viernes, 28 de febrero de 2020

Elimine su cuenta de PayPal de Google Pay. Estas cuentas son fácilmente hackeables

Múltiples usuarios han reportado en redes sociales actividad inusual relacionada con sus cuentas de PayPal. Acorde a especialistas en ciberseguridad, los reportes se relacionan con transacciones no autorizadas emitidas desde o hacia las cuentas de los usuarios y registradas en el historial como si se originaran de sus perfiles de Google Pay.

Al parecer existe un grupo de actores de amenazas detrás de este incidente. Estos hackers habrían explotado la integración de PayPal y Google Pay, función empleada para vincular ambas cuentas y crear una tarjeta virtual. Los usuarios pueden realizar pagos empleando esta tarjeta, aunque PayPal no pide autorizaciones adicionales para concretar estas transacciones.   

Acorde a especialistas en ciberseguridad, hay al menos tres formas en la que los atacantes podrían haber accedido a la información de estas tarjetas virtuales:

  • Accediendo a los detalles de las tarjetas desde los dispositivos de los usuarios
  • Empleando una variante de malware para robar información de los dispositivos
  • Empleando ataques de fuerza bruta

En un comunicado, PayPal afirmó estar al tanto de la situación, aunque se menciona que por ahora la compañía no puede revelar mayores detalles, puesto que las autoridades ya han comenzado a investigar el incidente.

Los investigadores también mencionaron que la mayoría de los reportes relacionados con este incidente se originan en Alemania. Uno de los usuarios comprometidos en el país europeo incluso menciona que este incidente podría estar relacionado con una vulnerabilidad en PayPal que permitiría acceder a esta información confidencial para realizar transacciones no autorizadas. “PayPal permite pagos <<sin contacto>> a través de Google Pay. Si esta función está configurada, es posible acceder a los detalles de la tarjeta virtual desde un smartphone, sin autenticación. Es por ello que prácticamente cualquier persona cerca de un smartphone con esta función habilitada podría acceder a los detalles de la tarjeta virtual, extrayendo el crédito de la cuenta de PayPal de la víctima”, afirma el usuario.

Expertos en ciberseguridad creen que esto es realmente posible, aunque es necesario decir que no existen confirmaciones oficiales. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), PayPal ha comenzado a verificar todas las transacciones posiblemente realizadas debido a este incidente, por lo que los usuarios esperan poder recuperar sus activos.

El cargo Elimine su cuenta de PayPal de Google Pay. Estas cuentas son fácilmente hackeables apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Barbara Corcoran, estrella de Shark Tank, es hackeada; le roban 380 mil dólares con email de phishing

Hoy en día cualquiera puede ser víctima de un incidente de seguridad informática, sin importar ocupación, estatus social o nivel de ingresos. Acorde a un reporte, Barbara Corcoran, estrella del show de TV Shark Tank, fue víctima de una estafa de phishing por la que perdió casi 400 mil dólares, que terminaron en manos de los hackers.

Al parecer, los atacantes emplearon un correo electrónico con un error tipográfico imperceptible a simple vista, pero suficiente para engañar al staff de la reconocida empresaria.

Todo comenzó hace algunos días, cuando la contadora de Corcoran, identificada como Christine, recibió un email aparentemente enviado por Emily, asistente personal de la empresaria. El el mensaje, la contadora recibió indicaciones para realizar una transferencia electrónica por 388 mil 700 dólares a una firma llamada FFH Concept GmbH. Aunque no parecía haber nada anormal en el mensaje, las personas involucradas estaban a punto de comprometer seguridad informática, pues en realidad el email no fue enviado por la asistente de Corcoran.

“Lección aprendida”; el mensaje de Corcoran después de confirmar el incidente

De alguna forma que no ha sido determinada, los actores de amenazas consiguieron la dirección email de Emily. Posteriormente, los atacantes crearon una nueva dirección email muy parecida a la de Emily, cambiando solamente una letra. A pesar de que la contadora de Corcoran hizo algunas preguntas relacionadas con la transferencia bancaria, los hackers parecían estar al tanto de los negocios de la víctima, pues lograron engañar a los involucrados.

Según se ha reportado, es verdad que Barbara Corcoran invierte en bienes raíces, y sí existe una compañía alemana llamada FFH dedicada a dicha industria, por lo que la estafa parecía creíble.

Acorde a una firma de seguridad informática, Christine autorizó la transacción y posteriormente contactó a Emily, sólo que esta vez sí escribió a la cuenta real de la asistente, por lo que se dieron cuenta del fraude, detectando además la dirección email fraudulenta. El incidente fue reportado a las autoridades y, si bien el dinero ha desaparecido, las autoridades y el banco esperan poder rastrear la transacción empleando la IP del mensaje de phishing.

El Instituto Internacional de Seguridad Cibernética (IICS) señala que el phishing sigue siendo una de las variantes de ataque más practicadas, debido a la facilidad para desplegar una campaña fraudulenta, la baja cantidad de recursos requeridos y el grado de efectividad de un ataque.

El cargo Barbara Corcoran, estrella de Shark Tank, es hackeada; le roban 380 mil dólares con email de phishing apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Hackear un iPhone o cualquier smartphone Android a 10 metros de distancia usando ondas ultrasónicas

Los métodos para comprometer la seguridad de los dispositivos móviles siguen avanzando. En esta ocasión, especialistas en análisis de vulnerabilidades de la Universidad de Washington revelaron una nueva variante de ataque contra smartphones basada en el uso de ondas ultrasónicas. Si bien este no es un método nuevo, el reporte detalla una variante mucho más efectiva.

Este equipo de investigadores descubrió que las ondas ultrasónicas pueden propagarse a través de múltiples superficies sólidas para iniciar los sistemas de reconocimiento de voz de un dispositivo. Además, empleando diversos componentes de hardware (al alcance de cualquier usuario) es posible escuchar la respuesta del smartphone objetivo.

Durante su investigación, los expertos lograron enviar comandos de voz y obtener respuesta de diversos modelos de smartphones iOS y Android desde una ubicación cercana a la de los propietarios de los dispositivos. En otras palabras, los especialistas en análisis de vulnerabilidades lograron controlar estos equipos a la distancia. Si bien las ondas ultrasónicas son inaudibles para el oído humano, el micrófono de cualquier smartphone es capaz de registrarlas. Acorde a Ning Zhang, miembro del equipo de investigadores, “cualquiera que sepa manipular estas señales es capaz de engañar a un smartphone para hacer pasar las ondas como un comando de voz”.

La mayoría de los modelos analizados son vulnerables

El objetivo de las pruebas realizadas por los expertos era manipular un smartphone colocado sobre una mesa, para lo cual se requirieron otros elementos. Para concretar el experimento los investigadores colocaron un micrófono y un transductor piezoeléctrico (empleado para convertir la electricidad en ondas ultrasónicas). Además, del otro lado de esta mesa, se colocó un dispositivo capaz de generar ondas de diferentes formas. Una vez listos todos los componentes necesarios, los expertos desplegaron dos variantes de ataque diferentes, explicadas a continuación.

EXTRACCIÓN DE PIN ENVIADO VÍA SMS

Los especialistas en análisis de vulnerabilidades demostraron ser capaces de recuperar un código de acceso enviado al smartphone objetivo vía SMS. La explotación de esta falla se basó en la capacidad de cualquier asistente de voz para acceder al contenido de un mensaje de texto, además del uso de autenticación de dos factores (2FA).

Los investigadores (en el papel de atacantes) pidieron al smartphone objetivo fijar el volumen en nivel 3, pues a este nivel es prácticamente inaudible para los usuarios, considerando el sonido ambiente. Posteriormente, los atacantes enviaron un mensaje de prueba que emulaba a los mensajes legítimos enviados por los bancos para verificar la identidad de un usuario.

El ataque se basa en activar el asistente de voz

Cuando el mensaje llegó al dispositivo, los atacantes activaron el comando “Leer mis mensajes” para acceder al contenido del SMS, interceptando la respuesta del smartphone con el micrófono y enviándola a los atacantes.    

REALIZAR UNA LLAMADA FRAUDULENTA

En el segundo ataque probado, los investigadores lograron realizar una llamada enviando al dispositivo objetivo el comando “llama a Sam con el altavoz”, lo que en efecto desencadenó una llamada telefónica. Empleando el micrófono, los investigadores en análisis de vulnerabilidades lograron mantener una conversación con “Sam”, nombre elegido al azar.

Las pruebas fueron conducidas en 17 modelos diferentes de smartphone, incluyendo algunos de los más populares, como el iPhone y Samsung Galaxy. Del grupo de prueba, sólo dos equipos demostraron no ser vulnerables a esta variante de ataque.

ONDAS ULTRASÓNICAS Y LAS SUPERFICIES DE DESPLAZAMIENTO

Los investigadores no sólo analizaron diversos modelos de smartphone, sino que también se dedicaron a probar la capacidad de las ondas ultrasónicas para desplazarse a través de diferentes superficies, demostrando que el ataque es igualmente funcional en madera, metales y vidrio. Además, concluyeron que el ataque es posible incluso a distancias de hasta 10 metros. Otras variables, como el uso de una carcasa para smartphone o la colocación de objetos alrededor del smartphone objetivo, también alteran ligeramente la viabilidad del ataque.

Si bien la explotación de estas debilidades en escenarios reales es compleja e incluso poco probable, no está de más que los fabricantes tomen en cuenta esta posibilidad e implementen algunas medidas de protección adicionales. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), la implementación de un software que distinga entre señales ultrasónicas y la voz del usuario podría mitigar completamente el riesgo de explotación de estas fallas, aunque tal medida de protección podría estar disponible sólo a partir de la próxima generación de smartphones.

El cargo Hackear un iPhone o cualquier smartphone Android a 10 metros de distancia usando ondas ultrasónicas apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

jueves, 27 de febrero de 2020

Empleado de Microsoft condenado a 20 años de prisión por robar 10MDD a la compañía

Las amenazas de seguridad internas se han convertido en un serio problema para las firmas tecnológicas. Especialistas en hacking ético reportan que un antiguo ingeniero de software de Microsoft ha sido condenado por al menos 18 delitos después de robar 10 millones de dólares en criptomoneda de la compañía.

