martes, 30 de junio de 2015

Road To CEH.- Hijacking De Sesión (Parte 5)

Siiiii por finnn la últimaaaa ^^


Defensa contra Ataques Hijack:

  • Usar protocolos cifrados como la suit OpenSSH.
  • Utiliza una atenticación fuerte como kerberos o VPN peer-to-peer.
  • Configura apropiadamente las reglas internas y externas  en el gateway.
  • Usa un IDS para monitorizar un ARP cache Poisoning. 
  • IPSec:
    • Es un protocolo desarrollado por IETF que es capaz de intercambiar paquetes sobre IP
    • Esta desarrollada para implementar una VPN. 
Porfiiiiiiiiin !!!

Sed Buenos ;)

lunes, 29 de junio de 2015

Road To CEH.- Hijacking De Sesión (Parte 4)

Vamos a saber defendernos de todo esto. 


Hijacking Contramedidas:

  • Utiliza un canal seguro de comunicación como TLS (Aunque en las Slides pone SSl pero no puedo recomendaros algo que ya este en desuso)
  • Pasa las cookies de autenticación sobre una conexión Https. 
  • Implementa la funcionalidad de logout para el fin de la sesión de los usuarios. 
  • Genera una sesión ID después de un login exitoso. 
  • Usa string o un numero random largo para la clave de sesión.
  • para el cifrado de la información entre el usuario y los servidores web. 
  • Protecciones contra el Hijacking de sesión:
    • Usar cifrado.
    • Usar un protocolo seguro. 
    • Limite a las conexiones entrantes. 
    • Minimiza el acceso remoto.
    • Educa a los empleados.
    • Regenera la sesión ID después del login. 
    • Reduce el tiempo de vida de las cookies de sesión.
Bueno, creo que solo quedará una entrada mas si nadie me sorprende con mas contenido para estudiar. Así que ya me puedo hacer una bolsa de artículos nuevos para volver a las entradas de antes.  

Sed Buenos. 

domingo, 28 de junio de 2015

Pac4Mac (Plug And Check para Mac OS X)

Esta entrada no es mas que un aporte que hicie en le foro de Undercode y me gustaría compartir contigo ya que he hablado muchas veces de como hacer Forenses en Linux y en Windows pero nunca he tocado Mac OS X. 

Pac4Mac es una herramienta para extraer y analizar información de un MAC OS X (vamos para hacerle un forense en condiciones) Ademas, esta bajo una Apache License 2.0.




Os dejo con las features de Pac4Mac :

• Developed in Python 2.x (natively supported) 
• Framework usage
• Support of OS X 10.6, 10.7, 10.8 and 10.9 (not tested)

Data extraction through:

• User or Root access
• Single Mode access
• Target Mode access (Storage media by Firewire or Thunderbolt)

It use 3 dumping modes : Quick, Forensics, Advanced: 

• Dumping Users / User Admin

• Dumping Mac's Identity (os version, owner)

• Dumping Miscellaneous files (Address book, Trash, Bash history, stickies, LSQuarantine, AddressBook, Safari Webpage Preview, Office Auto Recovery, WiFI access history, …)
• Dumping content of current Keychain (security cmd + securityd process)
• Dumping Users Keychains

• Dumping System Keychains

• Dumping password Hashes

• Live Cracking hashes password
s
• Dumping Browser Cookies (Safari, Chrome, Firefox, Opera)

• Dumping Browser Places (Safari, Chrome, Firefox, Opera)

• Dumping Browser Downloads history (Safari, Chrome, Firefox, Opera)

• Dumping printed files

• Dumping iOS files backups

• Dumping Calendar and Reminders / Displaying secrets
• Dumping Skype messages / Displaying secrets on demand
• Dumping iChat, Messages(.app), Adium messages
• Dumping Emails content (only text)

• Dumping Emails content of all or special Mail Boxes
• Adding root user
• Dumping RAM
• Cloning local Disk
• Dumping system logs, install, audit, firewall

DMA access features (exploitation of Firewire and Thunderbolt interfaces)

• Unlock or bypass in writring into RAM
• Dumping RAM content
• Exploit extracted data (see Analysis module)

Analysis module in order to easily exploit extracted data by one of dumping modes

• Exploit Browser History
 x 4 (Displaying recordings, Local copy for usurpation)
• Exploit Browser Cookies
 x 4 (Displaying recordings, Local copy for usurpation)
• Display Browser Downloads
 x 4 (Displaying recordings)
• Exploit Skype Messages
 (Displaying/Recording all recorded messages, with secret information or containing a special keyword)
• Exploit iChat, Messages(.app), Adium messages (in the next version)
• Exploit Calendar Cache
 (Display/Recording all recorded entries, with secret information or containing a special keyword)
• Exploit Email Messages (Displaying/Recording all recorded messages, with secret information or containing a special keyword / )
• Exploit RAM memory Dump
 (Searching Apple system/applications/Web Passwords)
• Exploit Keychains
 (Display content Keychain
, Crack Keychain files)
• Crack Hashes passwords

• Exploit iOS files
 (Accessing to iPhone without passcode, reading secrets through iTunes backups)
• Display Stickies Widgets

• Display Printed Documents
• Display prospective passwords 
(displaying all found passwords during dump and analysis phases)

Etc. 

Más Información: 




Código fuente: 




Y un pequeño regalo para los que hayáis llegado a leer todo el post, aqui teneis todos los TIPS que se han utilizado para extraer y analizar la información para esta herramienta: 


viernes, 26 de junio de 2015

Road To CEH.- Hijacking De Sesión (Parte 3)

La verdad es que estoy bastante cansado de este tipo de entradas, pero bueno este es el último sprin xD.


Hijacking de sesión a nivel de aplicación: 

  • Se roba el token de sesion o se predice dicho token para ganar acceso no autorizado al servidor web. 
  • Sniffing de Sessión:
    • Un atacante usa un snifer para capturar un token de sesión valido. Llamado Session ID.
    • El atacante usa esta Session ID para obtener accesos no autorizado al servidor web.
  • Tokens de Sesiones predecibles:
    • Usando técnicas de hijacking un atacante tiene la posibilidad de hacer un ping site request como comprobación de los privilegios de usuario. 
    • Una vez el valor de la sesión es deducido se completa este ataque. 
    • ¿Como se predice un Token de sesión?
      • Muchos servidores webs usan algoritmos personalizados para generarlos. 
      • El atacante puede capturar un numero grande de sesiones ID y analizar el patrón.
  • Man-in-the-Middle Attack:
    • Es usado para introducirse dentro de una conexión entre sistemas. 
    • En el caso de que la victima utilice una transacción http, en la conexión TCP puede ser vista por el atacante de forma clara. 
  • Man-in-the-Browser:
    • Usa un toryano para interceptar las llamadas entre el navegador y los mecanismos de seguridad o las librerías. 
    • El objetivo principal es manipular el sistema de transacción de un banco en internet. 
  • Client-side Attack:
    • Se ejecuta un ataque XSS para infectar a la victima con scripts maliciosos desde un website. 
    • Este script malicioso, es embebido en la pagina web y no genera ningún tipo de alerta .
    • Se envía un código malicioso (vamos, un troyano rico rico) dentro de un software inofensivo para obtener el control de la máquina. 
Y otro punto menos, bieeen. 

Sed Buenos ;) 

jueves, 25 de junio de 2015

Road To CEH.- Hijacking De Sesión (Parte 2)

Vamoooos que queda pocooooo, muy poco.


Tipos de Hijacking:

  • Fuerza Bruta:
    • El atacante utiliza diferentes IDs hasta que tenga éxito.
  • Robo:
    • Ataques que utiliza diferentes tipos de técnicas para el robo de la ID de sesión. 
  • Calcular: 
    • Usando ID no aleatorias, el ataque trata de calcular las ID de sesión. 
  • Spoofing vs Hijacking:
    • Spoofing:
      • Pretende ser otro usuario. No utiliza una sesión existente si no que intenta una nueva sesión usando las credenciales de la victima. 
    • Hijacking:
      • Usa una sessión activa existente. 
      • El atacante usa una conexión y autenticación legitima.
Hoy lo dejamos aquí.

Sed Buenos ;) 

miércoles, 24 de junio de 2015

Un Sniffer Para Apple Mac OS X En 140 Caracteres.

Hoy, ya que es un día de fiesta, me he decidido ha hacer una entrada mas normal fuera del Road To The CEH, así que me he decidido a curiosear mis redes sociales a la búsqueda de alguna noticia, articulo o paper que me llamara la atención. 


Pero, que hay mas curioso que un Sniffer cuyo comando de ejecución cabe en menos de 140 caracteres (138 para ser exactos, vamos un Tweet). Este Sniffer funciona en local y solamente en Mac OS X. Ya hay algunas versiones confirmadas, os las detallo mas abajo. 

