La Comunidad DragonJAR

Continúa desde “Laboratorio: Hacking - Técnicas y contramedidas - Ataques por fuerza bruta (Brute Force) IV”

Quinta práctica del laboratorio sobre brute force.

Recordemos antes la definición:
En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. (más)

________________________________________________

Práctica 49 - Fuerza bruta con Medusa al servicio SSH (Secure Shell)
Herramienta: Medusa
Prerequisitos: Máquina objetivo con el servicio SSH habilitado y en ejecución
Contramedidas: Monitoreo de sesiones, Fuertes controles en las listas de acceso de los routers (ACLs), versión actualizada del servidor ssh, (más recomendaciones)
Descripción: Medusa es una herramienta desarrollada para llevar ataques del tipo brute force de manera paralela y modular, se destaca en su uso por la rapidez en que realiza dichos ataques. El aplicativo permite llevar a cabo multiples ataques a diferentes sistemas con diferentes usuarios. El objetivo de la herramienta es auditar el inicio de sesión de varios servicios entre ellos MS-SQL Server, VNC, HTTP, SMB, Telnet, el servicio SSH (Secure Shell) y un largo etc. SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X arrancado.

Además de la conexión a otras máquinas, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a las máquinas y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH. (más información sobre SSH)
Procedimiento: Descargar, configurar e instalar la herramienta. Luego ejecutar mediante la siguiente sintaxis:

medusa -h objetivo -u usuario -P passwords -M ssh

Leer el resto de la entrada »

Los miembros de la comunidad Gnucitizen han anunciado el proyecto House of Hackers, una red social donde todos los hackers pueden intercambiar opiniones y trucos… además tienen un apartado donde las empresas pueden contratar los servicios de algunos de sus miembros para… bueno, para ser unos leales consultores de seguridad, en las que las empresas deben de pagar por cada convocatoria de ofertas para encontrar consultores de seguridad o los equipos de pruebas de penetración.

La red está destinado a dar a las empresas la oportunidad de llamar a un amplio grupo de expertos en seguridad, al tiempo que permite “consultores de seguridad dotados de escapar de su aburrida rutina diaria y comenzar una nueva vida llena de entusiasmo y nuevas oportunidades”… por lo que si te sientes tentado, yo no lo dudaría.
Leer el resto de la entrada »

Después de adelantar una gestión con los organizadores logre ampliar el plazo para el descuento 5 días mas, por la cuestión del festivo largo.

Espero que alcansen a hacer la consignacion ya que después de esto no habrá mas plazos para el descuento.

Para los que no están enterados del tema les dejo el enlace del 1mer Congreso Nacional de Hacking Ético (Bogotá, Colombia) espero que les sea útil y q asistan todos.

La Corte Suprema de Justicia determinó que no pueden ser castigadas las personas que hacen copias de discos compactos de su propiedad, o quienes descargan música por Internet, si con esas actuaciones no buscan obtener beneficios económicos, ni pretenden lesionar el patrimonio de los autores de las obras.

El pronunciamiento se hizo en un fallo que absolvió a un hombre que había sido condenado a 24 meses de cárcel, por haber supuestamente violado los derechos de autor, pues se dedicaba a convertir a formato digital, la música que llevaban “obsoletos discos de acetato” o en casetes.

En la sentencia, el Alto Tribunal determinó que “no puede ser punible la actuación de quien realiza una copia de los discos compactos adquiridos legalmente para utilizarla en el reproductor de su carro, o quien los copia para almacenarlos en aparatos de uso personal como el MP3”.

Leer el resto de la entrada »

Aquí les dejo algunos enlaces para leer en este largo fin de semana:

Primero les dejo una serie de artículos titulados “Donde los scanners de vulnerabilidades no llegan” escritos por la gente de s21sec, donde nos muestran lo que se pasa por alto cuando se usa solo un scanner de vulnerabilidades para revisar la seguridad de nuestro entorno de trabajo.

Donde los scanners de vulnerabilidades no llegan – I
Donde los scanners de vulnerabilidades no llegan – II
Donde los scanners de vulnerabilidades no llegan – III
Donde los scanners de vulnerabilidades no llegan - IV
Donde los scanners de vulnerabilidades no llegan - V
Donde los scanners de vulnerabilidades no llegan - VI

Software Útil para El fin De semana…

Nueva versión de WinUp un paquete con las actualizaciones de Windows Update del cual se ha hablado mucho en la comunidad, tambien encontre otra herramienta llamada WinUpdateList, que muestra información detallada de tus actualizaciones de Windowss muy útil para usar después de instalar el WinUp.