Volodymyr Kvashuk, de 25 años, es un ciudadano ucraniano que reside en E.U. y trabajó para Microsoft entre 2016 y 2018, cuando fue despedido debido a este fraude. Kvashuk ha sido condenado por cinco cargos de fraude electrónico, seis delitos de lavado de dinero, dos cargos de robo de identidad agravado, dos declaraciones de impuestos falsas y un fraude postal. Además, se incluyó un cargo por acceso indebido a dispositivos electrónicos y acceso a equipos de cómputo protegidos.

Al parecer, el acusado estaba involucrado en las pruebas de la plataforma de ventas minoristas de Microsoft. Aprovechándose de su posición, empleó de forma indebida este acceso para extraer los activos virtuales de la compañía mediante un complejo esquema que involucraba el uso de tarjetas de regalo digitales, mencionan los especialistas en hacking ético.

Posteriormente Kvashuk revendió estas tarjetas en Internet empleando transacciones de criptomoneda. Al inicio el acusado realizó operaciones por cifras pequeñas, aunque eventualmente subió la apuesta, llegando a robar millones de dólares. Acorde a los reportes de la corte, el acusado compró una casa vacacional valuada en más de un millón de dólares, además de un auto Tesla de 160 mil dólares.

Debido a que las cantidades robadas crecían cada vez más, Kvashuk comenzó a usar las cuentas de email de prueba asociadas a otros empleados, tratando de cubrir sus rastros. Además, el acusado empleó un servicio de “mezcla” de criptomoneda para dificultar la detección de sus transacciones.

El acusado se mantuvo activo por más de siete meses, presentando declaraciones de impuestos falsificadas para acreditar sus inusuales ingresos ante las autoridades fiscales de E.U.   

Finalmente, los especialistas en hacking ético mencionaron que el esquema fraudulento de Kvashuk fue descubierto y desmantelado por la Unidad de Delitos Cibernéticos del IRS-CI. Gracias a la labor de investigación de esta Unidad, Kvashuk fue arrestado y enjuiciado; después de deliberar por más de cinco horas, el jurado lo halló culpable, menciona el Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Empleado de Microsoft condenado a 20 años de prisión por robar 10MDD a la compañía apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Samsung lanza nuevo chip de teléfono para almacenar criptomonedas de forma segura

Cada vez son más las firmas e instituciones que invierten esfuerzos en el desarrollo de soluciones para los usuarios y entusiastas de las criptomonedas. Una de las más recientes actualizaciones en este campo fue revelada por Samsung, que planea lanzar un chip de última generación para mejorar de forma considerable la seguridad informática de sus smartphones, lo que favorecerá el almacenamiento de claves privadas de Bitcoin y Ethereum.

Acorde a la firma, este chip contará con una versión optimizada del software de Samsung y mantendrá los datos almacenados en un punto aislado de otras partes del dispositivo. Dongho Shin, ejecutivo de la compañía, asegura que este cambio era necesario, pues la rápida evolución en el mercado de los dispositivos inteligentes requiere medidas de seguridad adecuadas.

Shin añadió que esta tecnología será completamente resistente a la manipulación con fines maliciosos, además, al estar completamente aislada de la memoria convencional, será menos susceptible a la explotación de alguna falla de seguridad.

El anuncio se presenta en un momento en el que ha repuntado los reportes de seguridad informática referentes al hackeo de smartphones. Hace un par de meses, el teléfono de un alto directivo de Algo Capital fue hackeado, derivando en el robo de criptomonedas con valor de casi 2 millones de dólares. En otro incidente similar, un usuario perdió alrededor de 30 millones de dólares en Bitcoin Cash después de ser víctima del hackeo de su tarjeta SIM.

Samsung menciona que, a pesar de que este chip no evitará esta clase de incidentes, se mejorarán notablemente las características de seguridad en los dispositivos modernos, lo que impulsará el uso generalizado de los activos virtuales. Los especialistas en seguridad informática aseguran que esta característica permitirá a los usuarios almacenar su información confidencial de forma segura, incluyendo códigos PIN y claves privadas de criptomoneda. Además, esta solución contará con medidas de protección contra ataques de ingeniería inversa, de láser, entre otras variantes. Este chip estará incluido en la próxima generación de smartphones de Samsung.

Si bien los activos virtuales se emplean más que nunca, el Instituto Internacional de Seguridad Cibernética (IICS) considera que es necesario que grandes firmas y entidades reguladoras confíen en su uso para concretar su uso generalizado, y el plan de Samsung parece ser la oportunidad perfecta.  

El cargo Samsung lanza nuevo chip de teléfono para almacenar criptomonedas de forma segura apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Compañía de reconocimiento facial es hackeada; más de 3 mil millones de fotos faciales expuestas

Todo evoluciona en el mundo de la ciberseguridad, incluso los ataques. Acorde a recientes reportes, Clearview AI, firma de reconocimiento facial que ha recolectado miles de millones de fotos de personas de todo el mundo, ha sufrido un incidente de seguridad que derivó en la filtración de datos masiva.   

Entre la información comprometida se encuentran listas completas de los clientes de la firma tecnológica, entre los cuales se encuentran agencias policiales de diversas partes del mundo, su historial de búsquedas y la cantidad de cuentas operadas por cada cliente.

Un representante de la compañía afirma que la gigantesca base de datos donde la firma almacena todas las fotos que ha recolectado no se ha visto comprometida durante el incidente: “Si bien la seguridad de esta información es vital para nosotros, estos incidentes de ciberseguridad se han vuelto parte de la vida cotidiana en pleno siglo XXI”, afirma Tor Ekeland, representante de Clearview AI.   

Aunque hace un par de meses la firma carecía de notoriedad, un reportaje publicado en New York Times dio a conocer al mundo la forma en la que Clearview AI recolecta información de las más utilizadas plataformas en línea (Facebook, Twitter, entre otras) para nutrir su descomunal base de datos.

Acorde a especialistas en ciberseguridad, algunos de los clientes más reconocidos de Clearview incluyen al FBI y algunas agencias de investigación locales en E.U. Esto no significa que la compañía no sea objeto de críticas; incluso existe una demanda en su contra, presentada en Illinois. Los demandantes afirman que los métodos de Clearview amenazan seriamente las libertades de los ciudadanos norteamericanos. Por otra parte, Twitter ha enviado una notificación para que la firma cese y desista de continuar con tales prácticas.

Cabe recordar que las personas pueden solicitar a la compañía que elimine sus fotos de la base de datos, aunque deben pasar por un proceso de verificación de identidad, enviando una foto y un documento de identificación a Clearview.

A pesar de que la justificación de Clearview es que su actividad ayuda al combate al crimen, el Instituto Internacional de Seguridad Cibernética (IICS) afirma que el porcentaje de efectividad de esta compañía es de menos del 75%, además, debido a que la base de datos de la firma crece continuamente, el porcentaje de precisión seguirá reduciéndose.

El cargo Compañía de reconocimiento facial es hackeada; más de 3 mil millones de fotos faciales expuestas apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Encuentran vulnerabilidades críticas en Wireshark

Un reporte elaborado por especialistas en análisis de vulnerabilidades revela la existencia de al menos cuatro fallas de seguridad en el analizador de protocolos Wireshark. Según el informe, la explotación de estas fallas podría conducir a diversos escenarios, como la filtración de información confidencial o al despliegue de ataques de denegación de servicio (DoS).

A continuación, se muestra un informe breve sobre las cuatro fallas detectadas, detallando su nivel de peligrosidad y las posibles consecuencias de su explotación.

Error de validación de entrada: Esta falla existe debido a una insuficiente validación de las entradas suministradas en el disector WideGuard. Un actor de amenazas remoto no autenticado podría explotar esta falla enviando una solicitud especialmente diseñada a la aplicación afectada. para generar una condición de denegación de servicio (DoS).

Esta falla es considerada de gravedad baja, y está presente en las versiones de Wireshark 3.2.0 y 3.2.1.Hasta ahora, no se han reportado casos de explotación en escenarios reales.

Error de validación de entrada: Esta es una segunda falla de validación de entrada que permite que un hacker remoto no autenticado genere una condición (DoS) enviando solicitudes especialmente diseñadas a la aplicación objetivo. En esta ocasión, los especialistas en análisis de vulnerabilidades señalan que la falla existe debido a una validación insuficiente de la entrada enviada por el usuario en el disector EAP.

La vulnerabilidad es considerada de severidad baja, pues su explotación es altamente compleja. Además, la mayoría de las versiones de Wireshark que siguen recibiendo soporte son vulnerables.

Filtración de la memoria: Esta vulnerabilidad existe debido a una filtración de la memoria en el disector LTE RRC. El reporte de análisis de vulnerabilidades menciona que esta falla permite a un hacker remoto no autenticado despliegue un ataque DoS en el sistema objetivo. La falla es considerada de severidad media, y está presente en la mayoría de las versiones de Wireshark.

Error de validación de entrada: Los especialistas detectaron una tercera falla de validación de entrada que permite el despliegue de un ataque DoS. La falla, considerada de severidad baja, puede ser explotada de forma remota enviando solicitudes especialmente diseñadas. La vulnerabilidad está presente en la mayoría de las versiones de Wireshark.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), todas las vulnerabilidades detectadas ya han sido reportadas a los mantenedores de Wireshark, que anunciaron el lanzamiento de los parches de seguridad requeridos a la brevedad. Si bien las fallas todavía no son consideradas críticas, los escenarios de explotación siguen vigentes, por lo que se recomienda a los administradores actualizar sus implementaciones.

El cargo Encuentran vulnerabilidades críticas en Wireshark apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

miércoles, 26 de febrero de 2020

¿Usuario de iPhone? No copie y pegue su número de tarjeta o contraseñas. Otras apps pueden robar sus datos del portapapeles

Apple suele jactarse del nivel de protección de datos y seguridad de sus dispositivos. Si bien la comunidad de la ciberseguridad reconoce los esfuerzos de la firma y su superioridad en cifrado y privacidad respecto a sus contrapartes, la firma no está exenta de fallas de seguridad. Un equipo de investigadores ha reportado el hallazgo de una vulnerabilidad que permite la intercepción de datos personales almacenados en diversos modelos de iPhone o iPad.   

