Archive for Antivirus

Seguridad en las impresoras

Introducción

Cuando hablamos de seguridad en las empresas y qué activos proteger, enseguida se nos vienen a la cabeza los distintos vectores de ataque de nuestros sistemas de información y cómo protegernos de esos posibles ataques. Pero, ¿qué ocurre con la seguridad en las impresoras?

Seguridad perimetral, seguridad en las comunicaciones, seguridad en el puesto de trabajo, seguridad en los dispositivos móviles… son algunos de los ejemplos de protección de activos de la empresa.

Pero estamos pasando por alto un tema importante de seguridad en este planteamiento, y se trata de las impresoras. ¿Existen posibles vectores de ataque a este tipo de dispositivos? Si es así, ¿cuáles podrían ser? Quizás el problema radique en que vemos a la impresora como una “simple” máquina cuya función es imprimir lo que desde un ordenador enviamos.

Si nos detenemos en qué es una impresora, enseguida entenderemos que, además de la electrónica y mecánica pura de una impresora, está dotada de una serie de puertos, interfaz de red, controladores, disco duro y un pequeño ordenador, con su BIOS y con su sistema operativo, que maneja estos recursos.

OK, ahora más o menos nos hacemos una idea, pero ¿qué riesgos hay realmente? Vamos a dividirlos en varios apartados:

Vectores de ataque

Confidencialidad del documento impreso

En entornos corporativos es muy normal que se utilicen impresoras de red que está ubicadas en un lugar remoto de la oficina. ¿Qué ocurre si mandamos a imprimir un documento con información sensible? Desde que nos levantamos del puesto de trabajo hasta que recogemos el documento de la bandeja de la impresora, ¿quién ha podido ver o fotocopiar ese documento?

Las impresoras suelen incluir una funcionalidad llamada impresión privada, que permite proteger con un PIN la impresión del documento. Éste queda en cola hasta que el usuario, después de enviar el documento a imprimir, introduce su PIN de seguridad en la impresora para que ésta imprima el documento.

Vulnerabilidades

La impresora ejecuta una serie de servicios que se publican en unos puertos, por ejemplo para su administración. Hoy en día es bastante habitual que las impresoras puedan ser gestionadas vía Web, por lo tanto disponen de su propio servidor Web que permite esta administración.

El software que gestiona dicho servicio puede estar afectado por algún tipo de error que pueda dar lugar a una vulnerabilidad que podría ser aprovechada por un posible atacante y explotada para, por ejemplo, provocar una denegación del servicio.

Modificación de firmware

Las impresoras para mejorar sus funcionalidades o corregir posibles errores de sus software, permite la actualización de su firmware. Este firmware normalmente está disponible en la Web del fabricante. Un posible ataque podría ser la alteración de este firmware para tomar el control de la impresora de forma remota, capturar tráfico o para lanzar ataques a otros dispositivos de la red.

Robo de información

Ya existen muchas impresoras que incluyen un disco duro para el almacenamiento de información, como pueden ser trabajos, históricos de impresiones, documentos escaneados, etc. Al final ese disco duro podría ser extraído de la impresora, y si no hay un cifrado en la información de éste, se podría consultar sin ningún problema información sensible de los trabajos realizados en la impresora.

Indexación de impresoras en Internet

Muchas impresoras, por razones extrañas, son publicadas directamente en Internet. Esta publicación da lugar a que motores de indexación de dispositivos como Shodan acaben añadiendo a su base de datos información de la impresora como puede ser su banner del servidor Web, dirección IP pública, servicios publicados, localización… Si además, la administración Web no ha sido protegida de forma adecuada, se podría dar el caso de que algún atacante tuviera fácilmente acceso a ella.

Instalación de aplicaciones maliciosas

Por último, y no menos importante, es la mención a la posibilidad de instalar aplicaciones en las impresoras. Aplicaciones que pueden ser potencialmente peligrosas y pueden ser usadas de forma maliciosa para controlar la impresora con fines fraudulentos, como puede ser la captura de tráfico de la red o acceder a trabajos de ésta. Se han dado casos muy curiosos como la instalación del juego Doom en una impresora. Otro vector de ataque a tener muy en cuenta.

