Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

lunes, 17 de julio de 2017

Las mejores extensiones de Firefox para mejorar tu seguridad y privacidad.

Extensiones para mejorar la seguridad y la privacidad al navegar con Firefox

La primera de las extensiones que debemos tener en mente para mejorar la seguridad al navegar por Internet desde Firefox es NoScript, una de las extensiones más veteranas e importantes para este navegador. Esta extensión se encarga de detectar y bloquear la ejecución de todos los scripts de una página web de manera que, al visitar dicha página, evitemos ejecutar cierto código en nuestro sistema que pueda ser utilizado, por ejemplo, para explotar vulnerabilidades o distribuir malware.
Price: Free
 
Otra de las extensiones relacionadas con la seguridad que no debe faltar en nuestro Firefox es HTTPS Everywhere. Esta extensión nos permite habilitar por defecto las conexiones HTTPS en las páginas que visitamos, evitando establecer por despiste una conexión a través de HTTP y evitando que nuestros datos puedan ser capturados sin cifrar en la red.
Price: Free
 
En tercer lugar, para evitar cargar páginas web peligrosas o de dudosa reputación, otra extensión que no debe faltarnos en nuestro navegador es WOT, una extensión que nos indica con colores similares a los de un semáforo la fiabilidad de cualquier página web, incluso antes de entrar en ella (por ejemplo, al buscar en Google).
Price: Free
 
Ya metidos en temas mejorar la privacidad de nuestro navegador, otra extensión que no podemos pasar por alto es Ghostery. Gracias a ella, vamos a poder conocer todos los scripts y todas las APIs que se cargan en cualquier página web y evitar que se ejecuten de manera que cierto código no se cargue en el navegador, evitando que, por ejemplo, la API de Google nos siga en nuestra navegación y mejorando considerablemente nuestra privacidad.
Price: Free
 
Por último, para mejorar aún más nuestra privacidad podemos hablar de Anonymox. Esta extensión funciona de una forma similar a una VPN y nos permite, por ejemplo, ocultar nuestra IP real, visitar páginas web censuradas y, además, eliminar las cookies y los archivos temporales de nuestro navegador que puedan llegar a suponer un peligro para nuestra privacidad.
Price: Free
 
_______________________________________________________
Se Respetan Derechos de Autor

sábado, 8 de julio de 2017

Consiguen hackear el cifrado de las llamadas vía satélite: adiós a su seguridad.

Las llamadas vía satélite se utilizan normalmente cuando se quieren realizar comunicaciones seguras, o en zonas donde no hay cobertura de antenas en tierra. Los móviles vía satélite más modernos cifran el tráfico por voz con un algoritmo para evitar que haya quien pueda escucharlo. Ahora, la seguridad de este sistema se ha hecho añicos.

GMR-2 es un cifrado inseguro, y necesita cambiarse

Un grupo de investigadores chinos ha conseguido descubrir una manera de descifrar las llamadas vía satélite en una investigación que trabajaba sobre un trabajo previo de 2012 de unos investigadores alemanes, y con la que finalmente se ha conseguido vulnerar el algoritmo de cifrado GMR-2 prácticamente en tiempo real. Este cifrado es muy popular, pues el que usan los teléfonos vía satélite de Inmarsat.
telefono-sateliteGMR-2 genera una serie de claves implementando una serie de transformaciones criptográficas en los vectores iniciales de la clave de cifrado, añadiendo texto plano mediante XOR para obtener el texto cifrado final. Para que el método sea seguro, ha de ser difícil para un atacante obtener la clave de cifrado original, no siendo este el caso de GMR-2.
A diferencia del método usado por los alemanes, en el que intentaban obtener la clave de cifrado mediante un ataque de texto plano, los investigadores chinos invirtieron el proceso de cifrado para extrapolar la clave de cifrado desde el flujo de datos de salida. Usando el método miles de veces en un canal de 3,3 GHz de comunicación vía satélite, consiguieron reducir el tiempo de búsqueda de la clave de cifrado de 64 bits, haciendo más fácil encontrar la clave de descifrado.
Con todo esto, se consiguió escuchar la conversación cifrada con un retraso de apenas 0,02 segundos de media (20 milisegundos), demostrando los graves problemas de seguridad que tiene GMR-2 en la actualidad. Los investigadores recomiendan a los operadores de comunicaciones vía satélite que actualicen sus módulos criptográficos para que las comunicaciones que actualmente venden como confidenciales sigan siéndolo. Cifrados como AES o PRESENT son mucho más seguros en la actualidad.

El satélite va a ganar mucha importancia en los próximos años para conectarse a Internet

La propia compañía británica Inmarsat en 2012 arregló los problemas de seguridad encontrados por los primeros investigadores, asegurando que el fallo fue completamente resuelto. Por desgracia, los resultados de esta nueva investigación parecen dejar esa afirmación en entredicho, en una comunicación vía satélite cuya seguridad es clave, pues es utilizada por presidentes o por militares en conflictos bélicos.

Las comunicaciones vía satélite van a jugar un papel importantísimo en los próximos años, sobre todo para comunicar zonas aisladas del planeta en una red única que permita tener cobertura el 100% del tiempo que se esté en cielo abierto, con proyectos como el 5G for Satellite europeo, o los miles de satélites que SpaceX quiere poner alrededor de la Tierra. Esto ayudará también a que barcos y aviones puedan ofrecer conexiones mejores y más baratas.

___________________________________________________________
Tomado de: https://www.adslzone.net/2017/07/07/hack-cifrado-satelite-gmr/
Se Respetan Derechos de Autor.
 

viernes, 7 de julio de 2017

El autor de #Petya publica la Master Decryption Key

El autor del ransomware Petya original (de 2016) que dice llamarse Janus Cybercrime Solutions ha publicado la clave maestra de descifrado de todas las versiones antiguas de Petya.

La mayoría de las campañas de Petya (originales) ocurrieron en 2016, y muy pocas campañas han estado activas este año. Los usuarios que tenían sus archivos bloqueados han borrado unidades o pagado el rescate muchos meses antes. La clave sólo ayudará a las víctimas que clonaron sus discos y guardaron una copia de los datos cifrados. La clave de descifrado es inútil para las víctimas de NotPetya.

Esta clave puede descifrar todas las familias de ransomware parte de la familia Petya excepto el nuevo NotPetya, que no es trabajo de Janus. Esta lista incluye:
  • First Petya, cráneo blanco destellado en fondo rojo durante las pantallas de arranque
  • Second Petya, que también incluye Mischa ransomware, cráneo verde sobre fondo negro durante las pantallas de arranque.
  • Third Petya, también conocida como GoldenEye ransomware, cráneo amarillo sobre fondo negro durante las pantallas de arranque
La autenticidad de esta clave de descifrado de Petya está confirmada.

