Blog sobre seguridad informática, privacidad, anonimato, hacking ético, programación y sistemas operativos en general.

sábado, 12 de noviembre de 2016

IRCTELNET, UN NUEVO TROYANO QUE PERSIGUEN LOS DISPOSITIVOS IOT



Los dispositivos afectados por IRCTelnet leen comando de chat IRC comunitario 

La segunda parte del año está siendo bastante confusa para los propietarios y fabricantes de estos dispositivos. De cara a los ciberdelincuentes se han convertido en el mejor aliado para realizar ataques DDoS y para los usuarios un auténtico dolor de cabeza. Una prueba más de todo esto es el último troyano detectado y bautizado con el nombre IRCTelnet.
Ha sido durante el fin de semana pasado cuando los expertos en seguridad de diferentes empresas se percataron de la existencia de esta amenaza, cuya única finalidad es infectar el dispositivo IoT y así vincularlo a una botnet que realizará ataques de denegación de servicio.
Ya hemos desvelado cuál es el nombre de la amenaza, pero es necesario conocer algunos detalles técnicos. Lo primero que han dado a conocer los investigadores es el lenguaje de programación en el que se encuentra programada, siendo C++ el elegido en esta ocasión por los ciberdelincuentes.
Utilizando su nombre, se deja entrever que al menos uno de los servicios atacados será Telnet. Los expertos en seguridad así lo han confirmado. IRCTelnet realiza ataques de fuerza bruta contra el puerto de este servicio, con el fin de ganar control remoto sobre el dispositivo IoT.

Los dispositivos afectados por IRCTelnet leen comando de chat IRC comunitario

Aunque pueda parecer una amenaza que carece de complejidad, la poca que posee está muy bien aplicada. Los ciberdelincuentes introducen variaciones en el código que se ejecuta en el dispositivo, permitiendo que un cliente IRC sea capaz de leer un chat comunitario, lugar en el que se publicarán instrucciones. Esto permite distribuir el comando de una forma mucho más rápida y eficaz, en lugar de enviar a cada uno lo que debe ejecutar, realizando ataques de denegación de servicio muy eficaces

Versiones del kernel Linux afectadas

Los expertos en seguridad han manifestado que los dispositivos que posean la versión 2.6.32 o superior sos susceptibles de verse afectados, sobre todo si las credenciales de acceso al servicio Telnet son demasiado obvias, ya que para aplicar la fuerza bruta los ciberdelincuentes se están valiendo de diccionarios con las claves más comunes

Con respecto al tamaño de la misma, hay que decir que por el momento este se limita a solo 3.400 dispositivos. Sin embargo, solo lleva operativo una semana, por lo que es de esperar que durante las próximas semanas la actividad para infectar dispositivos pertenecientes al IoT sea frenética.

Ni que decir tiene que la mejor forma de proteger nuestros dispositivos frente a esta amenaza es utilizar contraseñas seguras y modificar aquellas que vienen por defecto en los dispositivos.

Fuente: Jeff

domingo, 6 de noviembre de 2016

¿Quieres estar al tanto de las Actualizaciones de nuestra Herramienta?


¿Quieres estar al tanto de las Actualizaciones de nuestra Herramienta?

Extencion de Github para Firefox
 Si quieres estar al tanto, y saber de todas las actualizaciones de nuestra herramienta WebHackSHL en unos sencillos pasos pues ¡Quédate y Sigue leyendo el post!.

 Como ya muchos saben SecHackLabs esta trabajando apegado al pensamiento OpenSourcer con licencias GPLv3, es por eso que nuestras herramientas están en en Github.

 Ahora vengo a traerles una pequeña extencion para mantenerlos informados sobre todo lo que pase en la cuenta SecHackLabs de Github, empecemos.

 Lo primero que haremos sera descargarnos una extencion para firefox AQUI. Que no es oficialmente de Github pero también es OpenSourcer. su repo aquí Github-Notifier

 Al instalar la extencion en firefox la vamos a dar click, lo que nos abrirá la web te Github donde nos pedirá nuestra cuenta... ¿Que no tienes cuenta en Github? -Bueno a Crearla, los espero toma 5 min y Seguimos.



Nos logeamos en nuestra cuenta y nos saldrá automáticamente la configuración de nuestras notificaciones.

Le daremos a "your notification settings" Y activaremos lo siguiente.

Hasta ahora esta casi listo. ¿Que faltaria? -claro claro Obviamente Seguir Nuestra cuenta, Pues fácil nos vamos aquí SecHackLabs-Github le das al botón de Luego a WebHackSHL Y al Botón arriba a la Derecha que dice Watching.


 Y estamos listos para ver cualquier novedad de WebHackSHL en nuestro navegador.

Tambien se pueden pasar por nuestro chat en XMPP
Y Nuestro Chat en IRC Donde contamos con Bot que también les proveen buena información sobre nosotros. 

¿Fácil no?. Espero sus follow y Miradas en nuestros Repos. 
___________________________________________________________________
Les saluda Jeff. (PentSec) Developer.




 

sábado, 5 de noviembre de 2016

¿Qué es KeePassX?















KeypassX es un gestor de contraseñas multiplataforma, open source y ademas es cifrado. Esto quiere decir que almacena tus contraseñas de una manera segura para que no tengas que recordarlas más. Solo una contraseña maestra es requerida para acceder a la aplicación, pero es mucho más fácil recordar una sola a recordar un montón.


KeePassX genera archivos cifrados con tus contraseñas que puedes guardar en una carpeta compartida o enviar por e-mail si lo necesitas. Son bastante seguros gracias a que la base de datos siempre esta cifrada, bien sea con AES (también conocido como Rijndael) o el algoritmo cifrado Twofish con una llave de 256 bits.


De hecho, no almacena solo contraseñas, puede guardar información como nombres de usuario y URLs, por mencionar algunas. Para facilitar su administración, permite personalizar las entradas con títulos e iconos que ayudan a identificarlas, y que junto a su opción de búsqueda lograran que ninguna contraseña se te pierda de nuevo jamás.


Otra de sus características, es la utilidad para generar contraseñas seguras, una opción maravillosa para que los que aún lo hacen, dejen de utilizar la fecha de cumpleaños o el DNI. Es muy fácil de usar y muy valorada por quienes suelen manejar grandes volúmenes de contraseñas o simplemente a los que se nos acabo la creatividad para crearlas.


Puedes encontrar KeepasX en los repositorios de tu distribución Linux. También esta disponible para OS X y Windows desde su https://www.keepassx.org/
Para instalar KeePassX
Ubuntu/Debian


Red Hat




viernes, 4 de noviembre de 2016

SecHackLabs - Hacking con Nmap: Conociendo la herramienta de escaneo Nmap.



Nmap (Network Mapper, mapeador de redes) es una sofisticada utilidad para la
exploración y auditoría de seguridad de redes TCP/IP. Ha sido diseñado para
escanear de forma rápida, sigilosa y eficaz tanto equipos individuales como redes de gran tamaño. Es una herramienta gratuita, de código abierto bajo licencia GPL, bien documentada, multiplataforma, disponible para consola, y que ofrece también una interfaz gráfica para facilitar su uso. Está escrita por un hacker conocido como Fyodor, y se beneficia de las aportaciones de una nutrida comunidad de colaboradores.

Nmap es una popular herramienta de seguridad utilizada tanto por administradores de red y analistas de seguridad, como por atacantes. Esto es debido a la gran cantidad de información que es capaz de descubrir de una red utilizando una gran variedad de técnicas que la hacen notablemente efectiva y sigilosa. Para ello, Nmap explora equipos remotos mediante secuencias de paquetes TCP/IP tanto convencionales como no convencionales, es decir, paquetes en bruto convenientemente modificados que provocarán o no una respuesta en el objetivo de la cual poder extraer información. Entre esta información se encuentra, por ejemplo: el estado de los puertos y servicios, el sistema operativo, la presencia de cortafuegos, encaminadotes u otros elementos de red, así como del direccionamiento IP de la subred. El tipo de respuestas recibidas ayudan a determinar la identidad de la pila TCP/IP implementada en el sistema operativo remoto.

La información extraída con Nmap puede ser utilizada para múltiples usos. Los más habituales son los siguientes:

* Descubrimiento de subredes.
* Análisis de penetración de redes y equipos.
* Evaluación de la implantación de cortafuegos y de la eficacia de herramientas de detección y prevención de intrusiones.
* Descubrimiento del estado de puertos de comunicaciones.
* Descubrimiento de los servicios disponibles en un servidor, así como de sus
versiones.
* Descubrimiento del tipo y versión del sistema operativo instalado en el
equipo remoto.
* Obtención de información adicional acerca de servicios y equipos, a través
de la ejecución de scripts convenientemente elaborados.

Características

  • Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping.
  • Identifica puertos abiertos en una computadora objetivo.
  • Determina qué servicios está ejecutando la misma.
  • Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting).
  • Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

Aplicaciones típicas

Ha llegado a ser una de las herramientas imprescindibles para todo administrador de sistema, y es usado para pruebas de penetración y tareas de seguridad informática en general.
Como muchas herramientas usadas en el campo de la seguridad informática, es también una herramienta muy utilizada para hacking.
Los administradores de sistema pueden utilizarlo para verificar la presencia de posibles aplicaciones no autorizadas ejecutándose en el servidor, así como los crackers pueden usarlo para descubrir objetivos potenciales.
Nmap permite hacer el inventario y el mantenimiento del inventario de computadores de una red. Se puede usar entonces para auditar la seguridad de una red, mediante la identificación de todo nuevo servidor que se conecte.
Nmap es a menudo confundido con herramientas para verificación de vulnerabilidades como Nessus. Nmap es difícilmente detectable, ha sido creado para evadir los Sistema de detección de intrusos (IDS) e interfiere lo menos posible con las operaciones normales de las redes y de las computadoras que son analizadas.

Entornos de trabajo

Nmap puede funcionar en sistemas operativos basados en Unix (GNU/Linux, Solaris, BSD y Mac OS X), y también en otros Sistemas Operativos como Microsoft Windows y AmigaOS.

Interfaces gráficas

La interfaz usuario oficial es nmapfe, escrita originalmente por Zach Smith, y Nmap lo integra desde la versión 2.2.
Existen otras interfaces basadas en navegadores Web. Algunos ejemplos son LOCALSCAN,  nmap-web, y Nmap-CGI.
NmapW es una interfaz sobre Microsoft Windows escrita por Syhunt. NmapWin es otra interfaz para Windows. Sin embargo, no ha sido actualizada desde la versión 1.4.0 lanzada en junio de 2003.
Una plataforma completa Nmap con capacidades para funcionar sobre distintos OS se encuentra en UMIT. Su autor es Adriano Monteiro Marques. Zenmap es la interfaz oficial para sistemas operativos GNU/Linux, Windows, Mac OS X, etc.

Historia

Nmap apareció en septiembre de 1997, en un artículo de la revista Phrack Magazine. El código fuente venía incluido.
Otros desarrollos incluyeron mejores algoritmos para determinar qué servicios estaban funcionando, reescritura de código de C a C++, se agregaron tipos de scan adicionales y nuevos protocolos como IPv6.
Nmap 3.5 apareció en febrero de 2004, y la versión 4.0 en enero de 2006, con cientos de mejoras. Los cambios de cada versión se pueden encontrar en el listado de cambios de Nmap.

Controversia

De manera análoga a la mayoría de herramientas utilizadas en seguridad informática, Nmap puede usarse para bien o para mal.

  • Puede usarse solo o para preparar otro ataque, con otra herramienta de intrusión.12
  • Pero los mismos administradores de sistemas lo utilizan para buscar fallas en sus propias redes, o bien para detectar computadoras que no cumplen con los requisitos mínimos de seguridad de la organización (nótese que Nmap por sí solo sólo dará una indicación básica de la vulnerabilidad de una computadora, y que normalmente es usado en conjunto con otras herramientas y tests).
Nmap es a menudo confundido con herramientas de investigación de vulnerabilidad como Nessus, las cuales van más lejos en su exploración de sus objetivos.

Cultura Popular

  • Nmap ha sido también usado en el film The Matrix reloaded por el personaje Trinity para penetrar en el sistema de la central eléctrica, mediante la explotación de vulnerabilidades en el servidor SSH y en el Control de redundancia cíclica, (descubiertas en el 2001). La interfaz gráfica de Nmap en la película suscitó el interés de las discusiones en Internet, y fue comentado como una aparición bastante realista de las herramientas de hacking. En esas discusiones, algunos piensan que el personaje Trinity utilizó el ataque Control de redundancia cíclica  (descubierto en 2001) para obtener el acceso, luego de que Nmap revelara la existencia de un servicio SSH.
  • Nmap y NmapFE fueron también usados en The Listening, una película de 2006 sobre un ex funcionario de la NSA estadounidense, que deserta y organiza una estación de contraespionaje en los alpes italianos.
  • Partes del código fuente de Nmap pueden verse en la película Battle Royale.
  • Imágenes extraídas de películas y otras alusiones a Nmap pueden verse en la página https://nmap.org/movies/ del sitio web oficial de Nmap.  

Esperamos que este post haya sido de su utilidad, cualquier duda o sugerencia pueden dejarla en los comentarios.

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram. 

martes, 1 de noviembre de 2016

¿ES INTERNET EN LOS AVIONES UNA PUERTA PARA CIBER-ATAQUES?






La conectividad a internet en pleno vuelo, que parecía ser un nuevo estándar de innovación y calidad en el servicio de las aerolíneas comerciales, comienza a generar temor ante posibles acciones de hackers.

Lo que parecía ser un nuevo estándar en el servicio de las aerolíneas comerciales, nacido de su voluntad de satisfacer a los usuarios deseosos de mantenerse permanentemente conectados a internet, ahora es motivo de preocupación. El gobierno de Estados Unidos le solicitó a su Oficina de Fiscalización Superior (GAO, por sus siglas en inglés) que realizara una auditoría de las amenazas latentes para el sector aéreo. Y los expertos conlcuyeron que los servicios de wi-fi en pleno vuelo podrían terminar abriéndole una puerta a ataques terroristas.
De hecho, en el reporte de la GAO –que fue reseñado por el diario inglés The Guardian– se admite que un hacker viajando como pasajero podría teóricamente obligar a un avión a precipitarse a tierra. Según los expertos, no sería fácil. Pero podría pasar.

“Los aviones modernos están incrementando su capacidad de conexión a internet. Esta conectividad potencialmente puede permitir acceso remoto a los sistemas de vuelo de la nave”, se lee en el reporte de la GAO. En opinión de esta institución, el esfuerzo de la Administración Federal de Aviación estadounidense (FAA, por sus siglas en inglés) y las líneas aéreas por modernizar la tecnología a bordo representa una vulnerabilidad que puede ser explotada para mal.

Misma red

 

El reporte resalta que la cabina de los pilotos y la de pasajeros están conectadas a internet a través de la misma dirección de conexión a la red. Y aunque la conexión entre el sistema de acceso de los pasajeros y los sistemas del avión se encuentra fuertemente supervisada por firewalls (programas que bloquean el acceso a una red a desconocidos), los analistas señalan que los mismos no pueden ser asumidos como impenetrables.

“De acuerdo con expertos en seguridad cibernética entrevistados, la conexión a internet en la cabina debe ser considerada como un vínculo directo entre la aeronave y el mundo exterior, lo cual incluye potenciales actores malignos”, dice el reporte. Y se sabe que la FAA no verifica de forma exhaustiva el nivel de seguridad cibernética de los nuevos aviones antes de certificar que se encuentran en condiciones para operar comercialmente.
Además, entre otras vulnerabilidades detectadas también figura la capacidad para prevenir y detectar accesos no autorizados a la vasta red de computadoras y sistemas de comunicación que la FAA utiliza para monitorear vuelos alrededor del mundo.

Las recomendaciones

 

El reporte de la GAO reconoce que la Administración Federal de Aviación ha tomado pasos para mejorar sus políticas de seguridad cibernética, pero “existe margen de acción para otras modificaciones”, en particular porque la responsabilidad de esta institución se diluye entre varias dependencias adscritas.

Entre las recomendaciones a la FAA para disminuir los niveles de riesgo figuran:
  • Evaluar el desarrollo del modelo de seguridad frente a amenazas cibernéticas
  • Crear un comité de seguridad cibernética que supervise la actividad de todas las oficinas de la FAA en Estados Unidos, y en el cual se incluya a la Oficina de Seguridad de la FAA como un miembro permanente.
  • Desarrollar un plan conjunto con el Instituto Nacional de Normas y Tecnología (NIST, por sus siglas en inglés), para incorporar metodología, normas y tecnología que mejoren el funcionamiento de la FAA.

 

La pesadilla

 

En enero pasado, la GAO advirtió en un reporte previo que “existe una significativa debilidad en el área de control de vuelos, lo cual amenaza la capacidad de la FAA para garantizar la seguridad de las operaciones de sistema nacional de espacio aéreo de manera ininterrumpida”.

El mes pasado otro informe de esta oficina revelaba que los sistemas de orientación de los aviones se encontraban bajo “un innecesario riesgo de ser hackeados”. La pesadilla que comienza a formarse en la mente de las autoridades estadounidense la resume el conqresista estadounidense Peter DeFazio. Para el congresista el peor escenario que tienen enfrente es uno donde un terrorista con una laptop se encuentra entre los pasajeros de un avión y toma el control de la nave usando la red wi-fi. Una posibilidad remota, pero que hoy por hoy no se puede descartar.



jueves, 27 de octubre de 2016

Un ataque de DDoS con grandes repercusiones. Reflexión.


Han pasado ya 6 días desde aquel ataque de denegación de servicio, DDos,  del cual ya hemos hablado en otro post, tan repercusivo, ha habido todo tipo de especulaciones y amarillismos  rodeando el tema  y sin duda alguna uno de los que más nos llama la atención son quienes se adjudican dicho ataque, pero vamos por partes.

 


¿Qué paso el 21 de octubre?

 

Este 21 de octubre dio cabida a uno de los ataques más  importantes en la historia y no tanto por su capacidad, que se registra el uso de hasta 1,2 Tbps, sino por su secuela, ya que anteriormente el 19 de septiembre atacaron a OVH, proveedora de alojamiento web y CLOUD frances, que  también tuvo registro de 1,1 Tbps; ¿pero, por que esta no tuvo tanta relevancia? Bien, pues esta vez quedaron perdidos en el internet sitios importantes como: Twitter, Spotify, GitHub, Netflix, PlayStation Network, SoundCloud, Reddit, PayPal, Pinterest, CNN o Urbandictionary, el problema no radico en los sitios en sí, quiero decir, que estos sitios no fueron atacados directamente uno por uno, ya que 1,2 tbps no serian suficientes para tumbarlos, el ataque fue dirigido a Dyn proveedora de los DNS de dichos sitios, el talón de Aquiles. 

 

Los DNS nos facilitan encontrar las páginas web por dominios, es decir el nombre, ya que sin ellos tendríamos que memorizar las IP’s de cada sitio web  que nos gusta para poder acceder a él; al caer DYN, proveedora de DNs de dichos sitios, estos quedaron incomunicados, podías acceder a ellos mediante su IP, pero dime ¿acaso sabes la IP de Twitter? El trabajo de los servidores de DYN es buscar la IP correspondiente a cada dominio, por ejemplo: para no tener que memorizar tantos números  IP nosotros buscamos por dominio: www.twitter.com,  en nuestro navegador, y los servidores de Dyn se encargan de buscar una de las direcciones IP asignadas a este dominio, por ejemplo 199.59.148.10, una vez encontrada Dyn regresa la respuesta  de la pagina deseada, en este caso, al saturar los servidores de Dyn, no había quien nos respondiera y regresara la pagina que deseábamos basada en el dominio, por ello Twitter no quedo saturada, más bien perdida en el vasto internet.

viernes, 21 de octubre de 2016

Vulnerabilidad Server-Side Template Injection - Hacking Avanzado.


¿Que es Server-Side Template Injection?

 
Los motores de plantilla son ampliamente utilizados por las aplicaciones web para presentar datos dinámicos a través de páginas web y correos electrónicos. Inseguramente incorporan la entrada del usuario en las plantillas del servidor lo que permite el Server-Side Template Injection, una vulnerabilidad crítica que con frecuencia es extremadamente fácil de confundir con Cross-Site Scripting (XSS), o se pierda por completo. A diferencia de XSS, Server-Side Template Injection se puede utilizar para atacar directamente a servidores web internos y con frecuencia obtener ejecución remota de código (RCE), convirtiendo cada aplicación vulnerable en un punto pivot potencial.

Server-Side Template Injection puede surgir tanto a través de un error de desarrollo, y a través de la exposición intencional de plantillas en un intento de ofrecer una gran funcionalidad, como comúnmente se hace mediante wikis, blogs, aplicaciones de marketing y sistemas de gestión de contenidos. La expocision intencional de plantillas es un caso de uso tan común que muchos motores de plantilla ofrecen un modo "sandbox" para este propósito. Este documento define una metodología para detectar y explotar la Template Inyeccion, y la muestra se aplica a las embarcaciones zerodays RCE para dos aplicaciones web empresariales ampliamente desplegadas. Exploits genéricos se demuestran para cinco de los motores de plantilla más populares, incluyendo escapes de sandboxes, cuya finalidad es manejar toda plantillas suministradas por el usuario de una manera segura.

Introducción.

Las aplicaciones Web frecuentemente usan sistemas de plantilla como Twig y FreeMarker para incrustar contenido dinámico en páginas web y correos electrónicos. La inyección se produce cuando la entrada del usuario se está incorporado en una plantilla de manera insegura. Considere una aplicación de marketing que envía correos electrónicos masivos, y utiliza una plantilla Twig para saludar receptores por su nombre. Si el nombre no es más que pasó en la plantilla, como en el siguiente ejemplo, todo funciona bien: 

$output = $twig->render("Dear {primer_nombre},", array("primer_nombre" => $user.primer_nombre) ); 

Sin embargo, si los usuarios tienen permiso para personalizar estos mensajes de correo electrónico, surgen los problemas:

$output = $twig->render($_GET['custom_email'], array("primer_nombre" => $user.primer_nombre) ); 

En este ejemplo, el usuario controla el contenido de la plantilla en sí a través del parámetro GET custom_email, en lugar de un valor pasado en ella. Esto se traduce en una vulnerabilidad XSS que es difícil pasar por alto. Sin embargo, el XSS es sólo un síntoma de una vulnerabilidad más grave sutil. Este código en realidad expone una superficie de ataque expansiva, pero pasa por alto fácilmente. La salida de los dos mensajes de bienvenida siguientes alude a una vulnerabilidad Server-Side Template Injection:


1) custom_email={{7*7}}
    49

2) custom_email={{self}}

    Object of class                                              __TwigTemplate_7ae62e582f8a35e5ea6cc639800ecf15b96c0d6f78db3538221c1145580ca4a5    could not be converted to string

Lo que tenemos aquí es esencialmente ejecución de código en el servidor dentro de un sandbox. Dependiendo del motor de plantillas utilizado, puede ser posible para escapar del sandbox y ejecutar código arbitrario.

Esta vulnerabilidad se presenta típicamente a través de los desarrolladores permitiendo a los usuarios que creen o editen plantillas (Algunos motores de plantilla ofrecen un modo seguro para este propósito. Está lejos de ser específica para aplicaciones de marketing) y estas características que ofrecen para realizar el proceso pueden ser vulneradas, incluyendo páginas wiki, reviews, e incluso los comentarios. Server-Side Template Injection también puede surgir por accidente, cuando la entrada del usuario es simplemente concatenada directamente en una plantilla. Esto puede parecer un poco contra-intuitivo, pero es equivalente a vulnerabilidades de inyección SQL que se producen en declaraciones preparadas mal escritas, que son una ocurrencia relativamente común. Por otra parte, la Template Injection involuntaria es muy fácil pasar por alto, ya que normalmente no habrá señales visibles. Al igual que con todas las vulnerabilidades basadas en la entrada del usuario, la entrada podría proceder de codigos fuera de la banda. Por ejemplo, esto puede ocurrir como un Local File Inclusion (LFI), explotable a través de técnicas clásicas de LFI como código incrustado en los archivos de registro, archivos de sesión , o /proc/self/env para obtener acceso a modulos directos del sistema como puede ser Bash (En GNU/Linux) o CMD (Windows).

Metodología del Template Injection.

 
He definido la siguiente metodología de alto nivel para capturar un proceso de ataque eficiente, basado en mi experiencia auditar una gama de aplicaciones vulnerables y motores de plantilla:

Detección.

Esta vulnerabilidad puede aparecer en dos contextos distintos, cada uno de los cuales requiere su propio método de detección:

1. Contexto de texto sin formato

La mayoría de los lenguajes de plantillas soportan un contexto "texto" de forma libre donde se puede introducir directamente en HTML. Por lo general aparecerá en una de las siguientes maneras:
___________________________________
smarty=Hello {user.name}
Hello user1
--------------------------------------------------------
___________________________________
freemarker=Hello ${username}
Hello newuser
-------------------------------------------------------- 
___________________________________
any=<b>Hello</b>
<b>Hello<b>
--------------------------------------------------------

Con frecuencia, esto da lugar a XSS, por lo que la presencia de XSS se puede utilizar como una señal para pruebas de Template Inhection más completas. Los lenguajes de plantillas utilizan una sintaxis explícitamente elegida para no entrar en conflicto con los caracteres utilizados en HTML normal, por lo que es fácil para una evaluación manual de seguridad de la blackbox que se pierda por completo la Template Injection. Para detectarlo, necesitamos invocar el motor de la plantilla mediante la incorporación de un comunicado. Hay un gran número de lenguajes de plantillas, pero muchos de ellos comparten características básicas de sintaxis. Podemos tomar ventaja de esto mediante el envío de cargas útiles genéricas, plantillas agnósticas utilizando las operaciones básicas para la detección de múltiples motores de plantilla con una sola petición HTTP:
___________________________
smarty=Hello ${7*7}
Hello 49

-------------------------------------------

___________________________
freemarker=Hello ${7*7}
Hello 49

-------------------------------------------

Como vemos al introducir cualquier valor a nuestra peticion obtendremos el resultado de realizar internamente las operaciones. Otra forma sencilla de detectar una vulnerabilidad de este tipo es usando Curl.


2. Contexto Código

La entrada del usuario también se puede colocar dentro de una instrucción en la plantilla, típicamente como un nombre de variable:
________________________________
personal_greeting=username
Hello user01 
---------------------------------------------------
Esta variante es aún más fácil de perder durante una evaluación, ya que no da lugar a XSS obvio y es casi indistinguible de una simple busqueda hashmap.Se puede detectarmediante una robusta verificación del parámetro, el cual no tiene XSS directo, a continuación, salir de la declaración de la plantilla e inyectando la etiqueta HTML después de que:
_______________________________________
personal_greeting=username<tag>
Hello 
--------------------------------------------------------------
_______________________________________
personal_greeting=username}}<tag>
Hello user01 <tag> 
--------------------------------------------------------------

Identificación

Después de detectar la inyección plantilla, el siguiente paso es identificar el motor de plantillas en uso. Este paso es a veces tan trivial como la presentación de una sintaxis no válida, los motores de plantilla pueden identificarse en los mensajes de error resultantes. Sin embargo, esta técnica produce un error cuando se suprimen mensajes de error, y no es muy adecuado para la automatización. En cambio, hemos automatizado esto en BurpSuite utilizando payloads de idiomas especificos. Las flechas verdes y rojas representan el "éxito" y "fracaso" de las respuestas, respectivamente. En algunos casos, una sola carga útil puede tener múltiples respuestas de éxito distintas - por ejemplo, la expresión {{7 * '7'}} daría lugar a 49 en Twing, en Jinja2 seria 777777. 
Explotación.
1) Leer. El primer paso después de encontrar la Template Injection e identificar el motor de plantillas es leer la documentación. La importancia de este paso no debe subestimarse; Las hazañas zero-day se derivan únicamente a partir de la lectura estudiosa de documentación. Las principales áreas de interés son:
  • "Para autores de plantillas" -> Secciones que cubre la sintaxis básica.
  • "Consideraciones de Seguridad '' -> lo más probable es el que desarrolló la aplicación que estás probando no quiera que leas esto, y puede contener algunos consejos útiles.
  • Las listas de los métodos de ordenes internas, funciones, filtros y variables.
  • Las listas de extensiones/plugins - algunos pueden ser activados por defecto.

2) Explorar. Suponiendo que no hay exploits presentes, el siguiente paso es explorar el entorno para saber exactamente a lo que usted tiene acceso. Usted puede esperar encontrar objetos predeterminados proporcionados por el motor de plantillas y objetos específicos de la aplicación que han sido pasados a la plantilla por el desarrollador. Muchos sistemas de plantilla exponen un "yo" o un objeto de espacio de nombres que contiene todo en su alcance, y una forma idiomática a la lista de atributos y métodos de un objeto.

Con esto damos por terminado este post acerca de esta nueva pero crítica vulnerabilidad que nos permitira hacer nuevos tipos de Tests y elaborar informes de Seguridad Informatica mas completos. Si te ha gustado este post y te sirvió regálanos un Like en facebook y síguenos en Twitter.

Ref: http://blog.portswigger.net/2015/08/server-side-template-injection.html

martes, 18 de octubre de 2016

¿Como optimizar el rendimiento del sistema GNU/Linux de manera avanzada?


Optimizando el rendimiento del sistema.

 Cuando el sistema de ficheros raíz utilizado en el dispositivo es una tarjeta de memoria flash o de memoria flash como a menudo será el caso, la velocidad y el rendimiento se pueden ver afectados debido al menudo acceso de escritura al sistema de archivos raíz. Por tanto, es beneficioso para el rendimiento general del sistema reducir la escritura innecesaria mediante el uso de métodos tales como los sistemas de archivos de disco RAM, tmpfs, y la reducción de la actividad de registro del sistema.
También es posible modificar los dispositivos del kernel y hardware para mejorar el rendimiento.

Reducir la actividad de registro del sistema.
En una instalacion por defecto, el registro del sistema se configura a menudo totalmente adecuado para un servidor o un sistema multi-usuario. Sin embargo, en un sistema de un solo usuario la escritura constante de muchos archivos de registro del sistema podría reducir el rendimiento del sistema interactivo, y la reducción de la actividad de registro será beneficioso para el rendimiento, así como la vida útil de la memoria flash.
En una instalación de Debian, el registrador del sistema por defecto es rsyslog, y el archivo de configuración es /etc/rsyslog.conf. En la sección de reglas, los siguientes registros a menudo se activan de forma predeterminada:
auth, authpriv. * /var/log/auth.log
*. *; auth, authpriv.none -/var/log/syslog
cron. * /var/log/cron.log
daemon.* - /var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* - /var/log/lpr.log
mail.* -/var /log/mail.log
user.* -/var/log/user.log

sábado, 15 de octubre de 2016

Que hacer si Linux no detecta tu tarjeta WiFi Broadcom.


Por defecto la mayoría de Sistemas Operativos  incluyen una gran cantidad de drivers posibles para que nuestras tarjetas de red puedan funcionar  ya sean Inalambricas o de Ethernet. Los drivers que no vienen incluidos obedecen a diferentes razones, entre ellas podemos encontrar: 1) Que el driver es privado. 2) Que hay pocas computadoras con dichas especificaciones de hardware. 3) Que no se tiene soporte para dicho hardware.

Como consecuencia de lo anterior es posible que luego de instalar tu Sistema Operativo no reconozca tu tarjeta inalambrica o ethernet.

En el día de hoy voy a explicar paso a paso como instalar los drivers necesarios para la tarjeta Inalambrica Broadcom y como hacer que la misma sea reconocida por tu sistema operativo GNU/Linux Debian o basado en el.

Lo primero que debemos hacer es identificar la distribucion GNU/Linux que tenemos y el tipo de tarjeta inalambrica Broadcom. Este post es funcional con la mayoría de tarjetas inalambricas Broadcom, entre ellas están:

Broadcom: BCM4311, BCM4312, BCM4313, BCM4321, BCM4322, BCM43224, BCM43225, BCM43227, BCM43228, BCM43142, BCM4331, BCM4352, BCM4360 devices (wl)

Los pasos a seguir son los siguientes:

1) En caso de que tu sistema operativo sea Debian como tal, omite este paso. Si tu Sistema es un derivado de Debian deberas editar tu archivo /etc/apt/sources.list y añadir la siguiente linea al final del archivo:
deb http://httpredir.debian.org/debian/ jessie main contrib non-free

2) sudo apt update && apt install linux-headers-$(uname -r) broadcom-sta-dkms linux-image-$(uname -r) broadcom-sta-common wireless-tools (si este no funciona entonces haces el siguiente) sudo apt update && apt install linux-headers-$(uname -r |sed 's,[^-]*-[^-]*-,,') broadcom-sta-dkms linux-image-$(uname -r |sed 's,[^-]*-[^-]*-,,') broadcom-sta-common wireless-tools

3) modprobe -r b44 b43 b43legacy ssb brcmsmac bcma

4) modprobe wl

5) ip link show, la tarjeta que empieza por w suele ser la inalambrica. Ejemplo


En mi caso la tarjeta WiFi seria wlp2s0.

Si todas las operaciones anteriores se realizaron correctamente tendras tu tarjeta inalambrica "UP" y lista para conectarse a internet usando Network-Manager-Gnome, Wicd, wpa_supplicant u otro.

Con esto damos por terminado este post, esperamos que sea de su agrado y utilidad. Si te ha gustado este post y te sirvió regálanos un Like en facebook y síguenos en Twitter =D

jueves, 13 de octubre de 2016

Como eliminar el Ransomware y recuperar tus archivos.


Desde hace varios días, muchas personas me habian estado contactando para preguntarme acerca de como recuperar los archivos infectados por el Ransomware, así que decidí hacer este post para explicar como realizar el proceso y poder recuperar tus archivos. Antes que nada aclaro que no he tenido ninguna experiencia con este tipo de virus, este post es una recopilacion de los mejores post, estos son sacados de sitios reconocidos y estaran en letra cursiva, los links originales estaran en el encabezado de cada apartado. Los textos y opiniones personales estaran en esta fuente.

¿Que es el Ransomware? El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate.

Imagen ejemplo de un PC infectado por Ransonware:
 


¿Cómo actúa el Ransomware? 

  1) Se camufla dentro de otro archivo o programa apetecible para el usuario que invite a hacer click: archivos adjuntos en correos electrónicos, vídeos de páginas de dudoso origen o incluso en actualizaciones de sistemas y programas en principio fiables como Windows o Adobe Flash.

  2) Una vez que ha penetrado en el ordenador, el malware se activa y provoca el bloqueo de todo el sistema operativo y lanza el mensaje de advertencia con la amenaza y el importe del “rescate” que se ha de pagar para recuperar toda la información. El mensaje puede variar en función del tipo de ransomware al que nos enfrentemos: contenido pirateado, pornografía, falso virus…

  3) Para potenciar la incertidumbre y el miedo de la víctima, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de internet y hasta una fotografía captada desde la webcam.

 ¿Como evitar el Ransomware? Las prácticas para evitar ser infectado por este malware son comunes a las que debemos seguir para evitar otros virus.

– Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad.

– Tener instalado un buen producto antivirus y mantenerlo siempre actualizado.

– No abrir correos electrónicos o archivos con remitentes desconocidos.

– Evitar navegar por páginas no seguras o con contenido no verificado.

Ransomware en Windows.


Esta guía proporciona las instrucciones y un link para descargar y utilizar la última herramienta Trend Micro Ransomware File Decryptor para intentar descifrar los archivos cifrados por ciertos tipos de ransomware.Como un recordatorio importante, la mejor protección contra el ransomware es impidiendo que nunca lleguen a su sistema. Mientras que Trend Micro está trabajando constantemente para actualizar nuestras herramientas, los programadores de ransomware están también cambiando constantemente sus métodos y tácticas, que pueden hacer que  versiones anteriores de herramientas como ésta queden obsoletas con el tiempo.Se recomienda a los clientes a seguir las siguientes practicas de seguridad: 

 1) Asegúrate de que tienes fuera de línea o en la nube copias de seguridad periódicas de los datos más importantes y críticos.

 2)
Asegúrese de que siempre está aplicando las últimas actualizaciones críticas y parches para su sistema operativo y otro software del sistema de claves (por ejemplo navegadores).
    
 
  3) Instalar las últimas versiones de configuraciones y aplicar las mejores herramientas de seguridad como Trend Micro para proporcionar seguridad mutli-capas.

  Tipos de Ransomware soportados.

La siguiente tabla muestra las versiones de ransomware soportadas por esta herramienta.


Version RansomwareExtension del archivo encriptado
CryptXXX V1, V2, V3*{Nombre original del archivo}.crypt, cryp1, crypz, or 5 hexadecimal characters
CryptXXX V4, V5{MD5 Hash}.5 caracteres hexadecimales
TeslaCrypt V1**{Nombre original del archivo}.ECC
TeslaCrypt V2**{Nombre original del archivo}.VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3{Nombre original del archivo}.XXX or TTT or MP3 or MICRO
TeslaCrypt V4No cambia el nombre ni extension del archivo
SNSLocker{Nombre original del archivo}.RSNSLocked
AutoLocky{Nombre original del archivo}.locky
BadBlock{Nombre original del archivo}
777{Nombre original del archivo}.777
XORIST{Nombre original del archivo}.xorist o random extension
XORBAT{Nombre original del archivo}.crypted
CERBER V1{10 caracteres random}.cerber
Stampado{Nombre original del archivo}.locked
Nemucod{Nombre original del archivo}.crypted
Chimera{Nombre original del archivo}.crypt
LECHIFFRE{Nombre original del archivo}.LeChiffre
MirCopLock.{Nombre original del archivo}
Jigsaw{Nombre original del archivo}.random extension
Globe/PurgeV1: {Nombre original del archivo}.purge
V2: {Nombre original del archivo}.{direccion email + caracteres random}

  1. Clickea el boton Download para obtener la mas reciente version de Trend Micro Ransomware File Decryptor tool. Descomprime (unzip) y luego ejecuta el RansomwareFileDecryptor.exe o el TeslacryptDecryptor.exe Download RansomwareFileDecryptor
    Download TeslacryptDecryptor

  2. Luego de ejecutarlo acepta la licencia para proceder.
  3. Despues de aceptar la licencia, sigue paso a paso lo que la herramienta te dice.

    Anti-Ransomware

** Nota importante acerca del descifrado de archivos infectados por CryptXXX V3Debido a la encriptación avanzada de este particular Crypto-ransomware, sólo el descifrado de datos parcial es posible en la actualidad en los archivos afectados por CryptXXX V3.La herramienta va a tratar de solucionar ciertos formatos de archivo después del intento de descifrado, incluyendo DOC, DOCX, XLS, XLSX, PPT y PPTX (comunes de Microsoft Office). El archivo fijo tendrá el mismo nombre del archivo original con "_fixed" añadido al nombre del archivo y será colocado en el mismo lugar. Al abrir el archivo fijo con Microsoft Office, puede presentar un mensaje para tratar de reparar el archivo de nuevo, y este proceso puede ser capaz de recuperar el documento. Tenga en cuenta que debido a las diferentes versiones de comportamientos particulares de archivos de Microsoft Office, no se garantiza que por este método se recuperará por completo el documento.Sin embargo, para otros archivos después del descifrado de datos parciales, los usuarios pueden tener que utilizar una herramienta de tercera parte archivo dañado de recuperación (como el programa de código abierto JPEGsnoop) para tratar de recuperar el archivo completo.Un ejemplo de esto sería una foto o un archivo de imagen que se recuperó parcialmente podra mostrar partes de la imagen, pero no toda la imagen. Un usuario entonces podra determinar si el archivo es lo suficientemente importante como para utilizar una herramienta de terceros o solicitar la asistencia de un servicio de recuperación de archivos profesionalde terceros.

Imagen antes de ser infectada:


Imagen despues de la recuperacion:


Ransomware  en Linux

Windows es el sistema operativo más utilizado de toda la red, por ello la mayor parte de los desarrolladores, al igual que los piratas informáticos, suelen lanzar sus aplicaciones para este sistema. Sin embargo, poco a poco la cuota de mercado de Linux, especialmente en entornos profesionales y servidores, sigue creciendo, lo que llama cada vez más la atención de estos de cara a sacar beneficio de este sistema operativo.

El ransomware es uno de los tipos de malware más peligrosos de los últimos tiempos. Cuando este malware infecta a un usuario automáticamente comienza a cifrar todos sus datos de manera que la única forma de recuperarlos sea mediante el pago de un “rescate“, sin la garantía de que, aunque paguemos a estos piratas, recibamos la clave de descifrado.

Hasta ahora, este tipo de malware solo afectaba a los usuarios de Windows, quienes además tenían bastante complicado el poder defenderse de esta amenaza ya que es difícil de identificar y eliminar incluso por las principales firmas antivirus, sin embargo, es posible que los usuarios de Windows ya no sean los únicos afectados por esto.

Doctor Web, importante empresa de seguridad rusa, ha detectado la primera amenaza de ransomware para los usuarios de Linux, especialmente enfocado a infectar y secuestrar todos los servidores utilizados para alojar páginas web. Esta amenaza, llamada por la empresa de seguridad como Linux.Encoder.1, está escrita en lenguaje C y utiliza la biblioteca PolarSSL para establecer conexiones seguras imposibles de capturar para posteriormente instalarse como servicio, o demonio, del sistema antes de empezar con su temida función.

¿Como funciona este Ransomware?
 
Una vez funcionando en el sistema, este nuevo malware analiza el sistema de archivos en busca de todos los directorios utilizados principalmente para el desarrollo y el alojamiento de páginas web. Una vez los detecta empieza a cifrar todos los archivos que se encuentran alojados allí, junto a todos los documentos, ficheros personales y archivos multimedia que se encuentren en el ordenador o servidor. Para el cifrado de utiliza un algoritmo AES-CBC-128.

Cuando finaliza su tarea crea un fichero de texto con las instrucciones necesarias para recuperar los archivos, así como la dirección de pago y la cantidad a ingresar que, en este caso, es 1 Bitcoin.

Alcanze de este Ransomware.
 
 Los usuarios domésticos también en peligro ante este ransomware
Aunque los principales objetivos de este ransomware son los servidores de páginas web, los usuarios no están libres de peligro. Según afirman los expertos de seguridad, este malware puede ser portado fácilmente para infectar y atacar a todo tipo de equipos, por ejemplo, a dispositivos NAS que cada vez son más habituales en entornos domésticos a modo de servidor o sistema de almacenamiento masivo en red.

Por suerte, no todo es tan sencillo como parece. Gracias al sistema de permisos de Linux, para ejecutar este malware en un servidor o equipo Linux es necesario que se haga con permisos de root, por lo que si tenemos controlada la cuenta de superusuario lo más fácil es que no podamos vernos afectados por este malware, a menos que se aproveche una vulnerabilidad de escalada de privilegios o lo ejecutemos manualmente con dichos permisos.

¿Como recuperar mis archivos en Linux?

Bitdefender es el primer proveedor de seguridad para liberar una herramienta de descifrado que restaura automáticamente los archivos afectados a su estado original. La herramienta determina la IV y la clave de cifrado con sólo analizar el archivo, a continuación, realiza la desencriptación, seguido de fijación permiso. Si puede arrancar el sistema operativo comprometida, descargar la secuencia de comandos y ejecutar el programa bajo el usuario root. 

Para descargar la herramienta y conocer como ejecutarla, te invitamos a leer este post de BitDefender.

Hay que aclarar que despues de que tu sistema ha sido infectado por el Ransomware, lo conveniente es sacar una copia de seguridad de tus datos y formatearlo para asi estar seguros que el virus ya no esta en nuestra PC. Luego de restaurar tus datos al nuevo sistema se recomienda una examinación de los mismos con tu software antivirus.

Recomendaciones:


1) Trata de crear puntos de restauración y copias de seguridad de tus archivos al menos dos veces por semana.

2) Sea precavido cuando ejecute algun programa o script, solo hagalo si el sitio de procedencia es confiable.

3) Use un buen software Antivirus (En caso de ser usuarios de Windows), como Kaspersky, EsetNod Smart Security y Clamav (RECOMENDADO) dado que este ultimo tambien esta disponible para GNU/Linux y es de codigo abierto.

4) Use Firefox y siga las tecnicas de navegación de estos post: Como navegar de manera anonima sin ser rastreado y Privacidad y seguridad en la red.

5) Adicionalmente a las herramientas anteriormente mencionadas podemos usar estas otras herramientas que tambien tienen el mismo proposito en caso de que la anterior no nos de los resultados esperados.


6) Use GNU/Linux como sistema operativo.

Con esto damos por finalizado este post, la información de este post es veridica pero puede estar sujeta a cambios. Cualquier duda o inquietud dejenla en sus comentarios. Si te ha gustado este post y te sirvió regálanos un Like en facebook y síguenos en Twitter.

martes, 11 de octubre de 2016

Automac: Una herramienta hecha para automatizar el cambio de MAC.


En un post anterior hablamos de nuestra herramienta de explotacion Web llamada WebHackSHL, el día de hoy hablaremos de otra herramienta desarrollada por Security Hack Labs pero que no es ofensiva, es para mantener nuestra anonimidad en ataques a redes locales mediante el cambio de dirección MAC.

Esta herramienta se llama Automac, es un script escrito en el lenguaje de programación Bash y esta disponible para su descarga aquí. Automac es totalmente gratis y se distribuye bajo la licencia GPLv3.

¿Que es la dirección MAC (Media Access Control)? Cada interfaz de red - con cable o Wi-Fi - tiene una dirección MAC que es un número de serie definido para cada interfaz de la fábrica por su proveedor. Las direcciones MAC se utilizan en la red local para identificar las comunicaciones de cada interfaz de red.

Si bien su dirección IP identifica dónde se encuentra en Internet, su dirección MAC identifica el dispositivo que está utilizando en la red local. Las direcciones MAC son útiles sólo en la red local y no se envían a través de Internet.

Tener un identificador único que se utiliza por ejemplo en la red local puede dañar su privacidad. He aquí dos ejemplos:  

  1) Si usted utiliza su ordenador portátil para conectarse a varias redes Wi-Fi, la misma dirección MAC de la interfaz Wi-Fi se utiliza en todas las redes locales. Alguien que observer detenidamente estas redes puede reconocer su dirección MAC y obtener su ubicación geográfica.

  2)
Alguien que esta observando el trafico de su red local, probablemente puede determinar el tipo de Sistema Operativo que estas usando. En ese casi tu direccion MAC puede identificar que estas usando un determinado sistema operativo.

¿Puedo cambiar mi dirección MAC? Sí. Nuestra herramienta Automac, puede realizar el cambio de dirección IP cuando tu lo desees con tan solo un comando o bien cambiarla automaticamente en cada inicio del sistema.

¿Como funciona Automac? Automac hace uso de la herramienta GNU/Macchanger disponible en la mayoria de distribuciones GNU/Linux desde su gestor de paquetes, esta automatiza todo el proceso, desde la instalacion hasta el cambio de dirección MAC sin que el usuario deba hacer nada, solo debe ejecutar el script. Automac funciona de manera perfecta actualmente en los sistemas GNU/Linux Debian, ArchLinux, RedHat y todos los sistemas basados en los anteriores.

Aquí una demostración de como funciona esta pequeña pero poderosa y util herramienta.




Para descargar la herramienta basta con ejecutar las siguientes lineas en la terminal:

En Debian y sistemas basados en Debian (Kali Linux, etc):
 
1) sudo apt install git 
2) git clone https://github.com/SecHackLabs/automac.git

En ArchLinux y sistemas basados en ArchLinux (BlackArch, etc):

1) sudo pacman -S git
2) git clone https://github.com/SecHackLabs/automac.git

En RedHat y sistemas basados en RedHat (CentOS, etc):

1) sudo yum install git
2) git clone https://github.com/SecHackLabs/automac.git

Con esto damos por terminado el post y esperamos que les sea util esta nueva herramienta que colocamos a dispocisión de todos ustedes. Si te ha gustado este post y te sirvió regálanos un Like en facebook y síguenos en Twitter =D