FruityWifi herramienta de código abierto para auditar redes inalámbricas.

  • FruityWifi es una herramienta de código abierto para auditar redes inalámbricas. Permite al usuario desplegar ataques avanzados directamente utilizando la interfaz web o mediante el envío de mensajes a la misma.

Web

 


Algunos servicios web interesantes.

  • Algunos servicios web interesantes.

Shell.

Dos buenas páginas web donde puedes encontrar diversas Shell para tus pruebas de penetración o Hacking Ético.

logo

Link-1: Link-rc57.

Link-2 : Link-oco.

Servicios Web.

Algunos servicios webs interesantes,escaners online,generador de identidades (Interesante) y algunos no menos interesantes.

Motores-de-busqueda-Header-664x374

  1. IntelCrawler.

La Plataforma de Inteligencia IntelCrawler ayuda a conectar los puntos entre verificado la información de inteligencia cibernética y las amenazas emergentes contra objetivos específicos. Mediante la agregación y análisis de grandes volúmenes de información en nuestros conjuntos de datos grandes, IntelCrawler puede ayudar a la inteligencia cibernética y los equipos de respuesta a incidentes, agentes del orden, y las agencias gubernamentales para mitigar el riesgo, desarrollar planes de contingencia amenaza, e identificar los cibercriminales.

Link-IntelC.

2. Shodanhq.

Shodan es un motor de búsqueda que permite al usuario encontrar tipos específicos de equipos (routers, servidores, etc.) conectados a Internet a través de una variedad de filtros. Algunos también lo han descrito como un motor de búsqueda de banners de servicios, que son los meta-datos del servidor envía de vuelta al cliente. Esto puede ser información sobre el software de servidor, ¿qué opciones admite el servicio, un mensaje de bienvenida o cualquier otra cosa que el cliente puede saber antes de interactuar con el servidor.
Shodan recoge datos sobre todo en los servidores web en el momento (HTTP puerto 80), pero también hay algunos datos de FTP (21), SSH (22) Telnet (23), SNMP (161) y (5060) servicios SIP.
Fue lanzado en 2009 por el informático John Matherly, quien, en 2003, concibió la idea de dispositivos conectados a Internet a buscar. El nombre Shodan es una referencia a SHODAN, un personaje de la serie de videojuegos System Shock.

Link-Shodanhq.

3. domxssscanner.

DOM XSS Scanner es una herramienta en línea que le ayuda a encontrar cross-site scripting basado (XSS) vulnerabilidades de seguridad potencial DOM. Para empezar, simplemente introduzca una URL para revisar el código fuente del recurso correspondiente con fuentes DOM XSS y sumideros siendo destacado en la página de resultados.
Además se buscarán los documentos HTML y XML para scripts externos incluidos, archivos más probables de JavaScript, que será obtenido a su vez y posteriormente aparecen en la página de resultados.

Link-Domxsscanner.

4. punkspider.

Navegador web enfocado a la búsqueda de errores en código web,tanto Sql,XSS,Bsqli.

Link-PunkSpider.

5. fakenamegenerator.

A través del sitio “fakenamegenerator” se puede obtener un nombre, apellido, fecha de nacimiento, dirección, correo, número de seguridad social (para Estados Unidos) y hasta un número de tarjeta de crédito. Todos esos datos se tratan de datos falsos, creados por un sistema de computadoras, pero que lucen completamente creíbles.
Link-Fakenamegenerator.

Nuevo malware para Android espía.

  • El nuevo MALWARE para Android espía mientras el dispositivo esta apagado.

 

nsa_android_logo

Investigadores de seguridad han descubierto un nuevo troyano para Android que engaña a las víctimas haciéndoles creer que sus dispositivos están apagado con vistas a seguir con el “espionaje” en las actividades de los usuarios en el fondo. Esta nueva amenaza para Android, llamada PowerOffHijack, ha sido analizada por los investigadores de la empresa de seguridad AVG.

Una vez instalado, esta nueva forma de software malicioso pide permisos a nivel de raíz y manipula el archivo ‘system_server‘ del sistema operativo para afectar el proceso de apagado. El malware particularmente secuestra la interfaz WindowManagerFuncs, de modo que pueda mostrar un cuadro de diálogo de apagado falso y animación cada vez que la víctima presiona el botón de encendido.

¿Hay alguna forma de evitarlo?

Sí. Pero según explican desde la compañía, sólo hay una cosa que podamos hacer: quitarle la batería al smartphone. No es la solución ideal, pero en este caso es lo único que funcionaría. A esto se le añade un problema extra, y es que en algunos dispositivos no se puede extraer la batería. En esos casos, y en en general, la mejor opción es instalar siempre software desde las tiendas de aplicaciones oficiales.

Fuente-Original.


Base de datos de URL maliciosas “malware domain list”.

  • Base de datos de URL maliciosas “malware domain list”.

Muchas veces tenemos la duda de si una URL (Enlace Web) es o no algún malware que pueda infectar nuestro navegador “Malware domain list “ nos ofrece este servicio,tanto puedes buscar alguna URL en su base de datos la cual puedes ver o descargar, esta también nos da bastante información sobre el pais y algunas cosas mas. ademas nos da la posibilidad de escanear o compara si una URL es maliciosa o no, interesante web para los dias que corren en la RED  de internet.

malware

Link Malware Domain List.


Ataques en la RED al descubierto con IPviKing.

  • Ataques en la RED al descubierto con IPviKing.

ipvikings

Norse Inteligencia Oscuro.


Cada Segundo, Norse recoge y analiza la información sobre amenazas en vivo desde darknets en cientos de ubicaciones en más de 40 países. Los ataques que se muestran se basan en un pequeño subconjunto de los flujos en vivo contra la infraestructura honeypot nórdica, que representan los ataques cibernéticos de todo el mundo reales por malos actores. A primera vista, uno puede ver que los países son agresores u objetivos en el momento, utilizando el tipo de ataques (serviciospuertos).

Al pasar por encima de los orígenes ataque, Ataca al objetivo, o tipos de ataque destacará sólo los ataques procedentes de ese país, o sobre ese servicio puertos respectivamente. Al pasar el ratón por encima de cualquier burbuja en el mapa, pondrá de relieve sólo los ataques de esa ubicación y tipo. Presione S para cambiar tamaños de mesa.

Norse expone su inteligencia de amenazas a través de alto rendimiento, las API de lectura mecánica en una variedad de formas. Nórdica también ofrece productos y soluciones que ayudan a las organizaciones en la protección y mitigación de ataques cibernéticos.

Link. IPviKing.


Ataques de denegación de servicio usando servidores NTP.

  • Ataques de denegación de servicio usando servidores NTP

 

Heartbleed-Refresh

 

El pasado diciembre tuvieron lugar diversos ataques distribuidos de denegación de servicio sobre redes de servidores de juegos. Entre ellas, Steam, Origin o Battle.com. Al parecer los ataques fueron atribuidos al grupo DERP Trolling. Al margen de las causas políticas lo interesante es qué usaron para generar el tráfico que provocó el corte o degradación temporal del servicio.

 

Como sabemos, hay diversos tipos o técnicas de denegación de servicio. Desde un simple paquete modificado para generar un desbordamiento en la pila y desestabilizar el proceso, hasta la generación de un gran volumen de tráfico desde múltiples direcciones que termine por agotar los recursos de los servidores atacados. El ataque ha empleado una técnica de generación de tráfico conocida pero sobre un actor diferente.

Desde hace tiempo uno de los ataques de denegación de servicio más interesantes es la amplificación de respuestas DNS. Esta técnica aprovecha varios factores para generar un tráfico no solicitado de una manera “lícita“, es decir, no se aprovecha de la infección de máquinas sino de la falta o descuido de configuración de los servidores DNS de terceros.

Basta hacer un escaneo aleatorio sobre el puerto 53 para detectar servidores DNS y una pequeña prueba para determinar que esos servidores DNS responden o generan una consulta recursiva sobre dominios de terceros. Una consulta sobre un dominio puede generar una respuesta hasta 50 veces mayor que la petición. Es decir, inviertes 10 bytes en una petición y el servidor podría devolverte hasta 500 bytes. Ya tienes la generación de tráfico.

El protocolo DNS funciona sobre el protocolo de transporte UDP que como sabemos no está orientado a conexión y por lo tanto prescinde de lo que se denomina “handshake”. Es decir, no necesita confirmación del otro extremo para iniciar una conversación con más detalles. Con UDP pides y te sirven. Esto es importante ya si construimos una petición UDP pero cambiamos el campo origen a otra IP que no sea la nuestra el servidor responderá a esa otra IP.

Ya tenemos dos factores. Podemos generar tráfico gracias al ratio 1:50 petición/respuesta y también podemos falsear la dirección de origen  gracias a UDP. El siguiente factor es encontrar servidores DNS abiertos o que permitan consultas recursivas sobre dominios de terceros. Con un buen grupo de estos servidores y otro grupo que genere las peticiones se tiene la tormenta perfecta para dirigir ese tráfico al objetivo.

 

¿Qué ha cambiado en este ataque?.

Que no se han usado servidores DNS para amplificar las respuestas. En vez de ello los atacantes han usado servidores NTP (Network Time Protocol).

NTP es un protocolo usado principalmente para sincronizar los relojes del sistema operativo. Podemos leer sobre el en las siguientes RFC: http://www.ntp.org/rfc.html.

Los servidores NTP escuchan en el puerto 123 UDP y por cada petición, por ejemplo, de 8 bytes pueden llegar a generar una respuesta hasta casi 60 veces mayor. Pero esta respuesta no es la habitual de un servidor NTP sino que es una característica del protocolo que ahora ha sido parcheada para evitar este tipo de ataques. Curiosamente en la lista de desarrollo de NTP la debilidad ya aparecía en 2010. Por cierto, incluso tiene un CVE asociado, el CVE-2013-5211 y está corregida en la versión 4.2.7 del servidor NTP.

http://bugs.ntp.org/show_bug.cgi?id=1532

Es posible efectuar una petición al servidor NTP para obtener una lista con información de peticiones a modo de registro, una lista denominada Monitor data. Incluso existe un script para nmap que encuentra servidores NTP con esta característica (http://nmap.org/nsedoc/scripts/ntp-monlist.html).  Gracias a esto es posible amplificar la respuesta.

Aunque no es habitual, es posible encontrar organizaciones que usen servidores NTP sobre Internet para sincronizar redes en diferentes localizaciones. Si no es el caso sería recomendable filtrar el tráfico entrante del puerto 123 UDP y por supuesto si se usan servidores NTP actualizar a la versión corregida.

Sobre los servidores DNS abiertos la verdad merece una entrega aparte. Es una constante en nuestras auditorías de seguridad, encontrar un DNS (¡o varios!) de la organización publicado hacia Internet y que permite a terceros su uso sobre cualquier dominio de manera recursiva. Incluso es complicado hacer entender al administrador como eso puede ser usado en contra de la organización para la que trabaja.

Hemos de entender que cuando una víctima recibe tráfico DNS el paquete UDP lleva como origen la IP de nuestra organización, por lo que podemos vernos en la tesitura de tener que responder ante un escenario donde nuestro servidor DNS ha sido usado para un ataque DDoS.

Fu3nt3-0r1g1n4l.


Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL.

 

Heartbleed-Refresh

  • Recursos afectados:

Openssl.

La vulnerabilidad afecta a OpenSSL, versiones 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1. y 1.0.2-beta.
Sistemas operativos y servicios

  • Cualquier producto que haga uso de las mencionadas versiones de OpenSSL está, por lo tanto afectado. Si su sistema utiliza Openssl puede determinar la versión ejecutando el comando: “openssl version -a”.
  • En general los sistemas Linux utilizan OpenSSL y por ello pueden estar afectados. Compruébese la version utilizada e información del fabricante. Productos Microsoft y Apple que no utilicen software de terceros no resultan, en principio, afectados.

Sistemas de telefonía VoIP, puntos de venta y sistemas SCADA de control industrial.

Es posible que estos productos utilicen OpenSSL para su función. Compruébese la información proporcionada por el fabricante correspondiente.

Datos, cuentas y otros servicios.
Como efecto colateral, información privada almacenada en sistemas vulnerables de internet puede haberse visto expuesta, entre ellos servicios de correo electrónico, almacenamiento online, redes sociales, etc. Puede consultarse un listado aproximado en el siguiente enlace:

Sitios afectados.

 

  • Paso 1. Alcance e Impacto.

OpenSSL es un producto ampliamente extendido y utilizado por multitud de servicios y aplicaciones.
En primer lugar es necesario identificar los posibles sistemas y servicios afectados, y su grado de compromiso. Consulte la sección: “Recursos Afectados”. Si su sistema es vulnerable, evalúe la importancia de los servicios, el grado de exposición de los mismos y la información comprometida para aplicar las medidas recomendadas a continuación.
Si usted tiene contratados los servicios y su administración o mantenimiento con un tercero, póngase en contacto con su proveedor para solicitar la adopción de las medidas correctoras necesarias en su caso.

 

  • Paso 2. Medidas y mitigación

Actualización de OpenSSL: Aplicar la actualización disponible de OpenSSL a versión 1.0.1g para la release 1.0.1. La release 1.0.2-beta será corregida con la actualización 1.0.2-beta2.
Si no fuese posible ejecutar la actualización, puede deshabilitar la funcionalidad HEARTBEAT, lo que conlleva recompilar los fuentes de OpenSSL con la opción ” -OPENSSL_NO_HEARTBEATS”.
En sistemas Linux es recomendable la actualización a través de las herramientas de actualización del sistema: apt-get update (debian/ubuntu), yum update (RedHat, Fedora,CentOS) y otros manejadores de paquetes para otras distribuciones.
Puede comprobarse la actualización de la versión tras el reinicio, ejecutando el comando: “openssl version -a”.
Reinicio de servicios afectados: Reiniciar los servicios afectados que hagan uso de OpenSSL. Entre ellos se encuentran:
Servicios Web (Apache, Nginx, lighthttpd..)
Servicios de correo electrónico (sendmail, postfix, qmail..)
Servicios de base de datos (mysql, postgres, mariadb..)

 

  • Paso 3. Medidas adicionales. En función de la exposición de los servicios y la sensibilidad de los datos, deben aplicarse las siguientes medidas:

Revocar los certificados SSL expuestos y generar nuevos: Desde la publicación de la vulnerabilidad, hasta la aplicación del parche es posible que un atacante haya podido obtener datos importantes, como la clave privada de los certificados SSL de un sitio. Ello posibilita la suplantación del sitio y compromiso de información privada.
Para revocar un certificado OpenSSL y generar uno nuevo pueden utilizarse las instrucciones y comandos proporcionados por el producto. Estas operaciones sobre certificados y otras necesarias como la generación de claves se encuentran descritas en la documentación oficial de OpenSSL: http://www.openssl.org/docs/apps/ca.html. Recuérdese que es importante generar una nueva clave privada para la renovación de los certificados. Consúltese también sección “Enlaces” para ampliar información y ayuda.
Reseteo de contraseñas: Renovar todas las contraseñas del sistema operativo y de los usuarios que hagan uso de los servicios afectados.

Detalle.

Las versiones de OpenSSL 1.0.1 hasta 1.0.1f tienen un defecto en su implementación de la funcionalidad heartbeat TLS/DTLS (RFC6520).

Esta vulnerabilidad permite a un atacante recuperar contenidos privados de memoria de aplicaciones que hagan uso de la librería OpenSSL afectada.

Los servicios afectados pueden filtar información que incluye certificados digitales, credenciales(usuario/contraseñas) y otros contenidos protegidos. Además, el acceso a contenidos y posiciones de memoria protegidos puede utilizarse para evitar protecciones contra exploits.

El uso de la información extraída por la explotación de esta vulnerabilidad, como por ejemplo, el certificado del servidor, permitiría a un atacante descifrar tráfico o realizar ataques man in the middle en comunicaciones cifradas con OpenSSL.

Se ha reservado el CVE-2014-0160 para la descripción de esta vulnerabilidad.

 

Fu3nt3-0r1g1n4l.