La Web Oscura no están oscura, según un estudio

November 8, 2016, 4:13 pm

≫ Next: Data Loss Detection, Google User Content y tus documentos confidenciales en la Caché

≪ Previous: Microsoft publica 14 boletines de seguridad y soluciona 68 vulnerabilidades incluidas dos 0-day

A pesar de la típica reputación de sitio nefasto repleto de actividades ilícitas, la Dark Web o Web Oscura es en su mayoría legal, según un nuevo informe de investigación de Terbium Labs.

"Separar el hecho de la ficción: la verdad sobre la web oscura", escrito por Clare Gollnic y Emily Wilson, dos investigadores de una empresa de inteligencia de datos en la Dark Web de Baltimore, derriba muchos mitos acerca de lo que la gente piensa sobre la web oscura y pretende desacreditar los informes anteriores que ofrecen poco más que hipótesis superficiales.

Evidentemente el estudio se basa en el análisis de contenido que detectó, la mayoría en la red Tor. Pero afirmando que evitan el sesgo de selección en su muestreo, los investigadores encontraron que el contenido legal comprende el 53.4 por ciento de todos los dominios y 54.5 por ciento de todas las URLs recogidas.

El extremismo no fue un factor predominante, representando sólo 0,25 por ciento de la actividad detectada, y no se encontró ninguna mención sobre venta de armas de destrucción masiva en las 400 URLs que tomaron de muestra. Las páginas relacionadas con distintas técnicas de hacking y exploits supusieron el 1,3%. Por otro lado la pornografía está ampliamente extendida si bien no significa que toda ella sea ilegal.

La actividad ilícita más vista en el estudio fue la venta de drogas, presente en el 45 por ciento de todas las publicaciones ilegales, aunque sólo representaba un 12 por ciento del contenido general.

En fin, un estudio bastante interesante cuyo paper podéis descargar en: https://terbiumlabs.com/darkwebstudy.html

Fuente: Dark web, not so dark, study

Via:www.hackplayers.com

↧

Data Loss Detection, Google User Content y tus documentos confidenciales en la Caché

November 9, 2016, 12:39 am

≫ Next: geoip-attack-map - Cyber Security GeoIP Attack Map Visualization

≪ Previous: La Web Oscura no están oscura, según un estudio

Las opciones de indexación de documentos por los motores de búsqueda como Google, a veces son un "problema" hasta para Google. El tener que jugar con las opciones de configuración de los ficheros robots.txt a nivel de dominio, con las etiquetas META NoIndex a nivel de documento HTML y con los HTTP Headers X-Robots-Tag a nivel de recurso en servidor web, hace que no siempre se consiga evitar que cosas que no debían aparezcan en las bases de datos de Google o Bing, haciendo las delicias de los amantes de las técnicas de hacking con buscadores.

Figura 1: Data Loss Detection, Google User Content y tus documentos confidenciales en la caché de Google

De esto ya os he contado en el pasado muchas historias. Os conté los problemas que tenía Facebook con la indexación, los problemas que tenía WhatsApp y hasta el propio Gmail, que poco a poco fue eliminando los resultados de primero Google y luego BING. Son muchos los problemas con documentos almacenados en la caché de los buscadores y problemas con documentos almacenados en el índice de los buscadores (que no es lo mismo). En la presentación de "No me indexes que me cacheo" tienes muchos ejemplos de esto, y hasta en ElevenPaths sacamos una pequeña herramienta llamada Google Index Retriever que permite sacar datos de un índice (que no de la caché) de Google.

Figura 2: No me indexes que me cacheo de Chema Alonso

Dicho esto, mi amigo rootkit - amante de los dorks - me escribió para contarme como es posible localizar documentos en la caché de Google que estuvieran indexados en Google. Suena un poco extraño, pero al final es una forma de saber qué documentos han sido cacheados, y como las opciones de indexación de GoogleUserContent.com, lo permiten, se puede buscar por él. Es decir, sería como utilizar el buscador de Google para encontrar que documentos están en la caché de Google porque las opciones de indexación de Googleusercontent.com lo permite y porque las opciones de caché en el sitio donde estuviera el documento lo permitieron. Triple rizo mortal hacia atrás.

Figura 3: El servidor de Googleusercontent.com, a día de hoy, no usa etiqueta X-Robots-Tag: noindex

Es decir, un sitio tiene un documento con las opciones de caché no protegidas. La URL le llega a Google que lo cachea. La URL de la visualización en caché Google es indexada por Google, porque las opciones de indexación de Googleusercontent.com no están fortificadas. Como resultado, cualquiera puede buscar URLs de la caché indexadas en el buscador de Google.

Figura 4: Más de 100.000 enlaces en Googleusercontent.com

Si haces clic en los enlaces, la mayoría no están disponibles, ya que se trata de un contenido que ha sido visualizado dentro de cualquier lugar. Eso sí, donde se ha visualizado esa o

Figura 5: Documentos accesibles vía caché de Google

Como veis, hay hasta documentos confidenciales, a los que se puede acceder vía caché en este caso. Por lo que cualquiera puede verlos en Internet.

Figura 6: Documentos privados indexados y cacheados en Googleusercontent.com

Estos son los tipos de documentos que los servicios de Data Loss Detection al final deben investigar. Que aparezca un documento confidencial de tu empresa publicado en un sitio de Internet debe ser monitorizado por los servicios de Ciberseguridad que - en lugar de mirar por la cámara de seguridad para ver si la puerta del garaje se abre o se cierra - miran por Internet a ver qué ha pasado que afecte a tu empresa.

Figura 7: Documento confidencial indexado, cacheado y accesible vía Googleusercontent

En este caso son documentos PDF, que si se han marcado de forma segura con una tecnología como Shadow, es fácil de investigar, ya que el documento PDF tiene incrustada una marca oculta y cifrada con los datos de a quién fue entregado dicho documento, como podéis ver en la demo que hicimos en el Security Innovation Day 2016.

Figura 7: Demo de Shadow para detectar filtraciones de documentos

Al final, por culpa de una mala configuración de los permisos - como le pasó al tipo que se dejó las passwords en un doc en Evernote y quedó cacheado durante meses -, y un mal uso del enlace del documento en el que se visualiza el contenido, sumado a unas opciones de indexación y cacheo laxas, puede que haga que un documento o un archivo que no te interese acabe estando a disposición de todo el mundo en Internet. Take care.

Saludos Malignos!

Via:www.elladodelmal.com

↧

geoip-attack-map - Cyber Security GeoIP Attack Map Visualization

November 9, 2016, 6:20 am

≫ Next: Actualizaciones de seguridad para Adobe Flash Player y Adobe Connect

≪ Previous: Data Loss Detection, Google User Content y tus documentos confidenciales en la Caché

This geoip attack map visualizer was developed to display network attacks on your organization in real time. The data server follows a syslog file, and parses out source IP, destination IP, source port, and destination port. Protocols are determined via common ports, and the visualizations vary in color based on protocol type. CLICK HERE for a demo video. This project would not be possible if it weren't for Sam Cappella, who created a cyber defense competition network traffic visualizer for the 2015 Palmetto Cyber Defense Competition. I mainly used his code as a reference, but I did borrow a few functions while creating the display server, and visual aspects of the webapp. I would also like to give special thanks to Dylan Madisetti as well for giving me advice about certain aspects of my implementation.

Important

This program relies entirely on syslog, and because all appliances format logs differently, you will need to customize the log parsing function(s). If your organization uses a security information and event management system (SIEM), it can probably normalize logs to save you a ton of time writing regex. 1. Send all syslog to SIEM. 2. Use SIEM to normalize logs. 3. Send normalized logs to the box (any Linux machine running syslog-ng will work) running this software so the data server can parse them.