Cuando un usuario copia cualquier información, ésta se almacena en el tablero general de Apple (comúnmente conocido como portapapeles). Según el reporte, cualquier aplicación puede acceder a esta información almacenada temporalmente en el portapapeles, por lo que los usuarios se exponen a la filtración de datos confidenciales como ubicación, contraseñas de acceso a perfiles en línea y datos bancarios.

Al parecer, todas las apps del sistema operativo iOS cuentan con acceso ilimitado al tablero general de todo el sistema. Un usuario podría exponer, de forma no intencionada, su información confidencial (como datos de ubicación) a otras apps con sólo copiar una foto tomada con la cámara del dispositivo, gracias a los metadatos de la imagen, mencionan los especialistas en protección de datos.

Para demostrar su hallazgo, los investigadores desarrollaron una app de prueba de concepto llamada KlipboardSpy y un widget de iOS llamado KlipSpyWidget. Esta app de prueba no cuenta con acceso a los datos de ubicación del dispositivo; aun así, los especialistas lograron extraer esta información mediante el método descrito anteriormente.

La app se instala como cualquier otra herramienta de iOS

Al pegar la foto en la app, la herramienta devolverá los datos de ubicación de la foto

Los especialistas afirman que el reporte fue enviado a Apple desde enero pasado. Sin embargo, el equipo de protección de datos de la compañía respondió que este error no podía ser considerado como una vulnerabilidad, pues sus sistemas operativos están diseñados para permitir que las aplicaciones accedan al portapapeles solamente cuando las apps están en primer plano.   

Al respecto, el Instituto Internacional de Seguridad Cibernética (IICS) considera que Apple no debe permitir que las apps accedan al portapapeles sin restricción alguna, como el consentimiento expreso del usuario. El sistema operativo sólo debería exponer el contenido del portapapeles a una aplicación mediante previa confirmación, pues en ocasiones los usuarios no están al tanto del contenido de esta herramienta.

El cargo ¿Usuario de iPhone? No copie y pegue su número de tarjeta o contraseñas. Otras apps pueden robar sus datos del portapapeles apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Aspiradoras inteligentes permiten a los hackers conocer la ubicación de una casa y espiar a los usuarios

A pesar de las continuas demostraciones sobre las limitadas medidas de seguridad de los dispositivos inteligentes, los fabricantes siguen sin implementar los mecanismos de protección adecuados, exponiendo a millones de usuarios. El más reciente ejemplo de esto es la aspiradora inteligente Trifo Ironpie, probada por especialistas en análisis de vulnerabilidades.

Acorde al fabricante, este robot aspirador fue diseñado para realizar una doble tarea: Sus ventiladores, colocados sobre un disco giratorio, aspiran la casa del usuario, mientras que la cámara (montada sobre la superficie del dispositivo) funciona como una medida de seguridad, para evitar que el robot choque con su entorno.

Si bien parece un dispositivo realmente útil, especialistas en análisis de vulnerabilidades de la firma de seguridad Checkmarx reportaron el hallazgo de múltiples fallas de seguridad en este dispositivo con conexión a Internet que podrían ser realmente perjudiciales para el usuario.

Acorde a los investigadores, estas vulnerabilidades varían en cuanto a su severidad. Del grupo de fallas reportadas, destacan un error que permite a los actores de amenazas acceder a las transmisiones en vivo de la cámara de estos equipos con sólo acceder a los servidores de Trifo. Otra de las vulnerabilidades encontradas permite a los hackers enviar falsas actualizaciones de software vía la app de la aspiradora.

Los hackers incluso pueden llegar a conectarse a la red WiFi de las víctimas, gracias a lo cual podrían tomar control del funcionamiento de estos equipos e interceptar sus datos, que no cuentan con cifrado. Por si fuera poco, los actores de amenazas podrían acceder a los mapas que el Ironpie registra de la casa, por lo que podrían determinar su ubicación, número de habitaciones, posibles entradas y demás.

Los especialistas en análisis de vulnerabilidades afirman que la compañía fue notificada desde diciembre de 2019. No obstante, las fallas siguen sin ser corregidas, por lo que no es posible revelar detalles técnicos sobre su explotación.

Este es un problema generalizado en la industria de los dispositivos de Internet de las Cosas (IoT), menciona el Instituto Internacional de Seguridad Cibernética (IICS). Además, el problema se hace más grande a medida que las personas usan cada vez más esta clase de dispositivos para sus labores rutinarias, por lo que los fabricantes deben idear un modelo confiable para la protección de estos dispositivos, pues se están convirtiendo en un vector de ataque importante.

El cargo Aspiradoras inteligentes permiten a los hackers conocer la ubicación de una casa y espiar a los usuarios apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Todas las versiones de Microsoft Exchange Server son vulnerables a CVE-2020-0688; exploit ya disponible

A través de la plataforma de divulgación de vulnerabilidades Zero Day Initiative (ZDI), especialistas en seguridad de aplicaciones web reportaron una falla de seguridad crítica en todas las versiones de Microsoft Exchange Server que reciben soporte actualmente. De ser explotada, la vulnerabilidad permitiría a los actores de amenaza falsificar comunicaciones por email corporativo a voluntad. La falla fue identificada como CVE-2020-0688.

El reporte fue presentado a ZDI por un investigador anónimo. Sin embargo, los detalles técnicos sobre la explotación se han filtrado en Internet, por lo que los grupos de hackers maliciosos podrían comenzar a explotar esta falla en escenarios reales, exponiendo a millones de usuarios. Microsoft ha lanzado una alerta de seguridad para solicitar a los usuarios instalar los parches de seguridad, lanzados hace algunos días.

Los parches de actualización para esta vulnerabilidad fueron lanzados desde el 18 de febrero como parte del paquete mensual de actualizaciones de Microsoft de febrero. No obstante, esto no quiere decir que todas las organizaciones afectadas los instalen de inmediato, puesto que en ocasiones se aplazan las actualizaciones para evitar periodos largos de inactividad o efectos secundarios imprevistos, por lo que miles de implementaciones podrían seguir expuestas.

A pesar de que el seguridad de aplicaciones web anónimo mencionó que la explotación requiere autenticación de usuario, existen múltiples métodos para extraer credenciales de inicio de sesión de un usuario objetivo, por lo que esto es un contratiempo menor. Además, el reporte especifica que las compañías que presentan Exchange directamente a Internet corren mayor riesgo.

Aparentemente, la falla reside en el componente del panel de control de Exchange y existe debido a una razón bastante simple: En lugar de tener claves generadas aleatoriamente por cada instalación, todas las instalaciones de Exchange Server tienen los mismos valores validationKey y decryptionKey en web.config.  

Estas claves se usan para proporcionar seguridad a ViewState, que son los datos del lado del servidor que las aplicaciones web ASP.NET almacenan en formato serializado en el cliente. El cliente devuelve estos datos al servidor mediante el parámetro _VIEWSTATE. Debido al uso de claves estáticas, un hacker autenticado puede engañar al servidor para que deserialice datos ViewState creados con fines maliciosos.

Especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de implementaciones expuestas parchear sus sistemas a la brevedad.

El cargo Todas las versiones de Microsoft Exchange Server son vulnerables a CVE-2020-0688; exploit ya disponible apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Hackers podrían descifrar datos WiFi de dispositivos Apple (iPhone, iPad, MacBook), Samsung y Xiaomi

Las fallas de seguridad en componentes, comunicaciones o protocolos más empleados en la industria pueden tener consecuencias desastrosas. Expertos en hacking ético de la firma de seguridad ESET reportaron el hallazgo de una vulnerabilidad en múltiples chips WiFi que hace que los dispositivos vulnerables usen una clave de cifrado compuesta únicamente de ceros para cifrar parte de las comunicaciones de los usuarios. Según el reporte, la explotación exitosa de esta falla permitiría a un actor de amenazas descifrar algunos paquetes de red transmitidos por el dispositivo vulnerable.

La vulnerabilidad, identificada como CVE-2019-15126, está presente en los dispositivos con chips WiFi de Broadcom y Cypress sin actualizar. Cabe señalar que estos chips son los más empleados por los fabricantes de dispositivos con capacidad de conexión WiFi, como smartphones, dispositivos de Internet de las Cosas (IoT), laptops, tabletas y más. La falla fue bautizada por el equipo de ESET como KrØØk.

Además, la falla no afecta solamente a los dispositivos del cliente, sino que se extiende a los puntos de acceso WiFi y enrutadores con chips de Broadcom, por lo que los entornos comerciales, empresariales y gubernamentales también podrían verse afectados.

Respecto a los dispositivos afectados, los especialistas en hacking ético afirman que muchos de los desarrollos tecnológicos más empleados de la actualidad son vulnerables a estas fallas. Entre los equipos afectados se encuentran firmas como:

  • Amazon (Echo y Kindle)
  • Apple (iPhone, iPad, MacBook)
  • Google (Nexus)
  • Samsung (Galaxy)
  • Xiaomi (Redmi)

La falla afecta a los protocolos WPA2-Personal y WPA3-Enterprise, con cifrado AES-CCMP. Acorde a las estimaciones de los investigadores, más de mil millones de dispositivos usados activamente en todo el mundo estarían expuestos a la explotación de KrØØk, sin contar con los puntos de acceso comprometidos.  

Los especialistas en hacking ético aseguran que esta falla está relacionada con los ataques de reinstalación de clave (KRACK), detectados hace un par de años, aunque con algunas diferencias clave. “Inicialmente, descubrimos que KrØØk era una de las posibles causas de los ataques KRACK, gracias al hallazgo de una vulnerabilidad en Amazon Echo”, menciona el reporte de ESET.

