Category Archive Ciberdefensa

Byaci

10 cosas que debes conocer del hackeo a Facebook

El hackeo a Facebook del pasado viernes es una más de las polémicas en las que está envuelta la primera red social mundial. Seamos claros, en materia de seguridad y privacidad, el suspenso es manifiesto desde su lanzamiento.

Aún sin resolver el escándalo de Cambridge Analytica,  el pasado viernes al conocerse un nuevo problema de seguridad, que ha obligado a la compañía a reiniciar 90 millones de cuentas potencialmente comprometidas por un grupo desconocido que habría aprovechado varias vulnerabilidades en la web de la red social.

No ha sido el único incidente de la semana, en otro caso afectando a la privacidad, cuando conocíamos cómo Facebook convierte la seguridad en negocio vendiendo los números de teléfono 2FA proporcionados por los usuarios con el objetivo de mejorar la seguridad en el acceso a servicios de Internet, para enviar anuncios publicitarios personalizados.

Hackeo a Facebook

Facebook caía con fuerza en bolsa ante lo que se cree que es el error de seguridad más grave de la historia de la compañía. El vicepresidente de producto de Facebook, Guy Rosen, compartió algunos detalles que nos permiten acercarnos a esta violación:

  1. Un pico de tráfico inusual a comienzos de semana reveló un ciberataque masivo en curso desde el 16 de septiembre, con el objetivo de robar datos de millones de usuarios de Facebook.
  2. Los atacantes combinaron tres vulnerabilidades de Facebook, especialmente grave la del cargador de vídeos.
  3. Los atacantes robaron tokens de acceso secretos para 50 millones de cuentas, que podrían utilizar para su control.
  4. Facebook restablece tokens de acceso para 90 millones de cuentas en respuesta a la violación masiva.
  5. Las contraseñas de las cuentas no se ha comprometido, pero no son buenas noticias. Ni siquiera era necesario, porque pueden usar los tokens para obtener información de cada cuenta sin tener la contraseña o código de autenticación de dos factores.
  6. Los piratas informáticos descargaron la información privada de los usuarios mediante la API de Facebook.
  7. Dado que los tokens secretos permiten a los atacantes acceder a las cuentas como propietarios, les podría haber permitido acceder a otras aplicaciones de terceros que usaban el inicio de sesión de Facebook.
  8. Instagram, Spotify, Tinder, Airbnb y otros servicios también pueden estar afectados al estar vinculados a Facebook.
  9. La violación no parece estar conectada con el pirata informático que se comprometió a eliminar la página personal del CEO de Facebook, Mark Zuckerberg.
  10. Facebook se enfrenta a una demanda colectiva en The Massive Hack. Justo después de que las noticias del hackeo a Facebook se hicieran públicas, dos residentes de California y Virginia, presentaron una demanda colectiva contra la compañía.

Recomendamos a todos los usuarios la comprobación de las sesiones activas en Facebook para descubrir si sus cuentas han sido pirateadas. Muchos usuarios de Facebook han notado direcciones IP desconocidas de ubicaciones extranjeras que aparentemente habían accedido a las cuenta sin autorización. Se puede revisar en “Configuración de cuenta > Seguridad e inicio de sesión”. Si encuentras alguna sesión sospechosa puedes revocar el acceso con un solo clic.

Byaci

Estrategia Nacional de Ciberseguridad (México)

…”Hacia una Estrategia Nacional de Ciberseguridad” (México) plan estratégico impulsado por el Gobierno de la República Mexicana, donde colaboran diferentes sectores como: gobierno, sector privado, comunidad técnica, sociedad civil y académica.

El documento hace mención que para el año 2030 México será un país mejor preparado ante ciberataques y con una mejor cultura en ciberseguridad.

La Estrategia contemplara 4 Objetivos Estratégicos y 8 Ejes Trasversales:

Economía: Debido a el gran crecimiento y la continua evolución de las TIC, se requiere la implementación de proyectos relacionados con el desarrollo y la innovación de las tecnologías. con el fin de crear una cultura de prevención e impulsar al país como una de las economías emergentes más proliferas:

  • Concientizar de los actos de riesgo aosciados en el ciberespacio.
  • Desarrollo de proyectos de investigación e innovación, fomentando el capital humano especializado en materia de ciberseguridad.
  • Mitigación de riesgos y amenazas que puedan afectar la economía y la estabilidad del país.
  • Generación de tecnología propia.
  • Desarrollo de buenas prácticas, normas y estándares conforma a las necesidades del país y en distintos sectores.
  • Mecanismos, marco jurídico y normas técnicas para el crecimiento económico del país a través de la innovación tecnológica, manteniendo la protección las Infraestructuras Críticas de la Información.
  • Regular las operaciones que se realizan a través de Internet.
  • Métricas sobre el uso y confianza de servicios de comercio electrónico.

Sociedad: La estrategia tiene como factor primordial al factor humano y a cuidar sus derechos, es por ello, que la estrategia se enfoca en fortalecer la confianza de los usuarios que utilizan servicios en línea, así mismo la concientización de adoptar medidas de ciberseguridad y promover el manejo adecuado y seguro de las TIC.

