Cómo hacer una campaña de phishing paso a paso con Phishing Frenzy

Phishing Frenzy es una aplicación de código abierto en Ruby on Rails que pueden adoptar los pentesters para gestionar campañas correo de electrónico de phishing. El proyecto lo inició en 2013 Brandon "zeknox" McCann para hacer más eficiente el proceso haciendo las campañas de phishing lo más realistas posibles a través de su gestión, reutilización de plantillas, generación de estadísticas y otras características.

Vamos a hacer una campaña de ejemplo para que os hagáis una idea del uso de la herramienta y de sus posibilidades. Para ello, vamos a idear un phishing falsificando la página de login de LinkedIn, recopilando las direcciones de correo de una empresa y enviando como gancho un mensaje con un enlace a una supuesta oferta de empleo.

Empezaremos instalando Phishing Frenzy en una máquina virtual Kali Linux pero, en lugar de invertir más de una hora en instalar paso a paso lo necesario, vamos a aprovechar Docker para bajarnos directamente el contenedor y empezar a usarlo en tan sólo unos minutos.

Para ello nos traemos e instalamos directamente el repositorio:

vmotos@kali:~$ sudo docker pull b00stfr3ak/ubuntu-phishingfrenzy

Confirmamos que la imagen se ha instalado correctamente:

vmotos@kali:~$ sudo docker images
REPOSITORY                         TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
b00stfr3ak/ubuntu-phishingfrenzy   latest              3863078923b4        3 months ago        1.24 GB

Y ejecutamos:

vmotos@kali:~$ sudo docker run -d -p 80:80 b00stfr3ak/ubuntu-phishingfrenzy
c8c31f9e4979ab6e272cc816ad021da2f88d8ce3095c98403001a02529b03fd8            3863078923b4        3 months ago        1.24 GB

Recopilatorio de aplicaciones y sistemas vulnerables para practicar

Aman Hardikar recopila en su web un interesante recopilatorio de aplicaciones y sistemas vulnerables para practicar. No os perdáis tampoco su mindmap. Bon Appétit!

Aplicaciones web vulnerables
OWASP BWA http://code.google.com/p/owaspbwa/
OWASP Hackademic http://hackademic1.teilar.gr/
OWASP SiteGenerator https://www.owasp.org/index.php/Owasp_SiteGenerator
OWASP Bricks http://sourceforge.net/projects/owaspbricks/
OWASP Security Shepherd https://www.owasp.org/index.php/OWASP_Security_Shepherd
Damn Vulnerable Web App (DVWA) http://www.dvwa.co.uk/
Damn Vulnerable Web Services (DVWS) http://dvws.professionallyevil.com/
WebGoat.NET https://github.com/jerryhoff/WebGoat.NET/
PentesterLab https://pentesterlab.com/
Butterfly Security Project http://thebutterflytmp.sourceforge.net/
Foundstone Hackme Bank http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx
Foundstone Hackme Books http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx
Foundstone Hackme Casino http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx
Foundstone Hackme Shipping http://www.mcafee.com/us/downloads/free-tools/hacmeshipping.aspx
Foundstone Hackme Travel http://www.mcafee.com/us/downloads/free-tools/hacmetravel.aspx
LAMPSecurity http://sourceforge.net/projects/lampsecurity/
Moth http://www.bonsai-sec.com/en/research/moth.php
WackoPicko https://github.com/adamdoupe/WackoPicko
BadStore http://www.badstore.net/
WebSecurity Dojo http://www.mavensecurity.com/web_security_dojo/
BodgeIt Store http://code.google.com/p/bodgeit/
hackxor http://hackxor.sourceforge.net/cgi-bin/index.pl
SecuriBench http://suif.stanford.edu/~livshits/securibench/
SQLol https://github.com/SpiderLabs/SQLol
CryptOMG https://github.com/SpiderLabs/CryptOMG
XMLmao https://github.com/SpiderLabs/XMLmao
Exploit KB Vulnerable Web App http://exploit.co.il/projects/vuln-web-app/
PHDays iBank CTF http://blog.phdays.com/2012/05/once-again-about-remote-banking.html
GameOver http://sourceforge.net/projects/null-gameover/
Zap WAVE http://code.google.com/p/zaproxy/downloads/detail?name=zap-wave-0.1.zip
PuzzleMall http://code.google.com/p/puzzlemall/
VulnApp http://www.nth-dimension.org.uk/blog.php?id=88
sqli-labs https://github.com/Audi-1/sqli-labs
Drunk Admin Web Hacking Challenge https://bechtsoudis.com/work-stuff/challenges/drunk-admin-web-hacking-challenge/
bWAPP http://www.mmeit.be/bwapp/
http://sourceforge.net/projects/bwapp/files/bee-box/
NOWASP / Mutillidae 2 http://sourceforge.net/projects/mutillidae/
SocketToMe http://digi.ninja/projects/sockettome.php

