Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

miércoles, 30 de marzo de 2016

Security Onion, una distribución Linux para auditar la seguridad de una red.


Security Onion

Las amenazas informáticas son, cada vez, más agresivas y peligrosas, especialmente en grandes redes. Por lo general suele ser bastante complicado analizar a fondo una red para garantizar que esta está libre de todo software malicioso, intrusos o malware que establezca conexiones con un servidor remoto, por lo que, para auditar la seguridad de las redes, lo mejor es utilizar un servidor con un sistema operativo especializado en dicha función como Security Onion.

Security Onion es una distribución, basada en Ubuntu, que recopila un gran número de herramientas destinadas al análisis forense, tanto de redes como de sistemas, de manera que podamos garantizar el correcto funcionamiento de todos ellos y la inexistencia de todo tipo de intrusos en la red.

Security Onion viene con una gran variedad de paquetes y herramientas por defecto para auditar la seguridad de todo tipo de redes, entre las que podemos destacar:

    Snort / Suricata (Sistemas de detección de intrusos).
    Squert / Sguil (Monitores de eventos).
    Wireshark / NetworkMiner (Analizadores PCAP).
    Bro / Xplico (Herramientas para análisis forense).

La mayoría de las herramientas incluidas en esta distribución vienen ya configuradas, por lo que simplemente con ejecutar su demonio empezarán a trabajar de forma automática. Security Onion además viene con una interfaz gráfica activada por defecto (a diferencia de otras distribuciones que obligan a ejecutar “startx” o un comando similar para arrancar el entorno gráfico), por lo que la distribución cuenta también con un asistente muy sencillo que nos va a permitir, en cuestión de minutos, montar toda una red de sensores capaces de detectar prácticamente cualquier amenaza presente en cualquiera de los hosts de una red.

Eventos - Security Onion

Si estamos interesados en esta distribución, podemos descargarla de forma totalmente gratuita desde su página web principal.

Los repositorios oficiales nos permiten incorporar las herramientas de Security Onion en cualquier otra distribución

Los responsables de esta distribución han querido facilitar al máximo su uso, y para ello han incorporado todas las herramientas en un repositorio oficial. De esta manera, añadiendo su repositorio al sources.list de otra distribución basada en Debian es posible instalar algunas o todas las herramientas en nuestro sistema habitual, sin tener que instalar desde cero toda la distribución de Security Onion.

__________________________________________________________________
Se Respetan Derechos de Autor.

lunes, 14 de marzo de 2016

Suite completa de herramientas para automatizar test de penetración a sitios Web.

Penetration-Testing-Toolkit es una suite de herramientas para automatizar de test de penetración a sitios Web, utilizando técnicas de: escaneado de una red, exploración de CMS, generación de información de Payloads de Metasploit, consultas DNS,recopilación de información, búsqueda de  la información del dominio, etc.


Entre sus características destaca:









  • Interfaz Web para escáner Nmap.
  • Escanea servidores Web y detecta: archivos peligrosos, versiones no actualizadas, ssl-check, cortafuegos, verificación de puertos, ping-sweep y NetBIOS.
  • Identifica una pagina Web recogiendo datos como: correo electrónico, URL, IP4, dominio...
  • Interfaz Web para theHarvester.
  • Incluye técnicas de Google Hacking.
  • Genera Payloads de Metasploit que no pueden detectarse, para los sistemas: Windows, Linux, OS X y Android.
  • Genera Payloads para Java y webshells  utilizando Metasploit para los lenguajes: PHP, ASP y JSP
  • Crear puertas traseras para Windows, Linux y PDF.
  • Exploración de sitios: Wordpress, Joomla y Drupal.
  • Detectar versiones CMS (BlindElephant Scan).
  • Posee herramientas para: consultas DNS, pruebas IP y pruebas de red.
  • Extrae los enlaces de las página web y comprueba la validez del enlace.
  • Chequea: disponibilidad del dominio, page rank, comprobación de edad del dominio y otros aspectos relacionados con el dominio.

Más información y descarga de Penetration-Testing-Toolkit:
https://sourceforge.net/projects/pentest-lab/?source=directoryue


________________________________________________________
Tomado de: http://www.gurudelainformatica.es/2016/03/suite-completa-de-herramientas-para.html
Se Respetan Derechos de Autor.


CUIDADO: Troyano bancario para Android pretende ser Flash Player y evade doble autenticación.

Los usuarios activos de aplicaciones de banca móvil deben saber que hay una nueva campaña de malware dirigida a clientes de los bancos más importantes en Australia, Nueva Zelanda y Turquía. El troyano bancario para Android, detectado por los productos de seguridad de ESET como Android/Spy.Agent.SI, roba las credenciales de inicio de sesión de 20 aplicaciones de banca móvil.
La lista de bancos afectados incluye los más importantes de estos tres países objetivo (en la sección final del artículo se detalla la lista de bancos completa). Gracias a su capacidad de interceptar las comunicaciones SMS, el malware también es capaz de eludir la autenticación en dos fases basada en SMS.

Análisis

El malware se hace pasar por Flash Player, y su ícono tiene un aspecto legítimo.
Estaba alojado en varios servidores (y lo sigue estando). Los servidores se registraron a fines de enero y en febrero de 2016. Cabe notar que las rutas URL a los archivos APK maliciosos se regeneran a cada hora, quizá para evitar ser detectadas por software antivirus.
Sitios maliciosos que alojan Android/Spy.Agent.SI
Sitios maliciosos que alojan Android/Spy.Agent.SI
Sitios maliciosos que alojan Android/Spy.Agent.SI
Sitios maliciosos que alojan Android/Spy.Agent.SI
Después de descargar e instalar la aplicación móvil, le solicita al usuario que le conceda derechos de administrador de dispositivos. Este mecanismo de autodefensa evita que se pueda desinstalar el malware desde el dispositivo. Aunque el ícono de Flash Player queda oculto a la vista del usuario, permanece activo en segundo plano.
A continuación, se comunica con un servidor remoto. La comunicación entre el cliente y el servidor se codifica en formato Base64. Primero, el malware envía información sobre el dispositivo, como el modelo, el número IMEI, el idioma, la versión del SDK e información que indica si el administrador de dispositivos está activado. Esta información se envía al servidor cada 25 segundos.
Luego reúne los nombres de los paquetes de las aplicaciones instaladas (incluyendo las aplicaciones de banca móvil) y los envía al servidor remoto. Si alguna de las aplicaciones instaladas resulta ser uno de los objetivos del malware, el servidor envía una lista completa de 49 aplicaciones móviles objetivo, aunque no las ataque directamente a todas.
El malware se manifiesta superponiéndose a otra aplicación, es decir, aparece sobre la aplicación de banca activa: esta actividad de phishing se comporta como una pantalla de bloqueo, que solo se quita cuando el usuario ingresa sus credenciales de inicio de sesión. El malware no verifica la veracidad de los datos introducidos, en cambio, los envía a un servidor remoto, momento en el cual se cierra la pantalla maliciosa superpuesta. El malware no se centra únicamente en aplicaciones de banca móvil, sino que también intenta obtener credenciales de la cuenta de Google.
Las primeras versiones eran simples, y su propósito malicioso se identificaba fácilmente. Las versiones posteriores ya presentan mejores tácticas de ofuscación y cifrado.

Resumen del proceso

Si se inicia una de las aplicaciones que constituyen el destino de ataque del malware, este se activa y superpone una pantalla de inicio de sesión falsa sobre la de banca móvil original, sin opción de cerrarla.
Comunicación con el servidor
Comunicación con el servidor
Cuando el usuario completa sus datos personales, la pantalla falsa se cierra y se muestra la banca móvil legítima.
Como se mencionó anteriormente, toda la información que se intercambia entre el dispositivo y el servidor está codificada, a excepción de las credenciales robadas, que se envían como texto sin formato:
Credenciales enviadas como texto sin formato
Credenciales enviadas como texto sin formato
El malware puede incluso evadir la autenticación en dos fases (2FA), ya que, de ser necesario, es capaz de enviarle al servidor todos los mensajes de texto recibidos. Esto le permite al atacante interceptar los mensajes de texto SMS enviados por el banco y eliminarlos inmediatamente del dispositivo del cliente, a fin de no generar ninguna sospecha.

Cómo eliminar el malware

Para desinstalar el malware, se pueden intentar dos métodos diferentes. En el primero, el usuario tiene que desactivar los derechos de administrador y luego desinstalar la aplicación “Flash Player” falsa del dispositivo. La desactivación de los privilegios de administrador puede tener dos resultados posibles.
El más simple es cuando el usuario desactiva primero los derechos de administrador en Configurar -> Seguridad -> Administradores del dispositivo -> Flash Player -> Desactivar, y luego hace caso omiso de la alerta falsa y elige Aceptar:
Figure_4a Figure_4b
El usuario luego podrá desinstalar el malware desde Configurar -> Aplicaciones -> Flash Player -> Desinstalar.
La eliminación puede complicarse mucho más si el dispositivo recibe un comando desde el servidor para no permitir la desactivación de los derechos de administrador de dispositivos. En este caso, cuando el usuario intenta desactivarlo, el programa malicioso crea una actividad de superposición en primer plano, que evita que el usuario haga clic en el botón de confirmación. Por lo tanto, fallará la desactivación de los derechos de administrador:
Pantalla superpuesta mostrada por el malware
Pantalla superpuesta mostrada por el malware
El segundo método para desactivar en forma segura los privilegios de administrador consiste en reiniciar el dispositivo en modo seguro. Cuando se arranca el dispositivo en modo seguro, no se carga ni ejecuta ninguna aplicación de terceros, por lo tanto el usuario puede desactivar en forma segura los privilegios de administrador, al igual que en el primer escenario, y desinstalar efectivamente la aplicación.

Pantallas falsas de inicio de sesión para diversas aplicaciones móviles de banca online

pantallas falsasScreen Shot 2016-03-04 at 15.27.42

Screen Shot 2016-03-04 at 15.28.05Información adicional

Nombre de detección de ESET:

Android/Spy.Agent.SI

Servidores de Comando y Control:

Servidores de C&C
http://94.198.97.202
http://46.105.95.130
http://181.174.164.138

Servidores de descarga:

Servidores de descarga
http://flashplayeerupdate.com/download/
http://adobeflashplaayer.com/download/
http://adobeuploadplayer.com/download/
http://adobeplayerdownload.com/download/
http://adobeupdateplayer.com/download/
http://adobeupdateplayeer.com/download/
http://adobeupdateflash11.com/download/

Bancos objetivo:

Westpac, Bendigo Bank, Commonwealth Bank, St. George Bank, National Australia Bank, Bankwest, Me Bank, ANZ Bank, ASB Bank, Bank of New Zealand, Kiwibank, Wells Fargo, Halkbank, Yapı Kredi Bank, VakıfBank, Garanti Bank, Akbank, Finansbank, Türkiye İş Bankası y Ziraat Bankası.

Nombres de paquetes objetivo:

Nombres de paquetes objetivo
org.westpac.bank
com.westpac.cashtank
au.com.westpac.onlineinvesting
org.banking.westpac.payway
com.rev.mobilebanking.westpac
com.westpac.illuminate
com.bendigobank.mobile
com.commbank.netbank
org.stgeorge.bank
au.com.nab.mobile
au.com.bankwest.mobile
com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
finansbank.enpara
com.pozitron.iscep
com.wf.wellsfargomobile
com.wf.wellsfargomobile.tablet
com.wellsFargo.ceomobile
com.wellsfargo.mobile.merchant
com.tmobtech.halkbank
com.ziraat.ziraatmobil
au.com.mebank.banking
com.anz.android.gomoney
nz.co.anz.android.mobilebanking
nz.co.westpac
nz.co.asb.asbmobile
nz.co.bnz.droidbanking
nz.co.kiwibank.mobile
com.ykb.android
com.vakifbank.mobile
com.garanti.cepsubesi
biz.mobinex.android.apps.cep_sifrematik
com.paypal.android.p2pmobile
com.ebay.mobile
com.skype.raider
com.whatsapp
com.google.android.googlequicksearchbox
com.android.vending
com.google.android.music
com.google.android.apps.plus
com.android.chrome
com.google.android.apps.maps
com.google.android.youtube
com.google.android.apps.photos
com.google.android.apps.books
com.google.android.apps.docs
com.google.android.apps.docs.editors.docs
com.google.android.videos
com.google.android.gm

Hashes:

Hashes
C31E5E31210B08BA07AC6570814473C963A2EF81
6CAD2250EDDF7EDDF0B4D4E7F0B5D24B647CB728
4A788D05DD8849CD60073F15255C166F06611475
EE88D05CF99D8C534FBA60D1DA9045FB7526343A
26A2B328F194B6B75B2CC72705DC928A4260B7E7
4AD1DBB43175A3294A85957E368C89A5E34F7B8C
DB228BB5760BD7054E5E0A408E0C957AAC72A89F
266B572B093DB550778BA7824E32D88639B78AFC
E4FA83A479642792BC89CA3C1553883066A19B6C
644644A30DE78DDCD50238B20BF8A70548FF574C
F1AAAE29071CBC23C33B4282F1C425124234481C
CAC078C80AD1FF909CC9970E3CA552A5865C7963
1C8D0E7BB733FBCEB05C40E0CE26288487655738
FE6AC1915F8C215ECEC227DA6FB341520D68A9C7
BD394E0E626CE74C938DDDF0005C074BC8C5249D
D7E0AFCE7D2C4DE8182C353C7CBA3FAC607EAFC9
A804E43C3AFF3BDAEE24F8ABF460BAA8442F5372
0EF56105CF4DBF1DAE1D91ECE62FC6C4FF8AD05F
9FD295721C1FF87BC862D19F6195FDDE090524D9
57D0870E68AC1B508BC83F24E8A0EBC624E9B104
521F9767104C6CBB5489544063FCE555B94025A6
E5F536408DBB66842D7BB6F0730144FDD877A560
3FA6010874D39B050CA6CA380DAD33CA49A8B82

____________________________________________________________
Tomado de: http://www.welivesecurity.com/la-es/2016/03/09/troyano-bancario-para-android-flash-player/
Se Respetan Derechos de Autor





miércoles, 2 de marzo de 2016

La industrialización del cibercrimen podría estar ante nosotros.

Lentamente, estamos viendo una “industrialización” del cibercrimen, según un experto. El Doctor Adrian Nish, jefe de inteligencia de ciberamenazas en BAE Systems Inc., dijo que los cibercriminales se están “profesionalizando”, según reportó The Telegraph.
Explicó: “Están realizando estafas telefónicas de soporte técnico, escribiendo su propio software que viene con acuerdos de servicio y garantías de devolución de dinero si el código es detectado, con la promesa de reemplazarlo”.

Su software incluye garantías de devolución de dinero si el código es detectado, con la promesa de reemplazarlo

El medio británico también reveló que la parte de la defensa se está enfrentando a rondas implacables de ciberataques. La compañía dijo que, al menos dos veces por semana, se reportan casos de cibercriminales que intentan robar información y secretos; según BAE Systems, integrante del top 3 de contratistas militares a nivel mundial, los atacantes cuentan con el apoyo de gobiernos extranjeros.

Además, añadió que los responsables de las brechas son lo que describe como “sospechosos inusuales”. Estos actores fueron divididos en seis categorías: mulas, profesionales, actores estatales, activistas, escapistas y personas con información privilegiada.

Los escapistas o getaways, por ejemplo, son descriptos como individuos “demasiado jóvenes para ser procesados”, mientras que las mulas son aquellos “ingenuos oportunistas que quizá no se dan cuenta de que trabajan para bandas criminales que lavan dinero”.

Kevin Taylor, jefe de inteligencia aplicada, le dijo a The Telegraph: “Detrás de cada ciberataque hay un humano real con motivaciones y formas de operar. Entender la amenaza, lo que los motiva y cómo funcionan es una de las mejores maneras de defenderse contra ellos”.

 _______________________________________________________________
Se Respetan Derechos de Autor.

Compromisos Académicos.

Estimados lectores,

He estado algo ocupado, dedicandole el poco tiempo que me queda libre a sacar adelante una certificación importante en Seguridad Informática que estoy adelantando. Por eso pido excusas por no mantener actualizado como quisiera este Blog.

Trataré en lo posible de mejorar ese aspecto y Gracias por su visita.

PedroJ

Conoce los riesgos de los sistemas de identificación biométrica.


La identificación biométrica cada día está más presente, la introducción únicamente de contraseñas casi forma parte del pasado, sobre todo en el terreno de los dispositivos móviles donde los actuales buque insignia incorporan identificación por huella dactilar. Sin embargo, los sistemas de identificación biométrica también tienen sus riesgos, y es que por ejemplo si nos roban la identidad, lo hacen para siempre.

Actualmente existen dos tipos de mediciones biométricas, las fisiológicas y las conductuales. Algunos ejemplos de mediciones fisiológicas son por ejemplo el cotejo del ADN, el reconocimiento del oído, el reconocimiento del iris y retina, el reconocimiento facial, la geometría de la mano y por supuesto el reconocimiento de huellas dactilares. Por otra parte, las mediciones conductuales también se están utilizando recientemente como por ejemplo el reconocimiento de la firma manuscrita o el reconocimiento del modo de andar.

Problemas de privacidad
Una de las principales preocupaciones de los usuarios de la biometría es la recolección sus datos personales, de su propia biometría. Por ejemplo, Apple o Samsung actualmente en sus flagship tienen lector de huellas dactilares, ¿usarán esta información de alguna manera en el futuro?.

Otro aspecto importante es que algunas tecnologías biométricas es que pueden detectar enfermedades que podemos desconocer, por ejemplo el reconocimiento de las venas puede detectar enfermedades vasculares, ¿podría una empresa usar esta información del reconocimiento de las venas para decidir si seguir con el trabajador o despedirle por si en un futuro puede tener problemas de salud?. Asimismo, el modo de andar o el reconocimiento de la firma manuscrita puede identificar enfermedades neurológicas.

Las principales preocupaciones sobre la privacidad cuando usamos la biometría se pueden dividir en tres grupos:
  • Identificar más allá de la propia autenticación en el sistema: revelar condiciones de salud como hemos dicho anteriormente.
  • Identificar a una persona que no quiere ser identificada.
  • Identificar a una persona sin su conocimiento.
Un claro ejemplo de identificación de personas sin su conocimiento ocurrió en la Super Bowl XXXV donde se usaron las cámaras del recinto para aplicar un reconocimiento facial a todas las personas, para detectar si había algún sospechoso de terrorismo o criminal.

Problemas de seguridad
La principal preocupación de los usuarios que utilizan la biometría es la seguridad con la que esa información se almacena, porque tendrá que haber una base de datos con la información digitalizada, de esta manera el sistema podrá compararla cada vez que por ejemplo intentemos acceder a nuestro lugar de trabajo donde es necesario pasar un escáner de huellas.

¿Se almacena la información con la suficiente seguridad? El principal problema de la biometría es que si roban estos datos, los robarán para siempre porque por ejemplo tus huellas dactilares o tu retina no cambiarán. Con las contraseñas no ocurre esto, porque si nos roban nuestras contraseñas siempre podremos cambiarlas fácilmente.

________________________________________________________________
Se Respetan Derechos de Autor.