Categoría : Herramientas de Seguridad

Inicio/Archivo por Categoría Herramientas de Seguridad (Page 4)

BetterCap 1.2 es la nueva versión de este framework para ataques Man In The Middle

Los desarrolladores del conocido framework BetterCap han lanzado la nueva versión BetterCap 1.2 con importantes mejoras. Este framework está orientado específicamente a realizar los conocidos ataques Man In The Middle en redes locales, para comprobar si hemos configurado correctamente la red para evitar o al menos mitigar los principales ataques.

Lo más característico de este proyecto es que es de código abierto y permite en una herramienta tener una gran cantidad de utilidades como por ejemplo realizar ataques Man In The Middle, redirección de tráfico, sniffer, ataques ARP Spoofing e incluso la instalación de un Proxy en la red para que absolutamente todo el tráfico pase por nuestro equipo. Además no se han olvidado del protocolo HTTPS, y nos permite instalar en la red un Proxy HTTPS para capturar tráfico que utilice este protocolo.

Otras características de BetterCap es que es modular, por lo que podremos incorporar nuestros propios scripts para aumentar aún más las funcionalidades de esta herramienta, también es multiplataforma, puede funcionar en cualquier equipo siempre que tenga instaladas las RubyGems ya que está basado en este lenguaje de programación. Por último, BetterCap es realmente rápido y estable, por lo que solo nos deberemos preocupar de proteger la red local para que sus ataques no funcionen o al menos se mitiguen.

Cambios en BetterCap 1.2

Los cambios que ha sufrido esta nueva versión de BetterCap 1.2.0 es que la incorporación del ataque ICMP DoubleDirect de forma totalmente automatizada, por lo que podremos realizar este ataque de red fácilmente. También se ha incorporado la herramienta PacketFu para crear paquetes ICMP en lugar de usar el típico ping en modo broadcast. Por último, han incorporado una nueva clase PacketQueue que se encarga de centralizar los envíos de paquetes IP, de esta forma se aumenta muchísimo el rendimiento.

El equipo de desarrollo de BetterCap no se ha olvidado tampoco de los logs que genera su herramienta, y ahora han mejorado la información de red cuando habilitamos el debug, de esta forma podremos detectar cualquier problema que suceda a la hora de realizar el análisis de la red.

La instalación de BetterCap 1.2 pasa por instalar ruby y la librería pcap en sistemas Linux, a continuación simplemente debemos descargarnos la herramienta desde GitHub e instalarlo usando RubyGems:

2 cd bettercap
3 gem build bettercap.gemspec
4 sudo gem install bettercap*.gem

Les recomendamos visitar la página web oficial de BetterCap donde encontraran toda la información sobre este proyecto, así mismo también les recomendamos visitar la página de ejemplos de ataques a la red que está disponible en su página web oficial.

Fuente: Redes Zone

Spymel, un troyano no detectado por antivirus gracias a certificados robados

El robo de certificados digitales es algo bastante habitual a lo que deben enfrentarse las compañías propietarias y los usuarios. Os preguntaréis que porqué nosotros también nos vemos afectados. La respuesta es muy sencilla: los ciberdelincuentes utilizan estos para firmar malware. Un ejemplo de esta práctica es el troyano Spymel, detectado hace unos días y que afecta a equipos Windows.

Los expertos en seguridad de la empresa Zscaler han sido los encargados de dar la voz de alarma y alertar sobre la presencia de esta amenaza que en principio se está distribuyendo haciendo uso de correos electrónicos spam y páginas web que han sido hackeadas, utilizando estas para redirigir la navegación de los usuarios al contenido malware.

Los propietarios de la amenaza han pensado en todo y en primer lugar lo que el usuario descarga no es nada más y nada menos que un archivo JavaScript que se encarga de verificar el grado de seguridad que existe en el equipo para posteriormente llevar a cabo la descarga del archivo .NET que en esta ocasión sí es el instalador de la amenaza.

Teniendo en cuenta que las herramientas de seguridad y sistemas operativos se basan en listas negras de certificados y bloquean la instalación de aquellos que no están firmados, los ciberdelincuentes se han valido de algunos que han sido sustraídos para firmar el troyano y así pasar desapercibido.