Se acerca la II edición de BSides Colombia

En su segundo año, BSides Colombia sigue buscando proponer un evento diferente en Colombia que logre reunir a entusiastas, profesionales, novatos, estudiantes y todos los involucrados en seguridad de la información en un espacio dedicado al conocimiento y la innovación sobre este tema.

El 1 y 2 de Septiembre se abrirá este espacio con 3 entrenamientos; botnets 102, auditoria de contraseñas y pentesting con python, las cuales serán un espacio para que los asistentes puedan aprovechar al máximo entrenamientos de la más alta calidad a un valor especial creado para atraer a los seguidores de BSides Colombia.

El 3 y 4 de Septiembre empiezan las charlas, donde por medio de un CFP que estará abierto hasta el 31 de Julio, se esperan propuestas de investigación, nuevas herramientas, experiencias frente a seguridad de la información, que puedan generar el mejor ambiente de conocimiento, dentro de un evento informal, donde la investigación y el desarrollo de nuevas ideas inspire a los asistentes a vivir la seguridad como se debe... con pasión.

En la página principal de Security BSides se define el evento como un framework creado por la comunidad para construir eventos para y por los miembros de la comunidad de seguridad. Donde su objetivo sea expandir el espectro de la conversación mas allá de los confines tradicionales del tiempo y el espacio.

Bajo esta filosofía, este año BSides Colombia quiere ofrecer a todos los asistentes retos, espacios interactivos que permitan  una discusión real de cómo debe ser la seguridad dentro del entorno especifico del país y hacia donde se deben generar los nuevos desarrollos que permitan dar solución a problemáticas reales.

Este año el evento espera convertir a los asistentes de consumidores a practicantes de seguridad de la información generando una conciencia más amplia frente al sentido que tiene vivir la seguridad y no solo entrar a un consumo de productos de seguridad sin la claridad de las necesidades y amenazas que deben apoyar la decisión de ese consumo.

Con todas estas ideas los esperamos en BSides Colombia 2015 del 1 al 4 de Septiembre, toda la información se puede encontrar en www.b-sides.co.


El twitter del evento es: https://twitter.com/BSides_CO

¿Cuál es la normativa actual para volar drones en España?

Recientemente publicaron en Youtube un vídeo en el que se mostraba disparando a un dron casero multirotor con una pistola semiautomática integrada. Podéis imaginar el gran impacto y repercusión que tuvo este vídeo con el que (por fin) empezaron a vislumbrar los peligros del uso de drones en el plano civil. Seguramente cualquiera que acople un arma a un dron de menos de 100€ y lo eche a volar tendrá problemas pero, ¿qué es exactamente lo que podemos hacer de forma legal con los drones?
 
En España hace solo un año que el Gobierno aprobó de forma acelerada un decreto ley temporal. Concretamente desde julio de 2014, la Agencia Estatal de Seguridad Aérea (AESA) contempla los drones como aeronaves pilotadas por control remoto y regula su uso civil para fines comerciales. Eso sí, si el dron pesa más de 150 kg, deberemos remitirnos a la normativa de la EASA (European Aviation Safety Agency)


La siguiente infografía de la agencia EFE resume perfectamente la legislación actual en España hasta que se actualice la norma (antes de 2016):
  

Eso sí, si simplemente vamos a pilotar un dron para divertirnos, sin ningún fin comercial, legalmente no es un dron, sino un vehículo de radiocontrol, y está bajo la jurisdicción de la Real Federación Aeronáutica de España y de cada comunidad autónoma. Aunque en ese caso también hay restricciones. El aparato no puede volar a altitudes superiores a los 100 metros de altura, ni sobre núcleos urbanos o lugares habitados. De hacerlo, podríamos enfrentarnos a sanciones si alguien te denuncia. El uso deportivo o lúdico de drones será también regulado en la nueva normativa.

Fuentes:
- 'Drones' sí, pero seguros: el Gobierno aprueba una ley para regular su uso
 -Proyecto de Real Decreto por el que se regula la utilización civil de las aeronaves pilotadas por control remoto
- BOE del sábado 5 de julio de 2014
- Drones para dummies
- El ataque de los drones piratas
- La Normativa española de drones en la UE
- De territorio sin ley a tener tres: así están regulados los drones en España 
- Nueva normativa de drones – Abril 2015
- Nueva ley sobre el uso de drones en España
- ¿Está prohibido volar drones en España? Esta es la normativa
- La nueva normativa sobre drones estudia permitir su vuelo en zonas urbanas
- Drones: La legislación en España sobre sus vuelos

- Europa apuesta por los drones – legislación europea de drones 

Instalando Docker en Kali Linux y echando un vistazo a su seguridad por defecto (Docker Bench for Security)

Docker nació en 2013 y básicamente es una plataforma para crear, distribuir y administrar aplicaciones Linux en contenedores. Utiliza la capacidad del kernel de Linux de crear entornos aislados como si fuera un "chroot con esteroides" y lo hace principalmente mediante:

- cgroups (desde la versión 2.6.29) que limita, controla y aísla el uso de los recursos (CPU, memoria, disco E/S, red, etc.) de un conjunto de procesos.
- namespaces que "envuelve" los procesos de una instancia aislada en espacios de nombres para abstraerlos de los recursos globales.

Las últimas versiones han introducido drivers y una librería llamada libcontainer, que ayuda a que Docker sea totalmente multiplataforma, teniendo compatibilidad con Windows y Mac OS X e incluso distintos servicios en la nube:


https://docs.docker.com/installation/

¿Por qué Docker mola tanto?

Piensa ¿para qué levantar una máquina virtual para ejecutar una determinada aplicación si podemos hacerlo simplemente desde un contenedor en nuestro sistema operativo de una forma mucho más transparente, rápida y liviana?

Docker además simplifica el despliegue y distribución de aplicaciones. Imagina la posibilidad de tener todo el entorno para la aplicación y publicar los cambios que se realicen fácilmente, además de hacer todo el despliegue en producción de una manera bastante fácil y profesional.

Las ventajas son claras y por eso Docker es tan popular. El uso de contenedores se está extendiendo poco a poco y cada vez más entre la comunidad TI así que nosotros también vamos a empezar a usar Docker y algunos contenedores interesantes...

'Zero Days', el documental

VPRO (el organismo de radiodifusión pública holandesa) produjo un documental de 45 minutos sobre hacking y el comercio de los 0-days. El documental ha sido publicado en Inglés en Youtube.

El documental cuenta con Charlie Miller, Joshua Corman, Katie Moussouris, Ronald Prins, Dan Tentler, Eric Rabe (de Hacking Team), Felix Lindner, Rodrigo Branco, Ben Nagy, El Grugq y muchos otros. ¿Subtítulos en español?

Un unicornio y powershell para evadir antivirus

Ya en 2010, en la conferencia BlackHat, David Kennedy ("ReL1K") y Josh Kelley ("Winfang") hablaban de Powershell como un vector de ataque con el que podían implementar un shell directo o inverso difícil de detectar por AV y HIPS, incluso FUD.

Microsoft Windows 7 SP1 y Windows Server 2008 R2 fueron las primeras versiones en incluir PowerShell (versión 2.0) instalado por defecto y desde entonces se ha ido siempre incluyendo en las versiones posteriores. Hoy, Windows Server 2012 R2 y Windows 8.1 incluyen la versión 4.0 de PowerShell. Por lo tanto usar PowerShell para atacar a una máquina Windows es buena idea.

En esta entrada vamos a ver Unicorn, un script en Python escrito precisamente por David Kennedy (Trustedsec) y que se basa en una técnica que presentó junto con Josh Kelley en la Defcon 18: un downgrade en Powershell para inyectar un shellcode en memoria.

En la última release 2.0 de la herramienta se incluyen distintos tipos de ataque (macro, html/hta, crt, ps1) y para llevarlos a cabo sólo tenemos que descargarnos el script y tener instalado por defecto Metasploit.

$ wget https://raw.githubusercontent.com/trustedsec/unicorn/master/unicorn.py

Commix: herramienta todo-en-uno para explotar vulnerabilidades de inyección de comandos

Commix ([comm]and [i]njection e[x]ploiter) es una herramienta de Anastasios Stasinopoulos (@ancst) que te permitirá encontrar y explotar de forma muy fácil y rápida vulnerabilidades de inyección de comandos en ciertos parámetros y cadenas vulnerables de un servidor web. 


Está escrito en Python (2.6.x o 2.7.x) y está incluida en los repositorios oficiales de:

Pre-instalada en:
O puedes clonar directamente el repositorio Git:

git clone https://github.com/stasinopoulos/commix.git commix

Para obtener una lista de todas las opciones disponibles:

python commix.py -h

Realiza ataques de phishing en un santiamén con SPF (SpeedPhish Framework)

¿Estás en el chiringuito de playa y sientes la necesidad de juakear a algo o a alguien?, ¿sientes la llamada de la ingeniería social? ¿qué tal un phishing rápido?. Déjame decirte primero que estás enfermo... y luego hablarte de SPF (SpeedPhish Framework), una herramienta escrita en python diseñada para realizar un rápido reconocimiento y desarrollo de phishings. Así que levanta la tapa de tu netbook y empieza a teclear...

Requisitos & instalación

apt-get update
apt-get upgrade -y
apt-get install build-essential python-dev python-pip phantomjs -y
pip install dnspython
pip install twisted
git clone https://github.com/tatanus/SPF.git

Ejecución

cd spf
python spf.py --all -d dominio.com (si has configurado previamente la pasarela SMTP y no quieres mandar los correos a las víctimas usa mejor --test)

[!] A CONFIG FILE was not specified...  defaulting to [default.cfg]

/home/vmotos/SPF/spf/dominio.com/
/home/vmotos/SPF/spf/dominio.com/spf.sqlite
/home/vmotos/SPF/spf/dominio.com/spf.sqlite

¿Tiene tu empresa algún control para detectar que se está transmitiendo información sensible hacia Internet? Compruébalo con Egress-Assess

Reconozcámoslo, si hoy la ciberseguridad seguridad informática está tan de moda es en gran parte debido a los grandes escándalos de los famosos 'leaks' en los que se filtra públicamente información confidencial. Desde Sony a Hacking Team, cualquier empresa (por fin) teme el azote de las incursiones informáticas que derivan en el robo de información. Como decimos, muchas veces esta información acaba expuesta o simplemente es explotada para realizar otras actividades tan divertidas como la usurpación de identidades, el desfalco de cuentas bancarias, otras extorsiones, etc.

