Firesheep: ¿Cómo protegernos?

internet, Recomendaciones, Redes Sociales, Seguridad, vulnerabilidades y noticias Ninguna Respuesta »
feb 192011

Una herramienta relativamente nueva en el campo de la seguridad es el plugin de Firefox llamado Firesheep. Ésta herramienta usa conceptos ya conocidos respecto al secuestro (Hijacking) de sesiones HTTP … pero en una presentación mucho muy práctica que facilita la ejecución de este ataque poniendolo a disposición de cualquiera que tenga un ordenador con navegador Firefox.

Antes de ésta herramienta, recuerdo que estaba una muy buena … Hamster y Ferret … y aparte … pues podrías aplicar el ataque de una manera más elemental (Referencia aquí). Lo interesante de todo es la efectividad del mismo, el cual significativamente llega a funcionar en la mayoría de los casos y con el auge que tienen las redes sociales hoy en día, un atacante podría encontrarse en una red pública con decenas o cientos de usuarios revisando su Facebook o cuenta de Twitter.

Y a todo ésto… ¿qué medidas podemos usar para defendernos? …podemos implementar las siguientes opciones en nuestro Firefox:

- HTTPS Everywhere: Un plugin de firefox que hace que nuestro navegador solicite las páginas en conexión segura en los servicios más populares (Facebook, Twitter, Google Search, Wikipedia, Paypal, etc).

HTTP Everywhere > https://www.eff.org/https-everywhere

- Blacksheep: Un plugin bastante bueno que nos permitirá combatir a Firesheep, la descripción la copié de la página oficial del proyecto

BlackSheep, also a Firefox plugin is designed to combat Firesheep. BlackSheep does this by dropping ‘fake’ session ID information on the wire and then monitors traffic to see if it has been hijacked. While Firesheep is largely passive, once it identifies session information for a targeted domain, it then makes a subsequent request to that same domain, using the hijacked session information in order to obtain the name of the hijacked user along with an image of the person, if available. It is this request that BlackSheep identifies in order to detect the presence of Firesheep on the network. When identified, the user will be receive the following warning message:

BlackSheep > http://www.zscaler.com/blacksheep.html

- Firesheperd: Una aplicación que podremos correr desde la consola para combatir a Firesheep.

Firesheperd > http://notendur.hi.is/~gas15/FireShepherd/

Como podemos ver, si bien Firesheep llevó el ataque de Hijacking a las masas, también hay herramientas que cualquiera puede utilizar para tratar de protegerse. Como siempre, no es necesario llegar a la paranoia, con ser un poco concientes sobre nuestras acciones cuando naveguemos en redes públicas es suficiente … aunque cuidado, que cualquiera puede tener un mal día y llevarse un trago amargo al tratar de ingresar a su cuenta de Facebook y llevarse la amarga sorpresa que alguién nos ha robado la cuenta :)

Enlaces de interés:

Firesheep > http://codebutler.com/firesheep

HTTPS Everywhere, el complemento de Firefox para la navegación privada > http://bitelia.com/2010/06/https-everywhere-el-complemento-de-firefox-para-la-navegacion-privada

Como protegernos del Firesheep > http://www.jonymusky.com.ar/2010/11/como-protegernos-del-firesheep.html

Publicado por rguzman a las 6:35 Etiquetado en: , , , , ,

Bruter: excelente programa de fuerza bruta

Consejos utiles, Seguridad, vulnerabilidades y noticias, Windows, Windows 7 Ninguna Respuesta »
ene 082011


Hace unos días llegó a mi correo, un mensaje que me pareció interesante, pues provenía de una lista de correos que trata sobre temas de seguridad, y la cual sigo. El correo provenía de Worawit Wangwarunyoo, anunciando la liberación de la versión 1.1 de una herramienta que está desarrollando, la cual se llama Bruter.

Para cuestiones de probar herramientas de seguridad, estoy más acostumbrado a las que están orientadas a Linux, en Windows por lo general tengo el pensamiento de que, si hay buenas herramientas, éstas deben ser de pago o deben tener limitaciones frente a las que están orientadas a sistemas Linux. Por decir, para herramientas con las que se pueda realizar ataques de fuerza bruta a dispositivos en red, me iría por THC-Hydra o por Medusa Brute Forcer … pero en Windows no estaría muy seguro de que herramienta utilizar.

Eso hasta hace unos días, pues al conocer el programa Bruter, mi paradigma cambió. Bruter es una herramienta que funciona en plataformas Win32 (lo probé en Windows 7 x64 y corrió a la perfección) y sirve para probar la seguridad de las contraseñas en servicios que permitan autenticación remota.

Plataformas soportadas:

  • Windows 2000/XP/Vista/7 (Required Microsoft VC++ 2008 SP1 Runtime)
  • WINE (Required vcrun2008 from winetricks; Not fully test)

Dependencias

Servicios soportados

FTP, HTTP, IMAP, MSSQL, MySQL, PgSQL, POP3, SIP, SMB, SMTP, SNMP, SSH2, Telnet, VNC y Formularios Web.

Página del proyecto

https://sourceforge.net/projects/worawita/

Bruter es una excelente opción para cuando trabajamos en Windows y buscamos una herramienta de esta especie, se me hace interesante que sea una herramienta con interfáz gráfica, por lo que a más de uno que le disguste trabajar en consola, encontrará en Bruter un gran aliado.

La herramienta en cuestión, se puede descargar desde la página oficial del proyecto, sin embargo subí el programa a mi cuenta en Mediafire, para tenerla disponible, si gustan la pueden descargar del siguiente enlace: http://www.mediafire.com/?za5vj0gvgqj9soo

Hice una prueba contra el login de mi Router … funcionó a la perfección, por lo que lo recomiendo ampliamente.

Publicado por rguzman a las 4:12

Aumenta la pérdida de datos empresariales en el mundo

Consejos utiles, Noticias, Seguridad, vulnerabilidades y noticias Ninguna Respuesta »
ene 052011

Alguna vez leí por ahi una frase parecida a la siguiente “Si quieres tener una computadora totalmente segura, la desconectamos, la metemos en una caja fuerte, construimos un muro de ladrillos alrededor de ella … y aun así dudaré de que sea totalmente segura”.