Los expertos de Zscaler creen que aunque ahora es cuando más se está haciendo notar, las primeras infecciones aparecieron el pasado mes de diciembre y no llegaron a una docena.

Spymel posee un servidor de control y puede funcionar como puente para la llegada de más programas no deseados

Los expertos han detallado que el malware posee un módulo que impide que el usuario sea capaz de matar el proceso que se encuentra en segundo plano en el sistema y que evita que se lleve a cabo la desinstalación del mismo. Incluso están barajando la hipótesis de que la amenaza copia parte de su código en otros procesos legítimos y así iniciarse de nuevo sin que el usuario sea capaz de encontrar el motivo.

A todo esto hay que añadir que posee un servidor de control alojado en la dirección 213.136.92.111 y el puerto TCP 1216. Por lo tanto, si no sabéis si estáis afectados y en vuestro firewall veis esta conexión activa lo mejor es proceder a su bloqueo.

El contacto con el servidor no solo sirve para actualizar y recibir nuevas funcionalidades, sino que han detectado que el troyano es capaz de servir como puente para la llegada de más aplicaciones no deseadas por el usuario, por lo que es probable que si estamos infectados no solo sea este el problema y sea necesario hacer frente a adware, ransomware o incluso otros troyanos.

Fuentes: Redes Zone

Kingston Data traveler 2000: un pendrive cifrado y con teclado

La privacidad de los usuarios y los intentos por proteger los datos están alcanzando límites insospechados. Ordenadores de sobremesa y portátiles, discos duros, NAS o terminales móviles son algunos de los ejemplos que permiten cifrado de archivos y así protegerlos de accesos no autorizados. Sin embargo, los siguientes elementos en implementar esto son las memorias USB y un ejemplo es el modelo Kingston Data traveler 2000.

La memoria USB posee un cifrado completo del volumen que hace uso de AES 256-bit y así evitar que se produzcan accesos no autorizados a la información. Esto quiere decir que cuando el pendrive se conecta a un ordenador, el usuario deberá teclear el PIN escogido que cifra y protege los datos. Aunque el fabricante ha confirmado que se trata de un dispositivo que está centrado sobre todo en un uso empresarial, esto nos permite hacernos una idea de cuál será el camino a seguir en los próximos años y qué dispositivos llegarán a nuestros hogares, siendo sin lugar a dudas este uno de ellos.

Al igual que sucede con los navegadores web, que permiten guardar las credenciales de los servicios a los que se accede por primera vez, el Kingston Data traveler 2000 permite que el usuario solo deba introducir la contraseña cuando se conecta por primera vez la memoria, desbloqueándose la próximas ocasiones de forma totalmente automática.

Seguro que muchos pensáis mientras leéis esto que teniendo en cuenta que se trata de un código numérico la posibilidad de realizar ataques de fuerza bruta es alta. Pero la verdad es muy distinta, ya que el dispositivo posee un sistema que protege la memoria y los datos frente a estos ataques. Tras 10 intentos el pendrive queda totalmente bloqueado y se procede al borrado de los archivos y claves que realizan el cifrado y descifrado de la información.

Kingston Data traveler 2000

Además del teclado y el cifrado, el diseño físico del dispositivo tampoco está dejado al azar y el fabricante ha utilizado aluminio. En lo referido a las capacidades, estará disponible con 16, 32 y 64 GB de almacenamiento y todo parece indicar que estará disponible durante la primera mitad de 2016. A todo esto hay que añadir que es resistente al agua y polvo, algo que está muy de moda en lo referido a terminales móviles.

Además de ser totalmente compatible con los sistemas operativos de sobremesa actuales, también lo es con Android y ChromeOS, no siendo necesario en ningún caso la instalación de software adicional en el equipo.

Fuente: Redes Zone

Google anuncia en su cronograma la desaprobación de los certificados SHA-1

Google ha anunciado en su cronograma la desaprobación de los certificados SHA-1, a pesar de las preocupaciones expresadas recientemente de que la desactivación de éstos certificados desconectará millones desde Internet.

La desaparición de SHA-1 se ha acelerado en los últimos meses ya que los investigadores publicaron un artículo explicando que los ataques de colisión podrían durar ser meses, en lugar de años.

Google, el viernes, anunció que a partir de chrome 48 a principios de enero, los usuarios podrán ver los mensajes de error que aparecen si el navegador encuentra un sitio firmado con un certificado SHA-1 emitido a partir del 1 de enero 2016. El 1 de enero de 2017, o posiblemente el 01 de julio de 2016, SHA-1 será bloqueado por completo en Chrome. Microsoft ya ha anunciado que comenzará a bloquear certs firmados con SHA-1 desde junio de 2016.

En este punto, los sitios que tienen una firma con sede en SHA-1 como parte de la cadena de certificados (sin incluir la auto-firma en el certificado raíz) provocarán un error de red fatal “, dijo Google en su anuncio. “Esto incluye cadenas de certificados que terminan en un ancla de confianza local, así como aquellos que terminan en una CA pública”

Microsoft y Mozilla están en plazos similares para poner fin al apoyo para SHA-1, e instan a los operadores de sitios apoyar SHA-2.

Mientras tanto, Facebook y CloudFlare han hecho recientemente súplicas públicas para reexaminar la posibilidad de seguir con SHA-1. Jefe de seguridad de Facebook Alex Stamos compartió datos que muestran que hasta un 7 por ciento de los navegadores en uso no son compatibles con SHA-2, por ejemplo, y decenas de millones se cortaran a través de Internet a partir del próximo viernes.

“Un número desproporcionado de esas personas residen en países en desarrollo, y el resultado probable en esos condados será un retroceso grave en el despliegue de HTTPS por gobiernos, empresas y organizaciones no gubernamentales que desean llegar a sus poblaciones” escribió Stamos.

El CEO de CloudFlare Mateo príncipe, por su parte, hizo su caso al señalar que a diferencia de cuando MD5 se puso a pastar y SHA-1 el apoyo fue generalizado, lo mismo no puede decirse de SHA-256, que también no es compatible con los dispositivos móviles más antiguos.

“En una empresa de tecnología de Silicon Valley, donde la mayoría de los empleados reciben un nuevo ordenador portátil cada año y tener un teléfono de 5 años de edad, es inaudito, esto puede no parecer un problema. Sin embargo, Internet es utilizado por miles de millones de personas en todo el mundo y la mayoría de ellos no tienen la última tecnología”, dijo Prince

Prince dijo que aproximadamente 37 millones podrían ser separados de Internet por la desaprobación del SHA-1. Stamos, por su parte, propuso que el CA / Browser Forum cree un nuevo certificado de verificación que emita a las organizaciones que han hecho de SHA-256 certs disponibles para navegadores Moder.

“Esta verificación puede ser automatizada o manual, y las medidas adecuadas se puede poner en marcha para reducir el riesgo de un ataque de colisión. Esas protecciones podrían incluir exigir a los solicitantes de BT para que ya han pasado OV o verificación EV, así como las mejores prácticas técnicas, como el número de serie de la asignación al azar “, escribió Stamos. “Si este cambio no puede aplicarse el 31 de diciembre, entonces pedimos a la CA / B retrasar la aplicación de las reglas de SHA-1 por un período necesario para establecer normas para los certificados de legado.”

“Este no es un tema fácil, y hay personas con buenas intenciones que no están de acuerdo”, dijo Stamos. “Esperamos que podamos encontrar un camino a seguir que promueve las tecnologías de cifrado más fuertes sin dejar de lado a los que no pueden pagar los últimos y mejores dispositivos.”

Fuente: Thread Post

Actualización de Seguridad para Apple iTunes

Apple ha publicado la nueva versión de iTunes 12.3.2, destinada a corregir 12 vulnerabilidades que un atacante remoto podría aprovechar para ejecutar código arbitrario o descubrir el historial de navegación del usuario.

iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.

Todos los problemas corregidos están relacionados con WebKit, el motor de navegador de código abierto, que también forma la base de Safari. Once de los problemas podrían permitir la ejecución de código al visitar una página web específicamente creada (CVE-2015-7048 y CVE-2015-7095 al CVE-2015-7104.)

Por otra parte, una última vulnerabilidad podría revelar el historial de navegación del usuario al visitar una página web específicamente construida (CVE-2015-7050).

Apple ha publicado la versión 12.3.2 de iTunes que corrige estos problemas, disponible desde:

https://www.apple.com/itunes/download/

Más información:

About the security content of iTunes 12.3.2

https://support.apple.com/en-us/HT205636

Fuente: Hispasec

Google publica Chrome 47 y corrige 41 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 47. Se publica la versión 47.0.2526.73 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 41 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 41 nuevas vulnerabilidades, solo se facilita información de 23 de ellas (una crítica, 13 de gravedad alta, seis de importancia media y las tres restantes bajas). Entre los problemas corregidos cabe señalar que se ha solucionado la vulnerabilidad en el motor v8 de JavaScript anunciada durante el último pwn2own.

Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en v8, Skia y PDFium. También se solucionan vulnerabilidades por uso después de liberar memoria en AppCache, DOM, Infobars y Extensions. Salto de políticas de orígenes cruzados en el core y en DOM. Un desbordamiento de entero en Sfntly, una confusión de tipos en PDFium y falsificación de contenido en Omnibox. Por último otras vulnerabilidades en Android Crazy Linker, en CSP y en las páginas grabadas. Los CVE asignados van del CVE-2015-6764 al CVE-2015-6786.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-6787). Así como múltiples vulnerabilidades en el motor V8 en la rama de 4.7 (actualmente 4.7.80.23).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 105.837 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de “Información sobre Google Chrome” (chrome://chrome/).

Por otra parte, Google ha anunciado que en marzo del año que viene cesará el soporte para las versiones del navegador bajo Linux 32bits (esto no afecta a las versiones 64bits).

To provide the best experience for the most-used Linux versions, we will end support for Google Chrome on 32-bit Linux, Ubuntu Precise (12.04), and Debian 7 (wheezy) in early March, 2016.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2015/12/stable-channel-update.html

Updates to Google Chrome Linux support

https://groups.google.com/a/chromium.org/forum/#!topic/chromium-dev/FoE6sL-p6oU

Fuente: Hispasec

Microsoft elimina los certificados de confianza eDellroot

A raíz del fiasco de eDellroot la semana pasada, Microsoft anunció el lunes que revocó el apoyo a los certificados de confianza auto firmados que se encuentran en algunos equipos Dell.

En un aviso de seguridad publicado el lunes, la compañía reconoció que con el fin de evitar el fraude, ha eliminado la confianza de los certificados digitales sin restricciones emitidas por Dell y ha actualizado su lista de certificados de confianza (CTL).

La compañía afirma que la medida es de carácter preventivo, ya que es consciente de los ataques relacionados con los certificados actualmente.

La conversación se dio a lugar la semana pasada, poco antes de Acción de Gracias, que varios modelos de ordenadores Dell se entregan con un certificado root preinstalado y la clave privada que corresponde al certificado. Como es de esperar, muchos estaban preocupados ya que los certificados podrían utilizarse para emitir otros certificados falsos, dominios para suplantar contenido y llevar a cabo ataques de phishing o ataques man-in-the-middle.

El certificado eDellroot  fue encontrado en los Dell XPS 15 (ordenadores portátiles), en ordenadores de escritorio M4800 y en ordenadores de escritorios y portátiles Inspiron. Dos certificados adicionales también fueron encontrados en las máquinas de Dell la semana pasada, pero el riesgo ha sido informado como mínimo, debido a que uno estaba caducado y otro solamente existían en dos docenas de máquinas.

Dell dijo la semana pasada que planeaba eliminar el certificado eDellroot de su sistemas. La compañía también proporciona instrucciones de eliminación para los afectados e introdujo una actualización de software para localizar el certificado y retirarlo.

Microsoft señala a través de su asesor que  prácticamente cada versión de Windows incluye un CTL que se actualiza automáticamente, por lo que la mayoría de los usuarios no tendrán que tomar las medidas cautelares para asegurarse que están protegidos.

Fuente: ThreatPost