sábado, 28 de julio de 2012

Backtrack 5 Tutorial / Curso en Español


Tutorial, gracias a p0pc0rninj4 usuario de nuestra comunidad, me entero de una iniciativa de la OMHE (Organización Mexicana de Hackers Éticos) dirigida por Héctor López en la que pretenden documentar las funcionalidades del nuevo 5 en español y por medio de video tutoriales.

, los video tutoriales son bastante claros y muy introductorios para quienes desean aprender a manejar esta excelente distribución enfocada en la seguridad informática.
De momento se han publicado algunos Backtrack 5 Tutorial, video tutoriales del Curso Backtrack 5 Online en español, mostrando las herramientas, algunos conceptos básicos y con cada actualización el nivel se irá incrementando.



En este capítulo 1 de Backtrack 5 Tutorial veremos:
 
En este capítulo 2 de Backtrack 5 Tutorial veremos:
  • Linux Networking (ifconfig,dhclient,arp,route)
  • Whois, DNS,Zenmap (Obtener objetivos)
  • Google Hacking
  • Wireshark para puertos conocidos (80,21,22,23,443)
 
En este capítulo 3 de Backtrack 5 Tutorial veremos:
  • Wireshark para puertos conocidos (80,21,22,23,443)
  • NMap varios. -sS -Pn
 
En este capítulo 4 de Backtrack 5 Tutorial veremos:
  • IP’s y puertos
  • Sockets
  • Netcat
  • Cryptcat
  • Ncat
 
En este capítulo 5 de Backtrack 5 Tutorial veremos:
  • Exploit
  • Payload
  • Shell
  • Metasploit
  • Metasploitable
 
En este capítulo 6 de Backtrack 5 Tutorial veremos:
  • Defensa
  • Buscador de rootkits
  • Malware Tricks
 
En este capítulo 7 de Backtrack 5 Tutorial veremos:
  • Malware
  • Trojans
  • Bind & Reverse
  • Procesos y Memoria
  • Rootkit DEMO
 
 En este capítulo 8 de Backtrack 5 Tutorial veremos:
  • SET
  • Reverse Meterpreter
  • Bypass Antivirus
  • Invisibilidad de un backdoor
 
En este capítulo 9 de Backtrack 5 Tutorial veremos:
  • Evilgrade
  • Dual ARP spoofing, el truco .sh
  • Whireshark analisis de DNS

Tan pronto publiquen nuevos Backtrack 5 Tutorial, actualizaré esta entrada.

Mas Información de los Backtrack 5 Tutorial:

Anuncio de p0pc0rninj4 en nuestra comunidad
Anuncio en la pagina de la OMHE

Fuente: www.Dragonjar.org

domingo, 22 de julio de 2012

Encontrar servidores DNS con registros PTR usando Robtex

 Para hacer una prueba necesitaba encontrar un servidor DNS que tuviera configurados los registros PTR de un segmento de red. Localizar uno de estos servidores no suele ser siempre fácil, ya que los registros PTR a veces los mantiene el Primary Name Server - y este es interno - o directamente no están publicados en Internet, o puede que ni estén configurados.

Estos registros no son localizables con el esquema normal del  servicio DNS, es decir, no es tan fácil como poner una consulta PTR a un servidor DNS con la dirección IP que te interesa y que te devuelva el nombre que es apuntando por ella. Esto obliga que haya que localizar qué servidor mantiene un conjunto de ellos y hacer las preguntas de las direcciones IP adecuadas.
Como tenía prisa por encontrar un servidor DNS con registros PTR, se me ocurrió que podía utilizar el truco de buscar servidores temáticos con Robtex, pero en lugar de buscar por un rol de DNS, que seguro que me salían mucho, buscando por servidores indexados, en cuyo nombre apareciera la famosa cadena de las zonas inversas in-addr.arpa.
Figura 1: Buscando en Robtex por servidores con in-addr.arpa en el nombre
Como podéis ver, hay algo más de 800.000 registros con estos datos, lo que seguro que me daba alguno con los PTR configurados. Elegí uno al azar, y seleccionando la vista DNS de ese registro se puede ver cuáles son los servidores que mantienen a esa dirección IP, por lo que me llevaría con alto grado de probabilidad a un server manteniendo una zona arpa. Para tener más éxito busqué el Primary Name Server del dominio en el registro SOA, y me conecté a él ya que estaba publicado en Internet.
Figura 2: Vista DNS Information en Robtex
Así que nada, conexión al server, selección de registros PTR, y una consulta a localhost PTR para probar a ver si tocaba la flauta. Et voilá. Ahí tenemos un PTR curioso.
Figura 3: Registro PTR de localhost en este servidor DNS

