¿CÓMO HACER UN ATAQUE PASTEJACKING Y TOMAR EL CONTROL DE LA MÁQUINA DE VÍCTIMA?

Ha sido posible por un largo tiempo para que los desarrolladores usar CSS para añadir contenido malicioso en el portapapeles sin conocimiento del usuario y por lo tanto engañarlos para que ejecute comandos de terminales no deseados. Este tipo de ataque se conoce como clipboard hijacking. Un investigador de seguridad de página web, publicó una nueva versión de este ataque, que sólo utiliza JavaScript como medio de ataque, no CSS. JavaScript hace que este ataque más difícil de detectar y más difícil de detener.

JavaScript es mucho más potente y versátil en comparación con CSS, y se nota inmediatamente explica profesor de curso de seguridad informática. Mientras que en el CSS exploit el usuario tenía que copiar y pegar todo el texto malicioso, con JavaScript cosas son mucho más complicadas.

Los usuarios ni siquiera tienen que seleccionar todo el texto malicioso. Un carácter es suficiente. En teoría, un atacante podría añadir su código malicioso Pastejacking JavaScript para toda la página, y cuando tú pegas cualquier cosa dentro de la consola, ellos podrían ejecutar comandos a escondidas a tus espaldas explica profesor de curso de seguridad informática. El atacante puede ejecutar su código malicioso, limpiar la consola, y luego añadir el código del usuario copiado, haciéndoles creer que no pasó nada.

Según investigador de seguridad de página web, el ataque puede ser mortal si se combina con las páginas de soporte técnico o correos electrónicos de phishing. Los usuarios pueden pensar que están copiando el texto inocente en su consola, pero de hecho, se están ejecutando código malicioso. Debido a que los comandos de terminal se ejecutan automáticamente, el usuario ni siquiera tiene presionar la tecla Enter para ejecutar el código malicioso, CTRL + V es suficiente.

Por ejemplo, alguien en busca de consejos sobre los comandos de cmd.exe podría copiar y pegar el código que encontró en línea en los artículos de tutoriales, pero la persona maliciosa detrás de ese sitio en particular se podría anexar decenas de líneas de código malicioso que se descargan malwares desde una fuente y se instalan en línea en su ordenador. Todo esto puede suceder en silencio, sin que el usuario se percate de nada.

Acuerdo con el ternario del curso de seguridad informática ataques similares han sido posibles a través de HTML / CSS. Lo que es diferente al respecto es que el texto puede ser copiado después de un evento, se puede copiar en un contador de tiempo corto después de un evento, y es más fácil de copiar en caracteres hexadecimales en el portapapeles, cual puede ser utilizado para explotar VIM, como se mostrara a continuación.

DEMOSTRACIÓN

He aquí una demostración de un sitio web que atrae a un usuario para copiar un comando de aspecto inocente. El sitio es de demostración credo por investigador de seguridad de página web.

https://security.love/Pastejacking

Si un usuario intenta copiar el texto con atajos de teclado, es decir, Ctrl + C o command+C, un temporizador de 800 ms se establece que sustituye directamente el valor del portapapeles del usuario con código malicioso.

echo “not evil” Se reemplazará con echo “evil”\n

Tenga en cuenta el carácter de nueva línea se añade al final de la línea. Cuando un usuario va a pegar el comando de eco en su terminal, “evil” se aparecera  automáticamente en la pantalla sin dar al usuario la oportunidad de revisar el comando antes de ejecutar. Payloads más sofisticadas que se esconden también se pueden utilizar.

touch ~/.evilclearecho “not evil”

Este comando creará un archivo “evil” en su directorio personal y limpiara  la terminal de salida. La víctima parece tener el comando que pretendía copiar en el terminal.

IMPACTO

Este método se puede combinar con un ataque de phishing para atraer a los usuarios a ejecutar comandos aparentemente inocentes explica investigador de seguridad de página web. El código malicioso se anulará el código inocente, y el atacante puede obtener la ejecución remota de código en la máquina del usuario si el usuario pega el contenido en el terminal.

¿CÓMO PROTEGERTE A TI MISMO?

Esto no es tan sencillo. Una solución recomendada por curso de seguridad informática es, verificar el contenido del portapapeles antes de pegarlo en una terminal, pero tenga cuidado de donde se verifican estos comandos. Por ejemplo si se pegan en vim, macros vim se puede utilizar de aprovecharte. Un ejemplo de esto se puede ver en esta demostración más abajo.

copyTextToClipboard(‘echo “evil”\n \x1b:!cat /etc/passwd\n’);

Una solución en todo esto puede observarse a continuación

Dentro de vim para pegar portapapeles sin interpretar como un comando vim

Si está ejecutando iTerm, estaría advertido si el comando termina con un salto de línea como se ve aquí:

Por supuesto, no hace falta decir, tomar nota de la fuente que se está pegando a partir, y tener precaución adicional si se va a pegar de fuentes cuestionables.

Read More

¿CÓMO HACKEAR “BUSCAR MI IPHONE” EN TODAS LAS VERSIONES DE IPHONE / IPAD?

Los usuarios que han perdido su iPhone inician sesión en su cuenta de iCloud y pone el teléfono en modo perdido, con código de acceso si no está ya establecido. El teléfono, tan pronto como se conecta a Internet, se sincronizará iCloud y queda atrapado o incluso borra toda a la configuración original según investigadores de empresa de seguridad informática.

El cuadro siguiente describe una situación en la que un usuario de iPhone es capaz de rastrear su teléfono a través de “ Buscar mi iPhone “.

Según investigadores de empresa de seguridad informática, estos son algunos métodos que pueden hacer a tus dispositivos de Apple ilocalizable (Hackeando Buscar mi iPhone)

CREACIÓN DE UN SERVIDOR DNS PRIVADO

Este es un método muy fácil y funciona 100 por ciento. Lo que se puede hacer es configurar un servidor DNS a medida y redirigir todo el (iCloud Buscar mi iPhone) tráfico a sí mismo o a otro lugar haciendo * icloud.com inalcanzable. Una vez reconfigurado, el IP del servidor se puede asignar a iPhone o a Gateway (Router).

Uno puede asignar la IP del servidor DNS a su Gateway router y conectar el iPhone. De esta manera, se puede usar el teléfono sin estar preocupado por tener el teléfono bloqueado, borrado o si se está rastreando de forma remota explica Dan Hayes un investigador de empresa de seguridad informática.

En iPhones con Jailbreak, guarda un archivo que puede ser modificado para bloquear las comunicaciones desde o hacia iCloud- sin el uso de Servidor DNS privado. Para el uso celular, un VPN puede ser configurado para usar este DNS en lugar de los predeterminados.

 

Método de comunicación entre iCloudy e iPhone perdido

ROMPER LA COMUNICACIÓN ENTRE ICLOUD Y EL IPHONE PERDIDO.

Este método es tan simple que hemos puesto en marcha un servidor DNS privado para fines de demostración. Podrían aprender esto durante un diplomado seguridad informática. El servidor se encuentra en 176.123.29.190 que redirige * iCloud.com para el tráfico a su IP local. Puede añadir esta IP DNS a tu iPhone, iPad o al router para intentar rastrear tu teléfono. Usted no será capaz de realizar un rastreo del mismo. La solicitud sólo se completará cuando se quita esta IP.

Configura el IP del DNS privado en el router para bloquear * icloud.com

Este es una vulnerabilidad difícil de arreglar para cualquier persona, y Apple no es una excepción. Configurando un IP fijo no funcionará, podemos poner en nuestra lista negra el IP codificado en nuestro gateway para prescindir de él.

Configurando un proxy y pasando todo el tráfico a través de él, pero bloqueando el tráfico de iCloud hará que se desconecte del servidor de iCloud.

Aquí, nosotros interceptamos el tráfico de iCloud usando Burp Suite; sin embargo, requiere la instalación de un certificado de CA para poder interceptar el tráfico HTTPS. Pueden aprender como instalar certificado durante un diplomado seguridad informática. Tratamos de poner iPhone en modo de pérdida de iCloud colocando una nueva contraseña junto con un mensaje de advertencia y número de teléfono para mostrar en el cuadro de mensaje. iCloud envía toda esta información cuando se sincroniza con mi iPhone, el cual podemos interceptar.

Lo que es peor es que muchos de nosotros usamos mismo código PIN para nuestros otros dispositivos, si el código es el mismo para otros dispositivos será un día de suerte para el robo. Mucha información puede ser sacado del tráfico que el propietario se envía desde iCloud y el ladrón lo está leyendo.

 

BLOQUEO CON PASSCODE Y BLOQUEO DE HUELLA DIGITAL

El bloqueo con PassCode puede ser considerado como un buen método para protegerse de todo esto, en cierta medida. El bloqueo con huella digital se considera más seguro pero requiere un pin/passcode. Aun así, existe cierta probabilidad de obtener la huella dactilar del titular de su / iPhone. Los dispositivos como IP Box están disponibles en el mercado los cuales pueden ser utilizados para romper el passcode de iPhone también pueden aprender sobre IP Box durante diplomado seguridad informática.

    

ERRORES QUE LAS PERSONAS HACEN QUE PIRATEAN LA CUENTA DE ICLOUD

§  Cuando el correo electrónico de iCloud está configurado en el buzón de iPhone o iPad. A menudo, la gente no cambia la contraseña de su correo electrónico tan pronto como se pierde. En tales casos, el correo electrónico se puede utilizar para restablecer su contraseña de iCloud acuerdo a investigadores de empresa de seguridad informática

§  Muchas personas no establecen código de acceso en su iPhone, y los que se lo hacen sobre todo eligen código de passcode(por ejemplo.,12345,147258,2580 etc.).

§  Muchos no usan Buscar mi iPhone ya que consume datos celulares.

Si el correo iCloud asociado ha sido añadido en el dispositivo de apple, y si los ladrones pueden tener acceso a ese correo electrónico entonces pueden solicitar restablecimiento de contraseña de iCloud por el correo y entrar en tu cuenta de iCloud. Investigadores de empresa de seguridad informática mencionan que una vez que están adentro, hay mucho que uno puede hacer, por ejemplo, apagar Buscar mi iPhone. También pueden bloquear todos los otros dispositivos de Apple que tengan el mismo ID de Apple, en el caso peor de los casos. Pueden aprender más sobre este ataque durante diplomado seguridad informática.

Read More

¿QUÉ ES INYECCIÓN DE SQL Y CÓMO ARREGLARLA SEGURIDAD DE BASE DE DATOS?

El primero en la lista de las diez vulnerabilidades más comunes (OWASP) es la inyección. Este tipo de hallazgo es más como una categoría, e incluye todos los tipos de vulnerabilidades donde una aplicación envía datos no confiables a un intérprete. Se encuentra a menudo en las consultas de bases de datos, pero otros ejemplos son los comandos OS, XML parsers o cuando la entrada del usuario se envía como variables acuerdo con los consultores de auditoría de base de datos.

Según maestros de curso de seguridad de base de datos, este es un tipo de vulnerabilidad muy común, especialmente en código antiguo, ya que era mucho más común hace unos años cuando estaban menos  conscientes del peligro. La Inyección de SQL debe ser considerada como la más conocida del tipo de inyección acuerdo con el curso de seguridad de base de datos. Como se trata de una categoría muy amplia de la vulnerabilidad, el riesgo varía mucho de un caso a otro. Como la inyección de SQL es el tipo de inyección más conocida, el impacto es a menudo el robo de datos de la base de datos. Eso puede incluir nombres de usuario, contraseña y otros datos confidenciales. El peor de los casos sería una adquisición completa del sistema, lo que ciertamente es posible dependiendo de dónde se dé la inyección y en qué entorno mencionan los consultores de auditoría de base de datos.

Este es un ataque que puede ser automatizado, lo que lo supone en mayor riesgo. Un atacante no necesita estar tras de ti, el simplemente puede escribir una secuencia que explota a tantos sitios como sea posible y si el tuyo es uno de ellos es una coincidencia.

Uno de los ataques más conocidos realizados por inyección de SQL estuvo dirigido contra Sony. Otro casi irónico fue cuando MySQL sufrió el mismo una inyección SQL. Como se puede entender partir de los ejemplos, grandes jugadores también están en riesgo y el resultado de un ataque puede ser aterrador sin algún tipo de auditoría de base de datos.

 *',za

 ¿CÓMO DESCUBRIR LA INYECCIÓN DE SQL?

Para los usuarios más avanzados es una vulnerabilidad que pueden encontrarse a menudo mientras se está haciendo el análisis de código. Esa es la identificación de todas las consultas en la aplicación web y siguiendo el flujo de datos. Ya que a veces no genera ninguna reacción visible y puede ser difícil de detectar durante black box-test, a pesar de que a algunas veces eso es posible también. Según el curso de seguridad de base de datos, la inyección es una definición muy amplia que varía de un caso a otro, pero en general una inyección SQL clásico es muy fácil de explotar.

Un ejemplo típico de una inyección de SQL sería en un formulario de acceso, con el código que se muestra a continuación:

$db = new mysqli(‘localhost’, ‘root’, ‘passwd’, ‘base’); $result = $db->query(‘SELECT * FROM users WHERE user=”‘.$_GET[‘user’].'” AND pass= “‘.$_GET[‘password’].'”‘);

Supongamos que el atacante entra “ OR 1– como nombre de usuario y cualquier contraseña de todo el código y se terminara viendo así:

SELECT * FROM users WHERE user=”” OR 1 — AND pass=”whatever”

Después de — (lo que se indica el inicio de un comentario en SQL) será desechado e ignorado. El código será ejecutado cuando se vea de la siguiente manera:

SELECT * FROM users WHERE user=”” OR 1

El código establece ahora “Obtener todo, desde la lista de usuarios (donde el nombre de usuario coincide con nada o 1 (lo que se interpretara como cierto)”.

Desde que la última afirmación siempre resultará en cierto, la mano derecha de la declaración eliminara con éxito la declaración mano izquierda y la condición siempre será cierto. El resultado de esta consulta sería algo como éste:

SELECT * FROM users

El cual sería devolver todos los datos que hay sobre todos los usuarios. Ej., La inyección en el parámetro $ _GET [‘usuario’] es suficiente para hacer que el servidor MySQL seleccione el primer usuario y otorgué al atacante acceder a ese usuario.

REMEDIACIÓN

1.    Mientras las inyecciones son más de una categoría de vulnerabilidades, las soluciones varían de un caso a otro, dependiendo de qué tipo de vector y el intérprete que estamos hablando. Acuerdo el curso de auditoría de base de datos y seguridad de base de datos, la solución óptima es utilizar un API que, o bien evita el intérprete o proporciona una interfaz con parámetros. El código con parámetros no es difícil de hacer, y si usas PHP nosotros te recomendamos PDO. Puede sonar extraño al principio, pero en realidad no es tan difícil como tú podrías pensar en un principio. Ejemplos en otros idiomas pueden ser aprendidos durante el curso de seguridad de base de datos.

2.    Si el código parametrizado no es una opción en su caso, en su lugar debes escapar cuidadosamente de caracteres especiales. ¿Cómo se hace esto? depende del intérprete utilizado, y algunas veces tendrías que mejorar.

3.    La validación de entrada de la lista blanca es también una alternativa, pero a menudo no se puede utilizar como aplicación puede requerir caracteres especiales, como de entrada. Por ejemplo, un blog quiere permitir a sus visitantes hacer comentarios usando comillas, a pesar de que es carácter podría ser utilizado para salir de una consulta. En esos casos, es necesario ir con una solución de uno o dos.

Pueden aprender todo sobre remediación sobre inyección SQL curso de seguridad de base de datos y resolver las vulnerabilidades de sus sistemas informáticos.

Read More

Sin anzuelo. Policía cibernética no puede cazar bajacalzones

En la CDMX hay más de 3 mil denuncias por ciberdelitos como acoso y pornografía, pero las autoridades no tienen la facultad para cerrar sitios que suben materiales, como lo comprobó un colaborador de EL UNIVERSAL al iniciar una denuncia.

La Policía de Ciberdelincuencia Preventiva de la Ciudad de México, creada para vigilar y castigar los delitos cometidos en la red, no tiene la capacidad de cerrar sitios en internet que contengan videos tomados por debajo de las faldas de mujeres en lugares públicos sin su consentimiento, o que registren el momento en el que se les agrede al bajar su ropa interior al ir caminando por la calle, como sucedió con la periodista Andrea Noel en marzo pasado.

Esta es la respuesta que da a EL UNIVERSAL la institución que depende de la Secretaría de Seguridad Pública capitalina, en seguimiento a la nota publicada por este diario el pasado 30 de mayo, advirtiendo sobre la proliferación de clubes bajacalzones en la CDMX.

Francisco González, encargado de la Unidad de Denuncias de la Policía Cibernética de la CDMX, dice a este diario que la dependencia está imposibilitada para actuar contra sitios que contengan sharking (ataque tiburón: bajar la ropa interior de las mujeres) o upskirt (grabar por debajo de sus faldas sin su consentimiento).

“Lo que hacemos es que, luego de recibir material y recopilar denuncias, les enviamos un correo (si aparece en el sitio web) con la información que juntamos para recomendarles que eliminen dicho material”, dice González.

Explica que además debe existir un número vasto de denuncias para que proceda la recomendación, y que en caso de ser testigo de uno de estos abusos, se acuda a un Ministerio Público a presentar una denuncia.

“Necesitamos que sean varias denuncias para que tengan peso y se pueda hacer algo. Como tal, nosotros no podemos cerrar un sitio, pero sí hacer la recomendación. Además, este sitio tiene que tener antecedentes”, dijo.

Según datos de la propia dependencia, hasta este año se han recibido más de 3 mil denuncias, en su mayoría por acoso, fraudes, pornografía infantil, robo de información, venta de armas, drogas y animales exóticos. Sin embargo, ni una sola por sitios voyeur.

Octavio Campos Ortiz, ex titular de Comunicación Social de la Secretaría de Seguridad Pública de la CDMX, confirmó a EL UNIVERSAL que “no existen denuncias por este tema específico [sharking]”.

Como se publicó el 30 de mayo, los clubes bajacalzones, es decir, de personas que se dedican a abusar de mujeres en las calles para levantar sus faldas y bajar sus calzoncillos para luego subir el video a sitios pornográficos en internet, están al alza.

