¿Qué tan vulnerable estamos los Colombianos ante el Ataque DROWN?
Mar10

¿Qué tan vulnerable estamos los Colombianos ante el Ataque DROWN?

Los fallos que afectan los sistemas de cifrado que soportan HTTPS han estado a la orden del día los últimos años, ya conocemos BEAST, POODLE, Heartbleed, FREAK, Logjam y todos estos problemas de seguridad que buscan apoderarse de nuestras comunicaciones “cifradas”, pero es del ultimo ataque de este tipo del que vamos a hablar en esta entrada, ya ha conseguido grandes titulares en la prensa especializada y no es para menos, ya que el DROWN Attack, como se le conoce, ha logrado afectar a grandes sitios en la red sin que apenas los usuarios nos demos cuenta. Y ustedes se preguntarán… ¿Qué es el DROWN Attack?, empecemos por el nombre, DROWN viene del acrónimo de Decrypting RSA withObsolete and Weakened eNcryption (descifrado de RSA con un cifrado obsoleto y debilitado), es un problema que afecta HTTPS y otros servicios que utilizan SSL / TLS que todavía soportan el viejo SSLv2 y permiten a un atacante forzar al servidor a utilizar esta versión vulnerable de SSL aunque el usuario este realizando una conexión TLS correctamente verificada, de esta forma puede suplantar fácilmente la pagina y capturar la información que supuestamente estaba cifrada sin que el usuario se de cuenta de ello. A nivel de usuario no podemos hacer nada, ya que el problema se encuentra en los servidores a los que accedemos, la solución general es desactivar de base el soporte a SSLv2 en los servicios que lo tengan soportado y actualizar las versiones de todos nuestros servidores (ya hay parches para casi todos los sistemas operativos, pero es mejor eliminar SSLv2 de base). Ya que sabemos a grandes rasgos que es el Ataque DROWN y como puede afectarnos, me puse en la tarea de saber como nos encontrábamos en Colombia respecto a este fallo, para ello utilizando SHODAN como base lo primero que hice fue buscar cuantos servidores indexados por este motor, tienen soporte todavía al viejo y vulnerable SSLv2 usando el siguiente filtro: country:co ssl.version:sslv2 El resultado de esta búsqueda me arrojó datos bastante interesantes, ya que de todos los servidores que tiene indexado SHODAN en Colombia (3.057.158): country:co El 2,03% es decir 62.352 aun contaban con soporte para SSLv2: country:co ssl.version:sslv2 Generando el reporte que permite realizar SHODAN, tenemos aún más información interesante, como las ciudades donde más servidores con versiones viejas de SSL están expuestos a internet: Los proveedores que utilizan la mayoría de servidores con versiones viejas de SSL: Los servicios que mas usan estas versiones viejas: Y las otras versiones activas de SSL que estaban corriendo junto a SSLv2: En la ultima gráfica se puede observar como la mayoría de estos servidores expuestos a Internet con versiones viejas y vulnerables de SSL, tienen...

Leer Más
Ingeniería Social, el arte de Hackear Humanos
Jul09

Ingeniería Social, el arte de Hackear Humanos

Todas las personas en algún punto de su vida, conscientemente o no han utilizado técnicas de ingeniería social para cumplir sus objetivos cualesquiera que sean estos, en el área de la seguridad informática, la ingeniería social se define como “la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos”, pero este significado se puede quedar corto para todos los usos que se le dan a esta técnica. En la ingeniería social no es necesario el uso de recursos tecnológicos, pero cuando se usa una combinación de herramientas de software/hardware junto a técnicas de ingeniería social el porcentaje de éxito suele ser bastante elevado, en la charla “Hackeando en Capa 8, Introducción al Human OS” del Ingeniero Hugo Bayona, aprenderemos a identificar todos los rastros. Contra la Ingeniería social, las armas más efectivas son la prevención y el conocimiento, por lo que te recomendamos no perderte esta charla del DragonJAR Security Conference, de forma tal que estemos prevenidos y podamos reaccionar ante un posible ataque. Otras notas sobre el tema: ¿Qué es la Ingeniería Social? Que es Ingeniería...

