AutorWebmin

Inicio/Artículos Publicados por Webmin (Page 6)

Andiproxy el sucesor de Paros Proxy ahora con esteroides

Como es usual cada que realizamos pruebas sobre nuevas herramientas, nos gusta postear las que creemos que son en algún sentido un buen aporte a la comunidad.

Hoy les hablaré de Andiparos que viene a ser la versión mejorada y con esteroides del conocido Paros proxy. Esta versión a parte de traer las funcionalidades ya conocidas de interceptación de Paros proxy, ahora viene con nuevas opciones de auditoría en aplicaciones web como el “Spider” que te permite hacer un crawling completo del sitio web en base a las peticiones GET o POST que vaya encontrando en el sitio web.

La opción  “Scan” son un conjunto de plugins que fueron agregados en esta versión que se encargan de buscar una gran cantidad de vulnerabilidades conocidas.

La opción “Alerts” nos muestra en la parte inferior de Andiproxy todas las vulnerabilidades encontradas en el scaneo de seguridad de una forma ordenada con las vulnerabilidades identificadas en el panel de la la derecha y el datalle de cada una en el panel izquierdo.

Andiparos

Otra opción interesante es el “Portscanner” o escaner de puertos el cual es bastante rápido y entrega información clara y fácil de interpretar.

Acá resumo algunas de las funcionalidades mas importantes:

  • Soporte para Smartcard
  • Soporte para BeanShell
  • Historial con filtro de URLs
  • Escaner pasivo de puertos
  • Escaner de vulnerabilidades basado en plugins
  • Pestaña con funcionalidad de búsqueda avanzada
  • Etiquetas múltiples para consultas/respuestas
  • Resaltado de consultas/respuestas
  • Mejor integración para Mac OS X
  • Descripción de vulnerabilidades encontradas (Alertas)
  • Otras mejoras

Wiki :: Click Aquí

Descargas::

Linux | Windows | Mac :: Andiparos v1.0.6 (.zip) | Andiparos v1.0.6 (.exe) | Andiparos v1.0.6 (.dmg)
Código Fuente:: https://code.google.com/p/andiparos/

Lucha de Titanes: Google le arrebata a Fecebooks los Drones de Titan Aerospace

Tal parece ser que esta es la noticia que esta dando vueltas en Internet durante las últimas horas, tra hacerse pública la compra de Titan Aerospace por el Gigante Google, siendo que hace unos pocos días Facebook había pronunciado su interes en esta empresa y la adquisición de drones para llevar Internet a todo el Planeta.

Google-compra-Titan-Aerospace-1Para los que se estén preguntando que es Titan Aerospace, les comento que esta empresa se destaca por el desarrollo de drones pero drones con ciertas características especiales como las de poder volar en la parte mas alta de la atmósfera alimentándose únicamente de energía solar. Para ser más exáctos, estos drones pueden volar a una altura de 20.000 metros por un límite máximo de 3 años y con una capacidad increíble para tomar fotos de alta resolución que desde ya se convirtió en uno de los intereses de la compañía Mountain View para actualizar fácilmente los mapas de Google.

Titan Aerospace tiene su sede en Nuevo México y está compuesto por nada mas que 20 empleados. El equipo trabajará de forma cercana con el proyecto Loon, de globos aerostáticos para llevar Wi-Fi a zonas remotas y también trabajarán con Makani, un proyecto de turbinas de aire también de Google.

Google en un comunicado de prensa ha dicho:

“Titan Aerospace y Google comparten un profundo sentimiento sobre el potencial de la tecnología para mejorar al mundo. Todavía está en sus inicios, pero los satélites atmosféricos podrían ayudar a llevar internet a millones de personas, y ayudarlos a resolver problemas, incluyendo daños medioambientales como la deforestación. Es por esto que estamos contentos en dar la bienvenida a Titan Aerospace a la familia de Google.”

Google-compra-Titan-Aerospace-2Pensando un poco de forma visionaria, diría que estos drones no solo servirán para llevar Internet a todas partes del planeta, veo en un futuro cercano que también servirán como Cloud Hosting, aunque tal vez tengamos que empezar a crear nuevos conceptos como el Space Hosting donde toda nuestra información y la red de Internet se llevarán a su máximo potencial en el espacio dentro de unos pocos años.

Esperamos con que sorpresas nos llegan los grandes Titanes de Internet y de la tecnología en los próximos meses.

Que tengan excelente semana.

Continuar leyendo

Comité Internacional de Ciberseguridad de la OEA se reunió en Colombia

Por: Alexander Díaz García Para: Ethical Hacking Consultores
Juez Segundo de Control de Garantías Constitucionales
Autor de la Ley de Delitos Informático en Colombia
Especialista en Nuevas Tecnologías del Derecho y Protección de Datos
nuevastecnologiasyprotecciondedatos.blogspot.com

A través del Ingeniero Oscar Arias, Director del CERT-Colombia, recibí invitación para participar en la Mesa de Trabajo de Legislación en la Misión Nacional de Asistencia Técnica en Seguridad Cibernética, con la participación de los principales protagonistas de ciberseguridad de los países de: Canadá, Reino Unido, Korea del Sur, Estonia, Uruguay, España, Estados Unidos, República Dominicana, Israel, Argentina, Universidad de Oxford y Consejo de Europa, junto con varios funcionarios de la OEA, representantes del Comité Interamericano contra el Terrorismo (CICTE).

Mi narrativa va a estar circunscrita a aspectos generales, toda vez, que a todos los que participamos en el evento, nos hicieron firmar acuerdos estrictos de confidencialidad.

El evento se dio la pasada semana del lunes 31 de marzo del presente, en el Hotel Tequendama en el centro de Bogotá, donde nos organizaron en cuatro mesas de trabajo:

  • Generación de capacidades de Ciberseguridad y Ciberdefensa.
  • Establecimiento y mejora de los marcos legales en Ciberseguridad  (de la que hice parte)
  • Cooperación Internacional 
  • Fortalecimiento de las Capacidades Institucionales de Ciberseguridad y Ciberdefensa.

La apertura del evento, que estuvo a cargo del Ministro de Defensa de Colombia Juan Carlos Pinzón, e intervinieron en varios discursos el Ministro de las TIC, Diego Molano Vega, el Viceministro de Política Criminal y Justicia Restaurativa Miguel Sammper Strouss y Neil Klopfenstein Secretario Ejecutivo del Comité Interamericano contra el Terrorismo (CICTE) de la OEA.

El objetivo del encuentro, según especificó el Ministro Colombiano de Defensa, Juan Carlos Pinzón, es generar herramientas para combatir desde las instituciones públicas, pero también privadas, la “ciberguerra” que atenta contra la seguridad de los gobiernos y de sus ciudadanos, a este discurso se unieron también la señora Viceministra María Isabel Mejía, la Directora de Seguridad Pública e Infraestructura del Ministerio de Defensa Juliana García Vargas y el Director del COLCERT Oscar Arias.

Una vez iniciadas las sesiones de trabajo, me correspondió como autor de la Ley (1273 de 2009) de Delitos Informáticos de Colombia y Juez de Control de Garantías Constitucionales, la mesa de “Establecimiento y mejora de los marcos legales en Ciberseguridad”, cuyas conclusiones (que de momento, lamentablemente no son públicas), fueron discutidas con la mesa de Cooperación Internacional, del que se extrajo un solo documento, el que sale como “Recomendaciones de Estrategia Nacional en Ciberseguridad” para el Señor Presidente.

Hicimos recorridos a las diferentes entidades en Colombia, encargadas de la Ciberseguridad e investigación de los Ciberdelitos, en donde se nos enseñó montaje de completos y excelentes equipos para el ejercicio de contrarrestar estas conductas y de recaudar la evidencia electrónica, que a través de este formato, se realiza para la consumación de muchas conductas informáticas y electrónicas en Colombia.

Finalmente, Belisario Contreras, gerente del proyecto del Programa de Seguridad Cibernética de la OEA, resaltó que Colombia fue el primer país en Latinoamérica en tener una Política en Ciberseguridad y Ciberdefensa.

“Es importante recordar la política de ciberseguridad y ciberdefensa creada a través del CONPES 3701 y que se adoptó en junio de 2011, lo que marca a Colombia como el primer país latinoamericano en tener una política en esta materia”.

Pronto el Gobierno de Colombia, hará pública las conclusiones que la comisión integrada por expertos colombianos y extranjeros, logramos concienciar sobre la realidad del Ciberdelito en el campo de Ciberseguridad del país.

Informe Anual de Seguridad de Cisco 2014

Recién hace unos días CISCO publicó su conocido Informe de Seguridad Anual del 2014, el cual nos da una visión de cómo evalúa Cisco el panorama de amenazas a los que estamos expuestos y nos muestra algunas estadísticas sobre el tráfico nocivo que viaja a diario a través de esta tecnología y sus diferentes productos.

Se tratan temas como los principales retos de seguridad según CISCO para el 2014, vulnerabilidades web, crimen online y movilidad, ataques selectivos, visión general del malware, ataques Denial of Service y otros temas interesantes.

El documento esta dividido en 4 secciones:

  1. Confianza
  2. Inteligencia de amenazas
  3. Sector
  4. Recomendaciones

Sin duda es una lectura recomendada que tiene puntos y temas con información muy interesante dentro sus 82 páginas, al menos yo me tomé unos buenos minutos para leer algunas partes que me agarraron.

Los dejo con un texto que extraje de este Informe que me gusto bastante:

“Los ciberdelincuentes están aprendiendo que el aprovechamiento de las posibilidades de la infraestructura de Internet aporta muchas más ventajas que sencillamente obtener acceso a equipos individuales”.

Puedes descargar el Informe Anual de Seguridad CISCO de aqui:

Heartbleed – Grave fallo de Seguridad descubierto en OpenSSL

Después del conocido fallo de seguridad ms08-067 Netapi, del cual a la fecha seguimos encontrando varios servidores vulnerables en las auditorías que realizamos, esta semana se ha publicado una falla de seguridad en la tecnología de encriptación web OpenSSL que ha puesto en peligro la seguridad de datos confidenciales y altamente sensibles de millones de portales en Internet debido al bug que se ha denominado “Heartbleed”, el cual se ha calificado como el mayor fallo de seguridad descubierto en los últimos años.

Que es el Bug Heartbleed?

El bug Heartbleed que ya fue asignado con el BugID CVE-2014-0160, es una vulnerabilidad bastante seria que se ha encontrado en una librería del conocido Software criptográfico OpenSSL, el cual permite a un atacante de forma remota, obtener pequeños bloques de memoria (hasta 64kb) del servidor atacado, logrando acceder a información secreta y confidencial que fue dividida en 4 categorias:

  1. Material de la llave primaria
  2. Material de la llave secundaria
  3. Contenido protegido
  4. Datos colaterales

Mayor información sobre este bug, aunque esta en ingles lo puedes encontrar en heartbleed.com

De acuerdo con http://www.openssl.org/news/openssl-1.0.1-notes.html la extensión heartbeat fue introducida en marzo del 2012 con la liberación de la versión 1.0.1 de OpenSSL. Esto implica que la vulnerabilidad ha estado latente alrededor de 2 años.