Installation
Run the following commands to install all required dependencies (tested on Ubuntu 14.04 x64)

# sudo apt-get install python3-pip redis-server
# sudo pip3 install tornado tornado-redis redis maxminddb

Setup

Make sure in /etc/redis/redis.conf to change bind 127.0.0.1 to bind 0.0.0.0 if you plan on running the DataServer on a different machine than the AttackMapServer.
Make sure that the WebSocket address in /AttackMapServer/index.html points back to the IP address of the AttackMapServer so the browser knows the address of the WebSocket.
Download the MaxMind GeoLite2 database, and change the db_path variable in DataServer.py to the wherever you store the database.
- ./db-dl.sh
Add headquarters latitude/longitude to hqLatLng variable in index.html
Use syslog-gen.sh to simulate dummy traffic "out of the box."
IMPORTANT: Remember, this code will only run correctly in a production environment after personalizing the parsing functions. The default parsing function is only written to parse ./syslog-gen.sh traffic.

Download geoip-attack-map

Via:www.kitploit.com

↧

Actualizaciones de seguridad para Adobe Flash Player y Adobe Connect

November 9, 2016, 1:15 pm

≫ Next: Spade o cómo preparar un backdoor para Android en menos de 2 minutos

≪ Previous: geoip-attack-map - Cyber Security GeoIP Attack Map Visualization

Adobe ha publicado dos boletines de seguridadpara anunciar las actualizaciones necesarias para solucionar nueve vulnerabilidades en Flash Player y otra en Adobe Connect.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-37que soluciona nueve vulnerabilidades.

Los problemas incluyen tres vulnerabilidades de confusión de tipos y seis por uso de memoria después de liberarla. Todas ellas podrían permitir la ejecución de código. Los CVE asignados van del CVE-2016-7857 al CVE-2016-7865.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

Flash Player Desktop Runtime 23.0.0.207
Flash Player para Linux 11.2.202.644

Igualmente se ha publicado la versión 23.0.0.207 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde

http://www.adobe.com/go/getflash

Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:

http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.

Para actualizar Adobe Flash Player para Linux:

http://www.adobe.com/go/getflash

Adobe Connect

Por otra parte, el boletín APSB16-35se recoge la publicación de una nueva versión de Adobe Connect que soluciona una vulnerabilidad.

Adobe Connect es una solución de conferencias web para reuniones, aprendizaje electrónico y seminarios Web. Hace posible el uso de soluciones de conferencias en múltiples dispositivos a través de tecnología web.

La actualización resuelve una vulnerabilidad (CVE-2016-7851) de validación de entradas en el modulo de registro en eventos que podría permitir la realización de ataques de cross-site scripting. Afecta a Adobe Connect 9.5.6 (y anteriores).

La nueva versión Adobe Connect 9.5.7 también incluye correcciones de diversos errores no relacionados directamente con problemas de seguridad.

Más información:

Security updates available for Adobe Flash Player

https://helpx.adobe.com/security/products/flash-player/apsb16-37.html

Security update available for Adobe Connect

https://helpx.adobe.com/security/products/connect/apsb16-35.html

Adobe Connect 9.5.7 Release Notes

https://helpx.adobe.com/adobe-connect/release-note/adobe-connect-9-5-7-release-notes.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

↧

Spade o cómo preparar un backdoor para Android en menos de 2 minutos

November 9, 2016, 4:03 pm

≫ Next: Blacknurse: ataque ICMP para un DoS efectivo y con poco ancho de banda

≪ Previous: Actualizaciones de seguridad para Adobe Flash Player y Adobe Connect

Spade es el sueño de cualquier script kiddie que quiera comprometer un dispositivo Android en pocos minutos, pero también una oportunidad para cualquiera que tenga propósitos didácticos y quiera revisar el código en Python y ver como bindear un apk embebiendo un backdoor con un payload de Android de Metasploit. Los únicos requisitos son tener instalado Metasploit y las librerías lib32stdc++6, lib32ncurses5 y lib32z1.

Si quieres verlo un funcionamiento sólo tienes que clonar el repositorio y ejecutar el script principal pasándole como parámetro cualquier APK que queramos "infectar". Puedes descargar cualquier apk para probar por ejemplo desde apk4fun.com:

git clone https://github.com/suraj-root/spade.git
cd spade/
./spade.py net.zedge.android-5.8.0-www.APK4Fun.com.apk

Como veis simplemente hemos seleccionado el payload para una sesión inversa con meterpreter mediante HTTP (opción 1), la IP y el puerto de la máquina del atacante. Cuando la víctima instale y ejecute el apk malicioso automáticamente obtendremos una shell en el dispositivo. Os dejo también el vídeo con la PoC:

Url del video: https://youtu.be/q9Xcv2vLk8c

Fuente: https://github.com/suraj-root/

Via:www.hackplayers.com

↧

Blacknurse: ataque ICMP para un DoS efectivo y con poco ancho de banda

November 10, 2016, 5:50 am

≫ Next: hget - Rocket Fast, Interruptable, Resumable Download Accelerator

≪ Previous: Spade o cómo preparar un backdoor para Android en menos de 2 minutos

El SOC del operador danés TDC, especializado en técnicas anti-DDoS, ha observado un ataque por ICMP que es incluso efectivo si se realiza con poco ancho de banda. Lo han llamado Blacknurse y a diferencia que los ICMP floods tradicionales que utilizan el típico echo (ICMP Type 8 Code 0), éste se basa mensajes de tipo destino y puerto inalcanzables (ICMP Type 3 Code 3).

Con un ancho de banda de 15 a 18 Mbit/s es posible generar alrededor de 40 a 50K paquetes por segundo y afectar a una serie de firewalls aumentando drásticamente su carga de CPU. Cuando el ataque está en curso los usuarios del lado de la LAN ya no podrán enviar/recibir tráfico hacia/desde Internet. Todos los firewalls que hemos visto se recuperan cuando el ataque se detiene.

La mejor manera de probarlo es mediante hping3:

hping3 -1 -C 3 -K 3 -i u20

hping3 -1 -C 3 -K 3 --flood

Basado en las pruebas, un simple portátil puede producir aprox. un ataque DoS de 180 Mbit/s con esos comandos. Además los dispositivos vulnerables usan más recursos para procesar mensajes ICMP de tipo 3 (unreachable) que de tipo 8 (echo), así que como resultado empiezan a droppear paquetes antes.

De momento ya se han confirmado vulnerable los siguientes firewalls:

- Cisco ASA 5515, 5525 (configuración por defecto)
- SonicWall
- Algunos modelos/versiones de Palo Alto todavía sin especificar

La mejor manera de prevenir este ataque es deshabilitar los mensajes ICMP de tipo 3 en los interfaces WAN expuestos en Internet . Sin embargo en los ASA 5500 hacerlo puede conllevar otros problemas:

“We recommend that you grant permission for the ICMP unreachable message type (type 3). Denying ICMP unreachable messages disables ICMP Path MTU discovery, which can halt IPSec and PPTP traffic. See RFC 1195 and RFC 1435 for details about Path MTU Discovery.”

Así que lo mejor es usar hardware multicore en el que Blacknurse es menos efectivo o poner un IPS delante. Por ejemplo las reglas para su detección con Snort serían:

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC - Possible BlackNurse attack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)

alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC - Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)

Fuentes:
- BlackNurse Denial of Service Attack
- The Blacknurse attack (pdf)
- Blacknurse official web page
- Blacknurse PoC en C

Via:www.hackplayers.com

↧

hget - Rocket Fast, Interruptable, Resumable Download Accelerator

November 10, 2016, 6:06 am

≫ Next: OpenSSL soluciona tres vulnerabilidades

≪ Previous: Blacknurse: ataque ICMP para un DoS efectivo y con poco ancho de banda

Rocket fast download accelerator written in golang. Current program working in unix system only.

NOTE : hget is currently on highly development, its usage, architecture and code may change anytime at the future. It would be great if you can contribute whatever features that you want to use, I will take a look when have time.