  • Campañas que contemplen la autoprotección, autoregulación y mejores practicas.
  • Protección de adolescentes, niños y niñas a la exposición con depredadores informáticos.
  • Estimular la profesionalización de la ciberseguridad.
  • Prevención y combate de incidentes con la participación ciudadana.
  • Construir un ciberespacio seguro y confiable.
  • Lineamientos que coadyuden al bienestar de la población.
  • Procedimientos y mecanismos para la protección de las Infraestructuras Criticas de la Información e Inteligencia Especializada.
  • Un marco jurídico que contemple el enfoque de los derechos humanos, de caracter preventivo.
  • Indicadores de medición de efectividad de las campañas de concienciación y cambio cultural, así como de los incidentes de ciberseguridad.

Gobierno: La gestión pública a través de las TIC contiene gran variedad de datos e información sensible, tanto de los entes públicos, como de la población, por lo que:

  • Se requiere crear campañas para mejorar el nivel del servicio público.
  • Políticas y programas de actualización tecnológica.
  • Fortalecer la ciberseguridad en la gestión de la información relativa a la prestación de trámites y servicios a la población.
  • Prestación más eficiente, segura y confiable de los trámites y servicios para la población.
  • Criterios y controles para estandarizar los procesos de seguridad de la información y el tratamiento de datos de los entes públicos.
  • Instauración de canales de comunicación seguros ante posibles ataques.
  • Brindar certeza jurídica en la prestación de trámites y servicios a la población.
  • Proceso gradual de adopción voluntaria de los procesos referidos en el Manual Administrativo de Aplicación General en materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI).

Seguridad Nacional: El incremento de las amenazas globales y los delitos a nivel mundial, conllevan a fortalecer la Seguridad Nacional para preservar la integridad, estabilidad y permanencia del Estado Mexicano.

  • Campañas dedicadas a las Instancias de Seguridad Nacional, manejo de información general, personal y laboral.
  • Contar con una base de conocimientos centralizada.
  • Mecanismos de colaboración y cooperación entre dependencias vinculadas con la Seguridad Nacional para el intercambio de información e inteligencia.
  • Desarrollo tecnológico, investigación e intercambio de conocimiento a fin de fortalecer la ciberseguridad en las dependencias que cuenten con Infraestructura Crítica de la Información del Estado Mexicano.
  • Estandarización del proceso de seguridad de la información y el tratamiento de activos de información en las Instancias de Seguridad Nacional.
  • Protocolos de comunicación y cooperación entre los sectores involucrados para la ciberdefensa en situaciones de un ciberataque que afecte las Infraestructuras Críticas de la Información o Información e Inteligencia Especializada, con una posible afectación al orden y paz social.
  • Armonización de la legislación en relación a delitos en relación a delitos como ciberterrorismo, delitos que usan TIC para su comisión (ciberdelitos), ciberataques y ciberamenazas, el cual debe contemplar la investigación y sanción correspondiente.
  • Estadísticas globales para conocer las tendencias de los incidentes cibernéticos.

La ENCS ( Estrategia Nacional de Ciberseguridad) se presentara durante la Semana Nacional de Ciberseguridad del 9 al 13 de octubre de 2017.

Si deseas conocer a detalle el documento de la ENCS, puedes consultar el siguiente enlace:

https://www.gob.mx/cms/uploads/attachment/file/239446/Documento_de_trabajo_ENCS_v0.pdf

 

Byaci

Pegasus en México

Empieza con un SMS y puede llegar a infectar el teléfono para espiar al usuario hasta el punto de usar la cámara y el micrófono para vigilarlo. Se llama Pegasus y es un ‘software’ malicioso diseñado por una compañía de Israel para recabar información de teléfonos móviles. El programa se vende únicamente a gobiernos y su propósito central es vigilar a organizaciones criminales y terroristas.

Pero ahora Pegasus, creado por la empresa NSO Group, se encuentra en medio de un escándalo en México. Organizaciones civiles denuncian que el malware fue utilizado por el gobierno de ese país para espiar a periodistas y defensores de derechos humanos.

Las autoridades niegan el espionaje. Un vocero de la presidencia de México dice a BBC Mundo que, con base en la ley, el gobierno realiza actividades de inteligencia para combatir el crimen organizado y amenazas a la seguridad nacional. Pero eso no incluye a comunicadores y activistas, afirma.

“El gobierno de la República rechaza categóricamente que alguna de sus dependencias realice acciones de vigilancia o intervención de comunicaciones de defensores de derechos humanos, periodistas, activistas anticorrupción o de cualquier otra persona sin previa autorización judicial”, añade el vocero.

¿Cómo funciona?

