Reportar vulnerabilidades de forma segura
Ene12

Reportar vulnerabilidades de forma segura

En la seguridad informática es normal que dada la inquietud que provoca la profesión, investigando nos encontremos con algún fallo de seguridad en alguna página web o un fallo a nivel de infraestructura, Sistema operativo, servicios como DNS, LDAP, Active Directory. Si encontramos una vulnerabilidad podemos estar  ante varias situaciones: Que el fabricante o propietario de la página web tenga un servicio de Bug Bounty. Que en el sitio de la vulnerabilidad haya una sección de dedicada a reportar fallos de seguridad, mediante el envío de un correo electrónico por ejemplo Que no haya nada, ni servicio de Bug Bounty ni sección dedicada a la seguridad. La normativa de delitos telemáticos es distinta en cada región. En España tenemos una, en Colombia habrá otra por lo tanto a la hora de reportar una vulnerabilidad hemos de vigilar bien donde lo reportamos. Como no soy Colombiano voy a explicar casos que he leído por ahí y como se acabo reportando la vulnerabilidad en cuestión. Reporte de la vulnerabilidad contactando al propietario del Whois. Si encontramos una vulnerabilidad en un dominio el cual no tiene sección para reportar la vulnerabilidad, una de las opciones es mirar los contactos del Whois. En este caso miramos el de DragonJAR. Registrant Email:dragonjar(arroba)gmail.com Admin ID:CR34508516 Admin Name:Jaime Restrepo Admin Organization:Arnoldo Viafara Valencia Admin Street1:carrera 11 No 18-10 Admin Street2:click Admin Street3: Admin City:manizales Admin State/Province: Admin Postal Code:57 Admin Country:CO Admin Phone:+57.8829246 Admin Phone Ext.: Admin FAX: Admin FAX Ext.: Admin Email:dragonjar(arroba)gmail.com Tech ID:CR34508515 Tech Name:Jaime Restrepo Tech Organization:Arnoldo Viafara Valencia Tech Street1:carrera 11 No 18-10 Aquí le podríamos enviar un correo a Jaime, con lo que hubiéramos encontrado. Quiero destacar en este punto que: El hecho de reportar una vulnerabilidad al contacto del dominio no significa que sea legal y que, el propietario del dominio haga algo por solucionarlo, y no nos denuncie por que podríamos haberle dejado sin servicios dependiendo del fallo que se quería explotar. Contacto con las FCSE (Fuerzas y cuerpos de seguridad del estado) No tengo constancia como funciona en otros países, pero si que tengo claro a donde he acudido yo cuando he tenido que enfrentarme a un problema de este tipo. La Unidad de delitos telemáticos de la Guardia Civil tiene una sección para ocuparse de estos menesteres. Rellenas la información con los datos que tienes y ellos se encargarán de avisar a la persona adecuada. La verdad es que los considero como la primera opción para el reporte de algunas vulnerabilidades. y hacen un trabajo excelente desde aquí todo mi apoyo a dicha unidad :D. Reportar vulnerabilidades a los CERTS (Computer Emergency Response Team) Un centro de...

Leer Más
PunkSPIDER, proyecto para la búsqueda de vulnerabilidades
Dic08

PunkSPIDER, proyecto para la búsqueda de vulnerabilidades

Hace años no se hacía tanto hincapié en el tema de la seguridad, con el auge de las aplicaciones web y que se llevan los servicios a la nube, cada vez mas gracias a que se tratan datos personales se tiene mas conciencia en seguridad. Es por eso que no me sorprende que salgan a la luz proyectos como PunkSPIDER. En los que es capaz de realizar miles de escaneos de vulnerabilidades web al día y poner a disposición de cualquiera sus resultados. La idea es buscar en la base de datos de PunkSPIDER, y ver si hay alguna vulnerabilidad relacionada. ¿Que hay detrás de punkSPIDER? Se trata de una arquitectura basada en clusters Apache Hadoop para un escaner distribuido. Las vulnerabilidades que buscará punkSPIDER son del tipo XSS, blindSQLInjection y SQLInjection. Lo que haremos en punkSPIDER es buscar por uRL, por dominio o por título de la página. Un ejemplo: Como veis está marcado como que esa web tiene un XSS , y podremos ver los detalles. Una cosa que me ha parecido interesante es la posibilidad de poder hacer querys y que te devuelva en un JSON los resultados <pre>{"data":{"numberOfPages":1,"domainSummaryDTOs":[{"id":"http://isc.sans.edu/","timestamp":"Sat Oct 26 01:01:45 GMT 2013","title":"isc Home | SANS Internet Storm Center; Cooperative Network Security Community - Internet Security","exploitabilityLevel":0,"bsqli":0,"sqli":0,"url":"http://isc.sans.edu/","xss":0}],"rowsFound":1,"qTime":0}}</pre> Es interesante que podáis contribuir en el...