Conclusión

Con los posibles vectores de ataque que acabamos de comentar, creemos que son lo suficientemente relevantes para que a dispositivos como impresoras le demos la importancia que realmente tienen, y se apliquen una serie de políticas de seguridad para mitigar o reducir los posibles riesgos que estos vectores puedan suponer para la empresa. Resumiendo, no nos podemos olvidar de la seguridad en las impresoras.

Patito Hunter – Detectar y bloquear un USB Rubber Ducky con Python

“Cazando al patito”

Introducción a USB Rubber Ducky

A estas alturas seguro que ya todos habéis visto (o padecido) o habéis escuchado hablar sobre USB Rubber Ducky, conocido familiarmente como el “patito“. Para los que no, simplemente decir que se trata de un dispositivo USB con apariencia similar a un pendrive o flashdrive de toda la vida pero que en realidad es un dispositivo HID (Human Interface Device). En este caso se trata de un teclado que almacena una serie de comandos que son ejecutados cuando el dispositivo se conecta a un ordenador, portátil, tablet o smartphone. Los comercializan los chicos de Hak5, pero en España también tenemos representación de la empresa Phoenix Intelligence & Security que también fabrican dispositivos similares. Como os podéis imaginar las posibilidades son infinitas.

Aquí tenéis dos artículos en nuestro blog mostrando sus posibilidades:

Cuando el pato teclea Cuack Cuack – Parte 1

Cuando el pato teclea Cuack Cuack – Parte 2

Cabe destacar además que a día de hoy, muy pocos fabricantes de malware detectan y bloquean este tipo de dispositivos, solo G-Data con su USB Keyboard Guard. Eso sí, de momento solo para Windows.

USB Rubber Ducky - Ninja

Objetivos

En este caso no he venido aquí para escribir cómo funciona el USB Rubber Ducky y sus posibilidades, que como ya he dicho antes, son muchas desde el punto de vista ofensivo. Los objetivos de este artículo son:

  1. Explicar en qué he basado mi investigación
  2. Presentar la herramienta “Patito Hunter
  3. Aprender, hackear y compartir.

Ya en este blog he ido publicando artículos sobre análisis de dispositivos USB con Wireshark, concretamente los artículos los podéis encontrar en estos enlaces:

Análisis de un dispositivo USB con Wireshark – Parte 1

Análisis de un dispositivo USB con Wireshark – Parte 2

En estos artículos se explica cómo capturar tráfico USB con Wireshark para a continuación analizar la información obtenida y saber cómo funcionan los dispositivos USB; desde que lo conectamos al equipo, se intercambia información del dispositivo, sus configuraciones o interfaces. Desde la publicación del primer artículo, en octubre de 2015, he ido analizando con Wireshark la información de distintos dispositivos USB, y de distintas clases (Mass Storage, Printer, HID, etc).

Esta misma información puede ser usada para analizar otros dispositivos de tipo Bad USB, como puede ser el propio USB Rubber Ducky o LAN Turtle (la famosa tortuga). Como he comentado en la introducción, un “patito” emula el funcionamiento de un dispositivo HID, concretamente un teclado, pero con sus diferencias. Y son precisamente estas diferencias las que me han llevado a desarrollar una pequeña herramienta, a la que he llamado cariñosamente “Patito Hunter” para detectar y bloquear los USB Rubber Ducky, basándome precisamente en esas diferencias. Read more

Controlando dispositivos USB con soluciones Endpoint – Parte II

Volvemos con la segunda parte de nuestro artículo “Controlando dispositivos USB con soluciones Endpoint“. En esta segunda parte vamos a ver como utilizar otro EndPoint de un fabricante muy conocido por su amplio despliegue de productos y sobre todo la calidad de los mismos.

Hablamos de ESET EndPoint.

Si el anterior artículo lo orientamos a la gestión cloud de nuestro EndPoint para una red de equipos considerable, ya que puede ser más cómodo, en el post de hoy vamos a desgranarlo en modo local usando ESET EndPoint.

Si te perdistes en el anterior artículo puedes volver a verlo aquí.

Como ya sabéis, la fuga de información es otra forma de “ataque” a empresas. Quizás cuando hablamos de (in)seguridad nos centramos en las agresiones externas por parte del típico hacker con pasamontañas que pretenden reventar nuestros servidores, Webs, etcétera… pero hay frentes abiertos por todos lados.

Aunque para nada soy ducho en la materia de enfermería ni tengo conocimientos de ningún tipo sobre ello, me atrevería a hacer el símil para explicar, sencillamente, la inseguridad informática.

Las desventajas del “Internet de las cosas” deja abierta una herida que es muy difícil cerrar o más bien, imposible de cicatrizar.

Por ello, y hablando metafóricamente, necesitamos utilizar cuanto más “povidona yodada” mejor para que siempre esté limpia y seca la “herida”.

Pero no solo vamos a usar un determinado “antiséptico” o medicina para combatir las fisuras de seguridad sino que vamos a complementar unos con otros. Si tenemos un Firewall, WAF, Antivirus, Antimalware, Sistema de backup, etcétera… sería aconsejable tener alguna política anti “fuga” de información, por ejemplo.

270x240-endpoint-security Read more

Analizar malware con Anubis

En la última semana hemos recibido en nuestro laboratorio unos binarios provenientes de campañas de phishing y envío de malware, que hemos procedido a analizar de una forma muy práctica y bastante efectiva por el resultado de dicho análisis, que nos permite rápidamente extraer unas primeras contramedidas por si ha habido alguna infección. Vamos a analizar malware con Anubis.

El último de los ficheros lo hemos recibido esta misma mañana y es el que usaremos en este artículo.

Concretamente se trata de un fichero adjunto en este mensaje que “generosamente” Bobby nos envía y que se le había olvidado adjuntar en un correo anterior. Todo un detalle.

Analizar malware con Anubis

Un primer paso era analizar el fichero con el antivirus instalado en uno de los equipos usados como sandbox, con antivirus Avira actualizado hasta el día. En ese primer análisis no salió ninguna detección. Acto seguido, decidimos probar con los 57 motores de análisis de VirusTotal (donde pudimos comprobar que el motor de Avira no lo detectaba), obteniendo en un primer análisis sólo 7 detecciones de los 57 motores, y al cabo de 2 horas un resultado de 12 detecciones.

Analizar malware con Anubis

Aunque nuestro antivirus Avira no lo había detectado, gracias a VirusTotal pudimos comprobar que efectivamente se trata de malware, concretamente el troyano Trojan.Upatre.Gen.3.

Como desconocemos lo que este troyano es capaz de hacer, y queremos saber posibles contramedidas por si ha habido alguna infección, procedemos a subir el archivo a Anubis, donde además de un análisis del binario, lo desplegará y ejecutará en una máquina Windows propia, nos indicará las modificaciones en el sistema de ficheros, posibles entradas de registro y lo que es muy interesante también, nos facilitará una captura del tráfico generado por este malware tras su ejecución.

Analizar malware con Anubis

Como podemos ver en la imagen anterior, tras subir el fichero a Anubis y ser analizado, tenemos a nuestra disposición el informe del análisis en varios formatos, y en la parte inferior un enlace al fichero pcap resultante de la captura de tráfico realizada.

Veamos qué tiene ese fichero si lo abrimos con Wireshark:

Analizar malware con Anubis

Si filtramos los paquetes por tráfico http podemos ver algunas cosas interesantes. Por ejemplo que hace una petición a la IP 91.198.22.70. ¿Qué habrá en ese recurso?

Analizar malware con Anubis

¡Anda qué curioso! Es para saber desde qué IP pública nos hemos infectado. Sigamos. Podemos ver también varias peticiones para descarga de supuestos ficheros PDF, que seguro que no lo son y a su vez realizarán otro tipo de acciones maliciosas como descarga de otros binarios necesarios para lanzar su ataque, que tiene toda la pinta de CryptoLocker.

Como podéis ver, haciendo uso de servicios online totalmente gratuitos podemos de forma rápida y sencilla hacer un análisis del malware y sacar unas primeras conclusiones, y lo que es más importante, aplicar unas contramedidas que mitiguen o reduzcan el riesgo que esta amenaza pueda suponer para los sistemas de información de cualquier organización.

