Suscribete a Mi Canal en YOUTUBE

==> da CLIC AQUÍ

Canal netamente académico donde usted comprenderá como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

Suscribete a Mi TWITTER

==> da CLIC AQUÍ

viernes, 15 de diciembre de 2017

PLATAFORMA DE DESAFIOS EN ESPAÑOL: ATENEA plataforma de desafíos de seguridad.

ATENEA es una plataforma de desafíos de seguridad informática compuesta por diferentes retos que abarcan diferentes campos, como Criptografía y Esteganografía, Exploiting, Forense, Networking y Reversing, entre otros.



Ha sido desarrollada por el CCN-CERT, Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscrito al Centro Nacional de Inteligencia, CNI. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español.


El juego está orientado para cualquier persona con inquietudes en el campo de la seguridad informática, siendo estos los principales objetivos que se persiguen: 

  • Concienciar al personal TIC sobre los riesgos de la seguridad informática.
  • Involucrar a todo aquél con experiencia en seguridad TIC.
  • Mostrar a las personas con menos experiencia en la seguridad TIC que los retos son divertidos y que la seguridad no es una ciencia secreta que nunca entenderán.

Reglas

Registrándote en la plataforma, estás aceptando las siguientes normas: 
  1. Resolver un desafío que valga X puntos te dará X puntos. Si eres el primero en resolverlo, figurarás en el panel de puntuaciones con una mención de medalla de oro. El segundo obtiene una mención de plata. El tercero obtiene una mención de medalla de bronce y el resto de concursantes, solamente los puntos correspondientes
  2. No están permitidos los ataques de Denegación de Servicio
  3. No están permitidos los escaneos automatizados contra la plataforma
  4. No se permiten ataques destructivos (no modifiques ningún desafío, ya perjudicarás el juego de otros jugadores)
  5. Como norma general, mantener el objetivo en los puntos que están explícitamente indicados para ello
  6. Si aún así encuentras una vulnerabilidad en nuestra infraestructura o algún atajo para resolver un desafío con más facilidad, por favor, infórmanos en security@atenea.ccn-cert.cni.es y obtendrás reconocimiento y puntos de bonificación por ello
  7. Los organizadores pueden cambiar las reglas a lo largo del desafío
  8. Ocasionalmente, y en función del número de jugadores que finalicen un determinado desafío, así como basado en el tiempo que hayan utilizado para ello, es posible que se proporcione alguna pista adicional
  9. Los jugadores que rompan estas reglas podrán ser penalizados o incluso expulsados de forma permamente de la plataforma
Finalmente, y la normal más importante de todas, disfrutad de los desafíos que os hemos preparado!

Solución a los retos

La solución de los retos (flag) se ha estandarizado con el siguiente formato:

flag{md5}

Esto quiere decir que si, por ejemplo, has obtenido como solución a un determinado reto la cadena Atenea1337, deberás calcular su md5 y meterlo entre flag{_VALOR_} previamente al envío a la plataforma.

Para el ejemplo de la cadena anterior, el procedimiento sería el siguiente:

  • Calcular el md5 de la cadena Atenea1337: f3ac2c5e9137453a2252e77b8d6c75f4
  • Añadirle flag{ al principio: flag{f3ac2c5e9137453a2252e77b8d6c75f4
  • Añadirle } al final: flag{f3ac2c5e9137453a2252e77b8d6c75f4}
    De manera que flag{f3ac2c5e9137453a2252e77b8d6c75f4} sería lo que tendrías que introducir como solución al reto.

    Nota: Si no tienes experiencia en seguridad informática te aconsejamos que comiences realizando los retos de la categoría Básica.



    ____________________________________________________________________
    Tomado de: http://blog.segu-info.com.ar/2017/12/atenea-desafios-de-seguridad-del-ccn.html
    Se Respetan Derechos de Autor.

    Firefox 59 va a marcar HTTP como INSEGURO.

    HTTPS cifra la conexión para protegerla contra la manipulación o el espionaje. Muchos factores como las búsquedas de Google y las propias compañías de navegadores, empujan a que cada vez la cifra de páginas que optan por el HTTPS se vea en aumento año tras año.