Janus lanzó esta clave maestra ayer miércoles en un tweet que enlazó con un archivo cifrado y protegido con contraseña cargado en Mega.nz.

La master key es: 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723

Anton Ivanov, investigador de seguridad de Kaspersky Lab, probó y confirmó la validez de la clave maestra.

Esta clave es la clave privada (del lado del servidor) utilizada durante el cifrado de versiones anteriores de Petya. Ahora se puede desarrollar un descifrador que incorporen esta clave. En el pasado, los investigadores de seguridad han roto el cifrado de Petya en al menos dos ocasiones, pero con la clave privada, el decrypter recuperará los archivos mucho más rápido que los métodos previamente conocidos.

Esta clave no ayudará a las víctimas de NotPetya porque este nuevo ransomware fue creado "pirateando" el ransomware original de Petya y modificando su comportamiento. NotPetya utiliza una rutina de cifrado diferente y se comprobó que no tenía conexión con el Petya original.

En 2016, Janus estuvo muy activo promocionando su Ransomware-as-a-Service (RaaS) y otros delincuentes podían alquilar el combo de ransomware Petya + Micha. Janus volvió ahora sólo para negar cualquier participación con el brote NotPetya.

_______________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2017/07/el-autor-de-petya-publica-la-master.html#el-autor-de-petya-publica-la-master
Se Respetan Derechos de Autor.

martes, 20 de junio de 2017

ProtonVPN es la nueva VPN gratuita de los creadores de ProtonMail, el correo seguro del CERN.

El servicio ProtonMail nació como alternativa ultrasegura a los proveedores principales salpicados de sonados casos de espionaje. Creado con apoyo del CERN de Suiza, este correo estuvo mucho tiempo en fase beta y hace muy poco empezó a estar disponible para todos los usuarios. Hoy, con la preocupación por la privacidad en Internet en aumento, nos presentan ProtonVPN, la nueva VPN gratuita de los creadores de ProtonMail.

Con ProtonMail, la compañía suiza subía la apuesta de la privacidad en el correo electrónico y ahora, con ProtonVPN, lo hace con la conexión a Internet “al completo”. El pasado mes de marzo, se lanzó una versión de este servicio gratuito de VPN, aunque pasó algo desapercibida. Hoy, sin embargo, nos hacemos eco de su llegada.

Para ponernos en antecedentes, ProtonMail es una aplicación que cuenta con el apoyo del CERN y que ha sido desarrollado junto con profesores de varias Universidades de prestigio (Cambridge, MIT y Harvard). Sus principales virtuales es que es totalmente anónimo, imposible de acceder a los datos de los usuarios y con factores de seguridad como la doble autenticación o 2FA.

ProtonVPN es su nuevo servicio que ofrece seguridad, para que todos nuestros datos sean confidenciales en Internet, incluso cuando utilizamos conexiones WiFi públicas. Privacidad, al no almacenar registros de actividad ni compartir datos con terceros. Y libertad, ya que buscan proteger a periodistas y activistas que utilizan ProtonMail para sus comunicaciones.

A diferencia de otros servicios, afirman que la seguridad es su principal preocupación. Afirman que sus servidores no pueden ser comprometidos al canalizar su tráfico a través de países que protegen la privacidad como Suiza o Islandia. Incluso, aunque se comprometiera el servidor, nunca se revelaría la IP real.

Todo el tráfico se cifra con Perfect Forward Secrecy y la jurisdicción aplicable es la de Suiza. Es decir, fuera de los designios de Estados Unidos o la Unión Europea. Como hemos dicho, no guardan registros, soportan P2P, ofrecen ancho de banda ilimitado, servidores 10GBIT, hasta 10 dispositivos y soporte profesional.

Tenemos un plan Free gratuito con hasta tres países y un dispositivo. Este no cuenta con las ventajas del Secure Core o servidores Tor. El plan Basic, por 4 euros al mes, tampoco lo incluye, aunque permite 2 dispositivos y más velocidad de conexión. Finalmente, el plan Plus, por 8 euros al mes, ofrece todas las ventajas y tenemos un plan Visionary con hasta 10 dispositivos por 24 euros al mes.


___________________________________

Tomado de: https://www.adslzone.net/2017/06/20/protonvpn-es-la-nueva-vpn-gratuita-de-los-creadores-de-protonmail-el-correo-seguro-del-cern/

Se Respetan Derechos de Autor.


lunes, 19 de junio de 2017

La NSA ha abierto una página en GitHub con proyectos de software libre.

La Agencia de Seguridad Nacional de los Estados Unidos, esa misma agencia de inteligencia a la que ya todos identificamos com "el gran hermano" que todo lo espía y todo lo ve, ahora tiene su propia página en GitHub donde publicarán algunos de los proyectos que ha desarrollado.

Aunque la agencia de inteligencia sea una que trabaja mayormente en la oscuridad, no deja de ser una organizació gubernamental, y no es raro que algunas de las tecnologías que desarrollen terminen estando abiertas al público en general, especialmente con las facilidades que ofrece Internet para esto. La NASA es un gran ejemplo.

Actualmente hay 11 repositorios disponibles en la página de GitHub compartidos a través del programa de Transferencia Tecnologíca de la NSA (TTP) , aunque hay más que están listados para "llegar pronto".

Los más recientes fueron actualizados hace 10 días, y los más antiguos en julio del 2016. El código de los repositorios públicos se encuentra bajo una licencia de software libre Apache 2.0.

Sin duda un repositorio interesante que visitar para cualquier desarrollador curioso o interesado, o quizás para más de una organización. Claro, no esperes que sea una competencia con las cosas que liberan los Shadow Brokers...

_____________________________________
Tomado de: https://m.genbeta.com/actualidad/la-nsa-ha-abierto-una-pagina-en-github-con-proyectos-de-software-libre
Se Respetan Derechos de Autor

jueves, 15 de junio de 2017

Más de 37.000 Exploits! Exploit Pack v7.10.


More than 37.000+ exploits

Because enough is never too many.

Objectively measure threats, vulnerabilities, impact and risks associated with specific cyber-security incidents by rapidly reacting on the integration of offensive and defensive security, get access to more exploits that you could possibly count, unlimited updates and zero days access to take your pentest to the next level.

Adapt your own exploit codes

Modify your exploits on-the-fly!

Exploit Pack uses an advanced software-defined interface that supports rapid reconfiguration to adapt exploit codes to the constantly evolving threat environment. Our technologies allow you to rapidly tests and defend against hostile remote targets, mitigate the threat and protect your assets by testing them before hackers do.

The offensive side of the fence

Get familiar with the black side.

