!!

Hoy es un día de encuentro y festejos... los amigos, los familiares... y también Underc0de se quiere hacer presente, para desearte el mejor cumpleaños.
Gracias por los buenos momentos compartidos, tu trabajo y dedicación a nuestro foro!

Disfruta y sé muy feliz!!



Gabi

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Agradecemos el material y la solidaridad, pues ésta última es uno de los principios o pilares en que se funda la Comunidad.
Cada vez que la actuamos, crecemos.

Gabi.

Para los que queráis revisar sobre de que trata el tema de los honeypots, podéis mirar aquí: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Aviso: El post plantea una visión panorámica de la tools en base a la documentación que se cita en la fuente. Asumo la responsabilidad de los errores de traducción, no siendo esta literal ni lineal, sino una síntesis. 

¿Qué es NOVA?

NOVA, es una herramienta de código abierto que funciona bajo Linux.  Detecta (y previene) toda clase de reconocimientos a una red,  tanto de un atacante extraño a la misma, como alguien de dentro  (empleados no autorizados) que estén tratando explorar la infraestructura de la red, o incluso malware; por eso altamente eficaz para cooperar en el mantenimiento de la seguridad. 

¿Cómo funciona NOVA?

NOVA, posibilita la creación de múltiples máquinas virtuales en la red a proteger (bajo una versión mejorada de Honeyd) con la apariencia de reales, sirviendo de señuelo al intruso cuando, por ejemplo,  escanea con herramientas  como Nmap o Nessus; pero que en definitiva, cumplen la función de confundir el  objetivo del atacante por medio de los falsos nodos.





Por otra parte, en la detección de actividad, NOVA utiliza algoritmos de 'aprendizaje' automático, activándose las alertas cuando se detecta actividad sospechosa o intentos de penetración  hostil, por lo que no será necesario acudir a la búsqueda manual en los archivos de registro del honeypot. La intrusión  se notifica a los administradores mediante la generación de alarmas al correo o entradas syslog.





Con una interfaz web intuitiva, de sencilla configuración, ofrece la información recogida en los honeypots en una serie de cuadros, gráficos y  tablas de tráfico que muestran los intentos de intrusión, cuyos datos permiten a los administradores de los sistemas de seguridad determinar si existe una amenaza en la red.










En síntesis, se puede destacar:

-Limita los efectos de  ciber ataques internos y externos, detecta actividad sospechosa actuando como IDS, proporciona datos falsos a los atacantes, y alerta a los administradores de red de sucesos críticos.

-Impide a los atacantes hostiles de realizar el reconocimiento sobre redes privadas.

-Mejora el conocimiento de la situación sobre las redes.

- Útil para entrenar y formar equipos de trabajo en la detección de intrusiones a la red.


Github: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Fuentes (en inglés):http: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

29/06/2015

Un día como hoy, hace exactamente un año,  a las 4:30 (UTC), MRX  [más conocido como Polsaker] registraba la primera cuenta en Hira. Cumplía así el acto fundacional de la red.   Esa red de IRC, pequeña y gigante a la vez, donde está alojado el #Underc0de.

Es pequeña porque tiene mucho para crecer, pero es gigante porque los vínculos que allí  van surgiendo se nutren de un racimo de componentes que la diferencia de otras. Risas, solidaridad, apoyo técnico, sin que falte algún trolling amigo o alguna desavenencia: todo profundamente humano, sin más.

Cuando desde la virtualidad es posible vivenciar emociones, el mundo de las letras cobra un significado especial;  en definitiva, las palabras se visten de gala para fomentar buenos lazos ( y alguno no tan bueno también  )

En este primer Aniversario,  nuestra Comunidad se hace presente para brindar por el proyecto Hira, por su ambiente y por todo lo que contribuye a que Underc0de sea la gran familia que somos.

!!!FELIZ ANIVERSARIO!!!

Abrazo para ti, Polsaker; y para todos los que hacen posible a Hira.

Gabriela

Con la llegada del verano y de las vacaciones llega también el tiempo de descansar, viajar y pasar un tiempo de ocio en la montaña o en la playa. Si llevamos nuestro móvil con nosotros puede que estos días queramos desconectar un poco, pero apartar la vista del terminal en ocasiones supone la ocasión ideal para que algún ladrón le eche el guante o simplemente lo extraviemos. No te preocupes, te explicamos qué puedes hacer para recuperar el móvil si este verano pierdes o protegerte si te lo roban.

Lo primero de todo y antes de pasar a las opciones tecnológicas que nos permite cada marca, es denunciar ante la Policía la sustracción o pérdida del teléfono, para que en el caso de que alguien lo encuentre o puedan dar con él, nos tengan localizados. Pero como hemos dicho, a nivel de usuario disponemos de algunas alternativas para tratar de encontrar el teléfono por nosotros mismos según sea un terminal Android, iOS o Windows Phone.


Android

La compañía de Mountain View ofrece la asistencia de su Administrador de Dispositivos al cual podremos acceder con nuestra cuenta de usuario de Google para gestionar todos los teléfonos móviles, tabletas o gadgets que utilicen el sistema operativo Android. En esta página, donde previamente habremos enlazado nuestro propio teléfono móvil se nos mostrará en Google Maps la localización exacta del terminal, siempre que no se encuentre bloqueada desde el mismo, por lo que conviene activar la opción acceder a la ubicación en el terminal, dentro de ajustes de Google y Ubicación.



Además nos dará datos acerca de cuándo fue la última vez que estuvo en dicho lugar. Pero también disponemos de varias opciones útiles más, la primera de ellas es que podemos hacer sonar el teléfono a máximo volumen durante 5 minutos, así si estamos cerca o hay alguien cerca podrá escucharlo. También tenemos disponible una opción para bloquear el teléfono de forma remota y reestablecer la contraseña y una última para borrar los datos del dispositivo, algo útil si intuimos que ha caído en malas manos.

iOS

Apple ofrece a los usuarios la opción "Buscar mi iPhone", mediante la cual será posible acceder a una web o usar una app móvil para encontrar el iPhone o iPad que haya desaparecido. En las últimas versiones de iOS se incluyó el  modo Perdido para bloquear el dispositivo de forma remota con una clave de cuatro dígitos.



Además se muestra en la pantalla de bloqueo un mensaje que podremos editar con el número de teléfono y se podrá registrar la ubicación. También se puede reproducir un sonido para encontrarlo si anda cerca. Pero además podemos borrar de manera remota el dispositivo de modo que ninguna otra persona pueda tener acceso a los datos, si el móvil está conectado a la red el borrado se iniciará de inmediato y si está desconectado comenzará la próxima vez que se conecte a Internet.

  Windows Phone

En Windows Phone también disponemos de una opción a nuestro alcance para localizar el móvil extraviado o hacerle la vida más complicada al ladrón que lo haya robado. Por un lado a través de la web de Microsoft Encuentra mi dispositivo, deberemos iniciar sesión con la cuenta de nuestro teléfono y elegir qué hacer, si llamar para que suene y encontrarlo si lo tenemos cerca nuestro, o bien bloquearlo a distancia con una contraseña u optar por la más drástica, realizar un borrado a distancia del dispositivo.



En cualquier caso, si tenemos iniciadas sesiones en aplicaciones o servicios online, conviene modificar las contraseñas cuanto antes para evitar daños mayores a la vez que contactar con la compañía telefónica para evitar cargos no deseados en la factura del móvil.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Linux/Moose. Breve descripción:

Linux/Moose es una nueva amenaza informática que puede darte más de un quebradero de cabeza. Descubierto por investigadores de ESET, hablamos de un malware que afecta  a los routers de uso doméstico (o de pequeñas empresas) basados en linux. Linux/Moose tiene en las redes sociales su principal objetivo. Una vez infectado el router, el dispositivo pasa a ser utilizado para robar tráfico de red sin cifrar, posibilitando su uso como proxys.

De esta forma y gracias a esta vulnerabilidad, los ciberdelincuentes tienen la posibilidad de robar cookies en las conexiones HTTP, pudiendo de esta forma realizar acciones fraudulentas en Facebook, Twitter, Instagram, YouTube y otras redes sociales con el objetivo es generar falsos seguidores, visitas y falsos "me gusta". Para los investigadores de ESET, Linux/Moose comparado con otros tipos de malware, muestra unas capacidades de penetración en routers fuera de lo común.

(...)


Hoy se publicó un paper de investigación titulado "Dissecting Linux/Moose", donde se analiza una familia de malware que ataca principalmente los routers basados en Linux, pero que también puede infectar otros tipos de dispositivos con sistema Linux integrado que se le crucen en el camino. Este artículo resume algunas ideas del informe completo.





Características generales de Linux/Moose

Linux/Moose es un archivo ejecutable estándar para Linux que tiene la forma de un binario ELF compilado en forma estática, al que se le quitaron todos los símbolos de depuración. Su funcionamiento se basa esencialmente en el uso de subprocesos múltiples, llegando a emplear unos 36 subprocesos. Puede clasificarse como un gusano, dado que el propósito de la mayoría de sus subprocesos es encontrar otros dispositivos e infectarlos automáticamente.

