Archive for Seguridad Informática

May 11th 2020

Instalar las herramientas de Kali en Ubuntu 20.04 LTS

Número de lecturas: 410

Instalar las herramientas de Kali en Ubuntu 20.04 LTS Focal Fossa y, en otras versiones junto con sus derivados.

Katoolin es un script escrito en Python, que instala las herramientas de Kali Linux en Ubuntu y otros sistemas basados ??en Debian.

No importa su eres un analista de seguridad, o un aficionado entusiasta. Katoolin nos permite instalar cualquier herramienta de Kali Linux (o todas), en un abrir y cerrar de ojos. Los requisitos son sencillos:

  • Python igual o superior a la versión 3.5
  • Git es necesario
  • sh, bash
  • python3-apt

En el artículo de hoy veras que sencillo es el proceso de instalar Katoolin, así como su uso.

 

Instalar las herramientas de Kali en Ubuntu 20.04

Para crear el manual, hemos utilizado un Ubuntu 20.04 server. El proceso de instalación es el mismo en Ubuntu 18.04 y otros derivados.

Comenzamos actualizando e instalando GIT.

sudo apt install git
sudo apt install git

Agregamos el repositorio Universe.

sudo add-apt-repository universe

Actualizamos de nuevo y clonamos desde Githup la herramienta Katoolin3.

sudo apt update
sudo git clone https://github.com/s-h-3-l-l/katoolin3

Una vez clonado, acedemos al directorio, concedemos permisos de ejecución e instalamos la herramienta.

cd katoolin3/
chmod +x ./install.sh
sudo ./install.sh

Comienza la instalación…

Instalar las herramientas de Kali en Ubuntu

Instalar las herramientas de Kali en Ubuntu

Al terminar la instalación veras algo similar a lo siguiente.

Executing: /tmp/apt-key-gpghome.AFi1c4l47u/gpg.1.sh -qq –keyserver pool.sks-keyservers.net –recv-keys ED444FF07D8D0BF6
Successfully installed.
Run it with ‘sudo katoolin3’.

Te recomiendo reiniciar el sistema.

sudo reboot

Una vez inicie el sistema de nuevo, lanzamos katoolin3 con el comando que nos indico en su proceso de instalación.

sudo katoolin3

Ahora nos aparece el menú general, puedes instalar la herramienta que necesites o incluso todas.

Main Menu
0) View Categories              
1) Install All                  
2) Uninstall All                
3) Search repository            
4) List installed packages      
5) List not installed packages  
6) Install Kali Menu            
7) Uninstall old katoolin       
8) Help                         
9) Exit

Como ejemplo… si pulsas la tecla numérica «0», vemos las categorías de las herramientas a instalar. Selecciona según tu interés o necesidad.

Main Menu
0) View Categories              
1) Install All                  
2) Uninstall All                
3) Search repository            
4) List installed packages      
5) List not installed packages  
6) Install Kali Menu            
7) Uninstall old katoolin       
8) Help                         
9) Exit                         
 
kat> 0
 
Select a Category
0) Exploitation Tools     8) Sniffing & Spoofing
1) Forensics Tools        9) Stress Testing
2) Hardware Hacking       10) Vulnerability Analysis
3) Information Gathering  11) Web Applications
4) Maintaining Access     12) Wireless Attacks
5) Password Attacks       13) HELP
6) Reporting Tools        14) BACK
7) Reverse Engineering    
 
kat>

Si quieres desinstalar katoolin, es proceso es sencillo (incluye su propio script). Sigue los pasos indicados.

cd katoolin3/
chmod +x ./uninstall.sh
sudo ./uninstall.sh

Utiliza las herramientas de Kali en Ubuntu con prudencia y responsabilidad. Recuerda que puedes incurrir en graves delitos penados por ley. No seas pirata.

Fuente:

sololinux.es

April 17th 2020

Nueva ola de correos spam incluyen contraseñas de usuarios en el asunto

Número de lecturas: 442

Desde la semana pasada una nueva ola de correos spam buscan engañar a los usuarios utilizando viejas contraseñas que se filtraron en antiguas brechas de datos.

A fines de la semana pasada comenzamos a detectar una nueva ola de correos spam en varios países de la región y también de Europa, distribuyendo una conocida campaña de sextorsión en la que los cibercriminales incluyen en el asunto del correo contraseñas de los usuarios (en muchos casos antiguas) que han sido filtradas en brechas de seguridad pasadas que sufrieron distintas plataformas y servicios online.

Este modus operandi lo hemos visto por primera vez en 2018, en una campaña que también incluía la contraseña de las víctimas en el asunto del correo como una supuesta demostración de que los atacantes habían comprometido los dispositivos de las víctimas con un malware. Sin embargo, se trata de un engaño, ya que los cibercriminales no han comprometido los dispositivos, sino que hacen uso de técnicas de ingeniería social para generar pánico en aquellos que reciben estos correos y hacerles creer que realmente accedieron a sus equipos.

Como veremos en algunos ejemplos de correos que han llegado al laboratorio de ESET Latinoamérica y que forman parte de esta nueva campaña de sextorsión, al igual que en sus versiones anteriores, la campaña comienza con un mensaje alarmante para el usuario (la mayoría de las veces en inglés) en el cual, además de incluir una contraseña en apariencia robada al usuario, se comunica a la víctima que fue infectada con un código malicioso al visitar un sitio de pornografía comprometido y que ese malware le permitió al atacante robar su contraseña y tomar control de la cámara web y de la pantalla de la víctima para luego realizar un video del usuario mientras miraba contenido en estos sitios.

Imagen 1. Ejemplo de correo que se está distribuyendo en esta nueva campaña de spam.

Imagen 2. Otro modelo de correo que se ha estado distribuyendo como parte de esta campaña de ingeniería social.

Como parte del engaño, los cibercriminales aclaran en el mensaje que el usuario dispone de 24 horas para enviar el dinero; de lo contrario, enviarán el supuesto video íntimo a todos sus contactos.

Luego de analizar algunos de los casos que nos han llegado de esta nueva campaña que parece haber comenzado entre el 8 y el 9 de abril, no parece que los cibercriminales hayan tenido los resultados esperados; al menos hasta el momento. Al corroborar las billeteras en las que solicitan el pago, las mismas no registran ningún movimiento, situación que difiere de las primeras campañas de 2018 donde los cibercriminales llegaron a recaudar hasta medio millón de dólares.

Imagen 3. Información sobre las transacciones realizadas a la billetera del atacante.

Imagen 4. Información sobre las transacciones realizadas a la billetera del atacante.

Volviendo al ataque, es importante entender que la contraseña robada no surge a partir de un acceso a la máquina del usuario, sino que todo indica que este tipo de campañas aprovechan las grandes filtraciones de datos, tal como la de Collection 1 a 5 con más de 2.200 millones de datos filtrados en febrero del año pasado.

Luego de revisar en el sitio Have I been pwned las direcciones de algunos usuarios que recibieron estos correos, corroboramos que efectivamente las direcciones y contraseñas fueron filtradas en brechas de datos que sufrieron distintos servicios, como LinkedIn, Taringa, MyFitnessPal o Canva, por nombrar algunos.

Imagen 5. La dirección de correo formó parte de cinco brechas de datos diferentes.

Imagen 6. Plataformas y servicios que sufrieron incidentes de seguridad que derivaron en la filtración de información vinculada a la dirección de correo.

Dicho esto, para mitigar este tipo de amenazas, es fundamental contar con una política de cambio de credenciales de manera periódica (inclusive si los sitios no lo solicitan), activar el doble factor de autenticación en todos los servicios y sistemas que así lo permitan, y verificar regularmente si la contraseña utilizada fue parte de una filtración de datos. De esta manera, en caso de recibir este tipo de mensajes, el usuario puede desestimarlo sin entrar en pánico.

Fuente:

welivesecurity.com

 

February 19th 2020

Extraer las claves wifi WPA / WPA2 con Fluxion

Número de lecturas: 5492

Extraer las claves wifi WPA / WPA2 con Fluxion.

A veces, nos podemos encontrar con la situación que necesitemos averiguar las keys wifi de una red a la que (actualmente) no tenemos acceso.

Seguro que muchos conocéis la herramienta linset de vk496, muy buena para ataques MITM (main in the middle) a WPA y WPA2. Sin embargo ya tiene sus años, y no parece que el autor le apetezca actualizarla.

Estamos de suerte, una aplicación llamada Fluxion es su sucesora. Esta herramienta de auditoría de seguridad e ingeniería social, tiene menos errores y más funciones. Con ella puedes recuperar la clave WPA / WPA2 (hakear wifi), de un objetivo lanzando un ataque de ingeniería social (phishing).

 

Extraer las claves wifi WPA / WPA2 con Fluxion

Lo primero que hacemos es instalar fluxion (necesitas git).

Clonamos el repositorio de github.

Video Explicativo:

October 9th 2019

Simjacker: un ataque mediante la SIM

Número de lecturas: 1404

Simjacker: vigilancia de teléfonos basada en la SIM.

Hace poco los expertos de AdaptiveMobile Security descubrieron un método de ataque en teléfonos móviles que se puede llevar a cabo utilizando una computadora normal y un módem USB barato. Mientras que algunos métodos antiguos para la vigilancia de teléfonos móviles requerían un equipo especial y una licencia operativa de telecomunicaciones, este ataque, llamado Simjacker, se aprovecha de una vulnerabilidad encontrada en las tarjetas SIM.

Todo se debe a S@T Browser

La mayoría de las tarjetas SIM que se han puesto a la venta desde principios del 2000, incluidas las eSIM, incluyen un menú sobre el operador. Este menú ofrece información sobre el saldo, opción de recarga, soporte técnico y, a veces, funciones adicionales como el tiempo o, incluso, el horóscopo. En los teléfonos antiguos aparece en el menú principal. Por su parte, iOS lo esconde en los ajustes (en Aplicaciones SIM) y en los teléfonos Android se trata de una aplicación llamada SIM Toolkit.