Para comprobar que este servidor mantiene la zona in-addr.arpa, basta con hacer un escaneo de PTR manual de algunas direcciones del segmento, para poder descubrir algunos registros.

Figura 4: Respuesta a 64.65.233.1

Figura 5: Respuesta a 64.65.233.3

Es una forma rápida que se me ocurrió para encontrar servidores DNS con registros PTR, por si alguna vez os viene bien la idea.
Saludos Malignos!
Fuente: http://www.elladodelmal.com/

Haciendo pruebas de caídas y de inmersión en agua Google Nexus 7 contra nuevo iPad



 

Sé que muchos de nosotros no podemos concebir la idea de que los dispositivos tecnológicos sean puestos a pruebas muy duras para conocer la resistencia que tienen ante las caídas, golpes y hasta sumersiones en el agua. Sin embargo, pienso que igual nos gusta ver los videos en los que se puede apreciar qué tan resistentes son esos productos.Por ejemplo, en este caso les voy a presentar un video hecho por los chicos de SquareTrade, en el que ponen a prueba la resistencia de un iPad y la Nexus 7, la tablet de Google que recientemente ha sido estrenada en el mercado. Las pruebas que les realizaron a las tablets fueron las siguientes: caídas desde las manos de una persona parada, empujadas desde un banquillo para simular las caídas desde una mesa, y la más interesante de todas, que fue la de hundirlas en el agua. Si quieren saber cuál de estas dos tablets ganó, tienen que ver el video.
Pero, antes de eso, les adelanto que, en la prueba del agua, la Nexus 7 tuvo un desempeño normal después de ser sumergida. Es decir, esta tablet siguió operativa en el caso de su pantalla táctil, el audio y la imagen. Mientras tanto, el iPad también continuó funcionando, aunque, al parecer, así como muchos de ustedes propietarios de una tablet de Apple, se quedó sin voz debido a la impresión de verse bajo el agua.


Fuente: http://tecnologia21.com/61445/ipad-v...sistencia-agua

Kim Dotcom (el creador de MegaUpload) vuelve

Kim Dotcom, el fundador de MegaUpload, vuelve con más fuerza que nunca abriendo su propia web: www.kim.com y dedicándole la canción "Mr. President" a Barack Obama. Ya cuenta con más de 100.000 seguidores en Twitter (www.twitter.com/kimdotcom) para combatir el injusto cierre de MegaUpload. Si apoyas la lucha contra el cierre de MegaUpload únete a la causa! y sigue a Kim Dotcom en Twitter. Publica constantemente noticias sobre la vuelta de MegaBox y MegaUpload, entrevistas y noticias referentes al tema.

Fuente

viernes, 20 de julio de 2012

Regístrate en Wordpress y evalúa su seguridad

Cuando hacemos una auditoría de seguridad a una web o a una aplicación móvil, una de las cosas que hacemos es mirar los paneles de login para evaluar si es vulnerable a ataques de fuerza bruta, a ataques al sistema de recuperación de contraseñas o si es posible saltarse el proceso de verificación, por supuesto.
En algunos entornos en los que el sistema es multi-usuario por naturaleza, el crearse un usuario es obligatorio, para ver qué opciones se pueden configurar por defecto, o si aparecen algunas aplicaciones más que se pueda atacar. En el caso de sistemas de blogs o herramientas comunitarias, los hombres que practica las técnicas de Black SEO aprovechan para crearse perfiles falsos y promocionar sus famosas pastillas de colores.

Figura 1: Un registro de usuario en Moodle como un anuncio de Viagra
En los sistemas WordPress, a día de hoy se pueden configurar múltiples sistemas de autenticación de usuarios, pudiendo usar Twitter, Facebook, OpenID, OAuth, etc... para crear una lista de usuarios autenticados de la plataforma, pero también te puedes registrar desde el panel login si está habilitada la opción.

Figura 2: Opción de registro en WordPress habilitada
Una vez dentro, cuando llegas al Dashboard del usuario, a veces solo puedes ver algo de información, como la versión de la plataforma, pero en otros puedes encontrarte con plugins que permiten visualizar muchas opciones del sistema, como por ejemplo conocer todas las estadísticas del sitio.

Figura 3: Dashboard de un usuario registrado de WordPress

Por supuesto ese usuario que te creas no suele ser muy privilegiado, pero en otros casos se llega a poder crear posts en los blogs, o si el sitio tiene un módulo de publicación de perfiles, crear páginas con enlaces masivos para generar tráfico, hundir el pagerank del blog hackeado, o preparar ataques a aquellos usuarios que visiten esos perfiles.

No hay registro de usuarios

Si el sitio no permite el registro de usuarios, entonces la única forma que tienes de entrar dentro es atacando la password de algún usuario que exista. Si los artículos del blog están firmados por el autor, entonces podrás sacar la lista de algún usuario e intentar romper la password con un diccionario, pero quizá la forma más sencilla sea otra.

Utilizando las llamadas ?author=id en los sitios con WordPress, podrás acceder al archivo de publicaciones de un determinado autor. Normalmente el author=1 es el primer usuario que se ha creado en un sitio, y te llevará a ver su nombre en la URL. Este, por supuesto suele ser un usuario jugoso.
Figura 4: Author=1 redirige a author/admin
Haciendo un escaneo de valores de id, por ejemplo usando WPScan con la opción enumerate, es posible encontrar muchos usuarios del sistema. Una vez que tengas una buena lista, piensa una contraseña a la que algún usuario no podría resistirte y prueba en la parte de login, a ver si hay suerte.
Otra alternativa es la de utilizar ?author_name=nombre, y probar un diccionario, evaluando las respuestas vas a saber si el usuario existe y publica, si el usuario existe pero no ha publicado, o si el usuario no existe.
Figura 5: El usuario admin existe y muestra su archivo
Figura 6: El usuario chema existe, pero como no puede publicar no hay archivo
Figura 7: El usuario aaa no existe

Por supuesto, si el sitio con WordPress está fortificado y los errores controlados esto no va a ser tan sencillo siempre, pero... así es nuestro trabajo, tocar muchas puertas para ver cuál está mal cerrada. Si te encuentras una URL con wp-content, busca wp-admin y haz estas pruebas. Si tienes un WordPress, asegúrate de que todos tus usuarios tengan buenas passwords y de evitar el registro de indeseables si no te interesa que vean nada.
Saludos Malignos!
Fuente: http://www.elladodelmal.com/

sábado, 14 de julio de 2012

se ha convertido en una distribución de culto para los profesionales de la seguridad informática, cada versión que nos regalan sus desarrolladores es esperada con ansias por una comunidad cada vez mas grande de interesados por la seguridad de la información y la historia se repite con cada nueva entrega.

BT5R2 BackTrack 5 R2

Despues de su gran renovación con BackTrack 5 R1, que fue muy bien recibido por la comunidad, llega la primera revision de esta distribución, en la cual han reparado bastantes errores, se han añadido nuevas herramientas, han actualizado otras y actualizaron su kernel a la version 3.2.6.

Podemos descargarnos esta nueva version de BackTrack en los siguientes sabores XD!:

GNOME

KDE

  • Curiosamente tampoco para esta revision 2 no han publicado un Backtrack que corra sobre ARM
Para mas información:
Anuncio Oficial de Offensive Security

    Actualizando a Backtrack 5 R2 (CASO II)

    El tan esperado lanzamiento del kernel R2 BackTrack 5 ha llegado, y ahora se encuentra disponible en los repositorios de Backtrack-Linux. Con un flameante kernel 3.2.6, una grán cantidad de nuevas y actualizadas herramientas y parches de seguridad, BT5 R2 proporciona un entorno de pruebas de penetración más estable y más completo que nunca.

    Backtrack-Linux iniciará una serie de publicaciones en su blog acerca de cómo actualizar, lidiar con VMWare e incluso construir una actualización BT5 R2 por nuestros propios medios. Por ahora, aquí está cómo obtener el nuevo kernel y todos los beneficios de esta actualización:

    1. Actualizando y mejorando nuestra instalación BT5 (R1):

    1
    2
    3
    apt-get update
    apt-get dist-upgrade
    reboot

    Una vez hecho esto, ya debemos tener el nuevo kernel instalado, así como las últimas actualizaciones para la versión oficial R2. Es necesario reiniciar el sistema para que arranque el kernel 3.2.6.


    2. OPCIONAL – Una vez reiniciado el sistema, ingresamos de nuevo para restaurar la pantalla de arranque (splash screen).

    1
    2
    fix-splash
    reboot

    En el siguiente reinicio, veremos aparecer la consola roja de la pantalla de arranque.


    3. Verificar que estamos corriendo el kernel 3.2.6:

    1
    uname -a

    Debemos ver algo como “Linux bt 3.2.6 …”


    4. Somos libres para instalar cualquiera de las nuevas herramientas que vienen incluidas en BackTrack 5 R2:

    1
    apt-get install pipal findmyhash metasploit joomscan hashcat-gui golismero easy-creds pyrit sqlsus vega libhijack tlssled hash-identifier wol-e dirb reaver wce sslyze magictree nipper-ng rec-studio hotpatch xspy arduino rebind horst watobo patator thc-ssl-dos redfang findmyhash killerbee goofile bt-audit bluelog extundelete se-toolkit casefile sucrack dpscan dnschef


    5. Añadir el nuevo repositorio de actualizaciones de seguridad en /etc/apt/sources.list, y ejecutar otra actualización.

    1
    2
    3
    echo "deb http://updates.repository.backtrack-linux.org revolution main microverse non-free testing" >> /etc/apt/sources.list
    apt-get update
    apt-get dist-upgrade

    Durante la última actualización se nos preguntará sobre actualizaciones de revisión de archivos. Nos aseguramos de mantener siempre el archivo de instalación local. Podemos pulsar la tecla "Enter" y aceptar todos los valores predeterminados.
















    6. Algunos de los servicios recién instalados se configurarán para iniciar en el arranque. Podremos desactivarlos si es necesario:

    1
    2
    3
    4
    5
    6
    7
    /etc/init.d/apache2 stop
    /etc/init.d/cups stop
    /etc/init.d/winbind stop
    update-rc.d -f cups remove
    update-rc.d -f apache2 remove
    update-rc.d -f winbind remove


    Y con esto ya habremos terminado! Estaremos a la expectativa de una introducción a BT5 R2 más completa el día de su publicación oficial el próximo 1 de marzo! Los ISOS de BackTrack 5 R2 estarán disponibles para la descarga desde el sitio web de Backtrack-Linux el 1 de mayo, únicamente a través de Torrents. Los enlaces HTTP se añadirán a los pocos días.
    Fuente: http://hacknode.blogspot.com

    101 Libros de Seguridad Informática Gratis



    ACTUALIZADO 13/07/2012:

    Se confirma la llegada de un nuevo libro de este servicio, esta vez se trata de network security hacks de Andrew Lockhart…

    NetworkSecurityHack 101 Libros de Seguridad Informática Gratis
    Si has ganado ya tu libro con esta iniciativa, envíanos un correo a DragonJAR en gmail para que publiquemos una foto y motivemos a mas personas a unirse…
    ACTUALIZADO 28/01/2012:
    Confirmada la llegada de un nuevo libro, esta vez el afortunado es Javier Quarite quien después de mucho esperar por fin tiene en sus manos la copia de el libro escrito por Fyodor sobre su herramienta estrella Nmap.
    Ganador Libro 101 Libros de Seguridad Informática Gratis
    Si has ganado ya tu libro con esta iniciativa, envíanos un correo a DragonJAR en gmail para que publiquemos una foto y motivemos a mas personas a unirse…
    ACTUALIZADO 28/10/2011:
    Confirmamos la llegada de un nuevo libro, esta vez se trata de Network and System Security de la excelente editorial Sysgress, no duden de la efectividad de la pagina, pueden ser uno de los 101 ganadores mensuales…
    Libro1 101 Libros de Seguridad Informática GratisACTUALIZADO 1/09/2011:
    Confirmamos 2 nuevos ganador gracias a este anuncio de la comunidad, los afortunados son el español Alberto Cuesta quien ha salido premiado en el sorteo de este mes y elArgentino Carlos Garay quienes esperan su premio, tan pronto lleguen publicaremos una foto de los .
    ACTUALIZADO 30/07/2011:
    Actualizado para confirmar que se puede ganar varias veces con este portal, acabo de recibir un segundo libro titulado “ecommerce best practices” que utilizare para un proyecto que tengo en desarrollo.
    ecommerce 101 Libros de Seguridad Informática Gratis
    ACTUALIZADO 3/06/2011:
    Actualizado para felicitar a los nuevos ganadores de la Comunidad DragonJAR que han confirmado la llegada de su libro
    • Danko (quien lo recibió en Febrero)
    • Leonardo Díaz (quien lo recibió en Marzo)
    • Mario (quien primero no sabia que hacer pero recibió su libro en Abril)
    • patoxkiller
    • VaCi0
    • NovaTux (quien con un solo tíquet gano este mes)
    Como pueden ver no son pocos los ganadores de libros gracias a esta entrada… y tu… ¿vas a dejar pasar la oportunidad?…
    ACTUALIZADO 11/03/2011:
    Ya me llegó uno de los libros que había seleccionado para recibir , así que confirmo la validez de la pagina y el envío gratuito hasta Colombia.
    Libro 101 Libros de Seguridad Informática Gratis
    ACTUALIZADO 1/02/2011:
    Acabo de recibir el siguiente correo donde me confirman como uno de los 101 ganadores del mes de enero..
    Gane1 101 Libros de Seguridad Informática Gratis
    Tan pronto tenga en mis manos el libro actualizare la entrada..
    Puede parecer un titulo típico de tantos fraudes que circulan por la red, pero lo que dice es la pura verdad, y 101freetechbooks.com lo hace posible.
    freetechbookslogo2 101 Libros de Seguridad Informática Gratis
    101freetechbooks.com es un sitio web que rifa mensualmente 101 libros TECNICOS entre sus usuarios, totalmente gratis (incluso el envío sin importar tu país) y sin trampa, lo mejor de todo es que no son libros viejos o de poco interés para nosotros, son los libros que nosotros mismos escojamos de su lista con mas de 2500 ejemplares, donde destaca por supuesto la categoría de “Network Security” con 22 ejemplares entre los que podemos encontrar:
    LibrosGratis 101 Libros de Seguridad Informática Gratis
    Para concursar en el sorteo mensual de 101 libros técnicos , solo debemos:
    1. Registrarse en la página.
    2. Escoger los libros que queremos ganar.
    3. Crear un lista de favoritos. Pueden agregar cuántos libros deseen en la lista de favoritos. Si resultan ganadores del mes pueden reclamar cualquier libro de esa lista.
    4. Esperar a fin de mes para el sorteo. Después de eso deberán ingresar a la página al menos una vez al mes para actualizar la lista de favoritos y concursar en ese mes.
    5. Pueden aumentar sus chances de ganar refiriendo la página a sus conocidos. Mientras más gente inviten, más probabilidades tienen de ganar.
    No solo se pueden limitar a textos de , también hay de programación, de sistemas operativos, navegar por sus categorías es una tentación, existen varios testimonios reales para los mas incrédulos, pero su negocio esta bien fundamentado con la publicidad y los patrocinios, no creas que esta gente pierde su dinero icon wink 101 Libros de Seguridad Informática Gratis .