Install

$ go get -d github.com/huydx/hget
$ cd $GOPATH/src/github.com/huydx/hget
$ make clean install

Binary file will be built at ./bin/hget, you can copy to /usr/bin or /usr/local/bin and even alias wget hget to replace wget totally :P

Usage

hget [Url] [-n parallel] [-skip-tls false] //to download url, with n connections, and not skip tls certificate
hget tasks //get interrupted tasks
hget resume [TaskName | URL] //to resume task

To interrupt any on-downloading process, just ctrl-c or ctrl-d at the middle of the download, hget will safely save your data and you will be able to resume later

Download

Resume

Download hget

Via:www.kitploit.com

↧

OpenSSL soluciona tres vulnerabilidades

November 10, 2016, 1:58 pm

≫ Next: Cómo proteger tu cuenta de Microsoft Live con verificación en dos pasos usando Latch Cloud TOTP

≪ Previous: hget - Rocket Fast, Interruptable, Resumable Download Accelerator

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL destinada a corregir tres vulnerabilidades, una calificada de impacto alto, otra de importancia media y una de gravedad baja.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

El primer problema reside en una vulnerabilidad (CVE-2016-7054), de gravedad alta, que podría permitir la realización de ataques de denegación de servicio en conexiones que usen las suites de cifrado *-CHACHA20-POLY1305.

Por otra parte, de gravedad media, con CVE-2016-7053, un problema en el tratamiento de estructuras CMS inválidas puede provocar una desreferencia a puntero nulo y la consiguiente denegación de servicio.

Por último, de gravedad baja (CVE-2016-7055), un error en el procedimiento de multiplicación Broadwell-specific Montgomery en cierta longitud de datos. Un usuario remoto puede enviar datos especialmente diseñados en ciertos casos para provocar errores en operaciones de clave pública en configuraciones en las que múltiples clientes remotos seleccionan el algoritmo EC afectado y donde el servidor de atacado comparte una clave privada entre múltiples clientes. También pueden ocurrir fallos de autenticación transitoria y de negociación de claves.

OpenSSL ha publicado la versión 1.1.0c disponible desde

http://openssl.org/source/

También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.

Más información:

OpenSSL Security Advisory [10 Nov 2016]

https://www.openssl.org/news/secadv/20161110.txt

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

↧

Cómo proteger tu cuenta de Microsoft Live con verificación en dos pasos usando Latch Cloud TOTP

November 10, 2016, 9:46 pm

≫ Next: needle - The iOS Security Testing Framework

≪ Previous: OpenSSL soluciona tres vulnerabilidades

Recientemente ha sido implementada una nueva funcionalidad en Latch para que los usuarios puedan proteger también las cuentas en servicos populares de Internet utilizando el concepto de Cloud TOTP. Anteriormente ya hemos publicado demostraciones sobre cómo proteger cuentas de Google y Gmail con Latch y Cloud TOTP. Hoy llevaremos a cabo otra demostración, en este caso con cuentas de Microsoft Live. Para ello tendréis que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch).

Figura 1: Cómo proteger tu cuenta de Microsoft Live con "Verificación en dos pasos" con Latch Cloud TOTP

En primer lugar, iniciamos sesión con nuestra cuenta de Microsoft Live y accedemos al enlace "Mi cuenta". En la parte de Seguridad y Privacidad tendremos que acceder a "Más ajustes de seguridad", donde podremos visualizar la opción "Verificación en dos pasos". A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Microsoft Live ofrece. En este caso nos centraremos en la de TOTP.

Figura 2: Opción de Verificación en dos pasos

Para poder continuar la página nos solicitará los cuatro últimos dígitos de nuestro número de teléfono para enviarnos un código a nuestro terminal con el fin de comprobar que este está bajo nuestro control. Esto es así, porque mi cuenta tiene asociado mi número de teléfono en su creación. En este punto debemos completar la acción introduciendo el código que nos envíen vía SMS.

Figura 3: Selección de la opción "Otro"

Una vez que introducimos el código y todo ha ido bien se nos mostrará una serie de recomendaciones a la hora de activar la verificación en dos pasos. Simplemente, debemos pulsar en "Siguiente". Una vez hecho esto podremos seleccionar el Sistema Operativo de nuestro dispositivo móvil, tal y como se puede ver en la imagen. Sin embargo, al seleccionar sistemas operativos Android o iOS nos veríamos obligados a configurar la verificación en dos pasos por medio de Microsoft Authenticator, así que para poder configurar Latch seleccionamos la opción de "Otro".

Figura 4: Configuración del Código QR para finalizar Latch

A continuación aparecerá en nuestra pantalla un código QR que podremos escanear desde la aplicación de Latch. Tras haber implementado el nuevo servicio en nuestro Latch generaremos un “token” para acabar de configurar la autenticación.

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son "Parear con Latch", que es la funcionalidad clásica, y "Proteger con Cloud TOTP". Debemos pulsar esta última.

Figura 5: Opciones de protección con Latch

Al pulsar sobre ·"Proteger con Cloud TOTP", Latch mostrará la cámara del dispositivo para que podamos escanear el código QR que Microsoft Live nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del código manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior.

Figura 6: Latch Cloud TOTP para Microsot Live añadido correctamente

Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Microsoft Live con Latch.

Iniciando sesión con Latch Cloud TOTP en Microsoft Live

Tras haber configurado nuestro Latch Cloud TOTP para Microsoft Live comprobaremos su correcto funcionamiento, para ello nos dirigimos al login de Microsoft Live e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Microsoft Live y podremos utilizar nuestro Latch.

Figura 7: Solicitiud de códigot TOTP

En nuestra aplicación de Latch seleccionamos el Cloud TOTP de Microsoft Live. Hay un botón, en dicha fila, con la palabra "PIN", que debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.

Figura 8: Latch Cloud TOTP para Microsoft Live

Application Password en Microsoft Outlook

Al activar la verificación en dos pasos algunas aplicaciones o dispositivos harán saltar un mensaje de error afirmando que la contraseña introducida es incorrecta (a pesar de haberla introducido correctamente) al no poder pedirte un código de seguridad cuando inicies sesión. Si esto te sucede debes recurrir a una contraseña de aplicación para iniciar sesión. Estas contraseñas de aplicación son de uso desde solo un dispositivo y sirven para dar acceso a nuestra cuenta desde una aplicación concreta sin que se pida un segundo factor de autenticación.

Figura 9: Application Passwrods en MIcrosoft Live

Estas contraseñas se crean para accesos continuados como el del cliente de correo electrónico, que cada poco tiempo comprueba de forma automática si hay algún mensaje nuevo. Por lo tanto, no exige verificación en dos passos, pero al mismo tiempo tampoco da acceso a toda la cuenta y si hay un cambio en el fingerprinting de la app que se ha conectado lo detecta.

Figura 10: Password de aplicación creada

Por esto, tendrás que crear una Application Password diferente para iniciar sesión en cada aplicación o dispositivo que no pueda solicitarte un código de seguridad. La contraseña será un código solo válido para una aplicación en concreto. Para adquirir estas contraseñas tendrás que iniciar sesión en tu cuenta y buscar el apartado "Contraseñas de Aplicación" en la configuración de "Mis ajustes de seguridad".

Configuración completa de una verificación en 2 pasos

Desde ElevenPaths os recomendamos que configureis los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que estos lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura. Aquí tenéis el vídeo de cómo configurar Latch Cloud TOTP en Microsoft Live.

Figura 11: Cómo proteger tu cuenta de Microsoft Live con Latch Cloud TOTP

Aquít también tenéis otras referencias, y si necesitas ayuda para cualquier servicio que quieras proteger, no dudes en ponerte en contacto con nosotors vía la Comunidad de ElevenPaths.

- Cómo proteger cuenta Google y Gmail con Latch Cloud TOTP
- Cómo proteger cuenta Dropbox con Latch Cloud TOTP
- Cómo proteger cuenta Facebook con Latch Cloud TOTP

Autor: Sergio Sancho at ElevenPaths

Via:www.elladodelmal.com

↧

needle - The iOS Security Testing Framework

November 11, 2016, 5:56 am

≫ Next: A partir de enero Microsoft no publicará más boletines de seguridad

≪ Previous: Cómo proteger tu cuenta de Microsoft Live con verificación en dos pasos usando Latch Cloud TOTP

Needle is an open source, modular framework to streamline the process of conducting security assessments of iOS apps.

