Category Archive Seguridad

Byadmin

Ethical hacking: pentesting con Kali Linux

Actualmente existen diversas herramientas para realizar una auditoría en busca de vulnerabilidades también denominada prueba de penetración o pentesting. El pentesting consiste en atacar un sistema informático para identificar fallos y vulnerabilidades para así poder prevenir los ataques externos.

Nmap es una herramienta que no puede faltar a la hora de realizar una prueba de penetración aunque Kali Linux cuenta con Metasploit Framework el cual integra Nmap como parte de su paquete de herramientas de penetración.

Para este análisis de prueba de penetración  en primer lugar veremos el uso de Nmap  y luego Metasploit Framework.

Las pruebas de penetración se pueden dividir en varias etapas: tenemos que conocer la ip del servidor, computadora o sitio Web al que deseamos auditar, buscar vulnerabilidades e intentar acceder.

Es muy probable que en la red del servidor que deseamos auditar exista un firewall o políticas de control de acceso (ACL) en su router o SO (Sistema Operativo) que impidan realizar una prueba de ping para traducir su dirección IP.

Supongamos que deseamos conocer la dirección IP de ww.mixxxsoft.com para ello abrimos la terminal y realizamos una prueba de ping.

ping www.mixxxsoft.com

 

ping

Excelente ahora sabemos que su dirección IP es 40.113.200.201

Para analizar un escaneo de vulnerabilidades con Nmap deberíamos ejecutar en la terminal el siguiente script:

nmap -f -sS -sV -Pn --script auth 40.113.200.201

Auth: Este script realizará una búsqueda para saber si existen servicios con usuarios con contraseñas vacías.

-Pn: es para forzar la prueba en el caso de existir un firewall o política de seguridad para impedir la respuesta de ping.

-v : verbose

-sV : Con esto obtenemos la versión del servicio que esta corriendo bajo un puerto determinado.

Como resultado Nmap mostrará los puertos, estado del servicio y su versión como se muestra en la siguiente imagen.

nmap auth

En este caso podemos ver que microsoft utiliza fingerprint para las peticiones entrantes. fingerprint es una excelente solución para asignar a cada usuario o visitante Web un identificador único (ID). fingerprint también es muy utilizado en las entidades bancarias a fin de evitar fraudes. En este link https://github.com/fingerprintjs/fingerprintjs2 encontrarás toda la información para poder implementar fingerprint.

fingerprint toma en cuenta los datos del visitante para generar su ID, es un hash que se genera tomando en cuenta los siguientes datos del usuario o visitante (del lado del cliente): el sistema operativo, el tipo y versión de navegador, resolución de pantalla, movimiento del mouse, dirección de red, tiempo de conexión, ubicación geográfica y otros datos que deseen agregar.

Vuln: Nmap cuenta con este script para buscar las vulnerabilidades más conocidas.

Para realizar una búsqueda de las vulnerabilidades más conocidas ejecuta

nmap -f --script vuln {idrección-ip}

 

Explotando una vulnerabilidad con Metasploit Framework

Para comenzar la prueba de penetración con Metasploit Framework debemos de iniciar su consola con el siguiente comando desde la terminal
> msfconsole

metasploit-console

Desde la consola de Metasploit podemos realizar consultas para comenzar a recopilar información con Nmap. Para utilizar Nmap desde Metasploit debemos anteponer la consulta de nmap con db_nmap
db_nmap {dirección ip} -p 1-65535

En el caso en que se ha encontrado información de un servicio en especial es posible determinar si el mismo es vulnerable. Desde la consola,se realiza una búsqueda de un exploit en para ese servicio y luego se ejecutará la explotación sobre este servicio.
Para realizar la búsqueda del exploit para el servicio potencialmente vulnerable se debe realizar la consulta desde la consola:

search cve:{código CVE}

Supongamos que encontramos el código de vulnerabilidad 279

Buscamos el código para ver los exploits que podemos utilizar

search cve: 279

search 279

Para utilizar el exploit se introduce el comando use seguido de la ruta del exploit seleccionado. En este caso el comando sería el siguiente:

use exploit/multi/http/phpmyadmin_preg_relpace

Luego podemos ver las opciones de este exploit con el comando show options.

Para ejecutar las opciones que presenta cada exploit introducimos el comando set {opción}
show-options-y-set

Luego debemos de seleccionar el Payload adecuado una vez que se haya explotado con éxito la vulnerabilidad
Mediante el comando “show payloads” se pueden ver  cuáles son compatibles con la arquitectura seleccionada.

show payloads

De igual manera podemos consultar las opciones con en el comando show options

Luego de configurar cada opción del payload debemos ejecutar el exploit con el comando exploit y Metasploit realizará todo el trabajo.

De resultar todo bien Metasploit mostrará un mensaje en la consola y así ya puedes ejecutar comandos en el servidor atacado.

 

Metasploit se divide básicamente en los siguientes grupos

Exploits: Todos los exploits disponibles  que podemos utilizar. Estan dividos por SO y categorías. Por ejemplos todos los exploits para el navegador de Windows en: exploits/windows/browser/
Payloads: Acciones que se van a realizar si se logra explotar la vulnerabilidad que seleccionamos.

windows/shell/reverse_tcp  para obtener la shell inversa de Windows.

Auxiliary: son scripts con funciones de scan. Por ejemplo para escanear los puertos TCP/IP y sus servicios utilizamos  auxiliary/scanner/portscan/tcp

Enconders: Algoritmos de codificación para evadir antivirus.

help: Lista todos los comandos disponibles

show: Lista exploits, payloads, auxiliary encoders y nops. Si deseamos realizar una consulta para un tipo de categorá en especial podemos ejecutar por ejemplo show exploits

search Buscar por cualquier palabra clave. Ejemplo: search ssh

 

 

 

 

 

Byadmin

KylinOS v10: China lanzó el SO para reemplazar a Windows compatible con Android y 5G

KylinOS v10, China lanzó el Sistema Operativo para reemplazar a Windows en todas las computadoras de escritorio, servidores y dispositivos móviles a nivel nacional.
En su lucha por su independencia económica y tecnológica, China acelera el proceso de desarrollo e implementación del nuevo Sistema Operativo a escala nacional, tanto en sus oficinas gubernamentales como en la producción de dispositivos para su comercialización.

¿Dark Army vs Evil Corporation? China troll Trump?

El Sistema Operativo de la nueva Guerra fría para algunos, parte de la competencia del mercado para otros.

Aunque esta noticia tiene un impacto totalmente novedoso debido a las tensiones actuales entre los gobiernos de Estados Unidos y China, no es una novedad. Desde hace años que el gobierno Chino está reemplazando en implementaciones a gran escala de Sistemas operativos Linux por Windows. Por cada versión de Windows China ha tomado medidas para reforzar versiones de Linux/Unix en su reemplazo.
En el año 2014 el Gobierno Chino, en colaboración con empresas de desarrollo locales, anunció el reemplazo de Windows 8 y Windows XP (Fuente China Daily https://europe.chinadaily.com.cn/business/2014-05/20/content_17525492.htm)
En Agosto de 2020 China Electronics Corporation (CEC) lanzó un sistema operativo de desarrollo propio de nueva generación, Kylin V10, en la ciudad de Guangzhou, en el sur de China.

Desarrollado por Kylinsoft bajo la CEC y supervisión del Gobierno Popular de China, el Kylin V10 presenta una mejor experiencia de usuario y un ecosistema extendido más rico, con su nivel de seguridad ocupando el primer lugar en el país, dijo Kong Jinzhu, presidente ejecutivo de Kylinsoft.

Hasta ahora, el nuevo sistema operativo es compatible con más de 10,000 productos de hardware y software, incluidos CPU, firmware, plataforma en la nube y big data, producidos por más de 1,000 empresas nacionales y extranjeras, dijo Kong.

La compañía dijo que desarrollará productos que incluyen principalmente sistemas operativos de servidor, sistemas operativos de escritorio y sistemas operativos integrados, combinando inteligencia artificial, computación móvil y tecnologías de interconexión en la nube.

Fundada en marzo de este año, Kylinsoft fue integrada por dos empresas de software bajo la CCA, centrándose en el desarrollo de sistemas informáticos nacionales.

Byadmin

Ciberpatrullaje en Redes Sociales ¿qué es y cómo funciona?

Ciberpatrullaje en Redes Sociales ¿qué es y cómo funciona?

Ciberpatrullaje en Redes Sociales ¿qué es y cómo funciona?

Este jueves la Ministra de Seguridad Nacional Argentina, Sabrina Frederic, definió y argumentó el ciberpatrullaje como un mecanismo para prevenir incidentes sociales.

¿Qué es el ciberpatrullaje?

“El ciberpatrullaje es una modalidad de la ciberseguridad, que puede ser pensado en un sentido análogo al patrullaje físico: a través del monitoreo con cruzamiento de palabras clave, nos permite identificar la posible comisión de delitos para dar intervención a la Justicia, que dispone las investigaciones”, sostuvo la ministra en comunicación con Radio Mitre.

Argumentó el uso del ciberpatrullaje con el fin de  poder prevenir saqueos o combatir delitos cibernéticos como el grooming (Acoso sexual a niños y adolescentes en medios digitales).

Desde la oposición cuestionaron las declaraciones de la ministra considerando el ciberpatrullaje como un acto de espionaje por parte del gobierno aunque, en el día de hoy, la Ex ministra Patricia Bullrich reconoció el uso del ciberpatrullaje durante la gestión del ex Presidente Mauricio Macri.

Antecedentes de ciberpatrullaje

En el año 2011 durante una protesta social sus integrantes y periodistas lograron captar personal de  Gendarmería Nacional filmando a los ciudadanos presentes. Los periodistas realizaron una denuncia ante la Justicia y, en su investigación, Gendarmería Nacional reconoció la existencia del denominado Proyecto X formado por una unidad especial quienes poseen una base de datos creada en el año 2002 y actualizada en el año 2006.  La base de datos cuenta con información de nombres, teléfonos, direcciones, apodos, vinculaciones, vehículos, lugares, peritajes, orientación sexual, gustos y afinidades políticas de los ciudadanos.

En agosto de 2016 Patricia Bullrich, ministra de Seguridad del gobierno de Mauricio Macri, publicó una foto en sus redes sociales para mostrar el Centro de Comando y Control de la Gendarmería, sin advertir que se observaba en una de las pantallas que Gendarmería estaba controlando lo que los usuarios publicaban en sus redes sociales.

En octubre de 2017 se reveló que el proyecto no había sido desmantelado y estaba siendo utilizado para espiar a la familia de Santiago Maldonado.

¿Cómo funciona el ciberpatrullaje?

Existen herramientas en el mercado muy similares como las ofrecidas por IBM Watson específicamente en el paquete de soluciones IBM Tone Analizer.

Se trata de una herramienta de Machine Learning que funciona procesando el lenguaje natural (Natural Language Processing) la cual detecta automáticamente comentarios publicados en redes sociales dependiendo de ciertas palabras clave. Como todo sistema de Machine Learning (Lenguaje automático) necesita de ajustes cada cierto período de tiempo, para ayudar a comprender las interpretaciones del lenguaje humano.

Estas herramientas son de gran utilidad para dar respuestas a mensajes, post en redes sociales, Chatbots, emails, encuestas y feedback de clientes en una empresa ¿Cómo analizarías 1 millón de tweets para dar respuesta a tus clientes en menos de una hora?

 

¿Cómo puedes detectar emociones en el feedback de un sitio Web?

Justamente con herramientas como las ofrecidas por IBM o bien programando nuestra propia aplicación de análisis automático de “sentimientos”.

En sitios Web con miles de feedback diarios es casi imposible analizar manualmente cada respuesta o consulta y este tipo de herramientas son imprescindibles para tal función. Implementar un “lector” automático de “emociones” puede ayudarnos a indentificar y dar respuesta a nuestros clientes en un período de tiempo considerable.

En internet no dar respuesta a un cliente en menos de una hora es casi un suicidio comercial y, es por estos motivos, que Facebook informa el tiempo promedio de respuesta de un sitio Web.

En nuestra opinión es totalmente cuestionable el uso de este tipo de herramientas en por parte de los gobiernos siempre que se utilicen con buenos motivos.

¿Cómo puedo implementar un sistema de análisis de sentimientos en mi empresa?

Existen librerías de uso gratuito para desarrollar nuestra propia aplicación de análisis de sentimientos disponibles para descargar en el sitio de The Stanford NLP Group.