El menú es básicamente una aplicación (en concreto, varias aplicaciones con el nombre SIM ToolKit [STK]), pero estos programas no se ejecutan en el mismo teléfono, sino en la tarjeta SIM. Recuerda que tu tarjeta SIM es una computadora diminuta con sistema operativo y programa propios. STK responde a comandos externos, por ejemplo, al presionar un botón del menú del operador, y hace que el teléfono ejecute ciertas acciones, como enviar mensaje SMS o comandos USSD.

Una de las aplicaciones que incluye el STK se llama S@T Browser y se utiliza para ver páginas web de un cierto formato y páginas ubicadas en la red interna de la operadora. Por ejemplo, S@T Browser puede suministrar información sobre el saldo de tu cuenta.

La aplicación S@T Browser no se ha actualizado desde el 2009 y, aunque en los dispositivos modernos sus funciones las ejecutan otros programas, S@T Browser se sigue usando de forma activa o, al menos, sigue instalada en muchas tarjetas SIM. Los investigadores no han mencionado las zonas geográficas ni las empresas de telecomunicación en concreto que venden tarjetas Sim con esta aplicación instalada, pero aseguran que hay más de mil millones de personas repartidas en no menos de 30 países que las utilizan, y es precisamente en S@T Browser donde se encuentra la vulnerabilidad de la que estamos hablando.

Los ataques Simjacker

El ataque comienza con un mensaje SMS que contiene una serie de instrucciones para la tarjeta SIM. Siguiendo estas instrucciones, la tarjeta SIM solicita al teléfono móvil su número de serie y el identificador de celular de la estación base en cuya zona de cobertura se encuentre el suscriptor y envía un SMS de respuesta con esta información al número del atacante.

Las coordenadas de las estaciones se conocen (e incluso están disponibles en línea), por lo que el identificador de celular se puede utilizar para determinar la ubicación de los suscriptores que se encuentren a menos de unos cien metros. Los servicios basados en la ubicación dependen del mismo principio para determinar la ubicación sin asistencia satelital, por ejemplo, en interiores o cuando el GPS esté desactivado.

El usuario no se percatará de ningún tipo de manipulación que se realice en la tarjeta SIM. Ni los mensajes SMS entrantes con comandos, ni las respuestas con los datos de la ubicación del dispositivo aparecen en la aplicación de mensajería, por lo que es muy probable que las víctimas de Simjacker ni siquiera sepan que alguien las está espiando.

¿A quién ha afectado Simjacker?

Según AdaptiveMobile Security, los espías han estado rastreando la ubicación de usuarios de varios países no especificados. Y en uno de esos países, terminaron comprometidos entre 100 y 150 números al día. Como norma general, estas solicitudes se suelen enviar solo una vez a la semana; no obstante, los movimientos de algunas víctimas están mucho más monitoreados. De hecho, el equipo de investigación descubrió que varios usuarios recibían cientos de SMS maliciosos a la semana.

Los ataques Simjacker pueden ir mucho más lejos

Los investigadores han descubierto que los cibercriminales no usaban todas las funciones que ofrecía S@T Browser en la tarjeta SIM. Por ejemplo, el SMS se puede utilizar para hacer que el teléfono llame a cualquier número, envíe mensajes con un texto aleatorio a números arbitrarios, abra enlaces en el navegador o, incluso, desactive la tarjeta SIM, dejando a la víctima sin teléfono.

Esta vulnerabilidad da lugar a posibles y numerosas situaciones de ataque, donde los criminales pueden transferir dinero por SMS a un número de cuenta, llamar a números de pago, abrir páginas de phishing en el navegador o descargar troyanos.

Esta vulnerabilidad es especialmente peligrosa porque no depende del dispositivo en el que se inserte la tarjeta SIM vulnerable, sino que el conjunto de comandos STK está estandarizado y es compatible con todos los teléfonos e, incluso, con los dispositivos IdC con SIM. Para algunas operaciones, como realizar una llamada, algunos dispositivos solicitan la confirmación del usuario, pero muchos otros, no.

¿Cómo puede un usuario evitar los ataques Simjacker?

Por desgracia, no existe ningún método independiente para que los usuarios eviten los ataques de tarjeta SIM. Es responsabilidad de las operadoras móviles garantizar la seguridad de sus clientes. Sobre todo, deberían evitar utilizar aplicaciones de menú de SIM desactualizadas, además de bloquear los códigos SMS que contengan comandos peligrosos.

Pero también hay buenas noticias. Aunque no se necesita ningún hardware caro para ejecutar el ataque, sí requiere amplios conocimientos técnicos y capacidades especiales, por lo que es poco probable que cualquier cibercriminal pueda utilizar este método.

Además, los investigadores notificaron al desarrollador S@T Browser, SIMalliance, sobre la vulnerabilidad y, como respuesta, la empresa expidió una serie de directrices de seguridad para los operadores que utilizan la aplicación. Los ataques Simjacker también se notificaron a la Asociación GSM, una organización internacional que representa los intereses de los operadores móviles de todo el mundo. Por tanto, se espera que las empresas tomen todas las medidas de protección necesarias en cuanto tengan la oportunidad.

Fuente:

kaspersky.com