Underc0de Blog: Seguridad

Seguridad

Mostrando entradas con la etiqueta Seguridad. Mostrar todas las entradas

Hola amigos, lectores y usuarios de Underc0de

La privacidad y el anonimato, como uno derechos de los usuarios de la red es un tema de preocupación y -ocupación- constante. La conocida red TOR, si bien no es garantía absoluta de mantenerse alejado a la mirada controladora de gobiernos y empresas, nos brinda un plus en la navegación anónima.

No obstante, los cambios en el CDN del CloudFlare en su sistema de protección contra DDoS, puede ver afectada la privacidad del proyecto TOR, en la medida que se han incorporado –como señalan nuestros amigos de RedesZone “una serie de CAPTCHAs y cookies para ser capaz de separar el tráfico legítimo del tráfico pirata que pueda provenir de un ataque DDoS (u otro tipo de ataque) para mejorar sus sistemas de protección. Esto, aunque mejorará el rendimiento general de la red normal, perjudica a todos los usuarios que se conecten a páginas web protegidas por CloudFlare desde la red Tor (ya que serán considerados como sospechosos) teniendo que resolver un molesto código, el cual, puede ser utilizado para identificar y rastrear al usuario mientras navega por la red.” En definitiva, saber quién se encuentra detrás.

Súmese a Google o Yahoo, con sus sistemas de cookies y supercookies que colaboran en identificar el usuario en la red, bajo el pretexto de razones de seguridad, terminan detectando la procedencia del usuario.

Hablando de navegadores, no faltan sugerencias para el uso de otras alternativas de browsers como lo es Duckduckgo, quien dice no guardar datos de sus visitantes y mostrando resultados sin vinculaciones con el historial de búsquedas anteriores.

Volviendo al escenario de TOR paso a comentar sobre la versión “Hardened 6.0a2 ” de Tor Browser, que no solo tiene nuevos parches de seguridad sino que trae una capa de protección adicional.

En el blog de torproject (inglés), sobre esta versión destacan:

-Firefox ha sido actualizado a la versión 38.6.1esr.

-NoScript actualizado a la versión 2.9.0.3.

-Solucionado el bug 18168 – No se elimina el iframe de window.name.

-Solucionado el bug 18137 – Se han añadido dos nuevos puentes obfs4.

-Windows: La fuente zh-CN ahora es de confianza.

- Mac OS X / Linux (solucionado el bug 18172): Se ha agregado compatibilidad con los Emoji.

-Debian: Solucionados dos fallos relacionados con Debian y las máquinas virtuales.

Se lee por el mundo informático que debido a un fallo en la compilación anterior, las actualizaciones parciales no funcionan correctamente, por lo que los usuarios deben realizar una actualización total del navegador, agregándose que esta versión es algo más lenta que las versiones estables.

Por último la misma puede descargase desde su web principal

Visítanos en Underc0de

Hola amigos y lectores de Underc0de!

Es sabido que las redes Wi-Fi públicas implican riesgos, por nombrar un ejemplo, a través de un ataque MitM.

Ahora, la herramienta WiFi Pineapple NANO (una tools para auditar redes inalámbricas), portadora de sencilla e intuitiva interfaz web y con el tamaño de un USB, puede ser usada para el hacking de redes.

El acceso a la interfaz NANO desde el navegador web, permite comprobar no solo el estado de una red Wi-fi, sino a diferentes módulos de seguridad.

A al contar con una API abierta, permite a los desarrolladores crear sus propias funcionalidades, y al mismo tiempo canalizar ataques maliciosos.

The new Recon Mode on Desktop

PineAP Configuration on Mobile

Especificaciones:

-CPU: 400 MHz MIPS Atheros AR9331 SoC

-Memory: 16 MB ROM, 64 MB DDR2 RAM

-Disk: ROM + Micro SD (not included)

-Wireless: Atheros AR9331 + Atheros AR9271, both IEEE 802.11 b/g/n

-Ports: (2) RP-SMA Antenna, Ethernet over USB (ASIX AX88772A), USB 2.0 Host, Micro SD

-Power: USB 5V 1.5A. Includes USB Y-Cable

-Configurable Status Indicator LED, Configurable Reset Button

Si bien en su fase de pruebas, puede accederse y ampliarse la información (en inglés) aquí .

Vísitanos en Underc0de

Hola amigos y lectores de Underc0de!

Hace unos días compartimos post sobre Haka, el nuevo lenguaje de seguridad informática. Hoy traemos una segunda parte sobre la sintaxis de sus reglas de seguridad.
...

Haka ofrece una forma sencilla de escribir reglas de seguridad para filtrar, modificar, crear e inyectar paquetes. Según expertos de auditoría de seguridad informática, cuando se detecta un flujo con algo malicioso, pueden informar los usuarios o pueden dejar el flujo. Los usuarios pueden definir escenarios más complejos para mitigar el impacto de un ataque. Por ejemplo, se puede alterar peticiones http y obligar a los navegadores obsoletos para actualizar o falsificar paquetes específicos para engañar herramientas de análisis de tráfico.

La siguiente regla es una regla de filtrado de paquetes básico que bloquea todas las conexiones de una dirección de red.

local ipv4 = require(“protocol/ipv4”)

local tcp = require(“protocol/tcp_connection”)

local net = ipv4.network(“192.168.101.0/24”)

haka.rule{

hook = tcp.events.new_connection,

eval = function (flow, pkt)

haka.log(“tcp connection %s:%i -> %s:%i”,

flow.srcip, flow.srcport,

flow.dstip, flow.dstport)

if net:contains(flow.dstip) then

haka.alert{

severity = “low”,

description = “connection refused”,

start_time = pkt.ip.raw.timestamp

}

flow:drop()

end

}

Las primeras líneas del código cargan los disectores de protocolo, Ipv4 y TCP explica profesor de hacking, Mike Stevens. La primera línea se encarga de paquetes IPv4. Después usamos un disector de TCP de estado que mantiene una tabla de conexión y gestiona flujos de TCP. Las siguientes líneas, definen la dirección de red que debe ser bloqueada.

La regla de seguridad se define a través de palabras clave haka.rule. Según expertos de servicios de auditoría informática las reglas de haka son muy útiles. Una regla de seguridad está hecha de un gancho y una función de evaluación eval. El gancho es un evento que activará la evaluación de la regla de seguridad.

En este ejemplo, la regla de seguridad se evaluará en cada intento de establecimiento de conexión TCP. Los parámetros pasados a la función de evaluación dependen del evento explica el experto de servicios de seguridad informática. En el caso del evento new_connection, eval toma dos parámetros: flow y pkt. Lo primero de ellos tiene detalles sobre la conexión y el segundo es una tabla que contiene todos los campos del paquete TCP.

Según recomendación del profesor, en el núcleo de la regla de seguridad debemos registrar en haka.log primero alguna información acerca de la conexión actual. Luego, comprobamos si la dirección de origen pertenece a la gama de direcciones IP’s no autorizadas. Si la prueba tiene éxito, elevamos una alerta (haka.alert) y liberamos la conexión. Menciona asimismo, Roberto Talles, que se tenga en cuenta que se informa sólo algunos detalles de la alerta. Se puede añadir más información, como el origen y el servicio de destino.

Utilizamos hakapcap herramienta para probar nuestra filter.lua regla en un archivo de pcap trace filter.pcap:

$ hakapcap filter.lua filter.pcap

De aquí en adelante, en los resultados sale algo de información sobre disectores cargados y reglas registrados. El resultado muestra que Haka logró bloquear conexiones dirigidas a dirección 192.168.101.62:

En el ejemplo anterior, hemos definido una sola regla para bloquear las conexiones. Uno puede escribir un conjunto de reglas de firewall usando la palabra clave haka.group . En este caso, la configuración, se puede elegir un comportamiento por defecto (por ejemplo, bloquear todas las conexiones) si ninguno de la regla de seguridad autoriza explícitamente el tráfico.

Fuente: noticiasseguridad.com

Visítanos en Underc0de

Hola a todos, a petición de varios usuarios, he realizado un tutorial básico y rápido de como configurar EDA2.

EDA2, es la versión actualizada de Hidden Tears, podéis obtener más información en estos post:

https://underc0de.org/foro/malware/hidden-tear-el-primer-ransomware-open-source/

https://underc0de.org/foro/malware/configurando-hidden-tear-(offline)/

https://underc0de.org/foro/malware/configurando-hidden-tear-(online)/

Repositorio oficial: https://github.com/utkusen/eda2

Al igual que Hidden Tears, EDA2 es un ransomware opensource con las siguientes características:

Utiliza ambos algoritmos RSA y AES.
Se coordina desde un C&C
Utiliza CSPRNG y phplibsec
Los archivos cifrados se pueden descifrar con el software de la versión anterior.
Cambia el fondo de escritorio al ejecutarse.

Funcionamiento

1. El ransomware envía una solicitud POST al C&C con la variable del nombre de usuario.
2. El C&C crea la key RSA pública /privada y envía la clave pública para al ransomware y guarda la clave privada en la base de datos
3. El programa crea una clave aleatoria para el algoritmo AES
4. El ransomware encripta los archivos con el algoritmo AES
5. El ransomware encripta la clave AES con la clave pública RSA y la envía al C&C vía POST.
NO FUNCIONA A mi no me funcionó y tuve que reprogramarlo para el tutorial (más bien hice una chapuza rápida). Parece ser que envía los campos en blanco.

6. El C&C guarda la clave cifrada AES dentro de la base de datos.
NO FUNCIONA Al no recibir nada, no lo guarda.

Configuración

1. Lo primero con lo que nos encontramos, es la siguiente linea:

Desde esta, podremos modificar la longitud de la clave RSA.

2. Acto seguido, deberemos modificar estas 2 urls por las de nuestro hosting (habiendo subido previamente el panel).

En la siguiente línea podremos modificar la imagen que se pondrá de fondo de escritorio al ejecutar el ransomware:

3. Podremos modificar el directorio desde donde empezará a cifrar los ficheros en esta linea:

4. Además, como en Hidden Tears, podremos modificar la extensión de nuestros ficheros cifrados.

5. Obviamente, podremos decidir que extensiones queremos cifrar, pudiendo añadir o eliminar de la lista que viene por defecto.

6. Además, podemos modificar el algoritmo de creación de la clave, pudiendo poner una por defecto si queremos.

Nota: EDA2 utiliza .NET Framework 4.5, podremos modificar la versión desde aquí:

7. Una vez tengamos el ransomware modificado, debemos crear la tabla dummy en una base de datos llamada panel (obviamente estos nombres se pueden modificar desde el código php, pero son los que vienen por defecto).:

8. Ahora deberemos crear los siguientes campos en nuestra tabla:

Nota: No es necesario darles ese "tipo" de campo, requiere mucho menos espacio.

9. Una vez hecho esto, podremos logearnos en el panel de administración, cuya url sería dominio.com/panel/login.php, utilizando las credenciales por defecto, test:test

10. Este será el dashboard de nuestro panel, donde veremos la información de los infectados.

11. Verificamos que nuestros ficheros no están cifrados (pues no hemos ejecutado aún el ransomware).

12. Ejecutamos EDA2 y veremos como cambia nuestro fondo de pantalla (por el que hemos seleccionado antes) y nuestros ficheros están cifrados.

13. Accedemos al panel de administración para obtener la clave para descifrar los ficheros.

14. Pulsamos sobre el botón que dice "Decipher" (Descifrar) y obtendremos la clave necesaria para hacerlo.

15. Utilizamos la clave en el software y listo!

Saludos!
Blackdrake

Haka es un lenguaje de seguridad orientado a código abierto que permite especificar y aplicar las políticas de seguridad Informática en el tráfico capturado en vivo. HAKA se basa en Lua y es un lenguaje sencillo, ligero y rápido. El alcance de Haka es doble explican consultores de empresa de seguridad informática y hacking ético. En primer lugar, permite la especificación de las normas de seguridad para filtrar flujos no deseados y reportar actividades maliciosas.

Haka proporciona un API simple para la manipulación del tráfico corriente. Uno puede descartar paquetes o crear otros nuevos e inyectarlos. Haka también apoya la modificación de paquetes en la marcha. Esta es una de las principales características de Haka desde todas las tareas complejas tales como el cambio de tamaño de paquetes, ajuste correctamente de los números de secuencia. Esto se hace en vivo sin la necesidad de un proxy y se realiza todo de forma transparente para el usuario.

En segundo lugar, Haka permite la especificación de protocolos y estado subyacente de todo. Haka es compatible con ambos tipos de protocolos: protocolos basados en binario (por ejemplo, DNS) y protocolos basados en texto (por ejemplo, http). La especificación cubre los protocolos basados en paquetes, tales como IP, así como los protocolos basados en secuencias como http.

Según consultores de empresas de seguridad informática y hacking ético, HAKA se encaja en un marco modular. Incluye varios módulos de captura de paquetes (pcap, nfqueue) que permiten a los usuarios finales a aplicar su política de seguridad informática en el tráfico capturado vivo. El marco proporciona el registro (syslog) y alerta de módulos (Syslog, Elasticsearch).

Por último, el marco tiene módulos auxiliares, tales como un motor de búsqueda de patrones y un módulo de desensamblador de instrucciones. Estos módulos permiten escribir las reglas de seguridad informática de grano fino para detectar malware ofuscado. Haka fue diseñado de manera modular, permitiendo a los usuarios a ampliarlo con módulos adicionales.

Haka proporciona una colección de cuatro herramientas importantes para consultores de empresa de seguridad informática y hacking ético:

haka: Es el programa principal de la colección. Está diseñado para ser utilizado como un daemon para controlar los paquetes en el fondo. Los paquetes son disecados y filtrados de acuerdo con el archivo de políticas de seguridad especificadas. Haka toma como entrada un archivo de configuración. Este archivo script se carga disectores de protocolo típicamente incorporados o definidos por el usuario y define un conjunto de reglas de seguridad.

hakactl: Esta herramienta permite controlar daemon. Uno puede obtener estadísticas en tiempo real en los paquetes capturados, inspeccionar los registros o simplemente apagar/reiniciar el daemon.

hakapcap: Esta herramienta permite reproducir un archivo de política en una captura de paquetes utilizando el módulo pcap. Por ejemplo, esto es útil para realizar análisis forense y hacking ético de la red.

hakabana: Esta herramienta permite la visualización y monitoreo de tráfico de red en tiempo real utilizando Kibana y Elasticsearch según expertos de empresa de seguridad informática. Hakabana consiste en un conjunto de reglas de seguridad que lleva información sobre el tráfico que pasa a través de Haka en un servidor de elastisserach y muestra a través de una consola Kibana. Un panel adicional también está disponible para visualizar alertas de Haka.

Fuente: noticiasseguridad.com

Visítanos en Underc0de

Hola lectores y amigos de Underc0de!

Las públicas noticias sobre la batalla cibernética de Anonymous contra el grupo yihadista ISIS, supuestos éxitos y fracasos de cada uno de los involucrados, ha puesto en escena la ya no desconocida Deep Web, en tanto se dice que ISIS ha migrado a la web oscura, ya que de esta forma se dificulta seguirle los pasos o interceptar sus comunicaciones.

Pero no vamos a hablar de Anonymous (o su cruzada) ni ocupar una línea más en terroristas. La introducción obedece a que la idea de hoy es comentar sobre MEMEX.

Todos sabemos que las páginas de la Deep Web no están indexadas por motores de búsqueda como Google, Yahoo, o Bing, y que los dominios .onion necesitan de un Browser como TOR para explorar sus páginas.