Leer Más
Buscando Vulnerabilidades en Plantas Asterisk
Ene06

Buscando Vulnerabilidades en Plantas Asterisk

Cada vez son mas frecuentes encontrar en las organizaciones instalaciones de Asterisk, ya sea por ahorrar dinero frente a las soluciones PBX comerciales, o por su flexibilidad, asterisk en poco tiempo se ha encargado de acaparar una gran rebanada del pastel de VoIP; En el siguiente articulo pretende enseñar como buscar vulnerabilidades en PBX ASTERISK, lo lo simple que resulta hacerlo con configuraciones defectuosas y que herramientas podemos usar. La principal función de una planta telefonica es ayudar con la convergencia con las redes de nueva generación (NGN), permitiendo tomar una señal análoga, como lo es la Voz, digitalizarla y transportarla sobre el protocolo IP, teniendo así servicios de Voz sobre IP mas conocido como VoIP. Muchas personas, empresas particulares y privadas en el mundo buscan estas soluciones debido a que ASTERISK es una distribución libre, de manera que es gratis y es fácil de implementar, con unas buenas políticas de seguridad, es una solución altamente fiable…… pero he aquí el problema, cualquiera dice que sabe instalar y configurar, cuando en realidad solo saben seguir manuales mal hechos en la red… ya ustedes me entienden. Lo primero que haremos sera tener una maquina configurada con el servicio de ASTERISK instalado, puede ser FreePBX, Trixbox, o Elastix, o lo que recomiendo, instalar Centos S.O y después compilar la aplicación de ASTERISK, Para nuestro tutorial tendremos una maquina virtualizada. Con Elastix (asimilándose mucho a la realidad). Este seria el caso inicial con el cual nos encontraremos con una PBX sin tener ningún dato de ella. Usaremos el software de SIPVICIOUS el cual podemos descargar de el blog oficial  o del google code: http://blog.sipvicious.org/ o http://code.google.com/p/sipvicious/ sipvicious es un código escrito en Python, por tanto necesitamos tener instalado este lenguaje en nuestro sistema. Las herramientas del framework sipvicious que usaremos inicialmente son: svcrack.py, svmap.py, svwar.py Iniciaremos con el svmap.py del SIPVICIOUS para poder saber cual es la IP en la cual esta corriendo la planta: [BASH]./svmap.py 192,168,5,1-192,168,5,255[/BASH] Usando Nmap miramos que otro servicio esta ejecutándose en la maquina: Como se observa tenemos el puerto 80 abierto revisaremos mediante un browser o navegador que nos ofrece: como ahora sabemos cual es su IP, también nos gustaría saber el fingerprint de la planta para tener mas detalle o mas información de nuestro objetivo: [BASH]./svmap.py –finferprint 192,168,5,143[/BASH] Como ahora estamos totalmente seguros de que tenemos una planta con FreePBX Asterisk, vamos a listar las extensiones previamente configuradas en la planta y posteriormente a tratar de usarlas [BASH]./svwar.py -D -m INVITE -vvvvv 192.168.5.143[/BASH] NOTA: Esto no quiere decir que necesariamente sean las unicas extensiones que existan, recomiendo primero chequear nuestras plantas, o descargar un Elastix y correr nuestro laboratorio en tu propia...

Leer Más

Cómo descubrir vulnerabilidades y escribir exploits

El Exploit Research es una persona que dedica su tiempo a buscar y explotar vulnerabilidades en el software, evadiendo sus protecciones, por lo general trabajan para empresas dedicadas a vender fallos a otras empresas o de manera independiente eligiendo si guardarlas para su uso privado, venderlas a las entidades gubernamentales o a empresas especializadas. Por mucho tiempo los Exploit Writers o Exploit Research  estuvieron rodeados de un aire misterioso, pero poco a poco se ha ido perdiendo este misterio gracias a iniciativas como Exploit Research Megaprimer. Exploit Research Megaprimer  es una iniciativa planteada por el usuario vivekr en los foros de BackTrack y llevada a cabo en SecurityTube, donde explican paso a paso y en vídeos, todo el camino que se recorre entre descubrir una vulnerabilidad y escribir el respectivo código que la explote, sin duda una excelente documentación que muchos hubiéramos querido tener hace años y ahora esta disponible para todos de forma gratuita.   I Introduction II Memcpy Buffer Overflow Exploitation III Strcpy Buffer Overflow Exploitation IV Minishare Buffer Overflow Exploitation V FreeSSHD Buffer Overflow VI SEH Basics VII Overwrite SEH VIII Exploiting SEH IX Guest Lecture X Binary Diffing Microsoft Patches Si te interesa esta área de la seguridad informática, te recomiendo que leas el blog de Rubén Santamarta, la entrevista que le realizamos a César Cerrudo y paginas como 48bits y OverflowedMinds, grandes exponentes de esta materia en...

Leer Más

Presentación de conceptos básicos en Seguridad Web

Marcos García, miembro de nuestra comunidad ha querido compartir con nosotros la siguiente presentación, que referencia a los ataques más comunes sobre las aplicaciones Web. La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de seguridad están expuestas sus aplicaciones. Es importante señalar que existen más ataques, los cuales no figuran en la presentación. Descargar documentación También podremos ver ejemplos prácticos de todas las técnicas mencionadas en los siguientes vídeos. XSS CSRF Path Traversal Null Byte OS Commanding Local File Inclusion Remote File Inclusion Information Disclosure SQL Injection/Blind SQL Injection File Upload Agradecimientos especiales a Marcos García por compartir esta información con...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices