seguridad en redes

¿CÓMO PROTEGER DE USB RUBBER DUCKY CON HERRAMIENTA GRATUITA BEAMGUN?

Posted on

beamgun1

El USB Rubber Ducky es una pequeña herramienta increíble puesta en marcha por los expertos de ciberseguridad de HAK5. Básicamente, este pequeño dispositivo USB se registra como un teclado, espera un poco y luego corta la computadora de la víctima con una ráfaga de pulsaciones de teclado a una velocidad super humana y las soluciones tradicionales de seguridad en redes no pueden detectar esto. Esto requiere una sesión activa, aunque obviamente la computadora no necesita ser desatendida.

Los posibles efectos de este ataque son devastadores para ciberseguridad de una empresa. Por lo general, es trivial elevar los privilegios al administrador (ya que está emulando un usuario escribiendo), por lo que puede instalar cualquier tipo de malware que se desee, extraer scripts más grandes desde un servidor remoto, o peor explican consultor de seguridad en redes, Salvador Ruiz de iicybersecurity.

Usted puede protegerse contra USB Rubber Ducky usando Beamgun, una herramienta de ciberseguridad. Beamgun escucha tranquilamente el USB insertado. Se ejecuta como un proceso de fondo. Beamgun bloquea la inyección de golpe de la llave robando continuamente el enfoque y bloqueando la máquina. Todas las teclas de teclado se graban y se puede ver lo que el hacker estaba tratando de hacer según consultor de seguridad en redes.

Según expertos de ciberseguridad de Instituto internacional de seguridad cibernética, Beamgun se muestra en los procesos del sistema cada vez que ejecuta BeamgunApp.exe. Si lo instalas utilizando MSI installer, esto sucederá cada vez que inicie sesión. Puedes hacer clic en el icono correspondiente para ver el estado de la aplicación. Desde aquí, puedes desactivar Beamgun. Si estás a punto de insertar y quitar dispositivos USB con frecuencia, durante los próximos 30 minutos. También puedes hacer “Reset” Beamgun si has sido alertado y, finalmente, puedes forzar a Beamgun para salir haciendo clic en “Exit”.

También puedes configurar los ajustes de seguridad en redes para Beamgun utilizando las dos casillas de verificación. Cuando el beamgun detecta un dispositivo USB, sólo ejecutará las funciones que haya seleccionado. Si selecciona “Attempt to steal”, Beamgun intentará robar todas las teclas de teclado y robando continuamente el enfoque. Si marca “Lock workstation”, Beamgun le dirá a Windows que se bloquee, forzándolo a escribir su contraseña para continuar.

beamgun

CÓMO FUNCIONA

Según expertos de seguridad en redes y ciberseguridad, hay algunas llamadas importantes de la API de Win32 que nos permiten hacer lo siguiente:

  • Supervisar las inserciones de dispositivos de teclado para que podamos alertar,
  • Enganchar teclas para que podamos ver lo que el atacante intentó hacer,
  • Roba continuamente el enfoque al teclado para evitar que el atacante progrese y, finalmente,
  • Bloquea la estación de trabajo. Como otra opción (potencialmente más robusta), el usuario puede optar por bloquear la estación de trabajo cada vez que se produce una inserción USB.

CONSIDERACIONES ESPECIALES

Dado que el Rubber Ducky es un dispositivo de teclado, los expertos de seguridad en redes y ciberseguridad tuvieron que ser muy cuidadoso en la implementación de Beamgun para tratar de frustrar algunas contramedidas. El experto de seguridad en redes se aseguró de que algunos fans de Rubber Ducky se esforzarán para subvertir Beamgun, por estsos razones hay más seguridad:

  • Desactivación de ALT-F4
  • Usando botones personalizados que no responden a eventos del teclado
  • Robo de enfoque en un loop con un intervalo muy ajustado

 

Advertisements

JOY: HERRAMIENTA GRATUITA PARA EL ANÁLISIS FORENSE DE RED Y MONITOREO DE SEGURIDAD EN REDES

Posted on

Joy es un paquete para capturar y analizar el flujo de datos de la red y los datos IntraFlow, para el análisis forense, y monitoreo de seguridad en redes. Joy es un paquete de software basado en BSD-licensed libpcap para la extracción de características de los datos del tráfico de red en vivo o paquetes de archivos de captura, utilizando un modelo de flujo orientado similar a la de IPFIX o Netflow, y después representar estas funciones de datos en JSON. También contiene herramientas de análisis de seguridad en redes que se pueden aplicar a estos archivos de datos. Joy puede ser utilizado para explorar los datos a escala, especialmente los datos de seguridad en redes, digital forensics y las amenazas relevantes.

Se utiliza JSON con el fin de hacer el resultado fácilmente consumible por herramientas de análisis de datos. Mientras que los archivos de salida JSON son algo más detallados, ellos son razonablemente pequeños, y ellos responden bien a la compresión. Los expertos de seguridad en redes y digital forensics pueden configurarse Joy para obtener el flujo de datos dentro, es decir, los datos y la información sobre eventos que se producen dentro de un flujo de red incluyendo:

  • La secuencia de longitudes y tiempos de llegada de paquetes IP, hasta un cierto número de paquetes configurable.
  • La empirical probability distribution de los bytes dentro de la porción de datos de un flujo, y la entropía derivada de ese valor.
  • La secuencia de longitudes y tiempos de llegada de los registros TLS.
  • • Otros datos no encriptados TLS, tales como la lista de conjuntos decipher suite que se ofrecen, el ciphersuite seleccionado, la longitud del campo clientKeyExchange, y las cadenas de certificado de servidor.
  • Nombres DNS, direcciones y TTL.
  • Elementos de encabezado HTTP y los primeros ocho bytes del HTTP body.
  • El nombre del proceso asociado con la corriente, para los flujos de origen o destino final en el host en el que se está ejecutando PCAP.

Joy ha sido ejecutado correctamente y probado en Linux (Debian, Ubuntu, CentOS) y Mac OSX por Los expertos de seguridad en redes y digital forensics. El sistema ha sido construido con gcc y GNU make, pero debería funcionar con otros entornos de desarrollo también.

Joy es para el uso en la investigación de seguridad en redes, digital forensics, y para el monitoreo de las seguridad en redes (a pequeña escala) para la detección de vulnerabilidades, amenazas y otros comportamientos no autorizados o no deseados. Los investigadores, administradores, pruebas de penetración, digital forensics y los equipos de operaciones de seguridad en redes pueden poner esta información a buen uso, para la protección de las redes siendo monitoreados, y en el caso de las vulnerabilidades. Al igual que con cualquier herramienta de monitoreo de seguridad en redes, Joy potencialmente podría ser mal utilizada; no lo use en cualquier red de los cuales usted no es el propietario o el administrador.

joy-forense

https://github.com/davidmcgrew/joy

¿QUÉ ES UN ATAQUE DOS DE PING FLOODING?

Posted on

Un DoS (Denegación de Servicio) es un intento de hacer que los recursos de un ordenador no estén disponibles para su usuario. Cuando no hay seguridad perimetral, un ataque DoS pueda desactivar un ordenador y sus redes si se planea y ejecuta cuidadosamente. Se puede montar desde cualquier parte, en cualquier momento de todas maneras según expertos de seguridad en redes.

Por lo general, un atacante no usa su propio ordenador. Se crearía lo que se llamado Botnet. De esta manera, el hacker puede controlar varios ordenadores de forma anónima para atacar un objetivo para derribarlo seguridad perimetral. El atacante también podría utilizar Tunneling y IP Spoofing para camuflar su identidad y evitar cualquier mecanismo de seguridad en redes.

¿QUÉ ES UN PING FLOODING?

En este tutorial vamos a centrarnos en un tipo de ataque llamado Ping flood con ayuda de expertos de seguridad en redes. Ping flooding es la forma más primitiva de ataques DoS, porque cualquiera puede hacerlo muy fácilmente. Cuando un equipo objetivo se encuentra bajo un ataque de ping flood, lo que sucede es la red del ordenador se falla, tratando de mantenerse con las solicitudes de ping. Sin mecanismo de seguridad perimetral, cada vez que el servidor recibe una solicitud de ping tiene que calcularla y a continuación, enviar una respuesta con la misma cantidad de datos. Ping flooding es cuando el atacante inunda el servidor con solicitudes de ping y el servidor tiene que calcular toneladas de peticiones de cada fracción de segundo, lo cual ocupa una gran cantidad de recursos.

ping flooding

Cuando haces ping flooding desde tu propio ordenador, estarías básicamente atacándote a ti mismo también a menos que uses IP Spoofing según expertos de seguridad en redes.

PING FLOODING 

En este tutorial se te enseñara este tipo de ataques DoS:

  • Targeted local disclosed ping flood (IP Addy)
  • Router disclosed ping flood
  • Blind ping flood (Unknown IP Addy)

TARGETED LOCAL DISCLOSED PING FLOOD

Un ataque Targeted local disclosed ping flood es cuando no hay seguridad perimetral y se conoce la dirección IP del destino conectado a la red y se ataca directamente.

Muy bien, por lo que desea hacer ping flood a un solo equipo. En primer lugar tenemos que asegurarnos de que estamos conectados a él, inicia control de comandos y escribe:

ipconfig

Lo que estamos buscando es una dirección IP local que nosotros podamos atacar. Busca un registro llamado IPv4 Address.

ping flooding

Vamos a atacar directamente al blanco, entonces ve a la otra PC y abre el control de comando y escribe esto allí:

ping *ip address here* -t -l 65500

Utilice la dirección IP que ha anotado desde el otro PC y sustituye *ipaddresshere * con esa dirección IP. Verás que está haciendo ping al equipo que has especificado explica experto de seguridad en redes. Ahora esta hacienda ataque de ping flooding.

ping flooding

Para entender correctamente el comando aquí está el argumento desglosado: El -t especifica que se mantiene haciendo ping al blanco hasta que se acaba el tiempo (o se desconecta hasta que lo detengas). -l especifica la información que quieres enviar, por lo que estamos enviando 65500 bytes al blanco cada ping. Esa es una gran cantidad de datos a gestionar, el tamaño habitual de ping por defecto es de 32 bytes.

Si se echa un vistazo en el PC que está siendo atacada, notarás un aumento bastante significativo en la actividad y disminuicion de la velocidad.

ping flooding

ROUTER DISCLOSED PING FLOOD

Un router disclosed ping flood tiene los mismos fundamentos como objetivo uno, excepto que tu apuntas a los routers y no una computadora. Cuando haces ping flood a un router tú pones en peligro la red que lo está alojando. Si hay unos 20 ordenadores conectados a un router sin seguridad perimetral y el router es bajo ataque DoS, los 20 equipos no serán capaces de comunicarse entre sí o con el router.

Tiene el mismo procedimiento que el target flood, excepto que necesita saber la dirección IP interna del router. Abre el indicador de comando y escribe:

ipconfig

Necesitamos la Default Gateway, esta es la dirección IP local del router.

ping flooding

ping 192.168.1.1 -t -l 65500

Cuando ejecute este comando, verás la pantalla de comandos ahora haciendo ping al router con 65500 bytes cada ping. Cuando el objetivo es un ordenador en una red a través de un switch o router, en general, el router / switch se llevará la peor parte del ataque y podría hacer que se caiga, lo que resulta en un restablecimiento completo acuerdo a experto de seguridad en redes.

BLIND PING FLOOD

Un ataque ciego de cualquier tipo es cuando el atacante no conoce la dirección IP de su objetivo y usa las técnicas para descubrir a través de programas externos. Nosotros vamos a usar Cain y Abel para recuperar una lista de direcciones IP. Usted puede aprender más sobre esto en el curso de seguridad en redes y seguridad perimetral.

Asegurar red de la casa

Posted on

El número problema de seguridad en redes cuando se trata de clientes de Windows es la mala aplicación de los servicios básicos de Seguridad Informatica y características – o falta de ella. Por ejemplo, el sistema puede obtener un virus (u otro tipo de malware) que hace que la red a fallar … o, congestiona los recursos del sistema con tanta intensidad que ni siquiera se puede navegar por una página Web. Es un hecho que la mayoría de las intrusiones más de la red provienen de dentro de la red, o muy fácilmente a través de conexiones inalámbricas según experto de Seguridad de la Nube.

Esto se ve más con oficinas en casa y pequeñas empresas que no pueden pagar (o están a ajeno) soluciones de Seguridad Informatica empresarial que se utilizan para controlar, monitorear y bloquear el uso inalámbrico. Eso no quiere decir que el PC de casa, o el router no es posible “asegurar”. Los beneficios que obtiene de la mayoría del hardware y software que se vende hoy en día es que casi todo lo que obtiene ahora viene con algún tipo de características de seguridad.

Seguridad de la Nube

La aplicación de la seguridad en redes inalámbrica no es simple – las tecnologías más antiguas, como las claves WEP son fácilmente agrietados con fácil encontrar herramientas de hacking fácilmente disponibles para su descarga a través de Internet.

Otras formas de asegurar una red inalámbrica (aparte de WEP) es el uso de direcciones MAC de los clientes en su oficina que se encuentran en una lista el punto de acceso mantiene de manera que sólo aquellos usuarios tienen acceso según experto de Seguridad de la Nube.

Ya sea utilizando el Firewall de Windows, o alguna otra oferta de software de terceros, siempre se debe considerar el uso de una como la forma más básica de protección de seguridad en redes. Detectores de intrusos basados en red ayudan datos de tendencias y bloquear todo lo que parece ‘sospechoso’. Defensa en profundidad debe ser considerada y este concepto es fácil de entender. Cuando se aplican varias formas de protección, que está solicitando la defensa en profundidad de Seguridad Informatica.

El objetivo general consiste en ser capaz de solucionar problemas de Seguridad de la Nube su camino a través de estos temas y encontrar la causa “raíz” del problema – de esta manera se puede resolver el problema exacto y no sólo tratar de “cualquier cosa” para encontrar el problema. Publicado por Webimprints.