    La mayoría de los navegadores web marcarán los sitios web que no son HTTPS como inseguros a partir de 2018. Este plan ya está en marcha. Google Chrome, por ejemplo, marca los sitios HTTP con contraseña o campos de tarjetas de crédito como inseguros. Mozilla, por su parte, ha anunciado planes para depreciar el HTTP no seguro en Firefox. Además resalta las páginas HTTP con campos de contraseña.
    Mozilla ha agregado un cambio de configuración a Firefox 59, actualmente disponible en el canal Nightly. Este cambio marca cualquier sitio HTTP como inseguro en el navegador web.
    Firefox muestra un símbolo de bloqueo en sitios no seguros. Al hacer clic en el icono, se visualiza la notificación “la conexión no es segura” que muestra las versiones actuales de Firefox.


    El cambio hace que el hecho de que la conexión del sitio no sea segura sea más visible en el navegador. Solo es cuestión de tiempo hasta que esto se implemente directamente para que los usuarios ya no tengan que voltear el interruptor para realizar el cambio.
    Realizar el cambio en Firefox 59
    Podemos realizar el cambio ahora en Firefox 59 de la siguiente manera:
    1. Cargar about:config?filter=security.insecure_connection_icon.enabled en la barra de direcciones del navegador.
    2. Hacer doble clic en preferencias.
    Un valor verdadero habilita el icono de conexión insegura en la barra de direcciones del navegador. Un valor de falsos vuelve al estado predeterminado.
    Los usuarios de Firefox que solo quieran el indicador en modo de navegación privada también pueden hacer eso:
    1. Cargar about:config?filter=security.insecure_connection_icon.pbmode.enabled en la barra de direcciones.
    2. Hacer clic en el valor.
    Un valor verdadero muestra el nuevo icono, un valor falso no.
    Es solo cuestión de tiempo antes de que los navegadores como Chrome o Firefox marquen cualquier sitio HTTP como inseguro en el navegador. Los sitios web que todavía usan HTTP en este momento probablemente verán una caída en las visitas debido a eso.
    La seguridad es uno de los aspectos más importantes a la hora de navegar. Por ello es conveniente contar con programas y herramientas de seguridad. Además deben de estar actualizadas a la última versión. Sólo así podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento de nuestro equipo.





    Pero si hay algo importante dentro de la seguridad, es el sentido común. La mayoría de troyanos, ransomware y otras amenazas necesitan la interacción del usuario. Por ello siempre debemos de estar alerta.

    __________________________________________________
    Tomado de: https://www.redeszone.net/2017/12/14/firefox-59-va-marcar-http-inseguro/
    Se Respetan Derechos de Autor

    lunes, 11 de diciembre de 2017

    Encuentran una grave vulnerabilidad RCE en el motor de Windows Defender y Microsoft Security Essentials.

    Malware Protection Engine es el motor de protección contra malware de Microsoft incluido en sus sistemas operativos de última generación, desde Windows 7 hasta el último Windows 10. Este motor antimalware es el utilizado por las herramientas de seguridad Windows Defender y Microsoft Security Essentials para proteger a los usuarios de las distintas amenazas que ponen en peligro su seguridad. A pesar de que se trata de un motor bastante robusto, en ocasiones se ha visto afectado por graves fallos de seguridad, poniéndose de nuevo en evidencia este fin de semana debido a una nueva vulnerabilidad bastante grave que ha puesto en peligro a los usuarios.


    Este fin de semana se deba a conocer una nueva vulnerabilidad en el motor anti-malware de Microsoft. Esta nueva vulnerabilidad, registrada como CVE-2017-11937, es un fallo de seguridad del tipo RCE, ejecución de código remoto, que permite que, al utilizar un archivo especialmente modificado, se pueda causar una corrupción de memoria en el sistema, corrupción por la que el atacante podría llegar a ejecutar código en el sistema con el máximo nivel de privilegios.
    Explotando correctamente esta vulnerabilidad, un pirata informático podría llegar a tomar el control completo del sistema, convirtiéndose así en el administrador del equipo y pudiendo hacer cualquier cosa con él.
    Este fallo de seguridad afecta por igual a las últimas versiones de Windows, desde Windows 7 hasta 8, 8.1, 8.1 RT e incluso Windows 10. Además, varios productos de la compañía están afectados por esta vulnerabilidad, tanto los conocidos software de seguridad Windows Defender y Microsoft Security Essentials, como otras más avanzadas y profesionales como Endpoint Protection, Forefront Endpoint Protection y Exchange Server 2013 y 2016.
    Los archivos modificados pueden llegar de distintas formas, tanto desde el propio navegador como a través del correo electrónico o distintos clientes de mensajería instantánea.