El siguiente diagrama muestra las funcionalidades de Moose:





El monitoreo que hicimos de la botnet indica que esta amenaza se usa para robar cookies HTTP no cifradas en sitios de redes sociales populares y para cometer fraudes, como por ejemplo usar una conexión SOCKS integrada en el malware para contactarse con un servidor proxy y así "seguir" cuentas o "ver" videos de estas redes populares.





Éste es un ejemplo proveniente de una solicitud HTTP que atravesaba el proxy operado por el malware:



Cabe notar que el servidor actualiza la conexión a HTTPS de inmediato. Casi todo el tráfico está cifrado con HTTPS, por lo que no podemos asegurar con precisión qué acciones realizaron los operadores.

Al monitorear durante un mes uno de los hosts infectados, notamos que el tráfico se dirigía a los siguientes sitios de redes sociales:

-Fotki (Yandex)

-Instagram (Facebook)

-Live (Microsoft)

-Soundcloud

-Twitter

-Vine

-Yahoo

-Youtube (Google)

El dominio de la red social afectada aparece en el campo "Subject" del certificado, en el protocolo handshake de TLS para el tráfico seguro HTTPS.

Las siguientes son las peticiones que se envían a diario a sitios de redes sociales desde un solo router infectado:




A continuación se ilustra cuáles fueron las redes sociales más afectadas en dicho período:




Durante nuestro análisis, con frecuencia nos preguntábamos: ¿para qué poner tanto esfuerzo en interactuar con las redes sociales? Pero, por supuesto, existe un mercado para comprar seguidores de Twitter, Me Gusta de Facebook, visualizaciones de YouTube, entre muchas otras cosas más. Los operadores de esta botnet generan ganancias mediante los fraudes de redes sociales. Gracias a los routers infectados, pueden distribuir tráfico malicioso a través de las redes sociales aprovechando la buena reputación de las direcciones IP de proveedores de servicios de Internet (ISP) confiables.


Esta amenaza en particular tiene una capacidad fuera de lo común para introducirse en las redes, al compararla con otros códigos maliciosos que infectan routers. Además, Moose es capaz de secuestrar DNS y detiene los procesos de otras familias de malware presentes en el dispositivo, que puedan competir por los recursos limitados que ofrece el sistema infectado. El informe completo suministra más detalles, incluyendo el protocolo de red utilizado para comunicarse con los servidores de Comando y Control (C&C).

Código desarrollado para la investigación, indicadores de sistemas comprometidos y más

Además del whitepaper, también estamos publicando otros recursos para la comunidad. En primer lugar, decidimos divulgar el código completo desarrollado para monitorear esta amenaza en nuestra cuenta de Github para investigación de malware. No creemos que sea muy útil guardarnos los scripts solo para nosotros. Aunque este código se creó en un laboratorio de investigación y no está tan pulido como el código final que incluimos en nuestros productos terminados, esperamos que les sirva a nuestros pares de la industria, a la comunidad de Linux y a los futuros analistas de malware.

github:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

(...)

Desinfección

Reinicia el dispositivo afectado y luego cambia tu contraseña lo antes posible. Sin embargo, recuerda que los operadores accedían al sistema infectado a través de credenciales que eran de su conocimiento, que también sabían su dirección IP y que contaban con los medios para acceder a su consola interactiva.

Es posible que hayan accedido en forma manual, lo que significa que pueden volver a infectar el dispositivo y pueden hacer modificaciones permanentes en el firmware. Lo mejor probablemente sea restablecer la configuración del dispositivo a su versión de fábrica, actualizar o reinstalar el firmware y cambiar la contraseña.

Prevención

Cambia las contraseñas predeterminadas en los equipos de red aunque no se pueda acceder a ellos desde Internet. Deshabilita el protocolo Telnet para inicio de sesión y utiliza SSH siempre que sea posible.

Asegúrate de que no se pueda acceder a tu router desde Internet en los puertos 22 (SSH), 23 (Telnet), 80 (HTTP) y 443 (HTTPS). Si no sabes cómo hacerlo, cuando estés en casa, usa la exploración de puertos comunes ("common ports") en el servicio ShieldsUP de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Verifica que los puertos mencionados arriba tengan el estado "Stealth" (oculto) o "Closed" (cerrado).

También se recomienda tener el último firmware que ofrece el fabricante de tu dispositivo con Linux integrado.

Fuentes: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login; You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

... Los dominios, ...suelen entregar mucha información y en ocasiones más de lo debido. A la hora de contar con servicios, dominios, sitios web y demás, muchas veces se escapan detalles como suelen ser las configuraciones en los servidores DNS, por lo que veremos de qué se trata la transferencia de zona a los DNS y cómo esto puede exponer información e infraestructuras.

... Los servidores DNS básicamente son equipos que se encargan de resolver nombres de dominio a direcciones IP. Esto permite a los usuarios acceder a servicios de manera amigable, ya que recordar las direcciones IP sería más complejo.

No obstante, suelen ser utilizados por los atacantes para recolectar información acerca de la infraestructura y subdominios de la posible víctima –aunque existen herramientas automatizadas para hacerlo, como por ejemplo Dnsnum. De esta última vemos una captura de pantalla a continuación:




Puede verse con claridad cómo con solo indicarle unos pocos parámetros (en este caso –enum para enumerar la información) ya comienza con la recolección de información, no solamente de los servidores DNS sino también haciendo búsquedas en Internet. Si bien hace todo por sí sola con solo indicarle el dominio, debe comprenderse cómo funciona por detrás.

Para obtener este tipo de información se puede utilizar el comando dig en los sistemas Linux y OS X; es una herramienta de consultas a servidores DNS, como veremos a continuación:




Vemos que al realizar la consulta, automáticamente se listan los servidores DNS que se encargan de resolver las consultas. Para realizar esta consulta se utiliza el siguiente comando:
   

dig NS midominio.net

Una vez ejecutado el comando en un entorno Linux, mostrará la lista de los correspondientes servidores encargados de responder a las solicitudes para ese dominio.

¿Por qué un atacante querría realizar la transferencia de zona y recolección los registros de los servidores DNS?

Sucede que a través de ellos se llega a recolectar información de una red corporativa, exponiendo en ocasiones sus direcciones IP internas, servidores y equipos. Para recolectar esta información debe usarse el parámetro "axfr" (a este tipo de ataque también se lo denomina AXFR) donde el comando queda de la siguiente manera:
   

 dig @ns1.midominio.net axfr midominio.net

El parámetro "axfr" es quien permite la transferencia de zona de dicho DNS, ya que se usa para sincronizar y actualizar datos de la zona cuando se produjeron cambios. Si bien la transferencia puede hacerse vía "axfr", también es posible hacerla de forma incremental, denominada entonces "ixfr" -cuando se ejecuta la solicitud se obtiene la transferencia de toda la zona como respuesta. Sin la debida configuración, esto le permite a un atacante replicar la base de datos DNS, obteniendo información sensible.

Una vez hecho esto, si el ataque tiene éxito, podrá verse cómo resulta la exposición de mucha información, como veremos en la siguiente captura de pantalla:




Puede apreciarse en el ejemplo mostrado que se listan direcciones IP, servicios que seguramente son de uso interno como portales de login, servicios de correo e inclusive los portales disponibles para las versiones móviles.

¿Cómo puedo ver esta información desde Windows?

De la misma forma en que podemos obtener esta información con el comando dig desde sistemas Linux, también podemos obtenerla desde sistemas Windows con Nslookup. Veamos en la siguiente captura de pantalla cómo hacerlo:



Si bien desde Windows cambian un poco los comandos y los parámetros, puede realizarse de igual forma. En primer lugar es necesario abrir la consola de Windows (también es posible usar consola aquí); para hacerlo basta con escribir "cmd" en la barra de búsqueda en el menú Inicio y presionar la tecla Enter.

Una vez abierta la consola, como se muestra en nuestro ejemplo anterior, se puede iniciar la secuencia de comandos:

1- El primero a ejecutar es nslookup seguido de la tecla Enter; esto inicia la herramienta para realizar consultas a servidores DNS

2- El segundo es: set type=ns (aquí se especifica que el tipo de consulta en este caso Name Server); una vez presionado Enter, en la siguiente línea debe colocarse el dominio a consultar, por ejemplo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

3- El tercero a ejecutar es: set type=all seguido de la tecla Enter (aquí se especifica que se realicen todas las consultas posibles)

4- El cuarto y último es: ls You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el cual se encargará de listar la información disponible


Entonces ¿Qué hacemos para prevenir la fuga de este tipo de información?

Es muy importante comprender que toda esta información podría ser explotada por un cibercriminal para comprometer un equipo o la red completa. Sabiendo esto de antemano, disponemos de las herramientas para realizar el análisis proactivo para su prevención.

Para evitar estos dolores de cabeza de fuga de información, desde el Laboratorio de Investigación de ESET Latinoamérica recomendamos revisar los archivos de configuración en los servidores DNS.

Cabe destacar que dependiendo del software que se esté utilizando para este servicio, será donde se encuentra ubicado su archivo de configuración para permitir o denegar el o los equipos autorizados a realizar dicha transferencia.

Por ejemplo, para solucionar este problema en bind9, se debe acceder al archivo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (ubicado por defecto en /etc/bind) y editarlo, con la finalidad de admitir la transferencia de zona solo a direcciones IP de servidores DNS secundarios de confianza. Para hacerlo debe modificarse el archivo de la siguiente forma:




Es importante tener siempre presente que este archivo puede variar su configuración y ubicación dependiendo de qué software se utilice. Recomendamos comprender cómo funciona el que se está utilizando y realizar la configuración correspondiente.

Como pudimos ver, algo que puede parecer tan simple representa un serio riesgo de seguridad. Vimos cómo utilizando herramientas propias del sistema operativo, en conjunto con malas configuraciones del otro lado, se logra recopilar una gran cantidad de información sensible.

A través de la información obtenida, el atacante puede comprender la topología de la red y de esta forma intentar vulnerarla. Por eso, es necesario trabajar de forma proactiva para detectar este tipo de situaciones y corregirlas, antes que sea aprovechado por un atacante. Aplicando las correcciones necesarias a estos problemas proactivamente podremos utilizar la tecnología de forma segura y sin tantas preocupaciones.


Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los dominios de Internet identifican a una red de equipos a través de los servidores DNS (Domain Name Server), que se encargan de resolver un nombre de dominio a una determinada dirección IP -por ejemplo, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login a la IP You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Esto hace que acceder a un sitio web sea mucho más amigable al usuario, ya que sería difícil recordar direcciones IP, mientras que recordar nombres y URLs y asociarlos a una entidad o persona resulta más sencillo. En esta entrada veremos qué tipo de información brindan los dominios y cómo podría ser utilizada por un atacante y/o por un investigador.

¿Qué información se puede obtener explorando dominios?

En ocasiones, los dominios de Internet brindan mucha información (muchas veces, más de la cuenta) que a su vez es de gran valor para los cibercriminales. Veamos un ejemplo utilizando el comando whois desde un sistema operativo Linux:




Entre la información que arroja esta herramienta, está el detalle de los servidores DNS que se encargan de resolver las consultas (marcados con el recuadro color rojo superior); seguido de esto, muestra datos como la fecha de expiración y últimas actualizaciones, que vemos en los dos recuadros inferiores.

Siguiendo con el análisis en esta primera consulta, podemos encontrar inclusive datos de contacto, administración, números telefónicos o ubicación, entre otros datos, tal como muestra la siguiente captura:




Como puede observarse, realmente se puede encontrar información muy valiosa, a través de la cual podría por ejemplo iniciarse un ciberataque dirigido por cualquiera de estos medios de comunicación, utilizando Ingeniería Social.

Sin embargo, también puede hacerse uso de algunos sitios en línea para consultar este tipo de información. En este caso usaremos Netcraft, sitio que cuenta con un buscador de dominios similar a whois; basta realizar la consulta sobre el que desee conocerse para que comience a arrojar los primeros resultados.

En primera instancia, mostrará entonces los dominios encontrados, tal como veremos a continuación:



Entre la información mostrada en el recuadro de la columna derecha, puede verse el sistema operativo corriendo, el cual podría ahorrar la etapa de reconocimiento de esta información con algún tipo de escáner como por ejemplo Nmap.

En tanto, en el recuadro situado a su izquierda se brinda información sobre dónde se encuentra alojado el servicio. Como podemos ver aquí, ya hay mucha información disponible que podría ser utilizada para un algún tipo de ciber ataque. Dentro de esta página también se cuenta con la posibilidad de acceder a un reporte donde brinda aún más datos. Veámoslo en la siguiente captura de pantalla:



En la parte superior del reporte puede encontrarse información que tal vez ya fuimos viendo con las herramientas utilizadas previamente, pero si revisamos el recuadro inferior, encontraremos las últimas modificaciones realizadas en los servidores, incluyendo la fecha.

Entonces, empecemos a enumerar la cantidad de información que hasta aquí un cibercriminal podría haber recolectado:

-Dirección física

-Número telefónico del registrante

-Correo electrónico del registrante

-País al que pertenece el dominio

-Servidores DNS

-Fecha de expiración de dicho dominio

-Empresa donde se encuentra albergado el servicio

-Sistemas operativos

-Actualizaciones aplicadas incluyendo sus fechas


¿Cómo podría aprovechar estos datos un cibercriminal?

Si analizamos los puntos anteriormente mencionados, vemos que realmente hay mucha información pública que podría ser explotada por un cibercriminal. Con este tipo de datos, el atacante puede elaborar un ataque dirigido de Ingeniería Social, como también comenzar a buscar exploits públicos para aprovechar algún tipo de vulnerabilidad, en caso de que el sistema no cuente con las últimas actualizaciones instaladas –si así lo indican- sus registros.

Algunos de los ataques que podría realizar el atacante son:

-Explotación de vulnerabilidades mediante correos electrónicos que contengan links maliciosos

-Podría enviar malware especialmente dirigido al registrante del dominio, si tenemos en cuenta las tendencias como Ransomware

-El envío de correos propagando campañas de phishing

-Esta información podría ser utilizada para buscar el perfil de la posible víctima en redes sociales, establecer amistad con algún perfil falso para robo de información, infectar o lo que el atacante requiera

Los puntos anteriormente mencionados son solo algunos ejemplos de cómo podría utilizar esta información un atacante. A través de estos ataques se podría comprometer información sensible, credenciales, archivos, equipos e incluso redes enteras.

Como en este caso utilizamos un dominio perteneciente a la región de Argentina, otra de las alternativas a consultar información es la entidad registrante de dicho país, en este caso NIC. Consultando este dominio llegamos también a información como es el CUIT (Clave Única de
Identificación Tributaria, que en otros países de Latinoamérica sería el equivalente al RUC o Registro Único del Contribuyente).

Veamos el siguiente ejemplo gráfico:



Como podemos ver, además de cierta información repetida, comenzamos a distinguir algunos detalles que tal vez sean utilizables con fines maliciosos.

¿Y un investigador de seguridad?

Si bien el hecho de que todo esto sea público puede parecer negativo, ya que podría ser utilizado por un ciberdelincuente, es importante remarcar que también podría ser utilizado de forma proactiva por investigadores mientras analizan muestras de malware.

En el supuesto caso de que algún código malicioso realice una conexión a un determinado dominio perteneciente a una entidad o persona real, el cual fuera evidente que fue vulnerado y utilizado para propagar malware. A través de esta información pública se podría reportar que estos dominios están siendo utilizados en actividades maliciosas y tomar las acciones adecuadas al caso.

Desde el Laboratorio de Investigación y Educación de ESET Latinoamérica recomendamos revisar periódicamente de forma proactiva el tipo de información expuesta en Internet. Ya sea utilizando herramientas, sitios web o simples buscadores, se podrá saber qué nivel de exposición tiene un determinado dominio en Internet y cómo lo ve el mundo realmente, de esta forma como investigador de seguridad se podrá prevenir la fuga de información evitando cierto nivel de exposición.

...

Fuente:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El uso de sistemas físicamente desconectados de Internet o de cualquier dispositivo que tenga acceso a la red es frecuente en aquellos equipos que requieran de un alto grado de seguridad y no puedan verse comprometidos al ser accedidos por hackers de forma remota. Pero un grupo de investigadores ha descubierto que mediante el uso del calor se puede extraer información y datos privados de dichos equipos gracias a los sensores térmicos.

Si pensabas que al desconectar tu equipo de Internet, tu información quedaba protegida, tenemos malas noticias. Y es que en la Universidad Ben Gurion de Israel se ha llevado a cabo una investigación mediante la cual es posible acceder a datos privados de un ordenador aislado (air-gapped system), usando para ello emisiones de calor y los sensores térmicos integrados en nuestro ordenador. De esta forma, un atacante podría acceder a credenciales de acceso y transmitir esa información a otro equipo conectado a la red que se encontrara en las proximidades.

Para que este ataque pueda llevarse a cabo es necesario que tanto un ordenador como el otro hayan sido previamente infectados mediante malware. En el caso del equipo aislado, esto no puede darse a través de la red, pero si mediante un archivo dentro de una memoria USB, un CD o DVD o un disco duro que conectemos al equipo. La transferencia de grandes volúmenes de datos mediante el calor aún no es posible, ya que es extremadamente lenta al limitarse únicamente a 8 bits por hora, pero se pueden transmitir órdenes básicas que puedan tener un gran impacto en cuanto a la seguridad de nuestros datos como se muestra en el siguiente vídeo.




El calor, un nuevo riesgo para la seguridad de tus datos

Además, dicha tasa de transferencia es suficiente para obtener contraseñas y datos de acceso a otras aplicaciones o plataformas online para posteriormente llevar a cabo un ataque a mayor escala en estos servicios. La otra gran limitación que por ahora existe es que el equipo receptor de la información ha de estar como mucho a cuarenta centímetros de distancia, pero por el contrario no requiere ni acceder a través de Internet ni conectarlo de forma física al equipo objetivo.

Pero como se hace uso de los sensores térmicos que ya incorporan elementos como la placa base, la CPU o la tarjeta gráfica, no es necesario ningún otro tipo de acción en el ordenador que queramos atacar, más allá del malware BitWhisper.  La capacidad de este malware de analizar las variaciones normales causadas por el funcionamiento del equipo y las provocadas por la transmisión de datos, hace posible recoger la información en el otro ordenador.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dependiendo de lo que sea...eliges.



Gabi

 @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bienvenido!!

Por favor, edita el mensaje, y vuelve a subir la imagen.
No sale.



Gabi


Edito: A ver si te subí la correcta... si no es me avisas.

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola!! me alegro verte por aquí!! y... fundamentalmente, me pareció un aporte interesante, por lo actual y por la técnica en sí.

Gabi

Dado que el user, marcó resuelto, cierro el tema.

Gabi

Pentest Box, es una herramienta que permite la realización de pentesting desde entornos  Windows. No necesita instalador y  ejecuta diversos tipos de programas a través de la línea de comandos de la propia tools, aunque se lanza desde el CMD de Windows. De esta manera, se elude la necesidad del uso de máquinas virtuales.

Algunas de sus características a destacar:

-Funciona directamente en Windows de forma nativa, no en máquina virtual por lo que ganaremos en rendimiento.
-No se necesita ninguna dependencia de programa adicional, todo está incorporado en Pentest Box.
-Incorpora las principales utilidades de Linux Bash como cp, mv, ssh etc.
-Esta distribución sólo ocupa 2GB de espacio en disco y unos 20MB de memoria RAM cuando estamos ejecutando alguna herramienta.
-Portable: no necesita instalación, podremos llevarla siempre con nosotros en una memoria USB.




Algunos de los programas más  conocidos incorporados en la herramienta:

Categorías:

-Escáners de Vulnerabilidades Web
-Proxies Aplicaciones Web
-Rastreadores Web
-Recopilación De Información
-Herramientas de Explotación
-Fuerza bruta a las contraseñas
-Seguridad en Android
-Ingeniería Inversa
-Herramientas de Stress
-Sniffers
-Herramientas Análisis Forense
-Ataques y Auditorias Wireless
-Editores de Texto

Burp Suite: es una plataforma completa que permite realizar test de seguridad a las aplicaciones web de forma automática. Esta herramienta encontrará las vulnerabilidades de seguridad y las explotará para posteriormente sacar un informe sobre el análisis.

WPScan: es una herramienta de escáner de vulnerabilidades en las instalaciones de WordPress, encontrará si hay algún fallo de seguridad y posteriormente nos indicará cuál.

ZAProxy: Es una herramienta de penetración para encontrar vulnerabilidades en aplicaciones web. Está desarrollada por expertos en seguridad y es ideal tanto para desarrolladores como para administradores de sistemas.

Nmap: la popular herramienta Nmap también está disponible en esta distribución, Nmap permite descubrir los hosts en la red y averiguar si hay algún puerto abierto así como las versiones de programas que está usando dicho host. Es una de las herramientas fundamentales para cualquier administrador de redes.

SSLstrip: permite crear un proxy HTTP-HTTPS para que al realizar un ataque Man In The Middle, todo el tráfico cifrado se convierta a HTTP e interceptar todas las comunicaciones.

SSLyze: Es una herramienta Python que analiza la configuración SSL/TLS de nuestro servidor web y nos muestra los resultados del análisis y qué mejoras podríamos hacer.

Wireshark: Pentest Box también incluye WireShark, el conocido analizador de paquetes.

John The Ripper: Una de las herramientas más conocidas para crackear contraseñas.

Aircrack-ng: El popular software para crackear contraseñas inalámbricas de manera fácil y rápida.

SqlMap: SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar peticiones a los parámetros de una URL que se le indiquen, ya sea mediante una petición GET, POST, en las cookies, etc. Es capaz de explotar todo tipo de SQLi como union-base, time-base-blind, base-blind-injection, heavy-queries, etc.