La persona afectada recibe mensajes SMS con un texto y un enlace malicioso hacia alguna nota periodística o reporte especializado, sin embargo esto es un engaño. Pegasus se basa en la ingeniería social, es decir un “método para engañar o persuadir a alguien a través de canales tecnológicos o bien en persona, y que se utiliza para obtener información significativa o lograr que la víctima realice un determinado acto”, se lee en el reporte de R3D. Al hacer clic en el enlace que acompaña el texto del mensaje, se redirige a un sitio de NSO Group al mismo tiempo que se instala el  malware en el dispositivo. Éste facilitará el acceso a los archivos guardados en el teléfono como contactos, mensajes y correos electrónicos, además de que permitirá al atacante activar el micrófono o la cámara del dispositivo sin que la víctima se dé cuenta. De acuerdo con la investigación de Citizen Lab, Pegasus utiliza enlaces muy parecidos a los de sitios de noticias, redes sociales o telecomunicaciones para engañar a la persona que recibió el mensaje. Además de ser México el país en el que más dominios se encontraron, los más utilizados fueron: unonoticias.net, y0utube.com.mx, fb-accounts.com y whatsapp-app.com. Todos, enlaces que no corresponden al del sitio oficial de la red social o medio de comunicación. El director de R3D, Luis Fernando García, dijo en conferencia que los mensajes que reciben las víctimas son personalizados, es decir incluyen información de interés de la persona y muchas veces incluyen su nombre o nombre de algunos de sus familiares.

Los primeros casos en México

En 2015, el periodista mexicano Rafael Cabrera reportó a través de su cuenta de Twitter los mensajes que le había llegado y los cuales tenían todas las características que distinguen a Pegasus.

Casi un año después, dos activistas y un científico que habían impulsado el impuesto a bebidas azucaradas en México reportaron haber sido víctimas de un ataque a través de Pegasus. Según R3D, “se han documentado diversos indicios de la adquisición de equipo de NSO Group para parte de distintas instancias del gobierno de México, tales como la Secretaría de la Defensa Nacional, la Procuraduría General de la República y el Centro de Investigación y Seguridad Nacional”.

Y en el más reciente reporte hecho por la organización se señalan a periodistas como Carmen Aristegui, Carlos Loret de Mola o Salvador Camarena como algunos de los afectados.

¿Es legal?

De acuerdo con el reporte publicado hoy, en México “no existe regulación específica de herramientas altamente intrusivas de vigilancia como el software malicioso Pegasus” y señala que la intervención de comunicaciones privadas se puede dar sólo con la autorización de un juez federal siempre y cuando el caso sea una amenaza a la seguridad nacional, según el artículo 5 de la Ley de Seguridad Nacional.

Por si fuera poco, la Constitución marca la prohibición de la intervención de comunicaciones “cuando se trate de cuestiones de carácter electoral, fiscal, mercantil, civil, laboral o administrativo, así como en el caso de las comunicaciones del detenido con su defensor”

Fuente: milenio.com

ByMauro Clavijo

Simulador 2 | Seguridad informática nivel avanzado

Si resuelves este simulador a la primera eres un puto Hacker! de los épicos.

REQUIERE FLASH


Hacer Donación
A quien debemos el apoyo



\\Master en Seguridad Informatica \ CEO_Founder \
Comunidad Hacking Publico & Sistemas Informáticos

ByMauro Clavijo

Simulador | Programa de seguridad informática PSI

En este simulador debes de reconocer la estructura de un progrma de seguridad informatica y defenderte de ataques de Crackers y Hackers. Buena Suerte!

REQUIERE FLASH!

 

 


Hacer Donación
A quien debemos el apoyo



 

\\Master en Seguridad Informatica \ CEO_Founder \
Comunidad Hacking Publico & Sistemas Informáticos

Byaci

ASÍ ES COMO EL MALWARE SE ESCONDE EN LOS INSTALADORES

El malware es cada vez más complejo, sin embargo, las distintas medidas de seguridad, tanto de las aplicaciones como los antivirus como de los sistemas operativos hacen que infectar un ordenador sea, cada vez, una tarea más complicada. Esto lleva a los piratas informáticos a desarrollar técnicas cada vez más complejas para llevar a cabo los ataques, infectar los ordenadores y no levantar sospechas sobre la amenaza, y la mayoría de estas técnicas se basan, principalmente, en esconderse cada vez más dentro de las aplicaciones o los instaladores, en teoría, fiables.

Recientemente, el Malware Protection Center de Microsoft ha detectado una nueva amenaza informática del tipo “NSIS” (Nullsoft Scriptable Install System). Esta nueva amenaza se basa, principalmente, en ocultar código malicioso muy profundo dentro de los instaladores de aplicaciones de manera que este no pueda ser identificado por los antivirus ni por otras herramientas de seguridad hasta que ya sea demasiado tarde.

Estos instaladores incluyen una serie de archivos y librerías no maliciosas para parecer aparentemente inofensivo, pero, entre ellas, se suele esconder ransomware como Cerber o Locky, entre otras variantes.

Entre otros, los archivos que suelen utilizarse para llevar a cabo esta amenaza son el motor del instalador, system.dll, una imagen BMP utilizada como fondo para el instalador y una serie de componentes más legítimos, como el fichero uninst.exe que funcionaría como desinstalador.

Nuevo malware oculto NSIS

Como podemos ver, una de las principales diferencias entre los paquetes NSIS utilizados antes y los nuevos es la ausencia de una librería DLL con un nombre aleatorio que, por lo general, era utilizada para descifrar el malware. Este cambio reduce notablemente el rastro del malware, complicando así su detección y siendo mucho más complicado de detectar.

