HOW TO IMPLEMENT ENTERPRISE DATA PROTECTION SERVICES AND SOLUTIONS?

There is an increase in people who have been victims of identity theft and unauthorized use of credit cards because of many companies that handle data irresponsibly. According to many studies done by a personal data protection company in countries such as Mexico, Brazil, United States, Colombia, Argentina, India, the personal data protection & privacy is a primary concern of the people, thus failure to comply with the regulatory framework can be an obstacle and can cause loss of business opportunities.
The personal data represents all the information of a person which affirms his/her identification. Personal data includes place of birth, place of residence, academic, employment, professional career, marital status, age, health, sex life, physical characteristics, political ideology, and other aspects. The personal data can help a person to interact with business and/or organizations for their services. This exchange of information causes economic growth and improvement of services.
To resolve this problem privacy & personal data protection law was adopted in countries such as Mexico, Argentina, India and others some years ago with the purpose of protecting citizens from personal data misuses and abuses that happen every day by companies and/or organizations. The personal data protection law recognizes and protects the rights that people have to access, update and correct their personal data that has been collected as well as the right to oppose personal data processing by public or private entities. The personal data that’s involved in national security, national defense, intelligence and population censuses – housing information are not considered part of personal data protection law.
According to a personal data protection company, now all entities that handle personal data will be forced to consider the right to privacy and will need to adapt to regulations which will ensure safe treatment of personal data. The privacy & personal data protection act also gives people the right to request for all their personal data that a company has. Thus generating the need to implement personal data protection solutions, policies for cancellation and removal of personal data. Companies and/or organizations that do not comply with this law will face sanctions & fines.
There are many advantages of implementing personal data protection solutions. For instance the European privacy & personal data protection law approves the transfer of personal data of European citizens to a third country that has an adequate level of data protection system established for such information, depending upon the nature of the data, the purpose, duration of processing and safety standards. If a country adapts to the international privacy & personal data protection regulations, there are possibilities of exponential increase in foreign investments in that country.

IMPLEMENTING PRIVACY & PERSONAL DATA PROTECTION LAW

Companies and/or organizations must comply with the statutory obligation of implementing personal data protection system. According to various enterprise data protection services consultants, compliance with legal obligations in the field of data protection is essential. Data protection agencies have big teams of inspectors to make an audit of personal data protection system and apply fines along with sanctions, through a complaint of any affected person. Points to consider while implementing privacy & personal data protection law:

• All the personal data processing systems belonging to companies and/or organizations must be registered with the data protection agency. The registration must submit information such as name and title of the person responsible, purpose of the system, the type of the personal data processed, process of acquiring, process of updating data, methods of interrelating data, duration of holding data and personal data security solutions implemented. 
• When the companies and/or organizations get personal data, all the interested parties must be advised prior about the existence of a personal data protection system, data treatment process, the purpose of collecting data, the recipients of data, the rights of access, rectification, cancellation and opposition to data processing.
• Companies and/or organizations will designate a person responsible for personal data processing systems.
• Comply with the personal data protection policies and regulations as well as standards for enterprise personal data protection services. 
• Process personal data only when they relate to the purpose for which they were collected.
• Implement appropriate enterprise data protection solutions to manage all the requests for access, rectification, cancellation of personal data; also enterprises must provide data protection training course to all public servants.
• Implement security measures for via enterprise data protection services and inform about the changes to the data protection agency.
• Modify personal data when appropriate, correcting the incorrect data and completing the partial data. All these changes must be logged in a security document. 
• The client has the right to request the correction or deletion of his personal data.
• Coordinate and review the implementation of data protection solutions by enterprise data protection company and make sure it’s done as per the data protection norms.
• Implement specific set of policies for the management and maintenance of the personal data processing system.
• Develop a personal data protection training course plan. All the professionals of data protection department must take data protection training.
• Conduct or regularize the execution of the operations of data processing systems implemented by any personal data protection company.
• Inform the client when obtaining their personal data about personal data processing systems and data protection solutions implemented by personal data protection companies.

SECURITY MEASURES FOR DATA PROTECTION

As per experts from personal data protection company, businesses and/or organizations should establish technical and organizational security measures to ensure the confidentiality and integrity of personal data with the objective of preserving the data protection rights, against modification, loss, transmission and unauthorized access. All the data security measures should be implemented with respect to the highest degree of protection of personal data. The security measures should be according to following types of security:

Physical Security: This includes the protection of facilities, equipment to prevent accidental incidents cases or force majeure.
Logical Security: This includes measures for identification and authentication of people or users authorized to access and modify personal data.
Applications: It represent the permissions which personal data processing system should manage, to ensure proper use of data, preventing the participation of non-authorized users, separation of environments and penetration testing controls.
Encryption: This includes implementation and use of encryption algorithms, keys, passwords, and specific protection measures to ensure the integrity and confidentiality of the sensitive personal data.
Network Communications: This refers use of enterprise data protection services that includes use of network monitoring system that constantly monitors network communications and blocks any kind of suspicious activity or security breach.

