EnHacke

WAF: la defensa de las aplicaciones web y sus datos

Publicado por el enero 23, 2012 · Dejar un comentario 

El Firewall de Aplicaciones Web (WAF) es la primera y última línea de defensa de las aplicaciones frente a las amenazas online. 

Las aplicaciones web se han convertido en el esqueleto del negocio en casi todos los segmentos de la economía. Conectan a los empleados, clientes y socios a la información que necesitan en cualquier lugar y en cualquier momento. Aunque se han reducido los costes de acceso a esa información y se ha acelerado drásticamente el ritmo de los negocios, también han aumentado los riesgos: robos de identidad, fugas de datos, malware, ataques de denegación de solicitud de servicio (DoS) y botnets maliciosos impactan cada vez más a las aplicaciones web, con consecuencias que afectan a la marca, los ingresos y el cumplimiento de las normas.

Las investigaciones realizadas por el Centro de Aplicación de Defensas de Imperva han encontrado que casi el 92% de las aplicaciones web son susceptibles a algún tipo de ataque, y el 57% son vulnerables al robo de información. Adicionalmente, las aplicaciones web cambian con frecuencia y nuevas vulnerabilidades se introducen en esas actualizaciones. Además, las actualizaciones de aplicaciones inadvertidas pueden romper los parches creados para arreglar los agujeros de seguridad, y volver a exponer vulnerabilidades antiguas.

Por desgracia, actualmente el gasto en seguridad de datos se centra en las redes empresariales, dejando puntos débiles en las base de datos y aplicaciones que pueden ser explotadas por los ciberdelincuentes. En 2009, las 10 mayores fugas de datos revelan que el 74% de las pérdidas de datos provenían de las violaciones de bases de datos, el 19% de brechas en la aplicación y el 7% de brechas de la red. Sin embargo,más del 90% de los 16.000 millones de dólares invertidos en seguridad en 2009 se destinaron a las redes.

Añádase a esto la confusión actual entre las organizaciones en cuanto al tipo de herramientas de seguridad necesarias para hacer frente al problema, con muchas confiando en cortafuegos de red tradicionales y sistemas de prevención de intrusiones (IPS). En un reciente informe de Frost & Sullivan, el 55% considera que tener un firewall de red potente es suficiente para compensar la falta de un firewall de aplicaciones web (WAF). Un 48,3% consideró que un WAF sólo es necesario si una empresa quiere ser compatible con PCI-DSS.

Sin embargo, regulaciones como el Payment Card Industry Data Security Standard (PCI DSS) ahora ordenan la protección de la capa de aplicaciones. Las empresas que procesan, almacenan o transfieren datos de tarjetas de crédito deben instalar un WAF o someterse a exámenes de la aplicación anualmente y después de cada cambio de la aplicación. Nótese que que no existe obligación de IPS.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , ,

Inteco descubre a Espión, un troyano que descarga softwares maliciosos de la Red

Publicado por el enero 20, 2012 · Dejar un comentario 

Inteco-Cert ha catalogado esta semana el virus Espion. Troyano que afecta en la plataforma Windows tratando de descargar software malicioso desde Internet. Cuando se ejecuta, modifica el registro de Windows, de manera que el troyano actúa automáticamente en cada reinicio del sistema. Además se conecta con sitios maliciosos remotos para descargarse nuevo malware.

Como medida, si se utiliza el sistema operativo Windows Me, XP o Vista, y se sabe cuándo se produjo la infección, se puede usar la característica de “restauración del sistema” para eliminar el virus volviendo a un punto de restauración anterior a la infección. Éste es uno de los 11 virus publicados en los últimos 7 días por Inteco-Cert unido a 119 vulnerabilidades.

Inteco-Cert  publica diariamente las vulnerabilidades y los virus encontrados que más afectan a los internautas. Son más de 48.800 las vulnerabilidades traducidas al español y alrededor de 10.500 los virus catalogados y publicados por INTECO-CERT con la finalidad de ofrecer datos más cercanos a los internautas de habla hispana.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , ,

Schnakule, el mayor grado de sofisticación del cibercrimen

Publicado por el enero 10, 2012 · Dejar un comentario 

Schnakule es una red de malware altamente sofisticada que está llevando a algunas empresas de seguridad a replantearse su visión de las operaciones que realizan los ciberdelincuentes. Schnakule utiliza una gran red de servidores para atacar sites y comprometer páginas web para explotar vulnerabilidades e infectar los ordenadores de los usuarios.

La operación Schnakule abarca una serie de vectores de ataque y se cree que ha sido utilizada para realizar ataques múltiples con servidores activos que van de cientos a miles de sistemas a un tiempo.

 La empresa de seguridad Blue Coat ha realizado un seguimiento de esta red durante unos meses a través de sus redes de seguridad WebPlus y asegura que lo descubierto desafía el conocimiento convencional sobre cómo funcionan las operaciones del cibercrimen.

Ataques que hasta ahora se consideraban hechos aislados ahora se cree que es el trabajo de varios sistemas que están operando dentro de la red de cibercrimen. Blue Coat estima que este tipo de redes serán responsables de, al menos, dos terceras partes de los ataques en 2012.

Schnakule es una organización de servidores, una infraestructura que además es capaz de ofuscarse para no ser detectada, y para combatir este tipo de operaciones a gran escala los vendedores tendrán que adoptar enfoques más amplios para analizar los ataques, aseguran desde V3.co.uk.

En lugar de bloquear ataques basados en la actividad individual de un site o dominio, Blue Coat cree que se deben marcar los servidores y dominios que han sido conectados con redes maliciosas en el pasado, de forma que las redes de seguridad puedan identificar y prevenir exploits de servidores y dominios maliciosos antes de que el ataque haya sido lanzado.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , ,

Facebook paga a quienes descubren agujeros de seguridad

Publicado por el enero 10, 2012 · Dejar un comentario 

Facebook compensa a los usuarios que ayudan a la compañía. Y esto no es ninguna novedad. De hecho, el pasado verano ya fue noticia que el equipo de Mark Zuckerberg había iniciado una campaña para pagar a los profesionales que eran capaces de cazar cabos sueltos: agujeros dispuestos para que los cibercriminales puedan hacer de las suyas. Descuidos, en definitiva. De hecho, no es un método nuevo. Otras compañías como Google o Mozilla han sido pioneros en este sistema de búsqueda de vulnerabilidades. Y parece que han sentado precedente. Porque ahora el medio Cnet ha descubierto la que sería la nueva Visa Facebook, una tarjeta que pretende compensar a los cazadores de agujeros negros.

Se trata de una tarjeta de débito personalizada cuyo nombre es “White Hat Bug Bounty Program” y permite acumular distintas cantidades económicas, dependiendo del precio que se pague por cadaagujero de seguridad descubierto. De hecho, por un solo fallo detectado el investigador puede ganar hasta 5.000 dólares. De esta manera, el usuario en cuestión la recibe en su domicilio y puede utilizarla como una tarjeta de débito normal y corriente, para hacer compras o incluso para sacar dinero del cajero automático. El tradicional sistema de cheques, utilizado por otras compañías ha dejado de estar en uso. Ahora lo que se lleva es la tarjeta negra de Facebook.

Si estás interesado en participar en este programa debes saber que Facebook paga un mínimo de 500 dólares, por cada fallo de seguridad detectado. De esta manera, eltrabajo esporádico en Facebook puede constituir para estos profesionales una auténtica fuente de ingresos adicionales. Por ahora, sabemos que Facebook ha pagado a un total de 81 investigadores, los que tienen una única responsabilidad: la de no divulgar ninguna información detectada acerca de los fallos de seguridad que van encontrando por el camino.

En los últimos tiempos, Facebook se ha convertido en un auténtico hervidero de fallos de seguridad y ataques. No hay que olvidar que la red social de Mark Zuckerberg ya cuenta con más de 600 millones de usuarios, de manera que pronto se ha convertido en un espacio de interés para los distintos cibercriminales que andan por la Red. Así no es extraño toparse con trampas fáciles y con sofisticados sistemas de estafa, confeccionados especialmente para cazar a los usuarios más incautos.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , ,

Más de un millón de sitios afectados por un ataque

Publicado por el enero 10, 2012 · Dejar un comentario 

Lilupophilupop es el nombre de la nueva amenaza que ya afectaría a más de un millón de páginas web. Este ataque se produce al introducir una línea de código dentro del sitio con la instrucción de redireccionar a la víctima a un sitio donde se le insta a descargar una versión falsa de Adobe Flash Player o incluso antivirus aparentemente legítimos. En realidad estos programas contienen malware que de instalarse afectaría al sistema del usuario.

En el último mes este ataque de inyección de código SQL ha experimentado un crecimiento más que notable. De 80 sitios infectados se ha pasado a más de un millón en solo un mes, aunque el método de contabilizarlo no es del todo fiable, ya que no se separa los sitios infectados de las webs en las que solo se hable del ataque. A través del código SQL se introduce el script Lilupophilupop dentro del código de JavaScript de las páginas web. Este script es el que envía al usuario a las páginas vulneradas y le insta a realizar la descarga de los falsos programas.

Los investigadores temen que este ataque esté automatizado o al menos parcialmente automatizado, lo que podría provocar que el número de sitios afectados aumentara considerablemente en los próximos meses. Los sitios más afectados son aquellos propios de Holanda (con el dominio .nl), aunque también se han detectado dominios de otros países y algunos sitios .org y .com.

Para saber que sitios pueden estar sufriendo este ataque, y para saber si tu propio sitio es uno de los atacados, basta con buscar en Google un parametro como vemos en la imagen de abajo. En caso de aparecer en los resultados de búsqueda el sitio tendrá todos los papeles para ser uno de los afectados. Aunque el ataque ya ha adquirido proporciones alarmantes, algunos analistas han instado a mantener la calma hasta que se realice una investigación más en profundo sobre su alcance real.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Symantec confirma fuga del código fuente de viejos antivirus empresariales

Publicado por el enero 8, 2012 · Dejar un comentario 

El proveedor de seguridad de Symantec confirmó que un grupo de hackers está en posesión del código fuente de dos de sus productos empresariales antivirus, uno de los cuales ya no está en producción.

“Symantec puede confirmar que un segmento de su código fuente utilizado en dos de nuestros productos más antiguos para empresas ha sido obtenido por desconocidos. El código en cuestión tiene entre cuatro y cinco años”, dijo Cris Paden, gerente senior de la compañía para comunicaciones corporativas.

La confirmación viene a la luz de las recientes afirmaciones hechas por un grupo de hackers que han copiado código fuente de Norton AntiVirus de servidores comprometidos pertenecientes a las agencias de inteligencia indias.

Paden confirmó que la violación de la seguridad no se produjo en la propia red de Symantec, sino la de un tercero. Sin embargo, se negó a especular sobre su identidad hasta que la investigación en curso revele más información.

Debido a que el código fuente expuesto corresponde a productos de empresa, los usuarios de Norton AntiVirus, para consumidores, no se ven afectados por la fuga, dijo Paden. La empresa no tiene ninguna razón para creer que en este momento que la información del cliente se ha visto comprometida.

“Sin embargo, Symantec está trabajando para desarrollar el proceso que remedie el fallo, para asegurar la protección a largo plazo y proteger la información de nuestros clientes. Comunicaremos ese proceso una vez que lo concluyamos”, dijo Paden.

Symantec no cree que la funcionalidad y la seguridad de sus productos esté afectada por la fuga. Sin embargo, terceros expertos en seguridad creen que podría ser posible que los hackers y los competidores se aprovechen del incidente.

“Un beneficio clave de tener el código fuente podría estar en manos de los competidores”, dijo Rob Rachwald, director de estrategia de seguridad en la empresa de seguridad Imperva, en un blog el jueves.

“Si el código fuente es reciente y los hackers encontraron vulnerabilidades graves, podría ser posible la explotación de los actuales antivirus. Pero eso es un gran interrogante y nadie más que Symantec sabe qué tipo de debilidades podían encontrar los hackers”, agregó

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , ,

Inteco detecta el malware Blacole.O., un troyano que infecta los equipos mediante archivos Adobe Shockwave Flash

Publicado por el enero 5, 2012 · Dejar un comentario 

El Centro de Respuesta de Incidentes del Instituto Nacional de Tecnologías de la Comunicación (Inteco-CERT) ha catalogado esta semana el malware Blacole.O., un troyano que se aprovecha de una vulnerabilidad en Adobe Flash para infectar los equipos mediante archivos Adobe Shockwave Flash (.SWF).

Estos archivos (.SWF) se distribuyen a través de páginas web aparentemente legítimas que han sido comprometidas por medio del kit de explotación ‘Blackhole’. Los efectos que provoca este malware redirigen a los navegadores web a páginas controladas por los atacantes y les hace descargarse el nuevo malware.

Como prevención, el Inteco recomienda a todos los usuarios actualizar el programa Adobe Flash. Como medida, si se utiliza el sistema operativo Windows Me, XP o Vista y se sabe cuándo se produjo la infección, se puede usar la característica de “restauración del sistema” para eliminar el malware.

Éste es uno de los 10 malwares publicados en los últimos siete días por Inteco-CERT, al que se suman otras 22 vulnerabilidades, según hay informado el Inteco.

El Instituto publica diariamente las vulnerabilidades y los malwares encontrados que más afectan a los internautas. En total, ha catalogado más de 48.800 vulnerabilidades traducidas al español y alrededor de 10.500 los malware con la finalidad de ofrecer datos más cercanos a los internautas de habla hispana.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Boletín de Microsoft corrige cuatro vulnerabilidades de .NET Framework

Publicado por el enero 3, 2012 · Dejar un comentario 

Microsoft publicó un último boletín de seguridad antes de acabar el año. El aviso MS11-100, publicado el jueves 29 de diciembre, se aparta de la norma de publicación de boletines de seguridad los segundos martes de cada mes a la que acostumbra esta compañía. Esto es debido al carácter crítico de las vulnerabilidades y a que una de ellas se ha divulgado públicamente.

En total el boletín corrige cuatro vulnerabilidades que afectan a .NET Framework en todas sus versiones. A continuación se exponen dichas vulnerabilidades ordenadas por sus identificadores CVE.

  • CVE-2011-3414: Se trata de la vulnerabilidad ya comentada en relación con la forma en que ASP.NET Framework trata peticiones específicamente construidas, que puede causar colisiones hash, y con ello un incremento del consumo de los recursos del sistema. Esto podría ser utilizado por un atacante remoto para provocar condiciones de denegación de servicio.
  • CVE-2011-3415: Existe un fallo en la comprobación de las direcciones URL de retorno durante el proceso de autenticación de formularios en .NET Framework. Un atacante remoto podía aprovechar esta vulnerabilidad para revelar información sensible al redirigir a un usuario a un sitio web diferente sin el conocimiento de este, a través de un enlace especialmente manipulado.
  • CVE-2011-3416: Un fallo en la forma en que .NET Framework autentica a los usuarios podría ser utilizado por un atacante remoto para elevar privilegios a través de una petición web especialmente manipulada. Para aprovechar esta vulnerabilidad, el atacante debe registrar una cuenta en la aplicación ASP.NET, y conocer el nombre de la cuenta de usuario a la que pretende acceder.
  • CVE-2011-3417: Una última vulnerabilidad en la forma en que ASP.NET maneja el contenido almacenado en caché cuando se utiliza la autenticación de formularios con pérdida de deslizamiento activada. Esto podría ser aprovechado por un atacante remoto para elevar privilegios a través de un enlace especialmente manipulado.
Los parches que corrigen las vulnerabilidades anteriores pueden descargarse desde el propio boletín de Microsoft, o a través de Windows Update. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin MS11-100 – Critical
Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , ,

LANZAMIENTO NINJASEC !!!!

Publicado por el enero 3, 2012 · Dejar un comentario 

DESCARGA AQUI NINJASEC

Así es amigos, gracias a todos por sus mails y mensajes de aliento.

Las personas que pudieron ir a los eventos de la Pontificia Universidad Católica del Perú (Linux Week) y Universidad Tecnológica del Perú (I Jornada del estado del arte de la Seguridad Informática), obtuvieron algo de información acerca de nuestro proyecto NINJASEC.

Para aquellos que aun no saben que es….

¿QUÉ ES?

NINJASEC es una distribucion de Pentesting, que provee un framework o marco de trabajo para la realización de pruebas de penetración (auditorías de pentest) de forma metodológica y ordenada, tomando en cuenta el Círculo del Hacking (Reconocimiento, Escaneo, Obteniendo Acceso, Manteniendo Acceso y borrado de huellas).

¿CUÁL ES EL OBJETIVO DEL PROYECTO?

Comunidad, CoMuNiDaD, C0mun1d4d!!!

El objetivo es que existan aportes con nuevas herramientas, scripts y tecnicas, de forma que la comunidad hispana de hacking etico mejore su nivel.

¿CUALES SON LAS RAZONES QUE LOS IMPULSARON?

A continuacion las razones que nos impulsaron a esta aventura:

  • En los distintos eventos en los que hemos participado a lo largo de estos 2 últimos años hemos encontrado gente interesada en seguridad informática
  • En varios casos la comunidad, a pesar del interés, se encontraba desinformada. Es por eso que empezamos a dar varias de nuestras charlas e iniciamos nuestros cursos.
  • En muchos casos había una falta de motivación o perseverancia por una curva de aprendizaje muy empinada para comprender las tecnicas de hacking
  • Existe para algunos una barrera con el lenguaje en el que esta la documentación (usualmente ingles). No por no saber inglés sino porque en algunos casos este es muy técnico.
  • Vimos que las universidades no incorporan cursos de seguridad informática y/o auditorías de penetración
    • Esto conlleva muchas veces a una falsa percepción de seguridad
  • Tenemos muchas ganas de hacer crecer y progresar la comunidad hispana de seguridad informatica y hacking etico en el Perú y en Latinoamerica

¿QUIENES PUEDEN UTILIZAR NINJASEC?

Puede ser utilizado tanto por profesionales como por personas que recien estan aprendiendo (esto porque hemos tratado de estructurar las fases y herramientas de la manera mas organizada posible).

La distribucion será libre y gratuita.


¿QUIENES SON LOS CREADORES DE LA DISTRIBUCIÓN?

Los creadores de la distribución NINJASEC son miembros de la Empresa de Seguridad Informática ENHACKE, a continuacion sus nombres:

  • Raúl Díaz Parra
  • Jean Angulo
  • Gabriel Lazo

¿CÓMO INGRESAS A NINJASEC?

El usuario parar trabajar con NINJASEC  será root y el password ninjasec.

¿CÓMO EMPEZAR A TRABAJAR CON LA HERRAMIENTA OPENVAS?

Primero debemos iniciar el openvas servidor y luego ejecutar openvas cliente. Para conectar el cliente con el servidor debemos ingresar el usuario admin y el password admin.

Queremos agradecer tambien a nuestros colaboradores virtuales que han ido probando la distribución, dándonos sus aportes y comentarios.

Esperemos sea bien aceptado por la comunidad y que también nos brinden de su apoyo.

Esten atentos que las siguientes semanas estaremos lanzando videos para que vayan haciendo sus pininos en este emocionante mundo de la SEGURIDAD INFORMATICA.

Nota: El archivo imagen ha sido comprimido y dividido en 5 partes (archivos rar). Descarguenlas y luego descompriman para obtener el .iso de NINJASEC.

DESCARGA AQUI NINJASEC!!!!

Muchas gracias!!

ENHACKE

ACTUALIZACION: VIDEO PRESENTANDO NINJASEC EN LA PUCP!!


ENHACKE – LINUXWEEK 2010 from enhacke on Vimeo.

Charla ENHACKE en LINUXWEEK 2010. Presentación de NINJASEC.

Archivado en Seguridad, Video · Etiquetado con , , , , , , ,