Código del Sniffer: 

sudo dtrace -n 
'pid$target::SecKeychainLogin:entry{trace(copyinstr(uregs[R_ECX]));}' -p $(ps -A | grep -m1 loginwindow | awk '{print $1}')

Solo necesitaríamos ejecutar el "código" bloquear nuestro Mac y ver como ha sido capaz de sacar nuestra contraseña.

Versiones confirmadas de Mac OS X:
  • 10.10
  • 10.11β2
  • 10.9.5.
  • 10.10.3.
Fuente: 

martes, 23 de junio de 2015

Road To CEH.- Hijacking De Sesión

A tope con la la ultima slide y ya me he pedido hora para el examen a la formación de mi empresa.


¿Que es el Hijacking de sesión?

  • Se refiera a la explotación de una sesión valida para un equipo que el atacante "toma prestada sin permiso" estando entre dos maquinas. 
  • El atacante roba la sesión valida y la usa para entrar en el sistema. 
  • En un hijacking de sesión TCP el atacante roba la sesión TCP estando entre dos maquinas. 
  • La autenticación solo ocurre cuando la sesión TCP comienza, esto permite al atacante obtener el acceso de la maquina. 
  • Peligros del Hijacking:
    • La mayoría de contramedidas no funcionan al menos que se use cifrado. 
    • El Hijacking es simple de ejecutar. 
    • Podemos ser victimas de robo de identidad, perdida de información, fraude, etc. 
    • Muchos equipos utilizan TCP/IP son vulnerables. 
    • Puedes protegerte un poco si utilizas protocolos seguros. 
Ya no queda nada para que volvamos a las entradas de antes, bieeeen ^^ 

Sed Buenos ;) 

lunes, 22 de junio de 2015

Road To CEH.- Denegación de Servicio (Parte 4)

Ya toca saber defenderse de los DDoS ¿no?


Contramedidas:

  • Configura el firewall para que controlen el acceso del trafico. 
  • Previene el uso innecesario de funciones como gets, strcpy etc. 
  • Asegura la administración remota y la conectividad de testeo.
  • Previene el retorno de una dirección desde su comienzo. 
  • La información producida por el atacante debería parada  desde el principio.
  • Hacer la validación de los inputs. 
  • Es recomendable usar una tarjeta de red que sea capas de un largo numero de paquetes. 
  • Para Pentesting;
    • Los DoS deben ser incorporados a los procesos de pentesting con el fin de conocer  si una red es susceptible a ataques DoS.
    • Una red vulnerable no puede mantener un trafico elevado. 
    • El pentesting de ataques DoS determina la dureza de nuestros sistemas al recibir este tipo de ataques. 
Otra slide mas si señor ahora si,  solo falta unaaa. 

Sed Buenos ;) 

domingo, 21 de junio de 2015

Flowchart: ¿Que Lenguaje de Programación Debo Aprender?

Seguramente que muchos nosotros nos hemos hecho esta pregunta y es que, hay muchos lenguajes de programación y cada uno tiene sus ventajas e inconvenientes. Así que, al final lo que cuenta de verdad es el objetivo final al que quieras dedicar tus esfuerzos. De esta manera gente del mundo de la programación ha diseñado este flowchart que espero que os sirva como guía para empezar en el mundo de la programación. 


Sed Buenos y aprended mucho mas. 

Múltiples vulnerabilidades en Symantec Endpoint Protection

Si una cosa está clara es que nadie esta a salvo de ser vulnerable y menos los productos destinados a la seguridad.  Como por ejemplo Symantec Endpoint Protection que publicó el 17 de Junio varias vulnerabilidades que afectaban a su software. 



Vulnerabilidades: 
  • CVE-2014-9229:  permite a un usuario autenticado realizar ataques de inyección SQL ciega sobre algunos scripts de la consola de administración. 
  • CVE-2014-9228: Un fallo debido a una condición de bloqueo mutuo ("deadlock") en 'sysplant.sys' que incluso impedirá reiniciarse al sistema. lo que hace necesario apagarlo y arrancarlo por hardware, lo cual permite al atacante provocar una denegación de servicio local.
  • CVE-2014-9227: Una vulnerabilidad debido a inadecuadas restricciones en las rutas de carga de dlls podrá permitir la carga de dlls desde otros directorios. El atacante puede situar una dll específicamente creada para cargar la dll con privilegios del sistema.
Productos afectados: 
  • Symantec Endpoint Protection 12.1.5 y anteriores. 
Solución:
Mas información y fuente: 

Sed Buenos ;) 

viernes, 19 de junio de 2015

Road To CEH.- Denegación de Servicio (Parte 4)

¡¡ Por fin vierneeees !!


Botnet:

  • Los bots son aplicaciones de software que ejecutan tareas automatizadas en internet y permiten tareas simples y repertitivas. 
  • Una botnet es una gran red de sistemas comprometidos y puede ser usada para crear denegaciones de servicio.
  • Tipos de botnets:
    • El troyano Shark
    • Poison Ivy
    • El troyano PlugBot:
      • PlugBot es un proyecto de botnet por hardware.
      • Esta diseñado para ser usado en auditorias de seguridad físicas.  
  • Técnicas de detención: 
    • Se basan en identificar y discriminar el trafico ilegitimo.
    • Todas estas técnicas definen el ataque como una anormal y notable desviación del trafico normal de la red. 
Bueno, hoy es viernes así que toca descansar un poco. 

Sed Buenos ;) 

jueves, 18 de junio de 2015

Road To CEH.- Denegación de Servicio (Parte 3)

Si, estas entradas son mis DoS personales.


Tipos de ataques DoS:
  • Ataque SYN:
    • El atacante envía una petición falsa TCP SYN a la victima. 
    • La máquina objetivo manda una respuesta SYN ACK para completar la comunicación.
    • El equipo objetivo no recibe respuesta por que la dirección fuente es falsa. 
  • SYN Flooding:
    • Utiliza los tres pasos para el hanshake.
    • Cuando la victima recibe la petición SYN desde el atacante el sistema de la victima mantiene la conexión hasta 75 segundos. 
    • El atacante puede explotar esta pequeña porción de tiempo para lanzar multiples peticiones SYN y dejarlas en espera. 
  • Ataque ICMP Flood: 
    • Se envían un montón de paquetes desde una dirección falsa para que el objetivo caiga y cause el paro de la respuesta en TCP/IP. 
  • Ataque Peer to Peer:
    • Los atacantes usan este tipo para comparitr hubs para desconectar a la victima y redirigir el ataque a una página web falsa. 
    • Con esto se consigue un ataque masivo a una página. 
  • Ataque Permanente.
Ya hemos acabado la segunda, hoy estoy orgulloso, 

Sed Buenos ;) 

Road To CEH.- Denegación de Servicio.(Parte 2)

Seguimos, hoy tocan dos de estas que ayer no me dio tiempo.


DDoS y los cibercriminales:

  • Los cibercriminales están empezando a asociarse al crimen organizado para obtener ventaja de sus técnicas. 
  • Un grupo organizado por criminales trabaja al mejor postor.
  • Estos grupos crean y alquilan botnets que ofrecen varios servicios , desde la creación de malware a un DDoS masivo. 
  • En 2010 se estima que el 70% de los datos robados fueron obra de bandas cibercriminales. 
  • Tipos de técnicas para DoS;
    • Bandwidth Attacks:
      • Cuando el ataque DDoS es lanzado hace que el trafico de la red de la victima cambie significativamente. 
      • Los atacantes usan botnets para hacer estos ataques enviando a la red muchos paquetes ICMP ECHO. 
      • Una simple maquina no puede realizar tantas peticiones por eso se distribuye el ataque creado para que otros usuarios realicen estas peticiones por ti. 
    • Service Request Floods: 
      • Un atacante o su grupo de zombies tratan de tirar a la victima usando conexiones TCP. 
      • La victima intenta realizar cada conexión
      • El servidor se inunda de peticiones .
xD Venga que al menos este tema es interesante. 

Sed Buenos ;) 

martes, 16 de junio de 2015

Road To CEH.- Denegación de Servicio.

Y seguimos. Si, ya queda menos para el examen. ¡Aguantad!


¿Qué es un ataque de denegación de servicio?

  • Es un ataque donde un equipo o red pretende hacer usos ilegitimo de sus recursos.
  • El atacante conduce peticiones no legitimas o trafico al sistema de la victima con el fin de sobrecargar sus recursos y evitar que puedan realizar sus tareas. 
  • ¿Qué es un ataque de denegación de servicio distribuida?
    • El atacante involucra una multitud de sistemas comprometidos y redirige el trafico acia la victima. 
    • Se suelen utilizar botnets y atacar a un solo sistema. 
  • Síntomas de un ataque DoS:
    • Tu página web no esta habilitada. 
    • No puedes acceder a tu sitio web.
    • La red parece lenta.
    • Incremento del incremento del spam recibido. 
Chan Chaaaan, mañana mas xDD

Sed Buenos ;) 

lunes, 15 de junio de 2015

Road To CEH.- Ingeniería Social. (Parte 6)

Volvemos con las pilas un poco mas cargadas .... eso espero xD


Robo de identidad:
  • Objetivos:
    • Perdida de números de seguridad sociales:
      • Licencias de conducir
      • Numero de DNI
    • Métodos fáciles:
      • Recoger información del cyberespacio con métodos fáciles. 
    • Robo de información personal. 
  • El problema del robo de identidad:
    • El numero de violaciones de identidad ha incrementado. 
    • Securizar al personal de la información en el lugar de trabajo y en casa  minimiza el robo de identidad. 
Contramedidas:
  • Aplicar políticas de seguridad:
    • Una política de seguridad es inefectiva si no se forma a los empleados. 
    • Los empleados deberán firmar como que han entendido las políticas de seguridad. 
  • Clasificar la información.
  • Privilegios de acceso. 
  • Verificar a el compromiso por la seguridad de los empleados.
  • Mejorar el tiempo de respuesta ante incidentes.
  • Doble factor de autenticación. 
  • Anti-Virus/Defensas Anti-phishing.
  • Cambio de gestión. 
Una slide menos, bieeeeen xDDD

Sed Buenos ;) 

domingo, 14 de junio de 2015

Infografia.- Mejora la Ciberseguridad de Tus Empleados

Ya que en una empresa el empleado forma una parte muy importante de ella, la empresa ha de corresponder a su empleado proporcionándole un grado de ciberseguridad optimo para la realización de su trabajo. 

INCIBE sabe de la importancia de proteger al empleado frente a estas amenazas y ha preparado una inforgrafia con las pautas a seguir. En mi opinión,debería estar imprimida en cualquier PyME Española.


Espero que os haya gustado. 

Sed Buenos ;)  y aplicad estos consejos si aun no lo estáis haciendo, que sale barato y te ahorra problemas. 

sábado, 13 de junio de 2015

TOX.- El Ransomware Contra Pedófilos.

Los ransowares es un mal que ahora esta en boca de todos y que me atrevería a poner en el top 5 de los quebraderos de cabeza de las empresas que se preocupan por su seguridad. Pero la verdad es que el desarrollo del malware no solo esta centrado únicamente a causar daño a empresas, si no que algunos son desarrollados para obtener conocimiento sobre este mudo o con fines Hacktivistas.


El ransomware Tox es un claro ejemplo de esto mismo,  en una entrevista que hicienron al creador del kit de creación del ransomware indicó que, inicialmente, fue diseñado contra los pedofilos. Ademas en un comunicado en pastebin afirmaba ser un adolescente que cansado de tantos casos de pedofilia decido aportar su grano para combatirlos. Aunque al ver la fama que obtuvo no se lo pensó dos veces en pausar el desarrollo del kit y venderlo al mejor postor. 

Aun que yo pienso que no debería haberlo vendido, a partir de aquí cada uno podemos sacar bastantes opiniones de lo que debería haber hecho este buen hombre con ese kit de desarrollo y da para un debate muy largo. Pero bueno, si tienes que elegir jugarte la carcel por hacer un buen acto o sacarte dinero haciendo uno malo pero no ilegar, te lo piensas mucho. 

Más información: 
Fuente: 

viernes, 12 de junio de 2015

Road To CEH.- Ingeniería Social. (Parte 5)

Y seguimos ...


Detalle de los tipos de ingeniería social: 

  • Ingenieria social basada en humanos: 
    • Dumpester Diving: El arte de buscar información sensible de las empresas en la basura. 
    • En Persona: Persuadir al objetivo para recoger información confidecial preferiblemente: 
      • Tecnologías recientes 
      • Información de contactos
    • Autorización a través de terceros: Hacerse pasar por una persona importante en una organización y obtener información. 
    • Tailgating: Una persona no autorizada obtiene una identificación falsa para entrar en el área de seguridad para autorizarse a la persona que requiere la clave de acceso. 
    • Reversing ingeniería social:
      • Aparece cuando el atacante crea un personaje que aparece en una posición con autoridad sobre un empleado para pedirle información. 
    • Piggybacking: 
      • Una persona autorizada provee de acceso a una persona no autorizada.
  • Ingenieria social basada en computadoras:
    • Pop-Ups: Son utilizados para hacer que los usuarios hagan clic en un hiperenlace que les redirige a una pagina falsa donde se le pregunta por información personal o de descarga de malware. 
    • Phishing: 
      • Correo electronico ilegitimo que pregunta por información personal o por la cuenta del objetivo. 
      • Tanto los pop-ups como los phiging emails pueden redirigir a webs falsas para recoger información del usuario. 
    • SMS: Se recibe un mensaje de texto con alguna escusa urgente para que demos nuestra información.
Este fin de semana voy ha hacer entradas de las de antes así no me agobio tanto xD