Pequeño ejemplo de código JAVA utilizando la librería de NLP Group (Sentiment Analysis Algorithm)

public static void main(String[] s) {
    Properties props = new Properties();
    props.setProperty("annotators", "tokenize, ssplit, pos, lemma, ner, parse, dcoref");
    StanfordCoreNLP pipeline = new StanfordCoreNLP(props);

    // read some text in the text variable
    String text = "\"But I do not want to go among mad people,\" Alice remarked.\n" +
            "\"Oh, you can not help that,\" said the Cat: \"we are all mad here. I am mad. You are mad.\"\n" +
            "\"How do you know I am mad?\" said Alice.\n" +
            "\"You must be,\" said the Cat, \"or you would not have come here.\" This is awful, bad, disgusting";

    // create an empty Annotation just with the given text
    Annotation document = new Annotation(text);

    // run all Annotators on this text
    pipeline.annotate(document);

    List sentences = document.get(CoreAnnotations.SentencesAnnotation.class);
    for (CoreMap sentence : sentences) {
        String sentiment = sentence.get(SentimentCoreAnnotations.SentimentClass.class);
        System.out.println(sentiment + "\t" + sentence);
    }
}

 

Byadmin

Gripe A, Coronavirus, VIH y EMOTET ¿Cómo evitar que accedan a mi servidor?

Campaña de Bots y Malware: Gripe A, Coronavirus, VIH y EMOTET

Gripe A, Coronavirus, VIH y EMOTET, ¿Cómo evitar que accedan a mi servidor?

Los atacantes aprovechan la oportunidad sobre temas que preocupan a la población mundial enviando correos electrónicos en la modalidad de “Phishing”  con palabras relacionadas con Gripe A, Coronavirus, VIH y términos relacionados con el sector financiero.

Los correos electrónicos enviados simulan ser parte de aseguradoras de salud, instituciones gubernamentales, instituciones financieras, bancos  y hasta de la propia Greta Thunberg. Pueden contener un documento malicioso de Microsoft Word solicitando a los usuarios habilitar el contenido. Una vez que un usuario hace esto permite la ejecución del malware infectando su sistema con la habilitación de una puerta trasera para propagarse en la red.

Para evitar ser víctima de Emotet, se recomienda encarecidamente que los usuarios presten mucha atención a cualquier documento que les pida que habiliten macros.

El malware Emotet  comenzó como un troyano bancario y ahora lo han modificado para que actúe dentro de una red de bots, con lo cual su origen es aleatorio. El malware Emotet persiste en atacar bancos y servicios financiero,  sobre todo en USA y UK.

Ataques Malware, exploits y botnet en América Latina y el Caribe

Según Fortinet Threat Intelligence Insider Latin American el último trimestre de 2019 la región sufrió más de 9 mil millones de intentos de ataque totalizando 85 mil millones en ese mismo año. En Argentina se contabilizaron 1590 millones de ataques a entidades bancarias y de servicio financiero durante este período.

¿Cómo evitar bots maliciosos del lado del servidor?

Recomendaciones para evitar ataques de bots y acceso no autorizado.

    • Para gestores de contenido como WordPress es recomendable instalar Wordfence.
    • Implementar Recaptcha V3 en formularios de contacto, formulario de inicio de sesión y comentarios.
    • Cifrar o cambiar los puertos de servicios: 21 (FTP), 22 (SSH), 3306 (Mysql), 9990 (Jboss), 9200 (Elasticsearch), etc.
    • Implementar fingerprint: Fingerprint o Huella digital es una solución práctica para identificar automáticamente a cada visitante de nuestra Web o aplicación.
      Fingerprint toma en cuenta características de dispositivo móvil o computadora, resolución de pantalla, movimiento del cursosr, teclado virtual, navegador, sistema operativo y su modelo, tiempo promedio de sesión para luego triangular esta información y generar un hash único por cada usuario.
      Para entidades financieras una excelente idea es asociar el hash generado por fingerprint con el id del usuario (Creado por la aplicación de la entidad financiera).
      Aunque el atacante logre con éxito operar en una cuenta de usuario, se puede interceptar la operación fraudulenta mediante el historial de visita con datos de fingerprint.
    • Bloquear ataques xmlrpc: Agregar las directivas en el archivo .htaccess
       Require all denied
      
      

      También se puede bloquear el acceso por dirección IP.