Leer Más
Sé lo que hicieron el diciembre pasado
Ene20

Sé lo que hicieron el diciembre pasado

Se lo que hicieron el diciembre pasado…. Es lo que sentí que les decía Chevrolet a todos sus clientes con el sistema CheviStar, al recibir un correo electrónico bastante peculiar de su parte. Para aclarar mejor el título de película de terror noventera de esta entrada debo remontarme dos años atrás cuando tuve la necesidad de conseguirme un carro para transportarme (pero no esté carro del qué sabrán más adelante), entre todas las opciones que tenía me decidí por un Spark GT de Chevrolet, el cual incluía un novedoso sistema llamado CheviStar de forma gratuita por un año. El servicio CheviStar, de Chevrolet, funciona a través de un dispositivo instalado en el vehículo, el cual cuenta con conexión independiente a internet vía 3g y con su propio número telefónico, que le permite ofrecer las siguientes funcionalidades: Recuperación de vehículo en caso de hurto Servicios remotos (apertura y cierre remoto de puertas, luces y bocina, localízame, sígueme, alertas de estacionado y velocidad) Envío remoto de rutas GPS Monitoreo en ruta Asistencia en ruta Servicio de conserjería Servicio de pico y placa El servicio como tal no es malo, lo he usado con bastante frecuencia y por cierto me han sido muy útiles sus funciones en varias ocasiones, el problema radica en un correo electrónico que me ha llegado recientemente y que ha dado origen a esta nota. El correo en cuestión es primera vez que me llega y no sé si va a ser algo constante pero personalmente me parece muy preocupante ya que contiene información, que a mi parecer, es bastante sensible y que cualquier persona con un poco de curiosidad podrá ver: Como pueden ver el correo no solo contiene mi nombre completo, el modelo de mi vehículo, su placa, sino que también incluye el teléfono de mi carro, cuantos kilómetros recorrí en mi auto en diciembre, cual fué mi velocidad máxima, cuantas veces pasé los límites de velocidad, cuantas veces frené en seco el mes de diciembre y hasta su correo electrónico, fácilmente extraíble de la opción (no recibir más correos de este tipo). Por lo visto Chevrolet “sabe lo que hice con mi carro el diciembre pasado”, pero el tema no termina ahí, como todo usuario curioso me dio por ver todos los enlaces de este macabro correo, cuando un texto llamó mi atención: Si no puede ver correctamente las imágenes de este correo haga clic aquí. Al hacer click donde me decía el correo, encuentro una copia exacta del mail en cuestión, alojado en un servidor web, con una estructura más o menos así: http://direccioninventadachevrolet.com/correos/00000000/0000.html Me enfoqué en los nombres numéricos de la carpeta que parecían...