Description
Assessing the security of an iOS application typically requires a plethora of tools, each developed for a specific need and all with different modes of operation and syntax. The Android ecosystem has tools like " drozer " that have solved this problem and aim to be a ‘one stop shop’ for the majority of use cases, however iOS does not have an equivalent.
Needle is an open source modular framework which aims to streamline the entire process of conducting security assessments of iOS applications, and acts as a central point from which to do so. Given its modular approach, Needle is easily extensible and new modules can be added in the form of python scripts. Needle is intended to be useful not only for security professionals, but also for developers looking to secure their code. A few examples of testing areas covered by Needle include: data storage, inter-process communication, network communications, static code analysis, hooking and binary protections. The only requirement in order to run Needle effectively is a jailbroken device.
Needle is open source software, maintained by MWR InfoSecurity .

Installation
See the Installation Guide in the project Wiki for details.

Supported Platforms

Workstation : Needle has been successfully tested on both Kali and OSX
Device : both iOS 8 and 9 are currently supported

Usage
Usage instructions (for both standard users and contributors) can be found in the project Wiki .
A complete walkthrough on how to quickly get up to speed with Needle can be found on the MWR Labs website: https://labs.mwrinfosecurity.com/blog/needle-how-to/

Download needle

Via:www.kitploit.com

↧

A partir de enero Microsoft no publicará más boletines de seguridad

November 11, 2016, 1:41 pm

≫ Next: La Inteligencia Artificial y la Ética del Ratón

≪ Previous: needle - The iOS Security Testing Framework

Durante muchos años los boletines de seguridad de Microsoft nos han acompañado e informado sobre los parches y actualizaciones que publicaba la compañía. Pero según ha informado la propia compañía al comenzar el año esto va a cambiar.

Los ya tradicionales boletines de seguridad de Microsoft empezaron en junio de 1998, cuando la firma de Redmond publicó el MS98-001. Durante los primeros años se distribuían según Microsoft conocía las vulnerabilidades y las corregía, llegando a publicar múltiples boletines durante todo el mes.

Fue con el lanzamientode la política STPP (Strategic Technology Protection Program) en 2002 cuando Microsoft tomo la seguridad como un problema prioritario y dentro de esta campaña se incluyóla distribución mensual de boletines de forma programada (salvo excepciones). En octubre de 2003 se inició esta nueva política, que inicialmente no estuvo exenta de polémica.

De nuevo Microsoft vuelve a cambiar la forma de comunicación de las actualizaciones publicadas. A partir de febrero de 2017, Microsoft utilizará una nueva base de datos de actualizaciones de seguridad.

A primera vista disponer de una base de datos de información de búsqueda puede parecer una gran idea, pero cambia radicalmente la forma en que se presenta la información y como todo cambio en un principio puede resultar difícil de aceptar. No parece probable que sea bien recibido por los usuarios, sobre todo cuando la primera impresión es que el objetivo no es ofrecer mayor información y más clara sobre los problemas.

Nueva base de datos de actualizaciones

Incluso, parece que Microsoft ha tratado de ocultar el anunció de este cambio. En un pequeño posten uno de sus blogs bajo el título "Promover nuestro compromiso con las actualizaciones de seguridad" informa del nuevo portal destinado a la información de vulnerabilidades de seguridad, la Guía de Actualizaciones de Seguridad (Security Updates Guide). En vez de publicar los clásicos boletines donde se describen las vulnerabilidades este portal ofrece una base de datos para la consulta de la información.

Al final de dicho post es cuando encontramos la noticia bomba:

"La información de actualizaciones de seguridad se publicará como boletines y en la Security Updates Guide hasta enero de 2017. Después de las actualizaciones del martes de enero de 2017 solo publicaremos la información de las actualizaciones en la Security Updates Guide."("Security update information will be published as bulletins and on the Security Updates Guide until January 2017. After the January 2017 Update Tuesday release, we will only publish update information to the Security Updates Guide.")

Solo queda ver si esta nueva política de información tiene éxito, pero en unas primeras consultas a esta nueva base de datos no da la sensación de que la información se presente de una forma más clara.

Más información:

Furthering our commitment to security updates

https://blogs.technet.microsoft.com/msrc/2016/11/08/furthering-our-commitment-to-security-updates/

una-al-dia (13/10/2003) Microsoft: marketing vs. seguridad

http://unaaldia.hispasec.com/2003/10/microsoft-marketing-vs-seguridad.html

una-al-dia (19/02/2002) Microsoft STPP, ¿estrategia tecnológica o lavado de cara?

http://unaaldia.hispasec.com/2002/02/microsoft-stpp-estrategia-tecnologica-o.html

una-al-dia (15/10/2003) Siete nuevas vulnerabilidades/parches de Microsoft

http://unaaldia.hispasec.com/2003/10/siete-nuevas-vulnerabilidadesparches-de.html

una-al-dia (15/12/2003) Explicaciones de Microsoft sobre su nueva política de actualizaciones

http://unaaldia.hispasec.com/2003/12/explicaciones-de-microsoft-sobre-su.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

↧

La Inteligencia Artificial y la Ética del Ratón

November 12, 2016, 2:50 am

≫ Next: CuckooDroid - Automated Android Malware Analysis with Cuckoo Sandbox

≪ Previous: A partir de enero Microsoft no publicará más boletines de seguridad

Hoy sábado me he levantado con una de esas diatribas que me acompañan a lo largo de mis días desde hace años. Pensando en cómo sería sí, cómo sería si no sobre las cosas. Qué pasaría si y qué pasaría si no. Por supuesto, los temas sobre los que mis debates internos tienen lugar son siempre alrededor de lo que hago en mi vida y de lo que desde pequeño me interesa. El mundo de la tecnología, la ciencia ficción y quitar el término ficción a todo lo que he leído y visto en ese ámbito.

Figura 1: La Inteligencia Artificial y le Ética del Ratón

En los últimos tiempos, con la llegado de las Tecnologías Congnitivas al mundo masivo, muchas de las reflexiones que llevamos haciendo años empiezan a acercarse en el tiempo. Algo que se veía muy lejos hace años, parece que va a empezar a ser parte del día a día de nuestra vida muy pronto. Es el uso de la Inteligencia Artificial en el mundo en nuestra vida, y todas las ventajas y problemas que eso conlleva.

Y como el post de hoy solo es una perorata personal que me estaba echando para tomar una decisión sobre un tema, os voy a plantear un problema que luego si queréis los proyectamos sobre situaciones más mundanas que llevan tiempo sobre nosotros, para que podáis expresar vuestras opiniones.

HIRE: La AI que controla los RRHH

Supongamos, un suponer, que una empresa ha comenzado a utilizar tecnología de inteligencia artificial para su departamento de recursos humanos – vamos a llamarla HIRE -. En su día a día para aprender, HIRE, está recogiendo datos internos y externos de todos los puntos posibles y necesarios para tener medido correctamente la importancia del rol interna y externamente, el desempeño del trabajo de esa persona y el impacto de lo que hace en concreto cada uno de los trabajadores.

Además, está analizando Internet, para saber si los salarios están bien o mal pagados, si los roles y las funciones son las adecuadas, etcétera. Y no solo eso, sino que está pensando en las funciones que debe hacer para el futuro la empresa, los roles que serán necesarios y los que serán prescindibles.

También aprende el impacto de hacer determinadas acciones como la formación, el uso de incentivos o el valor positivo o negativo que puede tener el despido o la incorporación de alguien para desempeñar un determinado rol. HIRE entonces, continuamente estaría haciendo despidos, contrataciones, reemplazados de personas, reemplazo de funciones, cambio de incentivos, etcétera.

Al final HIRE no estaría haciendo nada más que hacer lo que se supone que hace un departamento de RRHH de una empresa que tiene la misión de maximizar el resultado económico para sus accionistas. Y lo haría eficazmente, al mismo nivel que lo podría hacer el mejor departamento de RRHH de cualquier empresa siguiendo escrupulosamente la ley del país.

Sin embargo, esto no es del todo cierto. En los departamentos de RRHH también hay personas que tienen mucha humanidad dentro de ellos, y a veces toman decisiones que a priori pueden no parecer buenas para las empresas. Por ejemplo, supongamos que HIRE fuera capaz de detectar por los patrones de comportamiento que una mujer está embarazada desde la primera semana en que lo está.

O mejor aún, pongámoslo un poco más complicado, supongamos que HIRE es capaz de predecir a partir de información en Internet que una mujer está en un periodo de su vida en el que con una probabilidad del 87 % se va a quedar embarazada en los próximos dos meses. A partir de ese momento, HIRE podría sacar un scoring que le hiciera tomar como decisión despedir a esa mujer porque podría costarle dinero a la empresa por las medidas de protección social que existen para la mujer.

INVIERTE Loves HIRE?

Analizando esto podríamos concluir que si el objetivo con el que se ha creado a HIRE fuera maximizar el beneficio de la compañía, HIRE podría despedirla. Ahora bien, ¿qué pasaría si despedir a la mujer fuera mal visto por la sociedad? Entonces eso a lo mejor podría suponer que la imagen de la compañía decayera y por lo tanto fuera mayor lo negativo que se consigue con el despido que lo positivo. Ya que podría ser que los accionistas dejaran de invertir o los clientes de contratar.

Pero… ¿Y si los accionistas utilizan también diferentes inteligencias artificiales? Pero ¿y si los inversores son también motores cognitivos? ¿Y si el mayor accionista de la empresa donde trabaja HIRE es INVIERTE, un sistema de inteligencia artificial que se guía por las decisiones que toman las empresas y ve que HIRE no maximiza el rendimiento económico por la imagen pública y deja de invertir?

Si seguimos dándole vueltas a esto, llegamos al único punto que puede poner sentido a esto. Al único lugar donde algo o alguien puede tomar una decisión contraría a sus beneficios en base a los valores éticos con los que ha sido “programado”. El ser humano. Gracias a que no somos infalibles, los seres humanos tomamos decisiones que van en contra de nosotros mismos, llevadas por las emociones, los sentimientos y el motor irracional que es tan racional dentro de nosotros.

Volviendo al caso de HIRE y el departamento de recursos humanos, en el mundo donde nos movemos hoy, hay empresas con departamentos de recursos humanos que son un terror dentro de la compañía, pero hay otras en las que los departamentos de recursos humanos son cuidadosos, detallistas con las personas y preocupados por su bienestar. Algunos departamentos de recursos humanos, sin ser HIRE, hubieran despedido a la mujer, otros, la hubieran protegido.

Eso, en el mundo de las empresas lo suelen llamar la “Cultura” de esta empresa, que no es más que los valores que desde su dirección se transmiten hacia los empleados. Qué cosas se premian y qué cosas se castigan dentro de la compañía. ¿Es una empresa con valores sociales para las personas o solo preocupada por el beneficio? ¿Es una empresa que solo se preocupa por la imagen pública pero luego no tiene los valores que pretende o es una empresa que es capaz de cuidar de sus empleados como forma de trabajo? ¿Es mejor una Cultura de Empresa u otra para el mundo de los negocios?

¿Ratones o Humanos?

Los seres humanos somos capaces de consumir cosas nocivas para nosotros, hacer cosas que nos harán daño sin sentido, hacer daño a otros seres humanos, e incluso dar la vida por otras personas sin esperar nada a cambio, solo por un acto altruista de amor o desinterés. Somos capaces de hacer lo peor y lo mejor.

Figura 2: Evolución de la inteligencia artificial

Ahora que nos estamos aproximando a la época en la que los sistemas de Inteligencia Artificial están alcanzando la capacidad de raciocinio de un ratón, estamos aún a tiempo de decidir con qué valores queremos crearlos. ¿Se deben inculcar desde ya qué se puede o no se puede hacer? ¿Debería haber un control para la creación de sistemas HIRE o INVIERTE que enfocaran el comportamiento de las empresas hacia una dirección u otra? ¿Deberíamos dejar que crecieran libremente y tuvieran libre albedrío en sus decisiones?

En una película del año 1980 llamada Sartuno 3, una de las que más miedo me hizo pasar durante mi niñez por culpa de Héctor, la inteligencia artificial del robot se creaba a partir de la mente de uno de los protagonistas con problemas emocionales, lo que llevaba al terror en la base espacial. El hombre es capaz de hacer lo mejor y lo peor, y está claro que no todos los seres humanos tenemos los mismos valores, lo que podría hacer que aparecieran inteligencias artificiales en nuestro mundo con muy diferentes objetivos.

Figura 3: Saturno 3 Trailer
Recuerdo que la primera vez que monté en el Google Car con los ingenieros de Google y hablamos de la inteligencia artificial que llevaba dentro – hace ya varios años – pregunté por la decisión que tomaría el coche ante un “Accidente Inevitable”. Si el coche es capaz de predecir que un accidente es inevitable, por culpa de que se ha colado un peatón que antes no había sido detectado por el vehículo o porque viene un vehículo descontrolado a una velocidad muy grande que no da tiempo al vehículo a reaccionar, ¿tomaría alguna decisión para primar salvar una vida u otra? Seguro que si has llegado hasta este punto, ya debería estar en tu cabeza Isaac Asimov y sus famosas leyes de la robótica, que tanto debate han generado entre los lectores.

¿Debemos empezar ya a pensar en si queremos poner límites al crecimiento de estos nuevos seres artificiales y su incorporación a la toma de decisiones en la sociedad o no? ¿Metemos los sistemas de Inteligencia Artificial a tomar decisiones sobre a quién hay que atender antes o no en un hospital? ¿Sobre qué debe priorizar la administración pública? ¿Sobre quién o cuando debe ser despedido alguien? ¿Dejamos a los sistemas cognitivos con la capacidad de aprendizaje de un ratón que aprendan y tomen todo tipo de decisiones?

Saludos Malignos!

Via:www.elladodelmal.com

↧

CuckooDroid - Automated Android Malware Analysis with Cuckoo Sandbox

November 12, 2016, 9:19 am

≫ Next: Actualización de seguridad para Google Chrome

≪ Previous: La Inteligencia Artificial y la Ética del Ratón

CuckooDroid is an extension of Cuckoo Sandbox the Open Source software for automating analysis of suspicious files, CuckooDroid brigs to cuckoo the capabilities of execution and analysis of android application.

Installation - Easy integration script:

git config --global user.email "you@example.com"
git config --global user.name "Your Name"
git clone --depth=1 https://github.com/cuckoobox/cuckoo.git cuckoo -b 1.2
cd cuckoo
git remote add droid https://github.com/idanr1986/cuckoo-droid
git pull --no-edit -s recursive -X theirs droid master 
cat conf-extra/processing.conf >> conf/processing.conf
cat conf-extra/reporting.conf >> conf/reporting.conf
rm -r conf-extra
echo "protobuf">> requirements.txt

Documentation

CuckooDroid - http://cuckoo-droid.readthedocs.org/
Cuckoo Sandbox - http://cuckoo.readthedocs.org/

You are advised to read the Cuckoo Sandbox documentation before using CuckooDroid!

Powered by:

Androguard -> https://code.google.com/p/androguard/
Google Play Unofficial Python API -> https://github.com/egirault/googleplay-api

Credit

botherder for linux_analyzer_dev -> https://github.com/cuckoobox/cuckoo/tree/linux_analyzer_dev

Authors

Idan Revivo - idanr1986@gmail.com (twitter: idanr86)
Ofer Caspi oferc@checkpoint.com (twitter: @shablolForce)

Download CuckooDroid

Via:www.kitploit.com

↧

Actualización de seguridad para Google Chrome

November 12, 2016, 1:46 pm

≫ Next: SecAdmin: Una CON de "lujo" en Sevilla para Noviembre

≪ Previous: CuckooDroid - Automated Android Malware Analysis with Cuckoo Sandbox

Google ha publicado actualizaciones de seguridad para su navegador Google Chrome para todas las plataformas para corregir cuatro nuevas vulnerabilidades.

El navegador se actualiza a la versión 54.0.2840.99 para Windows, 54.0.2840.98 para Mac y 54.0.2840.100 para Linux. Como es habitual, Google no facilita información de todos los problemas corregidos. En esta ocasión, confirma la corrección de cuatro vulnerabilidades.