Nikto: de código abierto (GPL), es un escáner servidor web que realiza pruebas exhaustivas contra servidores web para varios artículos, incluyendo más de 6.700 archivos potencialmente peligrosos / programas, controles de versiones no actualizadas de más de 1.250 servidores, y los problemas específicos de la versión sobre más de 270 servidores.

Fimap: es una pequeña herramienta escrita en python que puede encontrar , preparar, auditar, explotar automáticamente  errores de inclusión de archivos locales y remotos en aplicaciones web. Fimap debería ser algo como sqlmap pero para errores LFI / RFI en lugar de inyecciones SQL. Está actualmente bajo desarrollo pero es totalmente funcional.

ApkTool: Una herramienta para la ingeniería inversa de terceros, para aplicaciones Android Puede decodificar recursos a la forma casi original y reconstruirlas después de hacer algunas modificaciones; hace posible depurar código paso a paso. También hace que trabajar con una aplicación más fácil debido a la estructura de archivos como en proyectos y la automatización de algunas tareas repetitivas como la construcción de apk, etc.

OLLY Debugger: es un depurador a nivel de aplicación. La interfaz OllyDbg muestra el código ensamblador, volcado hexadecimal, la pila y registros de la CPU. OllyDbg también soporta rastreo, puntos de interrupción condicionales, visión de cabecera PE, edición hexadecimal.

Radare2:  Radare nació como una herramienta editor hexadecimal, debugger, assembler/disassembler, bajo la línea de comandos. Radare2 fue re-escrito de nuevo y poco a poco ha ido alcanzando el nivel del radare original.

Volatility: es un Framework con un conjunto de herramientas desarrolladas enteramente en Python con licencia GNU. Este Framework está pensado para extraer de una imagen de un disco los datos volátiles que estaban en memoria RAM. Estas técnicas de extracción están pensadas para que no dependan del sistema operativo del investigador, es decir podemos utilizar Windows y/o Linux.


Podéis ver una demo:


Para ampliar la información, programas y comandos, indicando el uso y aplicaciones, podéis consultar la página oficial: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente: La información para elaborar el post se obtuvo de diversas Webs

------------------------------------

Edición: Alex, Elbrujo, me escribe al correo, y si bien yo señalo que saqué de varias webs, incluida la suya, no hay problema en transcribir su anotación con el crédito que merece. Ahí va copia:

"Hola Gabriela

............................................................................................

Falta poner:

Fuente:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si porque yo lo ví en redeszone pero añadí varias cosas, las categorías y varias programas y tu trozo es copiar/pegar eh?

Saludos xD"

Cada vez son más los desarrolladores que optan por utilizar esta plataforma para crear las aplicaciones para diferentes sistemas operativos. Web, Android, iOS, PlayStation o Windows Phone son algunas de las opciones que ofrece. Sin embargo, un error detectado en Unity Web Player podría exponer los datos del disco duro del equipo en el que se ejecuta.

Utilizado para renderizar aplicaciones creadas con este motor y disponible para los navegadores web más importantes como complemento, la compañía estima que cerca de 600  millones de usuarios lo utilizan en la actualidad, cifra que ya avisamos tiene trampa ya que se han basado en las descargas realizadas hasta este momento.

La vulnerabilidad zero-day detectada permite a un atacante ejecutar una aplicación maliciosa y que acceda a servicios y haga uso de las credenciales almacenadas en el equipo sin el consentimiento del usuario y evitando la seguridad impuesta por crossdomain.xml.



CÓMO UTILIZAR ESTE FALLO DE SEGURIDAD DE UNITY WEB PLAYER

El investigador encargado de descubrir la vulnerabilidad ha publicado un vídeo en el que se puede apreciar cómo se puede producir este robo de información, acentuado en el navegador Internet Explorer por la presencia de determinadas características de seguridad.

El error fue reportado en diciembre del pasado año a los responsables de desarrollo de Unity pero el investigador aún no ha recibido ningún tipo de respuesta y el bug persiste, provocando que aparezcan las primeras dudas sobre la resolución del mismo.

Para minimizar el impacto de esta vulnerabilidad lo más recomendable es no ejecutar aplicaciones que provengan de fuentes desconocidas, pudiendo tomar como solución drástica llevar a cabo su desinstalación, algo complicado si de hacer si eres desarrollador y vas a necesitar este complemento.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Pases hoy, un  día estupendo,recibas muchos regalos y la diversión esté donde vayas!
Felicidades!



Gabi

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tengas un día diferente a lo cotidiano, con muchísimos momentos felices.!!



Gabi