Sed Buenos ,) 




jueves, 11 de junio de 2015

Road To CEH.- Ingeniería Social. (Parte 4)

Suerte que la Ingeniería social mola que si no .. xD


Tipos de ingeniería social:
  • Basada en humanos:
    • Conseguir información sensible mediante interacción.
    • Los atacantes pueden utilizar la confianza , miedo y la natural predisposición que tenemos los humanos por ayudar
    • Dependiendo la información que queramos sacar nos posicionaremos en una de estas tres areas: 
      • Posicionandonos como un usuario final legitimo.
      • Posicionandonos como un usuario importante. 
      • Posicionandonos como un usuario tecnico. 
  • Basadas en Computadores: 
    • Apoyar la ingeniería social con nuestros equipos. 
    • Ejemplos:
      • Pop-up en Windows.
      • Hoax letters para simular errores.
      • Chain Letters
      • Instant Chat Messenger
      • Spam Email. 
Mañana entraremos a explicar mas cada uno de estos puntos. 

Sed Buenos ;) 

miércoles, 10 de junio de 2015

Road To CEH.- Ingeniería Social. (Parte 3)

¿Se esta haciendo pesado esto o me lo parece a mi?


Inyección de ataques:
  • Online: El atacante intenta aproximarse para persuadirlo y para sonsacar información de la empresa. 
  • Teléfono: Pide información suplantando la identidad de un usuario legítimo para obtener acceso remoto al sistema de la empresa
  • Acercamiento personal: Preguntar directamente por información a cualquier miembro del personal.
  • Objetivos comunes de la ingeniería social:
    • El soporte técnico a ejecutivos. 
    • Recepcionistas y ayudantes. 
    • Administradores del sistema. 
    • Usuarios y clientes.
    • Vendedores de la organización. 
Mañana toca conocer los tipos de Ingeniería social pero la verdad es que tengo ganas de volver a las entradas anteriores pero bueno, me lo he de pensar. xD 

Sed Buenos ;) 

martes, 9 de junio de 2015

Road To CEH.- Ingeniería Social. (Parte 2)

Vamos ha ser muros de hielo.


Factores que hacen vulnerables a las compañías:

  • Insuficiente entrenamiento en seguridad. 
  • Fácil acceso a la información
  • Relax en las políticas de seguridad.
  • Unidades Organizativas muy grandes
  • ¿Porqué la ingeniería social es efectiva?
    • Aunque las políticas de seguridad sean estrictas, los humanos son el factor mas susceptible. 
    • Es difícil de detectar los intentos de ingeniería social. 
    • No hay método para estar seguros completamente de los ataques de ingeniería social.
    • No existe ni hardware de software capaz de defendernos ante un ataque de ingeniería social. 
  • Señales ante un ataque:
    • El interlocutor se muestra reticente a dar un numero de vuelta.
    • Hace una petición informal.
    • Se vuelve autoritativo y amenaza si no obtiene la información.
    • muestra prisa y dice su nombre inmediatamente. 
    • Inusualmente se utilizan cumplidos o halagos. 
    • Muestra desconformidad cuando es cuestionado.
  • Impacto en la organización:
    • Perdida de privacidad.
    • Perdida económica.
    • Peligro de Terrorismo.
    • Daño a bienes. 
    • Cierre temporal o permanente. 
    • Legalidad y arbitraciones. 
¿Confías en tu vecino? xD

Sed Buenos ;) 


lunes, 8 de junio de 2015

Road To CEH.- Ingeniería Social.

Cuidado con tu vecino. Si, volvemos a este tipo de entradas.