El Instituto Internacional de Seguridad Cibernética (IICS) menciona que la falla fue reportada a los fabricantes afectados en tiempo y forma, por lo que las actualizaciones ya deben haber sido instaladas en la mayoría de dispositivos vulnerables. Se recomienda a los usuarios verificar que no existan actualizaciones pendientes para sus dispositivos.

El cargo Hackers podrían descifrar datos WiFi de dispositivos Apple (iPhone, iPad, MacBook), Samsung y Xiaomi apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

martes, 25 de febrero de 2020

Dos nuevas vulnerabilidades críticas en OpenSMTPD… otra vez

Las fallas de seguridad en desarrollos de software aparecen constantemente, y en ocasiones los desarrolladores se encuentran nuevos reportes apenas corrigen las fallas anteriores. Acorde a especialistas en forense digital, tan solo unas semanas después de que se corrigiera una vulnerabilidad crítica en OpenSMTPD, el servidor de email de OpenBSD, surgió un nuevo reporte sobre dos fallas adicionales.

Esta es una falla de divulgación de información local de severidad media que podría ser explotada de forma remota para ejecutar comandos arbitrarios en el dispositivo vulnerable, mencionan los investigadores de la firma de seguridad Qualys, encargados del reporte.

Identificada como CVE-2020-8793, esta es una falla de gravedad reducida cuya explotación permitiría que un actor de amenazas local sin privilegios pueda leer la primera línea de un archivo arbitrario o el contenido completo del archivo de otro usuario. Los investigadores en forense digital también desarrollaron una prueba de concepto, la cual demostró ser funcional en las más recientes versiones de OpenBSD y Fedora.

Por otra parte, CVE-2020-8794 es un defecto de lectura fuera de los límites introducido en diciembre de 2015 y puede conducir a la ejecución de comandos de shell arbitrarios como usuario root o como cualquier otro usuario, dependiendo de la versión vulnerable de OpenSMTPD. Dado a que reside en el código del lado del cliente de OpenSMTPD, es posible desencadenar dos escenarios de ataque distintos:

  • Explotación del lado del cliente: Es posible explotar esta falla de forma remota en la configuración predeterminada de OpenSMTPD ejecutando comandos de shell arbitrarios en la instalación vulnerable
  • Explotación del lado del servidor: Un atacante conectado al servidor OpenSMTPD puede explotar la vulnerabilidad para ejecutar comandos de shell, bloquear el servicio y esperar a que sea reiniciado por el administrador o se reinicie de forma automática

Las dos vulnerabilidades ya han sido corregidas, por lo que se recomienda a los administradores de implementaciones expuestas parchear a la brevedad. Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) menciona que la falla de ejecución remota de código reportada anteriormente fue explotada en escenarios reales de forma posterior a la divulgación pública de la falla. En esta ocasión, para prevenir cualquier riesgo, la prueba de concepto será revelada una vez que la industria considere que el riesgo de explotación activa termine.

El cargo Dos nuevas vulnerabilidades críticas en OpenSMTPD… otra vez apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vulnerabilidad día cero afecta dispositivos NAS de Zyxel

Zyxel, compañía fabricante de hardware para redes, acaba de lanzar una actualización para corregir una vulnerabilidad crítica en múltiples dispositivos de almacenamiento conectado a la red (por sus siglas en inglés, network attached storage) que permitiría tomar control remotamente. La falla fue reportada por especialistas en seguridad en redes de la firma KrebsOnSecurity, quienes aseguran que un exploit para abusar de esta falla se encontraba a la venta en un foro de hacking ilegal.

La firma afectada, con sede en Taiwán, se dedica a la fabricación de dispositivos de red, como WiFi, productos NAS y firewalls de hardware. Si bien esta clase de vulnerabilidades son un problema para la industria de los dispositivos de Internet de las Cosas (IoT) en general, este caso es particularmente preocupante debido a que los actores de amenaza podrían abusar de esta falla para desplegar ransomware a gran escala.

Cuando la falla fue reportada a Zyxel, se filtró un fragmento del código para la explotación, con lo que un hacker podría comprometer de forma remota una amplia variedad de productos NAS de Zyxel sin necesidad de interacción de los administradores de los dispositivos afectados.

Fragmento del exploit filtrado
FUENTE: KerbsOnSecurity

Acorde a especialistas en seguridad en redes, el vendedor del exploit, bajo el pseudónimo de “500mhz”, es un hacker reconocido en diversos foros frecuentados por cibercriminales y se especializa en la venta de exploits día cero, altamente codiciados en el mercado negro del hacking.

Aunque en un principio el fabricante no respondió al reporte sobre la vulnerabilidad, finalmente un representante de Zyxel emitió un comunicado reconociendo la existencia de la vulnerabilidad día cero, enlistando los productos vulnerables a la explotación. Los dispositivos vulnerables incluyen NAS542, NAS540, NAS520, NAS326, NSA325 v2, NSA325, NSA320S, NSA320, NSA310S, NSA310, NSA221, entre otros. A pesar de que la firma trabaje para desarrollar una corrección, múltiples dispositivos vulnerables han dejado de recibir soporte, por lo que no podrán ser parcheados. La compañía solamente aconsejó a los administradores de los productos sin soporte no exponerlos en Internet público, mencionan los especialistas en seguridad en redes.

El Instituto Internacional de Seguridad Cibernética (IICS) menciona que, debido a la trivialidad para la explotación de esta falla, un actor de amenazas podría comprometer un dispositivo afectado con solo inyectar dos caracteres en el campo de nombre de usuario de la interfaz de control web de estos dispositivos, además de que es altamente probable que la vulnerabilidad esté presente en otros desarrollos de Zyxel.

El cargo Vulnerabilidad día cero afecta dispositivos NAS de Zyxel apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

CVE-2020-2732: Una vez más, encuentran vulnerabilidad crítica en Intel KVM Virtualization

Acorde a un reporte de especialistas en análisis de vulnerabilidades, el software de virtualización Intel KVM ha sido impactado por una vulnerabilidad existente debido a código no terminado. La falla, identificada como CVE-2020-2732, está presente en Intel VMX, para el soporte de la máquina virtual basada en el kernel de Linux (KMV).

La vulnerabilidad no ha sido divulgada públicamente, aunque múltiples grupos de especialistas comenzaron a darle seguimiento desde el lanzamiento de una serie de inusuales actualizaciones de seguridad, aunque al día de hoy siguen sin confirmarse mayores detalles.   

Los desarrolladores lanzaron tres parches de seguridad para la corrección de CVE-2020-2732 como parte de las correcciones de KVM dirigidas al ciclo actual del kernel del sistema operativo Linux 5.6.

Respecto al lanzamiento de las actualizaciones, los desarrolladores mencionaron: “vmx_check_intercept aún no está completamente implementado por KVM en los procesadores Intel, lo que hace que no se verifiquen los mapas de bits de interceptación de entrada y salida o MSR”, mencionan los especialistas en análisis de vulnerabilidades. “En general, no podemos permitir la emulación de instrucciones en nombre de L1, pero esta serie también implementa comprobaciones de puertos de entrada y salida”.

La función vmx_check_intercept dentro del kernel de Linux incluso tiene un “TODO: verifique más intercepciones…” pero parece que esta vulnerabilidad se debe al hecho de que esta función no estaba verificando todas las intercepciones y, como tal, podría terminar emulando instrucciones no permitidas por el hipervisor de la virtualización, ya que el comportamiento hasta ahora era continuar en la ruta de código predeterminada.

Acorde a los especialistas en análisis de vulnerabilidades, la solución es deshabilitar las instrucciones de emulación de forma predeterminada hasta que el código haya terminado. La serie también agrega controles para mapas de bits de entrada y salida. Los detalles sobre la vulnerabilidad aún son escasos, pues es necesario esperar a que se divulgue públicamente.

Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas que actualmente trabajan por corregir estos incidentes.  

El cargo CVE-2020-2732: Una vez más, encuentran vulnerabilidad crítica en Intel KVM Virtualization apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Detectan vulnerabilidad día cero en Google Chrome

El equipo de seguridad informática de Google acaba de lanzar una actualización de seguridad para el navegador Chrome con el objetivo de corregir tres fallas críticas, incluyendo una vulnerabilidad día cero de la cual ya existen reportes de explotación activa en escenarios reales. Los detalles técnicos sobre estas fallas y su explotación aún no son revelados; las consecuencias del ataque para los usuarios también son información reservada.

Aunque son realmente escasos los detalles confirmados, la comunidad de la seguridad informática ha podido saber sobre una serie de ataques detectados el pasado 18 de febrero por el investigador Clement Lecigne, miembro del Grupo de Análisis de Amenazas de Google. Este es un equipo especial que investiga y rastrea las actividades de los más peligrosos grupos de hackers.

Los encargados del navegador incluyeron los parches para corregir la vulnerabilidad día cero no especificada en el lanzamiento de la versión 80.0.3987.122 de Chrome. Los parches de seguridad están disponibles para sistemas Windows, Linux y Mac. Los sistemas operativos iOS, Android y Chrome OS aún no han sido actualizados.

Esta falla ha sido identificada como CVE-2020-6418, y sólo se sabe que los miembros del equipo de Google la describen como una “confusión de tipos en V8”. Este es un componente de Chrome responsable de procesar el código JavaScript. En seguridad informática, la confusión de tipos se refiere a errores de codificación durante los cuales una app inicializa las operaciones de ejecución de datos empleando la entrada de un tipo específico, pero es engañada para tratar la entrada como si fuera de un tipo diferente.

Esta confusión conduce a errores lógicos en la memoria de la aplicación, generando las condiciones propicias para la intervención de un actor de amenazas, que tratará de ejecutar código malicioso sin restricciones dentro de la aplicación objetivo.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), esta es la tercera vulnerabilidad día cero en Chrome explotada en escenarios reales en el último año. Anteriormente, Google lanzó parches de seguridad para corregir dos fallas día cero en el navegador:

  • CVE-2019-5786, en Chrome 72.0.3626.121
  • CVE-2019-13720, en Chrome 78.0.3904.8

Se espera que la compañía revele mayores detalles en cuanto el peligro de explotación haya pasado; cabe mencionar que no existen reportes de explotación de las otras dos fallas de seguridad corregidas en la más reciente versión de Chrome.