    La versión de Microsoft Malware Protection vulnerable a este fallo de seguridad es 1.1.14306.0. Microsoft ha lanzado ya una actualización para su motor de seguridad con la que corrige este fallo de seguridad, la versión 1.1.14405.2, actualización que debería llegar de forma automática a todos los usuarios, y podemos comprobar si se ha instalado y estamos protegidos de esta grave vulnerabilidad desde Windows Defender.
    Versión Motor Windows Defender actualizada vulnerabilidad RCE

    No todo es Windows Defender, esta semana también llegarán los nuevos parches de seguridad de diciembre de Microsoft

    Este parche de emergencia para el motor antivirus de Microsoft llega apenas dos días antes del lanzamiento previsto de los nuevos parches de seguridad de la compañía.




    Mañana por la tarde, ya de cara al miércoles en España, Microsoft lanzará sus nuevos parches de seguridad correspondientes a diciembre de 2017, los últimos parches de seguridad de este año que solucionarán las vulnerabilidades que hayan sido detectadas en Windows, Internet Explorer y Microsoft Edge, principalmente, a lo largo de este último mes.
    _________________________________________________________________________
    Tomado de:   https://www.redeszone.net/2017/12/11/grave-vulnerabilidad-rce-windows-defender/
    Se Respetan Derechos de Autor.

    Anti-Paywall, la extensión que evita los muros de pago al navegar !




    Seguro que en alguna ocasión nos hemos encontrado que, navegando, no podemos seguir leyendo un artículo. Nos piden que nos suscribamos. Esto ocurre con muchos periódicos digitales. Es una forma más de obtener recursos. A fin de cuentas estamos leyendo lo mismo que leeríamos al comprar la edición impresa. Sin embargo existe una extensión que se llama Anti-Paywall que evita encontrarnos con este muro de pago. Nos permite seguir leyendo un artículo en diferentes páginas que utilizan este método.

    Anti-Paywall

    No funciona con todos, pero existe una lista considerable de sitios donde actúa correctamente. Muchas veces podemos ser usuarios puntuales, que nos encontramos con una noticia un día determinado y no queremos pagar por suscribirnos a un servicio que realmente no vamos a utilizar más allá de ese momento.


    Anti-Paywall es una extensión que está disponible para Google Chrome y Mozilla Firefox. La extensión funciona automáticamente sin que tengamos que hacer nada. Si vemos el código fuente, observaremos que utiliza varios medios, como Google Bot, cookies o referer, para eludir el paywall.
    Está disponible para muchos periódicos digitales y otras páginas web. Algunos como Chicago Business, Independent, The Times o Washington Post.
    En mi caso personal lo he probado para el navegador Google Chrome. Me ha funcionado sin problemas. Simplemente hay que añadir la extensión y podemos comprobar cómo estos periódicos digitales que nos piden suscribirnos al intentar leer un artículo, ahora, de forma automática, podemos leernos.
    He podido acceder a los artículos sin problema. En ningún momento ha aparecido nada para que me suscriba. Depende del sitio, en ocasiones nos permiten leer parte de una noticia o directamente nos bloquean el acceso a todo el contenido. Con Anti-Paywall eludimos este problema.
    Para los usuarios que utilicen Mozilla Firefox, el proceso es similar. Necesitan añadir la extensión y todo es automático. Una vez lo tienen activo, al navegar no aparecerá la ventana emergente para suscribirnos al leer un artículo o página cerrada.

    Sistemas Paywall

    Los sistemas de Paywall están diseñados para evitar que cualquiera, excepto los suscriptores, acceda a cierto contenido en Internet. Especialmente los sitios de periódicos usan la función para limitar el acceso al contenido y para atraer a los visitantes a suscribirse para que puedan acceder al contenido durante el período de suscripción.


    Sin embargo, los no suscriptores tienen problemas con estos sitios. Como hemos mencionado, puede que un artículo o toda una web no esté disponible a no ser que seamos suscriptores.Hay que tener en cuenta que las extensiones como Anti-Paywall necesitan una actualización constante a medida que los sitios realizan modificaciones en los sistemas que usan regularmente. Algunas opciones funcionaron durante un tiempo pero dejaron de hacerlo.
    Es por ello que podemos encontrarnos con algún problema a la hora de visitar un determinado periódico digital, por ejemplo. Puede ocurrir que hayan mejorado el sistema para evitar que Anti-Paywall permita a los usuarios acceder sin suscribirse.
    Podemos leer más sobre este proyecto y las páginas disponibles en este link de GitHub.