La mayoría de estos robos de información se realizan remotamente a través de Internet. El modus operandi normal es que un atacante consigue comprometer alguno de los sistemas dentro de la red de la empresa y transfiere toda la información mediante FTP, SFTP, SCP, HTTP, HTTPS u otro canal encubierto. No podemos asegurar al 100% que nuestros sistemas sean invulnerables (¡hola 0-days!) pero, si la información atraviesa nuestra seguridad perimetral (firewalls, NIDS u otras pasarelas), podemos revisar el tráfico en busca de patrones como números de identificación personales, tarjetas de crédito u otra información sensible.

Por poner un ejemplo (os prometo sin intención comercial), mediante un firewall Fortigate podríamos usar su funcionalidad de Data Leak Prevention que incluye sensores para evitar la fuga de información como información de tarjetas sobre mail y http. Aplicando ese sensor no se debería subir por http o enviar por mail un número de tarjeta:



¿Tiene tu empresa algún control similar para detectar que se está transmitiendo este tipo de información sensible?

Evita que el AV detecte tu payload de Metasploit con SideStep

SideStep es un script en python que podemos usar para que nuestros payloads de Metasploit no sean detectados por los antivirus. Las técnicas fundamentales que utiliza son:

- Cifra el shellcode de Meterpreter generado con msfvenom mediante AES de 128 bits (utilizando la biblioteca de C++ CryptoPP) con una clave generada aleatoriamente. El payload se descifra justo antes de la ejecución.
- Cambia aleatoriamente todos los nombres de variables y funciones. El tamaño de los nombres y las funciones se puede configurar.
- Crea una función que comprueba la hora local del host, luego hace un bucle durante una suma configurable de segundos al principio del programa para evadir sandboxes de AV. También se añade como parámetro un generador DH que suma tiempo extra al inicio.
- Mete el ejecutable con un número configurable de variables que tienen valores aleatorios de tamaño configurable. Estas variables están antes de la llamada a la función main().
- Si Cygwin está presente, utiliza strip para eliminar símbolos de depuración y otra información útil para el reversing.
- Si se usa peCloak, se codificarán las instrucciones de ensamblado en el último paso.

Mastercard usará selfies para hacer más seguras las transacciones

MasterCard está preparando un programa piloto para ayudar a los compradores a mejorar la seguridad de sus transacciones tomando fotos de sí mismos.
El programa se centra en la autenticación biométrica, incluyendo métodos tales como la identificación facial, el reconocimiento de voz y el ritmo cardíaco, a través de una pulsera portátil.

"C
reo que la nueva generación, basada en selfies tendrá mucha aceptación. La adoptarán. Queremos identificar a las personas por lo que son, no por lo que ellos recuerdan", dijo Ajay Bhalla, responsable de seguridad de MasterCard.

Según la compañía, para 2018 se espera que los pagos mediante dispositivos móviles representen el 30% del total de las ventas online de los minoristas y el nuevo estándar llevará la infraestructura de seguridad más allá de la era del PC, dando soporte a las tecnologías emergentes y a las necesidades cambiantes de los consumidores.

MasterCard dijo que su programa piloto dará como resultado muchos menos problemas con las contraseñas en los puntos de venta. Los titulares de las tarjetas podrán identificarse con contraseñas de un sólo uso o mediante biometría con sus huellas digitales, en lugar de usar contraseñas estáticas.

Según MasterCard Advisors, un consumidor típico puede tener un número de tarjeta almacenado en cinco o más ubicaciones y los consumidores han permitido que miles de comerciantes guarden miles de millones de números de tarjetas de crédito y débito con su nombre.