Exploit Pack has been designed by an experienced team of software developers and exploit writers to automate processes so that penetration testers can focus on what its really important. The threat. This blend of engineers and subject matter experts provides an unique advantage by mixing know-how with true insight.

So what's this all about?

Exploit Pack is a security tool for Penetration Testers/Ethical Hackers, it is Open Source ( It means it is free and non-commercial ) and licensed GPLv3, it also contains a full set of 37.000+ exploits, so you can be sure that your next pentest will become unstoppable. All operating systems are supported, including: Windows, Linux, Unix, Minix, SCO, Solaris, OSX, etc. and even mobile and web platforms. 

Exploit Pack is an integrated environment for performing and conducting professional penetration tests. As any tool of this type, it requires some basic knowledge and expertise in the matter, Exploit Pack has been designed to be used by hands-on security professionals to support their testing process. With a little bit of effort, anyone can start using the core features of Exploit Pack to test in-deep the security of their applications. Some Exploit Pack's more advanced features will take further learning and experience to master. All of this time-investment is hugely worth it.

Get a Pack

Who is behind this project:

Hi there. My name is Juan Sacco, and I am glad about your interest on this open source security project.

I have started coding this tool back in 2008 as a small side project, its a trully one-man-circus. I keep doing parallel thinking to evolve the project with innovative features by trying to not follow the market tendencies, breaking the established rules to prove that the effort of one man could compete head to head against the lions out there. Do you want to help me out?


Exploit Pack v7.10

You have found the end of the rabbit hole.

DownloadSource code


_______________________________

Tomado de: http://exploitpack.com

Se Respetan Derechos de Autor.



miércoles, 14 de junio de 2017

OSX/MacRansom: Puede ser el comienzo del Ransomware as a Service

MacRansom es un nuevo malware que está en Mac. Este nuevo malware es un ransomware que hace peligrar la accesibilidad de los archivos de tu equipo, ya que los cifra y solicita el rescate. Descubierto por investigadores de Fortinet, el malware fue descrito como un Ransomware as a Service. Por otro lado, Patrick Wardle de Objective-See, ha estado trabajando en el análisis del malware obteniendo una serie de datos interesantes. OSX/MacRansom es un pieza de ransomware, particularmente, no avanzado desde un punto de vista técnica. Esta es la primera impresión que indica el investigador Wardle.
Lo que hace interesante a MacRansom es que está dirigido a los usuarios de macOS y que, además, se ofrece como un servicio. Hay que recordar que ayer hablábamos de MacSpy, malware as a service. Por lo que podemos ver y entender una dedicación de los delincuentes por los equipos Mac y ofrecer soluciones para controlar los equipos y extorsionar a sus usuarios. Según el análisis realizado por Fortinet, se habla de que hay un portal web en TOR, con el que se puede personalizar el malware. 
Figura 1: Portal en TOR de MacRansom
Respecto a los detalles técnicos, hay que indicar que el malware cuando es ejecutado tiene varias comprobaciones anti depuración y anti-VM. Todas las comprobaciones son básicas y triviales:
  • Utilización de ptrace.
  • Utilización de funciones para ver si se ejecuta en una máquina virtual. 
  • Utilización de sysctl para detectar máquina virtual. 
Una de las cosas más curiosas de este malware es que antes de llevar a cabo el cifrado de los documentos y solicitar el rescate, intenta crear persistencia en el equipo. En el análisis llevado a cabo por Wardle se muestra como Lucky es capaz de detectar el intento de persistencia del malware y como este intento se realiza antes de cifrar los archivos, se puede detectar la existencia del malware en el equipo antes de que haga daño.

Figura 2: Lucky detectando macRansom

Por otro lado, la herramienta RansomWhere de Objective See también es capaz de detectar al malware en el proceso de cifrado. Sin lugar a la duda, Mac es un target para los ciberdelincuentes. El incremento de la cuota de mercado es sin duda el desencadenante. Estaremos atentos a posibles noticias relacionadas con el ransomware en Mac.
 ________________________________________________________________________ 
Se Respetan Derechos de Autor

miércoles, 7 de junio de 2017

Hashing SHA-1, SHA-2, SHA-3, Keccak... ¿Cuál elegir?

En 2005 y 2006, se publicaron una serie de resultados significativos contra SHA-1 [1][2][3]. Estas rupturas repetidas causaron algo así como una crisis de fe, y los criptógrafos se comenzaron a preguntar si realmente sabrían cómo construir funciones de hash en el futuro. Después de todo, muchas funciones hash de la década de los '90 no la están pasando bien.

A raíz de esto, el NIST anunció [PDF] un concurso para desarrollar SHA-3 con el fin de cubrir el riesgo de la caída de SHA-2. En 2012, Keccak (pronunciado "ket-chak",) ganó [PDF] y se convirtió en el estándar SHA-3.

Esta misma competencia demostró que los criptógrafos sí saben construir funciones de hash: los resultados obtenidos en 2005/2006 no se pudieron extender a SHA-2, la cual es segura, hasta donde se sabe. Por lo tanto, en este momento, ya no queda claro si SHA-3 es siquiera necesaria. A pesar de esto, hay una tendencia natural a asumir que SHA-3 debería ser mejor que SHA-2, simplemente porque el número de versión es mayor.

La diversidad de primitivas criptográficas es costosa; contribuye al número exponencial de combinaciones que necesitan ser probadas y fortalecidas; se basa en recursos limitados; muchas plataformas normalmente necesitan código separado y optimizado y; contribuye a agrandar el código fuente, que es una gran preocupación en esta época de las aplicaciones móvil. Además, SHA-3 es más lento que SHA-2, que ya era reconocido por ser lento. Entonces, no necesitamos otra función de hash lenta y segura, ya tenemos SHA-2.

Sin embargo, SHA-3 sí introdujo algo útil: las funciones de salida extensibles (XOFs), en forma de los algoritmos SHAKE [PDF]. En un XOF, la entrada es hasheada y entonces se produce una cantidad (efectivamente) ilimitada de salidas a partir de ella. Esto es conveniente, aunque se puede producir el mismo efecto usando HKDF, o hasheando una clave y ejecutando ChaCha20 o AES-CTR.

Por lo tanto, probablemente SHA-3 no debería ser utilizado. No ofrece ninguna ventaja convincente por sobre SHA-2 y tiene muchos costos asociados. El único argumento a favor sería que es bueno tener una función de hash como backup pero SHA-256 y SHA-512 ya son comúnmente soportados y tienen diferentes núcleos y formas de funcionamiento, por lo que ya tenemos dos funciones seguras y conocidas.

En respuesta a las quejas sobre la velocidad, el equipo de Keccak ahora tiene KangarooTwelve y MarsupilamiFourteen, que tienen un diseño basado en vectores y un mejor rendimiento; aunque también se puede usar un diseño basado en vectores para acelerar SHA-2. 

Un inconveniente de SHA-2 es que simplemente es un hashing pero no tiene una forma de generar MACs, para eso existe HMAC. SHA-3 no tiene este problema y esta es una ventaja porque significa que las personas no que tendrían que usar HMAC sobre SHA-2 y alcanzaría con un solo protocolo.

Pero, SHA-512/256, BLAKE2, K12M14 y todos los otros candidatos SHA-3 tienen esta propiedad de integridad MAC y probablemente cualquier función de hash futura también la tenga.

BLAKE2 es otra función nueva de hash, y ofrece mucha mejor velocidad que SHA-2, lo cual significa menor tiempo de CPU "gastado" en criptografía y que la misma se puede desplegar económicamente en lugares donde antes no se podía. Sin embargo, BLAKE2 tiene demasiadas versiones (actualmente ocho).

En general, la longitud/extensión del hash no una preocupación suficientemente apremiante por la que debamos invertir en SHA-3 ahora mismo, y se podría esperar una función que tenga mayor cantidad de ventajas. Si es una preocupación importante para usted en este momento, pruebe con SHA-512/256, miembros de la familia SHA-2.

Otro punto es que SHA-3 fue sólo el primer paso hacia un futuro basado en la permutación: SHA-3 tiene una base elegante (la esponja) que es adecuada para implementar una gama completa de algoritmos simétricos. En el futuro, una única función de permutación optimizada podría ser la base de hashes, MACs y AEADs, ahorrando así tamaño de código y complejidad. Por ejemplo, el protocolo STROBE.

Finalmente, es bueno recordar que ahora mismo SHA-3 es el estándar aunque incluso el equipo de Keccak parece estar empujando K12 en vez de SHA-3.

Así que, hay algunas perspectivas interesantes para reemplazar SHA-2 en el futuro, pero SHA-3 no parecer ser uno de ellas.

Fuente: Imperial Violet (Adam Langley)

_____________________________________
Tomado de: http://blog.segu-info.com.ar/2017/06/hashing-sha-1-sha-2-sha-3-keccak-cual.html?m=1
Se Respetan Derechos de Autor.

domingo, 4 de junio de 2017

The top 10 ransomware attack vectors.


Ransomware is infecting the computers of unsuspecting victims at an astronomical rate. The various methods that cybercriminals use to take over a machine and encrypt its digital files are called the attack vectors, and there are quite a few.

In this article, we’ll explore the top 10 ransomware attack vectors. The first five exploit human weaknesses through social engineering attacks. In other words, they use carefully crafted messages to entice victims into clicking a link, downloading software, opening a file or entering credentials. The second five spread ransomware computer to computer. Humans may be somewhat involved in the process by navigating to a site or using a machine, but they are primarily automated processes. Let’s take a closer look at each attack vector:

1. Phishing
Phishing is a social engineering technique where phony emails are sent to individuals or a large group of recipients. The fake messages—which may appear to come from a company or person the victim knows—are designed to trick people into clicking a malicious link or opening a dangerous attachment, such as the resume ransomware that appeared to be a job candidate’s CV.

2. SMSishing
SMSishing is a technique where text messages are sent to recipients to get them to navigate to a site or enter personal information. Some examples include secondary authentication messages or messages purporting to be from your bank or phone service provider. Ransomware that targets Android and IOS-based mobile devices often use this method to infect users. For example, after infecting your device, Koler ransomware sends a SMSishing message to those in your contacts list in an effort to infect them as well.

3. Vishing
Vishing is a technique where ransomware distributors leave automated voicemails that instruct users to call a number. The phone numbers they call from are often spoofed so that messages appear to come from a legitimate source. When victims call in, they are told that a person is there to help them through a problem they didn’t know they had. Victims follow instructions to install the ransomware on their own machine. Cybercriminals can be very professional and often use a call center or have sound effects in the background to make it seem like they are legitimate. Some forms of vishing are very targeted to an individual or company and in such cases, criminals usually know quite a bit of information about the victim.

4. Social media
Social media posts can be used to entice victims to click a link. Social media can also host images or active content that has ransomware downloaders embedded into it. When friends and followers view the content, vulnerabilities in their browser are exploited and the ransomware downloader is placed on their machine. Some exploits require users to open a downloaded image from the social media site.

5. Instant message
Instant message clients are frequently hacked by cybercriminals and used to send links to people in a user’s contact list. This was one technique used by the distributors of Locky ransomware.

6. Drive-by
The ‘drive-by’ technique places malicious code into images or active content. This content, when processed by a web browser, downloads ransomware onto the victim’s machine.

7. System vulnerabilities
Certain types of ransomware scan blocks of IP addresses for specific system vulnerabilities and then exploit those vulnerabilities to break in and install ransomware onto the machine.

8. Malvertising
Malvertising is a form of drive-by attack that uses ads to deliver the malware. Ads are often purchased on search engines or social media sites to reach a large audience. Adult-only sites are also frequently used to host malvertising scams.

9. Network propagation
Ransomware can spread from computer to computer over a network when ransomware scans for file shares or computers on which it has access privileges. The ransomware then copies itself from computer to computer in order to infect more machines. Ransomware may infect a user’s machine and then propagate to the company file server and infect it as well. From here, it can infect any machines connected to the file server.

10. Propagation through shared services
Online services can also be used to propagate ransomware. Infections on a home machine can be transferred to an office or to other connected machines if the ransomware places itself inside a shared folder.

Be cautious and skeptical of the messages you receive, whether they come from email, instant message, text, voicemail or social media. Ransomware distributors are crafty and one click could be all it takes. Technical controls are also necessary to screen out unwanted content, block ads, and prevent ransomware from spreading. The most important thing is to have adequate backups of your data so that, if you ever are attacked, you can remove the virus and download clean versions of your files from the backup system.

For more news and information on the battle against ransomware, visit the FightRansomware.com homepage today.

_____________________________________

Tomado de: https://fightransomware.com/ransomware-articles/top-10-ransomware-attack-vectors/?utm_content=buffer3b842&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Se Respetan Derechos de Autor


sábado, 3 de junio de 2017

Asume la brecha: ¿cómo proteger mis cuentas online? ¿Por qué?

Referencias al Final del Artículo.
********************************

Un momento, ¿acaso te estoy diciendo que has sido hackeado? No, nada más lejos de la realidad. Pero sí te aconsejo pensar que podrías haberlo sido, o quizá serlo algún día por una acumulación de circunstancias. En esta serie de dos artículos encontrarás algunos consejos para evitar serlo y algunas herramientas para saber si te han hackeado tus cuentas de correo, servicios online, juegos, etc.
Admitamos que no es tan extraño que estas cosas ocurran. Hemos llegado a un punto en la era Internet donde ya no hay datos que podamos asumir como realmente “seguros”, por lo que debemos fijarnos en indicadores de cómo y por qué las webs y servicios online deberían asumirse como inseguros por naturaleza, implementando medidas para prevenir y detectar estos casos desde nuestro lado de la valla.
Si estás un poco al día de las noticias, habrás oído acerca de casos como Ashley Madison, Snapchat, YouPorn y otros como Yahoo, con más de 500 millones de cuentas filtradas.

Te podría pasar a tí

Cada día se suceden los casos en que la seguridad informática aplicada es insuficiente para mantener a buen recaudo nuestros datos personales.
Ya sea por negligencia, mala suerte, hackers de sombrero negro…los foros underground se llenan de bases de datos, que muchos individuos se afanan por comprar o intercambiar para conseguir dinero, realizar extorsiones o infecciones futuras o simplemente preparar perfiles sobre usuarios que puedan usar en su favor.
Puede parecer complicado, tedioso y largo, pero este proceso ocurre y, cuando alguien tiene información sobre 5000000 cuentas, servida por varias colecciones de bases de datos de centenares de servidores diferentes, pueden identificar a los usuarios fácilmente.
Programas como Grep permiten a un atacante introducir una cadena a buscar, y esta aparecerá en cada cuenta relacionada en un escaso período de tiempo.

Un ejemplo demostrativo

Ya he mencionado que tu información podría ser obtenida con facilidad, como la de cualquier usuario afectado po uno de estos casos. Típicamente, esta información estará compuesta por un identificador de usuario (ID), nombre, correo electrónico, dirección IP y una contraseña hasheada si hay suerte.
En el sitio web de puppet.zone encontramos un ejemplo real correspondiente a una entrada de base de datos SQL hackeada.
VALUES ('4','BlackRabbit','570d05338b21a5a00aa47546abbd1119','gGaD5TDO','qYFr1UyQbo3QXln7MDXReo3OQM68WqBLAqsXk1RaVuLlGGYPNr','puppetzoneimgay@safe-mail.net','26','./uploads/avatars/avatar_4.jpg?dateline=1399930771','100|100','upload','2','','0','','1399928410','1400466926','1400465460','1400465457','','0','','','','','all','Github: https://github.com/maybeblackrabbit\r\nKeybase: https://keybase.io/blackrabbit\r\nJabber: moonlight@jid.su','1','1','0','0','1','0','1','0','linear','1','1','1','1','0','0','0','','','-6','1','2','','','2','0','0','0','','1**Inbox$%%$2**Sent Items$%%$3**Drafts$%%$4**Trash Can','','0','0','10','173.245.53.238','94.242.246.24','-1376438802','1592981016','english','20912','1','29','0','0','0','0','0','0','0','0','0','1','2','');
Esta entrada pertenece a un usuario que se hace llamar BlackRabbit. Se ha escogido esta entrada porque la persona en cuestión tomó las meiddas oportunas para proteger su información personal. Aparecen su dirección IP usada para conectar a la web -por cierto, un nodo de salida Tor- y vemos que su idioma es “inglés”.
Además,  aparece una cuenta de email asociada, probablemente una de “usar y tirar” dado que es puppetzoneimgay@safe-mail.net. Aparecen relacionadas cuentas en Github, Keybase y un servidor de Jabber llamado Jid.su. Finalmente tenemos una contraseña hasheada, que podría ser una OTP (One Time Password) si tenemos en cuenta que estaba usando Tor y un correo desechable.
Aunque este usuario no lo hacía mal para preservar su privacidad, podría haberlo hecho aún mejor, como detalla el autor del artículo:
Podría no haber relacionado la cuenta con otras como Github o Keybase. Dada esta entrada de base de datos, incluso después de que el foro en el que militaba fuera cerrado para siempre, la cuenta “BlackRabbit” estará siempre asociada con las de Github, Keybase y Jabber antes listadas.
Quizá lo anterior pueda ser algo excesivo para el común de los mortales, pero es la única forma de acercarse a la privacidad. Y mejor no hablemos que los sistemas “inicia sesión con Facebook” y similares, que directamente recomiendo no utilizar nunca.

¿Cómo proteger mis cuentas online?

Ahora que ya sabes lo que podría ocurrir en caso de que una brecha de seguridad afecte a tus cuentas, es el momento de poner en marcha mecanismos para minimizar los riesgos. Veamos:
No utilices el mismo nombre de usuario
Es algo fácil de hacer y dificultará la labor de los atacantes cuando quieran relacionar nuestras diferentes cuentas online. Utiliza nombres de usuario diferentes cuando te registres en sitios. En lugar de utilizar el mismo nombre, utiliza nombres aleatorizados que contengan caracteres variados.
Si no tienes un buen motivo, no compartas nombre en demasiados sitios web.
No utilices siempre el mismo email cuando te registres
Es mala idea compartir siempre la misma cuenta de correo con diferentes proveedores de servicios. Sería muy fácil relacionar tu usuario entre diferentes webs populares. Si estás registrado con el mismo correo en muchas páginas y varias de esas bases de datos se filtran, será fácil relacionarlas.
Si, en el peor de los casos, los volcados comprenden también contraseñas hasheadas y alguien es capaz de romper su seguridad, entrarán en tu cuenta.

No repitas la misma contraseña una y otra vez
No utilizar siempre la misma contraseña es esencial. Tampoco debemos compartirla con nadie y por supuesto procuraremos que sea lo suficientemente robusta.
Parte de la robustez de una contraseña reside en que:
  • No tenga palabras que puedan hallarse en un diccionario, sea del tipo que sea.
  • No contenga información relacionable fácilmente con nosotros. Por ejemplo, información contenida en nuestro perfil o en alguna fuente rastreable en internet.
  • No debemos satisfacer las condiciones de robustez de las contraseñas símplemente añadiendo 3 o 4 números al final de un nombre. Esto es engañar al sistema y nos da una falsa sensación de seguridad.
Puedes ampliar información sobre seguridad en contraseñas aquí
Entre los síes:
  1. Utilizaremos caracteres especiales, combinados con números y letras tanto mayúsculas como minúsculas.
  2. Aunque la mayor parte de sitios exigen en torno a 8 caracteres de longitud, nuestra contraseña puede- y debe- ser más compleja. Recomiendo a partir de 12 pero lo ideal es que sea de unos 16 caracteres de longitud.
  3. Mejor aún, deberíamos poner en práctica, si es posible, una “palabra frase” en lugar de una contraseña uni-conceptual.
  4. Si te cuesta gestionar esto de las contraseñas, siempre puedes adquirir una Llave FIDO o bien utilizar un gestor de contraseñas. Entre los gratuitos recomiendo DashLane o KeePass.
Enmascara tu dirección IP
Las direcciones IP pueden revelar bastante información sobre nosotros, como nuestro proveedor y ubicación, lo que a su vez puede llevar a averiguar otra serie de cosas.
Por eso recomiendo utilizar proxy de algún tipo, ya sea la red Tor o un servicio de VPN. O ambas!
En el próximo artículo te contaré cuales son los servicios web a los que recurrir para saber si tu cuenta ha podido ser comprometida. Si tienes alguna sugerencia será bienvenid.

_____________________________________________
Tomado de: https://protegermipc.net/2017/05/30/como-proteger-cuentas-online/
Se Respetan Derechos de Autor

jueves, 1 de junio de 2017

Vulnerabilidad importante en #sudo (Parchea!)

Red Hat, Debian, Ubuntu, SUSE y otras distribuciones de Linux lanzaron parches para una vulnerabilidad de severidad alta en "sudo", la cualpodría ser abusada por un atacante local para obtener privilegios de root. Se ven afectadas las versiones de sudo 1.8.6p7 a 1.8.20. Los usuarios deben actualizar a sudo 1.8.20p1.

Sudo es un comando de sistemas *NIX que permite a los usuarios estándar ejecutar comandos específicos con permisos de superusuario, como agregar usuarios o realizar actualizaciones del sistema.

En este caso, los investigadores de Qualys encontraron una vulnerabilidad (CVE-2017-1000367) en la función get_process_ttyname() de sudo que permite a un atacante local con privilegios de sudoer ejecutar comandos como root o elevar sus privilegios.








La alerta en el sitio web del proyecto sudo dice que SELinux debe estar habilitado y sudo compilado con el soporte de SELinux para que la vulnerabilidad se active. "En un sistema con SELinux habilitado, si un usuario es Sudoer para un comando sobre el cual no tiene privilegios completos de root, puede sobrescribir cualquier archivo del sistema de archivos con la ejecución de un comando" dijeron los investigadores de Qualys.





Este problema, si se explota, permite al atacante eludir los controles y hacer más de lo que se supone que debería hacer. El atacante ya debe estar delante del mismo sistema y tener acceso a la consola.

Red Hat lanzó las actualizaciones para Red Hat Enterprise Linux 6, Red Hat Enterprise Linux Server y Red Hat Enterprise Linux 7. Debian también actualizó Wheezy, Jessie y Sid. SUSE Linux actualizó todos sus productos.

Qualys dijo que publicará el exploit una vez que todos los sistemas hayan tenido tiempo de parchear.

________________________________________________
Tomado de: http://blog.segu-info.com.ar/2017/06/vulnerabilidad-importate-en-sudo-parchea.html#vulnerabilidad-importate-en-sudo-parchea
Se Respetan Derechos de Autor.

miércoles, 24 de mayo de 2017

Vulnerabilidad Grave en Samba permite Ejecución Remota de Código.

Se ha confirmado una grave vulnerabilidad en Samba (todas las versiones superiores a 3.5.0), que podría permitir a un atacante remoto ejecutar código arbitrario desde un compartido en el que se pueda escribir.


Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El problema (con CVE-2017-7494) puede permitir a un cliente malicioso subir una librería compartida a un compartido que permita la escritura y posteriormente hacer que el servidor la cargue y la ejecute.





Se han publicado parches para solucionar esta vulnerabilidad en
Adicionalmente, se han publicado las versiones Samba 4.6.4, 4.5.10 y 4.4.14 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda añadir el parámetro
"nt pipe support = no"
En la sección [global] de smb.conf y reiniciar smbd.

Más información:

[Announce] Samba 4.6.4, 4.5.10 and 4.4.14 Available for Download

Remote code execution from a writable share.

Los subtitulos pueden permitir controlar tu PC ! Demostración en Video !

Investigadores de Check Point han anunciado una nueva y sorprendente forma de ataque que puede dejar expuestos a millones de usuarios de todo el mundo, los subtítulos. Mediante un archivo de subtítulos malicioso descargado por el reproductor de medios del usuario el atacante podrá tomar el control total del sistema. Se ven afectadas plataformas de reproducción de vídeo y streaming tan populares como VLC, Kodi (XBMC), Popcorn-Time y strem.io, aunque también puede afectar a otros sistemas.

Se estiman hasta 200 millones de instalaciones de reproductores afectados lo que según los investigadores estiman que puede convertirse en una de las vulnerabilidades más difundidas, de fácil acceso y de resistencia cero de los últimos años.

Según Check Point esta vulnerabilidad abre un Nuevo vector de ataque desconocido hasta el momento: cuando un reproductor multimedia carga los subtítulos de una película. Los repositorios de subtítulos se consideran, en la práctica, como una fuente fiable por el usuario o el reproductor. Sin embargo, la investigación realizada revela que pueden manipularse para conseguir que un archivo de subtítulos alcance la mayor puntuación para de esa forma sea servido al usuario. Incluso en aplicaciones que obtienen los subtítulos de forma automática desde Internet podrá ser posible construir ataques sin interacción del usuario.

El problema reside del tratamiento que los reproductores multimedia realizan de los archivos de subtítulos y del gran número de formatos de subtítulos. En la actualidad hay más de 25 formatos diferentes de subtítulos, cada uno con sus propias características. La necesidad de tratar múltiples formatos al final conlleva diferentes vulnerabilidades.






En el aviso de Check Point confirman la existencia de vulnerabilidades en VLC, Kodi, Popcorn Time y Stremio. Aunque creen que otros reproductores multimedia también pueden tener fallos similares. También aseguran que algunos de los problemas se han corregido, pero aun hay algunos bajo investigación. Para permitir a los desarrolladores corregir todas las vulnerabilidades no han ofrecido mayores detalles técnicos.

Para demostrar las vulnerabilidades y el alcance que pueden tener han publicado un vídeo en el que se muestra como un atacante puede llegar a tomar el control del ordenador en el momento en que se cargan los subtítulos.



Los reproductores afectados han publicado actualizaciones para corregir estos problemas, aunque como comentábamos antes es posible que en breve publiquen nuevas versiones.


Más información:

Hacked in Translation – from Subtitles to Complete Takeover
http://blog.checkpoint.com/2017/05/23/hacked-in-translation/


_________________________________________________________________________
Tomado dehttp://unaaldia.hispasec.com/2017/05/los-subtitulos-pueden-permitir.html
Se Respetan Derechos de Autor.



miércoles, 17 de mayo de 2017

Filtran millones de contraseñas en Internet, ¿está la tuya en peligro?

Nada menos que alrededor de 500 millones de contraseñas (junto con las respectivas cuentas de correo de sus propietarios) acaban de dejarse ver en la red en lo que ya se ha denominado como "la madre de todas las filtraciones". Un experto en seguridad ha descubierto que alguien ha subido a la red una base de datos que contiene millones de cuentas robadas de anteriores ataques a redes tan populares como DropboxLinkedInTumblr o Badoo, y ahora todas esas contraseñas se pueden descargar en un simple archivo de texto.

El archivo con las contraseñas robadas ocupa algo más de 17 GB, y contiene un total de 593,427,119 cuentas de correo electrónico robadas acompañadas de su respectiva contraseña. En el documento aparecen cuentas de GmailHotmailYahoo y muchos otros servicios, y en todos los casos se trata de información procedente de las brechas de seguridad que en los últimos años han sufrido los servidores de compañías como LinkedIn o Dropbox. El creador de la popular página de Have I Been Pwned? ha confirmado la veracidad de estas cuentas robadas.


Tal y como explica en su detallado informe Troy Hunt, el creador de la web de Have I Been Pwned?, esta filtración de origen ruso procede de los robos de información que han sufrido en los últimos años diez plataformas diferentes en la red (entre ellas, páginas tan populares como Dropbox o Tumblr). En estos robos de información, alguien consiguió descargar la información de inicio de sesión de algunos usuarios, lo que incluía tanto el correo electrónico como la contraseña. Y ahora, toda esa información está circulando libremente por la red.

Tras probar a analizar la información de inicio de sesión de más de 10.000 cuentas diferentes, los investigadores han determinado que la información filtrada en los documentos es veraz en un 98%. Esto significa que realmente se trata de cuentas robadas a usuarios que quizás a día de hoy todavía no sean conscientes de que sus contraseñas están circulando por la red en un simple documento de texto.

Por motivos de seguridad, los documentos que contienen estas contraseñas robadas no se pueden consultar a través de un simple enlace. En cualquier caso, filtraciones como la de esta base de datos con contraseñas robadas deberían servirnos para aprender dos cosas: la primera, que siempre es recomendable cambiar nuestra contraseña cuando se produce una brecha de seguridad en un servicio en el que estamos registrado; y la segunda, que jamás deberíamos utilizar la misma contraseña para registrarnos en diferentes páginas.

Para comprobar si nuestra cuenta de correo se encuentra en los documentos de esta última filtración, lo único que tenemos que hacer es entrar en la página de HaveIBeenPwned.com, introducir nuestra dirección de correo y verificar si la página nos muestra algún aviso relacionado con alguna de las últimas filtraciones masivas de contraseñas en la red.

______________________________
Tomado de: http://computerhoy.com/noticias/internet/filtran-millones-contrasenas-internet-esta-tuya-peligro-62382
Se Respetan Derechos de Autor.

domingo, 14 de mayo de 2017

Vulnerabilidad GRAVE en Windows Defender. Actualiza AHORA !

Si Microsoft decide sacar un parche fuera de ciclo para solventar una vulnerabilidad en cuestión de horas, será porque es grave, ¿no?. Así que, si utilizas Windows Defender como antivirus / antimalware deberías seguir leyendo y actualizar desde la versión 13704 lo antes posible.
Se ha descubierto una vulnerabilidad -ha sido el equipo de seguridad de Google- en el motor de protección antimalware de Microsoft, por lo que se ha publicado un parche urgente. Dicha vulnerabilidad permitiría ejecución de código remoto si el antivirus analiza un archivo especialmente modificado.


Vulnerabilidad en Windows Defender

Me explico: el antivirus Windows Defender realiza, como tantos otros, escaneos de malware de forma silenciosa en segundo plano, cuando el equipo está en reposo. Dado el problema de seguridad descubierto, un archivo modificado para aprovechar esta debilidad podría poner el equipo en manos ajenas, tan pronto el escaner “abra” parte del contenido del mismo para analizarlo.
Dicho archivo podría llegar de múltiples formas, tanto desde un enlace en el navegador como desde el email o aplicaciones de mensajería.
Problema en el motor antimalware
Según apunta el Google Project Zero, se trataría de la “peor vulnerabilidad que permita ejecución remota de código en los últimos tiempos”.
Según se describe en el informe elaborado por Google, antes de utilizar Javascript el motor de Windows Defender -mpengine- usa mecanismos heurísticos para saber si necesita analizarlo. Uno de estos indicadores heurísticos estima la entropía del archivo antes de usar Javascript, pero hemos descubierto que añadiendo algunos comentarios complejos es suficiente para desencadenarlo.
En una prueba de concepto adjunta se advierte de que esta funciona de forma inmediata, pero también de que bloqueará inmediatamente el motor de Windows Defender, pudiendo además desestabilizar el equipo.
Windows Defender
Dado que mpengine descomprimirá a su antojo los archivos anidados y además soporta una cantidad enorme de archivos, no existe una forma sencilla de identificar un exploit a nivel de red.


Actualización y remediación

Según apuntan desde Project Zero, en Windows 10 se puede añadir una excepción para la unidad C:\ y sería suficiente para detener el análisis involuntario de este tipo de objetos, pudiendo igualmente ser lanzados los escaneos a petición.
De todas formas, la solución es sencilla: actualizar Windows Defender si comprobamos que su versión es anterior a la 13704.  Basta con abrir el programa desde el menú configuración > Seguridad > Windows Defender.





_____________________________________________________
Tomado de: https://protegermipc.net/2017/05/10/vulnerabilidad-windows-defender/
Se Respetan Derechos de Autor

martes, 9 de mayo de 2017

shARP parando ataques de ARP Spoofing.

ARP Spoofing es uno de los ataques a las redes más utilizados.

Un ataque ARP Spoofing consiste en enviar mensajes ARP falsificados para hacer creer a la víctima que el usuario malintencionado es el router de la red local, y que debe enviar toda la información a él. De esta forma, podrá realizar diferentes tipos de ataques a la víctima.
El ataque ARP Spoofing se utiliza para realizar otro tipos de ataques como la denegación de servicio, podremos dejar a una víctima sin conectividad con Internet fácilmente, ya que todo el tráfico pasará por el atacante, y podría cortarlo ahí y no reenviarlo hacia la puerta de enlace predeterminada legítima.
Otro ataque es por ejemplo realizar un ataque Man in the Middle para capturar y/o modificar absolutamente todo el tráfico, no solo podrá capturar datos sino secuestrar sesiones iniciadas en diferentes servicios.

Qué hace el programa shARP?

El programa shARP  creado por Abhijit Menon es capaz de detectar la presencia de un tercero en una red privada de manera activa, además, tiene dos modos de funcionamiento: modo defensivo y modo ofensivo. Este programa está escrito en bash,  es compatible con la gran mayoría de sistemas basados en Linux.
  • El modo defensivo lo que hace es proteger al usuario final del ataque ARP Spoofing, desconectando de la red al propio usuario, y alertarle a través de los altavoces del sistema. Por tanto, este programa nos servirá para avisarnos de que alguien está realizando un ataque ARP Spoofing en la red, y nos desconectaremos para auto protegernos.
  • El modo ofensivo lo que hace es desconectar el sistema del usuario de la red, y envía paquetes de desautenticación al atacante, lo que le impide realizar otros ataques ARP Spoofing hasta que paremos el propio programa.
Este programa crea un archivo de registro en la ruta /usr/shARP/ donde tendremos todos los detalles del ataque, como la dirección del atacante, la dirección MAC con el fabricante así como la fecha del ataque. El programa que utiliza para el modo ofensivo es aircrack-ng, por lo que deberemos tenerlo instalado junto con Python.




Como usarlo?

bash ./shARP.sh -r [interface]  (Para resetear la tarjeta de red y los drivers).
bash ./shARP.sh -d [interface] (Para activar el programa en modo de defensa).

bash ./shARP.sh -o [interface] (Para activar el programa en modo ofensivo).

bash ./shARP.sh -h (Para Ayuda).

Fuente: https://github.com/europa502/shARP



__________________________________________________________________
Tomado de:
Se Respetan Derechos de Autor.

Leviathan, conjunto de herramientas para auditoría masiva !!!



Esta aplicación es un conjunto de herramientas orientadas a la auditoría masiva.


La cual tiene módulos para el descubrimientos de objetivos, fuerza bruta, detección de inyecciones SQL y la ejecución de exploits personalizados. Para ello utiliza otras aplicaciones de software libre como masscan, ncrack y dsss, dándonos la posibilidad de combinarlas entre ellas.

Sus aplicaciones principales son:

  • Descubrir: analiza servicios FTP, SSH, Telnet, RDP, MYSQL.. servicios siendo ejecutados en las maquinas entre un rango de IPs de un país gracias a Shodan y a Censys. Tambien viene con el escáner Masscan integrado para un análisis de puertos TCP más rápido y eficiente.
  • Fuerza bruta (Brute force): gracias a la herramienta ncrack integrada en Leviathan, se pueden realizar ataques de fuerza bruta a diversos servicios del servidor.
  • Ejecucion remota de codigo (RCE): es posible ejecutar comandos en las maquinas comprometidas.
  • Escaner de inyecciones SQL: permite analizar posibles vulnerabilidades SQLi en una determinada extensión de un país o con dorks de Google personalizados. Todo ello gracias a la herramienta DSSS (Damn Small SQLi Scanner).
  • Explotación de vulnerabilidades específicas: descubre objetivos vulnerables con Shodan, Censys o masscan para explotarlos con tus propios exploits o con exploits ya integrados.


________________________________________________________________
Tomado de: https://hacknic.xyz/2017/05/05/leviathan-conjunto-herramientas-auditoria-masiva/
Se Respetan Derechos de Autor.

EapHammer- Realizando Ataques (WPA/WPA2) Evil Twin con la precisión de un francotirador

EAPHammer es un conjunto de herramientas para llevar a cabo “evil twin attacks” contra las redes WPA2-Enterprise.

Está herramienta es creada por Gabriel Ryan ( s0lst1c3 ), diseñado para ser utilizado en las evaluaciones inalámbricas totales y procedimientos de Red Team.
Como tal, se coloca el foco en proporcionar una interfaz fácil de usar que se puede aprovechar para ejecutar ataques inalámbricos de gran alcance con la configuración manual mínima.



Características

  • Robar las credenciales Radius de las redes WPA-EAP y WPA2-EAP.
  • Realizar ataques hostiles portal para robar creds AD y realizar pivotes inalámbricas indirectos
  • Realizar ataques de portal cautivo
  • Integración respondedor incorporada
  • Apoyo a las redes abiertas y WPA-EAP / WPA2-EAP
  • Sin configuración manual necesaria para la mayoría de los ataques.
  • Sin configuración manual necesaria para el proceso de instalación y configuración



próximas funciones

  • Realizar ataques MITM seemeless con derivaciones parciales HSTS
  • Support attacks contra WPA-PSK / WPA2-PSK
  • Soporte para SSID de camuflaje
  • Generar  payloads cronometrados para pivoteos inalámbricas indirectos
  • generación de payload PowerShell
  • impacket la integración de los ataques de relay SMB
  • ataques punto de acceso ilícito dirigidos (desautorización evil twin para PNL, desautorización  karma + ACL)
  •  Hostapd-WPE actualizado que funciona con la última versión de hostapd
  • Clonador Web integrado para clonar paginas de login
  • servidor HTTP integrado
Esta herramienta soportara ataques Karma?
  • En algún momento sí, pero por ahora la atención se ha centrado en los Ataques Evil Twin dirigidos.
  • Si los ataques de Karma son como un lanzagranadas inalámbrica, esta herramienta es más como un rifle de francotirador fácil de usar

Instrucciones de configuración Kali

Comience por clonación del repositorio eaphammer  con el siguiente comando:
git clone https://github.com/s0lst1c3/eaphammer.git
A continuación, ejecute el archivo kali-setup.py como se muestra a continuación para completar el proceso de configuración eaphammer. Esto instalará las dependencias y compilar hostapd.
python kali-setup.py

Opciones adicionales

  • –cert-asistente – Utilice este distintivo para crear un nuevo CERT RADIUS para su AP.
  • -h, –help – presentación detallada mensaje de ayuda.
  • -i, –interface – Especificar la interfaz de un PHY en el cual puedes crear el AP.
  • -e ESSID, –essid ESSID – Especificar el AP ESSID.
  • BSSID -b, BSSID –bssid – Especificar el AP BSSID.
  • -mode –hw HW-MODE – Especificar el AP del modo hardware (por defecto: g).
  • CANAL -c, CANAL –channel – especificar el canal del AP.
  • –wpa {1,2} – especificar tipo WPA (por defecto: 2).
  • –auth {PEAP, TTLS, abiertas} – Especifica el tipo de autenticación (por defecto: abierto).
  • –creds – Credenciales Harvest EAP  mediante un ataque Evil Twin.
  • –hostile portal – Fuerza clientes se conecten al portal de hostil.
  • –captive portal – Fuerza clientes se conecten a un portal cautivo.
Fuente:https://github.com/s0lst1c3/eaphammer



______________________________________________________
__________________________________________________________________
Tomado de: https://hacknic.xyz/2017/05/09/eaphammer-realizando-ataques-evil-twin-la-precision-francotirador/
Se Respetan Derechos de Autor