Archive for Tools

Marzo 17th 2017

Auditoria de Seguridad, Auditoria de Vulnerabilidades, Pentest o Hacking Etico.

Número de lecturas: 1974
{lang: 'es-419'}

En el poco tiempo que tengo relacionándome con las cuestiones de seguridad en la tecnología, me eh encontrado Con tres términos algo interesantes, que veo que en la industria no tienen ni la más mínima idea de que es lo que realmente hacen y en que les puede beneficiar, y creo que a muchos informáticos dedicados a estos temas también les queda algo de dudas al respecto, esto son: Las Auditorias de seguridad, las auditorias de vulnerabilidades, y los pentest.

Pero ¿En realidad son toda la misma cosa? Claro que no… cada una tiene un objetivo y se desarrollan con personas de diferentes habilidades, y conocimientos.

En este post, vamos a hablar un poco de las tres y cuáles son sus diferencias para cuando ofrezcan un servicio establezcan y definan bien con su cliente que es lo que vamos hacer y cuál será el procedimiento y el alcance que vamos a tomar.

Auditoria de Seguridad

Esta auditoria considero que debe ser la principal, de la cual partan todas las demás auditorias, ya que en esta parte es cuando se verifica el nivel de seguridad con el que cuenta la organización, en esta auditoria se enfocan particularmente en los empleados, los procesos diseñados y usados por la organización y la administración de seguridad; el auditor y la organización se basan en líneas establecidas para desarrollar procesos de seguridad dentro de una organización.

Los auditorios de seguridad generalmente se basan en auditorias manuales sobre gobiernos de IT las cuales pueden hacer referencia a NIST, Cobit, ISACA, ISO 27000, ASSET, entre otras.

Estas auditorías se pueden realizar de manera manual o automática, eso ya depende del auditor cual es la mejor manera de comprobar lo que está auditando.

Si se decide hacer la auditoria de manera manual el auditor estaría realizando:

  • Entrevistar al personal de la organización.
  • Revisar los permisos y controles de aplicaciones y sistemas operativos.
  • Revisar el acceso físico y lógico de los sistemas.

Si se decir hacer de manera automática el auditor estará realizando lo siguiente:

  • Realizar reportes de auditoria con herramientas de software
  • Revisar los reportes con herramientas como CLS, IDEA, para relacionar entidades y buscar anomalías.

Una auditoria de seguridad evalúa un conjunto de información crítica, cuál es su tratamiento, y su almacenamiento, esto incluye evaluaciones sobre configuración de software y hardware, seguridad física, procesos de creación y tratamiento de la información, prácticas de los usuarios, y procedimientos establecidos por estándares, como, HIPPA, PCI, SOX, entre otros.

Auditoria de vulnerabilidades

Este tipo de auditoria nos ayuda a identificar brechas de seguridad que se puedan entrar presentando en sistemas informáticos y en la infraestructura.

Para realizar este tipo de prueba el auditor debe de ser muy profesional y tener conocimientos avanzados sobre riesgos para poder evaluar la criticidad de las vulnerabilidades que se han estado encontrando.

Mediante una evaluación adecuada se valora, cual es la probabilidad de amenaza de los hackers, ex empleados, empleados internos, etc, en la auditoria es cuando se revelan estás brechas de seguridad.

Esta evaluación nos ayuda a encontrar brechas de seguridad desconocidas con ayuda de herramientas para escaneo de vulnerabilidades con las cuales podemos encontrar dispositivos en distintos tipos de segmentos de red, enumerar sistemas operativos, dispositivos vivos en la red, y sus aplicaciones, estos sistemas son capaz de identificar el sistema operativo, su arquitectura, configuración, protocolos, puertos abiertos y hasta aplicaciones que están corriendo en los sistemas operativos.

Para comenzar a utilizar estas herramientas de escaneo de vulnerabilidades, podemos comenzar definiendo que es lo que se desea encontrar, pueden ser configuraciones erróneas, carpetas sin permisos, configuraciones de seguridad débiles, computadoras expuestas entre otras cosas.