MasterCard anunció el año pasado un nuevo protocolo, que está siendo creado junto con Visa y que podría ser adoptado en 2015, reemplazando gradualmente al protocolo 3DSecure actual el cual requiere una contraseña para hacer compras online. Tanto MasterCard y Visa están realizando pruebas comerciales para aplicaciones faciales y de reconocimiento de voz para autenticar los titulares de tarjetas.
Así es como funciona el nuevo protocolo de seguridad, de acuerdo con MasterCard y BBC:

Tienes que descargar la aplicación móvil de MasterCard para utilizar la función. MasterCard pedirá autorización mediante una ventana emergente después de intentar pagar por algo. Si eliges la huella digital, todo lo que necesitas es un toque. Si optas por reconocimiento facial, hay que mirar fijamente al teléfono - parpadear una vez - y ya está. Los investigadores de seguridad de MasterCard decidieron que parpadear es la mejor manera de prevenir que un ladrón engañe al sistema simplemente sosteniendo una foto.

Bhalla prometió también que MasterCard no será capaz de reconstruir una cara - y que la información se transmitirá de forma segura y permanecerá segura en servidores de la empresa.

Fuente: MasterCard to Use Selfies to Ensure Safer Transactions

5 preguntas y respuestas sobre el hackeo a Hacking Team y su relación con el CNI español

Como muchos ya sabéis, Hacking Team (en adelante HT), la empresa italiana conocida por vender herramientas de hacking a muchos gobiernos (incluidos a aquellos que no respetan los derechos humanos, los que persiguen a activistas e incluso a sus propios ciudadanos) fue comprometida y el pasado domingo se filtraron más de 400 gigas de datos confidenciales. El resultado fue que muchos países y agencias gubernamentales se han visto señalados por contratar sus servicios, entre ellos la Policía y el Centro Nacional de Inteligencia (CNI).


Estas son las principales preguntas que nos habéis hecho al respecto y nuestras respuestas:

1.- ¿Qué ha contratado el Gobierno español?

El Portal de exploits de la solución RCS (Remote Control System) de HT, también llamada Galileo, tiene cuatro categorías:


- Social: no se aprovecha de ninguna vulnerabilidad de aplicación si no de la inocencia del comportamiento de los usuarios, por ej. ejecutar un fichero que parece un documento de office, etc.
- Público: la vulnerabilidad es conocida y podría haber sido ya parcheada en las últimas versiones del software objetivo. El código del exploit es público.
- Privado: la vulnerabilidad es conocida pero el código del exploit no es público.
- Zero-Day: la vulnerabilidad no es conocida y hasta las últimas versiones de software son vulnerables. HT provee 3 exploits funcionales durante el año o el periodo de contrato. Si uno de ellos es parcheado HT facilitaría uno nuevo.

En el caso del CNI al menos hay evidencias de la contratación del uso del portal de exploits en su última categoría (vulnerabilidades de día-0) y módulos adicionales para atacar plataformas de escritorio (Win32/Win64, MacOS X) y móviles (Windows Mobile, iPhone, Symbian, BlackBerry, Android). 


Ejemplo práctico de cómo subir una shell (Weevely) a un servidor web vulnerable (CuteNews) & post-explotación

En esta entrada vamos a ver un ejemplo práctico de cómo subir una shell a un servidor web vulnerable. 

En el escenario de las pruebas explotaremos una vulnerabilidad que permite subir ficheros remotamente incluso en las últimas versiones de CuteNews, un sistema de gestión de noticias/blog escrito en PHP que usa una "base de datos en archivos planos" u, opcionalmente, MySQL. 

Y como estamos trabajando con PHP, la web shell que hemos elegido es Weevely que nos facilitará una consola de comandos remota contra el servidor con un montón de módulos que ponen a nuestra disposicion un framework extensible con muchas posibilidades post-explotación para escalar privilegios y pivotar hacia redes internas. Sus características son:

- terminal de red Shell/PHP tipo telnet
- audita fallos de configuración del servidor
- consola SQL para pivotar sobre el objetivo
- proxy HTTP sobre el objetivo
- monta el sistema de ficheros de la víctima como local
- conduce escaneos de red pivotando sobre el objetivo
- descarga y sube ficheros
- instalar shells TCP directos o inversos
- hace fuerza bruta de cuentas de servicio
- comprime y descomprime archivos zip, gzip, bzip2 y tar

Además Weevely utiliza un agente backdoor (script php) cuyo código es polimórfico y difícilmente detectable por antivirus e HIDS y las comunicaciones están encubiertas y ofuscadas dentro del protocolo HTTP usando técnicas esteganográficas.

¿Suena bien verdad?

Tex: Herramienta de Web Pentesting para recogida de información

Tex es una Herramienta desarrollada por Antrax810 en Python, actualmente se encuentra en su primera versión.
Fue desarrollada para utilizarse en la primera fase de un Pentest "Recogida de Información", en el cual se necesita saber la correlación con otras empresas, archivos públicos, entre otras cosas.

Utilidad: 

  •     Web Crawler
  •     Divide subdominios y enlaces externos encontrados
  •     Finder Admin
  •     Busqueda de Archivos PDF
  •     Descargar los Archivos PDF encontrados
Requisitos:
  •     Python 2.7.x.
  •     Tener el Modulo pycurl (Si se corre sobre alguna distribución de Linux, no es necesario descargarla, ya que la tiene por defecto).
  •     Todas las clases deben de estar en la misma ruta.
Se decidió hacerla Open Source desde GitHub para que la comunidad ayude a mejorar la Herramienta, y agregue otras utilidades.

¿Como usarla?

    Dirigirse desde la Terminal o CMD a la ruta en donde esta alojado el proyecto.
    Ejecutar Main.py seguido de los parametros.

Parámetros:

    -d : (Objetivo-Target).
    -t : (Numero de Hilos-Number of Threads) Default 5.
    -l : (Limite de paginas a Analizar-Limit pages to Analyze) Default 100000.
    -h : (Tiempo en minutos-Time in minutes) Default 5.
    -i : (1.- Espanol / 2.- English) Default 1.- Espanol.
    -f: (Buscar pagina de Login-Search page Login) Default No.



Descargar . GitHub

pd. Si tu también has desarrollado tu propia herramienta y quieres hablar de ella no lo dudes y escríbenos!

#ProxyHam, un dispositivo que te mantendrá alejado hasta 4kms de la ubicación de tu IP

Ben Caudill presentará en la próxima Def Con de Las Vegas ProxyHam, un dispositivo que hará las delicias de los defensores de la privacidad y el anonimato en Internet. Digamos que se trata de un router wifi de larga distancia que puede transmitir la señal a más de 4 kms en condiciones ideales.

Imaginar lo que significa esto... en escenarios donde las autoridades logren identificar la IP y vayan a buscar a un atacante, sólo encontrarán un ProxyHam transmitiendo una señal de radio de 900MHz a cientos o miles de metros en cualquier dirección...

Como podemos ver en la descripción de la charla de Caudill en la Def Con:

"Si bien una serie de tecnologías (tales como Tor) pueden proporcionar cierto nivel de anonimato, existe todavía un defecto fundamental: una relación directa entre la dirección IP y la localización física. Si tu verdadera IP es descubierta, se acabó el juego - una amenaza significativa cuando tu adversario es propietario de la infraestructura.

Para resolver este problema, presento ProxyHam, un dispositivo de hardware que utiliza tanto WiFi como la banda de 900Mhz para actuar como un proxy de hardware, encaminando el tráfico local a través de una red inalámbrica lejana - y aumentando significativamente la dificultad para identificar la verdadera fuente del tráfico. Además de una demostración del propio dispositivo, se publicará libremente los esquemas de hardware completos y el código
".

