Latest Event Updates

THE HARVESTER – BUSQUE A LOS EMPLEADOS QUE TRABAJAN EN UNA EMPRESA

Posted on

hacker

The Harvester, una herramienta de fuente abierta escrita por Christian Martorella. Harvester permite recopilar información como direcciones de correo electrónico y subdominios, todo a partir de recursos públicos. Esta herramienta en su mayoría busca a través de sitios como Google, Bing, LinkedIn y Shodan.

Según un experto en hacking ético del Instituto Internacional de Seguridad Cibernética, el The Harvester es una herramienta avanzada de recopilación de información. Esta herramienta es bastante útil para los pentesters.

Para iniciar The Harvester

  • Escriba theharvester en la terminal de Linux

Búsqueda básica

  • Escriba theharvester -d cisco.com -b google como se muestra a continuación:

-d para buscar el nombre de dominio

-b fuente de datos que se utilizará para la búsqueda, aquí estamos utilizando la fuente de datos de Google


  • Como se muestra arriba después de buscar el dominio de destino, se muestra host y correo electrónico que se encuentran en Google
  • Puede configurar su propia fuente de datos eligiendo la fuente de datos deseada

Hosts virtuales

  • Escriba theharvester -d containererstore.com -b bing –v

-d significa buscar el nombre de dominio

-b significa fuente de datos como Google, Bing, Twitter

-v busca hosts virtuales y usa la resolución DNS para verificar el nombre del host


  • En las exploraciones de hosts virtuales anteriores, podría haber miles de dominios resolviendo la misma dirección IP, ya que estos dominios están alojados en el mismo proveedor de alojamiento web de terceros
  • El atacante podría usar estos sitios para la vulnerabilidad de inyección de SQL. Un atacante puede apuntar el primer sitio para recopilar información y el segundo sitio para la inyección de SQL

Herramientas API de Twitter

  • Escriba theharvester -d containererstore.com -b twitter
  • De forma predeterminada, el uso de Twitter en la consulta muestra a los usuarios de twitter de containererstore.com como se muestra a continuación:


  • Como se muestra arriba, aquí está la lista de cuentas de Twitter de containererstore.com. La lista anterior de usuarios de Twitter se puede considerar en la fase inicial de recopilación de información
Advertisements

CITRIX FORZÓ A SUS USUARIOS A CAMBIAR DE CONTRASEÑA ANTE AMENAZA DE CIBERATAQUE

Posted on

U.S. accounts for most Mac OS X attacks and websites seeded with malware

La empresa teme un ataque de relleno de credenciales en ShareFile

Expertos en seguridad informática y forense digital del Instituto Internacional de  Seguridad Cibernética reportan que Citrix, empresa dedicada a la virtualización de software, ha obligado a sus usuarios a cambiar de contraseña después de que un grupo de cibercriminales comenzara una campaña de ataques de rellenado de credenciales, tratando de conseguir acceso ilícito a múltiples cuentas de ShareFile.

La compañía ha asegurado a los usuarios que esta no es una medida en respuesta a una violación de seguridad o algún otro ciberataque, sino que se trata de una decisión preventiva con la que la empresa tratará de anticiparse a las acciones de los hackers maliciosos que podrían intentar aprovecharse de algunos usuarios que utilizan la misma contraseña para acceder a distintas plataformas y servicios.

Debido a los recientes incidentes de robos de datos masivos (Marriott y Quora, por ejemplo), Citrix comenzó a notar algunos indicios de ataque de relleno de credenciales en ShareFile, lo que generó preocupación para sus equipos de ciberseguridad y forense digital, pues se creía que los atacantes estaban utilizando la información obtenida de otras violaciones de seguridad para acceder a cuentas de ShareFile.

“Hemos tomado esta decisión de inmediato para mitigar los riesgos para nuestros clientes de ShareFile, forzando un restablecimiento de contraseña”, mencionó Stan Black, directivo de Citrix, a través del blog de la empresa. “Sabemos que esta decisión podría generar algunos inconvenientes para nuestros usuarios, pero consideramos que era necesario para detener cualquier intento de robo de información.”

Especialistas en forense digital recomiendan a los usuarios de ShareFile habilitar la opción de autenticación multi factor para acceder a sus cuentas. Dana Tamir, experta en seguridad informática señala que habilitar la autenticación de dos factores es una forma esencial de validar la identidad de los usuarios y protegerse contra técnicas de ataque cibernético como el relleno de credenciales.

“Herramientas como ShareFile son uno de los objetivos principales de los hackers, ya que contienen datos valiosos y confidenciales”, dijo Tamir. “Restablecer las contraseñas del usuario no es suficiente para prevenir incidentes de seguridad, pues las nuevas contraseñas también podrían ser sustraídas con relativa facilidad”, concluyó la experta.

El restablecimiento de contraseñas suele ser una medida de seguridad endeble, pues las personas tienden a modificar solamente algunos caracteres de sus contraseñas actuales con el fin de evitar la necesidad de recordar una nueva. Además, la implementación de autenticación multi factor no es una solución absoluta contra el robo de datos, ya que muchos archivos compartidos a través de plataformas como ShareFile no son compatibles con autenticación multi factor debido a sus características inherentes, por lo que quedan desprotegidos.

ADELANTAN CIERRE DE GOOGLE+ POR NUEVO INCIDENTE DE SEGURIDAD

Posted on

Microsoft Patches Old Stuxnet Bug, FREAK Vulnerability

La versión para consumidores de la red social será cerrada en abril y no en agosto por la detección de un nuevo error que ha afectado a millones de personas

Acorde a reportes de expertos en forense digital del Instituto Internacional de Seguridad Cibernética, después de descubrir un nuevo error de API en Google+, la empresa ha decidido adelantar el cierre de la versión para consumidores de esta plataforma.

Google ya había anunciado el cierre de su red social después de que, en octubre pasado, un error en el software de API de Google+ comenzara una polémica relacionada con la privacidad de sus usuarios. Si bien el cierre de la plataforma había ido anunciado para el mes de agosto de 2019, Google decidió adelantar el proceso después de que un nuevo error comprometiera la información de alrededor de 52 millones de usuarios.

David Thacker, vicepresidente de administración de productos para G Suite de Google mencionó: “Después de descubrir este nuevo incidente, hemos decidido acelerar el cierre de todas las API de Google+, hecho que concretaremos en unos 90 días. Además, decidimos adelantar el cierre de la plataforma para consumidores, en lugar de agosto de 2019, Google+ cerrará en abril de 2019”.

El error más reciente fue solucionado en la última actualización de software, lanzada en noviembre pasado. Acorde a expertos en forense digital, este bug habría permitido que múltiples aplicaciones que solicitaban permiso para acceder a los datos de los usuarios obtuvieran permisos completos, aún si el perfil del usuario no permitía esta acción.  Este error también permitió que algunas aplicaciones accedieran a información compartida entre dos usuarios de Google+ incluso si sus perfiles no eran públicos.

“Descubrimos este incidente durante un procedimiento rutinario, el error fue solucionado una semana después de ser descubierto”, mencionó el funcionario de Google. “Gracias a la evidencia que hemos recolectado podemos concluir que ningún tercero accedió a nuestros sistemas, también podemos afirmar que los desarrolladores no hicieron mal uso de estos accesos y permisos anómalos”.

Hace un par de meses Google se vio envuelta en polémica debido a un error en el software de una API de su red social que fue descubierto por su propio equipo de forense digital. El error permitió que a desarrolladores externos acceder a datos privados de los perfiles de Google+. Aparentemente, el error persistió en la plataforma desde el año 2015.

La empresa sufrió un duro golpe a su imagen después de que el error fuera descubierto, pues decidieron no hacerlo público en su momento. De hecho, la empresa tecnológica no hizo mención alguna del error hasta que medios como Wall Street Journal comenzaron a indagar en el suceso. En ese momento la respuesta de Google fue anunciar la decisión de cerrar Google+, proceso que tomaría a la empresa alrededor de 10 meses, acorde a los reportes de la empresa.

AUTORIDADES CERTIFICADORAS, UN PUNTO DÉBIL PARA LA CRIPTOGRAFÍA EN LA RED

Posted on

Hiring Hacker to Address Cyber Security Challenges

Según un estudio, cinco de las 17 autoridades de certificación son vulnerables a ataques de fragmentación de IP

Durante un reciente evento de ciberseguridad en Europa, el estado de la criptografía en la web fue un tema recurrente. Acorde a expertos en forense digital del Instituto Internacional de Seguridad Cibernética, es muy complicado para los hackers romper la criptografía de curva elíptica, aunque nuevos estudios afirman que sí serían capaces de alterar la percepción de confianza en las autoridades de certificación más utilizadas comercialmente.

Según Elias Heftrig, experto en forense digital del Instituto Fraunhofer para la Seguridad en Tecnologías de la Información, cinco de diecisiete autoridades de certificación son vulnerables a ataques de fragmentación de IP. Las autoridades de certificación que usan la Validación de Dominio (DV) para autenticar la propiedad del dominio fueron seleccionadas y analizadas para detectar esta clase de vulnerabilidades.

“Este ataque explota el envenenamiento de caché de DNS y engaña a la autoridad certificadora para que emita certificados fraudulentos para dominios que no pertenecen de forma legítima al atacante”, explicaron los investigadores.

Otro grupo de especialistas descubrió algunas deficiencias en las implementaciones de criptografía de curva elíptica en escenarios reales. Sin embargo, esta investigación no reveló nada lo suficientemente grave como para forzar a los usuarios a recurrir a criptografía más débil.

El hallazgo de estos expertos en forense digital provino de exploraciones pasivas de Internet para TLS en un gran número de puertos, así como Secure Shell (SSH) e IPsec, en una serie de pruebas diseñadas para medir el soporte de la curva elíptica y la conducta de la implementación.

Los investigadores Luke Valenta y Nick Sullivan también realizaron “mediciones activas para estimar la vulnerabilidad del servidor a ataques conocidos contra implementaciones de curvas elípticas, incluido el soporte para curvas débiles, ataques de curva inválida, y ataques de giro de curva”, mencionan sus reportes.

“Alrededor del 0.77% de los hosts HTTPS, el 0.04% de los hosts SSH y el 4.04% de los hosts IKEv2 que admiten curvas elípticas no realizan comprobaciones de validez de la curva como se especifica en los estándares de curva elíptica”, afirmaron los expertos. Estas vulnerabilidades cuentan con el potencial para ser utilizadas en ataques de degradación de parámetro de curva elíptica, conocido como CurveSwap. Aún así, al ponerse en práctica esta variante de ataque, los investigadores fueron incapaces de ejecutar las acciones maliciosas tal como se planteaban en teoría.

Valenta mencionó que existen otros métodos más fáciles en los que un Estado nación podría atacar un sistema que intentar degradar las conexiones de curvas elípticas. Además, el experto agregó que aún podría haber servidores mal configurados disponibles, por lo que la posibilidad de este ataque no debe quedar completamente descartada.

Después del escaneo, los investigadores procedieron a examinar el código fuente para las implementaciones de curvas elípticas, encontrando instancias en las que las bibliotecas no pueden realizar la validación de puntos para el cifrado web JSON, así como algunas deficiencias de codificación en los algoritmos de multiplicación.

VULNERABILIDADES CRÍTICAS EN PHPMYADMIN

Posted on

Se detectan dos vulnerabilidades importantes en phpMyAdmin

Administradores de miles de sitios web se encuentran a la expectativa del lanzamiento de las actualizaciones

Acorde a reportes de especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, los administradores de phpMyAdmin, uno de los sistemas de manejo de bases de datos MySQL más conocidos y más utilizados, acaban de lanzar una versión actualizada de su software con el propósito de parchear diversas vulnerabilidades consideradas críticas que podrían permitir a un actor malicioso tomar control de los servidores web afectados de forma remota.

Los operadores del proyecto phpMyAdmin ya habían dado aviso sobre las actualizaciones a sus usuarios a través de una publicación en su blog, con la intención de que los administradores de sitios web, proveedores de servicios de alojamiento en la red y demás usuarios se prepararan de la mejor manera posible para instalar las actualizaciones críticas.

“Hemos recurrido a las técnicas empleadas por los desarrolladores de otros proyectos, como Mediawiki y otros parecidos, anticipando el lanzamiento de los parches de seguridad, permitiendo a los usuarios de phpMyAdmin preparar sus sistemas para la actualización”, menciona Isaac Bennetch, especialista en ciberseguridad y forense digital del phpMyAdmin.

El software de phpMyAdmin es una herramienta de administración gratuita y de código abierto para administrar bases de datos MySQL usando una interfaz gráfica de interacción muy simple a través del navegador web.

Según expertos en forense digital, casi cualquier servicio de alojamiento web cuenta con la instalación pre determinada de phpMyAdmin en sus paneles de control para ayudar a los administradores de sitios web a administrar de la manera más fácil posible sus bases de datos para sitios web como WordPress, Joomla y otros sistemas de administración de contenido.

Además de la corrección de algunos bugs, los desarrolladores de phpMyAdmin comentaron que la actualización se enfocará principalmente en tres fallas de seguridad críticas presentes en las versiones del software anteriores a 4.8.4:

  • Inclusión de archivos locales (CVE-2018-19968)

Una vulnerabilidad de inclusión de archivos locales se encuentra presente en  las versiones de phpMyAdmin entre 4.0 y 4.8.3. Esta falla podría permitir a un atacante remoto acceder a contenido confidencial en los archivos locales del servidor a través de su función de transformación.

  • Falsificación de solicitudes entre sitios (CSRF) / XSRF (CVE-2018-19969)

Las versiones de phpMyAdmin desde 4.7.0 a 4.7.6 y 4.8.0 a 4.8.3 incluyen una vulnerabilidad de falsificación de solicitudes entre sitios que, de ser explotada, permitiría a un hacker realizar operaciones SQL maliciosas. Entre estas actividades perjudiciales se encuentran cambios de nombres de las bases de datos, creación de nuevas tablas de contenido o eliminación de administradores.

  • Vulnerabilidad XSS (CVE-2018-19970)

El software también presenta una vulnerabilidad XSS en su árbol de navegación que afecta a las versiones entre 4.0 y 4.8.3, con lo que un hacker podría inyectar código malicioso en el sistema afectado con paquetes especialmente diseñados.

Según los desarrolladores de phpMyAdmin, la versión del software 4.8.4 abordará las tres vulnerabilidades críticas encontradas en las versiones anteriores. Además, los encargados del software lanzarán posteriormente algunos parches de actualización complementarios.

Por último, los encargados de phpMyAdmin recomiendan encarecidamente a los administradores de sitios web y proveedores de alojamiento que instalen los parches de actualización apenas estén disponibles.

FIND EMPLOYEES WORKING IN A COMPANY

Posted on

hacker

THEHARVESTER:

Harvester an OSINT tool, written by Christian Martorella. Harvester allows to gather information like email addresses, sub domains all from public resources. This tool mostly lookups on sites like- Google, Bing, LinkedIn and Shodan.

According to ethical hacker of international institute of cyber security theharvester is used in advance information gathering tool. This tool is quite useful for the pentesters.

NOW FOR LAUNCHING TOOL:-

  • Type theharvester in linux terminal.

BASIC SEARCH:-

  • Type theharvester -d cisco.com -b google as shown below:-

-d to search for the domain name.

-b data source that will used for searching, here we are using google data souce

  • As shown above after searching for the target domain. It shows host and email that are found on the google.
  • You can set your own data source by choosing your desired data source.

VIRTUAL HOST:-

  • Type theharvester -d containerstore.com -b bing -v

-d means to search for domain name.

-b means data source like – google, bing, twitter.

-v search for virtual hosts and use dns resolution for verifying host name.

  • In the above virtual host scans, there could be a thousands of domains might resolving same ip address as these domain are hosted on same third party web hosting provider,.
  • Attacker could use these sites for SQL injection vulnerability. An attacker may target first site for gathering information and second site for Sql injection.

TWITTER API KEYS:-

Type theharvester -d containerstore.com -b twitter.

  • By default using twitter in the query shows the twitter users of containerstore.com as shown below.

  • As shown above, here is the list of twitter accounts of containerstore.com. The above list of twitter users can be consider in the initial phase of information gathering.

CITRIX FORCED ITS USERS TO CHANGE PASSWORDS DUE TO CYBERATTACK THREAT

Posted on

How to hack a Navy vessel

The company fears a credential stuffing attack in ShareFile

Information security and digital forensics specialists from the International Institute of Cyber Security reported that Citrix, a company dedicated to virtualization of software, has forced its users to change their passwords after a group of cybercriminals begun an alleged credentials stuffing campaign, trying to get illicit access to multiple ShareFile accounts.

The company has assured its users that this is not a measure in response to a security breach or some other cyberattack, but it is a preventive decision with which they will try to anticipate the actions of malicious hackers who could attempt to take advantage of some users who manage the same passwords to access different platforms and services.

Due to recent data breach incidents (Marriott and Quora, for example), Citrix began noticing some signs of a credential stuffing attack on ShareFile systems, which generated concern among their cybersecurity and digital forensics teams, as they believed that the attackers were using the information obtained from other security breaches to try accessing ShareFile accounts.

“We have made this decision immediately to mitigate the risks for our ShareFile customers by forcing a password reset,” said Stan Black, a Citrix manager, through the company’s blog. “We know that this decision could generate some drawbacks for our users, but we felt that it was necessary to stop any attempt to steal information”.

Digital forensics specialists recommend ShareFile users to enable the multi-factor authentication option to access their accounts. Dana Tamir, an information security expert, says that enabling two-factor authentication is an essential way to validate the identity of users and protect against cyberattack techniques such as credential stuffing.

“Tools like ShareFile are one of the main targets for hackers, because they contain valuable and confidential data,” said Tamir. “Restoring user passwords is not enough to prevent security incidents, as new passwords could also be stolen with relative ease,” the expert concluded.

Restoring passwords is usually a flimsy security measure, as people tend to modify only some characters of their current passwords in order to avoid the need to remember a new one. In addition, the implementation of multi-factor authentication is not an absolute solution against data theft, since many files shared across platforms such as ShareFile are not suitable with multi-factor authentication due to their inherent features, so they remain unsecured.