En mis seminarios suelo destacar este crecimiento durante los últimos años, sobre todo desde 2005, que es cuando se produce realmente un punto de inflexión en la gráfica de datos de ataques y amenazas informáticas. Aunque bien es cierto que durante estos dos últimos años, el aumento está siendo considerable, no sólo en la creación de malware si no también en la creación de herramientas para automatizar y facilitar ataques informáticos.

Precisamente, esta automatización y facilidad de uso que están adoptando estas herramientas, hacen que cualquiera, con un mínimo conocimiento, pueda realizar ataques de forma sencilla y automatizada que puede causar graves daños. Lo preocupante es que muchas de estas personas, conocidas también como script-kiddies, en la mayoría de los casos, no saben lo que están haciendo ni qué impacto puede tener ese ataque.

Por lo tanto, esto sólo es una noticia más para que nos demos cuenta, si no lo hemos hecho ya, que hay que estar prevenidos y concienciados de las amenazas existentes y pongamos los remedios oportunos para no ser víctimas de éstas.

Como ya he dicho en algunas ocasiones, el mejor antivirus que podemos tener es el SENTIDO COMÚN.

Saludos éticos!

El caso es que ayer, durante un seminario en un hotel, pude comprobar lo sencillo que resulta descubrir equipos en una red y capturar tráfico de la misma. Desde nuestro blog de hacking ético queremos dar algunos consejos de cara al verano.

Hay que tener en cuenta que a esa red que nos conectamos gracias a la generosidad (o no) del hotel, hay más usuarios conectados, y entre ellos alguien con otros intereses que ver la portada de Cristiano Ronaldo en el Marca o repasar nuestro muro de Facebook. Lo que este atacante o intruso puede hacer es “envenar” la red para que enviemos nuestro tráfico Web a su ordenador en lugar de hacerlo directamente a la puerta de enlace legítima (punto de acceso, proxy o router del hotel).

Os aseguro que es realmente sencillo. Existen herramientas automatizadas que montan un escenario con este tipo de ataques en cuestión de minutos. Las técnicas que usan son ARP spoofing para engañar a los equipos conectados y DNS spoofing para redirigirnos a otros sitios Web o clones de sitios Web legítimos.

En otro post explicaré en detalle y de forma más técnica, cómo funciona realmente estos ataques, con ejemplos reales y prácticos. Con estas técnicas podemos ser víctimas de suplantación de identidad (phishing), robo de credenciales y de otras amenazas.

De momento y como contramedida os aconsejo que uséis navegación segura en vuestro tráfico Web. Es decir, intentad usar el protocolo https en lugar del http. La mayoría de Webs que requieren autenticación (Facebook, Twitter, Hotmail, Gmail…) permiten realizar el proceso de autenticación mediante cifrado usando el protocolo https. De esta forma aunque nos capturaran el tráfico, la información irá cifrada.

Para avanzados, comprobad qué dirección IP os han asignado, y antes de visitar una Web hacedle un ping al dominio para ver qué IP responde. Si es del mismo rango que el vuestro, posiblemente algún atacante esté realizando un ataque de DNS spoofing.

Por ejemplo, si me asignan la dirección IP 10.0.0.15 y al hacerle ping a www.facebook.com me responde con 10.0.0.150, algo raro está pasando, ¿no?

Para profesionales que necesiten conectarse a su empresa para trabajar de forma remota, hacedlo mediante una VPN. Hoy en día existen soluciones muy sencilla para realizar conexiones seguras, por ejemplo, clientes VPN por SSL.

Saludos éticos!

El atacante podría usar un documento RTF malformado para aprovechar dicha vulnerabilidad y explotarla. Para aquellos usuarios que utilicen cuentas limitadas el riesgo es menor ya que los privilegios con los que contaría el atacante serían menores. De ahí la importancia de no utilizar por costumbre una cuenta con privilegios de administrador.

Como siempre, la forma de solucionarlo es mediante las actualizaciones de Windows. Ya se han emitido las actualizaciones y están disponibles para las distintas plataformas afectadas.

Las versiones afectadas son Microsoft Word 2003 y Microsoft Word 2007.

Más información: http://technet.microsoft.com/es-es/security/bulletin/ms12-may

Lo dicho, toca actualizar. Recordad intentar no usar usuarios con privilegios de administrador, usad usuarios con cuentas limitadas.

Saludos éticos!

Durante la charla se ha hecho una breve introducción acerca de la situación actual de los servicios de seguridad informática para empresas, el tipo de auditorías existentes y se ha hecho más hincapié en las auditorías de seguridad externa. Para hacerlo más ameno, se ha hecho una demostración de una de las fases de las auditorías; la enumeración de puertos y servicios (Enumerating).

Como demostración práctica, se ha utilizado herramientas para la obtención de información valiosa usando el protocolo SNMP. Creo que ha gustado bastante

Aquí debajo una fotografía de la charla.

Saludos éticos

Indagando un poco por internet, a través de imágenes de Google, he comprobado que el título de la página siempre es “FreePBX administration“. 

Por lo tanto ya tenemos claro que esta frase clave, “FreePBX administration”, tiene que ir en nuestra búsqueda en Google. Para ello usaremos el operador intitle de Google y para reducir el ruido documental podemos usar el operador site con el símbolo de exclusión “-” (guión, sin comillas) para excluir el dominio del propio software freepbx.org:

intitle:”FreePBX administration” -site:freepbx.org

 A continuación una captura de los resultados de esta búsqueda:

Bien, ya vamos obtieniendo resultados, pero así a simple vista no parece que se trate de páginas de administración de FreePBX. Si volvemos a fijarnos en la primera imagen, podemos comprobar como la url por defecto de la aplicación Web es http://dirección/admin/… ¿Por qué no probar incluir en la búsqueda sólo aquellas direcciones que incluyan la palabra admin en su url? Probemos lo siguiente:

intitle:”FreePBX administration” -site:freepbx.org inurl:”/admin”

 Veamos esta búsqueda qué resultados devolvería:

OK, ahora sí parece que hemos encontrado resultados que apunta a paneles de administraciones de centralitas VoIP, en concreto FreePBX de Asterisk. Está claro que la pregunta que ahora mismo os está rondando la cabeza es; ¿y ahora qué? Pues está claro que estas webs no han tenido cuidado a la hora de permitir indexar a los buscadores url tan críticas como estas.

Sólo si la pareja nombre de usuario y contraseña es fuerte estarán a salvo de intrusiones en su centralita VoIP. En el mercado existen muchas herramientas capaces de realizar ataques de diccionario o de fuerza bruta de forma automatizada, como por ejemplo Hydra o Medusa, de las que ya hablaremos en su día. Todo eso sin contar con posibles vulnerabilidades que puedan ser explotadas.

Un fichero robots.txt bien configurado, cambio de nombres y rutas por defecto les vendría bien. Un poco de seguridad por oscuridad.

Pues eso es todo, espero que haya sido de vuestro interés. Nos leeremos en el próximo post de Hacking Ético.

Saludos!

Teniendo en cuenta que estos sistemas controlan líneas y redes ferroviarias, estaciones eléctricas y otros sistemas de esta índole, la gravedad de esta vulnerabilidad es considerable. De hecho, el script en perl para descubrir la contraseña es pública.

Esto unido a que con Shodan se pueden encontrar fácilmente dispositivos Ruggedcom…

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema “los usuarios son el eslabón débil”.

En bitelia han publicado un artículo muy completo hablando sobre la Ingeniería Social, os recomendamos que lo leáis. Podéis acceder en la siguiente dirección: http://bitelia.com/2012/04/que-es-la-ingenieria-social-y-como-estar-prevenidos

En la mayoría de las ocasiones, estos frameworks vienen bien preparados para ayudar a enfrentarnos a los principales fallos de seguridad. Os dejamos a continuación un enlace a la guía de seguridad para el desarrollo para Ruby On Rails. Una guía imprescindible para aprender a desarrollar de manera segura bajo esta tecnología.

Guía de seguridad para Ruby On Rails

En definitiva echamos una buena mañana grabando y pasando un rato simpático para intentar una vez más fomentar nuestro principal objetivo:  concienciar a la gente de la importancia de la seguridad informática en los sistemas actuales.

Los chicos de packetstorm han publicado una prueba de concepto (PoC) para que probéis si vuestro servidor es vulnerable (está comprobado de todas formas).

Así que debido a su gravedad, y a su sencillez de explotación, desde hacking-etico.com aconsejamos actualizar lo antes posible nuestro PHP.

Según hemos podido investigar no se trata de una vulnerabilidad nueva, pero al hacerse pública la forma de explotarla, la urgencia en actualizar es máxima.

[Actualizado]: En exploit-db ya han publicado el exploit.

PD: Seguimiento de la vulnerabilidad en php.net https://bugs.php.net/bug.php?id=61509

Patch now!