Archive for Seguridad Informática

Agosto 3rd 2017

Realiza pentesting real y LEGAL con PentestIT

Número de lecturas: 284
{lang: 'es-419'}

Si te gusta la materia o piensas dedicarte seriamente al pentesting, sea del tipo que sea, te interesará saber que existen herramientas para poder hacerlo de forma completa y totalmente legal. Es el caso de PentestIT, ofrecido por la web pentestit.ru, que además te permite iniciarte en este camino sin ningún coste.

Los laboratorios de pruebas que te ofrece esta web están basados en entornos productivos 100% reales (fundados sobre casos de empresas reales) y que ponen a tu alcance fallos o agujeros de seguridad en los sistemas que están ahí, listos para ser aprovechados por un intruso.

Laboratorios ofrecidos por PentestIT

Estos entornos virtuales están disponibles en varios niveles, tanto gratuitamente como de pago, que podrás usar sin límites y las 24 horas al día. Obviamente existen recortes en la versión gratuita, básicamente un número de servidores de prácticas y laboratorios más reducido, además de que no cuentan con formación ni asesoramiento por parte de sus especialistas.

En la versión sin coste (Test Lab) podrás disfrutar de lo siguiente:

  • Rollback automático de la Máquina Virtual a un estado funcional
  • Duración: 6 meses
  • Disponibilidad 24×7
  • 1 laboratorio disponible
  • Servidores vulnerables: 8 a 12

Estos laboratorios emulan una infraestructura 100% real y te permiten analizarlos e introducirte en ellos sin temer posibles represalias legales. Se incorporan vulnerabilidades recientes y de diverso tipo: seguridad de red, sistemas operativos y aplicaciones. Es posible romper los sistemas criptográficos, configuraciones, código y usar el factor humano.

La metodología empleada es de tipo caja gris (grey box). Es decir, se nos ofrece algo de información sobre la infraestructura y un texto descriptivo. Se pueden explotar diversos mecanismos de ataque, como servicios de red, protocolos web, buffer overflow o ingeniería social.

Realiza tus primeras pruebas de pentesting

  • Para empezar a dar tus primeros pasos con los diferentes retos disponibles deberás primero registrarte desde la web pentestit.ru. Recibirás un correo electrónico para confirmar tu cuenta, que deberás aceptar.
  • Después deberás instalar la red privada virtual OpenVPN, que usarás para conectarte a la infraestructura de pruebas.

pentestIt - pruebas de pentesting

  • Cuando hayas confirmado tu cuenta, recibirás un nombre de usuario y una clave para conectarte a dicha red. Además, descargarás un certificado. Pulsa el botón How to connect para más información.

pentestIt - pruebas de pentesting.png 2

  • Ahora deberás pulsar Join the lab para escoger el laboratorio que quieras iniciar. Cada uno representa un caso diferente.

En mi caso, he realizado algunas pruebas con el laboratorio Test Lab 11, debido a que los anteriores han sido cerrados. Se te presentará un mapa de red del objetivo, con algunas IPs e información adicional, enlaces a redes sociales y foro y una barra de progreso, que representa el número de logros que has obtenido.

pentestIt - pruebas de pentesting 1

Los logros se resuelven capturando tokens (según el objetivo obtendremos uno diferente) y que se debn verificar en la parte superior donde dice CHECK TOKEN.

Mapa de red en pentestIt - pruebas de pentesting 3

 

En mi caso, he empezado por hacer unas pruebas con Nmap para intentar averiguar los puertos abiertos y sistemas operativos visibles en el área objetivo.

A partir de aquí, será cosa vuestra el qué y el cómo. Es lo divertido de este sistema, que no existe una única forma de resolver los casos y esto ofrece muchas posibilidades. Espero que os haya gustado este recurso para practicar ethical hacking / pentesting y que le saquéis provecho ?

Fuente:
protegermipc.net

Junio 13th 2017

Hackers rusos usaban los comentarios de la cuenta de Instagram de Britney Spears para comunicarse

Número de lecturas: 582
{lang: 'es-419'}

Hay que aceptar que los hackers cada vez se vuelven más creativos, ya que han sabido aprovechar nuevas herramientas que están al alcance de todos, como las redes sociales. Tal es el caso de la cuenta de Instagram de Britney Spears, la cual se convirtió en una plataforma perfecta de comunicación entre hackers sin que nadie se diera cuenta.

La firma de seguridad ESET ha publicado un informe donde detalla cómo hackers rusos han usado el perfil de Instagram de la cantante, todo a través de los comentarios de cada una de sus fotos, lo que se vuelve un misión imposible de rastrear debido a la gran cantidad de comentarios que recibe diariamente. Vamos, Britney tiene más de 17 millones de seguidores, y sus fotos contabilizan miles de comentarios, lo que se vuelve una misión imposible para moderar.

Difusión de malware de forma creativa

ESET descubrió que entre esos miles de comentarios, aparentemente inofensivos, se encuentran algunos con instrucciones encubiertas para la difusión de malware. Dichos comentarios suelen pasar como SPAM ya que contienen varios hashtags sin sentido aparente, pero en realidad contienen detalles de una dirección web.

En el comentario que ESET pone de ejemplo se ve un hashtag central que sirve para localizar el comentario, y una vez allí se coloca una cadena de caracteres que servirán para crear una dirección web dentro de un enlace ‘bit.ly’. En este caso todo apuntaba a ‘2kdhuHX’ que servía para conectarse con el servidor de mando y control (C&C) del malware.

Britney Instagram Square 768x572

Según ESET, Instagram ya está al tanto de esta práctica, y están tratando de crear la manera de localizar todos esos comentarios, ya que están seguros que Britney no es la única con este tipo de mensajes.

ESET asegura que los responsables de esta ingeniosa acción son el grupo de hackers rusos conocido como Turla, el cual se ha vinculado con ataques a altos funcionarios gubernamentales y diplomáticos, así como sedes del gobierno en varias regiones del mundo, basando su trabajo en espionaje cibernético.

Fuente:

xataka.com

Mayo 11th 2017

Cómo conectarse por SSH via terminal

Número de lecturas: 852
{lang: 'es-419'}
Para conectarse remotamente a un servidor de modo seguro (SSH), en sistemas Windows se suele utilizar PuTTY o similares, pero ¿y en Linux o MacOSX?

Conexión SSH en consola o terminal

No hace falta instalarse nada, abre la consola o terminal y lanza el siguiente comando:

ssh -p 22 root@123.456.789.123  
  • Cambia la dirección IP de ejemplo por la de tu servidor
  • Sustituye root por el usuario que proceda en tu caso
  • Puerto TCP 22. Puedes usar otro específico u omitirlo (por defecto 22)

Después te pedirá la contraseña del usuario. Introdúcela correctamente aunque no se visualice ningún carácter en la pantalla, pulsa ENTER y estarás dentro.

Cierre de sesión remota

Como suele ser habitual, tan solo ejecuta:

exit  
Abril 4th 2017

‘Alerta Password’ para proteger tu contraseña en Gmail

Número de lecturas: 1448
{lang: 'es-419'}

La gigante de tecnología quiere ayudar a los usuarios de sus servicios de correo electrónico y nube a evitar que pasen accidentalmente su información a malas manos.

Google reconoce que el robo de información no sólo afectaría las cuentas bancarias de sus víctimas sino también sus cuentas de correo electrónico — y la gigante de tecnología quiere ayudar a protegerte.

Este miércoles Google anunció el lanzamiento de Alerta, una extensión de Chrome de código abierto para las cuentas de Google, Google Apps y Google for Work. La extensión se puede descargar por Chrome.

La Alerta ayudaría a prevenir que usuarios escriban su nombre de usuario y contraseña en una página de phishing, un sitio no oficial de Google creado por personas que quieren robarse la información del usuario. Los ladrones pueden entrar a sus correos, buscar datos personales, y vender o usar la información personal de las víctimas.

Hay distintas maneras en como los malhechores usan las tácticas de phishing. Una manera es que se te pida un email para entrar a un sitio operado por los ladrones. Sólo un 2 por ciento de los emails que llegan por Gmail a las bandejas de entrada son de phishing, según Google. Sin embargo, de los emails de phishing que sí pasan, el 45 por ciento de las veces son efectivos y engañan al público, añadió la compañía.

Para protegerte, tienes que instalar la extensión y luego comenzarás a ver una advertencia si estás a punto de usar un sitio de phishing. La extensión también funcionaría para Google Apps y Drive for Work.

Google recomienda que los usuarios cambien sus contraseñas para diferentes sitios Web y que utilicen sus herramientas de verificación de dos pasos y clave de seguridad.

google-alerta-phishing2.png

 

Fuente:

cnet.com