En cuanto al propio dispositivo, se compone de un Raspberry Pi con Wi-Fi activado, junto con una instalación que consta de tres antenas, una para conectar a una red Wi-Fi de origen y las otras dos para transmitir la señal Wi-Fi a una frecuencia de 900 MHz.

Con el fin de captar la señal de largo alcance, los usuarios tendrán que conectar una antena de 900 MHz a su ordenador, algo así:



Además, para evitar la detección de la señal radio en el extremo del usuario, las señales inalámbricas de ProxyHam están diseñadas para ser indistinguibles entre los muchos teléfonos inalámbricos que utilizan la misma frecuencia. Y Caudill dice que el surgimiento de más aparatos inalámbricos conectados a Internet va a proporcionar más cobertura a los usuarios ProxyHam con el tiempo: "Hay un montón de dispositivos que van a saltar en ese espacio y comunicarse por ahí", dice. "No es posible decir 'vamos a perseguir a todos los que tienen este dispositivo de comunicación en esta frecuencia', es una aguja en un pajar".

Fuentes:
- New Device Provides Secure and Anonymous Wi-Fi With an Incredible 2.5-mile Range
- This Online Anonymity Box Puts You a Mile Away From Your IP Address
- With This Device You Can Connect Anonymously To Wi-Fi 2.5 Miles Away

Bypass de NoScript por menos de 11$

Cuando instalamos el complemento NoScript por primera vez en nuestro navegador, se incluye una Lista Blanca con un montón de sitios CDN/populares, en los que se confía por defecto para ejecutar Java/Flash/JavaScript, incluso si NoScript se configura para prohibir los scripts globalmente.

Puedes comprobarlo directamente en la pestaña Lista Blanca en las opciones de NoScript:



La lista, a fecha de esta entrada, es la siguiente:
addons.mozilla.org
afx.ms
ajax.aspnetcdn.com
ajax.googleapis.com
bootstrapcdn.com
cdnjs.cloudflare.com
code.jquery.com
firstdata.com
firstdata.lv
flashgot.net
gfx.ms
google.com
googlevideo.com
gstatic.com
hotmail.com
informaction.com
live.com
live.net
maone.net
mootools.net
mozilla.net
msn.com
noscript.net
outlook.com
passport.com
passport.net
passportimages.com
paypal.com
paypalobjects.com
persona.org
prototypejs.org
securecode.com
securesuite.net
sfx.ms
tinymce.cachefly.net
wlxrs.com
yahoo.com
yahooapis.com
yandex.st
yimg.com
youtube.com
ytimg.com
about:
about:addons
about:blank
about:blocked
about:certerror
about:config
about:crashes
about:home
about:memory
about:neterror
about:plugins
about:preferences
about:privatebrowsing
about:sessionrestore
about:srcdoc
about:support
blob:
chrome:
mediasource:
moz-safe-about:
resource:

¿Por qué tenemos por defecto que confiar en estos dominios?
Incluso Matthew Bryant, el que cursó esta investigación, se dio cuenta de que el dominio “zendcdn.net” llevaba un largo tiempo sin existir. Cualquiera podría haberlo comprado y ejecutar scripts sin que NoScript si quiera nos avisara, dándonos una falsa sensación de seguridad.


Afortunadamente él lo compró por $10.69, hizo una PoC y lo reportó a Giorgio Maone que en seguida lo sacó de la lista.



El otro problema es que se confía no sólo en esos dominios, si no también en los subdominios correspondientes si no se precede la expresión “http(s)://”. Si cualquier servidor en estos dominios o subdominios tiene un XSS almacenado o cualquier otra vulnerabilidad, ejecutaremos el script malicioso a pesar de NoScript.

La recomendación al instalar NoScript por primera vez es por tanto 1/ eliminar todas las entradas que incluye por defecto la lista blanca y 2/ añadir siempre el prefijo “http(s)://”.

Fuente: The NoScript Misnomer – Why should I trust vjs.zendcdn.net?