El cargo Detectan vulnerabilidad día cero en Google Chrome apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Hackean correos, servidores y redes de Secretaria de Economía

Las organizaciones gubernamentales de todo el mundo son una de las más frecuentes víctimas de incidentes de ciberseguridad. En esta ocasión, el gobierno mexicano es el afectado, pues la Secretaría de Economía (SE) de México confirmó que fue blanco de un ataque cibernético que forzó la suspensión de todos sus trámites en línea e impactó el funcionamiento de redes y servidores de la dependencia.   

El incidente fue detectado la mañana del pasado domingo 23 de febrero, y aunque no se reportan indicios de exposición de información, el área de Tecnologías de la Información de la SE recomendó la inhabilitación de las redes y servidores por precaución. “Se identificaron algunas afectaciones en los servidores de correo electrónico y de administración de archivos”, menciona el comunicado oficial en referencia al incidente de ciberseguridad. Aún no se ha definido una fecha para el restablecimiento de actividades.  

El incidente fue notificado a la Oficina de Estrategia Digital de la Presidencia de México, que se encargará de definir el método de corrección de la falla de ciberseguridad. “Todas las áreas involucradas ya trabajan para resolver el problema; por el momento se han suspendido los términos en la SE, para garantizar la protección de individuos y organizaciones con trámites pendientes ante la dependencia afectada”, menciona el comunicado. En otras palabras, los trámites y plazos de la SE permanecerán vigentes hasta que la secretaría pueda retomar sus actividades regulares.

Esta no es la primera ocasión en la que un ciberataque impacta alguna dependencia del gobierno mexicano. En noviembre de 2019, la compañía petrolera PEMEX, controlada por el Estado, confirmó un ataque cibernético en sus redes internas. A pesar de que la paraestatal aseguró que se trataba de un incidente menor, múltiples investigadores y firmas de seguridad, como el Instituto Internacional de Seguridad Cibernética (IICS) aseguraron que se trató de un ataque de ransomware que cifró miles de computadoras de empleados operativos de la organización.

Los reportes indican que los hackers exigieron a PEMEX un rescate de 500 Bitcoin (alrededor de 5 millones de dólares, según el tipo de cambio actual). Los directivos de la compañía petrolera habrían decidido ignorar a los hackers y recuperar los equipos por sus propios métodos. A la fecha, PEMEX sostiene la versión oficial sobre un incidente de seguridad informática menor.

El cargo Hackean correos, servidores y redes de Secretaria de Economía apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

lunes, 24 de febrero de 2020

Esta app le permite ejecutar Windows 10, además de iOS, en un iPhone

¿Ansioso por explotar al máximo las capacidades de su smartphone de última generación? Un equipo de especialistas en hacking ético independientes está desarrollando una app que usa QEMU (un popular software de virtualización) para ejecutar la versión completa de Windows 10 desde la imagen del sistema operativo de Microsoft en un iPhone.

Los desarrolladores mencionan que los dispositivos iOS no cuentan con soporte para la virtualización de hardware, no obstante, con esta app (llamada UTM), podrán conectarse con el servidor SPICE en QEMU, lo que permite la “para-virtualización”. Gracias a esto, un iPhone o iPad podrán ejecutar Windows 10, o incluso Linux, a una velocidad aceptable para trabajar.

Sus creadores aseguran que UTM estará disponible para su descarga muy pronto, además los usuarios no requerirán un dispositivo con jailbreak para ejecutarla. No obstante, es importante mencionar que es posible que la compatibilidad sea eliminada en el futuro con una posible actualización; en este caso, el dispositivo sí deberá contar con jailbreak, mencionan los expertos en hacking ético.

A pesar de que el proyecto se encuentra en etapa inicial, los desarrolladores ya han demostrado que ejecutar la versión de escritorio de Windows 10 en un iPhone es completamente posible, aunque la velocidad de instalación y ejecución siguen siendo los principales inconvenientes. El acelerador TCG, empleado para ejecutar el sistema operativo en la app, sólo puede ejecutarse al 70% de velocidad, aunque el rendimiento incrementa al reducir la calidad de los gráficos, aseguran los especialistas en hacking ético.

Para mala fortuna de los entusiastas, es prácticamente imposible ejecutar Windows 10 de forma nativa en los productos Apple: “Por desgracia esta es solamente una emulación del SO, probablemente no encontremos una forma para ejecutar Windows en ARM de forma nbativa en un procesador A9”, añadió uno de los desarrolladores de esta app.   Los interesados en el proyecto pueden descargar la app, además de las imágenes ISO del sistema operativo Windows 10 en el sitio oficial en GitHub de los desarrolladores de UTM.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), hace poco otro equipo de investigadores logró instalar y ejecutar Windows 10X en una MacBook de Apple, empleando un emulador lanzado por Microsoft, logrando un nivel aceptable de ejecución, por lo que puede ser cuestión de tiempo para encontrar el método óptimo para ejecutar el sistema operativo de Microsoft en desarrollos de Apple.

El cargo Esta app le permite ejecutar Windows 10, además de iOS, en un iPhone apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Se revela el hallazgo de una vulnerabilidad crítica en Open-Xchange

Se ha revelado un reporte de seguridad informática en referencia al hallazgo de múltiples vulnerabilidades en el software de productividad Open-Xchange, algunas consideradas de gravedad severa. La mayoría de las fallas de seguridad encontradas permiten a los actores de amenazas realizar falsificación de solicitudes del lado del servidor.

A continuación se presenta de forma breve un reporte de las fallas encontradas, además del método empleado para su mitigación.

CVE-2019-18846: Esta es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF, por sus siglas en inglés) presente en las versiones 7.10.2 y anteriores de One-Xchange. La API de archivos adjuntos para Calendario, Tareas, y demás permite definir referencias a archivos adjuntos de correo electrónico que deben agregarse. Esta referencia no es verificada con un protocolo adecuado y una lista negra de hosts. Los usuarios podrían activar llamadas API que invocan archivos locales o URLs. El contenido proporcionado por estos recursos se agregaría como archivo adjunto. 

 La falla recibió un puntaje de 6.5/10 en la escala del Common Vulnerability Scoring System (CVSS). Los desarrolladores ya han corregido la vulnerabilidad, implementando un protocolo y una lista negra de host para evitar invocar referencias de sistemas de archivos y direcciones locales.

CVE-2019-18846: Una segunda vulnerabilidad SSRF fue detectada en el backend de One-Xchange, presente en las versiones 7.10.2 y anteriores. La función RSS permite a los actores de amenazas agregar fuentes de datos arbitrarias. Para evitar la exposición de datos confidenciales, se implementó una lista negra de host y una lista blanca de protocolos. Debido a un error, la lista negra del host no se verificó en caso de que el protocolo pasara la lista blanca

La explotación de esta falla permitiría realizar un mapeo de las redes internas y servicios potencialmente expuestos. La falla recibió un puntaje de 5.0/10 en la escala CVSS, mencionan los especialistas en seguridad informática.  

CVE-2019-9853: Esta es una falla de falta de escape presente en las versiones 7.10.2 y anteriores que afecta al componente readerengine en Open-Xchange. Las vulnerabilidades existentes en proyectos ascendentes podrían usarse en el contexto de OX App Suite/OX Documents, por lo que los desarrolladores actualizaron las versiones recientes de LibreOffice empleadas por el componente readerengine para prevenir la explotación de fallas no relacionadas directamente con este componente, por lo que esta es en sentido estricto, una medida de precaución.  

Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas que actualmente trabajan por corregir incidentes de seguridad informática.

El cargo Se revela el hallazgo de una vulnerabilidad crítica en Open-Xchange apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Resultados de búsqueda de Google incluirán chats privados de WhatsApp; las conversaciones en esta plataforma no son seguras

WhatsApp es el servicio de mensajería más utilizado en todo el mundo, y a diario circulan por esta plataforma miles de millones de mensajes protegidos por cifrado de extremo a extremo, lo que significa que sólo los participantes de una conversación o grupo de chat pueden acceder al contenido de los mensajes y a la información de los usuarios, o al menos eso pensábamos, pues el investigador de ciberseguridad Jordan Wildon reportó un extraño comportamiento relacionado con los grupos de chat y el buscador de Google.

Acorde a Wildon, Google ha indexado los enlaces a grupos de WhatsApp, dejando expuestas las conversaciones, archivos, números telefónicos y otros datos de los miembros de estos grupos, supuestamente privados. En otras palabras, cualquier usuario puede acceder a uno de estos grupos gracias a una simple búsqueda de Google.  

Tal como mencionan expertos en ciberseguridad, al crear un grupo de WhatsApp se crea un código (enlace) privado, que puede ser enviado por los administradores para invitar a nuevos miembros. Debido a una falla no identificada, los enlaces se han expuesto al alcance de cualquiera vía el buscador de Internet; al parecer la falla ya había sido reportada a WhatsApp hace un par de meses, aunque sigue presente.

Al parecer, los usuarios sólo tienen que hacer una búsqueda empleando el dominio chat.whatsapp.com, seguido de cualquier palabra clave (amigos, familia, etcétera). Al comprobar el reporte, Wildon encontró grupos de pornografía, grupos de trabajo, organizaciones no gubernamentales, venta de artículos diversos, búsqueda de empleo y muchos temas más de países como Estados Unidos, México y América Latina.

Facebook, compañía propietaria de WhatsApp, no ha publicado un comunicado oficial sobre esta falla, aunque se espera que la firma ya esté trabajando en una solución, pues el reporte se ha hecho público desde hace tiempo. Por lo pronto, firmas e investigadores en ciberseguridad recomiendan a los administradores de grupos de WhatsApp deshabilitar el enlace al grupo, lo que impedirá que cualquier usuario trate de unirse, aunque esto no dejará de exponer la información de los usuarios en línea. Eliminar el grupo de chat definitivamente también podría ser funcional.

El Instituto Internacional de Seguridad Cibernética (IICS) ha reportado frecuentes fallas de seguridad en la plataforma que pueden derivar en el secuestro de sesiones de WhatsApp, envío de mensajes falsos y otras acciones maliciosas. Los usuarios pueden protegerse de estas fallas manteniendo su aplicación siempre actualizada y evadiendo el uso de WhatsApp Web, versión del servicio para equipos de escritorio, además de probar con algunas alternativas al uso de esta plataforma, como Telegram.

El cargo Resultados de búsqueda de Google incluirán chats privados de WhatsApp; las conversaciones en esta plataforma no son seguras apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

sábado, 22 de febrero de 2020

Como escanear todos los puertos del Internet| 350 mil dominios, IPs por segundo

MASSDNS es un stub resolver especializado de alto rendimiento (stub resolver significa que también se puede llamar a un cliente como stub resolver integrado dentro del sistema operativo) capaz de resolver 3 millones 500 mil entradas de dominio por segundo. Su alto rendimiento se debe a que los desarrolladores de esta herramienta utilizaron una programación personalizada basada en pila en lugar de utilizar la biblioteca LDNS de Linux que contiene una función que simplifica la programación de DNS, como comentaron los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS). Un MASSDNS es una herramienta que utiliza un método recursivo predeterminado para resolver nombres de dominio.

‘RECURSIVO’ (Una resolución recursiva es un tipo de consulta en la que el servidor DNS, que recibió su consulta, hará todo el trabajo de obtener la respuesta de todas las formas posibles y se la enviará de vuelta. Durante este proceso, el servidor DNS también puede consultar otros servidores DNS en Internet en su nombre, para obtener la respuesta). También podemos usar un método no recursivo para resolver nombres de dominio.

‘NO RECURSIVO‘(DNS Resolver ya conoce la respuesta, que ya está almacenada en la caché)

Explainatory diagram for the resolving process

INSTALACIÓN DE MASSDNS

Nota: Se ha utilizado Kali Linux 2019, 64 bits para la instalación de la herramienta MASSDNS.

  • Ejecute Kali Linux en su sistema, abra la terminal y escriba:

git clone https://ift.tt/2uY6vx2

  • Después de clonar este repositorio, cambie el directorio a la carpeta massdns
  • Escriba cd massdns
  • La herramienta ha sido descargada pero aún no puede instalarla escribiendo massdns, pues contiene un archivo de creación que debe ejecutarse, pues tiene algunas fuentes que deben compilarse para iniciar o construir la herramienta
  • Escriba make para construir la herramienta
  • Escriba make install para instalar su herramienta
  • Después de realizar todos los pasos anteriores, su herramienta ya está lista para ejecutarse escribiendo el comando massdns
  # massdns
 Usage: massdns [options] [domainlist]
   -b  --bindto           Bind to IP address and port. (Default: 0.0.0.0:0)
       --busy-poll        Use busy-wait polling instead of epoll.
   -c  --resolve-count    Number of resolves for a name before giving up. (Default: 50)
       --drop-group       Group to drop privileges to when running as root. (Default: nogroup)
       --drop-user        User to drop privileges to when running as root. (Default: nobody)
       --flush            Flush the output file whenever a response was received.
   -h  --help             Show this help.
   -i  --interval         Interval in milliseconds to wait between multiple resolves of the same
                          domain. (Default: 500)
   -l  --error-log        Error log file path. (Default: /dev/stderr)
       --norecurse        Use non-recursive queries. Useful for DNS cache snooping.
   -o  --output           Flags for output formatting.
       --predictable      Use resolvers incrementally. Useful for resolver tests.
       --processes        Number of processes to be used for resolving. (Default: 1)
   -q  --quiet            Quiet mode.
       --rcvbuf           Size of the receive buffer in bytes.
       --retry            Unacceptable DNS response codes. (Default: REFUSED)
   -r  --resolvers        Text file containing DNS resolvers.
       --root             Do not drop privileges when running as root. Not recommended.
   -s  --hashmap-size     Number of concurrent lookups. (Default: 10000)
       --sndbuf           Size of the send buffer in bytes.
       --sticky           Do not switch the resolver when retrying.
       --socket-count     Socket count per process. (Default: 1)
   -t  --type             Record type to be resolved. (Default: A)
       --verify-ip        Verify IP addresses of incoming replies.
   -w  --outfile          Write to the specified output file instead of standard output.
 Output flags:
   S - simple text output
   F - full text output
   B - binary output
   J - ndjson output
 Advanced flags for the simple output mode:
   d - Include records from the additional section.
   i - Indent any reply record.
   l - Separate replies using a line feed.
   m - Only output reply records that match the question name.
   n - Include records from the answer section.
   q - Print the question.
   r - Prepend resolver IP address, Unix timestamp and return code to the question line.
   s - Separate packet sections using a line feed.
   t - Include TTL and record class within the output.
   u - Include records from the authority section.
  • Ahora podemos comenzar a usar la herramienta
  • Crearemos un archivo abc.txt y mencionaremos algunos nombres de dominio que desea resolver. Mencionamos 2 dominios en un abc.txt
www.hackthebox.eu  
www.hackerearth.com

  • Para crear un nombre de archivo abc.txt, escriba el comando nano abc.txt
  • Ahora inserte las dos direcciones URL en el archivo abc.txt y guarde el contenido con Ctrl + O, luego presione Enter y salga del archivo Ctrl + X
content of abc.txt
  • Ahora, de acuerdo con la sintaxis del uso definido por el desarrollador, habíamos preparado nuestra lista de dominios y ya tenemos el archivo de texto resolvers.txt integrado en el paquete por el desarrollador
  • Podemos ver el contenido del archivo resolvers.txt cambiando primero el directorio a massdns y luego escribiendo este comando #cat lists/resolvers.txt. Esto mostrará todos los servidores de resolución que están en el archivo resolvers.txt
  • Ahora resolvamos los dos dominios que tenemos en nuestro archivo abc.txt
  • Para esto, escriba el comando massdns –r lists/resolvers.txt abc.txt
  • Después de ejecutar, obtendremos los registros como el servidor de nombres, el nombre canónico, los registros A o AAAA y algunos registros adicionales
massdns -r lists/resolvers.txt abc.txt
 Privileges have been dropped to "nobody:nogroup" for security reasons.
 Processed queries: 0
 Received packets: 0
 Progress: 0.00% (00 h 00 min 00 sec / 00 h 00 min 00 sec)
 Current incoming rate: 0 pps, average: 0 pps
 Current success rate: 0 pps, average: 0 pps
 Finished total: 0, success: 0 (0.00%)
 Mismatched domains: 0 (0.00%), IDs: 0 (0.00%)
 Failures: 0: 0.00%, 1: 0.00%, 2: 0.00%, 3: 0.00%, 4: 0.00%, 5: 0.00%, 6: 0.00%, 7: 0.00%, 8: 0.00%, 9: 0.00%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 16: 0.00%, 17: 0.00%, 18: 0.00%, 19: 0.00%, 20: 0.00%, 21: 0.00%, 22: 0.00%, 23: 0.00%, 24: 0.00%, 25: 0.00%, 26: 0.00%, 27: 0.00%, 28: 0.00%, 29: 0.00%, 30: 0.00%, 31: 0.00%, 32: 0.00%, 33: 0.00%, 34: 0.00%, 35: 0.00%, 36: 0.00%, 37: 0.00%, 38: 0.00%, 39: 0.00%, 40: 0.00%, 41: 0.00%, 42: 0.00%, 43: 0.00%, 44: 0.00%, 45: 0.00%, 46: 0.00%, 47: 0.00%, 48: 0.00%, 49: 0.00%, 50: 0.00%,
 Response: | Success:               | Total:
 OK:       |            0 (  0.00%) |            0 (  0.00%)
 NXDOMAIN: |            0 (  0.00%) |            0 (  0.00%)
 SERVFAIL: |            0 (  0.00%) |            0 (  0.00%)
 REFUSED:  |            0 (  0.00%) |            0 (  0.00%)
 FORMERR:  |            0 (  0.00%) |            0 (  0.00%)
 ;; Server: 206.248.95.194:53
 ;; Size: 285
 ;; Unix time: 1582114214
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54368
 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 4
 ;; QUESTION SECTION:
 www.hackerearth.com. IN A
 ;; ANSWER SECTION:
 www.hackerearth.com. 60 IN A 52.76.81.127
 www.hackerearth.com. 60 IN A 54.169.98.191
 www.hackerearth.com. 60 IN A 52.76.244.185
 ;; AUTHORITY SECTION:
 hackerearth.com. 1786 IN NS ns-989.awsdns-59.net.
 hackerearth.com. 1786 IN NS ns-73.awsdns-09.com.
 hackerearth.com. 1786 IN NS ns-1300.awsdns-34.org.
 hackerearth.com. 1786 IN NS ns-1709.awsdns-21.co.uk.
 ;; ADDITIONAL SECTION:
 ns-73.awsdns-09.com. 4443 IN A 205.251.192.73
 ns-989.awsdns-59.net. 2264 IN A 205.251.195.221
 ns-1300.awsdns-34.org. 9582 IN A 205.251.197.20
 ns-1709.awsdns-21.co.uk. 8646 IN A 205.251.198.173
 ;; Server: 212.94.32.32:53
 ;; Size: 90
 ;; Unix time: 1582114214
 ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13441
 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 ;; QUESTION SECTION:
 www.hackethebox.eu. IN A
 ;; AUTHORITY SECTION:
 eu. 600 IN SOA nl.dns.eu. tech.eurid.eu. 1060075683 3600 1800 3600000 600
 Processed queries: 2
 Received packets: 2
 Progress: 100.00% (00 h 00 min 00 sec / 00 h 00 min 00 sec)
 Current incoming rate: 12 pps, average: 12 pps
 Current success rate: 12 pps, average: 12 pps
 Finished total: 2, success: 2 (100.00%)
 Mismatched domains: 0 (0.00%), IDs: 0 (0.00%)
 Failures: 0: 100.00%, 1: 0.00%, 2: 0.00%, 3: 0.00%, 4: 0.00%, 5: 0.00%, 6: 0.00%, 7: 0.00%, 8: 0.00%, 9: 0.00%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 16: 0.00%, 17: 0.00%, 18: 0.00%, 19: 0.00%, 20: 0.00%, 21: 0.00%, 22: 0.00%, 23: 0.00%, 24: 0.00%, 25: 0.00%, 26: 0.00%, 27: 0.00%, 28: 0.00%, 29: 0.00%, 30: 0.00%, 31: 0.00%, 32: 0.00%, 33: 0.00%, 34: 0.00%, 35: 0.00%, 36: 0.00%, 37: 0.00%, 38: 0.00%, 39: 0.00%, 40: 0.00%, 41: 0.00%, 42: 0.00%, 43: 0.00%, 44: 0.00%, 45: 0.00%, 46: 0.00%, 47: 0.00%, 48: 0.00%, 49: 0.00%, 50: 0.00%,
 Response: | Success:               | Total:
 OK:       |            1 ( 50.00%) |            1 ( 50.00%)
 NXDOMAIN: |            1 ( 50.00%) |            1 ( 50.00%)
 SERVFAIL: |            0 (  0.00%) |            0 (  0.00%)
 REFUSED:  |            0 (  0.00%) |            0 (  0.00%)
 FORMERR:  |            0 (  0.00%) |            0 (  0.00%)
  • De forma similar, si desea un registro particular, como A, AAAA, NS, MX, puede especificar el registro usando el comando massdns –r lists/resolvers.txt –t NS abc.txt. Este comando se usa para recuperar el nombre de servidor del dominio dado
  • También puede emplear el modo silencioso, usando el comando: massdns –r lists/resolvers.txt –-quiet abc.txt
# massdns -r lists/resolvers.txt --quiet  abc.txt
 ;; Server: 35.8.2.41:53
 ;; Size: 90
 ;; Unix time: 1582113398
 ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 18688
 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 ;; QUESTION SECTION:
 www.hackethebox.eu. IN A
 ;; AUTHORITY SECTION:
 eu. 370 IN SOA nl.dns.eu. tech.eurid.eu. 1060074961 3600 1800 3600000 600
 ;; Server: 212.1.118.3:53
 ;; Size: 90
 ;; Unix time: 1582113398
 ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 27638
 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 ;; QUESTION SECTION:
 www.hackerearth.eu. IN A
 ;; AUTHORITY SECTION:
 eu. 370 IN SOA nl.dns.eu. tech.eurid.eu. 1060074961 3600 1800 3600000 600
  • Si desea guardar los resultados en un archivo, entonces usamos el comando: massdns –r lists / resolvers.txt –t NS –w xyz.txt abc.txt
  • Esto guardará los resultados en xyz.txt y puede ver el contenido de este archivo utilizando el comando cat xyz.txt

