Seguimos con un nuevo video acerca de NINJASEC con el objetivo de fomentar un uso consciente de las tecnologias y mejorar los conocimientos acerca de la Seguridad Informatica.

Ya en el ultimo post habiamos publicado como iniciar NINJASEC (desde maquina virtual o quemando un cd) : COMO EJECUTAR NINJASEC

Bueno, para hoy estare presentando un nuevo escenario (descrito a continuacion)

He descargado NINJASEC.ISO , y lo probe tal como mostraron en el post anterior. La verdad que la distribucion me ha gustado mucho asi que quisiera que mi informacion o cambios en las configuraciones en este sistema, no se pierdan cada vez que apague mi maquina virtual (esto sucede porque al correr desde el archivo de imagen ISO, simplemente lo carga en memoria RAM y lo ejecuta desde ahi —> por eso no guarda nada, recuerden que la informacion de la memoria RAM es volatil).

Ok, como decia, no quiero que se me pierda la instalacion y estoy considerando la idea de instalar NINJASEC en la maquina virtual que he creado para tambien dejar de usar el archivo ISO y que cargue como un sistema nativo en mi computadora virtual.

Pues para esto tengo que seguir los pasos del siguiente video!! espero les guste!!

Recuerden agregarnos a la pagina de facebook para noticias de videos, promociones y novedades.

www.facebook.com/enhacke

Descarga aqui

Tomen a un archivo ISO como una fotografia a un CD, se guardan los datos pero todos en un unico archivo foto.

Este archivo foto –> ISO puede ser quemado en un CD como “imagen de disco” o puede ser utilizado mediante programas de virtualizacion (ya sea de cds o d maquinas).

Entonces tienen estas opciones

1) Grabar la imagen ISO en un Dvd con algun programa como NERO.
Esta opción les permitirá llevar el disco donde quieran e iniciar NINJASEC  en cualquier maquina que tenga habilitada la opcion de arranque desde CDs.

2) Guardar la imagen ISO y utilizarla con algun software de virtualicacion como VMWare o VirtualBox (este ultimo es libre    )
Estos programas de virtualizacion simulan un sistema completamente nuevo. Imaginen que han comprado un segundo ordenador, lo han sacado de la caja y lo han puesto al lado, ese nuevo ordenador representa a la “maquina virtual” solo que no esta ahi fisicamente.
Las maquinas virtuales nos ayudaran mucho en nuestro camino de hackers eticos ya que nos dejaran probar sistemas operativos nuevos y en forma conjunta con nuestro sistema operativo actual, lo cual incrementara nuestro conocimiento.

A continuacion les dejo un video sobre COMO EJECUTAR NINJASEC sin tener que grabarlo en un CD.

El escenario es: He descargado NINJASEC.ISO y ahora quiero jugar un rato con mi jueguete nuevo, podría quemarlo en un cd pero por el momento no pienso probarlo en otro lugar mas que en mi ordenador, por lo que quiero ejecutarlo en una maquina virtual aun sin instalarlo.

Espero este pequeño manual les haya servido de algo. CUIDENSE Y SIGAN APRENDIENDO!

Recuerden agregarnos a la pagina de facebook para noticias de videos, promociones y novedades.

www.facebook.com/enhacke

ENHACKE

NINJASEC provee un framework o marco de trabajo para la realizacion de pruebas de penetracion (auditorias de pentest) de forma metodológica y ordenada, tomando en cuenta el Circulo del Hacking (Reconocimiento, Escaneo, Obteniendo Acceso, Manteniendo Acceso y borrado de huellas).

Puede ser utilizado tanto por profesionales como por personas que recien estan aprendiendo.

Enhacke empezara a lanzar videos con el uso de las herramientas de esta distribucion.

La distribucion sera libre y gratuita. Se abrira una parte de foro para que la comunidad vaya creciendo, aprendiendo y aportando (los mejores aportes se iran añadiendo a nuevas versiones de NINJASEC).

Los enlaces de descarga estaran disponibles en una semana.

A continuacion las razones que nos impulsaron a esta aventura:

• En los distintos eventos en los que hemos participado a lo largo de estos 2 ultimos años hemos encontrado gente interesada en seguridad informatica
• En varios casos la comunidad, a pesar del interés, se encontraba desinformada. Es por eso que empezamos a dar varias de nuestras charlas e iniciamos nuestros cursos.
• En muchos casos habia una falta de motivacion o perseverancia por una curva de aprendizaje muy empinada para comprender las tecnicas de hacking
• Existe para algunos una barrera con el lenguaje en el que esta la documentacion (usualmente ingles). No por no saber ingles sino porque en algunos casos este es muy tecnico.
• Vimos que la universidades no incorporan cursos de seguridad informatica y/o auditorias de penetracion
  • esto conlleva muchas veces a una falsa percepcion de seguridad
• No habia una distribucion de este tipo con Sabor Peruano
• Tenemos muchas ganas de hacer crecer y progresar la comunidad de seguridad informatica y hacking etico en el Perú y en Latinoamerica

Esperemos sea bien aceptado por la comunidad y que tambien nos brinden de su apoyo.

Muchas gracias!!

ENHACKE

Fuentes como security focus (http://www.securityfocus.com/bid/37331/info) afirman que existe un exploit que toma ventaja de esta vulnerabilidad y permite ejecutar codigo arbitrario. Mas preocupante aun, es que ya diversas fuentes indican que este exploit esta siendo usado en forma activa.

Como bien sabemos este tipo de exploits es utilizado por grupos de hackers maliciosos y por mafias para su propio beneficio economico, ya que pueden tomar control de las maquinas y sustraer informacion sensible.

El ataque sucede de la siguiente manera:

- Atacante inyecta codigo malicioso en un pdf de interes general

- Atacante distribuye el archivo PDF por varios medios (spam, paginas, redes p2p)

- Victima recibe PDF por alguno de los medios

- Victima abre PDF, lee el contenido (mientras tanto en 2do plano y en forma oculta se ejecuta codigo malicioso)

- Atacante obtiene acceso a la maquina de la victima, tomando informacion sensible y util para sus fines

A continuación algunas recomendaciones para poder prevenir ser victimas de este tipo de ataques:

- Tener cuidado al recibir archivos pdf de personas desconocidas o fuentes sospechosas
- Si trabaja continuamente con este tipo de archivos, podría intentar deshabilitar Javascript en su programa de Adobe Acrobat Reader. Para realizar este cambio vaya al menu EDIT, luego a PREFERENCIAS y en la parte de JAVASCRIPT, quite el check de “Habilitar Acrobat Javascript”

Esperamos haber sido de ayuda.

Saludos

ENHACKE

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y  contramedidas. Esperamos sea de su agrado.

Play

En el transcurso del dia, un hacker malicioso, identificado como KKR ha logrado comprometer el servidor web de la Asociacion de Futbol Argentino y ha cambiado el contenido.

El nuevo contenido contiene el mensaje HACKED BY KKR, una imagen de Maradona vistiendo la camiseta de brasil (proviene de una campaña publicitaria del 2006 – al final de este post) y el mensaje “Una imagen vale mas que mil palabras”.

El equipo de seguridad informatica de la AFA reacciono en las horas siguientes y cambio la pagina por una temporal donde solo se muestra el logo.

A continuacion una imagen de la pagina cuando fue hackeada por KKR.

Esto nos sirve para recordar que cualquier empresa, corporacion o institucion puede ser victima de un ataque informatico. Dicho ataque puede tener consecuencias como perdida de informacion, productividad o imagen de la corporacion.

Para estar a salvo de estos ataques mantengan sus politicas de seguridad actualizadas, su perimetro asegurado y realicen pruebas de auditoria de seguridad informatica frecuentemente.

Saludos.

enHacke

En las líneas siguientes les explicaremos en que consiste este nuevo tipo de ataque que hasta hace unos meses sólo se perpetuaba en Europa pero que ha empezado a tomar lugar en varios escenarios latinoamericanos, incluyendo entre estos a Perú.

Este ataque (Secuestro de Información) conocido también como Ransomware o ciberextorsión, tuvo sus primeras víctimas en Europa hace un par de meses con una modalidad que si bien no es la que se ha presentado aquí en Perú, es más bien una variación.
A continuación les mostraremos los diversos tipos de Secuestro de Información que hay. Vale recordar que una de estas variantes ya tiene 2 víctimas en Perú.

CASO 1:
En los casos europeos el ataque incluía: spam o archivos a través de Messenger, un keylogger y la recolección de contraseñas de cuentas de Hotmail. Para que se entienda bien, un atacante enviaba mediante spam, una foto o postal en un archivo, el cual tenía un keylogger y así se hacía de las cuentas de Hotmail de las víctimas. Una vez que el atacante tenía bajo su poder las cuentas de Hotmail con sus respectivas contraseñas, eliminaba todos los contactos y mensajes del correo a excepción de uno que decía:
Quieres saber donde están tus contactos y tus mails? Pues entonces deberás pagar, o prefieres perderlo todo? Espero escribas pronto.
Asesino de Correos X

CASO 2:
En Rusia también se vieron varios de estos ataques. Aprovechando los servicios de algunas de las empresas de Telecomunicaciones y las facilidades que ofrecían estas para vincular una cuenta anónima con un servicio de mensajería se presentaron casos de Secuestro de Información en el cual se bloqueaba el sistema y solicitaba a la victima el envío de un mensaje de texto para obtener un código de desbloqueo y realizar el rescate.
El objetivo es el de siempre, beneficio económico. Por cada mensaje de texto que se envía, los atacantes ganan dinero.

Esta es una imagen del troyano Trojan.Winlock que muestra como se menciono anteriormente el número de teléfono y el mensaje que se debe enviar así como el espacio en blanco para escribir el código de rescate.

CASO 3:
También existe una tercera variante en la cual varios de los archivos son encriptados o agregados a un archivo .ZIP o .RAR con contraseña.
El atacante o el gusano se encarga de cambiar el fondo de escritorio con una imagen donde dan instrucciones para realizar el rescate.

Este troyano ransomware de nombre GPCode se esparce por la red a través de varios medios. El troyano encripta los archivos en la maquina víctima y deja un archivo de texto con el nombre CRYPTED.TXT donde se pide un rescate de $10 para desencriptar los archivos. En la imagen podemos ver como cambia el fondo del escritorio y deja una dirección y una cuenta de ICQ para contactarse con el autor.

Reflexión:
Estos tipos de ataques pueden llegar de distintas maneras: Ejecutables sospechosos e infectados, SPAM, Carga de codecs maliciosos por paginas dudosas o en último de los casos y que sería más preocupante porque habría sido un ataque dirigido, una intrusión directa por parte de un hacker malicioso.

El objetivo en los tres casos es el mismo y está clarísimo, DINERO, mucho dinero. Muchas de las victimas terminan pagando el rescate a fin de recuperar rápidamente sus documentos.

Si bien en estos casos un Backup puede ayudar muy bien en tratar de recuperar la información secuestrada y no pagar el rescate, lo mejor sería llevar una metodología de seguridad y seguir buenas prácticas en cuanto al uso del sistema para evitar que el malware llegue a nuestras computadoras y en el caso de ser un ataque dirigido poder hacer difícil la entrada al hacker malicioso.

Esperamos el documento haya sido de utilidad para Ud.
Por favor no dude en llamarnos o escribirnos para cualquier consulta en Seguridad Informática.

enHacke
Teléfono: 51 – 1 – 4400769
informes@enhacke.com

Como sabemos, mediante ataques XSS se pueden realizar distintas cosas, pero entre las más peligrosas esta el robo o suplantación de sesión de algún usuario en línea, sin importar si este es un usuario con pocos privilegios o incluso si es el Administrador.

El riesgo de esta vulnerabilidad ha sido calificado como ALTO debido a las cosas que el atacante podría llegar a manipular.

El  servidor SAP no hace una asociación entre la dirección IP del usuario y algún dato relativo a la sesión (como por ejemplo las cookies). Es por esto que si alguna persona malintencionada encuentra una forma de sustraer la cookie de otra sesión (por ejemplo XSS) podría autenticarse con el servidor con privilegios de administración.

CFolders está integrado a los siguientes productos SAP:
•    SAP ECC
•    SAP Product Lifecycle Management (PLM)
•    SAP Suplier Relationship Management (SRM)
•    SAP Knowledge Management
•    Sap NetWeaver cRooms (salas colaborativas)

Los parches oficiales se pueden encontrar en:

https://service.sap.com/sap/support/notes/1292875

https://service.sap.com/sap/support/notes/1284360

Recordar que para acceder a los parches oficiales hay que estar registrado en service.sap.com

Ahora, para aquellas personas más interesadas, mostraremos en forma un poco más técnica las vulnerabilidades y la forma en la que podrían ser explotadas.

Para empezar debemos tomar en cuenta que las vulnerabilidades XSS hacen uso de código escrito en javascript.

Lo primero que un atacante querría hacer es hallar la forma de poner el código javascript en algún lugar en la nube o en la intranet.
Acto siguiente, el atacante va a buscar alguna manera de llamar nuestra atención para llegar a ese código (obviamente sin nuestro conocimiento).
Con todo esto dicho, vamos a analizar en 2 ejemplos lo que se podría hacer.

PRIMER EJEMPLO

El usuario malicioso podría insertar el código javascript haciendo uso de la característica de creación de enlaces que le ofrece SAP
Para llegar a esta opción podría usar algún link como este:
https://[site]/sap/bc/bsp/sap/cfx_rfc_ui/hyp_de_create.htm

¿Qué tipo de código podría insertar el usuario malicioso?
Pues algo del tipo:
http://empresavictima.com” onmouseover=”alert(“Ud. Ha sido hackeado”)”>

Cabe aclarar que el código para robar la sesión mediante la cookie es algo distinto. Lo que si no cambia es que el código javascript se ejecutará cuando el administrador navegue a través de las carpetas de usuarios.

SEGUNDO EJEMPLO

El usuario malicioso podría insertar código javascript en algún documento. (por razones obvias no se mostrara esta parte del ataque)

¿Qué tipo de código podría insertar el usuario malicioso?

aaaa”><script>alert(“Ud. Ha sido hackeado”)</script>.doc

Para lograr subir el archivo con el código incluido, el atacante debería cambiar el nombre del archivo a la hora de hacer el HTTP REQUEST, lo que permite que el archivo se guarde en el servidor.
De la misma manera que en el ejemplo anterior, la cookie puede ser copiada a algún lugar remoto para acceder con privilegios de administración. En este caso, el administrador tendría que ver o tratar de ver el archivo para ser víctima del ataque.

Los ejemplos demostrados fueron realizados solamente con fines educativos y de sensibilización a la seguridad informática.

Les recordamos que los parches pueden ser descargados por usuarios validados de sap support en las siguientes direcciones:
https://service.sap.com/sap/support/notes/1292875
https://service.sap.com/sap/support/notes/1284360

Muchas gracias por leernos.

Esperando poder participar con su Empresa en algún proyecto.

enHacke

La vulnerabilidad la tiene el comando muxatmd, que reside en el mismo sistema. Este comando tiene un espacio de memoria que al no ser correctamente validado puede ser propenso a desbordamientos (buffer overflow).

Lo anterior como resultado puede darle las llaves de la casa a un atacante local. Con esto nos referimos a que el atacante podria ejecutar cualquier tipo de codigo con privilegios de administracion (esto porque muxatmd tiene setuid: root).

Existe ya una actualizacion lanzada por IBM que parcha esta vulnerabilidad, puede ser encontrada en:

http://aix.software.ibm.com/aix/efixes/security/muxatmd_fix.tar
ftp://aix.software.ibm.com/aix/efixes/security/muxatmd_fix.tar

Si Ud. tiene dudas y quiere saber si su sistema AIX es vulnerable, puede utilizar el siguiente comando.
lslpp -L devices.common.IBM.atm.rte
Si obtiene como respuesta alguno de los fileset listados a continuacion, entonces debera parchar la vulnerabilidad.

AIX Fileset                                    Lower Level  Upper Level
——————————————————————-
devices.common.IBM.atm.rte  5.2.0.51     5.2.0.97
devices.common.IBM.atm.rte  5.3.0.60     5.3.0.63
devices.common.IBM.atm.rte  5.3.7.0      5.3.7.2
devices.common.IBM.atm.rte  5.3.8.0      5.3.8.0
devices.common.IBM.atm.rte  5.3.9.0      5.3.9.0
devices.common.IBM.atm.rte  6.1.0.0      6.1.0.1
devices.common.IBM.atm.rte  6.1.1.0      6.1.1.0
devices.common.IBM.atm.rte  6.1.2.0      6.1.2.0

Puede encontrar mas informacion en:
http://aix.software.ibm.com/aix/efixes/security/muxatmd_advisory.asc

Cada vez son más las empresas en Latinoamérica (y más preocupante en Perú), que son víctimas de ataques informáticos; desde denegación de servicios, pasando por ataques a servidores web que permiten la modificación de su página web y hasta robo o secuestro de información corporativa.

Está claro que el mercado negro de los hackers maliciosos genera mucho dinero y mueve mucha gente, y que la tendencia a la venta de información corporativa, fraudes bancarios, publicidad ilegal y ataques a pedido se va haciendo cada vez más fuerte.

La tendencia es clara, sin embargo hay ciertos detalles que muchos pueden estar dejando de lado. Y es que todos estos tipos de ataques y conocimientos que usualmente son dirigidos a usuarios y empresas, podrían tener también como objetivo computadoras de instituciones gubernamentales, es decir, podrían tener como fin desestabilizar un Gobierno. Sí, estamos hablando de ataques que podrían comprometer la seguridad de una Nación.

No hace más de un par de semanas que el presidente de Estados Unidos anuncio la creación de un nuevo cargo en la Casa Blanca, este asesor tiene como función coordinar las políticas destinadas a proteger a los Estados Unidos y a su infraestructura informática de ataques de las hipotéticas “ciberguerras” del futuro. Este cargo ha sido tomado con tanta importancia que incluso forma parte del Consejo de Seguridad Nacional de los EEUU.

Este tipo de noticias no son parte de hechos aislados o pura casualidad. Tienen un trasfondo muy importante y es que hoy en día, los sistemas informáticos tienen un rol principal en todas las actividades de una Nación. Si en algún momento alguno de estos sistemas deja de funcionar, muchas actividades son interrumpidas, generando tiempos de respuesta largos y lentos.

Tomemos el caso de los medios (mencionado en el video que podrán ver al final del artículo). Siendo estos la principal fuente de información y comunicación entre el Gobierno y la Nación, de llegar a ser interrumpidos por algún ataque informático, generarían desconcierto, la gente tendría miedo y podría desatar saqueos masivos.

Ahora el caso de las entidades financieras. Si bien nuestro entorno no es el de Estonia (mencionado en el video) y no tenemos solamente 2 bancos, ¿qué pasaría si los principales bancos colapsaran?

Son preguntas y escenarios hipotéticos pero que podrían llegar a ser reales. Actualmente son muchos los países que se encuentran preparando equipos de hackers listos para atacar o defender la infraestructura de TI de las principales instituciones militares y de Gobierno.

En el Perú cada vez se tiene mayor conciencia de los riesgos de una Seguridad Informática mal llevada, pero, ¿es suficiente? Las organizaciones deben preguntarse una vez más si están seguros; si el Firewall, IPS o Sistema de Correlaciones está bien implementado como para detectar amenazas serias y quizás más crítico aun, si su personal está lo suficientemente capacitado como para no caer en ataques de ingeniería social.

Espero este articulo haya sido motivo de reflexión. La seguridad Informática conlleva mucha responsbilidad y es deber de los Oficiales de Seguridad asumirla bien en sus organizaciones. Por otro lado, es deber de los usuarios también estar al tanto de nuevos tipos de engaños o ataques para no caer tan fácilmente en estos.

A continuación les mostramos un documental muy interesante. Es sobre guerras y ataques cibernéticos, realizado por la editora televisiva ODISEA. Para poder verlos necesitara un explorador Internet Explorer 7.x+ o Firefox.

Esperando participar en alguno de sus proyectos.
Muchas gracias por leernos.

enHacke