De gravedad alta se ha solucionado un corrupción de memoria heap en FFmpeg (CVE-2016-5199) y un acceso a memoria fuera de límites en V8 (CVE-2016-5200). Y de gravedad media una fuga de información en extensiones (CVE-2016-5201). Y como es habitual del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-5202).

Según la política de la compañía una de las vulnerabilidades corregidas ha supuesto 12.000 dólares en recompensas a los descubridores de los problemas.

Stable Channel Update for Desktop: The stable channel has been updated to 54.0.2840.99 for Windows… https://t.co/1hQAL6OXRK #googlechrome
— Google Chrome Dev (@GoogleChromeDev) 10 de noviembre de 2016

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update for Desktop

https://googlechromereleases.blogspot.com.es/2016/11/stable-channel-update-for-desktop_9.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

↧

SecAdmin: Una CON de "lujo" en Sevilla para Noviembre

November 13, 2016, 12:53 am

≫ Next: PsTools - Utilities for listing the processes running on remote computers, running processes remotely, rebooting computers, and more

≪ Previous: Actualización de seguridad para Google Chrome

Hace unos días os dejé la lista de eventos, charlas y cursos que hay por delante en Noviembre, pero hoy quería hacer especial hincapié a uno de ellos, la SECADMIN en Sevilla, que tendrá lugar los días 25 y 26 del presente mes.

Figura 1: SEC ADMIN Conference 2016 en Sevilla

La conferencia cuenta con un buen número de actividades, como talleres, compartición de proyectos, zona retro de ocio y, por supuesto, ponencias en el track principal. En este último aspecto, las ponencias, el programa este año cuenta con un plantel de lujo. Entre la lista de ponentes se encuentran Richard Stallman, Sergio de los Santos, Pablo González, Juan Garrido "Silverhack", Alfonso Muñoz, Pepelux, Deepak Daswanii, Pedro Candel "S4ur0n", o mi antiguo "padawan"Pedro Laguna, por citar algunos de la extensa lista.

Figura 2: Lista de pontentes, talleres y keynotes

Habrá también talleres de seguridad en redes Wi-Fi, Python, DevSecOps, Ingeniería Social o Gestión de incidentes de seguridad. Además, como 0xWord colabora con la organización, podrás adquirir los libros allí y pedirle a los ponentes que te los dediquen, ya que tienes allí muchos de los autores. Aquí te dejo la lista.

- Sergio de los Santos [Máxima Seguridad en Windows]
- Alfonso Muñoz [Cifrado: RSA, Esteganografía]
- José L. Verdeguer "Pepelux" [Hacking y Seguridad VoIP]
- Pablo González [Metasploit, Got Root, Ethical Hacking, Powershell]

Si tienes oportunidad de ir al evento, no lo dejes pasar, porque tiene una pinta fantástica ese fin de semana en Sevilla.

Saludos Malignos!

Via:www.elladodelmal.com

↧

PsTools - Utilities for listing the processes running on remote computers, running processes remotely, rebooting computers, and more

November 13, 2016, 5:48 am

≫ Next: Newsletter Criptored del mes de octubre de 2016

≪ Previous: SecAdmin: Una CON de "lujo" en Sevilla para Noviembre

The PsTools suite includes command-line utilities for listing the processes running on local or remote computers, running processes remotely, rebooting computers, dumping event logs, and more.

Introduction

The Windows NT and Windows 2000 Resource Kits come with a number of command-line tools that help you administer your Windows NT/2K systems. Over time, I've grown a collection of similar tools, including some not included in the Resource Kits. What sets these tools apart is that they all allow you to manage remote systems as well as the local one. The first tool in the suite was PsList, a tool that lets you view detailed information about processes, and the suite is continually growing. The "Ps" prefix in PsList relates to the fact that the standard UNIX process listing command-line tool is named "ps", so I've adopted this prefix for all the tools in order to tie them together into a suite of tools named PsTools.

Note: some anti-virus scanners report that one or more of the tools are infected with a "remote admin" virus. None of the PsTools contain viruses, but they have been used by viruses, which is why they trigger virus notifications.

The tools included in the PsTools suite, which are downloadable as a package, are:

PsExec - execute processes remotely
PsFile - shows files opened remotely
PsGetSid - display the SID of a computer or a user
PsInfo - list information about a system
PsPing - measure network performance
PsKill - kill processes by name or process ID
PsList - list detailed information about processes
PsLoggedOn - see who's logged on locally and via resource sharing (full source is included)
PsLogList - dump event log records
PsPasswd - changes account passwords
PsService - view and control services
PsShutdown - shuts down and optionally reboots a computer
PsSuspend - suspends processes
PsUptime - shows you how long a system has been running since its last reboot (PsUptime's functionality has been incorporated into PsInfo)

The PsTools download package includes an HTML help file with complete usage information for all the tools.

Download PsTools

Via:www.kitploit.com

↧

Newsletter Criptored del mes de octubre de 2016

November 13, 2016, 1:54 pm

≫ Next: Configurar WebApps con MS SQL Server in Paranoid Mode usando Latch

≪ Previous: PsTools - Utilities for listing the processes running on remote computers, running processes remotely, rebooting computers, and more

Newsletter con las noticias y actividad del mes de octubre de 2016 en Criptored. Estas noticias las podrá encontrar en el histórico de Criptored del mes de octubre de 2106 en este enlace.

http://www.criptored.upm.es/paginas/historico16.html#oct16

Actividad en el web de Criptored durante el mes de octubre de 2016.

24/10/16: Segundo Congreso Internacional en Tecnologías de la Información y Ciberseguridad EMAVITIC en Cali (Colombia).

22/10/16: Disponible el Newsletter de la revista Red Seguridad del mes de octubre de 2016 (España).

21/10/16: XIV Reunión Española de Criptología y Seguridad de la Información en Mahón (España).

14/10/16: Publicadas bases de participación Torneo Desarrollo Seguro de Software de CyberCamp 2016 (España).

13/10/16: Ampliado el plazo del quinto Cripto-reto de Criptored al domingo 23 de octubre (España).

07/10/16: Publicada la píldora formativa Thoth 39 ¿Cómo funciona el algoritmo RSA? (España).

05/10/16: Publicadas las bases de participación del Hackathon de CyberCamp 2016 (España).

05/10/16: Conferencia Blockchain Latinoamérica en Cartagena de Indias (Colombia).

04/10/16: Jornada ISACA Madrid La Ciberseguridad: Una Responsabilidad de Tod@s jueves 6 octubre (España).

04/10/16: Disponible el Newsletter de la revista Red Seguridad del mes de septiembre de 2016 (España).

04/10/16: 148.297 accesos a los cursos del MOOC Crypt4you de enero a septiembre de 2016 (España).

04/10/16: 6.429 visualizaciones de las píldoras del proyecto Thoth durante el mes de septiembre de 2016 (España).

04/10/16: 9.088 visualizaciones de las lecciones de la enciclopedia Intypedia durante el mes de septiembre de 2016 (España).

04/10/16: 36.499 accesos al servidor de Criptored y 29.641 descargas de documentos pdf, zip y mp3 durante el mes de septiembre de 2016 (España).

04/10/16: Newsletter de la actividad de Criptored en el mes de septiembre de 2016 (España).

También puede encontrar estas y otras noticias de la actividad de Criptored en la sección Debates del grupo en LinkedIn en el siguiente enlace:

https://www.linkedin.com/grp/home?gid=8387069

Dr. Jorge Ramió, Dr. Alfonso Muñoz

twitter: http://twitter.com/#!/criptored

Via:unaaldia.hispasec.com

↧

Configurar WebApps con MS SQL Server in Paranoid Mode usando Latch

November 13, 2016, 11:05 pm

≫ Next: jSQL Injection v0.77 - Java application for automatic SQL database injection.

≪ Previous: Newsletter Criptored del mes de octubre de 2016

Hace unos meses Chema Alonso y yo nos pusimos manos a la obra con una nuestras ideas locas para Configurar Wordpress in Paranoid Mode, dónde fuimos lo bastante locos para controlar con Latch las opciones que se podían hacer sobre la base de datos MySQL en una configuración de Wordress. El objetivo era sencillo y claro, y se trataba de configurar la base de datos que utiliza WordPress en distintos modos de funcionamiento detectacon cuando se hacían operaciones de inserción, de eliminación o modificación y en función del estado del modo configurado en Latch que protege cada tabla dejara que se haga la acción o bloquearla.

Figura 1: Configurar WebApps con MS SQL Server in Paranoid Mode usando Latch

Con esta forma de funcionar es posible evitar ataques de diversos tipos, que van desde inyecciones no deseadas en esquemas de Network Packet Manipulation, pasando por acciones hechas con cuentas robadas, hasta principalmente, los ataques de SQL Injection que se pudieran producir por un 0day en cualquiera de los plugins de WordPress. Para eso creamos un pequeña PoC llamada WPM (WordPress in Paranoid Mode), el cual podéis descargar desde el laboratorio de ElevenPaths.

Figura 2: My WordPress in Paranoid Mode
Pero si conocéis a Chema Alonso, ya sabéis que no iba a dejar las cosas a medio probar, así que liamos a varios compañeros más para probar si esta idea de poner un segundo factor de autorización a nivel de trigger lo podíamos exportar a otros entornos, así que primero con Rubén Alonso y luego con nuestro compañero Jhonattan Fiestas hicimos una variante que consistía en probar que el Paranoid Mode se podía llevar a cualquier WebApp que funcione sobre MS SQL Server.

Arrancando la PoC: Configuración inicial del Paranoid Mode

Para ver las posibilidades que teníamos de migrar el trabajo que hicimos en WordPress in Paranoid Mode y poder llevar el modo paranoico de cualquier WebApp a un servidor Microsoft SQL Server nuestro compañero Jhonattan Fiestas creó una pequeña aplicación como prueba de concepto. La aplicación no es nada especial, y es lanzada en local usando las credenciales de Microsoft Windows locales. El estado inicial, a modo de instantánea, de la base de datos a la que en un alarde de imaginación hemos denominado ‘MiBaseDeDatos’ es la que se puede ver en la imagen.

Figura 3: Configuración inicial de MiBaseDeDatos

En ella se puede ver como la base de datos está totalmente limpia, no hay tablas creadas, ni ensamblados cargados. Lo primero que vamos a tocar es el fichero ‘LatchForSQLServer.exe.config’ que tenemos creado para esta aplicación de prueba. Actualizaremos el fichero utilizando una cadena de conexión con autenticación Windows, tal y como se puede visualizar en el ejemplo.

Figura 4: Configuración de la cadena de conexión al motor de bases de datos

Ahora, desde el binario LatchForSQLServer.exe se puede iniciar la aplicación y ver el menú que se ha creado para la PoC de SQL Server in Paranoid Mode. En el menú, podemos ver diferentes acciones, como son la posibilidad de crear las tablas necesarias en la base de datos de ejemplo, la posibilidad de realizar el pareado con Latch, la creación de los triggers con toda la inteligencia y código necesario para poder consultar los estados de Latch y la posibilidad de realizar el despareado con Latch.

Figura 5: Menú de Latch for SQL Server

En primer lugar, crearemos tablas sobre la base de datos, por lo que debemos ejecutar la opción 1. Una vez realizada la operativa, se habrán creado un par de tablas: LatchSettings y LatchUse. Son en estas tablas dónde se tiene que completar la configuración de Latch. Para el ejemplo, se utiliza la configuración mostrada en imagen en la parte inferior.

Figura 6: Tablas LatchSettings y LatchUse

Como se puede ver, en LatchSettings creamos en formato tabla un registro con la información que se necesita para consultar el estado de las operaciones creadas. Es decir, es la configuración de la aplicación de Latch.

Figura 7: Configuración de LatchSettings

Primero es necesario, crear una con una cuenta gratuita de desarrollador en Latch se crea una aplicación y se configura en un registro de esta tabla toda la información para consultar el estado en cada ocasión.

Figura 8: Aplicación creada en Latch

Para ello se ha definido una aplicación en Latch que tiene tres modos de funcionamiento. Modo Insert, Modo Delete y Modo Update. Desde la aplicación de Latch se podrá definir si se permite o se bloquea ese modo.

Figura 9: Modos controlados por este Paranoid Mode

En la tabla LatchUse, lo que se va a definir es el nombre de las tablas que estarán afectadas por cada uno de los modos controlados por las operaciones de Latch. Las tablas que aparezcan en cInsert se verán afectadas por la operación del Latch de Insert, en cUpdate la lista de qué tablas se verán afectadas por el estado de la operación de Latch en Update y en la columna cDelete las tablas que se verán afectadas por la operación Delete de Latch.

Poc: Pareado de cuentas

En primer lugar, ejecutamos la operación correspondiente en el menú de LatchForSQLServer, en este caso la Opción 2, y se nos solicitará un Token Temporal de Pareado que debemos obtener desde nuestra aplicación móvil de Latch. Una vez introducido el token y validado podremos

Figura 10: Pareado de Base de Datos en SQL Server con Latch

Aplicando triggers a las tablas

Antes de aplicar los triggers se han creado tres tablas con la misma estructura, denominadas mitabla, mitabla2 y mitabla3 - en otro alarde de imaginación -. Estas tablas son creadas para simular las tablas que pudiera tener cualquier WebApp, por ejemplo, en un sistema CMS, que haga uso de Microsoft SQL Server.

Figura 11: Tablas en LatchUse para cada modo

En la tabla LatchUse debe reflejarse la configuración de los triggers que se quieren aplicar y dónde se quieren aplicar. Tenemos una columna denominada cInsert, la cual contendrá todas las tablas sobre las que se quiere aplicar un trigger para las operaciones Insert. De manera similar tenemos los casos de cUpdate y cDelete como ya se ha explicado antes. En la imagen, se puede ver que vamos a aplicar lo siguiente:

• Trigger sobre la operación Insert sobre la tabla mitabla y mitabla3.
• Trigger sobre la operación Update sobre la tabla mitabla2.
• Trigger sobre la operación Delete sobre la tabla mitabla2 y mitabla3.

La aplicación leerá los datos de la tabla y entonces descartará los registros vacíos, nulos y duplicados. Cuando se ejecute en el menú de la aplicación la Opción 3, es decir, ‘Apply triggers’ los disparadores sobre las tablas de la WebApp se crearán.

Figura 12: Creación de triggers y ensamblados necesarios para consultar el estado de Latch

En primer lugar, se instalan las dependencias y, posteriormente, los triggers en las tablas que lo requieren. Ahora solo hace falta realizar dichas acciones sobre las tablas para comprobar el funcionamiento, y ver que si tenemos el Latch cerrado, no se pueden realizar operaciones sobre las tablas que están protegidas.

Figura 13: Operación de Insert bloqueada por Latch

Esta solo es una prueba de concpeto de cómo es posible introducir un Segundo Factor de Autorización a nivel de tablas usando triggers en SQL Server que permitirían configurar un Modo Paranoico en cualquier WebApp sobre este motor de base de datos.

Figura 14: Demo de SQL Server in Paranoid Mode

En el vídeo se puede ver el funcionamiento de esta PoC, y si tienes interés en hacer algo similar, no dudes en contactar con nosotros en nuestra Comunidad de ElevenPaths, sección Latch.

Saludos!

Autores: Pablo González, Jhonattan Fiestas & Chema Alonso

Via:www.elladodelmal.com

↧

jSQL Injection v0.77 - Java application for automatic SQL database injection.

November 14, 2016, 6:23 am

≫ Next: PowerForensics: un framework en PowerShell para el forense de discos

≪ Previous: Configurar WebApps con MS SQL Server in Paranoid Mode usando Latch

jSQL Injection is a lightweight application used to find database information from a distant server.

It's is free , open source and cross-platform (Windows, Linux, Mac OS X).

jSQL Injection is also part of the official penetration testing distribution Kali Linux and is included in distributions like Pentest Box , Parrot Security OS , ArchStrike and BlackArch Linux.

Installation
Install Java , then download the latest release of jSQL and double-click on the .jar to launch the software.
You can also type java -jar jsql-injection-v0.77.jar in your terminal to start the program.

Screenshots

Roadmap

    WAF tamper, HTTP Auth Bruteforce, Translation, SOAP injection, Command line interface, Databases: Access Cassandra MongoDb and Neo4j

Change log
v0.76 Czech translation, 17 Database flavors: SQLite
v0.75 URI injection point, Mavenify, Upgrade to Java 7, Optimized UI
v0.73 Authentication: Basic Digest Negotiate NTLM and Kerberos, Database flavor selection
v0.7

    Scan multiple URLs, Github Issue reporter, 16 Database flavors: Cubrid Derby H2 HSQLDB MariaDB and Teradata, Optimized UI

alpha-v0.6

    Speed x2: No hex encoding, 10 Database flavors: MySQL Oracle SQLServer PostgreSQL DB2 Firebird Informix Ingres MaxDb and Sybase, JUnit tests, Log4j, Translation

0.5 SQL Shell, Uploader
0.4 Admin page, Hash bruteforce like MD5 and MySQL, Text encoder/decoder like Base64, Hex and MD5
0.3 File injection, Web Shell, Integrated terminal, Configuration backup, Update checker
0.2 Algorithm Time, Multi-thread control: Start Pause Resume and Stop, Log URL calls
0.0-0.1

    Method GET POST Header and Cookie, Algorithm Normal Error and Blind, Best algorithm selection, Progression bars, Simple evasion, Proxy settings, MySQL only

jSQL Injection

Via:www.kitploit.com

↧

PowerForensics: un framework en PowerShell para el forense de discos

November 14, 2016, 10:09 am

≫ Next: Vulnerabilidad crítica en VMware Workstation y Fusion

≪ Previous: jSQL Injection v0.77 - Java application for automatic SQL database injection.

PowerForensics es un framework en PowerShell desarrollado por Jared Atkinson (@jaredcatkinson) cuyo propósito es proporcionar todo lo necesario para el análisis forense del disco duro. Actualmente PowerForensics soporta sistemas de archivos NTFS y FAT y se está trabajando en el soporte para el Sistema de Archivos Extendido (Extended File System) y soporte HFS+.

Para instalarlo tenemos dos opciones:

- mediante PowerShell Gallery:
PS> Find-Module -Name *Forensic*
PS> Save-Module -Name PowerForensics -Path <path>
PS> Install-Module -Name PowerForensics

* nota: especifica '-Scope CurrentUser' si quieres que sea usable por el usuario actual y se instale en %UserProfile%\Documents\WindowsPowerShell\Modules

- mediante el repositorio GitHub, bajándolo y descomprimiéndolo en el PSModulePath (normalmente en C:\Program Files\WindowsPowerShell\Modules\); o usando el instalador de Alexander Knorr:

iex (new-object System.Net.WebClient).DownloadString("https://gist.github.com/opexxx/93fbddd30552a5f8e628ec1388e79b9f/raw/afd73bf4d9f66f03537beaf16f154acc264c5012/PowerforensicsInstall.ps1")

Una vez instalado puedes ver todos los cmdlets con:
PS> Get-Command -Module PowerForensics

Boot Sector:

Get-ForensicMasterBootRecord - gets the MasterBootRecord from the first sector of the hard drive
Get-ForensicGuidPartitionTable - gets the GuidPartitionTable from the first sector of the hard drive
Get-ForensicBootSector - gets the appropriate boot sector (MBR or GPT) from the specified drive
Get-ForensicPartitionTable - gets the partition table for the specified drive

Extended File System 4 (ext4):

Get-ForensicSuperblock - returns the ext4 SuperBlock object
Get-ForensicBlockGroupDescriptor - returns the Block Group Descriptor Table entries
Get-ForensicInode - returns the Inode Table entries

New Technology File System (NTFS):

Get-ForensicAttrDef - gets definitions of MFT Attributes (parses $AttrDef)
Get-ForensicBitmap - determines if a cluster is marked as in use (parses $Bitmap)
Get-ForensicFileRecord - gets Master File Table entries (parses $MFT)
Get-ForensicFileRecordIndex - gets a file's MFT record index number
Get-ForensicUsnJrnl - getss Usn Journal Entries (parses $UsnJrnl:$J)
Get-ForensicUsnJrnlInformation - getss UsnJrnl Metadata (parses $UsnJrnl:$Max)
Get-ForensicVolumeBootRecord - gets the VolumeBootRecord from the first sector of the volume (parses $Boot)
Get-ForensicVolumeInformation - gets the $Volume file's $VOLUME_INFORMATION attribute
Get-ForensicVolumeName - gets the $Volume file's $VOLUME_NAME attribute
Get-ForensicFileSlack - gets the specified volume's slack space
Get-ForensicMftSlack - gets the Master File Table (MFT) slack space for the specified volume
Get-ForensicUnallocatedSpace - gets the unallocated space on the specified partition/volume (parses $Bitmap)

Windows Artifacts

Get-AlternateDataStream - gets the NTFS Alternate Data Streams on the specified volume
Get-ForensicEventLog - gets the events in an event log or in all event logs
Get-ForensicExplorerTypedPath - gets the file paths that have been typed into the Windows Explorer application
Get-ForensicNetworkList - gets a list of networks that the system has previously been connected to 
Get-ForensicOfficeFileMru - gets a files that have been recently opened in Microsoft Office
Get-ForensicOfficeOutlookCatalog - gets a Outlook pst file paths
Get-ForensicOfficePlaceMru - gets a directories that have recently been opened in Microsoft Office
Get-ForensicOfficeTrustRecord - gets files that have been explicitly trusted within MicrosoftOffice
Get-ForensicPrefetch - gets Windows Prefetch artifacts by parsing the file's binary structure
Get-ForensicRunKey - gets the persistence mechanism stored in registry run keys
Get-ForensicRunMostRecentlyUsed - gets the commands that were issued by the user to the run dialog
Get-ForensicScheduledJob - gets Scheduled Jobs (at jobs) by parsing the file's binary structures
Get-ForensicShellLink - gets ShellLink (.lnk) artifacts by parsing the file's binary structure
Get-ForensicSid - gets the machine Security Identifier from the SAM hive
Get-ForensicTimezone - gets the system's timezone based on the registry setting
Get-ForensicTypedUrl - gets the Universal Resource Locators (URL) that have been typed into Internet Explorer
Get-ForensicUserAssist - gets the UserAssist entries from the specified volume
Get-ForensicWindowsSearchHistory - gets the terms that have been searched for using the Windows Search feature

Application Compatibility Cache

Get-ForensicAmcache - gets previously run commands from the Amcache.hve registry hive
Get-ForensicRecentFileCache - gets previously run commands from the RecentFileCache.bcf file
Get-ForensicShimcache - gets previously run commands from the AppCompatCache (AppCompatibility on XP) registry key

Windows Registry

Get-ForensicRegistryKey - gets the keys of the specified registry hive
Get-ForensicRegistryValue - gets the values of the specified registry key

Forensic Timeline

ConvertTo-ForensicTimeline - converts an object to a ForensicTimeline object
Get-ForensicTimeline - creates a forensic timeline

Utilities

ConvertFrom-BinaryData - implements PowerForensics' BinShred API to parse binary data into an object
Copy-ForensicFile - creates a copy of a file from its raw bytes on disk 
Get-ForensicChildItem - returns a directory's contents by parsing the MFT structures
Get-ForensicContent - gets the content of a file from its raw bytes on disk
Invoke-ForensicDD - provides a bit for bit copy of a specified device

API pública

PowerForensics se basa en una librería en C# (Assembly) que proporciona una API forense pública. Todos los cmdlets de este módulo se crean a partir de esa API pública y las tareas se pueden expandir fácilmente para crear nuevos cmdlets. Próximamente se publicará la información de la API.

Más información y proyecto en: https://github.com/Invoke-IR/PowerForensics

Via:www.hackplayers.com

↧