Al final del escaneo generalmente los sistemas para detección de vulnerabilidades nos entregan un reporte, en el cual podemos ver la severidad de las fallas basándose en el Common Vulnerability and Exposures (CVE) dependiendo de cada fabricante esto se presentara a su manera.

El CVE es un repositorio donde se almacenan reportes de vulnerabilidades para mantener la seguridad de nuestros sistemas, este sistema es abierto y todos pueden hacer uso de sus recursos. (http://cve.mitre.org)

Pentest o Hacking Etico

Las auditorias de pentest o hacking ético, son las pruebas realizadas por un experto, que trata de simular un ataque directo a la organización, esto ayuda a las organizaciones a determinar cuál es el nivel de seguridad en el que se encuentran y realizar planes de contingencia sobre ataques internos y externos, validar cual serían las repercusiones de esos ataques y elaborar un plan de contingencia.

En el contexto de Pentest, el auditor puede ser limitado a tiempo, recursos, acceso a los equipos, desconocimiento de la infraestructura, etc, esto para garantizar que las brechas de seguridad que encuentre sean basadas de la manera más real posible, esto para garantizar que las brechas de seguridad que el experto este analizando sean parcheadas y reducir el área de ataque lo más corto posible.

El auditor trabaja con la misma metodología con la que trabajaría un atacante, se vale de accesos no autorizados a la organización, a las redes y los sistemas para comprometerlos, para esto se vale de herramientas que el mismo desarrolla, o que utiliza de terceros, también realiza pruebas manuales para llegar a sistemas específicos donde pueda encontrar defectos para poder obtener acceso y no pueda ser identificado.

Para llevar a cabo esta técnica se llevan evaluando 5 pasos los cuales son:

  • Footprinting o Reconocimiento, el cual es de los pasos más importantes ya que en esta parte es donde los pentest se detienen a observar e identificar la información que están obteniendo, para de esa manera trazar vectores de ataque exitosos hacia los sistemas auditados.
  • Escaneo: En este punto el auditor ya realiza análisis con la información del individuo y con esto obtiene información acerca de las vulnerabilidades y los puntos donde puede penetrar como: detalles del sistema operativo, los host accesibles o algún puerto abierto.
  • Enumeración: en esta etapa realizamos pruebas directamente con los equipos, para obtener información crítica como nombres, IP, usuarios, grupos, direcciones MAC, políticas de seguridad en los equipos.
  • Explotación: bien el auditor ya tiene todo lo necesario para realizar los ataques controlados a los distintos objetivos, es en esta fase donde se ponen los planes en marcha y explotan los sistemas pero de manera controlada para obtener evidencia sobre las acciones tomadas.
  • Reporte: Ya que termino todo el proceso el auditor realiza un informe, en el cual explica de manera técnica y de manera directiva cuales son los riesgos, cuáles fueron los métodos que realizo y cuáles son las soluciones recomendadas por el experto para parchar el hueco de seguridad.

Suena ve divertido no creen? Y créanme que lo es, pero hay que tener demasiada paciencia para poder estar horas y horas analizando una brecha de seguridad y saber identificar entre un falso/positivo o un honeypot, para no desperdiciar nuestro valioso tiempo atacando algo que está ahí para atraparnos como moscas.

Fuente:

medium.com/@ingoroman

Marzo 17th 2017

QRLJacking, robando sesiones de WhatsApp a través del código QR

Número de lecturas: 1944
{lang: 'es-419'}

WhatsApp es el cliente de mensajería instantánea más utilizado en todo el mundo, lo que hace que también sea una de las aplicaciones más atacadas por los piratas informáticos. Aunque en el pasado hackear WhatsApp era realmente sencillo debido a la inexistencia del cifrado ni de medidas de seguridad, hoy en día esta tarea se ha complicado notablemente debido a las nuevas medidas de seguridad implementadas en esta aplicación. Sin embargo, aún tiene serias debilidades que pueden suponer un peligro para los usuarios, como, por ejemplo, el uso de códigos QR para el inicio de sesión en su aplicación Web.

