Me

SEGURIDAD INFORMÁTICA

Sobre nosotros

Somos una comunidad dedicada a la Seguridad Informática con fines totalmente didácticos el cual en distintas plataformas vamos a exponer varias técnicas referentes con temas de Seguridad Informática ya sea Ethical Hacking, programación etc. Expondremos distintas formas de protegerse a ataques de intrusos e informar a las personas sobre los peligros que se puede encontrar en la red y como cuidarse de ellos. Esperamos que el contenido sea de su agrado y se mantenga informado con nosotros. Staff de Haxk.Ur

Me

Gracias por elegir nuestra comunidad como preferencia para la búsqueda de conocimientos, le deseamos una excelente jornada.

Cursos de Capacitación

Experimente los cursos de capacitación en seguridad para pruebas de penetración y supérate día a día.

Hacking Ético y Penetration Tests

Gracias al trabajo de nuestros profesionales contamos con un servicio en auditoria de seguridad.

Contenido Gratuito

Poseemos un contenido gratuito al alcance de cualquiera en nuestro Canal de Youtube y blog.

Haxk.News

Noticias en el área de la Seguridad Informática, el avance en la tecnología y lo último en información.

Herramientas

El desarrollo de nuevas herramientas es esencial y un punto importante de nuestro trabajo.

Soporte Rapido

Damos un servicio de soporte referenciado a nuestros clientes.

  • Detección de Troyanos con Rat Hunter v1.0.


    Rat hunter es un proyecto para detectar troyanos, hora es compatible detectar a 10 troyanos diferentes
    y se esta trabajando para agregar mas aun

    Se ha realizado este proyecto por dos razones para que pueda usarlo para escanear archivos sospechosos o puede leer el código fuente para saber cómo se hizo. Funciona para sistemas operativos Linux y Windows sin problemas. sin lugar a duda es un proyecto que tiene un futuro por delante. 

    Troyanos de apoyo

    Troyanos de Windows
    888 rata privada
    DarkTrack
    NjRat
    XtermeRat
    CyberGate
    Quasar Rat
    VanTomRat
    entre otros

    Troyanos de Android
    SpyNote 5.0
    DroidJack

    Capturas de pantalla







    Vídeo


    Fuente:  https://github.com/Rizer0/Rat-Hunter
  • Social Mapper una herramienta gratuita de reconocimiento facial.


    Una herramienta de mapeo de redes sociales que correlaciona los perfiles a través del reconocimiento facial por Jacob Wilkin (Greenwolf)

    Social Mapper es una herramienta de inteligencia de código abierto que utiliza el reconocimiento facial para correlacionar los perfiles de las redes sociales en diferentes sitios a gran escala. Se necesita un enfoque automatizado para buscar en los sitios de redes sociales populares los nombres y las imágenes de los objetivos para detectar con precisión y agrupar la presencia de una persona, generando los resultados en un informe que un operador humano puede revisar rápidamente.

    Social Mapper tiene una variedad de usos en la industria de la seguridad, por ejemplo, la recopilación automatizada de grandes cantidades de perfiles de redes sociales para su uso en campañas de phishing dirigidas. El reconocimiento facial ayuda a este proceso eliminando falsos positivos en los resultados de búsqueda, de modo que la revisión de estos datos es más rápida para un operador humano.

    Social Mapper es compatible con las siguientes plataformas de redes sociales:
    • LinkedIn
    • Facebook
    • Gorjeo
    • Google Mas
    • Instagram
    • VKontakte
    • Weibo
    • Douban

    Social Mapper toma una variedad de tipos de entrada tales como:
    • El nombre de una organización, buscando a través de LinkedIn
    • Una carpeta llena de imágenes con nombre
    • Un archivo CSV con nombres y url's a imágenes en línea "

    Instalación:  
    sudo apt update && sudo apt install php
    git clone https://github.com/Rizer0/Rat-Hunter
    cd Rat-Hunter
    php RatHunter.php

    Fuente: https://github.com/Rizer0/Rat-Hunter

  • La herramienta de phishing más completa



    BLACKEYE es una actualización de la herramienta ShellPhish original (https://github.com/thelinuxchoice/shellphish) por thelinuxchoice bajo GNU LICENSE. Es la herramienta de phishing más completa, con 32 plantillas +1 personalizables.
    Modo de uso


    git clone https://github.com/thelinuxchoice/blackeye
    cd blackeye
    bash blackeye.sh

    Video Tutorial


    Nota legal:

    El uso de BlackEye para atacar objetivos sin previo consentimiento mutuo es ilegal. Es responsabilidad del usuario final obedecer todas las leyes locales, estatales y federales aplicables. Los desarrolladores no asumen ninguna responsabilidad y no son responsables por ningún mal uso o daño causado por este programa. Solo se usa con fines educativos.

    Fuente : https://github.com/thelinuxchoice/blackeye
  • El malware IoT se encuentra en los sistemas SATCOM de los aviones

    En 2014, los investigadores de IOActive revelaron las vulnerabilidades de seguridad que encontraron en las terminales de comunicaciones satelitales más ampliamente desplegadas y presentaron posibles escenarios que los atacantes podrían explotar una vez que los sistemas SATCOM se hayan visto comprometidos en los sectores de aviación, marítimo y militar. En 2018, demostraron que algunos de estos escenarios teóricos, lamentablemente, todavía son posibles.

    Ruben Santamarta, principal consultor de seguridad de IOActive, presentó esta última investigación en la conferencia Black Hat de este año en Las Vegas y demostró que es posible que los atacantes remotos tomen el control de los equipos SATCOM aerotransportados en aeronaves comerciales en vuelo, estaciones terrenas en buques y los utilizados por los militares de EE. UU. en zonas de conflicto.

    "Cientos de aviones comerciales de aerolíneas como Southwest, Norwegian e Icelandair resultaron afectados por estos problemas. Hoy en día, todavía es posible encontrar buques que están expuestos a Internet, dejándolos vulnerables a ataques maliciosos ", compartió.
    El camino hacia

    Las muchas vulnerabilidades encontradas incluyen puertas traseras, protocolos inseguros y configuraciones incorrectas de la red.

    Los posibles ataques incluyen:



    Mientras que para la industria de la aviación, algunos de estos ataques solo conllevan riesgos de seguridad (el atacante puede interceptar, manipular o interrumpir comunicaciones que no sean de seguridad o avanzar hacia otras redes), en los sectores marítimo y militar también existen riesgos de seguridad.

    "Para el sector militar, se puede considerar un riesgo de seguridad cuando las fuerzas adversas pueden identificar con mayor facilidad la ubicación de las unidades militares. Por otro lado, las industrias marítimas y / o aeronáuticas pueden identificar los peligros debido a los efectos de los HIRF generados por SATCOM, que pueden provocar disfunciones en los sistemas de navegación críticos o incluso daños a la salud de las personas expuestas a este tipo de RF no ionizante ". Santamarta notó.
    Otros descubrimientos interesantes

    Durante esta investigación continua, descubrieron el malware IoT, el bot Mirai, para ser exactos, en un buque al azar con equipos expuestos a Internet. El bot infectó la Unidad de Control de Antena (ACU).

    Además, mientras observaba el sistema de entretenimiento a bordo de un avión durante un vuelo noruego desde Madrid a Copenhague, Santamarta notó dos comportamientos inesperados: la dirección IP asignada a los dispositivos de los pasajeros era enrutable y algo, un host externo, realizaba escaneos de red en estas direcciones IP enrutables.

    "Esto levantó una bandera roja, así que gasté el vuelo mapeando la red interna, recolectando pruebas pasivamente y realizando un análisis inicial del tráfico de red que fue capturado. Una vez que aterrizó el vuelo, una simple exploración de red contra esos rangos reveló que varios servicios comunes como Telnet, WWW y FTP estaban disponibles para ciertas IP ", dijo.

    Finalmente, descubrió una puerta trasera en la unidad de datos del módem satelital (MDU) del avión y una IP pública que intentaba conectarse al servicio Telnet.

    "El host delincuente parecía ser un enrutador comprometido de Argentina. Un análisis más detallado reveló que este enrutador era parte de la botnet Gafgyt IoT, que busca nuevos objetivos potenciales ", compartió.

    "No hay indicios de que esta familia de malware haya tenido éxito en el acceso a la terminal SATCOM en cualquier avión o que esté específicamente dirigido a enrutadores aerotransportados, por lo que deberíamos considerar esta situación como un 'daño colateral'. Sin embargo, el hecho sorprendente es que esta botnet estaba, inadvertidamente, realizando ataques de fuerza bruta contra los módems SATCOM ubicados a bordo de un avión en vuelo ".

    Más detalles sobre su investigación están disponibles en este exhaustivo documento técnico .

    Fuente : helpnetsecurity.com
  • Nmap a fondo Pt.4


    Los filtros de red como los cortafuegos pueden hacer muy difícil el análisis de una red. Esto no va a ser más fácil en el futuro, ya que uno de los objetivos de estos dispositivos es generalmente limitar el reconocimiento casual de la red. En cualquier caso, Nmap ofrece varias funcionalidades para ayudar a entender estas redes complejas, y que también sirven para verificar que los filtros funcionan como se espera de ellos. Incluso tiene mecanismos para saltarse las defensas que no hayan sido implementadas del todo correctamente. Uno de los mejores métodos de entender la posición de la seguridad de su red es intentar comprometerla. Empiece a pensar como un atacante, e intenta utilizar las técnicas de esta sección contra sus propias redes. Lance un sondeo de rebote FTP, un sondeo pasivo, un ataque de fragmentación, o intente realizar un túnel desde una de sus propias pasarelas.

    -f (fragmentar los paquetes); --mtu (utilizar el MTU especificado)

    La opción -f hace que el sondeo solicitado (incluyendo los sondeos ping) utilicen paquetes IP fragmentados pequeños. La idea es dividir la cabecera del paquete TCP entre varios paquetes para hacer más difícil que los filtros de paquetes, sistemas de detección de intrusos y otras molestias detecten lo que se está haciendo. ¡Tenga cuidado con esta opción! Algunos programas tienen problemas para manejar estos paquetes tan pequeños. El viejo sniffer llamado Sniffit da un fallo de segmentación inmediatamente después de recibir el primero de estos pequeños fragmentos. Especifica esta opción una sola vez y Nmap dividirá los paquetes en ocho bytes o menos después de la cabecera de IP. De esta forma, una cabecera TCP de veinte bytes se dividiría en 3 paquetes. Dos con ocho bytes de cabecera TCP y uno con los últimos ocho. Obviamente, cada fragmento tiene su propia cabecera IP. Especifica la opción -f otra vez para utilizar fragmentos de dieciséis bytes (reduciendo la cantidad de fragmentos). O puedes especificar tu propio tamaño con la opción --mtu. No utilice la opción -f si utiliza --mtu. El tamaño debe ser múltiplo de ocho. Aunque la utilización de paquetes fragmentados no le ayudará a saltar los filtros de paquetes y cortafuegos que encolen todos los fragmentos IP (como cuando se utiliza la opción CONFIG_IP_ALWAYS_DEFRAG del núcleo de Linux), algunas redes no pueden tolerar la pérdida de rendimiento que esto produce y deshabilitan esa opción. Otros no pueden habilitar esta opción porque los fragmentos pueden tomar distintas rutas para entrar en su red. Algunos sistemas defragmentan los paquetes salientes en el núcleo. Un ejemplo de ésto es Linux con el módulo de seguimiento de conexiones de iptables. Realice un sondeo con un programa de captura de tráfico, como Ethereal, para asegurar que los paquetes que se envían están fragmentándose. Intente utilizar la opción --send-eth, si su sistema operativo le está causando problemas, para saltarse la capa IP y enviar tramas directamente a la capa Ethernet en crudo.

    -S <Dirección_IP> (Falsifica la dirección de origen)

    Nmap puede que no sea capaz de determinar tu dirección IP en algunas ocasiones (Nmap se lo dirá si pasa). En esta situación, puede utilizar la opción -S con la dirección IP de la interfaz a través de la cual quieres enviar los paquetes.

    Otro uso alternativo de esta opción es la de falsificar la dirección para que los objetivos del análisis piensen que algún otro los está sondeando. ¡Imagine una compañía a los que les sondea repetidamente la competencia! Generalmente es necesaria la opción -e si lo quiere utilizar así, y también sería recomendable la opción -P0.

    --source-port <número_de_puerto>; -g <número_de_puerto> (Falsificar el puerto de origen)

    Un error de configuración sorprendentemente común es confiar en el tráfico basándose únicamente en el número de puerto origen. Es fácil entender por qué pasa esto. Un administrador que está configurando su nuevo y flamante cortafuegos, recibe de repente quejas de todos sus usuarios desagradecidos que le dicen que sus aplicaciones han dejado de funcionar. En particular, puede romperse el DNS porque las respuestas UDP de DNS de servidores externos ya no pueden entrar en la red. Otro ejemplo habitual es el caso del FTP. En una transferencia activa de FTP, el servidor remoto intenta establecer una conexión de vuelta con el cliente para transferir el archivo solicitado.

    Existen soluciones seguras para estos problemas, como las pasarelas en el nivel de aplicación o los módulos de cortafuegos que realizan un análisis del protocolo. Desgraciadamente, también hay soluciones más fáciles y menos seguras. Al darse cuenta que las respuestas de DNS vienen del puerto 53 y que las conexiones activas de FTP vienen del puerto 20, muchos administradores caen en la trampa de configurar su sistema de filtrado para permitir el tráfico entrante desde estos puertos. Generalmente asumen que ningún atacante se dará cuenta de estos agujeros en el cortafuegos ni los aprovechará. En otros casos, los administradores consideran esto una solución a corto plazo hasta que puedan implementar una solución más segura. Y después se olvidan de hacer la mejora de la seguridad.

    Los administradores de red con mucho trabajo no son los únicos que caen en esta trampa. Muchos productos se lanzan al mercado con estas reglas inseguras. Hasta Microsoft lo ha hecho. Los filtros de IPsec que se preinstalan con Windows 2000 y Windows XP contienen una regla implícita que permite todo el tráfico TCP o UDP desde el puerto 88 (Kerberos). Otro caso conocido es el de las versiones de Zone Alarm Firewall Personal que, hasta la versión 2.1.25, permitían cualquier paquete entrante UDP desde el puerto 53 (DNS) o 67 (DHCP).

    Nmap ofrece las opciones -g y --source-port (son equivalentes) para aprovecharse de estas debilidades. Simplemente indique el número de puerto y Nmap enviará los paquetes desde ese puerto cuando sea posible. Nmap debe utilizar distintos números de puerto para ciertos tipos de prueba en la detección de sistema operativo para que funcionen correctamente, y las solicitudes de DNS ignoran la opción --source-port porque Nmap depende de las librerías del sistema para hacerlas. Esta opción se soporta completamente en muchos sondeos TCP, incluyendo el sondeo SYN, al igual que los sondeos UDP.

    --spoof-mac <dirección MAC, prefijo o nombre del fabricante> (Falsifica la dirección MAC)

    Solicita a Nmap que utilice la MAC dada para todas las tramas de Ethernet enviadas. Esta opción activa implícitamente la opción --send-eth para asegurar que Nmap envía los paquetes del nivel Ethernet. La MAC dada puede tener varios formatos. Nmap elegirá una MAC completamente aleatoria para la sesión si se utiliza el valor “0”. Nmap utilizará la MAC indicada si el parámetro es un número par de dígitos hexadecimales (separando opcionalmente cada dos dígitos con dos puntos). Nmap rellenará los 6 bytes restantes con valores aleatorios si se dan menos de 12 dígitos hexadecimales. Si el argumento no es ni 0 ni un conjunto de dígitos hexadecimales, Nmap mirará en nmap-mac-prefixes para encontrar un fabricante cuyo nombre coincida con el parámetro utilizado (en esta búsqueda no diferenciará entre mayúsculas y minúsculas). Si se encuentra algún fabricante, Nmap utilizará el OUI del fabricante (prefijo de 3 bytes) y rellenará los otros 3 bytes aleatoriamente. Ejemplos de argumentos --spoof-mac son: Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2, y Cisco.

    --badsum (Envía paquetes con sumas de comprobación TCP/UDP erróneas)

    Esta opción le indica a Nmap que debe generar sumas de comprobación inválidas para los paquetes que se envíen a los equipos objetivos. Cualquier respuesta que se reciba vendrá de un cortafuegos o un IDS que no comprobó la suma, dado que la mayoría de las pilas IP descartan estos paquetes.

    Vídeo
  • Disponible BackBox Linux 5.2


    En el día de hoy se pone a disposición la versión 5.2 de la distribución de pentesting, seguridad informática y forense de origen Italiano con su base en Ubuntu. El cual yo en lo personal utilizo hace un tiempo y me a dado excelentes resultados.

    Esta distribución luce por ser estable y contener las herramientas necesarias para una auditoria de seguridad.  En este lanzamiento, se han solucionado algunos errores menores, han actualizado la pila del kernel, el sistema base y las herramientas de Hacking.


    Qué hay de nuevo
    • Kernel de Linux actualizado 4.15.
    • Herramientas de hacking  actualizadas.
    • ISO híbrido.

    Requisitos del sistema
    • Procesador de 32 bits o 64 bits.
    • 1024 MB de memoria del sistema (RAM).
    • 10 GB de espacio en disco para la instalación.
    • Tarjeta gráfica capaz de una resolución de 800 × 600.
    • Unidad de DVD-ROM o puerto USB.

    Las imágenes ISO tanto para 32 bits como para 64 bits se pueden descargar desde la sección de descarga oficial del sitio web: https://backbox.org/download


    Para los que ya poseen la versión anterior de esta distribución, nada mas deben de actualizar para obtener lo ultimo que disponen.
    sudo apt update && sudo apt full-upgrade
  • Reconocimiento y recopilación de información con Raccoon



    Raccoon es una herramienta creada para el reconocimiento y la recopilación de información con énfasis en la simplicidad. Hará todo lo posible, desde obtener registros DNS, recuperar información WHOIS, obtener datos TLS, detectar presencia WAF y hasta resistir directorios enrutados y enumeración de subdominios. Todos los escaneos salen a un archivo correspondiente.

    Como la mayoría de los escaneos de Raccoon son independientes y no dependen de los resultados de los demás, utiliza el asyncio de Python para ejecutar la mayoría de los escaneos de forma asincrónica.

    Raccoon admite Tor / proxy para el enrutamiento anónimo. Utiliza listas de palabras predeterminadas (para el fuzzing de URL y el descubrimiento de subdominios) desde el sorprendente repositorio SecLists, pero se pueden pasar diferentes listas como argumentos.


    Caracteristicas
    • Detalles del DNS
    • Asignación visual de DNS utilizando el contenedor de DNS
    • Información de WHOIS
    • TLS Datos: cifrados compatibles, versiones TLS, detalles de certificados y redes SAN
    • Port Scan
    • Escaneo de servicios y guiones
    • Fuzzing de URL y detección de dir / archivo
    • Enumeración de subdominios: utiliza dorking de Google, consultas de contenedor de DNS, descubrimiento de SAN y fuerza bruta
    • Recuperación de datos de la aplicación web:
    • Detección de CMS
    • Información del servidor web y X-Powered-By
    • extracción de robots.txt y del mapa del sitio
    • Inspección de galletas
    • Extrae todas las URL de Fuzzable
    • Descubre formularios HTML
    • Recupera todas las direcciones de correo electrónico
    • Detecta los WAF conocidos
    • Admite el enrutamiento anónimo a través de Tor / Proxies
    • Utiliza asyncio para un mejor rendimiento
    • Guarda los resultados en archivos: separa los destinos por carpetas y módulos por archivos


    Requisitos previos

    Raccoon usa Nmap para escanear puertos y también utiliza algunos otros scripts y características de Nmap. Es obligatorio que lo tengas instalado antes de ejecutar Raccoon. OpenSSL también se utiliza para escaneos TLS / SSL y también debe instalarse.


    Uso
    Uso: mapache [OPCIONES]
    
    opciones:
      --version Muestra la versión y sale.
      -t, --target TEXT Objetivo para escanear [requerido]
      -d, --dns-records TEXT Archivos DNS separados por comas para consulta.
                                     El valor predeterminado es: A, MX, NS, CNAME, SOA, TXT
      --tor -toring Enruta el tráfico HTTP a través de Tor (usa el puerto
                                     9050). Reduce significativamente el tiempo de ejecución total
      --proxy-list TEXT Ruta al archivo de lista de proxy que se usaría
                                     para enrutar el tráfico HTTP. Un proxy del
                                     la lista se elegirá al azar para cada
                                     solicitud. Ralentiza el tiempo de ejecución total
      --proxy TEXT Dirección proxy para enrutar el tráfico HTTP.
                                     Ralentiza el tiempo de ejecución total
      -w, --wordlist TEXTO Ruta a la lista de palabras que se usaría para URL
                                     fuzzing
      -T, - hilos INTEGER Número de hilos a usar para URL
                                     Enumeración Fuzzing / Subdominio. Por defecto: 25
      --ignored-response-codes TEXTO Lista separada por comas de código de estado HTTP para
                                     ignorar para confundir. El valor predeterminado es:
                                     302,400,401,402,403,404,503,504
      --subdomain-list TEXT Ruta al archivo de la lista de subdominios que sería
                                     utilizado para la enumeración
      -S, --scripts Ejecuta el escaneo de Nmap con -sC flag
      -s, --services Ejecuta el escaneo de Nmap con -sV flag
      -f, --full-scan Ejecute el escaneo de Nmap con ambos -sV y -sC
      -p, --port TEXT Use este rango de puertos para el escaneo de Nmap en lugar de
                                     el valor por defecto
      --tls-port INTEGER Utilice este puerto para consultas TLS. Valor predeterminado: 443
      --skip-health-check No prueba la disponibilidad del host de destino
      -fr, - follow-redirects Seguir redireccionamientos cuando fuzzing. Predeterminado: True
      --no-url-fuzzing No difumine las URL
      --no-sub-enum No crea subdominios de fuerza bruta
      -q, --quiet No da salida a stdout
      -o, --outdir TEXT Directorio de destino para la salida de escaneo
      --help Muestre este mensaje y salga.
    Fuente y Descarga :https://github.com/evyatarmeged/Raccoon
  • Error que afecta a la app de WhatsApp y como explotarlo.



    Investigadores de seguridad en la firma de seguridad israelí Check Point han descubierto un fallo que afecta la aplicación de WhatsApp el cual permite cambiar el contenido de los mensajes permitiendo a los usuarios maliciosos crear y difundir información falsa o falsa de lo que parecen ser fuentes de confianza. Los defectos residen en la forma en que la aplicación móvil de WhatsApp se conecta con la Web de WhatsApp y descifra los mensajes cifrados de extremo a extremo utilizando el protocolo protobuf2.

    Las vulnerabilidades podrían permitir a los piratas utilizar la función 'cita' en una conversación grupal de WhatsApp para cambiar la identidad del remitente o alterar el contenido de la respuesta de otra persona a un chat grupal o incluso enviar mensajes privados a uno de los participantes del grupo ( pero invisible para otros miembros) disfrazado como un mensaje grupal para todos.

    En un ejemplo, los investigadores pudieron cambiar una entrada de chat de WhatsApp que decía " ¡Genial! " -Enviado por un miembro de un grupo- para que dijera " ¡Me voy a morir, en un hospital ahora mismo! "

    Debe señalarse que las vulnerabilidades informadas no permiten que una tercera persona intercepte o modifique mensajes de WhatsApp encriptados de extremo a extremo, sino que los defectos podrían ser explotados solo por usuarios malintencionados que ya forman parte de conversaciones grupales.

    Demostración de video: cómo modificar los chats de WhatsApp
    Para explotar estas vulnerabilidades, los investigadores de CheckPoint -Dikla Barda, Roman Zaikin y Oded Vanunu- crearon una nueva extensión personalizada para el popular software de seguridad para aplicaciones web Burp Suite, permitiéndoles interceptar y modificar fácilmente mensajes cifrados enviados y recibidos en su Web de WhatsApp. .

    La herramienta, que denominaron " WhatsApp Protocol Decryption Burp Tool ", está disponible de forma gratuita en Github , y primero requiere que un atacante ingrese sus claves privadas y públicas, que se pueden obtener fácilmente "obtenidas de la fase de generación de claves de WhatsApp Web antes el código QR se genera ", según lo explicado por el trío en una publicación de blog .


    "Al descifrar la comunicación de WhatsApp, pudimos ver todos los parámetros que realmente se envían entre la versión móvil de WhatsApp y la versión web. Esto nos permitió manipularlos y comenzar a buscar problemas de seguridad".
    En el video de YouTube que se muestra arriba, los investigadores demostraron las tres técnicas diferentes que han desarrollado, lo que les permitió:


    Ataque 1 - Cambiar la respuesta de un corresponsal para poner palabras en su boca
    Usando la extensión Burp Suite, un usuario malintencionado de WhatsApp puede alterar el contenido de la respuesta de otra persona, esencialmente poniéndole palabras en la boca, como se muestra en el video.


    Ataque 2: cambiar la identidad de un remitente en un chat grupal, incluso si no es miembro


    El ataque permite a un usuario malintencionado de un grupo de WhatsApp explotar la función 'cita' -que permite a los usuarios responder a un mensaje pasado dentro de un chat etiquetándola- en una conversación para suplantar un mensaje de respuesta para hacerse pasar por otro miembro del grupo e incluso un no -existente miembro del grupo.


    Ataque 3: envíe un mensaje privado en un grupo de chat, pero cuando el destinatario responda, todo el grupo lo vea
    El tercer ataque de WhatsApp permite que un usuario de grupo malintencionado envíe un mensaje especialmente diseñado que solo una persona específica podrá ver. Si la persona objetivo responde al mismo mensaje, solo su contenido se mostrará a todos en el grupo.


    WhatsApp / Facebook elige a la izquierda informes de ataques sin corregir
    El trío reportó las fallas al equipo de seguridad de WhatsApp, pero la compañía argumentó que dado que estos mensajes no rompen la funcionalidad fundamental del cifrado de extremo a extremo, los usuarios "siempre tienen la opción de bloquear a un remitente que intenta falsificar mensajes y ellos pueden reportarnos contenido problemático ".

    "Estas son compensaciones de diseño conocidas que se han planteado anteriormente en público, incluido Signal en una publicación de blog de 2014, y no tenemos la intención de realizar ningún cambio en WhatsApp en este momento", respondió el equipo de seguridad de WhatsApp a los investigadores.
    Otro argumento que WhatsApp compartió con los investigadores, en el contexto de por qué la empresa no puede detener la modificación del contenido del mensaje: "Este es un caso límite conocido que se relaciona con el hecho de que no almacenamos mensajes en nuestros servidores y no tenemos un solo fuente de verdad para estos mensajes ".

    "Mi punto era la información errónea, y WhatsApp juega un papel vital en nuestra actividad diaria. Por lo tanto, desde mi punto de vista, tienen que solucionar estos problemas", dijo el investigador de CheckPoint Roman Zaikin.

    "Siempre es funcionalidad vs. seguridad, y esta vez WhatsApp elige la funcionalidad".
    Dado que WhatsApp se ha convertido en una de las herramientas más importantes para difundir noticias falsas y desinformación, al menos en países con problemas políticos altamente volátiles, creemos que WhatsApp debería solucionar estos problemas junto con poner límites a los mensajes reenviados.

    Fuente: TheHackerNews

  • Nmap a fondo Pt.3

    Uno de los primeros pasos en cualquier misión de reconocimiento de red es el de reducir un (muchas veces enorme) conjunto de rangos de direcciones IP en una lista de equipos activos o interesantes. Analizar cada puerto de cada una de las direcciones IP es lento, y usualmente innecesario. Por supuesto, lo que hace a un sistema interesante depende ampliamente del propósito del análisis. Los administradores de red pueden interesarse sólo en equipos que estén ejecutando un cierto servicio, mientras que los auditores de seguridad pueden interesarse en todos y cada uno de los dispositivos que tengan una dirección IP. Un administrador puede sentirse cómodo con obtener un listado de equipos en su red interna mediante un ping ICMP, mientras que un consultor en seguridad realizando un ataque externo puede llegar a utilizar un conjunto de docenas de sondas en su intento de saltarse las restricciones de los cortafuegos.


    -sP (Sondeo ping)

    Esta opción le indica a Nmap que únicamente realice descubrimiento de sistemas mediante un sondeo ping, y que luego emita un listado de los equipos que respondieron al mismo. No se realizan más sondeos (como un análisis de puertos o detección de sistema operativo). A diferencia del sondeo de lista, el análisis ping es intrusivo, ya que envía paquetes a los objetivos, pero es usualmente utilizado con el mismo propósito. Permite un reconocimiento liviano de la red objetivo sin llamar mucho la atención. El saber cuántos equipos se encuentran activos es de mayor valor para los atacantes que el listado de cada una de las IP y nombres proporcionado por el sondeo de lista.

    De la misma forma, los administradores de sistemas suelen encontrar valiosa esta opción. Puede ser fácilmente utilizada para contabilizar las máquinas disponibles en una red, o monitorizar servidores. A esto se lo suele llamar barrido ping, y es más fiable que hacer ping a la dirección de broadcast, ya que algunos equipos no responden a ese tipo de consultas.

    La opción -sP envía una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisión. Cuando un usuario sin privilegios ejecuta Nmap se envía un paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (-PR) a no ser que se especifique la opción --send-ip.

    La opción -sP puede combinarse con cualquiera de las opciones de sondas de descubrimiento (las opciones -P*, excepto -P0) para disponer de mayor flexibilidad. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y número de puerto, se ignoran las sondas por omisión (ACK y solicitud de eco ICMP). Se recomienda utilizar estas técnicas si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta Nmap y la red objetivo. Si no se hace así pueden llegar a pasarse por alto ciertos equipos, ya que el cortafuegos anularía las sondas o las respuestas a las mismas.

    -P0 (No realizar ping)

    Con esta opción, Nmap no realiza la etapa de descubrimiento. Bajo circunstancias normales, Nmap utiliza dicha etapa para determinar qué máquinas se encuentran activas para hacer un análisis más agresivo. Por omisión, Nmap sólo realiza ese tipo de sondeos, como análisis de puertos, detección de versión o de sistema operativo contra los equipos que se están «vivos». Si se deshabilita el descubrimiento de sistemas con la opción -P0 entonces Nmap utilizará las funciones de análisis solicitadas contra todas las direcciones IP especificadas. Por lo tanto, si se especifica una red del tamaño de una clase B cuyo espacio de direccionamiento es de 16 bits, en la línea de órdenes, se analizará cada una de las 65.536 direcciones IP. El segundo carácter en la opción -P0 es un cero, y no la letra O. Al igual que con el sondeo de lista, se evita el descubrimiento apropiado de sistemas, pero, en vez de detenerse y emitir un listado de objetivos, Nmap continúa y realiza las funciones solicitadas como si cada IP objetivo se encontrara activa.

    -PS [lista de puertos] (Ping TCP SYN)

    Esta opción envía un paquete TCP vacío con la bandera SYN puesta. El puerto destino por omisión es el 80 (se puede configurar en tiempo de compilación cambiando el valor de DEFAULT_TCP_PROBE_PORT en nmap.h), pero se puede añadir un puerto alternativo como parámetro. También se puede especificar una lista de puertos separados por comas (p.ej. -PS22,23,25,80,113,1050,35000). Si hace esto se enviarán sondas en paralelo a cada uno de los puertos.

    La bandera SYN indica al sistema remoto que quiere establecer una conexión. Normalmente, si el puerto destino está cerrado se recibirá un paquete RST (de «reset»). Si el puerto está abierto entonces el objetivo responderá con el segundo paso del saludo en tres pasos TCP respondiendo con un paquete TCP SYN/ACK. El sistema donde se ejecuta Nmap romperá la conexión que se está estableciendo enviando un paquete RST en lugar de enviar el paquete ACK que completaría el saludo TCP. Nmap no envía este paquete, sino que lo envía el núcleo del sistema donde se ejecuta Nmap respondiendo al paquete SYN/ACK que no esperaba.

    A Nmap no le importa si el puerto está abierto o cerrado. Si, tal y como se acaba de describir, llega una respuesta RST ó SYN/ACK entonces Nmap sabrá que el sistema está disponible y responde.

    En sistemas UNIX, generalmente sólo el usuario privilegiado root puede enviar paquetes TCP crudos. Los usuarios no privilegiados tienen una forma de evitar esta restricción utilizando la llamada al sistema «connect()» contra el puerto destino. Esto hace que se envíe el paquete SYN al sistema, para establecer la conexión. Si la llamada «connect()» devuelve un resultado de éxito rápidamente o un fallo ECONNREFUSED entonces se puede deducir que la pila TCP que tiene bajo ésta ha recibido un SYN/ACK o un RST y que puede marcar el sistema como disponible. El sistema se puede marcar como no disponible si el intento de conexión se mantiene parado hasta que vence un temporizador. Esta es también la forma en la que se gestiona esto en conexiones IPv6 ya que Nmap aún no puede crear paquetes IPv6 crudos.

    -PA [lista de puertos] (Ping TCP ACK)

    El ping TCP ACK es muy parecido al ping SYN que se acaba de tratar. La diferencia es que en este caso se envía un paquete con la bandera ACK en lugar de la SYN. Este paquete indica que se han recibido datos en una conexión TCP establecida, pero se envían sabiendo que la conexión no existe. En este caso los sistemas deberían responder con un paquete RST, lo que sirve para determinar que están vivos.

    La opción -PA utiliza el mismo puerto por omisión que la sonda SYN (el puerto 80) y también puede tomar una lista de puertos destino en el mismo formato. Si un usuario sin privilegios intenta hacer esto, o se especifica un objetivo IPv6, se utiliza el procedimiento descrito anteriormente. Aunque en este caso el procedimiento no es perfecto porque la llamada «connect()» enviará un paquete SYN en lugar de un ACK.

    Se ofrecen tanto mecanismos de sondeo con ping SYN y ACK para maximizar las posibilidades de atravesar cortafuegos. Muchos administradores configuran los enrutadores y algunos cortafuegos sencillos para que se bloqueen los paquetes SYN salvo para aquellos destinados a los servicios públicos, como pudieran ser el servidor web o el servidor de correo de la organización. Esto evita que se realicen otras conexiones entrantes al mismo tiempo que permite a los usuarios realizar conexiones salientes a Internet. Este acercamiento de filtrado sin estados toma pocos recursos de los cortafuegos/enrutadores y está ampliamente soportado por filtros hardware y software. El programa de cortafuegos Netfilter/iptables de Linux ofrece la opción --syn para implementar este acercamiento sin estados. Cuando se han implementado reglas de filtrado como éstas es posible que se bloqueen las sondas ping SYN (-PS) cuando éstas se envíen a un puerto cerrado. Sin embargo, en estos casos, las sondas ACK podrían saltarse las reglas y llegar a su destino.

    Otros tipos de cortafuegos comunes utilizan reglas con estados que descartan paquetes no esperados. Esta funcionalidad se encontraba antes fundamentalmente en los cortafuegos de gama alta pero se ha hecho cada vez más común. El sistema Netfilter/iptables de Linux soporta esta posibilidad a través de la opción --state, que hace categorías de paquetes en base a su estado de conexión. En estos sistemas es más probable que funcione una sonda SYN, dado que los paquetes ACK no esperados se reconocen como falsos y se descartan. Una solución a este dilema es enviar sondas SYN y ACK especificando tanto la opción -PS como -PA.

    -PU [lista de puertos] (Ping UDP)

    El ping UDP es otra opción para descubrir sistemas. Esta opción envía un paquete UDP vacío (salvo que se especifique --data-length) a los puertos indicados. La lista de puertos se debe dar en el mismo formato que se ha indicado anteriormente para las opciones -PS y -PA . Si no se especifica ningún puerto se utiliza el puerto 31338 por omisión. Se puede configurar este puerto por omisión en el momento de compilar cambiando DEFAULT_UDP_PROBE_PORT en nmap.h. Se utiliza un puerto alto y poco común por omisión porque no es deseable enviar este sondeo a otro tipo de puertos.

    La sonda UDP debería generar un paquete ICMP de puerto no alcanzable si da contra un puerto cerrado en el equipo objetivo. Si llega éste entonces Nmap puede identificar ese sistema como vivo y alcanzable. Otros errores ICMP, como el de sistema o red inalcanzables o TTL excedido indican un sistema que está muerto o que no es alcanzable. Si no llega ninguna respuesta también se entiende que el sistema no está disponible. Si se alcanza un puerto abierto la mayoría de los servicios simplemente descartarán el paquete vacío y no devolverán ninguna respuesta. Ésta es la razón por la que se utiliza el puerto por omisión 31338 ya que es poco probable que esté utilizándose. Algunos servicios, como chargen, responderán con un paquete UDP vacío lo que ayuda a Nmap a determinar que el sistema está disponible.

    La principal ventaja de este tipo de sondeos es que atraviesan cortafuegos y filtros que sólo analizan TCP. Yo, por ejemplo, una vez fui propietario de un encaminador de banda ancha inalámbrico BEFW11S4. El interfaz externo de este dispositivo filtraba por omisión todos los puertos TCP, pero las sondas UDP podían generar mensajes de puerto no alcanzable y permitían detectar al dispositivo.


    Video
  • Explotar una vulnerabilidad de Microsoft Edge para robar archivos

    A través de la pagina netsparker.com  han publicado un post sobre una vulnerabilidad que afecta el navegador popular de Windows 10. A continuación dejarte parte del post y su referencias sobre la vulnerabilidad encontrada.

    En 2015, Microsoft lanzó el navegador Edge. Cuando se desarrolló por primera vez, se llamó Proyecto Spartan . A diferencia de Internet Explorer, Edge admite una amplia gama de medidas de seguridad modernas, como la Política de seguridad de contenido (CSP) , así como funciones modernas de JavaScript y CSS. Abandonar el desarrollo de Internet Explorer y comenzar de nuevo con un navegador moderno como Edge trajo muchas ventajas de seguridad nuevas, pero también algunos problemas.


    Una cosa que a menudo se pasa por alto en proyectos de desarrollo similares nuevos es el conocimiento adquirido a través de años de pequeñas soluciones de seguridad en el producto original. Quienes tengan experiencia en el funcionamiento interno sabrán que su equipo probablemente se equivocará inicialmente más que durante el proceso de desarrollo de un nuevo navegador hoy en día.

    La razón de esto es que la seguridad de los navegadores está en constante reordenamiento a medida que surgen nuevos ataques, ya que los piratas informáticos y los profesionales de la seguridad ven a los navegadores como una de las fuentes más ricas de posibles ataques . Los pequeños agujeros de seguridad que solían conducir a la fuga de datos de usuario en los navegadores se han resuelto a lo largo de los años. Algunos fueron más severos que otros, pero la mayoría de ellos no fueron inmediatamente obvios en primer lugar. Son estas soluciones de seguridad y el conocimiento que viene con ella, que pueden perderse al rediseñar un navegador web.

    Eso podría explicar por qué Microsoft Edge fue el único navegador que se encontró que era vulnerable a este defecto.





    Nota: esta vulnerabilidad ya ha sido corregida por Microsoft.

    ¿Quién está en riesgo de esta vulnerabilidad de Microsoft Edge?

    Se  a probado con éxito en Microsoft Edge 40.15063.0.0.

    ¿Cómo se puede robar mis archivos locales?

    ¡Primero pensemos por qué no debería poder robar tus archivos locales!

    La misma política de origen (SOP) evitará que https://attacker.com lea el archivo: // C: /your/stuff.txt , por ejemplo. La razón es que tienen diferentes orígenes. Para leer datos usando una solicitud emitida por JavaScript, el protocolo, el nombre de host y el puerto deben coincidir. Sin embargo, las URL de los archivos son un poco especiales. El protocolo file: // y el protocolo https: // son obviamente diferentes, por lo que atacante.com no puede leer sus archivos locales.

    Pero, ¿qué pasa si tratamos con dos URL de archivo que no tienen un nombre de host ni un puerto? 
    Solo tienen el esquema de protocolo de archivo y una ruta. Esto significa que las dos URL de archivo serían automáticamente del mismo origen porque:
    El puerto coincide: ninguno tiene puerto
    El nombre de host coincide: no hay nombre de host en ambos
    El esquema de protocolo coincide: ambos usan el esquema file: //

    En otras palabras, si los desarrolladores de los navegadores no tomaran en consideración el formato especial de file: // urls, me sería posible leer el contenido de cualquier archivo local si simplemente abriera un archivo HTML malicioso guardado en su máquina !

    Puede concluir que este no es un vector de ataque muy convincente, tal vez porque nunca ha descargado archivos HTML aleatorios. Además, Windows podría bloquear el archivo que acaba de descargar, ya que proviene de otra computadora. Al menos, este fue el caso cuando se probo el ataque.

    ¿Es esto una amenaza realista? ¿O es un escenario teórico?

    ¿Crees que un atacante podría de alguna manera convencer a una posible víctima para que descargue un archivo HTML y lo ejecute?

    Debido a la existencia de otro vector de ataque, resulta que esto no es simplemente un escenario teórico. Si no puede entregar su archivo HTML a través del navegador, ¿por qué no simplemente enviarlo por correo a su víctima? En los últimos años se han dado cuenta de que puede ser algo muy malo abrir archivos adjuntos desconocidos como archivos .exe, archivos .js e incluso documentos de Word. Pero los archivos HTML? No hay un peligro inmediato obvio. Después de todo, solicitamos muchos archivos HTML en nuestros navegadores todos los días.
    "Redacté un correo electrónico desde otra computadora, agregué el archivo como un archivo adjunto y luego abrí el archivo adjunto en la aplicación Correo y Calendario . Para mi sorpresa, funcionó. Esperaba que la aplicación, como el navegador Edge, bloquearía el archivo adjunto. Pero este no fue el caso en absoluto. Cuando envié el correo electrónico como un archivo adjunto y esperé hasta que un usuario lo abriera, inmediatamente enviaba los archivos locales de mi elección a mi servidor, donde podía almacenarlos y leerlos. Probablemente no haya ningún programa antivirus que reconozca mi archivo como malicioso, y podría extraer los archivos a través de una conexión segura HTTPS. ¡Esto es lo que hace que este ataque sea tan sigiloso! La versión de Windows Mail and Calendar donde probé mi exploit fue la versión 17.8600.40445.0 (también se informó este error)."

    Pero hay otras maneras de entregar el archivo, dependiendo de los programas instalados del objetivo.




    ¿Cómo puedo proteger mis archivos?

    La única forma de protegerse es actualizando las últimas versiones del navegador Edge y las aplicaciones de Windows Mail y Calendar . Y, por supuesto, es mejor nunca abrir archivos adjuntos de remitentes desconocidos, incluso si la extensión inicialmente no parece ser maliciosa.

    Pero esta fue una publicación muy teórica. Si desea ver el exploit en acción, puede ver la prueba de exploit en video.
    Código para aprovechar la vulnerabilidad de borde

    A continuación se muestra también el código que el hacker puede usar en el archivo HTML para aprovechar esta vulnerabilidad de Edge.
    <html>
    <head>
    <script>
    let resultDiv = document.getElementById("result");
        let xhr= new XMLHttpRequest();
        let user = document.location.href.match(/file:\/\/\/C:\/Users\/([a-z0-9\-]*)\//i)[1];
        xhr.open("GET",'file://C:/Users/${user}/Desktop/secret.txt");
        xhr.onreadystatechange = ()=> {
         if(xhr.readyState==4) {
         resultDiv.innerText = xhr.responseText;
         }
        }
        xhr.send();
    </script>
    </head>
    <body>
    </body>
    <div id="result"></div>
    </html>
  • Los atacantes evitan las protecciones de autenticación de dos factores para hackear Reddit



    El sitio de la comunidad en línea Reddit anunció el miércoles que fue violada en junio de 2018. En un refrescante y sincero aviso, brinda una explicación básica de cómo ocurrió el incidente, detalles sobre el alcance de la violación, detalles sobre su propia respuesta y consejos a posibles víctimas .

    El alcance de la violación fue limitado. Fue descubierto el 19 de junio y ocurrió entre el 14 de junio y el 18 de junio de este año. "Un pirata informático irrumpió en algunos de los sistemas de Reddit y logró acceder a algunos datos de usuario, incluidas algunas direcciones de correo electrónico actuales y una copia de seguridad de base de datos de 2007 que contiene contraseñas viejas saladas y picadas ", anunció Chris Slowe, CTO e ingeniero fundador de Reddit.

    Con más de 330 millones de usuarios mensuales activos, Reddit es el hogar de miles de comunidades en línea donde los usuarios pueden compartir historias y organizar debates públicos.

    Aparte de la extensión limitada, también fue limitado en su alcance. "El atacante no obtuvo acceso de escritura a los sistemas Reddit; obtuvieron acceso de solo lectura a algunos sistemas que contenían datos de respaldo, código fuente y otros registros". Esto comprende una copia completa de una copia de seguridad de la base de datos anterior, incluidas las credenciales de la cuenta y las direcciones de correo electrónico (2005 a 2007); registros que contienen resúmenes de correo electrónico enviados entre el 3 de junio y el 17 de junio de 2018; y datos internos como código fuente, registros internos, archivos de configuración y otros archivos de espacio de trabajo de los empleados.

    "La divulgación de direcciones de correo electrónico y sus nombres de usuario Reddit conectados", advierte Jessica Ortega, investigadora de seguridad de SiteLock, "podría significar que los atacantes pueden identificar y dox usuarios, es decir, revelar información de identificación personal, que confían en Reddit para discutir temas controvertidos o publicar imágenes controvertidas. Se recomienda que todos los usuarios de Reddit actualicen sus contraseñas ".

    La respuesta de Reddit a la violación ha sido informar el incidente y cooperar con las fuerzas del orden; ponerse en contacto con los usuarios que pueden verse afectados; y para fortalecer sus propios controles de acceso privilegiado con registro mejorado, más cifrado y 2FA basado en tokens requeridos. También aconseja a todos los usuarios pasar a 2FA basado en token.

    Este consejo se debe a que cree que la violación se produjo mediante la interceptación de SMS en uno de sus propios empleados. "Aprendimos que la autenticación basada en SMS no es tan segura como esperaríamos, y el ataque principal fue a través de interceptación de SMS".

    Este último comentario ha llamado la atención. Ya en 2016, NIST denunció SMS 2FA. "Debido al riesgo de que los mensajes SMS puedan ser interceptados o redirigidos, los implementadores de nuevos sistemas DEBERÍAN considerar cuidadosamente los autenticadores alternativos", declaró en la Publicación Especial DRAFT NIST 800-63B.

    El ataque más común contra SMS 2FA, explica Joseph Kiric, CSO en Cavirin, es un dispositivo móvil diseñado para capturar / interceptar mensajes SMS, una característica importante para usar en aplicaciones de banca móvil. Pero agrega que "los mensajes SMS han tenido otros riesgos: intercambio de SIM y acceso no autorizado desde SS7 (entornos centrales de señalización de telecomunicaciones): estos problemas han sido conocidos y debatidos en los círculos de seguridad durante años".

    Si bien Reddit no aclara si la 'intercepción' fue a través de malware en el dispositivo móvil de un empleado o a través de fallas en el protocolo de telecomunicaciones SS7, este último parece ser el más probable. SS7 es un protocolo de señalización de telefonía desarrollado inicialmente en 1975, y se ha integrado profundamente en el enrutamiento de teléfonos móviles. Como tal, es poco probable que sea corregido o reemplazado en el futuro inmediato, pero el efecto es que casi cualquier conversación telefónica móvil en cualquier parte del mundo puede ser interceptada por un adversario avanzado.

    El hecho de que los ataques SS7 no sean eventos corrientes hace que Tom Kellermann, CSO de Carbon Black, se pregunte quién podría estar detrás del ataque. "La brecha de Reddit parece estar más orientada a tradecraft", dijo a Security Week. "Fueron víctimas, pero por quién: más que probable un estado nación dada su capacidad para influir en los estadounidenses. Espero que no estuvieran acostumbrados a ingresar a la isla en los sistemas de otras víctimas a través de un abrevadero". Según la investigación de Carbon Black , el 36% de los ataques cibernéticos intenta pasar por los sistemas de las víctimas en los sistemas de sus clientes.

    Él no está solo preguntándose si puede haber más en esta brecha. "Me preocupa que Reddit parezca estar minimizando la brecha de datos, ya que solo fue acceso de lectura a datos confidenciales y no escribir. Esta es una noticia positiva, sin embargo, no reduce la gravedad de la violación de datos cuando se trata de datos confidenciales ", comenta Joseph Carson, jefe de científicos de seguridad en Thycotic.

    Por supuesto, es posible que el ataque no se haya efectuado a través de los defectos del SS7. "En este tipo de ataque, el número de teléfono es el más débil", advierte Tyler Moffit, analista principal de investigación de amenazas de Webroot. "Los ciberdelincuentes pueden robar el número de teléfono de la víctima transfiriéndolo a una tarjeta SIM diferente con relativa facilidad, obteniendo así acceso a mensajes de texto y autenticación basada en SMS. Por ejemplo, un cibercriminal simplemente necesitaría dar una dirección a un proveedor de servicios inalámbricos. dígitos de un número de seguro social, y tal vez una tarjeta de crédito para transferir un número de teléfono.
    "Cuando Reddit comenzó a utilizar SMS para Autenticación de dos factores en 2003, fue una buena práctica", dijo Joseph Kucic, CSO de Cavirin a Security Week ; y agrega: "El único hecho sobre cualquier tecnología de seguridad es que su efectividad disminuye con el tiempo por varias razones, y uno necesita hacer un inventario de la eficacia de seguridad implementada al menos una vez al año". Él cree que las tecnologías de seguridad, al igual que las aplicaciones, tienen un ciclo de vida del producto, "y hay un punto en el que debe declararse el fin de la vida antes de que personas no autorizadas (piratas informáticos o actores nacionales / estatales) lo hagan por usted".
    Reddit ha recibido aplausos por su notificación de incumplimiento y críticas por el uso continuo de SMS 2FA. "El nivel de detalle que proporciona Reddit", dijo Chris Morales, jefe de análisis de seguridad de Vectra, "es más de lo que muchas organizaciones más grandes han brindado en infracciones mucho más significativas. Estos detalles se basan en una investigación y explican lo que sucedió durante la infracción: - cómo los atacantes se infiltraron en la red y a qué exactamente obtuvieron acceso - y lo más importante, divulgó los procesos internos de Reddit para abordar la violación, incluida la contratación de personal de seguridad nuevo y ampliado ".

    Ilia Kolochenko, CEO de High-Tech Bridge, señala que a pesar de la aparente apertura de Reddit, todavía no sabemos todo sobre la brecha. "A menudo, los ataques a gran escala se llevan a cabo en paralelo por varios grupos de delitos cibernéticos interconectados destinados a distraer, confundir y asustar a los equipos de seguridad", comenta. "Si bien los vectores de ataque del primer grupo se están mitigando, otros se explotan activamente, a menudo no sin éxito. De lo contrario, la revelación y su línea de tiempo se hacen bastante bien por Reddit".

    También advierte en contra de culpar demasiado al uso de SMS 2FA por parte de Reddit. "Me abstendré de culpar al SMS 2FA, en muchos casos es mejor que nada. Además, cuando la mayoría de las aplicaciones críticas para el negocio tienen vulnerabilidades graves que varían desde inyecciones a RCE, el endurecimiento 2FA definitivamente no es la tarea más importante para cuidar de."

    Sin embargo, el consenso es que Reddit debe ser aplaudido por su divulgación, pero censurado por el uso de SMS 2FA. "Reddit no será la última organización en ser violada a través de la autenticación de SMS en el futuro", comenta Sean Sullivan, asesor de seguridad de F-Secure. "En este punto, el uso de MFA basado en SMS para los administradores debe considerarse negligente".

    Fuente; securityweek
  • Construya su propia botnet con la herramienta BYOB



    BYOB es un proyecto de código abierto que proporciona un marco para que investigadores y desarrolladores de seguridad construyan y operen un botnet básico para profundizar su comprensión del malware sofisticado que infecta millones de dispositivos cada año y genera botnets modernas, con el fin de mejorar su capacidad para desarrollar contramedidas contra estas amenazas.


    Servidor 

    uso: server.py [-h] [-v] [--host HOST] [--port PORT] [--database DATABASE]


    Servidor de comando y control con base de datos persistente y consola
    • Interfaz de usuario basada en consola: interfaz de consola simplificada para controlar máquinas host de clientes de forma remota a través de shells TCP inversas que proporcionan acceso directo a la terminal a las máquinas host del cliente
    • Base de datos persistente de SQLite : base de datos liviana que almacena información de identificación sobre las máquinas host de los clientes, lo que permite que las sesiones de Shell TCP inversas persistan a través de desconexiones de duración arbitraria y habilite el reconocimiento a largo plazo.
    • Arquitectura Cliente-Servidor : todos los paquetes / módulos python instalados localmente están disponibles automáticamente para que los clientes los importen de forma remota sin escribirlos en el disco de las máquinas de destino, permitiendo a los clientes utilizar módulos que requieren paquetes no instalados en las máquinas de destino


    Client
    uso: client.py [-h] [-v] [--name NAME] [--icon ICON] [--pastebin API] [--encrypt] [--obfuscate] [--compress] [--compile ] puerto de host [módulo [módulo ...]]


    Genere clientes completamente indetectables con cargas útiles escalonadas, importaciones remotas y módulos ilimitados
    • Importaciones remotas : importe remotamente paquetes de terceros desde el servidor sin escribirlos en el disco o descargarlos / instalarlos
    • No hay nada escrito en el disco : los clientes nunca escriben nada en el disco, ni siquiera archivos temporales (se realizan llamadas al sistema IO cero) porque las importaciones remotas permiten que el código arbitrario se cargue dinámicamente en la memoria y se importe directamente en el proceso en ejecución
    • Zero Dependencies (ni siquiera Python Itself) : el cliente ejecuta solo la biblioteca estándar de Python, importa de forma remota cualquier paquete / módulo no estándar del servidor y puede compilarse con un intérprete de Python independiente en un ejecutable binario portátil formateado para cualquier plataforma / arquitectura, lo que le permite ejecutarse en cualquier cosa, incluso cuando Python mismo falta en el host de destino
    • Agregue nuevas funciones con solo 1 clic : cualquier secuencia de comandos, módulo o paquete de Python que usted copie en el ./byob/modules/directorio se puede importar de forma remota y puede ser utilizado directamente por cada cliente mientras se ejecuta su servidor de comando y control
    • Escriba sus propios módulos : se proporciona una plantilla de módulo básico en el ./byob/modules/ directorio para que la escritura de sus propios módulos sea un proceso sencillo y sin problemas.
    • Ejecutar módulos ilimitados sin distender el tamaño del archivo : utilice importaciones remotas para agregar funciones ilimitadas sin agregar un solo byte al tamaño del archivo del cliente
    • Totalmente Actualizable : cada cliente revisará periódicamente el servidor para buscar nuevo contenido disponible para la importación remota, y actualizará dinámicamente sus recursos en memoria si se ha agregado / eliminado algo
    • Plataforma independiente : todo está escrito en Python (un lenguaje independiente de la plataforma) y los clientes generados pueden compilarse opcionalmente en un ejecutable portátil ( Windows ) o agruparse en una aplicación independiente ( macOS )
    • Bypass Firewalls : los clientes se conectan al servidor de comando y control a través de conexiones TCP inversas, lo que evitará la mayoría de los firewalls porque las configuraciones de filtro predeterminadas bloquean principalmente las conexiones entrantes.
    • Counter-Measure Against Antivirus : evita ser analizado por antivirus al bloquear procesos con nombres de productos antivirus conocidos de desove
    • Encriptar cargas útiles para evitar el análisis : la carga útil del cliente principal se cifra con una clave aleatoria de 256 bits que existe únicamente en la clasificación de carga útil que se genera junto con ella.
    • Evitar la ingeniería inversa : de forma predeterminada, los clientes cancelarán la ejecución si se detecta una máquina virtual o un entorno limitado
    Módulos

    11 módulos post-explotación que son remotamente importables por los clientes
    • Keylogger ( byob.modules.keylogger): registra las pulsaciones del teclado del usuario y el nombre de la ventana ingresada
    • Captura de pantalla ( byob.modules.screenshot): toma una captura de pantalla del escritorio del usuario actual
    • Webcam ( byob.modules.webcam): ver una transmisión en vivo o capturar imágenes / videos desde la cámara web
    • Ransom ( byob.modules.ransom): cifra archivos y genera una billetera BTC aleatoria para el pago de un rescate
    • Outlook ( byob.modules.outlook): leer / buscar / cargar correos electrónicos desde el cliente local de Outlook
    • Packet Sniffer ( byob.modules.packetsniffer): ejecuta un sniffer de paquetes en la red de host y sube el archivo .pcap
    • Persistencia ( byob.modules.persistence): establezca la persistencia en la máquina host utilizando 5 métodos diferentes
    • Teléfono ( byob.modules.phone): leer / buscar / cargar mensajes de texto desde el teléfono inteligente del cliente
    • Privilegios de escalada ( byob.modules.escalate): intente el bypass de UAC para obtener privilegios de administrador no autorizados
    • Port Scanner ( byob.modules.portscanner): explore la red local para buscar otros dispositivos en línea y abrir puertos
    • Control de proceso ( byob.modules.process): enumera / busca / mata / supervisa los procesos actualmente en ejecución en el host


    Núcleo

    6 módulos de marco principal utilizados por el generador y el servidor
    • Utilidades ( byob.core.util): funciones de utilidad varias que son utilizadas por muchos módulos
    • Manejadores ( byob.core.handlers): solicitan manejadores para recibir resultados de tareas completadas de clientes
    • Seguridad ( byob.core.security): modos de cifrado Diffie-Hellman IKE y 3 (AES-256-OCB, AES-256-CBC, XOR-128)
    • Cargadores ( byob.core.loaders): importe de forma remota cualquier paquete / módulo / scripts del servidor
    • Payloads ( byob.core.payloads): shell inverso de TCP diseñado para importar de forma remota dependencias, paquetes y módulos
    • Stagers ( byob.core.stagers): genera stagers únicos de carga útil para evitar el análisis y la detección
    • Generators ( byob.core.generators): funciones que generan dinámicamente código para el generador de clientes
    • Database ( byob.core.database): maneja la interacción entre el servidor de comando y control y la base de datos SQLite
    Fuente de Descarga: https://github.com/colental/byob
  • Deja tu comentario te responderemos en breve...

    Staff de Haxk.Ur