¿Qué es la Ingeniería social?:

  • Es el arte de convencer a gente para que revele información confidencial. 
  • Este tipo depende de la preocupación de la gente hacia su información del valor y lo cautelosa que es protegiéndola
  • Objetivos de estos ataques: 
    • La naturaleza humana hacia la confianza es la base de cualquier ataque. 
    • La ignorancia acerca la ingeniería social  y sus efectos hacen que una organización sea un objetivo fácil. 
    • La ingeniería social es una amenaza severa. 
    • Se vasa en prometer algo por nada. 
    • los objetivos preguntan por si necesitamos ayuda solo por una obligación moral. 
Mañana seguimos con los factores que hacen vulnerables a una compañía. 

Sed Buenos ;) 

domingo, 7 de junio de 2015

Otra Vulnerabilidad en OpenSSL.- Si, Otra Vez

Últimamente y desde la vulnerabilidad Poodle OpenSSL se ha vuelto el blanco de los investigadores de seguridad. Me gusta que aparezcan este tipo de vulnerabilidades, ya que si no fueran publicado y "los malos" supieran de su existencia, podrían utilizarlas con fines malignos. 

Hablo de la vulnerabilidad CVE-2015-1791 publicada el 2 de Junio de este año.


CVE-2015-1791:  Un fallo en una condición de carrera cuando un cliente multihilo recibe un NewSessionTicket al intentar reusar un ticket anterior. Lo que comporta una doble liberación de memoria en los datos del ticket. El impacto aun no ha sido especificado. 

Productos afectados: 
  • OpenSSL:
    • 0.9.8o-4squeeze14 
    • 0.9.8o-4squeeze20 
    • 1.0.1e-2+deb7u13 
    • 1.0.1e-2+deb7u16
    • 1.0.1k-3
    • 1.0.2a-1 
Más información: 
Si, se supone que debería seguir con el CEH pero hoy me apetecía muchísimo volver a este tipo de entradas, ademas me ahorro trabajo mañana que es lo bueno que tiene que te guste tu trabajo.

Sed Buenos y parchead el OpenSSL.   

viernes, 5 de junio de 2015

Road To CEH.- Malware (Parte 8)

Esta es la última entrada referente al malware.



Penetration Testing para virus: 

  • Instala un antivirus en la infrastructura de red y el los sistemas de usuario. 
  • Actualiza estos antivirus. 
  • Escanea el sistema en busca de virus, lo cual ayudará a reparar daños o borrar archivos infectados. 
  • Configura el antivirus para que compare el contenido de los archivos con las firmas de virus, para que identifique archivos infectados, los meta en cuarentena y los repare/elimine si es necesario. 
  • Si el virus no es eliminado ves al modo seguro y bórralo manualmente. 
  • Si hay algún proceso, entrada de registro, etc sospechoso examina los ejecutables asociados al archivo. 
  • Recolecta mas información acerca de este extraño proceso. 
  • Revisa el programa de startup y determina si todos los demás programas son funcionales. 
  • Verifica la data de los archivos por si ha habido alguna modificación o manipulación.
  • Verifica también la criticidad de los archivos del sistema operativo por si han habido modificaciones o manipulaciones. Si es afirmativo tira de backup. 
  • Documenta todos tus hallazgos. 
  • Aísla el sistema infectado. 
  • Desinfecta todo el sistema usando un antivirus actualizado. 
Una slide masss siiii. 

Sed Buenos ;) 

jueves, 4 de junio de 2015

Road To CEH.- Malware (Parte 7)

Esto de los virus y estas cosas si que son mala gente, ¿no?



Contramedidas para el Malware:

  • Detección de virus:
    • Escaneo: Una vez un virus es detectado podemos utilizar un escaneo del programa para mirar la firma del virus. 
    • Revisar la integridad: Leeremos todo el disco y grabaremos los datos de integridad por si hubiera una firma en los archivos o en los sectores del sistema. 
    • Intercepción: Monitorizaremos las peticiones de las operaciones del sistema que están escritas en el disco. 
  • Contramedidas para virus y gusanos:
    • Instala un antivirus para detectar y remover infecciones que aparezcan.
    • Genera una política de antivirus para salvaguardar la computación y el disturbio del equipo. 
    • Presta atención a las instrucciones de como descargar los archivos o cualquier programa desde Internet. 
    • Actualiza el software antivirus y pasalo una vez al mes para identificar y borrar nuevos malwares. 
    • No abras los archivos adjuntos, pueden contener malware.
    • posiblemente una infección de virus puede corromper nuestros datos y regularmente ten a mano una copa de seguridad.
    • Planifica escaneos regulares para todos los drives después de la instalación de un software antivirus. 
    • No aceptes los discos o programas sin pasarlos previamente por el antivirus. 
Pues ya sabéis como protegeros. ^^ 

Sed Buenos ;) 

miércoles, 3 de junio de 2015

Road To CEH.- Malware (Parte 6)

¿Ovejas? en serio .... ¿Ovejas?



Analisis de malware:
  • ¿Que es el Sheep Dip de tu ordenador?
    • Se refiere al análisis de archivos, mensajes entrantes, etc sospechosos por si hubiera malware.
    • Se utilizará monitores de puertos, de archivos, monitores de redes y software antivirus, todos conectados con estrictas condiciones de control. 
  • Sistemas de sensor de antivirus:
    • Es una colección de software para detectar y analizar código malicioso en busca de amenazas. 
  • Preparar un laboratorio para testear malware.
    • Instala VMWare o Virtual Box en el sistema.
    • Instala un sistema operativo huésped en la maquina virtual.
    • Aísla el sistema de la red y asegura que la NIC card este en el modo "host only" 
    • Desactiva las carpetas compartidas y el aislamiento del huésped. 
    • Copia el malware en el sistema operativo huésped. 
  • Procedimiento del análisis de malware: 
    • Hacer un análisis estático cuando el malware está inactivo 
    • Recolectar información acerca de :
      • Strings encontrados en el binario.
      • Del empaquetador y compresión que se ha realizado para crearlo.
    •  Configura la red y chequea si no tiene ningún error.
    • Arranca el virus y monitoriza las acciones de los procesos y el sistema de información .
    • Guarda el trafico de red usando la conectividad y el log de los paquetes con herramientas de monitorización. 
    • Determinar los archivos añadidos procedimientos repetitivos y cambios en el registro con herramientas de monitorización de registro. 
    • Recolectar la siguiente información usando herramientas de debugging.
      • Peticiones de servicio. 
      • Conexiones salientes.
      • Tablas de información del DNS. 
A la ya sabéis que tenéis que mirar y como montar un lab para el análisis de malware.

Sed Buenos ;) 

martes, 2 de junio de 2015

Road To CEH.- Malware (Parte 5)

Gusanooooooos xD



Gusanos Informáticos:

  • Son programas maliciosos que pueden replicarse, ejecutar y esparcirse a través de las conexiones de red. 
  • Consumen los recursos del tu equipo.
  • Se diferencia de un virus ya que puede replicarse a si mismo pero no puede adjuntarse a otros programas. 
  • Por ejemplo el famoso gusano Conficker funciona de la siguiente manera:
    • Desactiva servicios importantes de tu sistema.
    • La caja de dialogo del Autoplay "Open folder to view files" Publisher not specified" es añadida por el gusano.
    • Si elegimos esa opción el gusano se ejecuta y empieza a reproducirse en nuestro equipo.
Bueno, un poco corta pero creo que como introducción al tema ya vale ^^ 

Sed Buenos ;) 

lunes, 1 de junio de 2015

Road To CEH.- Malware (Parte 4)

Vega que hoy quiero acabar esta parte <3



Tipos de Malware:

  • Malware Cifrado:
    • Este tipo de malware usa un cifrado simple para cifrar el codigo.
    • El malware cifrado a utilizado una llave diferente ara cada archivo. 
    • Los antivirus no lo pueden detectar directamente ya que la firma del malware en cuestión está cifrada. 
  • Código polimorfico: 
    • Es un código que le permite mutar manteniendo el algoritmo original intacto.
    • Para activarlo el malware tiene que estar provisto de un plymorphic engine.
    • Un Malware polimorfico bien escrito no tiene partes iguales en cada infección. 
  • Cavity Malware:
    • Sobrescribe parte de un archivo de host  usando nulls preservando la funcionalidad del mismo. 
  • Shell Viruses:
    • Este tip forma una shell alrededor del programa del host objetivo ocultandose como una subrutina. 
  • Malware Extensión de archivo.
    • El malware cambia la extensión de los archivos. 
  • Malware intrusivo y anexo:
    • Los malwares anexos agregan el código del malware en el código del programa que use el host para que sea ejecutado antes que ese programa. 
    • Los virus introsivos sobre sobrescribe el código del programa objetivo con el suyo propio. 
Acabadooooo ;)  Ahora ya sabéis que tipo de malware estáis escribiendo o si queréis escribirlo ya sabéis por donde orientarlo. 

Sed Buenos ,)