Concuerdo totalmente con esa frase, por más que uno quiera tomar medidas para resguardar su información, llenarse de antivirus, firewalls y actitudes paranoicas… siempre habrá alguna manera de que alguien nos pueda robar nuestros datos o burlar nuestras barreras de seguridad.

El tomar medidas ayuda a disminuir significativamente la posibilidad de robo o pérdida de datos y/o de bienes. Se puede comparar la seguridad en Internet, con cualquier caso que pudiera presentarse en el mundo físico, por ejemplo, un niño que deja su bicicleta en la calle.

Si la deja amarrada a un poste, con un candado, le dificultará a alguien que pueda simplemente llegar y llevarsela, mas no es un caso imposible.

Acabo de leer una nota en Milenio.com donde nos proporcionan unos datos muy interesantes respecto a las pérdidas de datos empresariales en el mundo. A continuación un fragmento de la noticia:

Ciudad de México.- El robo de datos desde dentro de una empresa se ha incrementado en los últimos tres años, pues pasó de 4.0 por ciento en 2007 a 20 por ciento en 2010, afirmó un análisis de KPMG.

De acuerdo con la consultoría, una quinta parte de los incidentes de pérdida de datos que se reportaron en la primera mitad de 2010 provino de ataques malintencionados al interior de la organización.

Según el Barómetro de Pérdida de Datos de KPMG (Data Loss Barometer), que considera las últimas tendencias y las estadísticas de pérdida y robo de información, desde 2007, 23 millones de personas a nivel mundial se han visto afectadas por violaciones relativas a datos por una persona malintencionada dentro de la propia compañía.

En ese sentido, Roberto Cabrera, socio director de Industrias y Mercado de KPMG en México, comentó que la recesión económica pudo haber impulsado el crecimiento de incidentes de pérdida de datos perpetrados por personas malintencionadas de la propia empresa conforme los datos se han vuelto un bien cada vez más valioso. Leer nota completa

Se me hizo una nota muy interesante y quise compartirla en el blog. Si bien, muchas empresas toman muchas medidas en el aspecto técnico de seguridad, por lo general se descuida el factor “humano”. Diariamente, nosotros navegamos en Internet confiando totalmente en que estamos protegidos solo por contar con un buen antivirus actualizado. Y si, en parte esto nos ayudará a reducir una gran probabilidad de vernos afectados por un atacante, pero hay muchos aspectos más a considerar, hay muchos ataques que van orientados hacia el perfil psicológico de la víctima e incluso, muchas malas prácticas que tendemos a realizar a veces sin darnos cuenta.

He escuchado de casos en empresas, donde los trabajadores dejan anotadas sus contraseñas en hojitas de papel bajo el teclado. Donde confían en contraseñas cortas y fáciles de adivinar. Incluso estoy seguro que más de uno, hemos dejado como contraseña nuestra fecha de cumpleaños o el nombre de alguna novia o familiar. Y peor aun, repetimos esas contraseñas cada que sacamos cuentas en algún servicio de Internet.

Creo que la mejor forma de protegernos es estando informados y conociendo como funcionan las cosas, analizando nuestras vulnerabilidades y tratando de cubrirlas. En lo personal, aunque soy apasionado de la informática y la seguridad, he caido varias veces en ataques e incluso he perdido datos importantes por lo mismo.

No siempre podemos tener la guardia alta ni vivir con paranoia, pero si podemos tomar medidas razonables. En Internet hay muchísima información sobre como protegernos.

Ahora, haciendo un poco de publicidad jeje… en Quanaxoft estamos ofreciendo varios cursos, entre ellos tenemos uno de Hackeo Ético, pueden ver más información en la siguiente dirección: http://www.quanaxoft.com/#cursos.php

Y ustedes … ¿no han sido víctimas de algun ataque en Internet? ¿han perdido información valiosa? ¿creen que la información en sus casas o negocios es realmente segura?

Publicado por rguzman a las 2:33

Redes Sociales: Formas de ataque más comunes y contramedidas (Parte 2)

Consejos utiles, Recomendaciones, Redes Sociales, Seguridad, vulnerabilidades y noticias 2 Comentarios »
ene 042011

¿Alguna vez has querido agregar a gente famoso al Facebook (o en cualquier otra red social) ?, si lo has intentado, tal vez te has topado que al hacer la búsqueda, una lista con más de una opción aparece en pantalla. Para algunos pudiera tener un fin interesante el querer hacerse pasar por una celebridad, tal vez lo haga por simple diversión… o tal vez tenga fines más siniestros.

Las celebridades no son las únicas personas suceptibles a esto, también lo son los empresarios, las empresas y nosotros… la gente común.

En esta 2da parte sobre Redes Sociales, analizaremos el 2do punto de nuestra lista de ataques: Ataque del Gemelo Malvado (Evil Twin).

2. Ataque del Gemelo Malvado

Este tipo de ataque puede sonar en teoría bastante sencillo de realizar, pero las repercusiones que puede llegar a tener son bastante atemorizantes. Analizaremos como se podría llevar a cabo el ataque através de la red social Facebook. El ataque de Evil Twin o Gemelo Malvado consiste en “clonar”la cuenta de nuestra persona víctima, con el fin de hacernos pasar por ella. Los fines por los que alguien haría algo de esta naturaleza los analizaremos al final.

Elegimos Facebook por su nivel de popularidad hoy en día, pero este ataque se puede llevar a cabo en cualquier red social, como Myspace o Twitter.

Trataré de numerar los pasos para que el lector se de una idea de como pudiera llevarse a cabo el ataque (el cual se enfoca más en la Ingeniería Social, que en aspectos técnicos).

Pasos del ataque

1. El atacante ubica a su víctima. Como ya mencioné, el atacante pudiera querer pretender ser una celebridad, un empresario, hacerse pasar por nosotros, un familiar o una amistad nuestra. Imaginemos el caso de un estudiante enojado (atacante) con su profesor de Matemáticas (víctima). El atacante se percata de que su profesor tiene una cuenta de Facebook y desea jugarle una broma, en este caso ya se ha definido a la víctima.

2.- El atacante obtiene información de la víctima. Bueno, para poder interpretar a un buen Gemelo Malvado, el atacante requiere obtener información detallada de la persona a quien quiere imitar. ¿Qué información necesita? La pregunta se podría responder con otra pregunta … ¿Cuánta información es necesaria para engañar a los demás?. Al visitar los perfiles de Facebook, uno puede darse cuenta que la mayoría no se toma la molestia de manejar su perfil como privado y al contrario, deja el perfil como público. Información como nuestro nombre, fecha de nacimiento, lugar de nacimiento, escuelas donde estudió(a), amistades e incluso fotografías. Recordemos el ejemplo del estudiante enojado con su profesor … de manera anticipada el sabe donde trabaja y tal vez alguno que otro dato específico, este estudiante solo necesitó entrar al Facebook de su profesor para conocerlo más a fondo y ya tiene una lista con datos que le resultarán útiles para los siguientes paso.

3.- El atacante requiere tener una cuenta de email similar a la de su víctima. El atacante necesita evitar que puedan relacionarlo con la cuenta “clonada”, por lo que requerirá crear una cuenta de email (las redes sociales nos piden un email para registrar cuentas) nueva … y para hacer más realista el ataque, el estudiante primero conseguirá la dirección de email de su profesor y se basará en la misma para crear la nueva cuenta. Una vez que tenga la información, simplemente requerirá ir a Hotmail o a Gmail (aunque hasta sin esa información pudo haber sacado una nueva cuenta de email, pero tratemos de hacer el ataque un poco más elegante).

4.- El atacante creará la cuenta en Facebook con los datos recabados. En Facebook, no importa que se repitan los nombres de los usuarios registrados, por lo que el estudiante con la información que de antemano ha recabado sobre su profesor, podrá crear sin ningún problema una cuenta más que parecida a la original.

5.- Paso final: El atacante requerirá agregar contactos a la cuenta gemela. En Facebook, podemos saber quienes son los amigos de nuestros amigos, por lo que al estudiante enojado le bastará con mandar solicitudes desde la cuenta clonada a los contactos de su profesor. Si los contactos aceptan la solicitud, el estudiante obtendrá información más amplia sobre el circulo de amigos (o familiar) de su víctima, incluso, si juega bien las cartas, podrá obtener domicilios y números telefónicos. ¿Empiezas a comprender el potencial tan grave que tiene este ataque?

Objetivos del ataque

Los objetivos que puede tener un atacante al hacerse pasar por nuestro gemelo malvado podrían recaer en los siguientes:

- Difamación: En el caso analizado, tenemos a un estudiante enojado con una cuenta gemela de un profesor de quien tiene muchas ganas de vengarse. Probablemente a los contactos que robó de su profesor, los molestaría, les daría información falsa, engañaría y hasta acosaría. Se está difamando la imágen del profesor, quien en este caso, es inocente de ese comportamiento.

- Ganancias monetarias: Uno podría obtener dinero engañando a los amigos de nuestra víctima. En el ejemplo, el estudiante tal vez pudiera pedir dinero a algún amigo de su profesor.

- Extorsión: Con una cuenta de gemelo malvado, uno podría obtener información sensible de una empresa o empresario, con la cual pudiera extorsionar a una o varias personas. Viendolo más orientado a los que somos personas comunes, tal vez nuestra novia pudiera obtener información de nosotros que no nos gustaría que ella supiera.

- Lo que se te pueda ocurrir a ti, también al atacante se le ocurrirá.

Contramedidas y conclusiones

Protegernos ante esto es difícil. Si un día llegara alguien a nuestra casa a pedirnos información sobre nuestra familia, lo pensaríamos mil veces y le pediríamos mil identificaciones para asegurarnos que sea una persona de confianza (y terminaríamos cerrandole la puerta sin haberle dado ningún dato). En Internet nos cuesta más trabajo darnos cuenta de los peligros, por que no existe el medio físico con el que estamos acostumbrados a tratar.

Veamos algunas posibles medidas prácticas que podemos tomar:

- Conocimiento. Sabiendo cómo funciona este y otros ataques, es menos probable que seamos víctimas de ellos.

- Confirmación. ¿Por qué no le mandas un email a la persona que supuestamente te está agregando y le preguntas si es realmente ella?

- Observación. De repente notas que uno de tus contactos actúa de manera diferente, antes de enojarte o caer en alguna estafa, piensa que puede no ser ella si no alguien más.

- Búsqueda. En el caso de Facebook, pudieras buscar el nombre de esa persona … si ves dos perfiles repetidos, es por que uno de ellos probablemente es falso :)

¿Descargarías un software de Internet solo por que alguién más dice que es confiable? ¿Cuántos de tus contactos en Facebook o Myspace realmente serán quienes dicen ser?

Enlaces:

Redes Sociales: Formas de ataque más comunes y contramedidas (Parte 1) > http://www.quanaxoft.com/blog/2011/01/04/redes-sociales-formas-de-ataque-mas-comunes-y-contramedidas-parte-1/

Publicado por rguzman a las 7:52

Redes Sociales: Formas de ataque más comunes y contramedidas (Parte 1)

Consejos utiles, Redes Sociales, Seguridad, vulnerabilidades y noticias 2 Comentarios »
ene 042011

Somos humanos … y tenemos la necesidad inherente de socializar. Gracias a los avances tecnológicos, hemos llevado nuestras formas de comunicarnos con nuestros grupos de amigos y familares a nuevos niveles. Es ahi donde entramos al mundo de la Web 2.0 y las redes sociales como Facebook, LinkedIn y Myspace, las cuales por decir son usadas hoy en día por más de 350 millones de personas. Cualquiera que utilice Internet con regularidad hoy en día, no debería ser ajeno a nombres como Myspace, Hi5, Facebook, Flickr, Twitter o Taringa.

Bien sea para pasar el rato o como plataformas de trabajo realmente útiles, es indudable la importancia de las redes sociales hoy en día, pero con tantos millones de usuarios navegando en ella, cabría esperar el que algunos usuarios malintencionados quisieran tomar ventaja de este enorme recurso.

En entradas anteriores del blog, he hablado sobre las problemáticas que veo en las redes sociales (Véase Redes Sociales: ¿Atrapados?), pero después de platicar con un amigo, veo que muchos quisieran conocer qué formas de ataque existen através de las redes sociales y las medidas que se pueden tomar para reducir daños.

Para esto, tengo preparado un especial orientado a la explicación técnica sobre el cómo funcionan los ataques sobre redes sociales desde el punto de vista del atacante. Con esto espero que la información llegue a los usuarios de Internet, que como yo, quisieran tener una experiencia tranquila y segura navegando y conviviendo en el mundo de los 0s y 1s.

Los ataques que analizaremos en este especial de Redes Sociales serán:

  1. Phishing
  2. Ataque del Gemelo Malvado
  3. Robo de Identidad y Amenazas Físicas

En esta primera parte, me limitaré a hablar sobre el primer punto: Phishing.

1. Phishing

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea[1] o incluso utilizando también llamadas telefónicas.… Más información

Caso A

José es ingeniero, adicto a la tecnología. Diariamente revisa su facebook y publica en su blog entradas nuevas sobre gadgets e informática. Cierto día al revisar su bandeja de Email, se da cuenta que ha recibido un nuevo mensaje en Facebook de uno de sus amigos:

Al abrirlo, lee el siguiente mensaje:

Ok … José (o cualquier usuario), podría ver esto como algo normal … la dirección en ese enlace después de todo parece estar en Facebook… y el contenido del mismo parece interesante… ¿un video mio?… ¿donde? o ¿cómo pasó?. José decide dar click en el enlace para ver de que trata todo esto, llega a una página como la siguiente:

En efecto, la página “parece” tener un video. José y cualquier usuario debería tener miles de reservas al respecto, pero los siguientes factores pueden llegarlo a convencer de caer en la trampa:

- El video fue recomendado por uno de sus amigos.

- La dirección a la que le di click parecía venir de Facebook.

- La página si parece contener un video y el mensaje de alerta es tan molesto, que viene siendo más fácil darle click en Aceptar.

Entonces, José más tranquilo decide dar click en Aceptar … le aparece una nueva ventana:

Decide Guardar el archivo y Ejecutarlo, con la esperanza de al instalar ese Codec poder ver el video. Pero vaya sorpresa, al regresar a la página para ver el video, se percata de que nada pasa y empieza a sospechar que lo que ha instalado es un virus. Totalmente correcto, José ha sido engañado y ha puesto en compromiso los datos de su ordenador, ¿cómo pasó esto? ¿te suena la historia familiar?, analicemos el ataque:

- Un ataque “Phishing”, lo que busca es atacar el lado psicológico de la víctima. Nos llegan emails todos los días, pero solo hacemos caso a los que tienen contenido “Interesante”. Aceptamos “por curiosidad” abrir los que dicen “Te has ganado $100000 pesos”, “Te han enviado una postal”, aceptamos abrir los que provienen de nuestras redes sociales (como Facebook) y no nos preocupamos en si la fuente es realmente segura.

- El correo decia que era de Facebook, pero eso se puede falsificar, tanto el remitente como el contenido. El correo decía que era un de amigo que conosco, ¿cómo sabemos que no le “hackearon” la cuenta? ¿qué realmente es él?. Un atacante bien podría obtener nuestro correo de una cadena, falsificar el mensaje, falsificar el contenido y tentarnos con un mensaje “jugoso”.

- La dirección que recibió “Jose” en el caso que analizamos era la siguiente:

http://www.facebook.com/l/24cc5JN1hF6vIIYaCG5JwZsiQ2A;www.quanaxoft.com/fakeVideo/fake.html

Pueden dar click al enlace, es seguro, yo lo programé… pueden analizar el código de la página si lo desean, solamente es un ejemplo, el ataque por lo general puede ser más elaborado.

Facebook (así como muchas otras páginas), manejan los enlaces que publican o comparten los usuarios, de manera especial. En este caso, Facebook utiliza una url especial para redireccionar (a modo de proxy) desde www.facebook.com al sitio que el atacante quería compartir. Siendo entonces que, aunque parezca que el enlace pertenece a Facebook, es solo una redirección :)

Caso B

Estamos en Twitter, revisando los tweets de nuestros amigos. De pronto vemos que alguien publica un tweet con un enlace que parece interesante…

Nuestra curiosidad nos hace interesarnos y damos click en el… el enlace nos lleva a una página donde se nos piden nuestras credenciales de Twitter:

Vemos que la página es exactamente igual a la de Twitter y estamos tan acostumbrados a poner nuestros datos en los formularios, que no lo pensamos dos veces e ingresamos nuestro nombre de usuario y contraseña. Pero vaya problema!!! No nos hemo percatado de que en realidad no es la página de Twitter, si no una página falsa… y que através de ella nos estan robando nuestros datos!!!. Como podemos ver en la imágen, la url en la que está navegando la víctima es http://twitter.pagina-falsa.com/sessions … a todas luces esto es un intento de estafa, pero aveces la dirección podría no ser tan obvia o incluso un día podamos estar muy despistados y ni siquiera notarlo. A resumidas cuentas, ¿para qué se nos están pidiendo nuevamente nuestros datos de cuenta? ¿no estábamos loggeados ya? … pero ¿siempre tenemos la costumbre de verificar donde estamos navegando?.

Contramedidas y Conclusiones

Cuando se trata de la gente con la que interactuamos en Internet, tendemos a ser mucho más confiados que cuando tratamos con gente en el entorno físico. Debemos tratar de ser un poco más paranoicos y realistas … no toda la gente es buena en las redes sociales, hay mucha que buscará robarnos nuestros datos, y aunque algunos piensen: “total, que solo son datos y no es como si me robaran dinero”, recomiendo que lo consideren dos veces, pues lo que se llevan no son solo 0′s y 1′s, también se llevan las direcciones de tus amigos, de tus familiares y pueden terminar estafándolos a ellos también.

Obviamente los ataques de tipo Phishing no van a ser exactamente como los describo (no todos), realmente un ataque depende la creatividad de quien lo hace, pero la manera de actuar es muy parecida a la descrita. Basta con ser precavidos para no caer.

Las siguientes recomendaciones pueden ayudar a evitar estos ataques:

- No confies totalmente en el antivirus. Hay ataques que van orientados a tu lado psicológico, como lo son los ataques de Phishing

- Analiza el mensaje. ¿Viene de una fuente que confías?, ¿has recibido mensajes parecidos en el pasado? ¿el título del mensaje suena demasiado bueno para ser verdad?, tal vez lo sea. Tomate tu tiempo para analizar la situación.

- Toma la ofensiva. En las redes sociales, siempre está la opción para denunciar usuarios por comportamiento inadecuado, no dudes en reportar a la gente que te quiere timar o estafar. Ayuda a que la comunidad esté libre de esta gente.

- Nunca tengas miedo de pedir ayuda o la opinión de alguien mas. Si no estás muy familiarizado con las redes sociales o las tecnologías de información, pidele ayuda a alguien que te pueda asesorar, bien sea un amigo, técnico o familiar, es mejor solicitar ayuda cuando nos veamos ante la situación de “abrir o no abrir el enlace”, “instalarme o no instalarme el software” o “confiar o no confiar en el correo”.

Hasta aquí termina por ahora este especial de redes sociales, en la siguiente parte veremos los ataques de tipo: Gemelo Malvado y Robo de Identidad.

Enlaces:

Redes Sociales: Formas de ataque más comunes y contramedidas (Parte 2) > http://www.quanaxoft.com/blog/2011/01/04/redes-sociales-formas-de-ataque-mas-comunes-y-contramedidas-parte-2/

Publicado por rguzman a las 6:16

SHODAN: Computer Search Engine

Recomendaciones, Seguridad, vulnerabilidades y noticias Ninguna Respuesta »
ene 012011

Bueno, es el primer día del año 2011 … empecemos el año con algo interesante.

Desde hace tiempo atrás he venido pensando en hacer un post sobre el buscador SHODAN, el cual me tiene más que sorprendido. ¿Por qué? Bueno… muchos ya sabrán sobre las bondades del buscador Google y los llamados “google dorks”, los cuales son búsquedas específicas en Google sobre vulnerabilidades o configuraciones por default dejadas por los administradores de los sitios de Internet. ¿Cómo entra el buscador SHODAN al juego?, bueno, SHODAN es un motor de búsqueda que nos permite encontrar dispositivos específicos en Internet (routers, servidores, sistemas SCADA, etc).

Como dice en la página de ayuda de SHODAN … los motores de búsqueda como Google o Bing, son geniales para encontrar sitios web, pero ¿qué pasa cuando estamos interesados en buscar equipos corriendo una determinada pieza de software (como Apache)? o si queremos saber ¿cuántos servidores anonimos de FTP hay en la red (incluso delimitar la búsqueda por país)? o tal vez … una nueva vulnerabilidad surge y uno quisiera saber ¿cuántos hosts son vulnerables a la misma?, los motores de búsqueda tradicionales no nos dejan contestar a estas preguntas.

La forma en la que trabaja SHODAN se puede resumir en lo siguiente: Trabaja acorde a los “banners” que arrojan los servidores y los indexa.

¿Qué es un banner?

Son meta-datos que los servidores envían de vuelta a un cliente al tratar de hacer conexión. Un banner puede contener información acerca del software del servidor, qué opciones soporta, puede ser un mensaje de bienvenida (como el MOTD en routers Cisco), etc.

Ok, entonces la preguna ahora es… ¿cómo lo vamos a utilizar?. Shodan, funciona de igual manera que cualquier motor de búsqueda conocido, su página es: http://www.shodanhq.com/, al entrar veremos una página como la siguiente:

Como podemos ver, en el encabezado de la página está el input de búsqueda, podemos empezar a curiosear en la página de SHODAN y a realizar nuestras propias búsquedas, por decir, en la búsqueda podrías poner la palabra “apache” y aparecería un desplegado de los banners de servidores que arrojan ese resultado. Sin embargo, podemos realizar búsquedas más avanzadas utilizando “filtros”, podremos buscar servicios que corren en puertos específicos e incluso podremos realizar búsquedas delimitando por país.

Para hacer esto último es necesario registrarse en la página, lo cual recomiendo, pues al hacerlo podremos acceder a un Dashboard en el cual le podremos sacar más jugo a SHODAN.

Analicemos sus opciones más detalladamente:

Como podemos ver, debajo del input de búsqueda de SHODAN hay una barra. Le damos click para revisar las opciones que nos presenta:

Ésa es nuestra interfaz de búsqueda, los números representan lo siguiente:

  1. Search input box: donde escribimos nuestra búsqueda y empieza la magia
  2. Country map: daremos click en uno de los países del mapa para que SHODAN solo nos muestre resultados de dispositivos en ese país
  3. Service filter: decidimos que servicios estamos buscando
  4. Options bar: daremos click en alguno para seleccionar los filtros que queramos aplicar

Al dar click en el botón de Search, se realizará la búsqueda y se nos desplegarán los resultados, analicemos los campos en la pantalla de resultados:

Estamos en la pantalla de resultados en donde:

  1. Search input: donde introducimos nuestra búsqueda
  2. Save: guardamos los resultados de la búsqueda (necesario estar registrado)
  3. Export: exportamos los resultados en XML (necesario estar registrado)
  4. Result info: muestra cuantos hosts se encontraron en la búsqueda
  5. Country breakdown: muestra los países que tienen la mayoría de resultados para la búsqueda
  6. Left side of results: contiene la IP, el sistema operativo, fecha en que fue agregado y el país en que el dispositivo se encuentra, si hay alguna información del dominio disponible la muestra
  7. Right side of results: muestra el banner con los términos de la búsqueda resaltados

Bastante genial, ¿no?. Podemos hacer búsquedas más especializadas valiendonos de los filtros, para más información de estos, podemos ver la documentación en la página de SHODAN: http://www.shodanhq.com/help/filters

Como podemos ver (probar, imaginar), SHODAN realmente nos ofrece un nuevo panorama de posibilidades en cuanto a búsqueda y si estamos interesados en la seguridad, podemos encontrar un gran aliado en este buscador. Incluso, SHODAN nos permite hacer uso de su API para poder desarrollar herramientas con el uso de su motor de búsqueda, lo cual incrementa más las posibilidades … incluso en Metasploit ya hay un módulo que hace uso de SHODAN y la herramienta FOCA también lo implementa. Yo en lo personal estoy sorprendido con este motor de búsqueda, ustedes ¿qué opinan?

Links de interés:

Find Vulnerable SCADA systems with SHODAN: http://blog.xanda.org/2010/11/10/find-vulnerable-scada-systems-with-shodan/

SHODAN queries!: http://www.pentestit.com/shodan-queries/

SHODAN y sistemas SCADA: http://blackploit.blogspot.com/2010/05/shodan-y-sistemas-scada.html

Publicado por rguzman a las 22:15 Etiquetado en: , , , , , , , ,

DarkComet-RAT: Interesante Herramienta de Administración Remota

Consejos utiles, Windows, Windows 7 14 Comentarios »
dic 282010

Bueno, el día de ayer estaba platicando con un amigo por el msn … me comentaba que una de sus amigas tenía la duda de si era posible que alguien la pudiera espiar por su webcam sin que ella se diera cuenta. Hace unos meses recuerdo haber tenido una conversación parecida con una amiga que también sentía que eso le estaba pasando. Y aunque puedan algunos verlo como un simple rato de paranoia, yo lo veo como una posibilidad que no es muy distante, ni complicada y que, gracias a que Internet es una gran fuente de información, muchos pueden encontrar el cómo hacerlo sabiendo donde buscar.

Recuerdo cuando era más joven, aquel troyano tan famoso llamado Sub7. Entre otras cosas, el Sub7 traía una opción para ver la webcam de la víctima, podías por decir, también explorar entre los archivos de la misma, etc. Eso es cosa de lammers, dirán algunos … pero casi estoy seguro, que hoy por hoy, hay miles de chavos en el mundo buscando en Google cosas tan risibles como “como hackear hotmail”.  “virus para windows” y … no se a lo mejor “como robar la contraseña del msn”. ¿Cómo defendernos si no sabemos como nos pueden atacar?

*Nota: A lo largo de este post, usaré mucho el término “Víctima” o “Máquina Víctima”, al expresarlo de esa manera, solo hago referencia a los ordenadores que estén bajo el control administrativo de nosotros. En ninguno de mis posts me gusta alentar a que se use el conocimiento con fines de dañar a terceras personas, pero es importante saber como funcionan las cosas, para poder sabernos como proteger.

Hago este post en el blog, por que quiero mostrarle a los visitantes la forma (a lo mejor un tanto lammer) en la que podemos ganar acceso a un ordenador utilizando una Remote Administration Tool … o lo que es lo mismo un software RAT. Un RAT, lo podemos utilizar para conectarnos y administrar remotamente a uno o varios ordenadores. Podremos por decir … ver la webcam, administrar sus archivos, tener control de la shell y en general del ordenador en si. Más info sobre RAT

Este software, obviamente nos viene siendo increiblemente útil, para administrar varias computadoras que estén a nuestro cargo, por ejemplo, en un cibercafé o en la misma casa. Igual un dia salimos de casa y queremos controlar lo que nuestros hijos (para los que tengan jeje) estén viendo en la computadora. Sin embargo, tambien resulta obvio el hecho de que puede usarse de manera maliciosa, lo cual recomiendo no hacer… por que… no es bueno para la salud… supongo :)

Para nuestras pruebas utilizaremos el genial DarkComet-RAT, el cual lo podemos utilizar en sistemas Windows apartir de Windos 2000 … en sus versiones de 32 y 64 bits, al parecer no hay lio. Yo lo probé en Windows 7 64 bits y funciona sin problemas. DarkComet-RAT está desarrollado en el lenguaje Delphi. En este post, les explicaré como funciona, como configurarlo y que cosas divertidas interesantes podemos hacer con el.

Subí una copia del DarkComet-RAT a mi cuenta de Mediafire, lo podemos descargar del siguiente link:

DarkComet-RAT 3.0.1 [Fix 1]

http://www.mediafire.com/?jggvczfhvj8jnt2

O … si lo prefieren, pueden buscarlo en la página oficial de DarkComet-RAT: http://www.darkcomet-rat.com/

¿Donde empezamos?

Bueno, una vez que lo descarguemos el primer paso será descomprimir el archivo :) al hacerlo, podemos darno cuenta que el zip cuenta con varios archivos, entre ellos uno llamado Client.exe , este es nuestro archivo cliente. Al utilizar este tipo de herramientas tenemos que pensar en lo siguiente … primero… la víctima, necesita tener instalado el archivo Server o Servidor para poder conectarnos a ella y segundo, para poder administrar a la “víctima” necesitamos un programa Cliente, el cual es nuestro panel o control remoto.

Ok, al ver los archivos solo se encuentra el Cliente… que pasó con el Servidor? … ese lo vamos a crear en un paso más adelante, tenemos que configurarlo primero.

La primera vez que ejecutemos el cliente de DarkComet-RAT, nos aparecerán los Términos y Condiciones, los leemos y si estamos de acuerdo procedemos a aceptarlos. La interfaz del DarkComet-RAT se ve como sigue:

Como podemos observar, tiene 3 menús. Lo primero que realizaremos será poner a la escucha nuestro RAT. Para eso daremos click en el menú llamado + Listen, por default toma el puerto 1604, recomiendo dejarlo asi y dar click en Listen para terminar. Ya tenemos a la escucha ese puerto, ahora configuraremos el servidor, para esto daremos click en el menú llamado Edit Server y seleccionaremos Server Module. Nos aparecerá una nueva ventana con un panel lateral con varias opciones, seleccionaremos la que dice Network Settings:

Si vamos a hacer pruebas solamente en nuestra máquina, dejaremos donde dice IP/DNS la dirección de loopback. Si queremos hacer pruebas con máquinas víctimas que estén en nuestra LAN, daremos click en la flecha verde que apunta hacia abajo y seleccionaremos GET LAN IP. Si queremos hacer pruebas con máquinas víctimas que estén fuera de nuestra LAN, es decir, en Internet, seleccionaremos GET WAN IP.

