Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

martes, 21 de noviembre de 2017

OWASP publica la edición 2017 de su Top-10 Web Application Security Risks.

Cuatro años después de la última edición, la revisión del ranking OWASP que clasifica los riesgos a los que se enfrentan las aplicaciones se actualiza, incluyendo problemas derivados en las últimas tendencias en arquitecturas web.





El "Open Web Application Security Project" (OWASP) tiene como objetivo ofrecer una metodología, de libre acceso y utilización, que pueda ser utilizada como material de referencia por parte de los arquitectos de software, desarrolladores, fabricantes y profesionales de la seguridad involucrados en el diseño, desarrollo, despliegue y verificación de la seguridad de las aplicaciones y servicios web.

Entre los diversos proyectos orientados a este fin se encuentra el OWASP Top 10. Se trata de un documento orientado a la concienciación que establece un ranking de los mayores riesgos de seguridad a los que hacen frente las aplicaciones web. Esta clasificación nace del consenso de múltiples expertos en seguridad en aplicaciones web, y es actualizada cada 3 o 4 años desde 2003.

Como documento orientado a la concienciación, el objetivo principal del Top 10 es educar a los desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones; sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. Provee técnicas básicas sobre cómo protegerse en estas áreas de alto riesgo y también provee orientación sobre los pasos a seguir.

Las novedades introducidas en esta edición en cuanto a la elaboración del listado son el peso que han tenido los comentarios de la comunidad, a partir de los cuales se han incluido dos de las entradas, y la gran cantidad de información recogida a través de las decenas de profesionales y empresas colaboradoras, que obtuvieron datos de más de 100.000 aplicaciones web y APIs.

Cambios en la clasificación entre la edición 2013 y 2017. Tomado de OWASP.

La larga sombra de los microservicios

Desde la publicación del anterior Top 10, allá por noviembre de 2013, el paisaje de Internet ha cambiado bastante. Por un lado la proliferación de las arquitecturas basadas en  microservicios ha aumentado la superficie de exposición y permite que código antiguo esté expuesto a Internet, cuando anteriormente se situaba detrás de una gran aplicación monolítica. Asimismo, las llamadas entre las APIs que exponen los microservicios también introducen la necesidad de autenticación entre los mismos. 

A esto se une la hegemonía de JavaScript como el lenguaje de la web: por supuesto en el lado del cliente a través de los diversos frameworks disponibles, como Angular o React, pero también en la parte del servidor, donde poco a poco Node.js va reclamando un lugar propio.

Por tanto no es de extrañar que algunas de las nuevas entradas estén bastante relacionadas con este nuevo escenario. Por ejemplo, la entrada "A4 - Entidades Externas XML", que afecta a sistemas que utilizan SOAP para comunicarse, o "A8 - Deserialización insegura", que podría permitir en última instancia la ejecución remota de código y que puede encontrarse en servicios web, brokers de mensajería y autenticación en APIs. Por otro lado, y también elegido con el respaldo de la comunidad, se han introducido en el puesto 10 riesgos derivados del "registro y motorización insuficiente", no como vulnerabilidad, si no como causa principal de una respuesta deficiente a incidentes de seguridad .

El cambio de entorno también ha provocado algunas salidas del ranking. El puesto 10 de 2013, "Redirecciones no válidas" ha desaparecido del ranking (ocupa ahora el puesto 25) al aparecer sólo en el 1% de los datos analizados. Por otro lado, las vulnerabilidades de tipo Cross Site Request Forgery, el puesto 8 en 2013, ahora solo se da en menos del 5% de las aplicaciones web estudiadas, principalmente debido a que los frameworks actuales incluyen protección contra CSRF de serie.



Pero hay cosas que nunca cambian



Por ejemplo, los puestos más altos del ranking. Perenne desde 2010, permanece en el primer puesto la inyección de código: SQL, NoSQL, sistema operativo, y en general cualquier entrada que permita llegar comandos maliciosos directamente al interprete. 

Igualmente, desde 2010 tenemos en segunda posición "Autenticación defectuosa", categoría que engloba los riesgos relacionados con ataques de fuerza bruta, credenciales por defecto, gestión defectuosa de las sesiones y otros muchos problemas de alto riesgo relacionados con la autenticación ante las aplicaciones.