Como estos nuevos instaladores Nullsoft ya no tienen la librería DLL maliciosa, ahora el código se carga cifrado en la memoria y se descifra y ejecuta directamente en ella. De esta manera, como ya está cargado el código, no levanta sospecha entre las medidas de seguridad, llevando a cabo la infección con éxito.

ACTUALMENTE HAY VARIAS CAMPAÑAS DE DISTRIBUCIÓN DE MALWARE UTILIZANDO ESTA TÉCNICA

Aunque esta técnica se empezó a utilizar a finales de 2016, no ha sido hasta febrero y, sobre todo, marzo de 2017 cuando el número de infecciones utilizando esta técnica ha crecido exponencialmente.

Infecciones instaladores maliciosos NSIS

Tal como aseguran los expertos de seguridad, actualmente se encuentran activas ya varias campañas que se aprovechan de esta técnica para infectar a sus víctimas. En la mayoría de ellas se busca distribuir ransomware, ya que sigue siendo el malware que mayores beneficios genera a los piratas informáticos, y todas ellas suelen tener el mismo patrón, un correo electrónico malicioso que adjunta una serie de archivos maliciosos, como:

  • Scripts JavaScript
  • Archivos comprimidos con archivos JS.
  • Archivos LNK con script PowerShell.
  • Documentos con Macros.

Igual que siempre, la mejor forma de protegerse de estas amenazas es evitando descargar y ejecutar archivos sospechosos que recibamos a través del correo electrónico, sin embargo, debido a que este tipo de malware evade a la mayoría de las soluciones de seguridad, Microsoft nos recomienda habilitar su nuevo Windows Defender de Windows 10 que ya cuenta con todo lo necesario para detectar y bloquear esta amenaza y, como medidas de seguridad adicionales, usar Device GuardOffice 365 Advanced Threat Protection.

Byaci

Wikileaks “el golpe final” para la CIA

“Las trascendentales filtraciones de la CIA reveladas hoy por Wikileaks suponen el golpe final contra las descontroladas agencias de espionaje de EE.UU. que operan contra todos nosotros, en todas partes”, según el tuit de Kim Dotcom.”

“La CIA convirtió en dispositivos de escucha a todos los aparatos electrónicos de Rusia”

El portal de filtraciones WikiLeaks ha anunciado este martes la publicación de primera parte de sus archivos sobre la CIA, en el marco de lo que llama “la mayor publicación en la historia de los documentos confidenciales sobre la agencia”. Los documentos en disposición de WikiLeaks incluyen datos sobre “decenas de miles de objetivos y máquinas de ataque de la CIA en América Latina, EE.UU. y Europa”.

WikiLeaks, dirigido por Julian Assange, había planeado una rueda de prensa a través de internet para presentar su proyecto “Vault 7”, pero posteriormente anunció en Twitter que sus plataformas habían sido atacadas y la ha anulado. En un comunicado, el australiano, refugiado en la embajada de Ecuador en Londres desde 2012, dijo que la filtración de hoy es “excepcional desde una perspectiva legal, política y forense”.

Según la organización, recientemente la CIA perdió el control de la mayoría de su arsenal de hackeo que la agencia emplea ante una ciberguerra, incluyendo malware, virus, troyanos, sistemas de control remoto de malware y documentación asociada entro otros. Assange alertó que el arsenal está ahora en manos de hackers, quienes estarían comercializando el material. El líder de Wikileaks revela que “hay un riesgo extremo de proliferación en la carrera acelerada por las ciberarmas”, que resulta de la incapacidad de las agencias de seguridad para controlarlas una vez las han creado y de su “alto valor de mercado”.

Esta colección extraordinaria, que según el grupo asciende a más de varios cientos de millones de líneas de código, “le da a su poseedor toda la capacidad de hackeo de la CIA”

La filtración muestra el alcance y la dirección del programa de piratería encubierta global de la CIA, su arsenal de malware contra una amplia gama de productos de compañías estadounidenses y europeas, incluyendo el iPhone de Apple, el Android de Google, Windows de Microsoft, o las Samsung TV, también conocidas como smart TV, que se convierten en micrófonos encubiertos. Estos televisores pueden convertirse en micrófonos encubiertos mediante un software supuestamente elaborado en colaboración con el MI5 británico.

La serie Vault 7 se estrenó hoy con el capítulo “Year Zero (Año Cero)  comprende un total de 8.761 documentos privados de la CIA” y abarca el periodo de 2013 a 2016. La primera entrega, según la organización, “ya eclipsa el total de páginas publicadas en los primeros tres años de revelaciones sobre la NSA (Agencia de Seguridad Nacional de EE.UU.) por Edward Snowden”. La organización reveló además que el consulado de Frankfurt es la base de operaciones cibernéticas en Europa del supuesto programa encubierto de la CIA.

Los documentos robados proceden de una red aislada de alta seguridad situada dentro del Centro de Ciberinteligencia de la CIA en Langley, Virginia.

WikiLeaks señala que la CIA ha ido aumentando sus capacidades en la lucha cibernética hasta rivalizar, “con incluso menos transparencia” con la NSA, la otra agencia de seguridad estadounidense.