Verifica si eres vulnerable:

Puedes hacerlo desde http://filippo.io/Heartbleed/ solo necesitas poner tu URL y te dirá si eres o no vulnerable.
Este es un script en Python para probarlo desde la línea de comandos http://s3.jspenguin.org/ssltest.py Si deseas testear múltiples sitios web, puedes usar una versión modificada con una salida fácilmente parseable.
Si usas Chrome puedes instalar el plugin Chromebleed checker que te avisa y alerta cuando visites un sitio vulnerable.

Heartbleed-test

Que puedo hacer si soy vulnerable?

Recomendamos realices los siguientes pasos:

  1. Actualiza tu versión de OpenSSL a 1.0.1g o superior
  2. Regenera tu llave primaria
  3. Solicita y remplaza el certificado SSL

Algún exploit para pentesters?

La vulnerabilidad es tan fuerte que ya salieron los primeros exploits que arpovechan esta falla de seguridad, los puedes descargar de los siguientes enlaces.

OpenSSL vulnerable to CVE-2014-0160, get cookies and user sessions
OpenSSL TLS Heartbeat Extension – Memory Disclosure
OpenSSL 1.0.1f TLS Heartbeat Extension – Memory Disclosure (Multiple SSL/TLS versions)

Lo mejor es que están en Python, así que puedes agregarlos a tu arsenal de Metasploit. Aca les dejo una captura de la información que puede extraerse de un objetivo.

heartbleed-example

Diviertete y envíanos tus consultas a info@ehacking.com.bo o a nuestro formulario de contacto.

Aprovecha y llama GRATIS desde Facebook Messenger 4.1

Desde ayer que todos mis amigos vienen llamándome como locos y llamando a sus familiares y amigos a través de la nueva aplicación de Facebook Messenger a partir de la nueva versión liberada que ahora te permite hacer llamadas a tus contactos de forma gratuita.

La versión en si es la 4.1 de Facebook Messenger para sistemas operativos iOS y Android que permite realizar llamadas de voz gratuitas entre usuarios, utilizando sólo la conexión a Internet del smartphone.

messenger facebookLas llamadas se realizan bajo la tecnología VoIP (voz sobre IP), de manera que sólo se necesita una conexión Wifi o la red de datos 3G que el usuario utilice. Por eso, no tiene costo adicional por su uso.

Aprovecha esta nueva funcionalidad y “Habla todo el tiempo que quieras y en contacto donde quiera que estés”, como dice la leyenda en la tienda de aplicaciones de Apple.

Para activar la función, basta con pulsar el ícono de llamada dentro del perfil de un usuario. Si no te aparece el símbolo del teléfono en la parte superior derecha en tu smartphone, es porque no actualizaste a la versión 4.1.

Para mitad de año se espera que la aplicación Whatsapp, ahora propiedad de Facebook, también incorpore la función de llamadas de voz.

Todo esto me dice solo una cosa en materia de seguridad. Que los ataques a tecnologías VoIP son el presente y futuro para los organismos de inteligencia como también para los delincuentes informáticos.

Veremos que nos depara el futuro en los próximos meses.

Saludos.

Continuar leyendo

SCCAID: Herramienta para la Automatización del cambio de Contraseñas

¿Cuántas identidades digitales podemos tener registradas en Internet? ¿entre 10 y 30 cuentas en servicios distintos…, quizá más?, y entre estas, ¿cuántas contraseñas distintas tenemos?, ¿qué complejidad tienen esas contraseñas para que seamos capaces de recordarlas todas?

Cada día que pasa son más y más servicios en los que un usuario está dado de alta y como tal se hace bastante complejo el mantenimiento de las contraseñas en todos estos servicios.
También se hacen cada vez más habituales las noticias informando sobre filtrados de bases de datos con contraseñas y publicaciones de cuentas de usuarios (AdobeLinkedInYahooSonySnapchat…), otorgando mucha más importancia a una buena gestión de cambio de contraseñas para los distintos servicios en los que el usuario este dado de alta.Si realizamos una valoración de la cantidad de servicios a los que estamos suscritos y lo multiplicamos por el coste en tiempo que nos lleva hacer un cambio de contraseña (tarea que deberíamos hacer de manera regular), y si además tenemos en cuenta el riesgo de que de una manera u otra se pueda comprometer una de nuestras cuentas, la conclusión a la que llegamos es clara, tenemos un problema.

Llegados a este punto, ¿qué solución o valor añadido se puede aportar a este tipo de situaciones?
Para dar respuesta a esta pregunta queremos presentaros la aplicación “SCCAID”, desarrollada por un grupo de alumnos del Máster de Seguridad de la UEM y dirigidos por Alejandro Ramos (@aramosf) como parte del Proyecto Fin de Máster.

¿Qué es SCCAID?

Es una aplicación cuya función principal reside en proporcionar al usuario una herramienta para poder gestionar cambios de contraseñas de manera rápida y eficaz tanto en un servicio en concreto de manera individual como en varios servicios a la vez y de forma paralela.

¿Cómo funciona?

Básicamente es un motor de peticiones Web que utiliza plantillas XML en las que se indican las peticiones que se deben realizar al servidor Web del servicio para ejecutar el cambio de contraseña.
Un ejemplo de cómo SCCAID realiza un cambio de contraseña:

¿Qué valor aporta SCCAID?

  • Reducir drásticamente el tiempo invertido en realizar un cambio de contraseña. Imaginad el tiempo que se ahorra en cambiar la contraseña de 5 servicios introduciendo los datos una única vez y sin tener que hacer clic y esperar a que cargue cada nuevo formulario Web.
  • Flexibilidad y sencillez a la hora realizar un cambio de contraseña cuando sea necesario o demandado por el usuario. Sólo es necesario introducir los datos de tu cuenta y la contraseña la primera vez, y en sucesivos cambios solo habrá que introducir la contraseña nueva a establecer.
  • Favorecer el uso de contraseñas complejas para todos los servicios en los que el usuario esté dado de alta en detrimento de la utilización de un número mayor de contraseñas débiles para cada uno de los servicios.

¿Qué funcionalidades implementa en su versión actual?

  • Política de Contraseñas, el usuario puede elegir complejidad y periodicidad aplicable a sus contraseñas:
  • Integración con LastPass y Keepass a través de ficheros CSV:

  • Integración con Latch (más información en el artículo de elladodelmal):

  • Posibilidad de realizar backups en sistemas de ficheros y vía FTP:
  • Gestión de perfiles, posibilidad de creación de perfiles y almacenes. Por ejemplo un usuario podrá crear un almacén con un perfil denominado Redes sociales que contenga servicios como Twitter y Facebook y otro perfil con los perfiles de tiendas PrestaShop y Ebay. De este modo podrá agrupar según sus necesidades y realizar cambios de clave en bloque o por separado.

¿Qué servicios soporta?

Hasta ahora los servicios que soporta SCCAID son los siguientes:
Para finalizar, os dejamos el enlace de descarga de una nueva revisión de la aplicación para todos los que quieran probarla y ver su funcionamiento.
Si lo descargasteis de elladodelmal os recomiendo desinstalar esa versión e instalar esta, ya que a cada nueva actualización que realicemos la aplicación os avisará y se actualizará automáticamente.Nos podéis seguir a través del Twitter @ProyectoSCCAID siendo esta cuenta de momento el punto de contacto con los usuarios que lo prueben para ir recogiendo feedback.

No queremos despedirnos sin dar las gracias a SecurityByDefault por el apoyo a nuestro proyecto permitiéndonos publicar el artículo, a Alejandro Ramos por su ayuda en el proyecto y su apoyo, a Chema Alonso por el apoyo en su blog y a todos los usuarios que lo probéis y nos ayudéis a mejorar.
¡Saludos!
Autores: Rubén Franco (@FrankNoIdea), Miguel Ángel García (@nodoraiz) y Moisés Llorente (@moisllorente)