También siguen siendo relevantes el Cross Site Scripting (aunque su presencia decrece y baja al puesto 7) y la exposición de datos sensibles, donde ocurre al contrario: Desde el sexto puesto sube al tercero.

Top 10 2017 con datos de vectores de ataque, debilidad e impacto. Tomado de OWASP.
El Top 10 de OWASP es desde hace años el estándar de facto para el desarrollo seguro de aplicaciones, y es de revisión obligada cuando se realizan auditorías de seguridad. Por ello, el documento publicado no solo ofrece el listado, sino además una completa guía de detección y actuación sobre los riesgos identificados y pasos a seguir para desarrolladores, analistas de seguridad y organizaciones.
__________________________________________________________________
Se Respetan Derechos de Autor.

DNS especializado en bloquear Malware! Público y Nuevo: 9.9.9.9


quad9.png


Tres grandes de internet se han unido para crear un servidor DNS especializado en identificar y bloquear dominios maliciosos con un nuevo servidor DNS público bajo la IP 9.9.9.9.

IBM es quien ha cedido al proyecto Quad9 la singular IP 9.9.9.9 con la que resulta muy fácil recordar la dirección del servicio y que nos recuerda a los famosos 8.8.8.8 de las DNS de Google. Esta IP esconde detrás de si la infraestructura mantenida por PCH, empresa especializada en poner en marcha puntos de intercambio de tráfico y que mantiene la red mundial más extensa de servidores DNS, incluyendo dos servidores raíz. El tercer pilar de Quad9 es son los datos que provee la Global Cyber Alliance, especialistas en análisis de ciber riesgos, y que se encargarán de alimentar al servicio con los datos de sitios identificados como maliciosos desde múltiples fuentes públicas y privadas.





Para empezar a utilizarlo simplemente hay que configurar el DNS primario de nuestro router u ordenador con la IP 9.9.9.9. A partir de ese momento Quad9 analizará cada dominio al que se acceda desde nuestro equipo, bloqueando aquellos que contrastádamente considera maliciosos, por ser utilizados por troyanos, phishing u otras amenazas para engañar o tomar el control de la víctima.

Quad9 asegura que no almacena ningún dato personal o que permita identificar al usuario, empezando por la IP y que en ningún caso se empleará el servicio para otro servicio que no sea la seguridad. La respuesta a un dominio bloqueado no será la redirección a una página de advertencia, como hacen otros servicios similares, sino que responde con un NXDOMAIN. Adicionalmente, la IP 9.9.9.10 responde sin filtrado para poder contrastar los resultados cuando queramos saber si un dominios está bloqueado.

____________________________________________________________
Se Respetan Derechos de Autor.

lunes, 20 de noviembre de 2017

Fallo de Android, permite grabar audio y pantalla de forma remota !

En lo que vamos de 2017 se han descubierto varias vulnerabilidades graves para Android, y hace algunas horas, se ha dado a conocer una nueva que se suma a la lista. Así, un grupo de expertos de seguridad ha detectado un fallo de seguridad en el componente MediaProjection, de Android, el cual puede permitir a un atacante, sin mucha dificultad, capturar y grabar la pantalla y capturar el audio de este sistema operativo móvil. Esta vulnerabilidad está presente en las versiones Lollipop, Marshmallow y Nougat de Android, por lo que se calcula que uno de cada tres smartphones, concretamente el 77.5% de los mismos, es vulnerable a ella.
El componente MediaProjection es la herramienta por defecto de Android para grabar la pantalla y capturar el audio en este sistema operativo. Aunque esta herramienta lleva presente en el sistema ya bastante tiempo, para utilizarla era necesario tener permisos de root, o que los fabricantes la firmaran y habilitaran manualmente en sus roms. Con la llegada de Android 5.0 Lollipop, Google abrió el uso de esta herramienta a todos los usuarios de manera que cualquiera pudiera grabar fácilmente la pantalla de su dispositivo, aunque cuando lo hizo se olvidó de ponerle permisos.
En lugar de tener controlado su funcionamiento a través de los permisos, esta aplicación se puede lanzar con una simple llamada interna del sistema. Cuando esto ocurre, aparece una ventana en la pantalla que no indica que una aplicación está intentando capturar la pantalla y el audio de nuestro dispositivo. Sin embargo, hace un año, expertos de seguridad detectaron un fallo de seguridad (aún sin corregir) en los mensajes de Android que permite saber cuándo un mensaje de este tipo aparece y sobreescribir su contenido por otro texto antes de que el usuario pueda leer el contenido original.
Por suerte, este ataque no es 100% silencioso, y es que mientras se utilizan estas funciones, Android muestra el icono de Cast (el mismo que aparece cuando hacemos streaming con Chromecast), junto con la notificación de retransmisión, en la parte superior de la pantalla y en la pantalla de notificaciones, de manera que podemos saber que algo raro está pasando en nuestro dispositivo.

Los usuarios de Android Oreo ya están protegidos de esta vulnerabilidad. Los demás no, y probablemente no lleguen a estarlo
Google ya solucionó este problema en Android Oreo este otoño, sin embargo, todas las versiones anteriores a 8.0 aún son vulnerables a este ataque, y, por el momento, Google no parece tener intenciones de solucionar la vulnerabilidad.
Desde luego no ha sido un buen año para la seguridad de Android. A lo largo de 2017 hemos podido ver cómo han aparecido distintos fallos de seguridad bastante importantes que han golpeado de lleno a este sistema operativo, fallos como, por ejemplo, Cloak & Dagger, Toast Overlay, el fallo que permite suplantar las notificaciones, e incluso Broadpwn, fallo que también afectó a iOS.
Esperamos que 2018 sea un mejor año para la seguridad de Google, aunque lo que es seguro es que, aunque igual Android 8.0 Oreo no se ve afectado por fallos de seguridad, los usuarios que aún no utilicen esta versión, que al final suponen más del 75% de la cuota de mercado global, seguro que sí están en peligro. Y hasta que Project Treble y las actualizaciones distribuidas directamente por Google no se vuelva un estándar, esto seguirá así.

_______________________________________________________________________________
Tomado de: https://www.redeszone.net/2017/11/20/fallo-seguridad-android-grabar-pantalla-audio/
Se Respetan Derechos de Autor.

sábado, 18 de noviembre de 2017

Tails 3.3, el sistema operativo anónimo ahora usa el Kernel Linux 4.13.

Si tuviéramos que hablar sobre una de las distribuciones Linux más importantes de todas las que podemos encontrar por la red, esta sería, sin duda, Tails. The Amnesic Incognito Live System es una distribución, basada en Debian, cuya principal finalidad es ofrecer a los usuarios un ecosistema seguro y con todo lo necesario para conectarse a Internet de forma anónima y privada a través de la red Tor, donde todo el tráfico queda siempre protegido y cifrado. Para ofrecer la máxima seguridad, este sistema se actualiza de forma periódica, corrigiendo fallos e implementando las nuevas versiones del software, suponiendo esto la reciente llegada de Tails 3.3.

Tails 3.3 llega a todos los usuarios un mes y medio más tarde del lanzamiento de la versión 3.2 de este sistema operativo seguro. Aunque esta versión no supone un gran cambio, y es que sigue estando basada en Debian 9 y los cambios que se han implementado en ella son más bien escasos, sí que se trata de una actualización importante ya que, además de corregir algunos fallos de seguridad, implementa una serie de cambios, que vamos a ver a continuación, con los que pretende seguir creciendo y ofrecer a los usuarios el mejor rendimiento y funcionamiento en general.

Cambios y novedades de Tails 3.3

Sin duda, el principal cambio que se ha implementado en Tails 3.3 es la llegada del Kernel Linux 4.13, la penúltima versión del núcleo de Linux que cuenta con mejoras en la compatibilidad y en la seguridad respecto a las versiones anteriores del mismo. Se desconoce por qué han optado por esta versión del Kernel, ya lanzada en septiembre, en vez de por la 4.14, lanzada hace menos de una semana y que, además, llega como LTS, pero al menos podemos ver cómo los responsables de Tails siguen actualizando los componentes clave de esta distribución.

Kernel Linux 4.14, ya disponible esta nueva versión de Linux

Además del Kernel, esta nueva versión de Tails también ha actualizado todo lo relacionado con el ecosistema Tor. De esta manera, se ha incluido la versión de Tor 0.3.1.8, la cual cuenta con mejoras en el funcionamiento, como un ahorro de ancho de banda considerable cuando se inicia la herramienta, y ahora esta distribución cuenta con Tor Browser 7.0.10, la última versión del navegador optimizado para la red Tor.