¿Contramedidas? Obviamente en primer lugar realizar un análisis de los posibles equipos infectados, concienciar al usuario de no abrir archivos adjuntos en correos de remitentes desconocidos y aplicar algunas reglas en la seguridad perimetral, por ejemplo, denegar el tráfico desde / hacia las direcciones IP observadas en la captura de tráfico. Se ha comprobado que están reportadas como servidores maliciosos.

Por cierto, en una de esas direcciones IP nos espera un bonito RouterOS de MikroTik. 😉

Analizar malware con AnubisComo siempre, espero que sea de vuestro interés, y nos leemos en siguientes artículos.

¡Saludos!

Parando Metasploit con Snort

Hoy vamos a ver como podemos detectar cualquier tipo de ataque a una aplicación vulnerable de nuestro servidor, simplemente analizando aquellos posibles exploit que puedan ser lanzados contra este y añadiendo una regla en nuestro IDS para detectarlos y pararlos, en nuestro caso utilizaremos Snort. El escenario sería el siguiente:

escenarioPC-Metasplit

La idea es identificar una característica única del exploit a detectar con el IDS y crear una regla con Snort para detectarlo. Para ello previamente lo que hacemos es lanzar el exploit para explotar la vulnerabilidad y capturar el tráfico para analizarlo.

meterpreter

En este momento tenemos que identificar una característica única/particular de este exploit. Debemos ser capaces de obtener la máxima información de como funciona el exploit, para ello podemos analizar el código del propio exploit así como examinar su documentación.

Exploit –> http://www.exploit-db.com/exploits/28681/

Concretamente hemos usado un exploit bajo metasploit para explotar el puerto 21 de un FreeFTPd con una vulnerabilidad que lleva a cabo un PASS Command Buffer Overflow, es decir, introducir una contraseña no esperada para provocar un desbordamiento de buffer. Lanzamos el exploit varias veces y obtenemos varios ficheros .pcap que nos disponemos a analizar exhaustivamente:

wireshark1

wireshark2

Una vez que somos capaces de sacar información que identifique al exploit unívocamente nos disponemos a generar una regla en Snort. Las reglas en Snort constan de dos partes: la cabecera y las opciones. El objetivo de este artículo no es explicar el funcionamiento de Snort, ni tampoco el de como crear una regla, para ello podéis consultar su manual en http://manual.snort.org/.

Si analizamos cada uno de los paquetes que lanza el exploit veremos que se están inyectando operaciones tipo NOPs (No-Operation, instrucciones que no hacen nada, como por ejemplo sumarle 0 a un registro) para rellenar instrucciones además del Payload inyectado. Esto se suele hacer por muchos tipos de malware para reconducir la ejecución del programa, caso de caer en una posición de memoria donde haya una NOP, se ejecutarán todas las instrucciones que no hacen nada hasta llegar al trozo de código malicioso que realmente quiere ejecutar el atacante. Vemos con Wireshark las NOPs y lo que realmente inyecta el Payload.

nops

user_pass

Con toda esta información ya podemos crear un regla en nuestro IDS Snort para detectar este exploit. A continuación mostramos la regla creada según las peculiaridades encontradas en el exploit:

drop tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:”Exploit FreeFTPd  PASS Command Buffer Overflow detectado by Hacking-Ético”;  content:”USER anonymous”; content:”PASS “; pcre:”/^PASS\s[^\n]{100}/smi”; classtype:shellcode-detect; sid:1000001; rev:1; nocase;) ;

Hemos visto que el exploit va dirigido al puerto 21, que hace uso del usuario anónimo y que introduce varios caracteres raros en la parte de la PASS, por tanto esas serán nuestras características concretas para nuestra regla.

Analicemos pues la parte de la cabecera:

drop tcp $EXTERNAL_NET any -> $HOME_NET 21

Se aplicará la regla de eliminación de paquete (drop) a todos aquellos paquetes que vengan vía tcp desde una red exterior ($EXTERNAL_NET es una variable que identifica cualquier IP externa) desde cualquier puerto de comunicación en el origen (any); y cuya petición vaya destinada a una IP interna ($HOME_NET idem IP interna) sobre el puerto 21.

 Dentro de la parte de las opciones:

(msg:”Exploit FreeFTPd  PASS Command Buffer Overflow detectado by Hacking-Ético”;  content:”USER anonymous”; content:”PASS “; pcre:”/^PASS\s[^\n]{100}/smi”; classtype:shellcode-detect; sid:1000001; rev:1; nocase;) ;

En este apartado determinaremos que características tienen los paquetes que deben ser eliminados. Dejaremos constancia del bloqueo de paquetes en el log de Snort con el mensaje que aparece en msg.

El paquete debe ser una petición de usuario anónimo y que la clave contenga alguno de los datos contenidos en la expresión regular (pcre). Dicha expresión regular debe estar escrita en perl, podéis encontrar diferentes expresiones regulares y reglas en el fichero policy.rules de Snort. El resto de las opciones determinan la clase de paquete (classtype), el identificador de la regla local (sid) y revisión (rev); y por último añadimos la palabra nocase para indicar al motor de Snort que la aplicación de la regla no sea “case-sentitive“.

La regla se añadirá al final del fichero de configuración de snort (snort.conf). Una vez añadida se comprueba su funcionamiento con los .pcap capturados del ataque para ver si es efectiva en caso de producirse nuevo ataque.

snort -A fast -c /ruta/snort.conf –pcap-dir=”/ruta/pcaps/” -l .

-A modo de la alerta, rápida en este caso (fast)

-c fichero de reglas, en este caso el snort.conf que hace referencia a todos los ficheros de reglas de que se encuentra en la carpeta de snort (/rutaSnort/rules) y además contiene al final nuestra regla. Debe ponerse todo en una sola línea.

–pcap-dir indicamos la carpeta donde están los pcap para comprobar.

-l indicamos la carpeta de salida del log (se creará un fichero llamado alert)

Una vez comprobado el funcionamiento de las reglas con los pcaps que contienen la captura del exploit, obtenemos el siguiente resultado:

alert

 Vemos como además de nuestra regla, hay otras reglas dentro de snort que detectan el uso del usuario anonymous o el overflow en la PASS. Ahora sólo tendremos que coger un exploit de un 0day y analizarlo para crear una regla de Snort y que no afecte a nuestro servidor hasta que podamos parchear la vulnerabilidad en cuestión. También se suele analizar el tráfico que genera ciertos malware y crear reglas en función de las peticiones que realicen.

Bueno ahora sólo queda que os pongáis a jugar con algunos exploits y los analicéis para poder detectarlos.

Un handshake

@eduSatoe

“Si caminas solo andarás más rápido, si caminas acompañado llegarás más lejos”

PrivacyFix: Tu privacidad depende de la privacidad de los demás

¿Crees que eres dueño de tu privacidad? Redes sociales, portales de Internet, grupos de Whatsapp, aplicaciones móviles que solicitan muchos permisos… hoy día es muy difícil proteger nuestra privacidad, pues nuestra vida virtual está conectada con nuestra vida real.

¿Realmente controlas las fotografías que aparecen tuyas en las redes sociales, conoces aspectos tan importantes como la geolocalización, sabes qué aplicaciones móviles requieren los datos de tu teléfono…? En definitiva, ¿sabes qué información se publica de ti en Internet?

A día de hoy es imposible controlar nuestra privacidad al completo ya que nuestra privacidad depende de la privacidad de los demás, una foto en el teléfono de un amigo, un perfil de Twitter con geolocalización activada donde se te etiqueta en una foto, un perfil de Facebook público donde aparecen fotos de menores… Son algunos ejemplos de que no somos dueños de nuestra privacidad.

A continuación vemos algunos ejemplos de información sensible:

twitter

  • Geolocalización que guarda Gmail desde nuestra cuenta configurada en nuestro teléfono Android (¿Está tu cuenta de gmal entre los 5 millones de cuentas vulneradas hace unos meses? Ver aquí)

gmail

  • Perfiles públicos en Facebook con información sensible u obtenidos a partir de un número de teléfono móvil publicado en Internet (MilAnuncios, BlaBlaCar, etc).

facebook

Además de estos ejemplos, tenemos también un caso muy importante a tratar sobre la privacidad, concretamente de las fotografías que otras personas suben de nosotros a Internet, bien por redes sociales o chats. A continuación podéis ver un video donde se aclara perfectamente:

Como complemento a esta información podéis ver un artículo sobre El peligro de las Redes Sociales que publicamos hace unos meses.

Algunas de estas fugas de información se pueden evitar para proteger nuestra privacidad, tan sólo hay que configurar de manera correcta nuestras redes sociales, cuentas de correo u otros perfiles de usuario utilizados en Internet. Ahora esto es muy sencillo haciendo uso de la herramienta Privacy Fix de AVG.

¿Qué es PrivacyFix?

Privacy Fix es su panel de privacidad en línea. Este complemento para navegadores y app para dispositivos móviles realiza un análisis para detectar problemas de privacidad y te ayuda a configurar los ajustes para corregirlos.

Concretamente podemos llevar a cabo el fixeo de la configuración de los siguientes apartados:

  1. El seguimiento de navegación del usuario.
  2. Cuenta de Gmail.
  3. Perfiles de Twitter, Facebook y LinkedIn.

1. En la siguiente imagen vemos cómo podemos corregir fallos de privacidad respecto al seguimiento de cookies o widgets que rompan nuestra privacidad en Internet.

00privacyfix

A medida que vamos corrigiendo los diferentes ajustes veremos como la barra de proceso va avanzando.

2. El seguimiento que Google hace de nosotros conlleva entre otras cosas el almacenamiento del historial de búsqueda, cosa que podemos corregir. También el seguimiento de cookies por parte de anunciantes para poder ofrecernos sus productos independientemente de la Web que visitemos.

01google

3. Por último vamos a corregir nuestra configuración de seguridad/privacidad de nuestras redes sociales.

Dentro de Twitter podemos corregir varios aspectos que vemos a continuación.

02twitter

En la siguiente imagen vemos como PrivacyFix nos asiste para desactivar de manera correcta la geolocalización en los tweets.

02_1twitter

Dentro de Facebook podemos corregir varios aspectos que vemos a continuación.

03facebook

Dentro de LinkedIn podemos corregir varios aspectos que vemos a continuación.

04Likedin

Una vez que tenemos todos los puntos corregidos veremos la barra de proceso al 100%, lo cual quiere decir que los aspectos de privacidad de nuestras redes sociales y cuentas están bien configurados.

A medida que naveguemos por Internet podemos ver en la barra de navegación el complemento de PrivacyFix y consultar aspectos de privacidad sobre la Web que visitamos en ese momento.

panel

Espero que seáis conscientes de la importancia que tiene preservar nuestra privacidad en la red y lo que nos puede ayudar esta herramienta a ello. Para finalizar os dejo un video que puede darnos que pensar sobre el camino que lleva nuestra sociedad en relación al uso de las redes sociales y la importancia de las mismas:

Hasta la próxima y cuidar de vuestra privacidad porque de ella depende también la privacidad de los demás.

¡Un handshake!

@eduSatoe

“Antes de cambiar el mundo, da tres vueltas por tu casa”

Proverbio chino

Pharma Hack

Recientemente llegó a nuestras manos una incidencia de un sitio Web el cual había sido infectado con malware. Este malware, conocido como “Pharma Hack“, hacía que el sitio saliera referido como una Web de productos farmacéuticos sin serlo. Pero en absoluto tenía nada que ver con artículos de farmacia.

Incluso si buscabas en Google algo referente sobre ese sitio salían entre los resultados palabras relacionadas con “Prozac”, “Viagra” y similares.

busqueda

Esto es debido a que el sitio había sido comprometido por un malware teniendo como objetivo el “Pharma Hack” una técnica algo desconocida para los ciudadanos de a pie, pero comúnmente conocida en nuestro ámbito de la Seguridad Informática, llamada CLOAKING.

Según la Wikipedia el CLOAKING consiste en:

“Esta técnica consiste en mostrar contenido diferente al usuario y al bot que rastrea el sitio web, con el objetivo de manipular lo que éste indexa. El “cloaking” es una técnica penalizada por los motores de búsqueda de la web. Algunos buscadores, como Google, ofrecen la posibilidad a los usuarios de denunciar cualquier web que haga uso de dichas técnicas. Otros trucos fraudulentos que se utilizan para mejorar el posicionamiento de las páginas, son las páginas doorway, el texto oculto, las páginas duplicadas, enlaces ocultos, el spam en weblogs y libros de firmas, el abuso de palabras clave y la compra y venta de enlaces.”

viagra

Read more

Diseccionando malware: javascript malicioso en una Web

Diseccionando malware, suena a quirófano y bisturí, pero es lo que realmente intento metafóricamente hacer, ya que cada vez es más frecuente encontrarnos con algún código JavaScript malicioso en una Web. En los últimos días, han sido muchas las tareas de limpieza de malware en sitios Web que he tenido que hacer, y algunas de estas experiencias quiero compartirlas con vosotros, estimados hackers éticos 😉

Comencemos por nuestro software antivirus, que estando debidamente configurado y actualizado, nos tiene que avisar cada vez que aterricemos en una Web con código Javascript malicioso. Ya no tanto por la capacidad de navegación segura que incorporan si no porque al tratarse de archivos temporales que nuestro navegador “obedientemente” almacena en nuestras carpetas temporales, detecta como un archivo con malware.

Desde el punto de vista del cliente, propietario de la Web, la preocupación es tremenda ya que sus clientes a su vez se le quejan de que al navegar, su antivirus o Google Safe Browsing (hablaremos en otra ocasión de esto), alertan de la presencia de software maligno. A continuación un ejemplo de este tipo de avisos. Read more

Explotando vulnerabilidad en Java 7 – PoC

A estas alturas creo que todo el mundo está ya al tanto acerca de la vulnerabilidad en Java 7, y de la cual Oracle aún no ha publicado una actualización de seguridad. Ayer mismo anunciábamos en este blog la criticidad de esta vulnerabilidad y de la gravedad de la misma.

La gravedad se acentúa cuando ya se ha publicado un exploit capaz de aprovecharse de esta vulnerabilidad y explotándola, permitiendo al atacante ejecutar código remoto en la máquina vulnerada.

Explotando vulnerabilidad en Java 7 – PoC

Todo esto, y gracias a que en Metasploit ya tenemos disponible el exploit, me he decidido a hacer una PoC (Proof of Concepto, prueba de concepto) para comprobar realmente la criticidad de facilidad de explotación de la nombrada vulnerabilidad.

Para empezar, decir que he actualizado Metasploit hoy mismo para tener todos los módulos actualizados. También he vuelto a instalar y habilitar Java 7 en un Internet Explorer para realizar las pruebas, ya que lo tenía deshabilitado desde que salió la noticia de la vulnerabilidad.

Read more

¿Funciona tu antivirus?

La importancia de tener un antivirus en un sistema Windows es imperativa. Como bien sabéis, Windows es el sistema operativo más atacado del mundo. Hoy por hoy no tener alguna barrera en forma de antivirus, firewall, utm, etc… es “vender” tu equipo a los dueños de lo ajeno.
Existe la creencia popular, que teniendo instalado el antivirus ya estás aislado en un búnker donde nadie puede desarrollar un ataque contra tu sistema. Pero lejos de la realidad, tener un antivirus y actualizado sólo te protege en cierta medida, digamos que en un 70%-80%. Lamentablemente los usuarios suelen instalar antivirus con licencias trial que caducan en 30 días, antivirus con extraños cracks que pueden contener troyanos, o simplemente tienen antivirus sin actualizar.
Pero sin embargo, también puede haber gente segura de que su antivirus está actualizado y aunque sea gratis o de pago, tienen dudas si realmente tiene activada la protección en tiempo real, es decir, si el antivirus está controlando todas las acciones de mi sistema.
¿Cómo saber si mi antivirus realmente me protege?

Fuente: http://www.audienciaelectronica.net