Archive for Tools

noviembre 10th 2017

3 servicios de VPN para proteger tu privacidad en redes Wi-Fi

Número de lecturas: 204
{lang: 'es-419'}

A la hora de proteger tu privacidad, especialmente navegando en redes inseguras, hay una herramienta que hoy en día se torna indispensable: un túnel VPN o Virtual Private Network.

Esta aplicación cifra la información del usuario que viaja entre el dispositivo y un servidor de confianza, logrando que este tráfico no pueda ser interceptado por ningún curioso conectado a la misma red.

El uso de esta herramienta aparece siempre entre nuestros consejos más populares, y su uso es cada vez mas necesario, especialmente tras la vulnerabilidad descubierta recientemente en el protocolo WPA2.

Pero a menudo recibimos consultas sobre qué servicio conviene elegir y cuáles son las ventajas y desventajas. Por eso, a continuación vamos a presentarte algunas opciones de servicios de VPN que puedes utilizar en todos tus dispositivos, especialmente en tu móvil, el cual es más propenso a conectarse a redes Wi-Fi públicas o desprotegidas.

Recuerda que ningún software es infalible ni mucho menos perfecto, pero seleccionamos estas opciones para que sepas por dónde empezar.

#1 Proton VPN

Este proyecto nace luego de que un grupo de entusiastas de la Organización Europea para la Investigación Nuclear (CERN) desarrolle Proton Mail, el primer servicio gratuito de correo electrónico cifrado.

Este servicio no solo funciona muy bien, sino que tiene el respaldo de organizaciones confiables como el CERN y el Massachusetts Institute of Technology. Además, su casa matriz se encuentra en Suiza, donde las leyes de protección de datos personales son mucho más estrictas que en otros países.

Esto hace que su política de privacidad sea clara: Proton VPN no guarda registros de navegación de sus usuarios ni de sus sesiones, exceptuando la sesión activa. Sin embargo, su versión gratuita solo permite navegar a través de servidores salientes en Estados Unidos, lo cual deja al usuario a merced de las leyes de privacidad de este país.

Proton VPN utiliza el protocolo Open VPN para sus conexiones y cifra la información del usuario con AES-256, y el intercambio de llaves se realiza con RCA-2048, lo cual hace que sea una conexión segura.

La desventaja es que, si bien tiene un cliente para Windows, no cuenta con opciones para otras plataformas. Sin embargo, es posible descargar los archivos de configuración y utilizar otro cliente VPN, como el Open VPN Connect que ellos mismos recomiendan para Android.

#2 Hotspot Shield

La compañía AnchorFree Inc. lanzó sus servicios de VPN en el año 2008, y ya lleva varios años en el mercado. Actualmente posee diferentes opciones para sus usuarios, entre las que incluye una versión básica y gratuita de su cliente VPN y diferentes planes de suscripción para sus versiones denominadas “Elite”.

Además, cuenta con clientes para todo tipo de plataformas: Windows, Mac, iOS, Android e incluso una extensión exclusiva para utilizar en el navegador Chrome.

Dentro de sus principales características, en la versión gratuita se destaca que no requiere autenticación ni login. Es decir que no le pide al usuario ninguna información personal para comenzar a utilizar el servicio.

También ofrece la posibilidad configurar la aplicación para que se conecte automáticamente, ya sea al iniciar otra aplicación o al detectar una red potencialmente insegura.

Hotspot Shield utiliza TLS 1.2 para establecer la sesión entre el usuario y sus servidores y generar la clave de cifrado. Luego, cifra la información del usuario utilizando el algoritmo AES con una llave de 128 bits.

Posee más de 20 opciones de servidores para su versión paga, pero en la versión gratuita permite navegar únicamente a través de los servidores en Estados Unidos, los cuales, en general, funcionan con buena velocidad y sin inconvenientes.

Si bien la versión gratuita no tiene limitaciones en cuanto a la cantidad de datos transmitidos, tiene la gran desventaja de mostrar publicidades. Cada 5 o 6 minutos se muestra una publicidad de pantalla completa, lo cual puede resultar tedioso, especialmente si utilizamos la conexión por varias horas.

#3 TunnelBear VPN

Esta aplicación lanzada por la compañía TunnelBear Inc. tiene un diseño bastante peculiar. Es muy amigable y fácil de utilizar, ya que basta con elegir el servidor de salida para que nuestro “oso” cave un túnel cifrado hasta este destino.

Además, es una de las pocas que ofrece salida a través de servidores en México y Brasil, lo cual mejora notablemente la velocidad de navegación para usuarios de Latinoamérica.

El servicio es multiplataforma y cuenta con versiones para Windows, Mac, Android, iOS e incluso una extensión para el navegador. La aplicación para Android tiene algunas configuraciones interesantes, como la opción de GhostBear, que agrega una capa extra de cifrado para hacer aún más difícil su detección.

La empresa remarca su política de privacidad, donde aseguran que no guardan los datos de navegación de sus usuarios. Sin embargo, la aplicación solicita registrar un correo para comenzar a utilizarla.

Una gran ventaja es que la versión gratuita de TunnelBear no muestra publicidades molestas al usuario, pero, en contramedida, solo permite 500 MB de tráfico por mes. En caso de necesitar ampliar esta cuota, el usuario tiene la posibilidad de duplicar la cantidad de datos compartiendo la aplicación en redes sociales y con amigos.

A la hora de elegir un servicio VPN existen múltiples alternativas, por lo tanto, antes de decidir, recuerda que el principal objetivo de estas aplicaciones es proteger tu información y tu privacidad.

Aquí planteamos algunas opciones de aplicaciones gratuitas, pero sabemos que nada es realmente gratis en este ambiente, por lo que te recomendamos prestar especial atención a la información que compartes y tomar los recaudos necesarios. Si tienes la posibilidad de invertir algo de dinero y elegir las versiones completas, hazlo, porque tu privacidad lo vale.

Por último, no olvides leer cuidadosamente los términos y condiciones del servicio que elijas utilizar, especialmente su política de privacidad. Después de todo, estarás depositando tu confianza y tu información en sus manos.

Fuente:

welivesecurity.com

agosto 28th 2017

Escanea la seguridad de tus aplicaciones Web con Spaghetti

Número de lecturas: 732
{lang: 'es-419'}

A diario se crean miles de aplicaciones web, muchas de ellas sin seguir lineamientos de seguridad básicas, para analizar que nuestras aplicaciones web se encuentra en un nivel de seguridad alta es posible usar Spaghetti, un escaner de vulnerabilidad bastante interesante.

¿Qué es Spaghetti?

Es una aplicación de código abierto, desarrollada en Python que nos permite escanear aplicaciones web en búsqueda de vulnerabilidades, la aplicación esta diseñada para encontrar varios archivos predeterminados o inseguros, así como para detectar configuraciones erróneas.

aplicaciones web

Al ser desarrollada en python esta herramienta puede ser ejecutada en cualquier sistema operativo que sea compatible con la versión 2.7 de python.

Contiene un potente Fingerprinting que nos permite recopilar información de una aplicación web, entre las que se destacan la información relacionada al servidor, el framework utilizado para su desarrollo (CakePHP,CherryPy,Django,…), si contiene un firewall activo (Cloudflare,AWS,Barracuda,…), si ha sido desarrollado utilizando un cms (Drupal,Joomla,Wordpress,…), el sistema operativo en el que se ejecuta la aplicación y el lenguaje de programación utilizado.

Además viene equipado con otras series de funcionalidades que permitirá hacer un exhaustivo analisis de la integridad y seguridad de una aplicación web, todo esto desde la terminal y de manera sencilla.

En líneas generales una vez que ejecutemos la herramienta simplemente debemos elegir la url de la aplicación web que deseamos analizar e introducir los parámetros correspondiente a la funcionalidad que deseamos aplicar, luego la herramienta hará el análisis correspondiente y mostrará los resultados obtenidos.

¿Cómo instalar Spaghetti?

Para instalar Spaghetti en cualquier distro simplemente debemos tener instalado python 2.7 y ejecutar los siguientes comandos:

$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti 
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h

Luego simplemente podemos utilizar la herramienta en todas las aplicaciones web que deseemos escanear. La utilidad es bastante poderosa y fácil de usar, además cuenta con un desarrollador muy activo, que se especializa en herramientas relacionadas a la seguridad informática.

Es importante destacar que el mejor uso que le podemos dar a esta herramienta es el de encontrar brechas de seguridad abiertas en nuestras aplicaciones web, para solventarlas y hacerlas más segura, no obstante, algunos usuarios podrían aprovechar esta herramienta para intentar acceder a aplicaciones web que no son de su propiedad por lo que recomendamos dar un uso adecuado a la misma.

 

Fuente:
blog.desdelinux.net

agosto 3rd 2017

Realiza pentesting real y LEGAL con PentestIT

Número de lecturas: 1128
{lang: 'es-419'}

Si te gusta la materia o piensas dedicarte seriamente al pentesting, sea del tipo que sea, te interesará saber que existen herramientas para poder hacerlo de forma completa y totalmente legal. Es el caso de PentestIT, ofrecido por la web pentestit.ru, que además te permite iniciarte en este camino sin ningún coste.

Los laboratorios de pruebas que te ofrece esta web están basados en entornos productivos 100% reales (fundados sobre casos de empresas reales) y que ponen a tu alcance fallos o agujeros de seguridad en los sistemas que están ahí, listos para ser aprovechados por un intruso.

Laboratorios ofrecidos por PentestIT

Estos entornos virtuales están disponibles en varios niveles, tanto gratuitamente como de pago, que podrás usar sin límites y las 24 horas al día. Obviamente existen recortes en la versión gratuita, básicamente un número de servidores de prácticas y laboratorios más reducido, además de que no cuentan con formación ni asesoramiento por parte de sus especialistas.

En la versión sin coste (Test Lab) podrás disfrutar de lo siguiente:

  • Rollback automático de la Máquina Virtual a un estado funcional
  • Duración: 6 meses
  • Disponibilidad 24×7
  • 1 laboratorio disponible
  • Servidores vulnerables: 8 a 12

Estos laboratorios emulan una infraestructura 100% real y te permiten analizarlos e introducirte en ellos sin temer posibles represalias legales. Se incorporan vulnerabilidades recientes y de diverso tipo: seguridad de red, sistemas operativos y aplicaciones. Es posible romper los sistemas criptográficos, configuraciones, código y usar el factor humano.

La metodología empleada es de tipo caja gris (grey box). Es decir, se nos ofrece algo de información sobre la infraestructura y un texto descriptivo. Se pueden explotar diversos mecanismos de ataque, como servicios de red, protocolos web, buffer overflow o ingeniería social.

Realiza tus primeras pruebas de pentesting

  • Para empezar a dar tus primeros pasos con los diferentes retos disponibles deberás primero registrarte desde la web pentestit.ru. Recibirás un correo electrónico para confirmar tu cuenta, que deberás aceptar.
  • Después deberás instalar la red privada virtual OpenVPN, que usarás para conectarte a la infraestructura de pruebas.

pentestIt - pruebas de pentesting

  • Cuando hayas confirmado tu cuenta, recibirás un nombre de usuario y una clave para conectarte a dicha red. Además, descargarás un certificado. Pulsa el botón How to connect para más información.

pentestIt - pruebas de pentesting.png 2

  • Ahora deberás pulsar Join the lab para escoger el laboratorio que quieras iniciar. Cada uno representa un caso diferente.

En mi caso, he realizado algunas pruebas con el laboratorio Test Lab 11, debido a que los anteriores han sido cerrados. Se te presentará un mapa de red del objetivo, con algunas IPs e información adicional, enlaces a redes sociales y foro y una barra de progreso, que representa el número de logros que has obtenido.

pentestIt - pruebas de pentesting 1

Los logros se resuelven capturando tokens (según el objetivo obtendremos uno diferente) y que se debn verificar en la parte superior donde dice CHECK TOKEN.

Mapa de red en pentestIt - pruebas de pentesting 3

 

En mi caso, he empezado por hacer unas pruebas con Nmap para intentar averiguar los puertos abiertos y sistemas operativos visibles en el área objetivo.

A partir de aquí, será cosa vuestra el qué y el cómo. Es lo divertido de este sistema, que no existe una única forma de resolver los casos y esto ofrece muchas posibilidades. Espero que os haya gustado este recurso para practicar ethical hacking / pentesting y que le saquéis provecho ?

Fuente:
protegermipc.net

abril 4th 2017

‘Alerta Password’ para proteger tu contraseña en Gmail

Número de lecturas: 1584
{lang: 'es-419'}

La gigante de tecnología quiere ayudar a los usuarios de sus servicios de correo electrónico y nube a evitar que pasen accidentalmente su información a malas manos.

Google reconoce que el robo de información no sólo afectaría las cuentas bancarias de sus víctimas sino también sus cuentas de correo electrónico — y la gigante de tecnología quiere ayudar a protegerte.

Este miércoles Google anunció el lanzamiento de Alerta, una extensión de Chrome de código abierto para las cuentas de Google, Google Apps y Google for Work. La extensión se puede descargar por Chrome.

La Alerta ayudaría a prevenir que usuarios escriban su nombre de usuario y contraseña en una página de phishing, un sitio no oficial de Google creado por personas que quieren robarse la información del usuario. Los ladrones pueden entrar a sus correos, buscar datos personales, y vender o usar la información personal de las víctimas.

Hay distintas maneras en como los malhechores usan las tácticas de phishing. Una manera es que se te pida un email para entrar a un sitio operado por los ladrones. Sólo un 2 por ciento de los emails que llegan por Gmail a las bandejas de entrada son de phishing, según Google. Sin embargo, de los emails de phishing que sí pasan, el 45 por ciento de las veces son efectivos y engañan al público, añadió la compañía.

Para protegerte, tienes que instalar la extensión y luego comenzarás a ver una advertencia si estás a punto de usar un sitio de phishing. La extensión también funcionaría para Google Apps y Drive for Work.

Google recomienda que los usuarios cambien sus contraseñas para diferentes sitios Web y que utilicen sus herramientas de verificación de dos pasos y clave de seguridad.

google-alerta-phishing2.png

 

Fuente:

cnet.com