También se ha incluido Thunderbird 52.4.0 como cliente de correo por defecto, y se han corregido algunos fallos, tanto de seguridad (parches incluidos en las últimas versiones de Thunderbird y Tor Browser), como de funcionamiento, haciendo que todos los paquetes de esta distribución funcionen sin problemas y de la mejor forma posible.

En el siguiente enlace podemos ver la lista completa de los cambios incluidos en el nuevo Tails 3.3.

Cómo descargar Tails 3.3

Como hemos dicho, esta nueva versión del sistema operativo anónimo ya se encuentra disponible en su página web, por lo que podemos descargarla simplemente visitando el siguiente enlace.

Los usuarios que la tengan instalada en un USB o en un disco duro (aunque esto no es recomendable) podrán actualizar los paquetes desde el propio actualizador de la distribución. Si tenemos una memoria USB sin persistencia con una versión anterior, lo ideal es volver a crear el USB seguro desde la propia herramienta de Tails de manera que podamos usar de forma segura esta nueva versión.

¿Eres usuario de Tails? ¿Has actualizado ya a esta versión?

_____________________________________

Tomado de: https://www.redeszone.net/2017/11/16/descargar-tails-3-3/

Se Respetan Derechos de Autor

viernes, 17 de noviembre de 2017

CapTipper: Analizador de tráfico HTTP malicioso.

CapTipper es una herramienta en python para analizar, explorar y simular el tráfico malicioso HTTP. CapTipper configura un servidor web que actúa exactamente como el servidor del archivo PCAP, y contiene herramientas internas, con una poderosa consola interactiva, para el análisis e inspección de: los hosts, objetos y conversaciones encontradas. La herramienta proporciona al investigador de seguridad un acceso fácil a los archivos y la interpretación del flujo de la red, y es útil cuando se trata de investigar exploits, precondiciones, versiones, ofuscaciones, complementos y shellcodes.


Al alimentar a CapTipper con una captura de tráfico drive-by (por ejemplo, de un kit de exploits) se muestra al usuario los URI de las solicitudes que se enviaron y los metadatos de las respuestas. El usuario puede en este momento entrar en la dirección interna “http://127.0.0.1/[host]/[URI]” y recibir la respuesta nuevamente en el navegador. Además, se lanza un shell interactivo para una investigación más profunda usando varios comandos como: hosts, hexdump, info, ungzip, body, client, dump y más...


CapTipper lanza un pseudo servidor web local que escucha en todas las interfaces (0.0.0.0) y se comporta exactamente como los servidores web involucrados en el archivo PCAP. El servidor no es un servidor web real y no usa ninguna biblioteca de servidor web de python. En su lugar, utiliza la biblioteca SocketServer y el análisis de solicitud. Las respuestas se realizan utilizando el socket bruto. El motivo es que los archivos incluidos en el PCAP no se almacenaran en el sistema de archivos para evitar poner en peligro la máquina de los investigadores en caso de que la herramienta se utilice en una estación de trabajo. De esta forma, tampoco existe ningún problema con la aparición de AntiVirus mientras se manipulan los archivos, ya que solo se almacenan en los “datasets” de memoria de CapTippers (descritos en el núcleo).



CapTipper está escrito en Python y requiere de Python 2.7  para que funcione correctamente. Fue probado en Windows, Linux y Mac, y no requiere ninguna instalación, todos los requisitos previos que pueda necesitar se incluyen en su carpeta de proyectos. Está utilizando una versión modificada de la biblioteca “pcap_parser” para analizar el archivo PCAP. La clase “CapTipper Core” implementa la mayoría de las funciones ejecutadas por la consola y está a cargo de crear y almacenar toda la información de PCAP.



CapTipper admite la realizaición de informes HTML para una visualización y uso compartido y también informes JSON para la recopilación de información posterior a un análisis por parte de un tercero.

Más información y descarga de CapTipper:
https://github.com/omriher/CapTipper

_______________________________________________________________
Tomado de: http://www.gurudelainformatica.es/2017/11/analizador-de-trafico-http-malicioso.html
Se Respetan Derechos de Autor