El portal también revela que, además de su centro en Langley, la CIA utiliza el consulado de EE UU en Fráncfort “como una base encubierta para sus ‘hackers’ en Europa, Oriente Medio y África”.

 

Byaci

¿Qué son las Amenazas Persistentes Avanzadas (APT)?

Las amenazas persistentes avanzadas suelen manifestarse como un programa especialmente diseñado para mantenerse oculto en el sistema atacado, puede que aprovechando vulnerabilidades desconocidas hasta ese momento o usando técnicas de ingeniería social muy concretas sobre el personal de la empresa-víctima. Esto quiere decir que se aleja del malware o amenazas comunes que, por lo general, son impersonales y generalistas.

Sus rasgos definitorios son: ser capaces de perdurar en el tiempo (infectando una máquina), poder aprovecharse de vulnerabilidades desconocidas oficialmente (lo que las hace pasar desapercibidas) y, sobre todo, tratarse de amenazas dirigidas contra un objetivo muy específico (habitualmente los recursos de una compañía). El principal fin de este tipo de ataques es el espionaje, principalmente empresarial, gubernamental y militar, obteniendo y manipulando información contenida en sus sistemas, más que atacando a objetivos físicos. En definitiva, se trata de comprometer la seguridad de una red de ordenadores para conseguir información sensible.

El tipo de atacante que usa una APT es mucho más paciente y suelen tener una mayor motivación económica para el ataque sea exitoso.

Características principales de una APT

  • Personal: el atacante selecciona objetivos con base en intereses políticos, comerciales o de seguridad y tiene una definición clara de la información que busca obtener de la víctima.
  • Persistencia: si un objetivo se resiste a ser penetrado, el hackerno abandonará la misión, lo que hará es cambiar la estrategia y desarrollará un nuevo tipo de ataque. Incluso podría decidirse por pasar de un vector de ataque externo a uno
  • Control y enfoque: una APT está enfocada en tomar control de elementos cruciales de la infraestructura, como redes de distribución eléctrica o sistemas de comunicaciones; también busca comprometer la propiedad intelectual de otros o información de seguridad nacional, mientras que los datos personales no suelen ser de interés para un atacante de este estilo.
  • Tiempo y dinero: los perpetradores de una APT no suelen preocuparse por el costo del ataque, incluso pueden no preocuparse de los ingresos a partir del mismo, ya que a menudo están financiados por estados nacionales o por el crimen organizado.
  • Automatización: los hackershacen uso de software y sistemas automatizados para aumentar el poder de penetración contra un solo objetivo, a diferencia de otros tipos de ataques  que utilizan sistemas automatizados para atacar múltiples objetivos.
  • Una sola capa: solo un grupo u organización posee y controla todos los roles y responsabilidades durante el ataque. Estos roles y responsabilidades no están distribuidos en grupos externos a la organización atacante.

Proceso de ataque

1) Estudio de la víctima. Al tratarse de un ataque específico dirigido, el atacante debe conocer en profundidad su objetivo, desde la configuración de los sistemas hasta sus políticas de seguridad. Esto le permite elegir el punto más débil en la cadena para atacar.

2) Infección. Consiste en instalarse o esconderse en alguna máquina de la red interna, desde donde se intenta obtener el objetivo deseado (la información). Esta máquina puede infectarse ejecutando un simple archivo, que contiene las instrucciones para futuras etapas de la infección. También incluye la lógica necesaria para descargar nuevas funcionalidades, si fuesen necesarias.

3) Propagación. Una vez infectado un equipo o sistema, la propagación consiste en extenderse a más equipos, ya sean en la red colindante (LAN) o a través de Internet. Con esto se consigue más información. Como contrapartida, el atacante asume un mayor riesgo a ser detectado.

Durante los últimos dos años las APT se han hecho muy sofisticadas y diversificadas en sus métodos y tecnologías. Los ataques tradicionales empiezan mapeando las redes y realizando tareas de inteligencia para recolectar información acerca de vulnerabilidades técnicas, sin embargo, un ataque APT empieza con un mapeo de la parte humana de la organización y colecta información de los empleados, más que por medio de las vulnerabilidades técnicas.

 