According to experts from enterprise data protection company, following are the security checks which are mandatory for all personal data processing system to ensure compliance with the privacy & personal data protection law:

• Implementation of the security policies.
• Maintaining documentation of roles and responsibilities of personnel responsible for the processing of personal data.
• Access and incidents logging.
• Identification and authentication system.
• Support management, physical and logical access.
• System backup and recovery.
• Manage audit policies.
• Vulnerability and penetration testing.
• Support Distribution.
• Telecommunications Records.

The data security measures mentioned above constitute minimum requirements, so the companies and/or organizations should take additional inevitable measures to provide greater protection of personal data. Companies and/or organizations should take help of personal data protection company or personal data protection service consultants to implement personal data protection services & solutions.
To make sure that your company is covered with regards to privacy & data protection law, organizations like International Institute for cyber security offers tools through enterprise data protection services and personal data protection training course, which will allow you to implement data protection law and keep your business updated at all times according to requirements of the legislation. The enterprise data protection services and personal data protection solutions help customers with:

• During the implementation of privacy & data protection law they do detailed analysis of the company’s processes for management and processing of personal data. They get detailed information about the company, the personal data files, established procedures, flow of information and the degree of compliance with the regulation.
• They coordinate analysis of personal data processing systems along with development of procedures and documentation required according to the standards, as a part of our enterprise data protection services.
• In the personal data protection training they teach the development of data protection policies and best information security practices for general and technical users.
• During our personal data protection audit services they delivery data protection policies document, evaluation of the security measures implemented and data protection law certification. In addition they teach how to do all this during our personal data protection training, so that you can be an enterprise data protection services expert.

The personal data protection course is aimed at managers, legal and IT department professionals and all the people who wish to understand the privacy & data protection law. The personal data protection training is very practical course and covers the following topics:

• Introduction to data protection & privacy law.
• Implementation of environment for data protection & privacy law.
• Types of personal data and rights of access, rectification, cancellation and opposition.
• Data protection agencies and regulations.
• Detailed dataflow analysis.
• Enterprise architecture and audit procedures.
• Implementation of data protection solutions and enterprise data protection services with a methodology defined by our experience and recommended by international standards.
• Incident management procedures for handling personal data breach, sanctions and privacy complaints.

Read More

Aprender nuevo lenguaje de seguridad informática: HAKA

Haka es un lenguaje de seguridad orientado a código abierto que permite especificar y aplicar las políticas de seguridad Informática en el tráfico capturado en vivo. HAKA se basa en Lua y es un lenguaje sencillo, ligero y rápido. El alcance de Haka es doble explican consultores de empresa de seguridad informática y hacking ético. En primer lugar, permite la especificación de las normas de seguridad para filtrar flujos no deseados y reportar actividades maliciosas. Haka proporciona un API simple para la manipulación del tráfico corriente. Uno puede descartar paquetes o crear otros nuevos e inyectarlos. Haka también apoya la modificación de paquetes en la marcha. Esta es una de las principales características de Haka desde todas las tareas complejas tales como el cambio de tamaño de paquetes, ajuste correctamente de los números de secuencia. Esto se hace en vivo sin la necesidad de un proxy y se realiza todo de forma transparente para el usuario.

En segundo lugar, Haka permite la especificación de protocolos y estado subyacente de todo. Haka es compatible con ambos tipos de protocolos: protocolos basados en binario (por ejemplo, DNS) y protocolos basados en texto (por ejemplo, http). La especificación cubre los protocolos basados en paquetes, tales como IP, así como los protocolos basados en secuencias como http.

 Según consultores de empresa de seguridad informática y hacking ético, HAKA se encaja en un marco modular. Incluye varios módulos de captura de paquetes (pcap, nfqueue) que permiten a los usuarios finales a aplicar su política de seguridad informática en el tráfico capturado vivo. El marco proporciona el registro (syslog) y alerta de módulos (Syslog, Elasticsearch). Por último, el marco tiene módulos auxiliares, tales como un motor de búsqueda de patrones y un módulo de desensamblador de instrucciones. Estos módulos permiten escribir las reglas de seguridad informática de grano fino para detectar malware ofuscado. Haka fue diseñado de manera modular, permitiendo a los usuarios a ampliarlo con módulos adicionales.

Haka proporciona una colección de cuatro herramientas importantes para consultores de empresa de seguridad informática y hacking ético:

 

 haka. Es el programa principal de la colección. Está diseñado para ser utilizado como un daemon para controlar los paquetes en el fondo. Los paquetes son disecados y filtrados de acuerdo con el archivo de políticas de seguridad especificadas. Haka toma como entrada un archivo de configuración. Este archivo script se carga disectores de protocolo típicamente incorporados o definidos por el usuario y define un conjunto de reglas de seguridad.

hakactl. Esta herramienta permite controlar daemon. Uno puede obtener estadísticas en tiempo real en los paquetes capturados, inspeccionar los registros o simplemente apagar/reiniciar el daemon.

hakapcap. Esta herramienta permite reproducir un archivo de política en una captura de paquetes utilizando el módulo pcap. Por ejemplo, esto es útil para realizar análisis forense y hacking ético de la red.

hakabana. Esta herramienta permite la visualización y monitoreo de tráfico de red en tiempo real utilizando Kibana y Elasticsearch según expertos de empresa de seguridad informática. Hakabana consiste en un conjunto de reglas de seguridad que lleva información sobre el tráfico que pasa a través de Haka en un servidor de elastisserach y muestra a través de una consola Kibana. Un panel adicional también está disponible para visualizar alertas de Haka.

Vamos a cubrir eso en próximo artículo más sobre Haka con ayuda de unos expertos de hacking ético. 

Read More

Hacking and exploiting Active Directory Permissions

PowerView is a PowerShell tool to achieve network information on Windows domains for cyber security services and ethical hacking training professionals. It implements diverse practical meta-functions, including some user-hunting functions which will discover where in the network explicit users are logged in. It can also find which machines in the domain network the user has local administrator access. It also includes a number of functions for the enumeration and abuse of domain trusts. You can easily find function descriptions for suitable usage and accessible options mentions ethical hacking training professor.

It also includes a set of PowerShell replacements for diverse windows "net *" commands, which employ PowerShell AD hooks and essential Win32 API functions to execute useful Windows domain functionality as per cyber security services researchers. To run on a machine, start PowerShell with "powershell -exec bypass" and then load the PowerView component with: PS> Import-Module .\powerview.psm1 or load the PowerView script by itself: PS> Import-Module .\powerview.ps1

For comprehensive output of original functionality, add the -Debug flag to the functions. For functions that enumerate several machines, add the -Verbose flag to obtain a progress status as each host is enumerated. Most of the "meta" functions acknowledge an array of hosts.

How to use PowerView to exploit Active directory

AdminSDHolder is a unique Active Directory object positioned at “CN=AdminSDHolder,CN=System,DC=domain,DC=com“. The declared intention of this object is to protect certain privileged accounts from unintentional alteration.  Every one hour, a unique process called SDProp recursively enumerates association for a specific set of protected groups, revises the access control lists for all accounts found, and clones the ACLs of the AdminSDHolder object to any protected objects with a different ACL mentions ethical hacking training professor. If we alter the permissions of AdminSDHolder, that permission template will be removed from all protected accounts automatically by SDProp. So we can add an unprivileged user even with no group membership to the ACL of AdminSDHolder, and have a backdoor mechanism implemented that allow us to alter the membership of groups like Domain and network admin.

Any account/group which is or was a part of a protected group has their AdminCount property set to 1, even if the object is not any more in that protected group. With PowerView, we can effortlessly enumerate all users and groups with AdminCount=1 with Get-UserUser -AdminCount and Get-NetGroup -AdminCount, respectively. Thus it lets us speedily find all high value accounts, even if those accounts are not a part of a protected group. With Invoke-UserHunter we can use AdminCount flag, to effortlessly hunt for all high valued users in the domain.

Active Directory access rights are a somewhat unexplored area from an offensive cyber security perspective. Network admins should start auditing and monitoring the access rights of all privileged domain objects, particularly the domain root and AdminSDHolder. You can this manually, through PowerView’s Get-ObjectACL, or through help of cyber security services and ethical hacking training professionals.

Read More

Hacking y explotación de permisos de Active Directory

PowerView es una herramienta de PowerShell para obtener información situacional de la red en dominios de Windows para profesionales de hacking ético y servicios de auditoría de seguridad informática. Contiene un conjunto de comandos PowerShell para varios "net *" comandos de windows, los cuales utilizan ganchos de PowerShell AD y las funciones de API de Win32 para llevar a cabo la útil funcionalidad de dominio de Windows explica expertos de servicios de seguridad informática.

Según los profesionales de hacking ético e investigadores de servicios de auditoría de seguridad informática PowerView implementa varios metafunciones útiles, incluyendo algunas funciones por cazar usuarios que se identifican donde los usuarios específicos se registran en la red. También puede comprobar cuál de las máquinas en el dominio tiene acceso de administrador local. Además existen varias funciones para la enumeración y el abuso de confianzas de dominio. Podemos ver descripciones de las funciones para el uso apropiado y las opciones disponibles en la herramienta.

Para ejecutar en una máquina, iniciar PowerShell con " by-pass -exec powershell " y luego cargar el módulo PowerView con: PS > Import-Module.\powerview.psm1 o carga el script PowerView por sí mismo: PS> Import-Module.\powerview.ps1

Para el resultado detallado de la funcionalidad, pase la bandera -Debug a la mayoría de las funciones. Para funciones que enumeran varias máquinas, pase la bandera -Verbose para obtener un estado de avance que cada host se enumera. La mayoría de las funciones de "meta" acepta un conjunto de hosts acuerdo con profesor de hacking ético y auditoría de seguridad informática.

Cómo utilizar PowerView para explotar Active directory

AdminSDHolder es un objeto de Active Directory especial situado en el "CN = AdminSDHolder, CN = System, DC = domain, DC = com". El propósito de este objeto es proteger ciertas cuentas privilegiadas de modificaciones accidentales. Cada 60 minutos, un proceso especial denominado SDProp recurrentemente enumera la pertenencia de un conjunto de grupos protegidos, comprueba las listas de control de acceso para todas las cuentas descubiertas, y clona las ACL del objeto AdminSDHolder a cualquier objeto protegido con ACL diferente acuerdo con profesor de hacking ético.

Cualquier cuenta o grupo que es (o era) parte de un grupo protegido tiene su característica  AdminCount a 1, incluso si el objeto se mueve fuera de ese grupo protegido. Con PowerView, usted puede fácilmente enumerar todos los usuarios y grupos con AdminCount = 1 con Get-User-AdminCount y Get-NetGroup - AdminCount, respectivamente. Esto le permite encontrar rápidamente todas las cuentas de alto valor, incluso si ha mudado fuera de un grupo protegido. Invoke UserHunter también acepta una bandera - AdminCount, permitiéndole cazar fácilmente a todos los usuarios valorados alto en el dominio.

Si modifica los permisos AdminSDHolder, esa plantilla de permiso será empujada a todas las cuentas protegidas automáticamente por SDProp explica experto de servicios de seguridad informática. Así que usted puede añadir un usuario sin privilegios (incluso sin la pertenencia al grupo) a la ACL de AdminSDHolder y tienen un mecanismo de puerta trasera que permite modificar la pertenencia a grupos como dominio y administradores de la red.

Los accesos de Active Directory es un área relativamente inexplorada de desde una perspectiva ofensiva. Los defensores deben comenzar auditoría y monitoreo de los derechos de los objetos de dominio privilegiado específico, sobre todo la raíz del dominio y AdminSDHolder. Esto se puede hacer de forma manual o  a través de PowerView Get-ObjectACL  o tomar ayuda de expertos de servicios de seguridad informática.

Read More

EL DF, FOCO DE CIBERATAQUES

La capital y el Edomex reúnen 53% de estos delitos. Quienes los cometen apuntan principalmente a operaciones comerciales.

Una persona decide comprar algo por internet. Días después, se da cuenta de que la tarjeta de crédito con la que pagó fue usada sin su consentimiento para otras operaciones. En resumen: se ha convertido en víctima de un ataque cibernético.

El Instituto Internacional de Seguridad Cibernética (IICybersecurity) define los ciberataques como aquellas acciones que buscan desestabilizar los dispositivos o sistemas conectados a la red. La diferencia con el ciberterrorismo es que este último se enfoca en atacar los sistemas vinculados con la infraestructura y los servicios críticos para una nación: comunicaciones, defensa nacional, energía eléctrica, suministro de agua, transporte, etcétera.

David Thomas, gerente del organismo en México, señala que en lo que va del año en el país se han registrado más de 11 millones de ataques cibernéticos. De ellos, 53% se concentra en el Distrito Federal y el Estado de México.

Para el experto, algunas razones por las que ambas entidades encabezan la lista son que en las dos hay más de 120 mil empresas que manejan datos personales y confidenciales, lo que las hace un blanco atractivo para los hackers, y que en la capital están asentadas tanto oficinas del gobierno local como sedes de los poderes federales.

Otros motivos, según explica Thomas, son que en la Ciudad de México hay más dispositivos móviles y equipos conectados a internet que en otras localidades del país, y que cada año más de 13 millones de turistas llegan a territorio capitalino.

“Los viajeros usan, en gran medida, tarjetas de crédito, y éstas resultan un blanco ideal para los hackers, quienes emplean ataques de malware POS [en puntos de venta] para robar datos bancarios”, dice.

Seguridad rezagada

Según el Índice mundial de ciberseguridad y perfiles de ciberbienestar, publicado en abril de 2015 por la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), México está rezagado en seguridad cibernética, lo que representa una amenaza para el resguardo de la información en comparación con otros países.

Los datos de 2014 colocaron a México en el lugar 18 de 29 en el listado de la ITU, que evaluó un total de 100 países, muchos de los cuales empataron en las mismas posiciones. Lo anterior significa que México está debajo de naciones de América Latina como Costa Rica, Ecuador, Brasil y Uruguay.

Por otra parte, de acuerdo con el IICybersecurity, México es el segundo país con mayor número de ataques cibernéticos en la región, sólo después de Brasil.

En 2015, los ataques cibernéticos a nivel nacional crecieron 63% respecto de 2014, detalla Thomas. El ataque denegación de usuario (DDoS), el malware POS, la publicidad con malware, el fraude electrónico comercial, el robo de identidades y la extorsión con ransomware han sido las formas más usuales de ataques cibernéticos.

Juan Carlos Montesinos, director de la Unidad de Ciberdelincuencia de la SSPDF, explica que la policía capitalina da orientación a los ciudadanos afectados y que quien investiga estos delitos es la Policía Federal.

Víctimas de los hackers

Los principales segmentos afectados por ciberataques en la Ciudad de México durante este año han sido las empresas privadas, las instituciones de gobierno y las organizaciones académicas, de acuerdo con el IICybersecurity.

Del total de ataques registrados este año, 45% estuvo dirigido a empresas privadas (bancos y hoteles, por ejemplo) y 35% a distintas dependencias de gobierno. El resto corresponde a la academia y a particulares.

Algunos expertos, sin embargo, sostienen que la mayoría de las transacciones que se realizan en línea es segura.

Las principales barreras para combatir los ataques cibernéticos, señala Thomas, “son falta de soluciones de seguridad informática, la carencia de una legislación adecuada y la falta de conciencia entre la población general sobre seguridad cibernética”. Para evitar ataques cibernéticos, las agencias de gobierno y empresas privadas deben trabajar en conjunto para llevar a una mejor colaboración y comunicación.

A pesar de lo anterior, comparada con otras naciones, la cifra de ataques cibernéticos en México aún es muy baja. EU recibe la mayor cantidad de ciberataques en el mundo, con un millón de incidentes diarios y la ciudad más bombardeada del planeta: Florida.

Para Thomas, en México es importante promover la cultura de la prevención y la denuncia ciudadana. Además, “el gobierno debe trabajar para desarrollar capacidades técnicas e investigativas integradas avanzadas, con una legislación estricta en el ámbito de seguridad cibernética, para utilizar plenamente tales capacidades”.

Ideas para legislar en la materia

Durante la actual Legislatura del Congreso, que inició el 1 de septiembre, legisladores han presentado dos iniciativas en este tema. Una de ellas fue la planteada por la diputada María Eugenia Ocampo Bedolla, del Partido Nueva Alianza. Dicho proyecto busca modificar el Código Penal Federal y aún está pendiente de análisis. La otra iniciativa fue la impulsada por el senador priista Omar Fayad, quien la retiró de comisiones tras la polémica que generó. Los opositores de la propuesta la tacharon como un intento por censurar contenidos en la red.

 Fuente: http://www.maspormas.com/2015/11/12/el-df-foco-de-ciberataques/

Read More

¿CÓMO ESCANEAR TODO INTERNET 3.7 MIL MILLONES DE IP’S EN POCOS MINUTOS?

Profesionales de hacking ético y servicios de auditoría de seguridad informática normalmente usan escáner para revisar la seguridad. Escaneo de todas las direcciones IP en Internet no es un trabajo fácil, y si usted no tiene los recursos de un botnet, un simple escaneo puede tomar meses. Va a ser muy difícil, si usted quiere tomar una grande foto de internet porque hacer un escaneo de las redes de internet ha tomado típicamente semanas o meses para terminar. Sin embargo, ahora esto es posible, explica expertos de servicios de seguridad informática con la ayuda de nuevas herramientas como ZMap, Masscan y otras. En este artículo vamos a cubrir diferentesherramientas avanzadas y muy rápidas de escaneo de puertos.

ZMap

ZMap está diseñado para ejecutar escaneos generalizados del espacio de direcciones IPv4 o gran parte de ellas. Es una poderosa herramienta para los investigadores de servicios de auditoría de seguridad informática, y se puede escanear el espacio de direcciones IPv4 entero con más de 1.4 millones de paquetes por segundo.

ZMap no pretende reemplazar los escáneres generales como Nmap, cual es excelente para el escaneo de subredes en profundidad. ZMap está diseñado para hacer un escaneo superficial – por lo general de un solo puerto o servicio – de todo el Internet, o al menos el Internet IPv4, desde una sola computadora dedicada, en menos de una hora. Ame Wilson, una consultara de servicios de auditoría de seguridad informática menciona que ZMap es capaz de escanear el espacio de direcciones públicas IPv4 más de 1300 veces más rápido que el Nmap.

ZMAP es competente de trabajar tan rápido porque utiliza grupos de cíclicos multiplicativos. ZMap ha sido diseñado para conseguir el paralelismo y el rendimiento. En primer lugar, es completamente sin estado, lo que significa que no conserva un estatus por conexión. En lugar de mantener una lista gigante de paquetes enviados, y el tiempo que han estado ahí, y cuánto más tiempo debe esperar para cada uno, y cuidadosamente actualización de la lista con cada respuesta; ZMAP simplemente deja todo eso a través de grupos de cíclicos multiplicativos explica Ame Wilson, consultara de servicios de auditoría de seguridad informática.

En segundo lugar, envía en paralelo tantos paquetes como la red lo permite, con el fin de lograr la mayor tasa posible. Los paquetes se envían en un orden aleatorio, por lo que si mucha gente hacen juntos no haya un ataque DDOS, de esta manera se reduce la probabilidad de sobrecarga de una única red. Aunque cada paquete sucesivo sigue una estricta secuencia algorítmica, los números IP rebotan en todo el espacio de direcciones IPv4. Como resultado, usted no recibe cientos o miles de paquetes que convergen en una sola subred al mismo tiempo.

Debido a estas razones con ZMAP podemos escanear alrededor de 3.7 billones de direcciones en las direcciones IPv4, en una hora así que con ZMAP realmente puede revisar todo el Internet.

Por defecto, ZMap realizará un escaneo SYN TCP en el puerto especificado a la máxima velocidad posible. Una configuración más conservadora que escaneará 10,000 direcciones aleatorias en el puerto 80 en un máximo 10 Mbps se puede ejecutar de la siguiente manera:

$ ZMap –bandwidth=10M –target-port=80 –max-targets=10000 –output-file=results.csv

ZMap puede utilizarse también para explorar bloques CIDR o subredes específicas. Por ejemplo, para escanear sólo 10.0.0.0/8 y 192.168.0.0/16 en el puerto 80, ejecute:

ZMap -p 80 -o results.csv 10.0.0.0/8 192.168.0.0/16

Acuerdo con experto de servicios de seguridad informática, por defecto, ZMap entregará una lista de direcciones IP distintas que respondieron correctamente (por ejemplo con un paquete SYN ACK). Le recomendamos utilizar un archivo de lista negra, para excluir tanto el espacio IP reservado/asignado (por ejemplo, multicast, RFC1918), así como las redes que soliciten ser excluidos de escaneos. Por defecto, ZMap utilizará un archivo de lista negra simple que contiene direcciones reservadas y no asignadas en /etc/ZMap/blacklist.conf.

MASSCAN : Escáner puertos de muchas IP’s

Este es el escáner de puertos de Internet más rápido, ya que puede escanear todo el Internet en menos de 6 minutos con la transmisión de 10 millones de paquetes por segundo, acuerdo con profesor de hacking ético. Produce resultados similares a Nmap y utiliza transmisión asíncrona. La principal diferencia es que esa herramienta es más rápido que los otros escáneres. Además, es más flexible, permitiendo rangos de direcciones arbitrarias y rangos de puertos. Masscan utiliza una pila TCP/IP personalizada y eso significa que algo que no sea escaneo de puertos simples causará variación con la pila TCP/IP local. Esto significa que usted tiene que utilizar la opción -S para utilizar una dirección IP independiente, o configurar su sistema operativo para usar cortafuegos en los puertos que Masscan usa.

Aunque Linux es la plataforma principal para esa herramienta, el código funciona bien en muchos otros sistemas como.

§  Windows w/ Visual Studio

§  Windows w/ MingGW

§  Windows w/ cygwin

§  Mac OS X /w XCode

§  Mac OS X /w cmdline

§  FreeBSD

Para ir más allá de 2 millones de paquetes por segundo, necesita un adaptador de Ethernet de 10 gbps de Intel y un driver especial conocido como “PF_RING ADN”. Masscan no necesita ser reconstruido con el fin de utilizar PF_RING. Para utilizar PF_RING, es necesario construir los siguientes componentes:

§  libpfring.so (instalado en /usr/lib/libpfring.so)

§  pf_ring.ko (su controlador de kernel)

§  ixgbe.ko (su versión del controlador de Ethernet de 10 gbps de Intel)

Masscan puede hacer algo más que detectar si los puertos están abiertos explica expertos de servicios de seguridad informática. También puede completar la conexión TCP y la interacción con la aplicación en dicho puerto con fin de agarrar la información de “banner”. El problema con esto es que Masscan contiene su propia pila TCP / IP separada del sistema se ejecuta en. Cuando el sistema local recibe un SYN-ACK desde el objetivo, responde con un paquete RST que mata la conexión antes de Masscan puede agarrar banner. La forma más fácil de evitar esto es asignar Masscan una dirección IP independiente.

Cómo escanear todo Internet

Mientras que es útil para redes más pequeñas y redes internas, el programa está diseñado realmente con todo Internet en mente

# Masscan 0.0.0.0/0 -p0-65535

Escaneo de todo el Internet es malo. Por un lado, las partes de Internet reaccionan mal a analizarlos. Por otro lado, algunos sitios siguen a los escaneos y se suman su IP en una lista de prohibiciones, que le llevará, cortafuegos de partes útiles de Internet. Por lo tanto, recomendamos excluir una gran cantidad de rangos. Para la lista negra o excluir rangos, puede utilizar la siguiente sintaxis:

# Masscan 0.0.0.0/0 -p0-65535 –excludefile exclude.txt

Scanrand

Scanrand es un escáner de puerto de alta velocidad y route-tracer explica profesor de hacking ético de international institute o cyber security. Su alta eficiencia en la exploración se encuentra en su esquema de trabajo en particular. Es un escáner de red rápido que puede escanear hosts individuales hasta las redes muy grandes de manera eficiente. Scanrand puede hacer lo que se llama el escaneo TCP sin estado, que lo distingue de los otros escáneres de red. Scanrand toma un poco de enfoque diferente del escáner de red típico. Se implementa “dispara y olvida” ideología para escanear mezclando con un poco de matemáticas.

Scanrand se divide sí en dos procesos. Un proceso es responsable de hacer nada más que el envío de paquetes SYN usando libnet. El otro proceso es responsable de recibir las respuestas de los equipos remotos enviados utilizando libpcap. Una cosa importante a tener en cuenta es que estos procesos funcionan de forma independiente. No hay consultas con el otro proceso sobre “¿Usted envía este paquete?” o, “¿ Esto es un paquete válido?” Scanrand guarda lista de direcciones IP que están esperando una respuesta y el proceso de envío no espera una respuesta en absoluto. Se dispara un SYN, y luego pasa a la siguiente computadora dejando el proceso de recepción para resolver la avalancha de las respuestas.

Unicornscan

Unicornscan es una herramienta de código abierto (GPL) diseñada para ayudar en la recopilación de información y auditoría de seguridad. No se puede negar que Nmap establece el estándar para la exploración de puertos en Windows y sistemas UNIX. Sin embargo escaneo UDP y TCP (65k puertos) tardan mucho tiempo para terminar. Hay otro escáner que sobresale en la velocidad; Unicornscan es un escáner de puertos asincrónico sin estado que implementa su propia pila TCP / IP. Unicornscan pasa los puertos que se encuentra a Nmap y / o Amap para seguir con análisis.

Mejores Prácticas de Escaneo

Expertos de servicios de auditoría de seguridad informática ofrecen estas sugerencias para los investigadores que realizan escaneos en todo el Internet como directrices para la buena ciudadanía de Internet.

§  Coordinar con los administradores de redes locales para reducir los riesgos.

§  Verifique que los escaneos no abrumar a la red local o el proveedor de internet.

§  Señalan la razón de los escaneos en las páginas web y entradas de DNS de las direcciones del origen.

§  Explicar con claridad el objetivo y el alcance de los escaneos en todas las comunicaciones

§  Proporcionar un medio simple de la exclusión voluntaria y honrar las solicitudes con prontitud.

§  Llevar a cabo las exploraciones no más grande o más frecuente de lo que es necesario para los objetivos de investigación.

§  Difundir el tráfico de exploración sobre las direcciones y tiempo cuando sea posible.

No hace falta decir que los investigadores de escaneos deben abstenerse de explotar vulnerabilidades o acceder a los recursos protegidos, y debe cumplir con todos los requisitos legales especiales en sus jurisdicciones.

Los problemas de seguridad y problemas éticos

Como de costumbre, la capacidad de descubrir casi instantáneamente las redes y computadoras que tienen vulnerabilidades de seguridad puede ser una buena cosa para los investigadores de sombrero blanco, pero pueda ser utilizado para el motivo malo por los hackers. Estos son seguramente buenas herramientas y probablemente serán adoptadas por muchos investigadores. Sin embargo, eso poderosos escáneres de Internet podrían ser utilizados por los hackers para actividades maliciosas como la detección y la explotación de las vulnerabilidades. La única cosa que un atacante necesita es una máquina potente y una red con buen ancho de banda. Hoy en día, estos requisitos se pueden satisfacer fácilmente mediante el lanzamiento de una máquina virtual en la nube. La existencia de estas herramientas demuestra también que la ventana de tiempo entre la presencia de vulnerabilidad y su detección por los hackers es corta día a día. Por esta razón, es importante asegurar adecuadamente su propia infraestructura.

Profesores de hacking ético recomiendan que estas herramientas deban ser usadas con cuidado, sin invadir la privacidad de otra persona como cualquiera puede usarlos.

Read More

Intercepción - ataques sobre comunicaciones satelital

En este artículo vamos a cubrir el ataque de hacking satelital que ha sido utilizado por grupos de hackers desde muchos años. Este ataque le proporcionará anonimato completo y así va a ser muy difícil por los expertos informática forense para rastrearle. En el último artículo hablamos acerca de la intercepción de tráfico por satélite y cubrimos los siguientes temas.

1. Configuración de antena parabólica.

2. Diferentes satélites y frecuencias correspondientes.

3. Diferentes programas para escanear frecuencias satelitales.

4. Formas de interceptar el tráfico satelital.

5. Cómo tener conexión a internet por satélite, televisión gratis y ataques básicos de piratería/hacking.

Con la ayuda de un software como DVB Snoop y Wireshark podemos interceptar las comunicaciones por satélite y tomar una descarga de datos, como comunicación no está cifrada explica Mike Stevens experto de hacking ético y empresa de seguridad informática. Después de seguir los pasos mencionados en el artículo anterior, vamos a configurar antena parabólica apuntando al satélite específico que emite el tráfico. Como sabemos que los paquetes no están cifrados, utilizaremos DVB-Snoop junto a Wireshark para interceptar el tráfico. Una vez que se identificamos una dirección IP de satélite que ruta a través del enlace descendente del satélite, podemos empezar a interceptar los paquetes de Internet a esta IP específica. Para interceptar los paquetes, podemos hacer ataque de secuestro TCP fácilmente revela experto de empresa de auditoría informática. 

¿Qué es el ataque de secuestro TCP satelital?

Protocolo de Control de Transmisión (TCP) es un protocolo muy importante de la capa de transporte. TCP es un protocolo orientado a la conexión, lo que significa una conexión que se hace y se mantiene hasta que los programas de aplicación en cada extremo hayan terminado la comunicación. Este protocolo determina cómo dividir los datos de la aplicación en paquetes que la red puede entregar. También se comunica con la capa de red y gestiona el control de flujo. El protocolo TCP divide los datos en paquetes, los numera y luego los envía de forma individual a la capa de IP para la entrega. También gestiona la retransmisión y el reconocimiento de los paquetes según expertos de empresa de seguridad informática. En el modelo de comunicación Open Systems Interconnection (OSI), TCP cubre partes de la capa 4, la capa de transporte, partes de la Capa 5 y la capa de sesión. TCP procesa paquetes por número de secuencia y pone los paquetes fuera de orden en sus lugares. El protocolo TCP es el único protocolo de la familia de protocolos TCP/IP que soporta los mecanismos de paquetes adicionales, identificación de la conexión y la autenticación. Eso explica por qué los protocolos de nivel de aplicación, tales como SMTP, FTP, etc. utilizan TCP para obtener acceso remoto a otras máquinas. Para la definición de los paquetes, la cabecera TCP consta de dos campos de 32 bits que se utilizan como contadores de paquetes. Se denominan número de secuencia y reconocimiento. Otro campo, llamado Bit de Control, es 6 bits de largo, y lleva los siguientes indicadores de comando y es muy importante entender esos indicadores para hacer auditoría informática:

URG: Indicador de Urgencia

ACK: Indicador de Reconocimiento

PSH: Indicador de Empuje

RST: Indicador para Restablecer 

SYN: Indicador para sincronizar los números de secuencia

FIN: Indicador, cuando no hay más datos del remitente

Durante el ataque secuestro TCP el hacker se hace cargo de sesión de comunicación entre los diferentes usuarios haciéndose pasar por el usuario autorizado. Una vez que se ha accedido a detalles de la sesión del usuario, el hacker pueda enmascararse como el usuario y hacer cualquier cosa que el usuario está autorizado a hacer en la red. 

Métodos de secuestro TCP satelital

Existen diferentes métodos de secuestro TCP satelital explica Dave Taylor experto de informática forense y algunos de ellos son:

IP Spoofing (Falsificación de IP)

IP spoofing es una técnica utilizada para obtener acceso no autorizado de la comunicación, donde los mensajes se envían por el secuestrador a un ordenador con una dirección IP de un host de confianza. Cuando el secuestrador ha suplantado con éxito una dirección IP, él / ella determina el siguiente número de secuencia que el satélite espera e inyecta el paquete RST con el mismo en la sesión TCP antes de que el cliente puede responder. Así crea un estado no sincronizado. Los números de secuencia y ACK ya no están sincronizados entre cliente y satélite y el secuestrador aprovecha de esta situación para establecer la conexión como usuario de confianza explica experto de empresa de auditoría informática.

Blind Hijacking (Secuestro Ciego)

Cuando el enrutamiento de origen está desactivado y secuestrador no puede ver la respuesta del satélite. El secuestrador utiliza secuestro ciego donde el secuestrador inyecta sus datos maliciosos en comunicaciones interceptadas en una sesión TCP. Así, la palabra "ciegos" porque el secuestrador puede enviar los datos o comandos, pero no puede ver la respuesta. El secuestrador, básicamente,adivina las respuestas del cliente y el satélite.

Man in the Middle (MiTM) (Interceptar Paquetes)

Esta técnica implica el uso de un analizador de paquetes (sniffer) para interceptar la comunicación entre el cliente y el satélite. Todos los datos entre los hosts fluyen a través de sniffer del secuestrador y él es libre de modificar el contenido de los paquetes. Esta técnica significa que los paquetes sean enviados a través de host del secuestrador señala experto de empresa de auditoría informática.

Por el secuestro de comunicación satelital los hackers normalmente utilizan combinación de man in middle y ataque de IP spoofing. Una comunicación normal TCP tiene un apretón de manos de 3 vías usando paquete SYN de usuario por satélite, luego SYN + ACK del satélite al usuario y, por último ACK del usuario al satélite.

Durante un ataque de secuestro TCP, el hacker intercepta la comunicación y envía un paquete RST para el usuario y se inicia la comunicación con el satélite con la dirección IP falsificada del usuario.

Como hacer Secuestro TCP Satelital 

Puede utilizar las siguientes herramientas para hacer TCP Secuestro Satelital:

Hunt

Hunt (distribución binaria de Linux) es un programa para entrometerse en una conexión TCP, revisarlo y reiniciarlo señala experto de empresa de seguridad informática.

1) Con Hunt, podemos hacer la gestión de conexiones y detectar una conexión permanente. Hunt permite secuestro activo con la detección de ACK, ARP spoof y la sincronización del cliente con el satélite después de secuestro.

2) Con Hunt, podemos reiniciar el daemon para restablecimiento de conexión automática y actuar como relay de daemon para ARP spoof. Permite buscar información en el tráfico y la recolección de direcciones MAC.

3) Hunt actúa como programa para resolver host DNS y el motor de paquetes extensible para la observación de TCP, UDP, ICMP y el tráfico ARP. 

Shijack

Shijack es una herramienta de secuestro de conexiones TCP para Linux, FreeBSD y Solaris. La herramienta requiere Libnet. Es un código de fuente abierta y se puede utilizar para tomar el control de la sesión TCP.

Scapy

Scapy es una poderosa herramienta de manipulación de paquetes interactivo escrito en Python, y la mejor parte es que también pueda ser utilizada como una biblioteca en programas Python, que proporciona la pentester la capacidad de crear su propia herramienta basada en la exigencia. Scapy nos permite interceptar crear, enviar y paquetes rebanada modificados para hacking y el análisis de informática forense.

Juggernaut

Juggernaut es básicamente un sniffer de red, que también puede ser utilizado para secuestrar sesiones TCP. Se ejecuta en Linux y tiene un módulo Trinux también. Juggernaut puede ser activado para ver todo el tráfico de red en la red local, o se pueda configurar para escuchar un "token" especial. De esta manera, esta herramienta puede ser utilizada para capturar ciertos tipos de tráfico y puede funcionar durante unos días, y luego el atacante sólo tiene que recoger el archivo de registro que contiene el tráfico registrado.

En el próximo artículo vamos a cubrir más sobre ataques de hacking más avanzados que involucran satélites, también pueden aprender durante curso avanzado de hacking ético de International Institute of Cyber Security. Este artículo es sólo con fines educativos.

Read More