Para ver que nuestro RAT está configurado correctamente y que no tendremos problemas para trabajar con nuestras máquinas víctimas, daremos click en el botón que dice Test network. Nos aparecerá un mensaje como el siguiente:

Starting a network test with:
--> 187.139.183.221:1604
Starting server socket daemon...
WSAStartup...
Server Socket created...
Structure assigned...
Binding...
This port is already listenning , lets use it then ;-)
Socket binded successfully, starting listenning...
This port is already listenning , lets use it then ;-)
Starting Client Socket daemons...
Testing localhost(127.0.0.1) adress...
Getting LAN Ip adress...
LAN Ip found as 192.168.1.102
Testing LAN Ip address(192.168.1.102)...
Now testing the ip your choose in edit box...
Testing 187.139.183.221 Ip address...
Test finished , generating report!
---------------------------
Localhost was successfully connected to port: 1604
LAN (192.168.1.102) was successfully connected to port: 1604
187.139.x.x was successfully connected to port: 1604

Como podemos observar, al final nos aparece en verde que las pruebas de conexión fueron exitosas. Cuando probé por primera vez el programa, quise probar primero con la dirección WAN, y al hacer el test, no resultó exitoso y el texto salió en rojo. ¿Por qué falló? Bueno, yo cuento con un módem de Infinitum … así que tuve que abrir el puerto 1604 en mi router. No explicaré a fondo como abrir los puertos en routers caseros, pero si puedo decir de manera general, que la configuración para los routers caseros de Infinitum se puede realizar através del navegador web en la dirección: http://192.168.1.254 , para más detalles si desconoces el proceso, puedes dar una búsqueda en Google.

Ojo! si no funciona, es probable que tengas que desactivar el Firewall de Windows :)

Por default, podemos dejar las demás opciones sin configurar, pero no está de más que les des una checada para que sepas que más puede hacer el servidor. Para construirlo, iremos a la opción Build Module, ahi podemos cambiar la extensión del archivo final (si queremos que sea .exe, .com, .pif, .scr, etc). Una vez que ya tengamos todo configurado, simplemente bastará con que demos click en el botón Build Server. Al hacerlo, nos dirá donde lo queremos guardar … seleccionamos la ubicación y listo, ya tendremos listo nuestro Servidor para mandarselo a nuestra víctima.

¿Y ahora qué?

Bueno… pues ese archivo que acabamos de construir… el Server… lo tiene que ejecutar nuestra víctima. O en otras palabras, debemos ejecutarlo en las máquinas que queramos administrar. Ahí radica la cuestión de Ing. Social … ¿como hacemos para que la víctima no sospeche que es un archivo potencialmente peligroso? Cuestión de imaginación por parte del atacante.

Pero quiero pensar que estamos haciendo pruebas locales, asi que … por que no, vamos a ejecutarlo nosotros mismos (si haces esto, te recomiendo TOTALMENTE que no muevas la configuración del server, para que te evites de que el RAT tenga un comportamiento difil de eliminar) . Para hacerlo solo basta con darle doble click al server. Una vez que lo hagamos nos aparecerá una ventana de notificación de que una víctima se ha conectado y nuestra ventana del cliente tendrá listado a la nueva víctima:

Y aquí es donde empieza lo divertido, damos click derecho sobre la víctima y nos aparecerá un menú, seleccionaremos Open Control Center:

Y al hacerlo se nos abrirá una nueva ventana, en la cual nos aparecen todas las opciones de “Administración” que podemos hacer con nuestras máquinas víctimas.

Y como podemos ver, realmente fue un procedimiento bastante sencillo con el cual podemos tener a nuestra disposición de manera remota una gran cantidad de opciones de administración, incluso el poder espiar a alguien através de su webcam. Claro, podemos saber que nos espían, por que el led de la cámara siempre se prende cuando está en uso :)

Publicado por rguzman a las 8:07

Redes Sociales: ¿Atrapados?

Noticias, ocio, Redes Sociales Ninguna Respuesta »
dic 212010

Bueno, hoy es un día de vacaciones como los demás … parece que no hay mucho que hacer. Es de mañana y prendo la computadora, lo primero que hago es checar mi correo y veo que mi hermano ha publicado algo en mi muro del Facebook. Entro a la página de FB y publico un par de cosas en los muros de mis amigos, de mi hermano, de mi novia.

¿Se te hace familiar esta rutina? … hoy en día es muy raro que un adolescente o persona adulta no cuente con su cuenta de Facebook o Twitter. Probablemente en nuestra lista de MSN hemos visto que en el nickname o en el P.M. alguien publica la dirección de su red social en la cual está asociado, con el fin de querer compartir sus fotos o querer recibir visitas de la gente que conoce.

Tengo 23 años, realmente soy muy jóven y sin embargo, me han tocado ver cambios muy drásticos en la sociedad, siendo que cada vez hay mayor facilidad para asimilar las nuevas tecnologías de información. Recuerdo los tiempos de las páginas totalmente estáticas, antes del Web 2.0 … cuando con 56kbps te sentías más que cómodo para tus necesidades. Mandar correos, tal vez chatear … bajar una canción te podía tomar más de 10 o 20 minutos y ni soñar de dejar bajando un video, te podía tomar dejar la computadora prendida toda la noche.

Estamos teniendo muchos avances tecnológicos … ¿alguna vez nos hemos detenido a pensar en los precios?. En la época en que recién salió el televisor, muchos padres de familia se quejaban de la “caja tonta” y veían como las nuevas generaciones pasaban más tiempo frente a la caja que conviviendo con sus amigos o jugando en los parques.

Hoy nos es común, ver los cibercafés llenos de jóvenes que solamente están actualizando su Facebook, enchulando su Hi5, subiendo fotos a su Metroflog y diciendole a sus contactos … “me firmas?” … yo no soy ajeno y tiendo a pasar mucho rato simplemente bobeando en las redes sociales, pero también recuerdo que aparte del ordenador hay más cosas en la vida, me gusta salir, hacer deporte, convivir con las personas que quiero.

Hay enormes peligros en vivir la vida através de una red social … y no solo hablo de obesidad por sedentarismo … si no que muchas veces, tenemos una facilidad enorme para creer en lo que vemos en Internet. Publicamos fotos de nosotros, familiares, mejores amigos, mascotas, lugares donde nos gusta estar, de nuestros bienes materiales … hablamos de nuestros gustos, fechas importantes, le decimos al mundo quienes somos, donde estamos y cómo nos vemos …. ¿por qué?

Toda esa información puede ser muy divertida e interesante para nuestra gente de confianza …. pero no todos son buenos, ¿qué pasa cuando esa información llega a la gente equivocada?. En mi opinión, Facebook y otras redes sociales son el PARAíSO para cualquiera que quiera cometer un fraude, robo o travesura. Incluso “la gente buena”, puede sacar una cuenta falsa de Facebook solo para poder monitorear a su novio(a ) y/o saber que tan fiel le es.

¿Por qué somos más precavidos ante los timadores que nos marcan por teléfono que ante los que nos quieren timar a través de Internet? … ¿no le abrimos a cualquiera las puertas de nuestra casa o si? ¿por qué le damos libre acceso a las puertas de nuestra información privada?

Hice este post… por que muchas veces lo he platicado con mis amigos, se nos hace graciosa la manera en que utilizamos las redes sociales. También se nos hace muy atractivo las maneras en las que podemos utilizarlas como herramientas de marketing para impulsar nuestros negocios e incluso, para hacer nuevas amistades, aumentar nuestras fuentes de conocimiento o simplemente para pasar un buen rato. Pero hace unos días, leí algo que me hizo recapacitar nuevamente sobre las redes sociales:

Londres.- Un hombre británico de 33 años fue condenado a cadena perpetua el lunes tras admitir el secuestro, violación y asesinato de una adolescente que conoció en la red social Facebook.

El violador, Peter Chapman, había hecho creer a su víctima, Ashleigh Hall, de 17 años, que era un estudiante… Leer nota completa

Es creo que lógico … Internet y las Redes Sociales, solamente nos abren una nueva forma de ampliar nuestra forma de convivir… de expresarnos… y lo increible que está abierta a todos… estudiantes, profesores, políticos, deportistas, asesinos, ladrones, estafadores, religiosos, niños, adultos… lo que ves en tu entorno fuera de la computadora, lo tienes también dentro de ella, solo le pusimos una envoltura electrónica.

Si, las redes sociales son geniales … pero también tienen su lado oscuro. Nuestra labor es hacer conciencia de los beneficios y los riesgos. Pasar tiempo con los más jóvenes y platicar con ellos sobre los posibles peligros, sobre el como no deben confiar tan fácil y ser algo reservados sobre la información que comparten y con quien la comparten. A final de cuentas, los jóvenes son (somos) el futuro, dediquemosle tiempo a nuestros hijos, a nuestros hermanos, a nuestros seres queridos … para platicar, advertir y por que no… incitar una sana convivencia en Internet.

Internet es la red que atraviesa el mundo, que nos conecta, pero también nos puede llegar a atrapar. Son medios, no fines y tenemos que saber distinguir eso. Estafadores, asesinos, violadores, ladrones… siempre habrá …. ¿tu cómo proteges a tu famlia de estos peligros? ¿realmente les has dado la importancia que merecen?

Publicado por rguzman a las 23:30

Desarrollando libro sobre programación en C y GTK+

Libro de C y GTK+, Programacion en C 17 Comentarios »
dic 182010

Hola que tal, el motivo por el que escribo este post es para de alguna manera pedir un poco de ayuda a la comunidad que visita este blog. La situación es la siguiente, estoy haciendo una especie de manual práctico sobre como programar interfaces gráficas para Linux en C y GTK+.

La cuestión es que no estoy muy seguro que tan útil sea para la comunidad el desarrollar algo de este tipo, aparte que quisiera, en caso de seguir adelante con el proyecto, hacer una referencia importante para cualquiera interesado en desarrollar para Linux. Para esto necesito ayuda de la comunidad en cuanto a que sería bueno si pudieran revisar el libro, darme su punto de vista para mejorarlo, a lo mejor corregir errores o para ayudarme con material para el mismo.

Les dejo lo que llevo, apenas lo voy empezando:

http://www.mediafire.com/?y2yt8yykzl9rvh6

Ojala puedan dejar su opinión, saludos!

——————————————————–
ACTUALIZACIÓN:

Que tal compañeros, disculpen un poco la demora. Les dejo el enlace al nuevo archivo del libro, incluyo dos archivos de código de ejemplo.
www.quanaxoft.com/libroGTK.zip

Lo que va del libro es lo siguiente:

CAPITULO 1
Sobre GTK+ y X Window System
Instalación de componentes
Editores de código

CAPITULO 2
Nuestra primera aplicación
Conceptos básicos sobre GTK+

Corregí algunas cosas al principio del libro en la parte de la instalación, además agregué un breve informe sobre editores gráficos. Me gustaría que alguien, de ser posible, pudiera compartir su experiencia en el proceso de instalación de GTK+ en otros entornos que no fueran DEBIAN, para poderle dar un poco más de variedad al libro.

Agregué el código fuente de un programa un poco más avanzado, incluye menús, botones y ventanas de diálogo, además que en el separo en funciones el código.

Espero puedan dejar más retroalimentación, es muy importante esto, gracias!

Publicado por rguzman a las 3:07

Instalar tarjeta RTL8187B en Debian Lenny

Administración (en general) Ninguna Respuesta »
oct 252010

Funciona para:

Realtek RTL8180, RTL8185, RTL8187, RTL8187B, RTL8187SE devices

Bueno, pues acabo de instalarme una versión fresca de Debian Lenny en mi computadora de escritorio. El problema que estoy trabajando en un segundo piso y el modem de internet está en el primero, por lo que conectarme por ethernet no es una opción. Sin embargo cuento con una tarjeta cuyo chipset es RTL8187B y para hecharla andar solo tuve que conectarla y seguir los siguientes comandos, no tenía Internet en esta máquina asi que deje el cd de instalación de Debian para los paquetes que fuera ocupando:

$ su
# aptitude update && aptitude install wireless-tools

# modprobe rtl8187

# iwconfig

Bueno, ya instalada interfaz solo basta configurarla desde el administrador, podemos hacerlo llamando al administrador gráfico
ejecutando en terminal:
# network-admin

Ahi ya pude configurar mi tarjeta para que se conectara al router.

Fuente:

http://wiki.debian.org/rtl818x

Publicado por rguzman a las 3:25 Etiquetado en: , ,
Entradas Antiguas
© 2011 Quanaxblog Suffusion theme by Sayontan Sinha