    _______________________________________________________________________
    Tomado de:  https://www.redeszone.net/2017/12/11/anti-paywall-la-extension-evita-los-muros-pago-al-navegar/
    Se Respetan Derechos de Autor

    viernes, 8 de diciembre de 2017

    HC7, un ransomware que se distribuye a equipos Windows utilizando Escritorio Remoto.

    Si eres usuario de un equipo con sistema operativo Windows debe prestar mucha atención a esta noticia. Expertos en seguridad han descubierto un nuevo ransomware que está sembrando el caos. Además de cifrar la información una vez alcanza el equipo, han descubierto que su principal vía de difusión es utilizando la aplicación de Escritorio Remoto.  Anteriormente, miles de equipos se vieron afectados por HC6.


    Sin embargo, pasado un espacio muy corto de tiempo, los expertos en seguridad llegaron a la conclusión de que los archivos cifrados por esta amenaza podían descifrarse. Poco tiempo después, la herramienta para recuperar el acceso a la información ya estaba disponible. Pero tal y como ha sucedido con amenazas similares, sus propietarios no se sienten satisfechos. Por este motivo, han trabajado duro en publicar desarrollar una nueva versión.
    Los archivos afectados por la versión anterior eran recuperables por un error por parte del propietario: almacenar la clave de cifrado de forma local en el equipo infectado y sin ningún tipo de protección. Este error ya no existe con la llegada de HC7, lo que quiere decir que, por el momento, la información afectada por este ransomware no se puede recuperar.
    La amenaza se está distribuyendo utilizando la aplicación de Escritorio Remoto. Para ser más precisos, los ciberdelincuentes se sirven de cuentas cuya seguridad deja que desear, utilizando claves obvias que se pueden encontrar en diccionarios existentes en Internet.
    Pero esta no es la característica más destacable de esta amenaza.

    HC7 utiliza PSExec para distribuirse a otros equipos

    Los expertos en seguridad han realizado un análisis exhaustivo del comportamiento de la amenaza una vez alcanza el equipo. Además de cifrar los archivos ubicados en determinadas carpetas, los expertos en seguridad han detectado que posee la capacidad de distribuirse a otros equipos haciendo uso de PSExec. Para todos aquellos que no conozcan esta utilidad, indicar que se trata de una aplicación que sustituye a Telnet en algunos aspectos y que permite la ejecución de comandos en otros equipos de forma remota.


    Es decir, si el ransomware HC7 alcanza un equipo ubicado en una red interna de una empresa, una gran cantidad de equipos podrían verse afectados con solo utilizar esta aplicación.
    Todos los archivos cifrados se les añade la extensión GOTYA. De acuerdo con Bleeping Computer, estos son las extensiones de los archivos que se pueden ver afectados:
    .001, .3fr, .3gp, .7z, .ARC, .DOT, .MYD, .MYI, .NEF, .PAQ, .SQLITE3, .SQLITEDB, .accdb, .aes, .ai, .apk, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11 (Security copy), .ncf, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .txt, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp, wallet.dat
    Una vez realizado el proceso, la amenaza genera un fichero de texto llamado RECOVERY.txt, en el que se pueden encontrar las instrucciones para recuperar el acceso a la información cifrada. Los ciberdelincuentes ofrecen el ID de un monedero Bitcoin en el que el usuario deberá abonar 700 dólares si se quiere recuperar el acceso a los archivos de ese equipo o 5.000 dólares para recuperar también el del resto de equipos infectados de una misma red.
    Es posible recuperar la clave de cifrado
    Ahora que no está almacenada en el dispositivo infectado, los expertos en seguridad han encontrado la forma de recuperar esta información en la mayoría de los casos. Es necesario analizar la RAM para encontrar esta clave, aunque en muchos casos es un proceso mucho más duro que en otros.




    Los usuarios afectados pueden utilizar esta aplicación para rastrear su RAM. Una vez encontrada, se pueden servir de este software para realizar el descifrado de los datos. Es decir, la aplicación para recuperar los archivos afectados por HC6.

    ________________________________________________________________________
    Tomado de:  https://www.redeszone.net/2017/12/08/hc7-ransomware-se-distribuye-equipos-windows-utilizando-escritorio-remoto/
    Se Respetan Derechos de Autor.