MASSDNS vs NSLOOKUP

  • Aquí podemos decidir el número de búsquedas simultáneas, pero no podemos hacerlo en Windows CMD
  • En Windows, NSLOOKUP es un comando que usamos para encontrar la información de DNS de cualquier sitio web. Pero aquí podemos tener varias búsquedas al mismo tiempo
  • Podemos tener búsquedas concurrentes escribiendo el comando:

massdns –r lists/resolvers.txt –hashmapsize abc.txt

  • Por defecto tiene la configuración para mostrar 1000 búsquedas a la vez, pero tiene un límite que varía entre 1 y 18446744073709551615
  • Pero en el shell de comandos de Windows no podemos ver más de una búsqueda
  • Si queremos hacer el proceso de manera no recursiva, podemos hacerlo usando el comando massdns –r lists/resolvers.txt –-norecurse abc.tx
  • Podemos ocultar todo el proceso del backend y podemos ver los resultados del parámetro –quiet por el comando anterior
  • Es posible muchas otras tareas dependiendo de las necesidades de los especialistas en hacking ético

¿Por qué es necesario saber usar esta herramienta?

Acorde a los investigadores de hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), existen muchas herramientas para resolver DNS en el mercado, pero elegimos esta herramienta debido a que:

  • La latencia de tiempo en comparación con las otras herramientas es inferior al 1.5-2% del tiempo que tardan las otras herramientas
  • Además, esta herramienta tiene una lista de ‘resolvers’, que acelera el tiempo de resolución reduciendo el número de saltos y permitiendo la opción de tener una ruta más corta para el destino

Aquí está la representación de un pequeño experimento con otra herramienta (Dig)

  • Dig también es una herramienta de línea de comandos para consultar el sistema de nombres de dominio (DNS)
  • En primer lugar, tomamos 24 dominios que pasaron por ambas herramientas
  • Se crea un archivo con dominios, denominado iot.txt para 24 dominios
webmagnat.ro
 nickelfreesolutions.com
 scheepvaarttelefoongids.nl
 tursan.net
 plannersanonymous.com
 doing.fr
 saltstack.com
 deconsquad.com
 migom.com
 tjprc.org
 worklife.dk
 inno-make.com
 food-hub.org
 bikemastertool.com
 betenbewegen.de
 vk.me
 twotigersports.com
 517mrt.com
 siel.nl
 e-hps.com
 infowheel.com
 synirc.net
 abuliyan.com
 easy-ways.com
  • La latencia de tiempo tomada por Dig es de aproximadamente 10 segundos en la configuración de laboratorio, mencionan los expertos en hacking ético
dig -f iot.txt
 ; <<>> DiG 9.11.5-P1-1-Debian <<>> webmagnat.ro
 ;; global options: +cmd
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17487
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;webmagnat.ro.                  IN      A
 ;; ANSWER SECTION:
 webmagnat.ro.           10800   IN      A       85.25.207.218
 ;; AUTHORITY SECTION:
 webmagnat.ro.           10800   IN      NS      ns1.webmagnat.ro.
 webmagnat.ro.           10800   IN      NS      ns2.webmagnat.ro.
 ;; ADDITIONAL SECTION:
 ns1.webmagnat.ro.       10800   IN      A       85.25.207.218
 ns2.webmagnat.ro.       10800   IN      A       85.25.207.218
 ;; Query time: 635 msec
 ;; SERVER: 192.168.0.1#53(192.168.0.1)
 ;; WHEN: Wed Feb 19 04:25:36 PST 2020
 ;; MSG SIZE  rcvd: 125
 ; <<>> DiG 9.11.5-P1-1-Debian <<>> nickelfreesolutions.com
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27270
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;nickelfreesolutions.com.       IN      A
 ;; ANSWER SECTION:
 nickelfreesolutions.com. 600    IN      A       184.168.131.241
 ;; AUTHORITY SECTION:
 nickelfreesolutions.com. 3600   IN      NS      ns63.domaincontrol.com.
 nickelfreesolutions.com. 3600   IN      NS      ns64.domaincontrol.com.
 ;; ADDITIONAL SECTION:
 ns63.domaincontrol.com. 6454    IN      A       97.74.101.42
 ns64.domaincontrol.com. 6885    IN      A       173.201.69.42
 ;; Query time: 394 msec
 ;; SERVER: 192.168.0.1#53(192.168.0.1)
 ;; WHEN: Wed Feb 19 04:25:36 PST 2020
 ;; MSG SIZE  rcvd: 152
 ; <<>> DiG 9.11.5-P1-1-Debian <<>> scheepvaarttelefoongids.nl
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30333
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;scheepvaarttelefoongids.nl.    IN      A
 ;; ANSWER SECTION:
 scheepvaarttelefoongids.nl. 3600 IN     A       94.126.71.64
 ;; AUTHORITY SECTION:
 scheepvaarttelefoongids.nl. 3599 IN     NS      ns0.co-co.nl.
 scheepvaarttelefoongids.nl. 3599 IN     NS      ns1.co-co.nl.
 ;; ADDITIONAL SECTION:
 ns0.co-co.nl.           3599    IN      A       188.122.89.150
 ns1.co-co.nl.           3599    IN      A       141.138.205.119
 ;; Query time: 298 msec
 ;; SERVER: 192.168.0.1#53(192.168.0.1)
 ;; WHEN: Wed Feb 19 04:25:37 PST 2020
 ;; MSG SIZE  rcvd: 145
 ; <<>> DiG 9.11.5-P1-1-Debian <<>> tursan.net
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19418
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;tursan.net.                    IN      A
 ;; ANSWER SECTION:
 tursan.net.             300     IN      A       104.27.156.203
 tursan.net.             300     IN      A       104.27.157.203
 ;; AUTHORITY SECTION:
 tursan.net.             10800   IN      NS      terry.ns.cloudflare.com.
 tursan.net.             10800   IN      NS      serena.ns.cloudflare.com.
 ;; ADDITIONAL SECTION:
 terry.ns.cloudflare.com. 1568   IN      A       173.245.59.237
 serena.ns.cloudflare.com. 9826  IN      A       173.245.58.220
 ;; Query time: 177 msec
 ;; SERVER: 192.168.0.1#53(192.168.0.1)
 ;; WHEN: Wed Feb 19 04:25:37 PST 2020
 ;; MSG SIZE  rcvd: 161
 ; <<>> DiG 9.11.5-P1-1-Debian <<>> plannersanonymous.com
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32916
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;plannersanonymous.com.         IN      A
 ;; ANSWER SECTION:
 plannersanonymous.com.  3600    IN      A       209.99.64.44
 ;; AUTHORITY SECTION:
 plannersanonymous.com.  10800   IN      NS      this-domain-for-sale.com.
 plannersanonymous.com.  10800   IN      NS      ns.buydomains.com.
 ;; ADDITIONAL SECTION:
 ns.buydomains.com.      4157    IN      A       52.4.207.204
 this-domain-for-sale.com. 4157  IN      A       52.20.26.87
 ;; Query time: 371 msec
 ;; SERVER: 192.168.0.1#53(192.168.0.1)
 ;; WHEN: Wed Feb 19 04:25:37 PST 2020
 ;; MSG SIZE  rcvd: 161
 ; <<>> DiG 9.11.5-P1-1-Debian <<>> doing.fr
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23501
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;doing.fr.                      IN      A
 ;; ANSWER SECTION:
 doing.fr.               600     IN      A       91.103.232.161
 ;; AUTHORITY SECTION:
 doing.fr.               10799   IN      NS      dns2.doing-net.com.
 doing.fr.               10799   IN      NS      dns1.doing-net.com.
 ;; ADDITIONAL SECTION:
 dns1.doing-net.com.     600     IN      A       91.103.232.130
 dns2.doing-net.com.     600     IN      A       217.70.191.85
 ;; Query time: 606 msec
 ;; SERVER: 192.168.0.1#53(192.168.0.1)
 ;; WHEN: Wed Feb 19 04:25:38 PST 2020
 ;; MSG SIZE  rcvd: 136
 ; <<>> DiG 9.11.5-P1-1-Debian <<>> saltstack.com
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29255
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 5
 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;saltstack.com.                 IN      A
 ;; ANSWER SECTION:
 saltstack.com.          60      IN      A       13.35.253.14
 saltstack.com.          60      IN      A       13.35.253.129
 saltstack.com.          60      IN      A       13.35.253.69
 saltstack.com.          60      IN      A       13.35.253.113
 ;; AUTHORITY SECTION:
 saltstack.com.          10800   IN      NS      ns-1074.awsdns-06.org.
 saltstack.com.          10800   IN      NS      ns-1843.awsdns-38.co.uk.
 saltstack.com.          10800   IN      NS      ns-775.awsdns-32.net.
 saltstack.com.          10800   IN      NS      ns-39.awsdns-04.com.
 ;; ADDITIONAL SECTION:
 ns-39.awsdns-04.com.    9606    IN      A       205.251.192.39
 ns-775.awsdns-32.net.   8509    IN      A       205.251.195.7
 ns-1074.awsdns-06.org.  3996    IN      A       205.251.196.50
 ns-1843.awsdns-38.co.uk. 2151   IN      A       205.251.199.51
 ;; Query time: 151 msec
 ;; SERVER: 192.168.0.1#53(192.168.0.1)
 ;; WHEN: Wed Feb 19 04:25:38 PST 2020
  • La latencia de tiempo por massdns es de alrededor de 1-2 segundos para los mismos dominios
# massdns -r lists/resolvers.txt -w hoo.txt iot.txt
 Privileges have been dropped to "nobody:nogroup" for security reasons.
 Processed queries: 0
 Received packets: 0
 Progress: 0.00% (00 h 00 min 00 sec / 00 h 00 min 00 sec)
 Current incoming rate: 0 pps, average: 0 pps
 Current success rate: 0 pps, average: 0 pps
 Finished total: 0, success: 0 (0.00%)
 Mismatched domains: 0 (0.00%), IDs: 0 (0.00%)
 Failures: 0: 0.00%, 1: 0.00%, 2: 0.00%, 3: 0.00%, 4: 0.00%, 5: 0.00%, 6: 0.00%, 7: 0.00%, 8: 0.00%, 9: 0.00%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 16: 0.00%, 17: 0.00%, 18: 0.00%, 19: 0.00%, 20: 0.00%, 21: 0.00%, 22: 0.00%, 23: 0.00%, 24: 0.00%, 25: 0.00%, 26: 0.00%, 27: 0.00%, 28: 0.00%, 29: 0.00%, 30: 0.00%, 31: 0.00%, 32: 0.00%, 33: 0.00%, 34: 0.00%, 35: 0.00%, 36: 0.00%, 37: 0.00%, 38: 0.00%, 39: 0.00%, 40: 0.00%, 41: 0.00%, 42: 0.00%, 43: 0.00%, 44: 0.00%, 45: 0.00%, 46: 0.00%, 47: 0.00%, 48: 0.00%, 49: 0.00%, 50: 0.00%,
 Response: | Success:               | Total:
 OK:       |            0 (  0.00%) |            0 (  0.00%)
 NXDOMAIN: |            0 (  0.00%) |            0 (  0.00%)
 SERVFAIL: |            0 (  0.00%) |            0 (  0.00%)
 REFUSED:  |            0 (  0.00%) |            0 (  0.00%)
 FORMERR:  |            0 (  0.00%) |            0 (  0.00%)
 Processed queries: 24
 Received packets: 23
 Progress: 100.00% (00 h 00 min 01 sec / 00 h 00 min 01 sec)
 Current incoming rate: 22 pps, average: 22 pps
 Current success rate: 22 pps, average: 22 pps
 Finished total: 23, success: 23 (100.00%)
 Mismatched domains: 0 (0.00%), IDs: 0 (0.00%)
 Failures: 0: 82.61%, 1: 21.74%, 2: 0.00%, 3: 0.00%, 4: 0.00%, 5: 0.00%, 6: 0.00%, 7: 0.00%, 8: 0.00%, 9: 0.00%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 16: 0.00%, 17: 0.00%, 18: 0.00%, 19: 0.00%, 20: 0.00%, 21: 0.00%, 22: 0.00%, 23: 0.00%, 24: 0.00%, 25: 0.00%, 26: 0.00%, 27: 0.00%, 28: 0.00%, 29: 0.00%, 30: 0.00%, 31: 0.00%, 32: 0.00%, 33: 0.00%, 34: 0.00%, 35: 0.00%, 36: 0.00%, 37: 0.00%, 38: 0.00%, 39: 0.00%, 40: 0.00%, 41: 0.00%, 42: 0.00%, 43: 0.00%, 44: 0.00%, 45: 0.00%, 46: 0.00%, 47: 0.00%, 48: 0.00%, 49: 0.00%, 50: 0.00%,
 Response: | Success:               | Total:
 OK:       |           20 ( 86.96%) |           20 ( 86.96%)
 NXDOMAIN: |            1 (  4.35%) |            1 (  4.35%)
 SERVFAIL: |            2 (  8.70%) |            2 (  8.70%)
 REFUSED:  |            0 (  0.00%) |            0 (  0.00%)
 FORMERR:  |            0 (  0.00%) |            0 (  0.00%)
 Processed queries: 24
 Received packets: 25
 Progress: 100.00% (00 h 00 min 01 sec / 00 h 00 min 01 sec)
 Current incoming rate: 103 pps, average: 24 pps
 Current success rate: 51 pps, average: 23 pps
 Finished total: 24, success: 24 (100.00%)
 Mismatched domains: 1 (4.00%), IDs: 0 (0.00%)
 Failures: 0: 79.17%, 1: 16.67%, 2: 4.17%, 3: 0.00%, 4: 0.00%, 5: 0.00%, 6: 0.00%, 7: 0.00%, 8: 0.00%, 9: 0.00%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 16: 0.00%, 17: 0.00%, 18: 0.00%, 19: 0.00%, 20: 0.00%, 21: 0.00%, 22: 0.00%, 23: 0.00%, 24: 0.00%, 25: 0.00%, 26: 0.00%, 27: 0.00%, 28: 0.00%, 29: 0.00%, 30: 0.00%, 31: 0.00%, 32: 0.00%, 33: 0.00%, 34: 0.00%, 35: 0.00%, 36: 0.00%, 37: 0.00%, 38: 0.00%, 39: 0.00%, 40: 0.00%, 41: 0.00%, 42: 0.00%, 43: 0.00%, 44: 0.00%, 45: 0.00%, 46: 0.00%, 47: 0.00%, 48: 0.00%, 49: 0.00%, 50: 0.00%,
 Response: | Success:               | Total:
 OK:       |           21 ( 87.50%) |           21 ( 84.00%)
 NXDOMAIN: |            1 (  4.17%) |            1 (  4.00%)
 SERVFAIL: |            2 (  8.33%) |            3 ( 12.00%)
 REFUSED:  |            0 (  0.00%) |            0 (  0.00%)
 FORMERR:  |            0 (  0.00%) |            0 (  0.00%)
  • Los 8-9 segundos no importan aquí, pero cuando haces esta prueba con más de 500 dominios. El tiempo que tardan 599 dominios es de 11 segundos, lo cual es notablemente bueno
Processed queries: 599
 Received packets: 1146
 Progress: 100.00% (00 h 00 min 11 sec / 00 h 00 min 11 sec)
 Current incoming rate: 163 pps, average: 107 pps
 Current success rate: 12 pps, average: 55 pps
 Finished total: 587, success: 587 (100.00%)
 Mismatched domains: 559 (48.78%), IDs: 0 (0.00%)
 Failures: 0: 19.25%, 1: 60.65%, 2: 14.48%, 3: 2.73%, 4: 0.85%, 5: 0.00%, 6: 0.34%, 7: 0.17%, 8: 0.00%, 9: 0.17%, 10: 0.00%, 11: 0.00%, 12: 0.00%, 13: 0.00%, 14: 0.00%, 15: 0.00%, 16: 0.00%, 17: 0.00%, 18: 0.00%, 19: 0.00%, 20: 1.02%, 21: 0.34%, 22: 0.00%, 23: 0.00%, 24: 0.00%, 25: 0.00%, 26: 0.00%, 27: 0.00%, 28: 0.00%, 29: 0.00%, 30: 0.00%, 31: 0.00%, 32: 0.00%, 33: 0.00%, 34: 0.00%, 35: 0.00%, 36: 0.00%, 37: 0.00%, 38: 0.00%, 39: 0.00%, 40: 0.00%, 41: 0.00%, 42: 0.00%, 43: 0.00%, 44: 0.00%, 45: 0.00%, 46: 0.00%, 47: 0.00%, 48: 0.00%, 49: 0.00%, 50: 0.00%,
 Response: | Success:               | Total:
 OK:       |          485 ( 82.62%) |          888 ( 77.49%)
 NXDOMAIN: |           81 ( 13.80%) |          121 ( 10.56%)
 SERVFAIL: |           21 (  3.58%) |          137 ( 11.95%)
 REFUSED:  |            0 (  0.00%) |            0 (  0.00%)
 FORMERR:  |            0 (  0.00%) |            0 (  0.00%)
  • La latencia de tiempo por la herramienta de excavación es de aproximadamente 10 minutos en el laboratorio, que es alta en comparación con MASSDNS

El cargo Como escanear todos los puertos del Internet| 350 mil dominios, IPs por segundo apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente