Latest Event Updates

MONITOREA CUALQUIER SERVIDOR CON ESTA HERRAMIENTA: YAMOT

Posted on

Un experto nos explica que yamot es una herramienta de monitoreo de servidores basada en la web creada para entornos pequeños con solo unos pocos servidores. El profesional de seguridad informática también comentó que la herramienta requiere un mínimo de recursos, lo que permite la ejecución en casi todas las máquinas, incluso en las más antiguas. El yamot (Yet Another MOnitoring Tool) funciona mejor con Linux o BSD, ya que Windows no forma parte del alcance del servidor.

yamot 1

Los investigadores dijeron que podría usarlo, por ejemplo, para controlar sus servidores Raspberry Pi que se ejecutan en casa. Solo requiere unos pocos pasos de configuración y luego muestra los datos de medición del servidor más relevantes en su navegador:

  • Carga del sistema
  • Uso de memoria
  • Uptime / Boot Time
  • Costos (calculados)
  • Batería (por ejemplo, para controlar un dispositivo móvil)
  • Fuerza de la señal WiFi
  • Temperaturas
  • Procesador (núcleos, velocidad, usos, etc.)
  • Sistema (Distro, Versión, Arquitectura, etc.)
  • Servicios de red (puertos de escucha abiertos)
  • Dispositivos de red y direcciones
  • Interfaces de red IO (bytes enviados / recibidos)
  • Uso del almacenamiento en disco (espacio usado y total)
  • Dispositivo de disco IO (bytes leídos / escritos)
  • Usuarios conectados (nombre, fecha de inicio de sesión, etc.)

Toda esta información se muestra en tiempo real en una página para ofrecer una visión general sin complicaciones. Si busca algo grande, rico en funciones y escalable, esta no es su herramienta. Para una solución de negocios, los expertos recomiendan Nagios.

La arquitectura está dividida en tres partes:

Componente del servidor

Este componente debe ejecutarse en el sistema del servidor que desea supervisar. Básicamente es un servidor web simple. Por razones de seguridad, tiene acceso de solo lectura al sistema. La autenticación se realiza a través de HTTP Basic Auth, el profesional de seguridad informática recomienda NO utilizarlo en redes que no sean de confianza.

El componente del servidor proporciona solo datos en tiempo real. No hay tareas de fondo cíclico u otras cosas en ejecución que ocupen el procesador / memoria / disco. Si no accede al servidor, no necesitará casi ningún recurso. El servidor está construido con Python3, que necesita ser instalado. El puerto del servidor predeterminado es 9393.

Componente del controlador

Un servidor necesita tener el rol adicional del controlador. El controlador también es solo un servidor web que proporciona una REST-API para administrar la aplicación.

Para este componente, la autenticación también se realiza a través de HTTP Basic Auth, por lo que NO se debe utilizar en redes que no sean de confianza. El controlador está construido con node.js y express.js. Si no los tiene instalados, también puede usar Docker-Image llamada prod. El puerto predeterminado del controlador es 8080.

Componente del cliente

Finalmente, el cliente representa la página web y recibe el servicio del Controlador, en el puerto 8080. El cliente está construido con Angular, algunos Bootstrap CSS y un subconjunto de FontAwesome Icons. Un ciclo de actualización para mostrar datos nuevos, cada 3 segundos por valor predeterminado, genera la solicitud de todos los servidores para obtener actualizaciones de los datos medidos.

yamot 2

Empezando

Antes de la instalación: pruébelo en la ventana acoplable, hay varias imágenes acoplables disponibles. Solo prueba la imagen de demostración para obtener una primera impresión.

yamot 3

Docker

Hay tres imágenes acoplables que siguen varios propósitos. Todas las imágenes deben construirse a partir del archivo docker correspondiente. Solo use los guiones de shell adicionales.

Build: Transpila el código del cliente y del controlador en la carpeta dist en un entorno coherente, no es necesario construir el servidor

Prod: Contiene el controlador y el cliente para un uso productivo, solo agrega el contenedor a la infraestructura de tu docker

Demo: Contiene todos los componentes para mostrar cómo se supone que la aplicación funciona

URL: http: // localhost: 8080 /

Credenciales de acceso:

Nombre de usuario: yamot

Contraseña: test123

El experto en seguridad informática dijo que el contenedor de docker se mide y también un servidor ficticio produce datos aleatorios. Todos los cambios se revertirán en el siguiente inicio del contenedor, por lo que puede probarlo fácilmente.

Advertisements

APT28 HACKEA LOJACK SOFTWARE Y LOS ANTIVIRUS NO PUEDEN DETECTARLO

Posted on

Recientemente investigadores encontraron versiones corruptas del software legítimo LoJack que parece haber sido modificado a escondidas para permitir hackers dentro de las empresas que usan el servicio.

Expertos en seguridad informática comentaron que los dominios encontrados dentro de las instancias infectadas de LoJack han estado vinculados previamente a otras operaciones llevadas a cabo por APT28, un grupo de ciberespionaje con sede en Rusia, vinculado a la inteligencia militar de la compañía.

lojack

El grupo APT28 parece haber estado difundiendo instancias LoJack contaminadas. El software LoJack, es una aplicación que las empresas o los usuarios instalan en sus dispositivos que funciona como un faro y permite a los propietarios rastrear y localizar dispositivos en caso de robo.

Los profesionales en seguridad informática de Arbor Networks dijeron haber encontraron aplicaciones LoJack que contenían una pequeña modificación en el binario de la aplicación apuntando al agente LoJack a un servidor de comando y control deshonesto (C & C).

Esto nos dice que en lugar de informar al servidor LoJack central, los agentes de LoJack informaron y recibieron instrucciones de los dominios bajo el control de APT28.

Los investigadores también comentaron que no pudieron encontrar ninguna evidencia de que APT28 usara LoJack para entrar en los sistemas de las víctimas y robar datos, aunque no descarta que esto ya haya ocurrido.

Por la forma en que se construye el agente LoJack, son los troyanos de puerta trasera perfectos, los atacantes tienen acceso a una pieza de software que viene con un potente sistema de persistencia incorporado que permite a LoJack sobrevivir a reemplazos de disco duro y al sistema operativo (SO) de imágenes, también tiene la capacidad de ejecutar cualquier código en el sistema del objetivo, con los mayores privilegios posibles.

Esta característica permite a APT28 descargar otro malware, buscar datos confidenciales, filtrar datos robados a servidores remotos, borrar registros de cualquier artefacto de intrusión e incluso borrar o dañar dispositivos infectados.

Profesionales dijeron que ya que la modificación de los binarios LoJack viciados es extremadamente pequeña, hecha a un archivo de configuración, la mayoría de los escáneres antivirus no distinguen estas versiones contaminadas como maliciosas.

“Con una baja detección AV, el atacante tiene un ejecutable oculto a la vista, un agente doble”, explicaron los expertos en seguridad informática de Arbour en un informe. “El atacante solo necesita pararse en un servidor C2 deshonesto que simula los protocolos de comunicación de LoJack”.

Las versiones de LoJack contaminadas probablemente sean distribuidas a través de spear-phishing. Los investigadores aun no han podido identificar cómo APT28 distribuyó estos binarios LoJack contaminados a los objetivos, pero creen que los hackers usaron correos electrónicos de spear phishing para engañar a las víctimas y así instalar las versiones maliciosas de LoJack en sus sistemas.

Los investigadores creen que APT28 podría haberse inspirado en una charla de Black Hat de 2014, cuando los profesionales exploraron la idea de utilizar el software LoJack como una puerta trasera extremadamente modular y persistente.

HACKEAR CUALQUIER RED INALÁMBRICA USANDO UNA HERRAMIENTA PODEROSA: HIJACKER

Posted on

Para comenzar, los expertos nos explican que Hijacker es una interfaz gráfica de usuario para las herramientas de prueba de penetración Aircrack-ng, Airodump-ng, MDK3 y Reaver. Esta aplicación ofrece una interfaz de usuario simple y fácil para usar las herramientas sin escribir comandos en una consola y copiar y pegar direcciones MAC.

Los profesionales en seguridad informática comentan que esta aplicación requiere un dispositivo Android ARM con un adaptador inalámbrico interno que admita el modo de monitor. Algunos dispositivos Android lo pueden hacer, pero ninguno de ellos de forma nativa. Esto significa que necesitará un firmware personalizado. Un dispositivo que use el conjunto de chips BCM4339 (MSM8974, como Nexus 5, Xperia Z1 / Z2, LG G2, LG G Flex, Samsung Galaxy Note 3) funcionará con Nexmon. También los dispositivos que usan BCM4330 pueden usar bcmon.

Una alternativa que dan los expertos es usar un adaptador externo que admita el modo de monitor en Android con un cable OTG.

Las herramientas necesarias están incluidas para los dispositivos armv7l y aarch64 a partir de la versión 1.1. El controlador Nexmon y la utilidad de administración para BCM4339 y BCM4358 están incluidos.

Los investigadores de seguridad informática dicen que el acceso raíz también es necesario, ya que estas herramientas necesitan una raíz para funcionar.

Características

Recopilación de información

  • Vea una lista de puntos de acceso y estaciones (clientes) a su alrededor incluso los ocultos
  • Ver la actividad de una red específica midiendo beacons y paquetes de datos, y sus clientes
  • Estadísticas sobre puntos de acceso y estaciones
  • Consulte al fabricante de un dispositivo desde la base de datos OUI
  • Vea la potencia de señal de los dispositivos y filtre los que están más cerca de usted
  • Guarde los paquetes capturados en el archivo .cap

Ataques

  • Desautenticar a todos los clientes de una red, ya sea para cada uno de ellos o sin un objetivo específico
  • Desautenticar a un cliente específico de la red a la que está conectado
  • MDK3 Beacon Flooding con opciones personalizadas y lista SSID
  • DoS de Autenticación MDK3 para una red específica o para cada AP cercano
  • Capture un apretón de manos WPA o junte IV para romper una red WEP
  • Reaver WPS cracking

Otro

  • Deje la aplicación ejecutándose en segundo plano, opcionalmente con una notificación
  • Copie comandos o direcciones MAC al portapapeles
  • Incluye las herramientas necesarias, sin necesidad de instalación manual
  • Incluye el controlador Nexmon, biblioteca requerida y utilidad de administración para dispositivos BCM4339 y BCM4358
  • Establecer comandos para habilitar y deshabilitar el modo de monitor automáticamente
  • Agrietar archivos .cap con una lista de palabras personalizada
  • Cree acciones personalizadas y ejecútelas fácilmente en un punto de acceso o cliente
  • Ordenar y filtrar puntos de acceso y estaciones con muchos parámetros
  • Exportar toda la información recopilada a un archivo
  • Agregue un alias persistente a un dispositivo para una identificación más fácil

interfaz de usuario

Para la instalación, los expertos comentan que debe asegurarse de que:

  • estás en Android 5+
  • está rooteado, se requiere SuperSU, si está en CM / LineageOS instale SuperSU
  • usted tiene un firmware para admitir el modo monitor en su interfaz inalámbrica

Siempre que ejecuta Hijacker por primera vez, se le preguntará si desea instalar el firmware de Nexmon o ir a la pantalla de inicio. Si ha instalado su firmware o utiliza un adaptador externo, puede ir a la pantalla de inicio. De lo contrario, y si su dispositivo es compatible, haga clic en ‘Instalar Nexmon’ y luego ‘Instalar’. Enseguida, aterrizarás en la pantalla de inicio y se iniciará el airodump. Los profesionales de seguridad informática dicen que debes asegúrate de haber habilitado tu WiFi y está en modo monitor.

También es importante saber que en algunos dispositivos, cambiar los archivos en / system podría desencadenar una función de seguridad de Android y la partición de tu sistema se restaurará cuando reinicies el sistema.

Para la solución de problemas. Esta aplicación está diseñada y probada para dispositivos ARM. Todos los binarios incluidos están compilados para esa arquitectura y no funcionarán en ninguna otra cosa. Puede verificar si su dispositivo es compatible en Configuración: si tiene la opción de instalar Nexmon, entonces está en la arquitectura correcta, de lo contrario tendrá que instalar todas las herramientas manualmente (busybox, aircrack-ng suite, mdk3, reaver, herramientas inalámbricas, biblioteca libfakeioctl.so) en un directorio accesible PATH y establecer la opción ‘Prefijo’ para las herramientas para pre cargar la biblioteca que necesitan: LD_PRELOAD = / ruta / a / libfakeioctl.so.

En configuración, encontrara una opción para probar las herramientas. Si algo falla, puede hacer clic en ‘Copiar comando de prueba’ y seleccionar la herramienta que falla. Esto copiará un comando de prueba en su portapapeles, que puede ejecutar manualmente en un shell raíz y ver qué está mal. EN el caso donde todas las pruebas pasan y aún tienes un problema, no dudes en abrir un problema aquí para solucionarlo, o utiliza la opción “Enviar comentarios” en la configuración de la aplicación.

Si la aplicación llegara a fallar, se iniciará una nueva actividad que generará un informe de errores en su almacenamiento externo y le dará la opción de enviarlo por correo electrónico. El informe se muestra en la actividad para que pueda ver exactamente lo que se enviará, comentan investigadores de seguridad informática.

Tenga en cuenta que Hijacker es solo una GUI para estas herramientas. La forma en que ejecuta las herramientas es bastante simple, y si todas las pruebas pasan y usted está en modo monitor, debería obtener los resultados que desea. Los profesionales de seguridad informática nos dicen que también tenga en cuenta que estas son herramientas de auditoría. Esto significa que se utilizan para probar la integridad de su red, por lo que existe la posibilidad de que los ataques no funcionen en su red. Esto no es culpa de la aplicación, en realidad es algo de lo que estar contento.

ATAQUE DE TRUSTJACKING PERMITE HACKERS PARA HACKEAR DISPOSITIVOS IOS

Posted on

Los profesionales de Symantec han encontrado un error que, de explotarse, permitiría a los atacantes poner en peligro los dispositivos iOS sin que el propietario lo sepa.

El último ataque iOS apodado como “Trustjacking” por los investigadores de seguridad informática, explota una vulnerabilidad en iTunes Wi-Fi Sync, una característica que permite que los dispositivos iOS se sincronicen con iTunes sin tener que conectar físicamente el dispositivo iOS a la computadora. Esta característica se puede habilitar conectando físicamente un iPhone / iPad a una computadora una vez con un cable, especificando que el dispositivo iOS puede confiar en la computadora de ahora en adelante, y luego habilite iTunes Wi-Fi Sync desde la PC. Una vez que se establece una conexión confiable de Wi-Fi Sync, el hacker que tiene acceso a la computadora del usuario puede espiar secretamente en el dispositivo iOS o grabar y controlar cualquier tipo de actividades de forma remota, siempre y cuando ambos estén bajo la misma red local.

trustjacking

“Esto permite a la computadora acceder a las fotos en el dispositivo, realizar una copia de seguridad, instalar aplicaciones y mucho más, sin requerir otra confirmación por parte del usuario y sin ninguna indicación notable. Además, esto permite activar la función “sincronización Wi-Fi de iTunes”, que permite continuar este tipo de comunicación con el dispositivo incluso después de que se haya desconectado de la computadora, siempre que la computadora y el dispositivo iOS estén conectados a la misma red Es interesante observar que habilitar la “sincronización Wi-Fi de iTunes” no requiere la aprobación de la víctima y se puede llevar a cabo puramente desde el lado de la computadora “, escribió en el informe Roy Iarchy, jefe de investigación de Modern OS Security.

Trustjacking es “extremadamente impactante”, dijo Adi Sahabani, vicepresidente sénior de seguridad moderna del sistema operativo en Symantec, quien reveló los hallazgos en RSAC 2018 el miércoles pasado junto con su colega Iarchy.

El informe indica que una vez que la computadora maliciosa está autorizada, no hay otro medio que impida el acceso continuo al dispositivo. Además, el experto en seguridad informática dijo que los usuarios no reciben ningún mensaje ni notificación de que al autorizar la computadora, permiten el acceso a su dispositivo incluso después de desconectar el cable USB. Muchos usuarios suponen que su dispositivo ya no está expuesto una vez que desconectan el cable USB.

“Incluso si el dispositivo solo está conectado durante un período de tiempo muy corto, es suficiente para que un atacante ejecute los pasos necesarios para mantener la visibilidad de todas las acciones realizadas en el dispositivo después de desconectarlo”, escribió Iarchy.

Los profesionales revelaron la vulnerabilidad a Apple, que intentó abordar el problema agregando una capa adicional de protección en iOS 11. La nueva capa de protección requiere que el usuario de iOS ingrese su contraseña cuando confía en una computadora. Sin embargo, los investigadores en seguridad informática creen que tales medidas son inadecuadas.

“Todavía se le dice al usuario que esta autorización solo es relevante mientras el dispositivo está conectado a la computadora, haciéndole creer que desconectar su dispositivo garantiza que nadie puede acceder a sus datos privados”, escribe Iarchy en la publicación del blog. “Si bien apreciamos la mitigación que ha tomado Apple, nos gustaría destacar que no aborda el Trustjacking de una manera holística. Una vez que el usuario ha elegido confiar en la computadora comprometida, el resto del exploit continúa funcionando “, agregó Iarchy.

Los analistas de seguridad informática también sugieren a los usuarios que habiliten copias de seguridad encriptadas en iTunes y que seleccionen una contraseña segura para proteger sus dispositivos.

Los usuarios también pueden ir a Configuración> General> Restablecer> Restablecer ubicación y privacidad, y volver a autorizar todas las computadoras conectadas previamente la próxima vez cuando conecten su dispositivo iOS a cada dispositivo.

POWERSHELL, CÓMO AUTOMATIZAR UNA AUDITORÍA DE ACTIVE DIRECTORY

Posted on

Un grupo de profesionales de la seguridad informática que realiza auditorías de directorios activos recientemente, notó que se repiten una y otra vez.

Por lo tanto, los expertos decidieron escribir la mayor cantidad posible de esto en un script de PowerShell para facilitarles la vida. Los expertos eligieron PowerShell porque no quieren dejar un exe en una caja remota.

Este script no hace todo, todavía hay cosas para agregar.

Actualmente hace lo siguiente:

  • Resultados de la política de contraseñas
  • Buscando cuentas que no caducan
  • Buscando cuentas inactivas / deshabilitadas
  • Buscando máquinas del servidor 2003 / XP conectadas al dominio
  • Hallazgos AD
  • Resultados de la confianza del dominio
  • Resultados de GPO
  • Intentando encontrar archivos SysVOL xml que contengan cpassword
  • Intentando salvar NTDS.dit

active dir 1active dir 2

Los expertos en seguridad informática comparten el enlace al código: github.com/phillips321/adaudit

LA FIRMA DE SEGURIDAD DE SITIOS WEB SUCURI ES GOLPEADA POR ATAQUES DDOS

Posted on

Esta vez Sucuri y sus clientes han sido golpeados por una serie de ataques en todo el mundo.

De acuerdo con los investigadores de seguridad informática, el proveedor de seguridad del sitio web con sede en California Sucuri ha sufrido una serie de ataques DDoS masivos que causan la interrupción del servicio en Europa occidental, América del Sur y partes del este de Estados Unidos.

sucuri

Los ataques comenzaron el 12 de abril de 2018, cuando la red de Sucuri sufrió ataques DDoS continuos. La compañía luego trabajó con proveedores de Nivel 1 para mitigar los ataques.

En un correo electrónico, el portavoz de Sucuri dijo que “el ataque fue lo suficientemente grande como para causar que algunos de nuestros puertos estuvieran muy cerca de su capacidad, lo que causaba una latencia muy alta y la pérdida de paquetes. En algunas otras regiones, causó latencia temporal y pérdida de paquetes”.

La página de estado de la compañía también mantuvo a los clientes actualizados, revelando que Sucuri “trabajó con sus proveedores originales, nuestro NOC y nuestros socios para ayudar a mitigar el ataque y redirigir las regiones afectadas. Desafortunadamente, debido al tamaño del ataque, tardó mucho más de lo esperado para que se manejara por completo”.

Aún se desconoce el tamaño exacto de los ataques DDoS, lo mismo ocurre con sus culpables y sus motivos, sin embargo, últimamente ha habido un aumento en los ataques DDoS a gran escala. El mes pasado, los hackers utilizaron la vulnerabilidad de Memcached para llevar a cabo los ataques DDoS más grandes del mundo de 1,7 Tbps en una firma estadounidense y 1,35 Tbps de ataque en Github.

La vulnerabilidad también se usó para afectar a Amazon, Google, NRA, Play Station y muchos otros objetivos de alto perfil.

En cuanto a Sucuri, los analistas de seguridad informática tienen buenas noticias, los ataques se han mitigado con éxito y, al momento de publicar este artículo, los servicios de Sucuri y los sitios web de los clientes volvieron a estar en línea.

SEGURIDAD DE APLICACIONES WEB

Posted on

Las aplicaciones web se vuelven cada vez más complejas, pero es normal. Siempre es un desafío mantenerse al día con este crecimiento y siempre saber qué aplicación hace, por qué y cuándo, y qué necesita medidas de seguridad adicionales de su parte.

Este tipo de análisis holístico de la seguridad se conoce como modelado de amenazas. Según los expertos en seguridad de la información, existen diferentes métodos o incluso herramientas para hacerlo. Pero en la raíz de todos ellos hay tres preguntas: ¿Quién puede atacarnos? ¿Qué recursos / componentes protegemos? ¿Cuál es la infraestructura de nuestro sistema?

aplicaciones web

¿QUIÉN PUEDE ATACARNOS?

La definición de perfiles de posibles agresores te ayudará a comprender cuáles podrían ser las formas más probables de ataque. Esos perfiles obviamente variarán según la industria, el tipo de aplicación y la empresa. Aquí hay unos ejemplos:

Competidores

Pueden estar interesados, entre otras cosas, en robar datos o desalentar a los usuarios al reducir el rendimiento de la aplicación.

Robots / hackers

Los bots semiautomáticos intentarán encontrar puntos débiles de su aplicación para instalar software malicioso para el spamming o la minería de criptomonedas.

Usuarios

Los usuarios de su aplicación pueden encontrar agujeros de seguridad y ver datos que no pueden ver cambiando las ID de usuario en la URL.

Empleados propios

Incluso si tiene plena confianza en sus empleados, pueden convertirse en una amenaza involuntariamente. Puede tratarse de una cookie de sesión robada, una contraseña robada o rota o simplemente un software malicioso instalado en la computadora del trabajador.

El último es especialmente complicado, y el argumento en el sentido de “utilizamos VPN, solo los usuarios de confianza están en él, estamos seguros” ya no es válido cuando uno de ellos tiene su propia computadora infectada. Es difícil predecir cómo se pueden introducir dichos virus; en un nuevo dispositivo USB que se entregó en una caja abierta o correo electrónico falso.

¿QUÉ PROTEGEMOS?

De acuerdo con los profesionales de la seguridad de la información, debe analizar qué tipo de recursos / valores se deben defender.

Componentes

Para comprender todas las formas posibles de ataque, crea un mapa de todos los componentes de tu aplicación. La página principal de la aplicación y su API backend estarían en el centro de ese mapa y eso no es revelador.

Interfaz

La página web suele ser una forma principal para que los usuarios ingresen a la aplicación web. Puede ser vulnerable a muchos tipos de ataques relacionados con el front-end, siendo XSS el más obvio. Inspeccione cada entrada, ya sea un formulario de contacto, una barra de búsqueda o la URL de la página

Back-end

La página web necesita comunicarse de alguna manera con el servidor. Un atacante también puede hacer eso usando la API directamente. No desea que nadie obtenga los valores de las variables de entorno a través del extremo / env del actuador de Spring Boot.

Base de datos

¿Estás seguro de que tu puerto de base de datos no está abierto? ¿Que no hay un administrador de GUI DB instalado bajo una URL secreta que solo el administrador conoce?

Móvil

Este es el canal favorito de los hackers para ingresar al sistema.

La base de código de las aplicaciones móviles se puede desarrollar independientemente de la aplicación principal, lo que puede llevar a olvidar los parches críticos relacionados con la seguridad.

Hoja informativa

¿Es ese contenido parte de la página principal, o es un lugar dedicado solo al boletín informativo? Si está en un espacio separado, entonces otro componente está bajo amenaza.

Componentes de infraestructura / nube

Su aplicación usará muchos componentes adicionales, especialmente en entornos de nube. Cosas como descubrimiento de servicios (por ejemplo, Eureka), herramientas de administración (Spring Boot Admin), registro y métricas (Kibana, Grafana) u otras herramientas de ayuda (Redis, RabbitMQ).

Software de terceros

¿Tal vez tienes un paquete especial de BPM que se encarga de algunos procesos comerciales bajo el capó? ¿O el sistema de gestión de reglas comerciales? ¿O tal vez se integra con las partes contratantes?

Puede haber muchas cosas diminutas que puede olvidar que incluso tiene, como fuentes RSS, servidores de caché o complementos de lujo para la página web.

INFRAESTRUCTURA

Al mapear todos los componentes de software, es hora de obtener una visión similar de la infraestructura.

Protege tu desarrollador y entornos de prueba. Desde el punto de vista del atacante, lo más interesante son los entornos de desarrollo y prueba. Debido a que, por lo general, su configuración de seguridad es más liberal que la de producción, ya que la conveniencia del programador a menudo tiene mayor prioridad que la seguridad del sistema, dijo el analista de seguridad de la información.

Al tener acceso al entorno de desarrollo, un atacante puede hacer muchas cosas desagradables:

  • Comprender cómo preparar ataques exitosos en servidores de producción
  • Robar datos / contraseñas
  • Instalar software malicioso en servidores de desarrollo
  • Analiza los registros de depuración detallados

Los repositorios de código fuente también deben estar restringidos del mundo exterior. Con un acceso a él, el atacante podría obtener las contraseñas de tus archivos de configuración.

¿Cómo un intruso podría encontrar sus entornos de desarrollo?

Transferencia de DNS

Una de las primeras cosas que debe intentar es inspeccionar su dominio e intentar transferir la información DNS. Una herramienta que permite esto es el programa host. Definir el tipo de consulta como NS mostrará el registro de servidores de nombres para un dominio dado:

$ host -t NS example.com

servidor de nombres example.com b.iana-servers.net.

servidor de nombres example.com a.iana-servers.net.

Luego, en el modo de lista (habilitado por la opción -l), el host intentará realizar la transferencia de zona.

$ host -l ejemplo.com b.iana-servers.net

Si la transferencia tiene éxito, un atacante verá todos los subdominios registrados, como dev.example.com, test.example.com, qa.example.com, etc., junto con sus direcciones IP. Para evitar esto, verifique su configuración de DNS y asegúrese de que las transferencias de zona estén restringidas.

DNS bruteforcing

Si la transferencia DNS simple falla, un intruso puede tratar de adivinar los subdominios en un proceso llamado forzamiento bruto de DNS. Uno de los programas que puede hacer eso se llama dnsenum. De acuerdo con los expertos en seguridad de la información, cuando se proporciona un archivo de diccionario con una lista de prefijos de dominio, el dominio de destino y el servidor DNS informará todos los subdominios existentes con los candidatos dados. Hay diccionarios públicos para dnsenum, que consisten en muchas suposiciones probables.

Después de obtener las IP de sus servidores, el atacante normalmente escaneará sus puertos, buscará los que estén abiertos y planificará los próximos pasos, dijeron profesionales de la seguridad de la información. Una buena práctica es ocultar todos los entornos de prueba del mundo público en redes privadas, permitiendo el acceso remoto para los trabajadores solo a través de redes VPN.

El último punto que podría tomarse en consideración es el uso de conexiones HTTPS no solo en producción sino también en entornos de prueba. Los certificados pueden estar autofirmados, no importa. Lo importante es que ni sus empleados ni los virus instalados en sus computadoras podrán detectar el tráfico HTTP dentro de la VPN.