Archive for Seguridad Informática

Marzo 30th 2017

SAVE: libro gratuito sobre Ingeniería Social

Número de lecturas: 1942
{lang: 'es-419'}

Si hay una técnica de hacking que no tiene antídoto, esa es la Ingeniería Social. Por ello, ésta es seguramente la técnica más efectiva actualmente. El exponencial uso de las redes sociales y sobre todo el uso de internet como plataforma para buscar nuestro minuto de gloria, los usuarios descuidan la cantidad de información que publican. Esta información, aunque parezca inofensiva y “poco” personal, es crucial a la hora de ser usada para que alguien pueda impersonar nuestra identidad, o inlcuso sea usa en contra nuestra para ganar nuestra confianza y por consiguiente ser victima de un ataque de ingeniería social.

SAVE, Social Vulnerability & Assessment Framework (PDF, EPUB, iTunes, Google Play), es un libro (193 páginas) dedicado a estudiar el uso de la ingeniería social usando la inteligencia abierta (OSINT) en ciberataques.

El libro está basado en el resultado recogido del uso de 185 ataques de ingeniería social reales contra tres empresas danesas. Como resultado de dicho estudio, se desarrolló un entorno de trabajo de evaluación de vulnerabilidades (Social Vulnerability Assessment Framework, SVA), documentado en el propio libro.

Download (PDF, 6.35MB)

Fuente:

blog.segu-info.com.ar

Marzo 27th 2017

Hacker revela la manera más fácil de secuestrar la sesión de usuarios con privilegios de Windows sin contraseña

Número de lecturas: 1584
{lang: 'es-419'}

Alexander Korznikov, un investigador de seguridad israelí, recientemente ha demostrado que un usuario privilegiado local, aún puede secuestrar la sesión de cualquier usuario registrado de Windows con privilegios elevados sin conocer la contraseña de ese usuario, utilizando una función de herramientas de línea de comandos.
Este truco funciona en casi todas las versiones del sistema operativo Windows y no requiere ningún privilegio especial. Korznikov es incapaz de averiguar si se trata de una característica de Windows o una falla de seguridad.

El problema descubierto por Korznikov no es completamente nuevo, como un investigador de seguridad francesa, a saber, Benjamin Delpy, se detalla una técnica de secuestro de sesión de usuario similares en su blog de hace unos seis años.

Korznikov llama al ataque de una “escalada de privilegios y el secuestro de sesión”, lo que podría permitir a un atacante secuestrar la sesión de los usuarios privilegiados de alta y obtener acceso no autorizado a las aplicaciones y otros datos sensibles.

Para explotar con éxito, un atacante requiere acceso físico a la máquina objetivo, pero utilizando la sesión de Remote Desktop Protocol (RDP) en una máquina de cortado; el ataque se puede realizar a distancia también.

Las demostraciones de vídeo muestran como se hace:

Korznikov también ha proporcionado un par de demostraciones de vídeo de un exitoso secuestro de sesión (utilizando el Gestor de tareas, creación de servicios, así como la línea de comandos), junto con la prueba de concepto (PoC) explotar.
Korznikov probado con éxito la falla en el más reciente de Windows 10, Windows 7, Windows Server 2008 y Windows Server 2012 R2, aunque otro investigador confirmó en Twitter que la falla funciona en todas las versiones de Windows, incluso si la estación de trabajo está bloqueada.

Fuente:

http://thehackernews.com/2017/03/hack-windows-user-account.html

Marzo 22nd 2017

¿Qué sabe de mí Facebook? – Doxing

Número de lecturas: 1724
{lang: 'es-419'}

Todos algún día nos hemos preguntado sobre qué información nuestra podría circular por las redes sociales sin que nosotros lo supiéramos.

Pues hoy vas aprender un método que seguramente no sepas pero que puede ayudar no solo a descubrir más sobre alguien, algo que puede llegar a ser poco ético aunque legal ya que proviene de fuentes abiertas y accesibles a todo el mundo.

Esto lo voy a enseñar para que aprendás a protegerte y empezar a borrar datos personales que no quieres que se sepan. Aunque siempre hay que seguir la premisa de que si no quieres que algo no se sepa no lo publiques.

Aquí nace el término Doxing, el Doxing es un conjunto de técnicas que usamos para recopilar información sobre un objetivo (puede ser persona, empresa o institución).

Hoy solo hablaré de Doxing aplicado a la red social Facebook, y solo hablaremos de Doxing legal por razones obvias.

Pasando a la acción, lo primero que tenemos que hacer es poner nuestro perfil de Facebook en inglés estadounidense. Esto se hace en la configuración del lenguaje como se puede ver en la foto.

Cuando ya estemos en la página objetivo pulsamos las teclas CTRL y U, esto nos desplegará el código de la página en un nivel inferior. Y posteriormente pulsamos las teclas CTRL y F lo cual nos desplegará un buscador en el código.

La secuencia que buscamos es algo así:

Como ves buscamos un identificador de un usuario que es único y que corresponde con el número que aparece entre comillas. Esto quiere decir que aunque el usuario llegara a cambiar de nombre podría hacerlo pero nunca podrá cambiar su id de usuario.

Terminado esto y con el id en nuestro poder, solo tenemos que ir a la barra superior del navegador y poner lo siguiente:

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-by

-Esto nos muestra las fotos del usuario.

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-tagged

-Esto nos saca las fotos en las que está etiquetado.

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-liked

Aquí las fotos en las que ha dado like.

www.facebook.com/search/NUESTRO ID DE USUARIO/photos-commented

Fotos que ha comentado.

www.facebook.com/search/NUESTRO ID DE USUARIO/pages-liked

Páginas que le gustan.

www.facebook.com/search/NUESTRO ID DE USUARIO/groups

Grupos a los que pertenece.

Con todos estos datos recopilados, y muchos más que se podrían añadir simplemente con fuentes abiertas y disponibles a cualquier usuario, podríamos crear un perfil muy completo de cualquiera. Lo que nos podría llevar a ser objetivo de ciberataques, ciberextorsiones, robos o incluso la pérdida de algún empleo como ya ha sucedido.

Es muy importante hacernos una reflexión sobre los datos que vamos dejando en la red e intentar borrar lo que no nos interesa.

Fuente:

versionmilitar.com

Marzo 17th 2017

Auditoria de Seguridad, Auditoria de Vulnerabilidades, Pentest o Hacking Etico.

Número de lecturas: 1694
{lang: 'es-419'}

En el poco tiempo que tengo relacionándome con las cuestiones de seguridad en la tecnología, me eh encontrado Con tres términos algo interesantes, que veo que en la industria no tienen ni la más mínima idea de que es lo que realmente hacen y en que les puede beneficiar, y creo que a muchos informáticos dedicados a estos temas también les queda algo de dudas al respecto, esto son: Las Auditorias de seguridad, las auditorias de vulnerabilidades, y los pentest.

Pero ¿En realidad son toda la misma cosa? Claro que no… cada una tiene un objetivo y se desarrollan con personas de diferentes habilidades, y conocimientos.

En este post, vamos a hablar un poco de las tres y cuáles son sus diferencias para cuando ofrezcan un servicio establezcan y definan bien con su cliente que es lo que vamos hacer y cuál será el procedimiento y el alcance que vamos a tomar.

Auditoria de Seguridad

Esta auditoria considero que debe ser la principal, de la cual partan todas las demás auditorias, ya que en esta parte es cuando se verifica el nivel de seguridad con el que cuenta la organización, en esta auditoria se enfocan particularmente en los empleados, los procesos diseñados y usados por la organización y la administración de seguridad; el auditor y la organización se basan en líneas establecidas para desarrollar procesos de seguridad dentro de una organización.

Los auditorios de seguridad generalmente se basan en auditorias manuales sobre gobiernos de IT las cuales pueden hacer referencia a NIST, Cobit, ISACA, ISO 27000, ASSET, entre otras.

Estas auditorías se pueden realizar de manera manual o automática, eso ya depende del auditor cual es la mejor manera de comprobar lo que está auditando.

Si se decide hacer la auditoria de manera manual el auditor estaría realizando:

  • Entrevistar al personal de la organización.
  • Revisar los permisos y controles de aplicaciones y sistemas operativos.
  • Revisar el acceso físico y lógico de los sistemas.

Si se decir hacer de manera automática el auditor estará realizando lo siguiente:

  • Realizar reportes de auditoria con herramientas de software
  • Revisar los reportes con herramientas como CLS, IDEA, para relacionar entidades y buscar anomalías.

Una auditoria de seguridad evalúa un conjunto de información crítica, cuál es su tratamiento, y su almacenamiento, esto incluye evaluaciones sobre configuración de software y hardware, seguridad física, procesos de creación y tratamiento de la información, prácticas de los usuarios, y procedimientos establecidos por estándares, como, HIPPA, PCI, SOX, entre otros.

Auditoria de vulnerabilidades

Este tipo de auditoria nos ayuda a identificar brechas de seguridad que se puedan entrar presentando en sistemas informáticos y en la infraestructura.