El pasado mes de enero explicamos cómo los piratas informáticos pueden hackear WhatsApp aprovechándose de un fallo en la generación de los códigos QR que podía permitir a un atacante hacerse con el código de otra persona, iniciar sesión con sus credenciales y poder leer los mensajes de WhatsApp sin dejar rastro de actividad.

Esta técnica, aunque preocupante, es bastante complicada de llevar a cabo y tiene muchas limitaciones a la hora de ponerla en práctica, como, por ejemplo, que solo un usuario puede utilizar WhatsApp Web a la vez (por lo que, si la otra persona lo intenta usar, nos echará de la sesión a nosotros) y que los ordenadores “de confianza” siempre se muestran en el cliente de mensajería.

Aunque esta técnica es bastante complicada de llevar a la práctica, no es la única que se aprovecha de los códigos QR para hackear WhatsApp, y un ejemplo de ello es QRLJacking.

Así funciona QRLJacking, la técnica para hackear WhatsApp utilizando un solo código QR

QRLJacking es un sencillo vector de ataque informático basado, principalmente, en la ingeniería social con el que simplemente debemos engañar a un usuario para que escanee un código QR con la aplicación que deseamos hackear, por ejemplo, WhatsApp, para poder tomar el control de su sesión de forma remota.

Para llevar a cabo este ataque, lo único que necesitamos es acceder al repositorio oficial de QRLJacking y descargar lo necesario para ponerlo en funcionamiento. A continuación, montaremos un servidor web con el fichero “qrHandler.php” encargado de convertir el código de inicio de sesión a base64 y, posteriormente, en una imagen jpg y “phishing.html”, la página que utilizaremos para llevar a cabo el ataque.

Una vez que el servidor está en funcionamiento, necesitaremos un navegador web como Firefox capaz de inyectar el script “WhatsAppQRJackingModule.js” al visitar una web como “https://web.whatsapp.com”. Cuando esta web genera el código QR, el script lo envía al servidor que hayamos configurado en el paso anterior para suplantarlo con el código QR generado por el fichero PHP.

Código QR WhatsApp Falso

Si la víctima cae en este tipo de engaño, el atacante recibe la sesión de WhatsApp en su navegador web. Es decir, en el mismo sitio dónde el plugin de Firefox está inyectando el código JS para capturar el QR Code original de WhatsApp.

Cuando la víctima escanea dicho código (utilizando ingeniería social, por ejemplo, con que nos ha tocado un premio), ya tendremos el control sobre la sesión de WhatsApp de la víctima.

Además de WhatsApp, esta técnica es totalmente funcional con otras muchas aplicaciones y plataformas que basan su inicio de sesión en códigos QR, como AirDroid, Alibaba, Aliexpress, WeChat, Line y Yandex, entre otras.

decir que existe otro vector que el ataque de Man in the Middle en una red de área local. Con este ataque un atacante podría lograr inyectar el QR Code en páginas legítimas, realizando un ataque, quizás, más real. Sea como sea, interesante prueba de concepto que nos ayuda a ver lo fácil que puede ser, en algunas ocasiones, que caigamos ante las múltiples amenazas que tiene Internet. La ingeniería social sigue avanzando y mejorando ante las nuevas tecnologías que van apareciendo, por lo que la concienciación y el buen uso de éstas es algo vital para estar un poco más seguro en la red.

Cómo protegernos del QRLJacking

Como podemos ver, el principal factor de esta técnica de hacking es la ingeniería social, es decir, el engaño. Nadie regala nada a través de Internet, por lo que lo primero que debemos hacer es evitar caer en este tipo de engaños, y mucho menos escaneando código QR de webs o fuentes extrañas, como un banner, con WhatsApp o cualquier otra aplicación.

Además, también debemos evitar iniciar sesión con nuestras cuentas en navegadores y ordenadores que no sean de total confianza, ya que sin la previa instalación e inyección del script JavaScript, esta técnica no podría ser posible.

Por último, en el caso concreto de WhatsApp, nunca está de más revisar los ordenadores que tienen acceso a su aplicación Web, eliminando el permiso a todos de vez en cuando para evitar estos problemas.

————————————————–

Fuente:

redeszone.net

Más información:

http://www.flu-project.com/2017/03/qrljacking-tecnica-con-la-que-los-malos.html

https://github.com/OWASP/QRLJacking/wiki

 

Marzo 13th 2017

Copycat

Número de lecturas: 1384
{lang: 'es-419'}

Cuando estamos realizando un ataque tipo phishing a una determinada web, lo habitual es que clonemos la interfaz de la misma, haciendo creer a la víctima que está en la web real. Normalmente, esta web creada carece de funcionalidad, con lo que es posible que ésta se de cuenta de alguna manera, que algo “raro” está pasando.

Hoy voy a hablaros de una herramienta muy potente, que pretende resolver este problema. Su funcionamiento es sencillo: utilizamos un mapeo de los subdominios a suplantar, de manera que necesitamos que la víctima visite la web con la DNS suplantada. La herramienta realizará el cambio de DNS, y realizará la conexión con la web real, de manera que se mantiene la funcionalidad del sitio original.

Vamos a probar cómo funciona. Necesitamos node.js v6 o superior así que, en este caso, utilizaremos ArchLinux. Primero, instalamos npm, el gestor de paquetes de node.js:

sudo pacman -Syu npm

Clonamos el repositorio:

git clone <a href="https://github.com/compewter/CopyCat" target="_blank">https://github.com/compewter/CopyCat</a>

Ahora, entramos en el directorio e instalamos las dependencias:

npm install

Y listo, falta levantar el servidor. Antes de nada, ajustamos los parámetros en el fichero .env. En este fichero tendremos el mapeo de los subdominios, así como el puerto en el que escuchará el servicio. En el ejemplo, suponiendo que vayamos a suplantar google.com, iría de la siguiente manera:

<a href="http://us-west-1.google.com/" target="_blank">http://us-west-1.google.com</a> -> <a href="http://google.com/" target="_blank">http://google.com</a>
<a href="http://us-west-2.google.com/" target="_blank">http://us-west-2.google.com</a> -> <a href="https://google.com/" target="_blank">https://google.com</a>
<a href="http://us-west-3.google.com/" target="_blank">http://us-west-3.google.com</a> -> <a href="http://www.google.com/" target="_blank">http://www.google.com</a>
<a href="http://us-west-4.google.com/" target="_blank">http://us-west-4.google.com</a> -> <a href="https://www.google.com/" target="_blank">https://www.google.com</a>

Una vez que hayamos editado y mapeado los subdominios a conveniencia, levantamos el servicio con:

sudo node server.js

Vamos a editar nuestro /etc/hosts para realizar la prueba conveniente, añadiendo, por ejemplo:

127.0.0.1 <a href="http://us-west-1.google.com/" target="_blank">us-west-1.google.com</a>
127.0.0.1 <a href="http://us-west-2.google.com/" target="_blank">us-west-2.google.com</a>
127.0.0.1 <a href="http://us-west-3.google.com/" target="_blank">us-west-3.google.com</a>
127.0.0.1 <a href="http://us-west-4.google.com/" target="_blank">us-west-4.google.com</a>

Ahora, abrimos un navegador y nos dirigimos a http://us-west-4.google.com. Podemos ver en el terminal, todos los pasos que estamos haciendo.

 

Es una herramienta con gran potencial y será interesante ver cómo continúa avanzando.

Fuente:

hacking-etico.com

Marzo 10th 2017

Los tipos de “Blue-Hacking”

Número de lecturas: 1570
{lang: 'es-419'}

Bluesnarfing

  • Cómo funciona: Para realizar un ataque Bluesnarfing se puede utilizar un ordenador portátil con una antena conectada que escanea la frecuencia que utiliza el sistema Bluetooh de los teléfonos móviles. El software necesario, que se ejecuta desde el ordenador, se encuentra disponible en Internet, según diferentes fuentes, junto con información para utilizarlo. En este tipo de ataque el phreaker (nombre que reciben los hacker telefónicos) necesita estar a un máximo de unos 15 metros de distancia de su objetivo, dado que ese es el rango mayor de transmisión de los dispositivos Bluetooh. Una distancia que sin embargo puede ser salvada utilizando Bluesniper.
  • Dónde: Un Bluesnarfer que salga simplemente a la caza, sin un objetivo concreto, puede por ejemplo colocarse discretamente en una cafetería, en centros comerciales, o en aeropuertos donde los pasajeros se apresuran usar sus teléfonos móviles en cuanto hacen su salida. También pueden camuflar su ordenador en un maletín y deambular hasta que encuentren teléfonos vulnerables. Sólo se precisan 15 segundos para identificar un móvil que puede ser atacado.
  • Qué se obtiene: Tras localizar un móvil desprotegido, bastan otros 15 segundos para descargar completamente la agenda telefónica de la víctima. Con el Bluesnarfer también se puede obtener el calendario con las citas anotadas, fotos, los e.mails recibidos, textos guardados en el móvil entre los que pueden haber PINS o mensajes confidenciales… y no queda ningún rastro del ataque.
  • Salvando las distancias con Bluesniping: Uno de los argumentos dados por las principales compañías de teléfonos móviles para restar importancia a estos ataques a móviles con Bluetooth es que el phreaker tiene que estar dentro del rango de cobertura de un máximo de 10 a 15 metros de los dispositivos Bluetooth para realizar su ataque y que eso limita su capacidad de acción. Pero algunos hackers se han encargado de demostrar que la distancia no es un problema gracias a un artilugio que han dado en llamar Bluesniper, una especie de rifle de francotirador (de ahí su nombre inglés) que en realidad está equipado con una antena capaz de captar la frecuencia Bluetooh desde larga distancia y así realizar un ataque Bluesnarfing o Bluebugging. Mediante el Bluesniping es posible atacar a un teléfono desde una distancia de hasta unos dos quilómetros, simplemente utilizando un ordenador portátil conectado a una antena con una ganancia de 19dbi. Los bluesnipers afirman que el material necesario para construir el rifle antena se puede encontrar en cualquier tienda de electrónica especializada.

Bluebugging
Al igual que con el Bluesnarfing, en principio el hacker precisa estar dentro del rango de comunicación de 10 a 15 metros en el que se mueven los dispositivos Bluetooth, pero ese radio de acción no constituye un problema para un bluesniper. Y también con un laptop y el software necesario el ataque se puede realizar en tan sólo unos segundos, sin que la víctima tenga conocimiento. Según Trinite.org, organización creada por Martin Herfurt, el bluebug permite a un phreaker un dominio casi absoluto de un móvil ajeno, desde realizar llamadas hasta cambiar a la compañía que provee el servicio y todo ello con graves consecuencias para el usuario atacado.

El Bluebug puede realizar los siguiente y producir estos perjuicios.
Realizar llamadas:
– Daño financiero: el hacker puede, por ejemplo, obligar al teléfono de su víctima a realizar llamadas a líneas de tarifación especial, ya sea por obtener interés económico propio o simplemente por gastar una broma muy pesada; la víctima no se daría cuenta hasta que le llegara la factura telefónica y tuviera que litigar para intentar demostrar que no realizó voluntariamente esas conexiones.
– Espionaje: Otro caso puede ser el que se obligue al teléfono secuestrado a realizar una llamada silenciosa al teléfono del hacker, con lo que éste podría escuchar lo que se dice en una conversación confidencial o en una importante reunión de negocios, hasta que la víctima cuelgue su teléfono tras tal vez pensar que marcó descuidadamente. La víctima podría también darse cuenta cuando recibiera una factura detallada de las llamadas realizadas pero tal vez le pasara desapercibida entre todos los números y, en cualquier caso, el hacker a buen seguro que habría utilizado un teléfono con tarjeta prepagada y desechable.

Enviar mensajes SMS a cualquier número:
– Conocer el número de teléfono: aunque el hacker haya secuestrado un teléfono, puede ser que no conozca el número. Para saberlo le bastará con hacer enviar un mensaje SMS desde el móvil de la víctima a su propio móvil.
– Daño financiero: mediante el bluebugging se puede obligar a enviar SMS como los que sirven para comprar nuevas sintonías o logos; el hacker podría convertirse en el beneficiario del pago de esos mensajes e, incluso, si el móvil atacado puede realizar micropagos podría ordenar transferencias a una cuenta propia.
– Localizar a la víctima: los servicios de localización vía GSM permiten encontrar a una persona mediante un identificador GSM global que incorporan algunos móviles. Pero para ello el usuario debe autorizarlo mediante el envío de un mensaje SMS. El hacker puede hacer que se produzca el envío de ese mensaje y a partir de ello hacer posible la localización en cualquier momento de esa persona.
– Descubrir secretos: la descarga y lectura de los mensajes SMS, enviados con la confianza de tratarse de una comunicación confidencial, puede revelar asuntos privados lo que en sus últimas instancias puede dar lugar a chantajes o cuanto menos a la divulgación de información no deseada.

Intervenir la agenda telefónica:
– Averiguar llamadas entrantes y salientes: las agendas teléfonicas de los móviles GSM también gestionan las listas de llamadas con lo cual su descarga por parte del hacker le permitiría conocer a quién ha llamado su víctima o quién ha llamado o intentado llamarla.
– Cambiar los números: es posible cambiar los números de teléfono asignados a las diferentes entradas, por ejemplo que cuando se ordene llamar a “casa” el número marcado sea el de un restaurante o cualquier otro. Según cómo se cambien los números esto puede llegar a poner en un serio compromiso a la víctima.

Otros:
– Cambiar el número de llamada saliente: si el hacker hace esto, alguien que llame al móvil verá en su identificador un número distinto de la persona con quien está conectando, lo cual cuanto menos puede crear una situación de confusión.
– Conectar a Internet: haciendo bluebugging, se puede establecer una conexión a Internet desde el teléfono de la víctima, lo cual el hacker puede utilizar, por ejemplo, para enviar virus de manera que nadie pueda hallar la auténtica fuente de origen.
– Cambiar la compañía de teléfono: un ataque bluebug puede registrar el teléfono con una compañía diferente de la que la víctima tiene contratado su servicio, con lo cual sus llamadas posteriores serían facturadas por la compañía elegida por el hacker.

Bluejacking
El Bluejacking puede parecer el más inofensivo de los hackings que aprovechan los fallos de seguridad de la tecnología Bluetooth. Más que de un ataque se trataría de una intromisión y sin duda está mucho más extendido que el Bluesnarfing o el Bluebugging hasta el punto de que ha llegado a convertirse en una especie de moda entre numerosos usuarios, que utilizan el Bluejacking para enviar mensajes SMS gratis. Mediante este sistema sólo es posible enviar SMS de manera anónima pero precisamente en ello también encuentran la gracia los bluejackers, que lo conciben como algo parecido a “hablar por hablar” o intentar descubrir quién ha podido enviar el mensaje.

  • Dónde: para hacer un bluejacking se debe estar igualmente en el ámbito de acción de los 10 metros de la tecnología Bluetooth. Un bluejacker preferirá un lugar muy concurrido, como un centro comercial, para que sus mensajes lleguen al mayor número de personas.
  • Cómo: desde un móvil con el Bluetooh activado se debe crear un nuevo contacto en la agenda de direcciones pero en el campo del nombre se introduce el mensaje que se quiere enviar, ya sea texto o multimedia, y entonces el teléfono envía ese mensaje vía SMS a otros terminales con Bluetooth que estén dentro del campo de acción.
  • Diversión o molestia: según foros de bluejackers en Internet, a veces se llegan a crear chats de mensajes en los que participan numerosas personas sin saber quién es quién. Aunque algunos bluejackers han llegado a crear un código ético, esta actuación que en el mejor de los casos puede ser interpretada como algo interesante en lo que participar, para otras personas puede resultar una broma divertida o pesada, una molesta situación o incluso una intromisión en la privacidad.

Fuente:

tonicarpio.com