        Order deny, allow
        Deny from all
        Allow from 8.8.8.8
      
      
    • A nivel de capa de red, implementar listas de control de Acceso (ACL). Ejemplo para denegación en Routers CISCO:
      (config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80
      (config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255
      (config)#access-list 105 deny 10.5.3.0 0.0.0.255 any
      
    • Denegación de bots utilizando Varnish:
      cd /opt/bitnami/apache2/logs/
      tail -n 10000 access_log | awk '{print $1}'| sort| uniq -c| sort -nr| head -n 10
      

      Para denegar el acceso a una red específica editar el archivo opt/bitnami/varnish/etc/varnish/default.vcl y agregar la dirección IP del atacante. En el ejemplo deniega el ingreso a la máscara de red 1.2.3.4/24.

      acl forbidden {
            "1.2.3.4"/24;
      }
      

      Agregar directiva para vcl.

      sub vcl_recv {
      ...
        if (client.ip ~ forbidden) {
          return(synth(403, "Forbidden"));
        }
      ...
      }
      

      Reiniciar Varnish.

      sudo /opt/bitnami/ctlscript.sh restart varnish
      
    • Para todos los servidores sin importar el gestor de contenido (WordPress, Joomla, Drupal o servidor personalizado) es recomendable agregar directivas en el archivo .htaccess como las detalladas a continuación:
      RewriteEngine On
      RewriteCond %{QUERY_STRING} (eval\() [NC,OR]
      RewriteCond %{QUERY_STRING} (127\.0\.0\.1) [NC,OR]
      RewriteCond %{QUERY_STRING} ([a-z0-9]{2000}) [NC,OR]
      RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR]
      RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR]
      RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR]
      RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR]
      RewriteCond %{QUERY_STRING} (\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR]
      RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR]
      RewriteCond %{QUERY_STRING} (thumbs?(_editor|open)?|tim(thumb)?)\.php [NC,OR]
      RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC]
      RewriteRule .* - [F]
       
      RewriteCond %{REQUEST_METHOD} ^(connect|debug|delete|move|put|trace|track) [NC]
      RewriteRule .* - [F]
      
      RedirectMatch 403 (?i)([a-z0-9]{2000,})
      RedirectMatch 403 (?i)(https?|ftp|php):/
      RedirectMatch 403 (?i)(base64_encode)(.*)(\()
      RedirectMatch 403 (?i)(=\\'|=\%27|/\\'/?)\.
      RedirectMatch 403 (?i)/($(\&)?|\*|\"|\.|,|&|&?)/?$
      RedirectMatch 403 (?i)(\{0\}|\(/\(|\.\.\.|\+\+\+|\\"\\")
      RedirectMatch 403 (?i)(~|`|<|>|:|;|,|%|\|\s|\{|\}|\[|\]|\|)
      RedirectMatch 403 (?i)/(=|$&|_mm|cgi-|etc/passwd|muieblack)
      RedirectMatch 403 (?i)(&pws=0|_vti_|\(null\)|\{$itemURL\}|echo(.*)kae|etc/passwd|eval\(|self/environ)
      RedirectMatch 403 (?i)\.(aspx?|bash|bak?|cfg|cgi|dll|exe|git|hg|ini|jsp|log|mdb|out|sql|svn|swp|tar|rar|rdf)$
      RedirectMatch 403 (?i)/(^$|(wp-)?config|mobiquo|phpinfo|shell|sqlpatch|thumb|thumb_editor|thumbopen|timthumb|webshell)\.php
       
      SetEnvIfNoCase User-Agent ([a-z0-9]{2000}) bad_bot
      SetEnvIfNoCase User-Agent (archive.org|binlar|casper|checkpriv|choppy|clshttp|cmsworld|diavol|dotbot|extract|feedfinder|flicky|g00g1e|harvest|heritrix|httrack|kmccrew|loader|miner|nikto|nutch|planetwork|postrank|purebot|pycurl|python|seekerspider|siclab|skygrid|sqlmap|sucker|turnit|vikspider|winhttp|xxxyy|youda|zmeu|zune) bad_bot
      Order Allow,Deny
      Allow from All
      Deny from env=bad_bot
       
      Order Allow,Deny
      Allow from All
      # Descomentar para agregar ip atacante
      # Deny from 23.202.225.253
      

Desde Posicionamiento Web SEO hemos automatizado la implementación de todas estas medidas de seguridad

¿Necesitas implementar estas medidas de seguridad? ¿Necesitas posicionar tu sitio Web en Google?Contactanos