Algunos servicios web interesantes.

  • Algunos servicios web interesantes.

Shell.

Dos buenas páginas web donde puedes encontrar diversas Shell para tus pruebas de penetración o Hacking Ético.

logo

Link-1: Link-rc57.

Link-2 : Link-oco.

Servicios Web.

Algunos servicios webs interesantes,escaners online,generador de identidades (Interesante) y algunos no menos interesantes.

Motores-de-busqueda-Header-664x374

  1. IntelCrawler.

La Plataforma de Inteligencia IntelCrawler ayuda a conectar los puntos entre verificado la información de inteligencia cibernética y las amenazas emergentes contra objetivos específicos. Mediante la agregación y análisis de grandes volúmenes de información en nuestros conjuntos de datos grandes, IntelCrawler puede ayudar a la inteligencia cibernética y los equipos de respuesta a incidentes, agentes del orden, y las agencias gubernamentales para mitigar el riesgo, desarrollar planes de contingencia amenaza, e identificar los cibercriminales.

Link-IntelC.

2. Shodanhq.

Shodan es un motor de búsqueda que permite al usuario encontrar tipos específicos de equipos (routers, servidores, etc.) conectados a Internet a través de una variedad de filtros. Algunos también lo han descrito como un motor de búsqueda de banners de servicios, que son los meta-datos del servidor envía de vuelta al cliente. Esto puede ser información sobre el software de servidor, ¿qué opciones admite el servicio, un mensaje de bienvenida o cualquier otra cosa que el cliente puede saber antes de interactuar con el servidor.
Shodan recoge datos sobre todo en los servidores web en el momento (HTTP puerto 80), pero también hay algunos datos de FTP (21), SSH (22) Telnet (23), SNMP (161) y (5060) servicios SIP.
Fue lanzado en 2009 por el informático John Matherly, quien, en 2003, concibió la idea de dispositivos conectados a Internet a buscar. El nombre Shodan es una referencia a SHODAN, un personaje de la serie de videojuegos System Shock.

Link-Shodanhq.

3. domxssscanner.

DOM XSS Scanner es una herramienta en línea que le ayuda a encontrar cross-site scripting basado (XSS) vulnerabilidades de seguridad potencial DOM. Para empezar, simplemente introduzca una URL para revisar el código fuente del recurso correspondiente con fuentes DOM XSS y sumideros siendo destacado en la página de resultados.
Además se buscarán los documentos HTML y XML para scripts externos incluidos, archivos más probables de JavaScript, que será obtenido a su vez y posteriormente aparecen en la página de resultados.

Link-Domxsscanner.

4. punkspider.

Navegador web enfocado a la búsqueda de errores en código web,tanto Sql,XSS,Bsqli.

Link-PunkSpider.

5. fakenamegenerator.

A través del sitio “fakenamegenerator” se puede obtener un nombre, apellido, fecha de nacimiento, dirección, correo, número de seguridad social (para Estados Unidos) y hasta un número de tarjeta de crédito. Todos esos datos se tratan de datos falsos, creados por un sistema de computadoras, pero que lucen completamente creíbles.

Nuevo malware para Android espía.

  • El nuevo MALWARE para Android espía mientras el dispositivo esta apagado.

 

nsa_android_logo

Investigadores de seguridad han descubierto un nuevo troyano para Android que engaña a las víctimas haciéndoles creer que sus dispositivos están apagado con vistas a seguir con el “espionaje” en las actividades de los usuarios en el fondo. Esta nueva amenaza para Android, llamada PowerOffHijack, ha sido analizada por los investigadores de la empresa de seguridad AVG.

Una vez instalado, esta nueva forma de software malicioso pide permisos a nivel de raíz y manipula el archivo ‘system_server‘ del sistema operativo para afectar el proceso de apagado. El malware particularmente secuestra la interfaz WindowManagerFuncs, de modo que pueda mostrar un cuadro de diálogo de apagado falso y animación cada vez que la víctima presiona el botón de encendido.

¿Hay alguna forma de evitarlo?

Sí. Pero según explican desde la compañía, sólo hay una cosa que podamos hacer: quitarle la batería al smartphone. No es la solución ideal, pero en este caso es lo único que funcionaría. A esto se le añade un problema extra, y es que en algunos dispositivos no se puede extraer la batería. En esos casos, y en en general, la mejor opción es instalar siempre software desde las tiendas de aplicaciones oficiales.

Fuente-Original.

Base de datos de URL maliciosas “malware domain list”.

  • Base de datos de URL maliciosas “malware domain list”.

Muchas veces tenemos la duda de si una URL (Enlace Web) es o no algún malware que pueda infectar nuestro navegador “Malware domain list “ nos ofrece este servicio,tanto puedes buscar alguna URL en su base de datos la cual puedes ver o descargar, esta también nos da bastante información sobre el pais y algunas cosas mas. ademas nos da la posibilidad de escanear o compara si una URL es maliciosa o no, interesante web para los dias que corren en la RED  de internet.

malware

Link Malware Domain List.

Ataques en la RED al descubierto con IPviKing.

  • Ataques en la RED al descubierto con IPviKing.

ipvikings

Norse Inteligencia Oscuro.


Cada Segundo, Norse recoge y analiza la información sobre amenazas en vivo desde darknets en cientos de ubicaciones en más de 40 países. Los ataques que se muestran se basan en un pequeño subconjunto de los flujos en vivo contra la infraestructura honeypot nórdica, que representan los ataques cibernéticos de todo el mundo reales por malos actores. A primera vista, uno puede ver que los países son agresores u objetivos en el momento, utilizando el tipo de ataques (serviciospuertos).

Al pasar por encima de los orígenes ataque, Ataca al objetivo, o tipos de ataque destacará sólo los ataques procedentes de ese país, o sobre ese servicio puertos respectivamente. Al pasar el ratón por encima de cualquier burbuja en el mapa, pondrá de relieve sólo los ataques de esa ubicación y tipo. Presione S para cambiar tamaños de mesa.

Norse expone su inteligencia de amenazas a través de alto rendimiento, las API de lectura mecánica en una variedad de formas. Nórdica también ofrece productos y soluciones que ayudan a las organizaciones en la protección y mitigación de ataques cibernéticos.

Link. IPviKing.

Ataques de denegación de servicio usando servidores NTP.

  • Ataques de denegación de servicio usando servidores NTP

 

Heartbleed-Refresh

 

El pasado diciembre tuvieron lugar diversos ataques distribuidos de denegación de servicio sobre redes de servidores de juegos. Entre ellas, Steam, Origin o Battle.com. Al parecer los ataques fueron atribuidos al grupo DERP Trolling. Al margen de las causas políticas lo interesante es qué usaron para generar el tráfico que provocó el corte o degradación temporal del servicio.

 

Como sabemos, hay diversos tipos o técnicas de denegación de servicio. Desde un simple paquete modificado para generar un desbordamiento en la pila y desestabilizar el proceso, hasta la generación de un gran volumen de tráfico desde múltiples direcciones que termine por agotar los recursos de los servidores atacados. El ataque ha empleado una técnica de generación de tráfico conocida pero sobre un actor diferente.

Desde hace tiempo uno de los ataques de denegación de servicio más interesantes es la amplificación de respuestas DNS. Esta técnica aprovecha varios factores para generar un tráfico no solicitado de una manera “lícita“, es decir, no se aprovecha de la infección de máquinas sino de la falta o descuido de configuración de los servidores DNS de terceros.

Basta hacer un escaneo aleatorio sobre el puerto 53 para detectar servidores DNS y una pequeña prueba para determinar que esos servidores DNS responden o generan una consulta recursiva sobre dominios de terceros. Una consulta sobre un dominio puede generar una respuesta hasta 50 veces mayor que la petición. Es decir, inviertes 10 bytes en una petición y el servidor podría devolverte hasta 500 bytes. Ya tienes la generación de tráfico.

El protocolo DNS funciona sobre el protocolo de transporte UDP que como sabemos no está orientado a conexión y por lo tanto prescinde de lo que se denomina “handshake”. Es decir, no necesita confirmación del otro extremo para iniciar una conversación con más detalles. Con UDP pides y te sirven. Esto es importante ya si construimos una petición UDP pero cambiamos el campo origen a otra IP que no sea la nuestra el servidor responderá a esa otra IP.

Ya tenemos dos factores. Podemos generar tráfico gracias al ratio 1:50 petición/respuesta y también podemos falsear la dirección de origen  gracias a UDP. El siguiente factor es encontrar servidores DNS abiertos o que permitan consultas recursivas sobre dominios de terceros. Con un buen grupo de estos servidores y otro grupo que genere las peticiones se tiene la tormenta perfecta para dirigir ese tráfico al objetivo.

 

¿Qué ha cambiado en este ataque?.

Que no se han usado servidores DNS para amplificar las respuestas. En vez de ello los atacantes han usado servidores NTP (Network Time Protocol).

NTP es un protocolo usado principalmente para sincronizar los relojes del sistema operativo. Podemos leer sobre el en las siguientes RFC: http://www.ntp.org/rfc.html.

Los servidores NTP escuchan en el puerto 123 UDP y por cada petición, por ejemplo, de 8 bytes pueden llegar a generar una respuesta hasta casi 60 veces mayor. Pero esta respuesta no es la habitual de un servidor NTP sino que es una característica del protocolo que ahora ha sido parcheada para evitar este tipo de ataques. Curiosamente en la lista de desarrollo de NTP la debilidad ya aparecía en 2010. Por cierto, incluso tiene un CVE asociado, el CVE-2013-5211 y está corregida en la versión 4.2.7 del servidor NTP.

http://bugs.ntp.org/show_bug.cgi?id=1532

Es posible efectuar una petición al servidor NTP para obtener una lista con información de peticiones a modo de registro, una lista denominada Monitor data. Incluso existe un script para nmap que encuentra servidores NTP con esta característica (http://nmap.org/nsedoc/scripts/ntp-monlist.html).  Gracias a esto es posible amplificar la respuesta.

Aunque no es habitual, es posible encontrar organizaciones que usen servidores NTP sobre Internet para sincronizar redes en diferentes localizaciones. Si no es el caso sería recomendable filtrar el tráfico entrante del puerto 123 UDP y por supuesto si se usan servidores NTP actualizar a la versión corregida.

Sobre los servidores DNS abiertos la verdad merece una entrega aparte. Es una constante en nuestras auditorías de seguridad, encontrar un DNS (¡o varios!) de la organización publicado hacia Internet y que permite a terceros su uso sobre cualquier dominio de manera recursiva. Incluso es complicado hacer entender al administrador como eso puede ser usado en contra de la organización para la que trabaja.

Hemos de entender que cuando una víctima recibe tráfico DNS el paquete UDP lleva como origen la IP de nuestra organización, por lo que podemos vernos en la tesitura de tener que responder ante un escenario donde nuestro servidor DNS ha sido usado para un ataque DDoS.

Fu3nt3-0r1g1n4l.

Grave vulnerabilidad en la funcionalidad HEARTBEAT de OpenSSL.

 

Heartbleed-Refresh

  • Recursos afectados:

Openssl.

La vulnerabilidad afecta a OpenSSL, versiones 1.0.1f, 1.0.1e, 1.0.1d, 1.0.1c, 1.0.1b, 1.0.1a, 1.0.1. y 1.0.2-beta.
Sistemas operativos y servicios

  • Cualquier producto que haga uso de las mencionadas versiones de OpenSSL está, por lo tanto afectado. Si su sistema utiliza Openssl puede determinar la versión ejecutando el comando: “openssl version -a”.
  • En general los sistemas Linux utilizan OpenSSL y por ello pueden estar afectados. Compruébese la version utilizada e información del fabricante. Productos Microsoft y Apple que no utilicen software de terceros no resultan, en principio, afectados.

Sistemas de telefonía VoIP, puntos de venta y sistemas SCADA de control industrial.

Es posible que estos productos utilicen OpenSSL para su función. Compruébese la información proporcionada por el fabricante correspondiente.

Datos, cuentas y otros servicios.
Como efecto colateral, información privada almacenada en sistemas vulnerables de internet puede haberse visto expuesta, entre ellos servicios de correo electrónico, almacenamiento online, redes sociales, etc. Puede consultarse un listado aproximado en el siguiente enlace:

Sitios afectados.

 

  • Paso 1. Alcance e Impacto.

OpenSSL es un producto ampliamente extendido y utilizado por multitud de servicios y aplicaciones.
En primer lugar es necesario identificar los posibles sistemas y servicios afectados, y su grado de compromiso. Consulte la sección: “Recursos Afectados”. Si su sistema es vulnerable, evalúe la importancia de los servicios, el grado de exposición de los mismos y la información comprometida para aplicar las medidas recomendadas a continuación.
Si usted tiene contratados los servicios y su administración o mantenimiento con un tercero, póngase en contacto con su proveedor para solicitar la adopción de las medidas correctoras necesarias en su caso.

 

  • Paso 2. Medidas y mitigación

Actualización de OpenSSL: Aplicar la actualización disponible de OpenSSL a versión 1.0.1g para la release 1.0.1. La release 1.0.2-beta será corregida con la actualización 1.0.2-beta2.
Si no fuese posible ejecutar la actualización, puede deshabilitar la funcionalidad HEARTBEAT, lo que conlleva recompilar los fuentes de OpenSSL con la opción ” -OPENSSL_NO_HEARTBEATS”.
En sistemas Linux es recomendable la actualización a través de las herramientas de actualización del sistema: apt-get update (debian/ubuntu), yum update (RedHat, Fedora,CentOS) y otros manejadores de paquetes para otras distribuciones.
Puede comprobarse la actualización de la versión tras el reinicio, ejecutando el comando: “openssl version -a”.
Reinicio de servicios afectados: Reiniciar los servicios afectados que hagan uso de OpenSSL. Entre ellos se encuentran:
Servicios Web (Apache, Nginx, lighthttpd..)
Servicios de correo electrónico (sendmail, postfix, qmail..)
Servicios de base de datos (mysql, postgres, mariadb..)

 

  • Paso 3. Medidas adicionales. En función de la exposición de los servicios y la sensibilidad de los datos, deben aplicarse las siguientes medidas:

Revocar los certificados SSL expuestos y generar nuevos: Desde la publicación de la vulnerabilidad, hasta la aplicación del parche es posible que un atacante haya podido obtener datos importantes, como la clave privada de los certificados SSL de un sitio. Ello posibilita la suplantación del sitio y compromiso de información privada.
Para revocar un certificado OpenSSL y generar uno nuevo pueden utilizarse las instrucciones y comandos proporcionados por el producto. Estas operaciones sobre certificados y otras necesarias como la generación de claves se encuentran descritas en la documentación oficial de OpenSSL: http://www.openssl.org/docs/apps/ca.html. Recuérdese que es importante generar una nueva clave privada para la renovación de los certificados. Consúltese también sección “Enlaces” para ampliar información y ayuda.
Reseteo de contraseñas: Renovar todas las contraseñas del sistema operativo y de los usuarios que hagan uso de los servicios afectados.

Detalle.

Las versiones de OpenSSL 1.0.1 hasta 1.0.1f tienen un defecto en su implementación de la funcionalidad heartbeat TLS/DTLS (RFC6520).

Esta vulnerabilidad permite a un atacante recuperar contenidos privados de memoria de aplicaciones que hagan uso de la librería OpenSSL afectada.

Los servicios afectados pueden filtar información que incluye certificados digitales, credenciales(usuario/contraseñas) y otros contenidos protegidos. Además, el acceso a contenidos y posiciones de memoria protegidos puede utilizarse para evitar protecciones contra exploits.

El uso de la información extraída por la explotación de esta vulnerabilidad, como por ejemplo, el certificado del servidor, permitiría a un atacante descifrar tráfico o realizar ataques man in the middle en comunicaciones cifradas con OpenSSL.

Se ha reservado el CVE-2014-0160 para la descripción de esta vulnerabilidad.

 

Fu3nt3-0r1g1n4l.

Hacker afirma poder secuestrar un avión utilizando una app de Android .

  • Hacker afirma poder secuestrar un avión utilizando una app de Android .

rip-passwordExperto en informática crea una app para teléfonos inteligentes que permitiría redirigir el tráfico aéreo, mostrando así las vulnerabilidades del sistema de control aeroportuario.
Los hackers informáticos están afinando sus técnicas a tal grado que las incursiones no autorizadas en sistemas están -literalmente- al alcance de la mano. Durante una conferencia de ciberseguridad (Hack in the Box), el experto en sistemas Hugo Teso demostró cómo cualquier persona con básicos conocimientos y las herramientas correctas podría secuestrar un avión desde una localización remota.
Esta aterradora posibilidad está implícita en la naturaleza misma de los sistemas informáticos que utilizan las aerolíneas. Tan básico que asusta: los mensajes que intercambian diariamente los aviones con las estaciones de control se realizan via satelital o por radio, pero sin ningún tipo de cifrado.

Teso demostró que con un sistema de administración aérea (comprado en eBay) y un radio transmisor es posible acceder al sistema de mensajería de las aerolíneas, y desde ahí acceder a los sistemas informáticos que controlan el piloto automático de aviones reales, de manera que podría reprogramar la ruta de la aeronave.
Desde esta sencilla ruta, Teso simplificó el proceso creando una app de Android llamada PlaneSploit. Desde su teléfono inteligente demostró cómo podía redirigir aviones virtuales. Nuevamente el pensamiento hacker, al demostrar las vulnerabilidades de un sistema, ayudan a su fortalecimiento.

Fuente original información .

PayPal quiere deshacerse de las contraseñas en favor de la seguridad biométrica .

  • PayPal quiere deshacerse de las contraseñas en favor de la seguridad biométrica .

rip-passwordMichael Barrett, jefe de seguridad de información de PayPal, dijo que las contraseñas y los PINs son obsoletos y que se necesita un nuevo estándar de seguridad en las computadoras y en internet. Barrett piensa que el siguiente paso son los scanners de huellas digitales y que se estrenarán en los smartphones en algún momento de este año.
En la conferencia de Interop IT, Barrett expresó que “las contraseñas dejarán de usarse este año” e incluso mostró en su presentación la imagen de una lápida que representaba la muerte de las contraseñas. También dijo que las contraseñas “están comenzando a fallar”, y que hay mejores maneras para conectarse más fácilmente y de un modo seguro.
Además de trabajar en PayPal, Barrett es el presidente de FIDO (Fast Identity Online Alliance), una organización que busca cambiar el modo de autenticación online por un estándar abierto que es a la vez seguro y sencillo de usar. Barrett piensa que los escáners de huellas digitales serán una tendencia, e incluso mencionó, como un rumor, que el próximo iPhone estará equipado con uno, así como otros nuevos smartphones.

Las contraseñas pueden ser realmente fáciles de romper, especialmente si la gente usa la misma contraseña para todas sus cuentas, lo que es imperdonable aunque tiene sentido ya que la mayoría de las personas no quiere tomarse el tiempo para recordar 20 contraseñas complejas diferentes. Por estos días, ha estado rondando la idea de la autenticación de dos factores, lo que requiere que los usuarios inicien sesión utilizando una contraseña y confirmando su identidad a través de un dispositivo de hardware, pero esto es algo engorroso.
Barrett piensa que la biometría no es solo conveniente, sino que es mucho más segura que las contraseñas. Sin embargo, también señaló que las contraseñas simplemente no desaparecerán una vez que la biometría sea implementada. Va a llevar un tiempo antes de que un nuevo estándar pueda tomar el control, especialmente considerando que las contraseñas han sido el estándar utilizado por muchos años. Así, mientras podemos ver smartphones con escáners de huellas digitales integrados, podrían pasar varios años antes de que un nuevo estándar de seguridad reemplace a las contraseñas.

Fuente original información .

La Policía Nacional detiene al responsable del mayor ciberataque de denegación de servicio DDOS de la historia .

La Policía Nacional detiene al responsable del mayor ciberataque de denegación de servicio DDOS de la historia .

virusAgentes de la Policía Nacional han detenido en Granollers (Barcelona) al responsable del mayor ciberataque de denegación de servicios DDOS de la historia que colapsó Internet. La perfecta coordinación internacional entre los países afectados fue clave para la investigación que se inició en Holanda debido a una serie de ataques contra una compañía anti-spam, que también afectó a Estados Unidos y Reino Unido.
Los investigadores han llevado a cabo el registro del bunker informático desde donde el ahora arrestado llegó a realizar entrevistas con distintos medios de comunicación internacionales a raíz de estos ataques informáticos. El detenido se desplazaba en una furgoneta que utilizaba como oficina informática móvil por distintos puntos de España.

Un activista holandés fue el organizador .

El pasado mes de marzo las autoridades holandesas facilitaron a los agentes información acerca de una serie de ataques informáticos de denegación de servicio DDOS, que se había iniciado en este país durante esas fechas. Considerado el mayor ciberataque del mundo, colapsó Internet por los intentos de hacerse con el control de los servidores afectados. Una vez iniciada la investigación policial, los agentes pudieron atribuir la responsabilidad de los mismos al grupo “stophaus” cuyo organizador, un activista holandés, se encontraba residiendo en España.

El ataque DDOS provoca una sobrecarga de los recursos del sistema informático hasta que la red se ralentiza por los accesos masivos a la misma. Los intentos por recuperar el control por parte de los servidores asaltados y los ataques de los ciberactivistas provocaron tal ocupación de la red que ésta se vio afectada a nivel mundial.

Diferentes antenas para escanear frecuencias .

Una vez recibido el aviso por parte de las autoridades de los Países Bajos, los policías establecieron un dispositivo que permitió la localización del principal investigado en la localidad de Granollers (Barcelona). Si bien se constató que anteriormente había estado viajando por distintos puntos de la geografía española, desplazándose en una furgoneta que utilizaba como oficina informática móvil, dotada de diferentes antenas para escanear frecuencias. Igualmente se tenía conocimiento que en su domicilio disponía numerosos equipos informáticos habiéndolo establecido como su centro de comunicaciones.
Finalmente el pasado día 25 y a petición de las autoridades judiciales de los Países Bajos, los agentes dieron cumplimiento a una orden europea de detención, además de la entrada y registro en el domicilio del investigado, un auténtico bunker informático, desde donde incluso llegó a realizar entrevistas con distintos medios de comunicación de carácter internacional a raíz de estos ataques informáticos.

Durante su detención, el arrestado, un individuo de 35 años nacido en Alkmaar (Holanda), decía ser diplomático y concretamente Ministro de Telecomunicaciones y Asuntos Exteriores de la República del Cyberbunker. Además en el registro de su vivienda han sido intervenidos dos ordenadores portátiles y documentación diversa relativa a su actividad delictiva.
Cabe destacar la importante colaboración internacional desarrollada entre las brigadas de delincuencia tecnológica de los países partícipes, contando incluso con la presencia y el apoyo de policías holandeses durante la práctica de la entrada y registro. Por otro lado, también ha habido un intercambio fluido de información de manera bilateral que ha permitido tener localizado y controlado en todo momento al sospecho.
La operación ha sido llevada a cabo por la Brigada de Investigación Tecnológica (UDEF Central) perteneciente a la Comisaría General de Policía Judicial, en colaboración con la Jefatura Superior de Policía de Cataluña. Asimismo han participado a nivel internacional las policías de Holanda, Alemania, Reino Unido y Estados Unidos.