Una de las víctimas más notorias es la periodista estadounidense Andrea Noel, quien en entrevista confirmó la posibilidad de que el video de su ataque circule en sitios pornográficos.

En foros públicos como VoyeurAzteca se comparten fotografías y videos tomados por debajo de la falda de niñas y mujeres usuarias del Metro de la Ciudad de México, en vestidores, baños y avenidas, sin su consentimiento.

Quien escribe este reportaje intentó levantar una denuncia en contra de este sitio web y de otros que fueron detectados con cientos de materiales de este tipo.

La denuncia: ¿misión imposible?

El gobierno mexicano creó una unidad especializada en delitos cibernéticos en octubre de 2015, pero sólo sirve como “orientación”, según declaraciones de funcionarios de dicha dependencia luego de dos llamadas de este diario para levantar una denuncia.

La querella se inicia con una llamada al número (55) 5242-5068, perteneciente a la Policía Cibernética de la Ciudad de México. Se pidió levantar una denuncia contra el sitio denominado voyeurazteca.com por contenido ilegal, como grabaciones sin consentimiento de mujeres por debajo de sus faldas, además de contenidos de pornografía infantil, ambos delitos penados por la ley.

En el primer intento, el funcionario pide nombre, domicilio, edad y correo electrónico del denunciante. Luego un relato sobre la denuncia, y al final solicita enviar un mail con “la evidencia” recopilada a la direcciónpolicia.cibernetica@ssp.df.gob.mx.

Durante la segunda llamada se solicitan de igual manera los datos personales, un relato, y al final que el denunciante acuda a la oficina del Ministerio Público más próxima “con todas las evidencias” para levantar la denuncia.

“Nosotros sólo lo orientamos, no tomamos denuncias. Acuda al MP llevando toda la evidencia de esto que me está diciendo y el MP le pedirá a la Policía Cibernética que dé seguimiento”, explica el funcionario.

La denuncia en el MP se puede iniciar en línea con una solicitud de cita. Entonces me envían un correo con los requisitos y la fecha de la cita en las oficinas de la colonia Escandón. Al presentar las pruebas, que consistían en pantallazos del sitio, me enviaron al correo el folio de denuncia. El funcionario de la oficina explica que “hay una probabilidad muy amplia” de que mi denuncia “no llegue a nada”, pues se requiere de varias quejas que sustenten el delito.

“Si usted tiene más testigos, o puede traer a dos o tres personas más a que denuncien este sitio, nosotros lo pasamos a la Policía Cibernética para que procedan”, dice el agente del MP.

Pero al consultar nuevamente al encargado de la Policía Cibernética, regresamos al inicio: la dependencia no tiene poder para cerrar el sitio, sino para hacerle una recomendación.

“Lamentablemente es una zona gris, aún no hay fundamentos suficientes, pero se encuentra al responsable, al administrador de la página, y se le exhorta a eliminar ese contenido o el sitio completo”, explica el funcionario.

La otra policía: redes sociales

Juan Carlos Solís, experto en ciberseguridad y redes, asegura que en México la legislación respecto a lo que sucede en la red está atrasada. “No existe, por ejemplo, el derecho de eliminación como en Europa, donde tú tienes el derecho de pedir a una compañía que elimine contenido sobre tu persona que no hayas autorizado, y por ley lo tienen que hacer”, explica.

Solís considera que la única solución “por ahora” es la de apelar a la comunidad.

“Hay que interponer una denuncia porque es un paso muy importante, pero las compañías no son obligadas a eliminar contenido como upskirt o sharking. La opción por ahora es la de apelar a la comunidad a que comenten, a que denuncien en Facebook o Twitter, para que la página sea bloqueada o el contenido eliminado”, dice el experto.

Esa fue la única opción de la periodista Andrea Noel: volcarse a Twitter a pedir que el ataque del que fue víctima fuera compartido. Sólo así, explicó, logró atraer la atención de las autoridades en México.

“Si alguien reconoce a este imbécil, favor de identificarlo.Women should be able to walk safely. #FelizDiaDeLaMujer”, escribió Noel el 8 de marzo pasado, minutos después de haber sido víctima de sharking.

Luego de intentar con distintas autoridades, esa fue su única opción: apelar a las redes sociales, al trending, a lo viral. Aunque después sufrió las consecuencias: el acoso cibernético en su contra fue tal que tuvo que dejar el país.

La firma internacional en ciberseguridad, International Institute of Cyber Security, con oficinas en la Ciudad de México, ha estado al tanto de los casos de sharking.

David Thomas, especialista de la empresa, dijo en entrevista con EL UNIVERSAL que existen medidas personales que una víctima puede tomar en contra de este tipo de sitios.

“La víctima debe seguir cuatro o cinco pasos: primero, guardar el sitio web que contiene su imagen/video y anotar la dirección completa de la página; segundo, tomar una captura de pantalla, eso servirá como evidencia en caso de que presente una denuncia más tarde con la policía; tercero, buscar en el sitio a reportar el enlace/sección de Reportar Abuso (Report Abuse). La víctima debe presentar un informe en esa sección, adjuntando su foto e identificación válida. El segundo requisito es muy importante, ya que ayuda a las empresas a verificar su solicitud y a tomar acción inmediatamente”, explica Thomas.

El experto agrega que de no encontrar la sección Reportar Abuso, se intente comunicar con el sitio web a través de la sección Contacto y pedirles que eliminen el contenido.

Del dicho al hecho

México ocupa el tercer lugar en el mundo en delitos cibernéticos, de acuerdo con un informe de la Organización para la Cooperación y el Desarrollo Económicos (OCDE). Ante esto se creó la Policía Cibernética. Durante el anuncio oficial de dicha dependencia, el entonces titular de la Secretaría de Seguridad Pública capitalina, Jesús Rodríguez Almeida, anunció que este tipo de sitios podrían ser bloqueados.

“Este nuevo modelo podrá bloquear y cancelar todas aquellas páginas que pongan en riesgo y promuevan la comisión de algún delito”, dijo entonces el funcionario. Esto, según se explicó, debido al trabajo conjunto de la dependencia con la Unidad de Investigación Cibernética de la Procuraduría capitalina.

En 2014, a un año de instaurada la dependencia, se cerraron 15 sitios, en su mayoría fraudulentos y de pornografía infantil. En 2015, de acuerdo con el informe anual de la policía capitalina, la Unidad de Ciberdelincuencia Preventiva cerró 44 sitios por las mismas razones.

No obstante, foros como VoyeurAzteca y otros sitios pornográficos no han sido bloqueados, unos por estar fuera de México y otros por un vacío legal como estar conformados como “foros” y no como sitios pornográficos.

Además, de acuerdo con el funcionario de la Policía Cibernética, las denuncias por sharkingy upskirt son difíciles de definir a la hora de saber a qué dependencia acudir.

Ambos ataques sexuales tienen dos vertientes: el físico, en elsharking sucede cuando la mujer es atacada para bajar sus calzoncillos; en el upskirt ocurre mientras un individuo graba por debajo de su falda, y el cibernético, que en ambos casos sucede cuando alguien publica videos del ataque en internet.

Para evitar ser víctima de sharking o de upskirt, expertos recomiendan asegurarse de que la configuración de privacidad en redes sociales como Facebook e Instagram esté siempre activa para evitar que los contenidos sean accesible a cualquier persona.

Ser cuidadoso en la manera en que se comparten datos personales a través de Facebook o WhatsApp; evitar revisar correo personal en cibercafés o con wifi público, y estar atento en tiendas de ropa sobre cámaras ocultas.

Fuente:http://www.eluniversal.com.mx/

Read More

¿CÓMO REALIZAR LOS ATAQUES BASADOS EN COMPRESIÓN CON RUPTURE?

Acuerdo con los expertos de empresa de seguridad de la información, Rupture es un sistema para la realización de ataques de red contra los servicios web. Se centra en los ataques de compresión, pero proporciona un sistema escalable generalizado para realizar cualquier ataque a los servicios web que requieren un canal persistente de comando y control, así como la adaptación de ataque. Rupture es conveniente para cualquier ataque de plaintext elegido sobre la red. Rupture fue diseñado para llevar al cabo el ataque de los medios disponibles. Los investigadores de auditoría de base de datos, pasan mucho tiempo en la construcción de las implementaciones de prueba de concepto de violación e invertimos mucho tiempo para montar ataques contra los puntos extremos específicos. Se necesita mucho esfuerzo llevar a cabo un ataque de este tipo sin las herramientas adecuadas. Así, con rupture, el objetivo es hacer más fácil el montaje de este tipo de ataques y proporcionar razonables pre configurados por defecto, objetivos y estrategias de ataque que se pueden usar en la práctica o modificarse para adaptarse a la necesidad de nuevos ataques. El sistema está diseñado específicamente para permitir más investigaciones tanto en el lado práctico y teórico por parte de consultores de auditoría de base de datos y empresa de seguridad de la información. En el aspecto práctico, el monitoreo de la red y componentes de inyección son modulares y reemplazables. En el aspecto teórico, el análisis y el núcleo de la estrategia son independientes de los medios de recogida de datos, permitiendo a los criptógrafos teóricos verificar o rechazar la hipótesis de los análisis estadísticos.

INJECTOR

El componente del inyector es responsable de la inserción de código al ordenador de la víctima para su ejecución. Acuerdo con los expertos de empresa de seguridad de la información, puede utilizar Bettercap para llevar a cabo la inyección de HTTP. La inyección se realiza mediante ARP spoofing de la red local y envía todo el tráfico en el modo man-in-the-middle. Se trata simplemente de una serie de códigos shell que utilizan los módulos bettercap adecuados para llevar a cabo el ataque. Puesto que todas las respuestas HTTP están infectadas, esto proporciona que se tome mayor solidez. Como el componente del inyector necesita a funcionarse en una red víctima entonces es ligero y sin estado. Según experiencia de consultores de auditoría de base de datos, puede ser fácilmente implementado en una máquina tal como una raspberry pi, y se puede utilizar para ataques masivos. Múltiples inyectores se pueden implementar en diferentes redes, todos controlados por el mismo canal de comando y control central.

CLIENT

El cliente contiene lógica mínima. Se conecta con el servicio en tiempo real a través de un canal de comando y control y se registra allí. Posteriormente, se espera por instrucciones de trabajo por parte del canal de control y comando, que lo ejecuta. El cliente no toma ninguna decisión ni recibe datos sobre el progreso del ataque además del trabajo que pide que hacer. Esto es intencional para ocultar el funcionamiento de los mecanismos de análisis del adversario desde la víctima en caso de que la víctima intente hacer la ingeniería inversa de que el adversario está haciendo. Además, permite que el sistema se pueda actualizar sin tener que desplegar un nuevo cliente en la red de la víctima, lo cual puede ser un proceso difícil.

Como un usuario normal que está navegando por Internet, varios clientes se inyectarán en páginas inseguras y que se ejecutarán en diversos contextos. Todos ellos se registraran y mantendrán una conexión abierta a través de un canal de comando y control con el servicio en tiempo real. El servicio en tiempo real permitirá a uno de ellos por esta víctima, mientras que los demás se mantienen en estado latente. Entonces el único habilitado recibirá instrucciones de trabajo para ejecutar las solicitudes requeridas. Jorge Rios,  un investigador de auditoría de base de datos menciona que si el cliente activado muere por cualquier razón, tal como una pestaña cerrada, uno del resto de los clientes se despierta para asumir el control del ataque.

REAL-TIME

El servicio en tiempo real es un servicio que espera por las solicitudes de trabajo por parte los clientes. Puede manejar múltiples objetivos y las víctimas. Recibe las conexiones de comando y control de varios clientes que pueden vivir en diferentes redes, se organizan, y se les dice cuáles van a permanecer en estado latente y cuáles van a recibir el trabajo, lo que permite un cliente por víctima.

Acuerdo con los expertos de empresa de seguridad de la información, el servicio en tiempo real se desarrolla en Node.js. Esto mantiene las conexiones socket-web de comando y control abierta con los clientes y se conecta al servicio de backend, lo que facilita la comunicación entre los dos.

SNIFFER

El componente sniffer se encarga de recoger los datos directamente de la red de la víctima. A medida que el cliente pública las solicitudes plaintext, el sniffer recoge las respectivas solicitudes de texto cifrado y las respuestas del texto cifrado a medida que viajan en la red. Estos datos cifrados se transmiten a continuación al programa de fondo para su posterior análisis y descifrar. La aplicación sniffer se ejecuta en la misma red que la víctima.Jorge Rios,  un investigador de auditoría de base de datos menciona que es un programa de Python que utiliza un scapy para recoger datos de la red. El sniffer expone una HTTP API que es utilizada por el backend para controlar el inicio del monitoreo, cuando este es completado, y para recuperar los datos que se interceptaron.

Aquí está el vídeo de expertos de  seguridad de la información que muestra cómo hacer un ataque basados en la compresión con RUPTURE

Read More

¿CÓMO HACER UN ANÁLISIS FORENSE DIGITAL DEL INCIDENTE DE HACKING?

Cuando una organización es una víctima de la infección por malware avanzado, se requiere una acción de respuesta rápida para identificar los indicadores asociados al malware para remediarlo, establecer mejores controles de seguridad para evitar que se presenten en el futuro. Con la ayuda de maestro de escuela de informática forense, en este artículo usted aprenderá a detectar la infección de malware avanzado en la memoria utilizando una técnica llamada “Memory Forensics” y también aprenderá a utilizar los kits de herramientas de forense, como la Volatility para detectar malware avanzado en escenario de caso real.

Según expertos de servicios de ciberseguridad de International institute of cyber security, el análisis forense de memoria es el análisis de la imagen de memoria tomada desde el ordenador en funcionamiento. La memoria forense juega un papel importante en las investigaciones y respuestas a incidentes. Puede ayudar en la extracción de artefactos de análisis forenses desde la memoria de la computadora como en un proceso en ejecución, conexiones de red, los módulos cargados, etc. También puede ayudar en el desembalaje, la detección de rootkits y la ingeniería inversa.

PASOS EN EL ANÁLISIS FORENSE DE MEMORIA

A continuación se muestra la lista de los pasos involucrados en el análisis forense de memoria según cursos de escuela de informática forense.

1.    Adquisición de memoria – Este paso consiste en el descargando de la memoria de la máquina de destino. En la máquina física se pueden utilizar herramientas como Win32dd / Win64dd, Memoryze, Dumpit, FastDump. Mientras que en la máquina virtual es más fácil adquirir la imagen de memoria, lo puedes hacer mediante la suspensión del VM agarrando el archivo “.vmem”

2.    Análisis de la memoria – una vez que una imagen de memoria es adquirida, el siguiente paso es analizar la imagen de la memoria. Herramientas para análisis forense como Volatility y otros como Memoryze puede ser utilizado para analizar la memoria según expertos de servicios de ciberseguridad.

Volatility es un framework de análisis forense de memoria escrita en Python. Una vez que la imagen de la memoria ha sido adquirida, podemos utilizar Volatility para realizar el análisis forense de memoria de la imagen adquirida. Según curso de escuela de informática forense, Volatility se puede instalar en varios sistemas operativos (Windows, Linux, Mac OS X).

ESCENARIO POSIBLE

Tu dispositivo de seguridad te alerta de una conexión maliciosa http con el dominio “web3inst.com” que resuelve a 192.168.1.2, se detecta una conexión de origen ip 192.168.1.100. Un experto servicios de ciberseguridad, se te pide que investigues y realices análisis forense de la memoria en la máquina de 192.168.1.100.

ADQUISICIÓN DE MEMORIA

Para empezar, la adquisición de la imagen de memoria desde 192.168.1.100, utilizando herramientas de adquisición de la memoria. El archivo de imagen de memoria se denomina como “infected.vmem”.

ANÁLISIS

Ahora que hemos adquirido “infected.vmem”, vamos a comenzar nuestro análisis utilizando Volatility avanzado esquema de análisis memoria.

Volatility, muestra la conexión ai la IP maliciosa hecha por el proceso (con pid 888).

La búsqueda en Google muestra que este dominio (web3inst.com) es conocido por esta asociado con malware, (web3inst.com).Esto indica que el origen ip 192.168.1.100 podría estar infectado por cualquiera de estos malwares; necesitamos confirmar eso con un análisis más detallado.

Dado que la conexión de red a la ip 192.168.1.2 fue hecha por pid 888, tenemos que determinar qué proceso está asociado con pid 888. “psscan” muestra que pid 888 pertenece a svchost.exe.

La ejecución del escaneo de YARA sobre imagen de memoria para el texto “web3inst” confirma que el dominio (web3inst.com) está presente en la memoria de svchost.exe (pid 888). Esto confirma que svchost.exe estaba haciendo conexiones con el dominio malicioso “web3inst.com”

Ahora sabemos que el proceso svchost.exe estaba haciendo conexiones al dominio “web3inst.com”, vamos a centrarnos en este proceso. Comprobando el mutex creado por svchost.exe muestra un mutex sospechoso “TdlStartMutex”

Examinando controladores de los archivos en svchost.exe muestra que controla dos archivos sospechosos.

En el paso anterior se detectó DLL oculto. Este DLL oculto puede ser descargado desde la memoria al disco utilizando el módulo Volatility dlldump como se muestra a continuación

Al presentar el vaciado del DLL con VirusTotal confirma que eso es malicioso.

Buscando el archivo controlador usando volatility plugin no se podría encontrar el controlador que empiece con “TDSS” mientras que Volatility’s driver scan plugin consiguió encontrarlo. Esto confirma que el controlador del kernel (TDSSserv.sys) estaba oculto.

Vertiendo el controlador de kernel y enviándolo a VirusTotal confirmara que se trata de TDSS (Alureon) rootkit confirman expertos de servicios de ciberseguridad.

Conclusión

El análisis forense de memoria es una técnica de investigación de gran alcance y con una herramienta como Volatility es posible encontrar malwares avanzados y sus artefactos forenses de memoria lo que ayuda a la respuesta ante incidentes en el análisis de malware e ingeniería inversa. Como se vio, comenzando con poca información hemos sido capaces de detectar el malware avanzado y sus componentes. Podrían aprender más sobre forense con el curso de escuela de informática forense.

Read More