Leer Más
TinfoLeak, information gathering en Twitter
Nov01

TinfoLeak, information gathering en Twitter

Hoy en día con el information gathering podemos hacer diversas tareas, entre ellas, recabar información pública de objetivos en una auditoría, saber que software está detrás de que plataforma, identificar vulnerabilidades mediante escáneres pasivos etc… Herramientas que hagan este tipo de cosas han muchísimas en Internet. Hemos hablado de algunas de ellas aquí en DragonJAR. La herramienta que vengo a enseñar hoy es TinfoLeak, esta herramienta está desarrollada por el líder del capítulo español de Owasp, Vicente Aguilera. La herramienta tiene las siguientes características: basic information about a Twitter user (name, picture, location, followers, etc.) devices and operating systems used by the Twitter user applications and social networks used by the Twitter user place and geolocation coordinates to generate a tracking map of locations visited hashtags used by the Twitter user and when are used (date and time) user mentions by the the Twitter user and when are occurred (date and time) topics used by the Twitter user El uso es MUY sencillo, como dependencia tendréis que instalar tweepy, se puede instalar mediante pip: pip install tweepy y listo! Antes de poder usar la aplicación deberemos de darnos de alta como developers en Twitter, ya que nos dará datos que necesitamos rellenar en el script para que funcione. Nos clonamos el proyecto de GitHub. git clone https://github.com/vaguileradiaz/tinfoleak.git Una vez clonado editamos nuestro script en python con el editor que usemos normalmente, en mi caso, VIM :-). Hay que rellenar ciertos datos como he comentado antes así que para obtener esas API y secret KEY nos vamos a la URL: https://dev.twitter.com/apps/new Una vez que tengamos los datos que nos piden, los rellenamos en la aplicación y listos. Utilizando la herramienta; Lanzamos TinfoLeak darkmac:tinfoleak marc$ python tinfoleak.py +++ +++ tinfoleak v0.9 - "Get detailed information about a Twitter user" +++ Vicente Aguilera Diaz. @vaguileradiaz +++ Internet Security Auditors +++ 09/11/2013 +++   Usage: # tinfoleak.py [-n|--name] username [-c|--count] count [-t|--time] [-b|--basic] [-s|--source] [-h|--hashtags] [-m|--mentions] [-g|--geo] [--stime] stime [--etime] etime [--sdate] sdate [--edate] edate [-f|--find] word (*) username: Twitter account count: number of tweets to analyze (default value: 100) time: show time in every result (default value: off) (+) basic: show basic information about the username (default value: off) (+) source: show applications used by username (default value: off) (+) hashtags: show hashtags used by username (default value: off) (+) mentions: show twitter accounts used by username (default value: off) (+) geo: show geo information in every result (default value: off) stime: filter tweets from this start time. Format: HH:MM:SS (default value: 00:00:00) etime: filter tweets from this end time. Format: HH:MM:SS (default value: 23:59:59) sdate: filter tweets from this start date. Format:...

Leer Más

Bloquear el DNS hijacking por parte del ISP

Esto que voy a explicar hoy no es nada novedoso, pero si molesto para algún sector de usuarios. Se trata del DNS hijacking. Como ya sabréis algunos, me mude de casa hace unos meses y contraté mi servicio de ADSL en casa. Los únicos cambios que le hice a mi router, fue deshabilitar el WPS, cambiar el SSID y el password, además de accesos y etc.. La compañía contratada es Jazztel. Hay veces que como muchas personas, me equivoco al escribir el dominio web que voy a visitar. Mi sorpresa fue, encontrarme que era Jazztel, que a modo de “ayuda” me mostraba una página con un buscador del dominio al que yo había tratado de acceder. Ya no me acordaba que Jazztel es uno de los operadores que practica el DNS hijacking. ¿Esto que quiere decir? Vamos a la terminal. darkmac:~ marc$ ping www.midominioinventado.es PING www.midominioinventado.es (81.200.64.180): 56 data bytes 64 bytes from 81.200.64.180: icmp_seq=0 ttl=51 time=63.643 ms 64 bytes from 81.200.64.180: icmp_seq=1 ttl=51 time=61.092 ms 64 bytes from 81.200.64.180: icmp_seq=2 ttl=51 time=73.953 ms 64 bytes from 81.200.64.180: icmp_seq=3 ttl=51 time=62.912 ms 64 bytes from 81.200.64.180: icmp_seq=4 ttl=51 time=63.172 ms --- www.midominioinventado.es ping statistics --- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 61.092/64.954/73.953/4.582 ms darkmac:~ marc$ El dominio web no existe, pero en cambio me contesta el ping…. ¿Pero de quien es esta IP? darkmac:~ marc$ dig -x 81.200.64.180 +short dnssearch.jazztel.com. Vaya, parece que la IP, pertenece a un subdominio web, concretamente a dnssearch.jazztel.com darkmac:~ marc$ nslookup www.dominioinventado.es Server: 87.216.1.65 Address: 87.216.1.65#53 Non-authoritative answer: Name: www.dominioinventado.es Address: 81.200.64.180 darkmac:~ marc$ Hay otra IP implicada en el caso la IP  87.216.1.65 que es DNS de Jazztel, esto es normal :D. Otra de las maneras que se tiene de comprobar quien “está en medio”. Es hacer un curl. server-home:sqlmap marc$ curl -I www.midominioinvenado.es HTTP/1.1 403 Forbidden Date: Sun, 18 Aug 2013 18:46:47 GMT Server: Apache Connection: close Content-Type: text/html; charset=iso-8859-1 server-home:sqlmap marc$ curl -v -I www.midominioinvenado.es * About to connect() to www.midominioinvenado.es port 80 (#0) * Trying 81.200.64.180... * connected * Connected to www.midominioinvenado.es (81.200.64.180) port 80 (#0) > HEAD / HTTP/1.1 > User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8x zlib/1.2.5 > Host: www.midominioinvenado.es > Accept: */* > < HTTP/1.1 403 Forbidden HTTP/1.1 403 Forbidden < Date: Sun, 18 Aug 2013 18:46:55 GMT Date: Sun, 18 Aug 2013 18:46:55 GMT < Server: Apache Server: Apache < Connection: close Connection: close < Content-Type: text/html; charset=iso-8859-1 Content-Type: text/html; charset=iso-8859-1 < * Closing connection #0 Si miramos dicha IP en Robtex. En realidad el Subdominio no pertenece a Jazztel. Podemos ver un Summary también. A mi personalmente, me molesta que haya interceptando mis consultas...

Leer Más
Todo lo que necesita saber sobre #PUMA el #PRISM Colombiano
Jul06

Todo lo que necesita saber sobre #PUMA el #PRISM Colombiano

Con todo el revuelo que se ha creado al conocer la existencia del programa PRISM en Estados Unidos, el programa Tempora del Reino Unido de los que ya hablamos en la comunidad y enseñamos como saltarnos este tipo de espionaje gubernamental, una noticia un poco mas local ha levantado las alarmas de los Colombianos y es que gracias a medios de comunicación como Caracol y El Tiempo nos enteramos que el gobierno Colombiano esta trabajando desde el 2011 (Año en que se aprobó el presupuesto para el programa) en la Plataforma Única de Monitoreo y Análisis (PUMA), una herramienta que les permitirá “chuzar” cualquier medio de comunicación, red social o aplicativo que use o no Internet para su funcionamiento. El proyecto PUMA o como algunos llaman el PRISM Colombiano, cuenta con un presupuesto de 50.000 Millones de Pesos (aunque otros medios afirman que son 100.000 millones) y entrará en funcionamiento a principios del 2014, permitiendo al gobierno Colombiano realizar un monitoreo sobre mas de 20 mil medios de telecomunicaciones, dentro de los cuales se proyecta incluir las redes telefónicas y las de tráfico de comunicaciones por redes de datos. Según el general José Roberto León Riaño, el uso que se le dará a la plataforma será para “El fortalecimiento de la capacidad tecnológica para la interceptación de comunicaciones, como herramienta fundamental de la investigación criminal que permita garantizar la seguridad ciudadana” y dice que para toda interceptación se generará un archivo “de acuerdo con una cadena de custodia y lo que disponga la autoridad judicial, se dará uso a la información que aquí se recaude” donde se detalla las personas involucradas en el proceso y los usos que se le dieron a la información. PUMA entra a reemplazar la famosa unidad de espionaje conocida como ‘El búnker’, que se encontraba en las oficinas de la fiscalía y para tal fin ya se han comprado un terreno de 19.200 metros cuadrados de la Policía, en el occidente de Bogotá que servirá como centro de operaciones del programa y será administrada por la Fiscalía, con acompañamiento de la Procuraduría. Varios partidos políticos especialmente de oposición han rechazado fuertemente este tipo de iniciativas, ya que según ellos el PUMA viola la intimidad de las personas y además temen, que con el pretexto de la seguridad nacional, se le realice seguimiento a opositores políticos como ha sucedido en el pasado con las famosas chuzadas telefónicas. Foto del senador Camilo Romero para la revista Semana, fuerte opositor a la implementación del PUMA, donde deja claro el sentimiento de los Colombianos frente a este tipo de actividades por parte del gobierno. La polémica esta servida,...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices