Actualización de novelas para adictos a la ciberseguridad #novelaseguridad

24 de julio de 2015 Por

A finales del año pasado lanzamos a través de la cuenta de Twitter de @securityartwork una iniciativa para recopilar un listado de novelas o relatos relacionados con el mundo de la ciberseguridad. Pedimos a sus seguidores que hiciesen sus recomendaciones literarias tuiteando con el hashtag #novelaseguridad.

Hoy os traemos esta lista actualizada con las recomendaciones que habéis ido enviando. Os damos las gracias por vuestra colaboración y os animamos a seguir enviando vuestros tuits con más recomendaciones. El recopilatorio es de lo más interesante:

[Read more…]

Los wearable como testigo

23 de julio de 2015 Por

Subir escaleras, caminar, correr, dormir,… son algunas de las actividades que hoy en día monitorizamos. O “nos monitorizan”. Gran parte de los smartphones registran, por defecto, una parte de la actividad física que realiza el usuario, donde se registra –además- el día y la hora en que se realiza y en algunos casos incluso la ubicación donde se ha realizado. Pero hoy en día hay otro tipo de dispositivos que también registran este tipo de actividad y son más cómodos “de llevar”. Estos son los wearable, que como sabemos son pequeños dispositivos que “llevamos puestos” como pueden ser relojes, pulseras, gafas inteligentes, sensores en zapatillas, etc.

Desde luego, en muchos casos la información que registran estos dispositivos es muy útil. Más ahora que existe el síndrome “runner” y tantísimas personas practican este deporte. Los más avanzados utilizan relojes GPS que registran la velocidad, el ritmo, el recorrido y otras variables. Otros utilizan los smartphones con aplicaciones que también registran la actividad del corredor y además la mayoría permiten publicar en tiempo real esta información, así como la situación en el mapa de nuestro “atleta”. Es de sobra sabido que quien publica esta información se expone a que cualquier persona esté viendo lo que está haciendo, dónde está e incluso si mantiene una rutina, se la está dando a conocer para que la utilice a discreción.

[Read more…]

Destripando Nuclear EK (II)

22 de julio de 2015 Por

En el anterior post, conseguimos un ejemplo del caso a tratar. Teniendo los ficheros HTML extraídos con Wireshark, comenzamos su análisis.

(1) index.php

imagen_1

Simple; redirecciona sí o sí a (2) http://zvqumcs1tsfct4sjvzot3p9.filmtane.com/watch.php?kcppp=MTE3NzU5ODg2Nzk3NjRlY2M0MmJiNDk3M2NmZGVkM2Fl.

[Read more…]

vFeed: una BD de vulnerabilidades

21 de julio de 2015 Por

vFeed es una herramienta muy interesante de ToolsWatch que recolecta información sobre vulnerabilidades utilizando multitud de fuentes; entre otras:

  • Estándares de seguridad, como CVE, CWE, CPE, OVAL, CAPEC, CVSS, etc.
  • Herramientas de explotación y auditoría de vulnerabilidades, como Nessus, NMap, Metasploit, etc., así como páginas web y bases de datos de seguridad ofensiva, como milw0rm o Exploit-DB
  • Alertas de fabricantes: Red Hat, Microsoft, Cisco, Debian, etc.
  • Firmas de sistemas IDS, como Snort o Suricata

[Read more…]

Destripando Nuclear EK (I)

20 de julio de 2015 Por

A menudo cuando se analiza el tráfico de red, podemos encontrarnos patrones pertenecientes a los ya conocidos Angler EK, Nuclear EK y Magnitude EK.

Normalmente vendidos en el mercado negro, un Exploit Kit (EK) es un conjunto de herramientas que automatiza la explotación de vulnerabilidades en el cliente, dirigidas a navegadores y plugins que un sitio web puede invocar como Adobe Flash Player, Microsoft Silverlight, Adobe Reader, Java, etc., para infectar equipos mientras se navega por Internet en lo que se llama drive-by download attacks.

Dichos patrones pueden ser detectados por reglas de snort como:

ET CURRENT_EVENTS Cushion Redirection
ET CURRENT_EVENTS Possible Nuclear EK Landing URI Struct T1
ET CURRENT_EVENTS Malvertising Redirection to Exploit Kit Aug 07 2014
ET CURRENT_EVENTS DRIVEBY Nuclear EK Landing May 23 2014

[Read more…]

Capture The Flag

17 de julio de 2015 Por

CTFEn éste mi primer post, os hablaré acerca de cómo poner en práctica las habilidades de hacking de una persona. Para ello existen múltiples plataformas que permiten que cualquiera mediante una serie de desafíos con diferentes niveles de dificultad, obtenga una visión de su nivel en cuanto a habilidades de seguridad informática se refiere.

[Read more…]

Jugando con técnicas anti-debugging (III)

16 de julio de 2015 Por

En esta nueva entrega vamos a ver una técnica para detectar un debugger sin recurrir a librerías del sistema como ocurría en las entregas anteriores (ver la anterior y la primera). Se basa en un concepto muy simple para detectar el “step-by-step” (paso a paso) cuando se está analizando la aplicación dentro de un debugger.

Como ya sabemos, la mayoría de los debuggers permiten avanzar de forma diferente en la ejecución del programa. Por ejemplo, en OllyDbg:

  • Run (F9) → Ejecuta el programa hasta llegar al final o hasta encontrar una interrupción.
  • Step into (F7) → Ejecuta una sentencia del programa cada vez (“step-by-step”).
  • Step over (F8)→ Ejecuta el programa sin entrar a analizar las funciones (calls)
  • etc. (Ver menú “Debug”)

[Read more…]

Análisis de nls_933w.dll (II)

15 de julio de 2015 Por

En la anterior entrada analizamos ciertas características estáticas que nos daban una idea de lo que hace o lo que podría llegar a hacer la librería. Ahora en esta segunda entrada vamos a analizar las funciones que exporta la librería. Para el análisis estático de la librería nos vamos a apoyar en las herramientas radare2, pestudio y ollydbg.

Como ya vimos en la anterior entrada con la herramienta PEstudio se exportan cinco funciones:

jh0

[Read more…]

El estafador estafado

14 de julio de 2015 Por

En un post anterior hablé sobre el crimen organizado en el mercado negro y siguiendo un poco la misma temática, vamos a ver de forma breve en este post algunos de los delitos orientados en este caso al sector bancario, además de las técnicas y métodos que utilizan los delincuentes para llevarlos a cabo.

Phishing

Probablemente es la reina de las técnicas de fraude online. El phishing es una técnica empleada por los delincuentes que mediante ingeniería social o por distribución de malware tiene como finalidad obtener información privada para acceder de manera no autorizada a determinados servicios, suplantando para ello la identidad legítima del titular.

La vía más utilizada de esta técnica es mediante correo electrónico, aunque existen variantes, descritas a continuación, dependiendo del método que se emplee.

[Read more…]

OpenDLP para pentesters

10 de julio de 2015 Por

odlp0Ser administrador del dominio o disponer de credenciales de acceso con máximos privilegios a repositorios de ficheros, bases de datos o sistemas ERP no sirve de mucho a la hora de plasmar los riesgos de la organización auditada en un informe, ya que “negocio”, muchas veces, no concibe las consecuencias que puede suponer el disponer de tales capacidades.

Es por eso que después de la fase de explotación y elevación de privilegios, comienza desde mi punto de vista la más importante de todas, la de obtención de información y toma de evidencias. De nada sirve conseguir ser administrador de un dominio Windows si no se pueden obtener datos sensibles o ejecutar acciones que puedan suponer un impacto para el auditado. Es en este momento donde entra en juego esta simple pero potentísima herramienta: OpenDLP.

Este software, que se despliega mediante un GUI Web en la máquina del pentester, permite realizar búsquedas masivas de información en miles de equipos de forma simultánea y con una baja carga, tanto para la máquina objetivo como para el equipo del auditor. A diferencia del buscador de Windows que identifica los patrones de búsqueda en los nombres de los documentos, OpenDLP permite inspeccionar el contenido de los ficheros mediante expresiones regulares. Como su nombre indica es un DLP o herramienta de prevención de fuga de información, pero la verdad es que dista mucho de las capacidades de las soluciones comerciales, por lo que para este propósito no lo recomendaría. Sin embargo descaradamente, OpenDLP ha sido desarrollado para cubrir la fase comentada anteriormente, dentro de un test de intrusión.

[Read more…]