Métodos de Infección y propagación

  • Ingeniería Social: Algunos ataques muy sofisticados técnicamente han comenzado con un simple engaño a uno de los usuarios de la red. La infección comienza con una ejecución. Persuadir a un usuario de que lance un ejecutable, si el sistema no cuenta con las medidas de seguridad necesarias, puede ser más sencillo que cualquier otro método.
  • Bring your Own Device (BYOD): “Trae tu propio dispositivo” Salvo que se tomen las medidas de gestión de seguridad adecuadas, esta política de empresa puede entrañar problemas a la seguridad corporativa, puesto que puede suponer la introducción de dispositivos no protegidos ni controlados en la red interna.
  • Vulnerabilidades: Todo software presenta vulnerabilidades. Si estas son suficientemente graves, pueden permitir la ejecución de código en el sistema sin que la víctima se percate. Las más graves son las más recientes y por tanto menos conocidas y con menor probabilidad de que exista parche para solucionarla. Estas suponen una brecha mayor de seguridad. De entre ellas, las vulnerabilidades conocidas como 0-day son las más peligrosas.
  • Phishing dirigido: Se buscan credenciales de gente involucrada en la empresa u organismo, tanto trabajadores como altos directivos, por lo que no es un ataque indiscriminado. Se personalizan los mensajes y se suplanta la identidad de administradores de red, por ejemplo. Una vez se obtienen los datos, se podría acceder a la empresa a través de, pongamos por caso, una VPN e infectar un equipo.
  • Perímetro externo: El perímetro externo de una empresa está formado por todo aquel software o sistema que está en contacto con el exterior. Para un atacante que desee entrar en la red interna es un punto más que debe conocer y analizar.
    • Firewall
    • VPN
    • Aplicaciones Web
  • Distracciones: Una de las características de las APTs es que deben ser persistentes en el tiempo. Para que la amenaza pueda perpetuarse, los administradores del sistema no deben conocer la existencia de esta amenaza. Si la red está convenientemente configurada, cualquier movimiento en los sistemas podría quedar reflejado en los “logs” o registros automáticos de actividad internos. Para que los administradores no se percaten de esta intrusión, los atacantes pueden crear una cortina de humo atacando el sistema de otra manera. Uno de los ejemplos típicos de estas distracciones son los ataques DDoS. Un ataque DDoS es un ataque de denegación de servicio distribuido o, lo que es lo mismo, intentar que el sistema principal deje de funcionar. Este ataque se produce realizando múltiples peticiones a un servidor (como puede ser un servidor de páginas web o de correo electrónico) desde distintos lugares. Mientras tanto, los atacantes introducen el malware. Con esto se consigue que los administradores de sistemas centren sus esfuerzos en mitigar el ataque DDoS y no presten atención a la intrusión. Además, las posibles huellas que dejase la amenaza en los logs quedan ocultas entre otras peticiones ocasionadas por el ataque de denegación de servicio.

¿Por qué es tan difícil detectar una APT?

  • Más que tomar control de las aplicaciones y de la infraestructura de la red, buscan aprovecharse de los recursos y privilegios de  las personas que forman parte de la organización.
  • Usan firmas de ataque únicas y de gran creatividad.
  • Más que tomar control de los componentes y de las aplicaciones de la red, una ATP se basa en los recursos de los usuarios y sus privilegios.
  • El comportamiento y las “firmas” de un ataque de este tipo son difíciles de correlacionar con los de ataques conocidos, incluso si la empresa utiliza un correlacionador o un SIEM (Security Incident and Event Management).
  • Normalmente una APT es distribuida a lo largo de periodos de tiempo prolongados, haciéndola difícil de correlacionar con base en los datos de fecha y hora.
  • Los ataques parecieran venir de una gran variedad de fuentes. Las botnets distribuidas son usadas con frecuencia para generar los ataques, haciendo muy difícil la identificación de la red hostil.
  • El tráfico de datos del ataque por lo general se encubre a través de cifrado, compresión o enmascarando  las transmisiones dentro del comportamiento “normal” de programas comprometidos.
  • Muchas APT son diseñadas de manera específica para operaciones encubiertas y se mueven de un sistema comprometido a otro sin generar el tráfico predecible que se ve en otra clase de malware. Los ataques APT suelen diseñarse para evadir las
    soluciones antimalware y los IPS, además de que pueden ser compilados para una industria u organización específica.

¿Qué medidas tomar para reducir el riesgo de una APT?

  1. Gobernabilidad, manejo del riesgo y cumplimiento regulatorio: Las organizaciones necesitan evaluar si están aplicando las medidas de protección adecuadas a los activos más valiosos. Es aquí donde la gobernabilidad, la administración del riesgo y el cumplimiento regulatorio (Governance, Risk and Compliance, GRC) entran en escena. Los equipos de administración de la seguridad deben establecer prioridades basadas en las políticas creadas a partir de los esfuerzos de GRC.
  2. Correlación exhaustiva de riesgos: Las organizaciones necesitan una vista unificada de sus ambientes de TI, sin importar qué cosas son internas, externas, cuáles son virtualizadas o cuáles están en la nube. Sólo teniendo una vista integral se puede monitorear, analizar y correlacionar eventos para detectar actividad sospechosa y para determinar el daño posible o real de un ataque de este tipo.
  3. Automatización intensiva de sistemas de TI: Las empresas deben aprovechar la automatización y la virtualización para hacer más eficiente la administración y el monitoreo, tanto de la configuración de los sistemas como de la administración de parches y actualizaciones. La automatización ayudará a lograr la línea base de seguridad de una manera más eficiente y simplificará las operaciones al reducir la brecha entre sistemas actualizados y no actualizados.
  4. Comportamiento adaptable de las operaciones de seguridad: Las prácticas de seguridad basadas en reglas rígidas y análisis de firmas sólo pueden ser efectivas contra ataques tradicionales pero no contra ataques de APT. Las operaciones de seguridad necesitan responder y adaptarse rápidamente cuando hay eventos o condiciones que causan desviaciones de la línea base establecida. Necesitan inteligencia automatizada e interconstruida que permita adaptar las técnicas de verificación de usuarios, intercambiar equipos e incluso “recablear” redes virtuales completas para cortar de tajo actividades de alto riesgo. Los equipos de seguridad deben aprender sobre la marcha para adaptar y mejorar sus contramedidas, lo que mejorará la eficiencia y efectividad de la respuesta a amenazas.

Las amenazas persistentes avanzadas están cambiando el panorama de las amenazas en el mundo empresarial debido a su sigilo, ambición y complejidad. Estar alerta y enterado de lo que es una APT es el primer paso para establecer la estrategia de defensa ante ello, sin embargo, hay que tener en cuenta que es casi imposible prevenir las APT y por lo general solo puede minimizarse el daño.

Las organizaciones deben aprender a considerar amenazas emergentes como las APT en sus evaluaciones de riesgo y en la planeación de la seguridad. Esto requiere cambios fundamentales y estratégicos en la manera en que las empresas priorizan sus actividades de seguridad e identifican amenazas, lo cual forzará también a los equipos de TI y de seguridad a adoptar prácticas de seguridad a partir de un punto de vista amplio y basado en el riesgo.

 

 

Byaci

DHCPIG: UNA HERRAMIENTA PARA ATACAR LOS SERVIDORES DHCP, APRENDE QUÉ HACE Y CÓMO MITIGAR EL ATAQUE

El protocolo DHCP es el encargado de proporcionar direcciones IP de manera automática a los clientes, sin embargo, podemos atacar dicho protocolo para ocupar todo el pool de direcciones e impedir que más clientes se conecten a la red. La herramienta DHCPig nos permitirá de manera fácil y rápida consumir todo el rango de IPs.

El protocolo DHCP básicamente funciona con cuatro mensajes que se intercambian entre los diferentes clientes y el propio servidor. A continuación, podéis ver un sencillo esquema de cómo funciona este protocolo DHCP.

DHCPig es una herramienta muy avanzada para realizar un ataque de agotamiento de direcciones al servidor DHCP y consumir todas las IP de manera ilegítima, también es capaz de liberar las direcciones IP que están en uso y enviar mensajes ARP para enviar todos los host de Windows fuera de la red. Esto hará que los nuevos usuarios que se conecten no podrán obtener dirección IP, y los que ya hay conectados tampoco podrán seguir estando en la red ya que perderán la IP que ha sido asignada anteriormente.

Esta herramienta DHCPig es compatible con sistemas operativos Linux, el único requisito es tener instalada la librería Scapy 2.1 o superior, y ejecutar esta herramienta con permisos de administrador. No es necesaria ninguna configuración, ya que todas las opciones se introducen por parámetro incluyendo la interfaz física donde queremos enviar los paquetes.

Cuando ejecutamos el script, podremos realizar una gran cantidad de acciones, entre las que se incluyen:

  • Capturar las IP de los vecinos que están conectados a la red.
  • Escuchar nuevas solicitudes DHCP de otros clientes y responderles.
  • Solicitar todas las direcciones IP del rango de DHCP, esto se puede poner en un bucle infinito para agotar todo el rango de IP de manera continua.

Una vez que haya agotado todas las direcciones, esperará 10 segundos y entonces eliminará a todos los sistemas con sistema operativo Windows, ya que al no haber direcciones IP para dichos sistemas Windows, estarán fuera de la red.

Otra característica muy interesante de esta herramienta es que también es capaz de atacar a servidores DHCPv6, es decir, los servidores DHCP que utilizan el protocolo de red IPv6. Aunque por defecto siempre atacará al protocolo DHCPv4.

Les recomendamos visitar el proyecto DHCPig en GitHub donde encontraréis la herramienta para descargarla gratuitamente.

CÓMO MITIGAR LOS ATAQUES AL PROTOCOLO DHCP

Siempre que en nuestra red tengamos un servidor DHCP, debemos protegerlo no solo de ataques de agotamiento de direcciones IP como hemos visto anteriormente, sino también de servidores DHCP falsos. ¿Qué son los servidores DHCP falsos? Con servidores DHCP que un cliente puede configurar, para que los clientes en lugar de obtener la IP y DNS del servidor legítimo, lo hagan del falso y la interceptación de las comunicaciones sea más sencilla.

¿Cómo podemos mitigar los ataques a DHCP? Con DHCP Snooping, esta técnica nos permitirá evitar que los clientes puedan montar sus propios servidores DHCP, y también impide que los clientes envíen ataques de agotamiento de direcciones. DHCP Snooping lo que hace es crear una pequeña base de datos de host confiables, y cuando detecta mensajes DHCP ilegítimos los bloquea.

DHCP Snooping normalmente están en la mayoría de switches gestionables, por ejemplo en el switch D-Link DGS-1210-10 que hemos analizado anteriormente en RedesZone lo tenemos disponible:

Normalmente los switches también permiten mitigar ataques ARP y DHCP, a continuación podéis ver el “Smart Binding” de este switch:

Si tienes cualquier otro switch, puedes mirar la documentación oficial ya que seguramente soporte DHCP Snooping y mitigar este tipo de ataques. Por ejemplo, para equipos Cisco puedes ver esta completa guía sobre DHCP Snooping donde podrás ver cómo habilitarlo globalmente, y posteriormente definir los puertos del switch confiables.

Fuente: https://www.redeszone.net

Byaci

Metodología de Footprinting

Internet Footprinting

1.- Buscamos y localizamos URL de la página en un buscador (p. ej Google)

2.- Localizamos posibles host que pueda haber. Para hacer este tipo de búsquedas  podemos usar diferentes herramientas:

  • Usando modificador ‘site‘ de Google:

> (Ejemplo: “site:microsoft.com“)

  • Podemos usar adicionalmente site:XXXXXX.com –site:XXXXXX.com para determinar más hosts posibles.
  • Aparecerá siempre y cuando esté almacenado en Google.

3.- Identificar páginas públicas y privadas

  • Identificar websites públicas y privadas.

4.– Búsqueda de información de empresa

5.- Obtener información geográfica del entorno

  • Recolectar información local y geográfica
  • Herramientas
    • Google Maps

6.- Buscadores de gente

  • Obtener información relevante de las personas como:
    • Dirección de residencia
    • Números de contacto
    • Fecha de nacimiento
    • Dirección Email
    • Fotos por satélite de su residencia
  • Herramientas

7.- Buscadores en Redes Sociales y sitios web de búsqueda de trabajo

  • Facebook
  • Twitter
  • Linkedin

8.- Monitorización de objetivos usando alertas

  • Servicios de monitorización de alertas que notifican automáticamente a los usuarios cuando aparecen nuevos contenidos para una búsqueda
  • Herramientas
    • Google Alerts

Competitive Intelligence

1.- Información acerca del estado financiero de una empresa

2.- Ofertas de trabajo

  • Se puede obtener información sabiendo qué se demanda en una empresa.
  • Herramientas
    • Infojobs
    • Tecnoempleo

3.- Inteligencia competitiva

  • Que hace una empresa, hacia donde va, que perspectivas tiene, etc.

WHOIS Footprinting

1.- WHOIS Lookup

  • Las bases de datos WHOIS son mantenidas por registros regionales de Internet y contienen información personal de los propietarios de dominio
  • Herramientas

DNS Footprinting

  • Existen diferentes tipos de resolución (A, MX, NS, etc)
  • Podemos obtener información muy útil sobre localización y tipos de servidores
  • Herramientas

Network Footprinting

1.- Localizar el rango de red

  • Encontrar el rango de direcciones IP
  • Utilizar la herramienta de búsqueda ARIN whois database
  • Se puede encontar el rango de direcciones IP y la submáscara de red usado por la organización objetivo del RIR (Regional Internet Registry)
  • Herramientas
    • Comando Tracert (Windows)
    • Comando Traceroute (Unix)
    • 3D Traceroute
    • Path Analyzer Pro

Análisis de Traceroute

  • Puede usarse traceroute para extraer información acerca de la topología de la red, routers confiables y localización de firewalls
  • El número de la primera columna es el número de salto, posteriormente viene el nombre y la dirección IP del nodo por el que pasa, los tres tiempos siguientes son el tiempo de respuesta para los paquetes enviados (un asterisco indica que no se obtuvo respuesta)
  • Tracert utiliza el campo Time To Live (TTL) de la cabecera IP. Este campo sirve para que un paquete no permanezca en la red de forma indefinida (por ejemplo, debido a la existencia en la red de un bucle cerrado en la ruta).
  • El campo TTL es un número entero que es decrementado por cada nodo por el que pasa el paquete. De esta forma, cuando el campo TTL llega al valor 0 ya no se reenviará más, sino que el nodo que lo esté manejando en ese momento lo descartará.
  • Lo que hace tracert es mandar paquetes a la red de forma que el primer paquete lleve un valor TTL=1, el segundo un TTL=2, etc.
  •  De esta forma, el primer paquete será eliminado por el primer nodo al que llegue (ya que éste nodo decrementará el valor TTL, llegando a cero).
  • Cuando un nodo elimina un paquete, envía al emisor un mensaje de control especial indicando una incidencia. Tracert usa esta respuesta para averiguar la dirección IP del nodo que desechó el paquete, que será el primer nodo de la red.
  • La segunda vez que se manda un paquete, el TTL vale 2, por lo que pasará el primer nodo y llegará al segundo, donde será descartado, devolviendo de nuevo un mensaje de control. Esto se hace de forma sucesiva hasta que el paquete llega a su destino.

Website Footprinting

1.- Mirroring de un Website

  • Te permite clonar una web y hacer búsquedas a posteriori
  • Herramientas

2.- Obtener información sobre la evolución de una página web

  • Herramientas

E-Mail Footprinting

1.-Seguimiento de comunicaciones vía Email, acuses de recibo. etc…

Google Hacking

1.- Operadores avanzados

  • Uso de operadores avanzados para encontrar información relevante

Contramedidas Footprinting

  • Configurar routers para restringir respuestas a posibles consultas de footprinting
  • Configurar servidores Web para evitar fugas y des habilitar protocolos de información no buscada
  • Bloquear los puertos con una configuración de firewall adecuada
  • Realizar ataques preventivo s de footprinting para localizar información accesible y bloquear el acceso a esta
  • Desactivar listas de directorio y usar split-DNS