Para realizar este tipo de prueba el auditor debe de ser muy profesional y tener conocimientos avanzados sobre riesgos para poder evaluar la criticidad de las vulnerabilidades que se han estado encontrando.

Mediante una evaluación adecuada se valora, cual es la probabilidad de amenaza de los hackers, ex empleados, empleados internos, etc, en la auditoria es cuando se revelan estás brechas de seguridad.

Esta evaluación nos ayuda a encontrar brechas de seguridad desconocidas con ayuda de herramientas para escaneo de vulnerabilidades con las cuales podemos encontrar dispositivos en distintos tipos de segmentos de red, enumerar sistemas operativos, dispositivos vivos en la red, y sus aplicaciones, estos sistemas son capaz de identificar el sistema operativo, su arquitectura, configuración, protocolos, puertos abiertos y hasta aplicaciones que están corriendo en los sistemas operativos.

Para comenzar a utilizar estas herramientas de escaneo de vulnerabilidades, podemos comenzar definiendo que es lo que se desea encontrar, pueden ser configuraciones erróneas, carpetas sin permisos, configuraciones de seguridad débiles, computadoras expuestas entre otras cosas.

Al final del escaneo generalmente los sistemas para detección de vulnerabilidades nos entregan un reporte, en el cual podemos ver la severidad de las fallas basándose en el Common Vulnerability and Exposures (CVE) dependiendo de cada fabricante esto se presentara a su manera.

El CVE es un repositorio donde se almacenan reportes de vulnerabilidades para mantener la seguridad de nuestros sistemas, este sistema es abierto y todos pueden hacer uso de sus recursos. (http://cve.mitre.org)

Pentest o Hacking Etico

Las auditorias de pentest o hacking ético, son las pruebas realizadas por un experto, que trata de simular un ataque directo a la organización, esto ayuda a las organizaciones a determinar cuál es el nivel de seguridad en el que se encuentran y realizar planes de contingencia sobre ataques internos y externos, validar cual serían las repercusiones de esos ataques y elaborar un plan de contingencia.

En el contexto de Pentest, el auditor puede ser limitado a tiempo, recursos, acceso a los equipos, desconocimiento de la infraestructura, etc, esto para garantizar que las brechas de seguridad que encuentre sean basadas de la manera más real posible, esto para garantizar que las brechas de seguridad que el experto este analizando sean parcheadas y reducir el área de ataque lo más corto posible.

El auditor trabaja con la misma metodología con la que trabajaría un atacante, se vale de accesos no autorizados a la organización, a las redes y los sistemas para comprometerlos, para esto se vale de herramientas que el mismo desarrolla, o que utiliza de terceros, también realiza pruebas manuales para llegar a sistemas específicos donde pueda encontrar defectos para poder obtener acceso y no pueda ser identificado.

Para llevar a cabo esta técnica se llevan evaluando 5 pasos los cuales son:

  • Footprinting o Reconocimiento, el cual es de los pasos más importantes ya que en esta parte es donde los pentest se detienen a observar e identificar la información que están obteniendo, para de esa manera trazar vectores de ataque exitosos hacia los sistemas auditados.
  • Escaneo: En este punto el auditor ya realiza análisis con la información del individuo y con esto obtiene información acerca de las vulnerabilidades y los puntos donde puede penetrar como: detalles del sistema operativo, los host accesibles o algún puerto abierto.
  • Enumeración: en esta etapa realizamos pruebas directamente con los equipos, para obtener información crítica como nombres, IP, usuarios, grupos, direcciones MAC, políticas de seguridad en los equipos.
  • Explotación: bien el auditor ya tiene todo lo necesario para realizar los ataques controlados a los distintos objetivos, es en esta fase donde se ponen los planes en marcha y explotan los sistemas pero de manera controlada para obtener evidencia sobre las acciones tomadas.
  • Reporte: Ya que termino todo el proceso el auditor realiza un informe, en el cual explica de manera técnica y de manera directiva cuales son los riesgos, cuáles fueron los métodos que realizo y cuáles son las soluciones recomendadas por el experto para parchar el hueco de seguridad.

Suena ve divertido no creen? Y créanme que lo es, pero hay que tener demasiada paciencia para poder estar horas y horas analizando una brecha de seguridad y saber identificar entre un falso/positivo o un honeypot, para no desperdiciar nuestro valioso tiempo atacando algo que está ahí para atraparnos como moscas.

Fuente:

medium.com/@ingoroman