En este escenario aparece MEMEX, un proyecto de EEUU liderado por la agencia DARPA, al que actualmente se ha integrado la NASA. Su nombre combina en inglés las palabras memoria e índice, memory e index.

Desarrolla un motor de búsqueda para la Deep Web, rastreando allí donde los buscadores convencionales no pueden indexar y cuyos resultados -se dice- que los presenta en forma gráfica para que los vínculos ocultos puedan ser identificados. Se valdrá de las imágenes, metadatos, información de e-mails, entre otros, para el rastreo.

La justificación de los vecinos del norte, viene –como bien sabemos- por la búsqueda del bien común (sarcasmo modo on), esto es el combate a las actividades ciber- delictivas que se gestionan en el “lado oscuro” de internet.

¿Cómo funciona MEMEX?

Memex funciona mediante la utilización de web crawlers específicos para distintos dominios de internet usando los datos que recogen en forma única (pero requiriendo una lista de URL para indexar), pero construyendo un mapa de interconexiones, que interpretadas pueden revelar asociaciones útiles para la indagación de delincuentes informáticos.

Si MEMEX resulta exitoso, la web oscura se irá “iluminando” y el plus de privacidad que tienen sus usuarios desapareciendo.

El proyecto está en desarrollo, sin embargo ya se lee que es posible que el público en general pueda acceder a él a través del GitHub, con tan solo buscar: Memex-explorer.

Visítanos en Underc0de

Torflow son un conjunto de scripts creados en python para estudiar la red tor, analizar su tráfico y medir la fiabilidad de los diferentes nodos de conexión, que ahora también podemos disfrutar de manera interactiva y ver en toda su magnitud gracias a un nuevo servicio web, que nos ofrece espectaculares mapas y una maravillosa visión del tráfico de la red.

Más allá de la belleza de la escena, con sus constelaciones de servidores y áreas de conexión, llama la atención que la mayoría de servicios de red estén concentrados en Europa Central y la escasez de los mismos en Asia, Australia o América Latina.

Dada la popularidad de Tor como la principal red de anonimato a nivel mundial, sería de esperar algo más de diversidad.

Además de observar las tendencias de tráfico actuales, TorFlow nos permite analizar los niveles de tráfico históricos –cuenta en la parte inferior con una barra de desplazamiento para el timeline– y filtrar los datos por países, tipos de servicios (ocultos o de tipo general), nodos o conexiones.

Más información en la web del proyecto y si estáis interesados en saber mas sobre la estadísticas del Proyecto Tor, este es el sitio donde buscar.

Fuente: lamiradadelreplicante.com

Vísitanos en Underc0de

Si estáis especialmente preocupados por mantener vuestra privacidad seguramente ya sabéis que los responsables del proyecto TOR llevan tiempo trabajando en un nuevo sistema de mensajería. Pues ya no tenéis que esperar más, porque ya se lanzó la versión beta de esta aplicación de mensajería privada.

Se llama TOR Messenger, es multiplataforma, y promete permitirnos cifrar nuestras conversaciones utilizando el protocolo Off-the-Record (OTR). Con ella podremos hablar con tranquilidad con nuestros amigos y contactos utilizando tanto los servidores de IRC como los de aplicaciones como Twitter, Google Talk, Facebook Chat, Jabber o Yahoo.

Una vez accedemos a estas redes la aplicación importará nuestros contactos para que podamos hablar con ellos, aunque no podremos hacerlo si la otra persona no utiliza otro cliente con el protocolo OTR. Esta es una configuración que puede eliminarse, pero desde TOR no lo recomiendan si queremos mantener nuestros mensajes seguros.

Una fase beta aun demasiado verde

Movidos por la curiosidad hemos intentado darle una oportunidad a la beta, pero nos hemos encontrado con el inconveniente de que no funciona todo lo bien que cabría esperar. En mi ordenador con Windows 10 he podido instalarla después de saltarme el mensaje de seguridad con el que el sistema operativo me advierte contra ella, pero me ha sido imposible ejecutarla después.

Debe ser porque la aplicación aun no está preparada para la última versión del sistema operativo de Microsoft, porque sí que hemos podido instalarla y ejecutarla en Mac OS X y GNU/Linux. Aun así, cuando ha llegado la hora de ejecutarla y empezar a utilizarla también nos hemos encontrado con algún que otro problema.

La aplicación es fácil de utilizar, y nada más arrancarla sólo tendremos que darle a un botón para conectarnos al protocolo OTR. Después nos aparece la pantalla donde podemos empezar a sincronizar nuestras cuentas, y es ahí donde han empezado los problemas al no poder hacerlo con Google ni con Facebook.

Finalmente hemos sido capaces de entrar con Twitter, y es muy curioso ver la red social de microblogging como si fuera un canal de IRC, pero como otros compañeros no han podido sincronizar su cuenta no hemos tenido la opción de probar cómo funciona la mensajería.

En definitiva hemos notado que un usuario poco avanzado lo va a tener muy difícil para poder utilizar la aplicación, por lo menos de momento. Aun así habrá que darle el beneficio de la duda y ver cómo va evolucionando cuando empiece a recibir el feedback de los usuarios.

Fuente: genbeta.com

Visítanos en Underc0de

Siguiendo con las publicaciones sobre este ransomware de código abierto, si no has leído las anteriores, te recomiendo que lo hagas:

Configurando Hidden Tear Offline

Información sobre Hidden Tear

Para comenzar a configurar este malware, debemos descargar su código source, podemos hacerlo desde su repositorio oficial en github: https://github.com/utkusen/hidden-tear

Para poder modificarlo y compilarlo, necesitaremos Visual Studio. Abriremos el proyecto que hay en el directorio "hidden-tear", no tendremos problemas para entenderlo y modificar las cosas que queramos, pues el código está perfectamente comentado y muy bien estructurado.

Lo primero que vemos, es a que url enviará el ransomware la información del ordenador y la contraseña, para ello, debemos poner nuestra url y tener el archivo php que se encargue de recibir los datos correctamente creado y con los permisos adecuados.

Ambos ficheros deberán tener permisos de escritura.

En ese paso, podremos modificar la contraseña que queremos que cree aleatoriamente, aunque se puede modificar para dejarla fija.

Aquí podremos elegir que se envía a nuestro fichero php y por tanto se guarda en los logs.

El método de cifrado de ficheros y la extensión que se utilizará.

Extensiones que se encriptarán, podemos suprimir alguna o bien, añadir más.

En que directorio se guardará el txt con el mensaje que queremos dejar y empezará a ejecutar el ransomware, es muy importante que exista el directorio o dará un error cuando la víctima lo ejecute.

Compilamos y se lo enviamos a la víctima.

Por desgracia, Hidden-Tear ya no es fud (Fully UnDetectable).

Como cualquier malware, se puede pasar por un crypter para evitar que sea detectado.

Ejecutamos Hidden Tear y comprobamos que nuestros ficheros se han cifrado con la extensión .locked

Vamos a nuestro fichero de logs y conseguimos la contraseña para recuperar nuestros ficheros.

Utilizando otro proyecto llamado hidden-tear-decrypter (también en github), podremos recuperar los ficheros, utilizando esta contraseña.

Nota: Si alguien le editó la extensión .locked, deberá modificar esta línea escribiendo la extensión que utilizó.

Y tenemos nuestros ficheros de nuevo!

Anonimato, privacidad y TOR

Herramienta de hacking Wi-Fi: WiFi Pineapple NANO

Haka: parte II (reglas de seguridad)

Configurando EDA2

Haka: nuevo lenguaje de seguridad informática

¿El fin de la privacidad y el anonimato en la Deep Web?

Analiza el tráfico de la red TOR

TOR menssenger, ¿mensajería anónima?

Una fase beta aun demasiado verde

Configurando Hidden Tear (Online)

Underc0de

Underc0de

Sponsors

Síguenos!

Popular Posts

Labels

Archivo del blog

Blogs amigos

Comentarios recientes

Visitas