    Fuente: www.Dragonjar.org

    Cómo conseguir la IP de tus contactos de Windows Live Messenger


    Buenas, en muchos sitios se dice cómo es posible obtener la IP de un contacto de Messenger enviándole un fichero y mirando con netstat las conexiones.
    Aquí voy a mostrar cómo es posible hacerlo sin enviar ningún fichero. Y obtener no solo la IP pública sino también las IPs internas de sus adaptadores de red. Se hará de forma manual, usando netstat, después usando Wireshark y por último expondré un programa que he realizado que automáticamente muestra las IPs de los contactos según se van obteniendo.
    Lo primero que debemos saber es cómo funciona Messenger por encima. La autenticación la realiza conectándose a los servidores de Microsoft vía SSL. Una vez autenticado todas las conversaciones pasan por los servidores de Microsoft sin ningún tipo de cifrado (así que cuidado con utilizar Messenger en redes inseguras).
    Un tema aparte es como se envían entre los contactos ficheros, imágenes, avatares y emoticonos. Para ello Messenger utiliza un protocolo p2p. Así que cuando un contacto solicita por ejemplo nuestro avatar se inicia una negociación entre nosotros y el contacto para ver cómo es posible realizar la conexión. En este punto ambas partes se intercambian las IPs internas y externas, puertos, tipo de conexión, si usamos NAT, UPnP, etc…
    En en este punto a donde podemos aprovecharnos para saber la IP del otro contacto.


    Con netstat

    La opción más fácil es utilizar netstat para monitorizar las conexiones y ver las nuevas conexiones que realiza el proceso del Messenger. Vamos a ello. Todo desde la consola.
    El proceso encargado de las comunicaciones de Messenger es wlcomm.exe. Así que obtenemos su PID:
    tasklist | find "wlcomm.exe"
    Ahora con el PID podemos filtrar la salida de netstat para quedarnos solo con las conexiones que realiza dicho proceso(requiere permisos de administrador):
    netstat -nabo | find "PID_ENCONTRADO"
    image
    Ahora en este punto iniciamos una conversación con el contacto del que nos interesa saber la IP y le enviamos un emoticono personalizado, para no levantar sospechas lo mejor es un emoticono transparente o blanco. Se iniciará la negociación entre los dos clientes y se iniciará la conexión. Volvemos a lanzar el comando anterior y veremos una nueva conexión de nuestro contacto.
    image


    Con Wireshark

    Vamos a filtrar los paquetes obtenidos por Wireshark para quedarnos con aquellos donde se realiza la negociación entre dos contactos. De ahí cogeremos la IP externa y las internas.
    Wireshark ofrece el filtro “msnms” para quedarnos con los paquetes del procolo de Messenger.
    image
    Mirando paquete a paquete en uno de ellos encontraremos algo así:
    image
    Fijaos en estas cadenas:
    “srddA-lanretxE4vPI” Dando la vuelta a la cadena: IPv4External-Addrs
    “srddA-lanretnI4vPI” –> IPv4External-Addrs
    En esos campos se muestran las IPs y puertos donde se debe realizar la conexión. Claro que hay que darles la vuelta. Mirando el campo “From:” sabremos de que contacto es la IP.
    Ir mirando los paquetes uno a uno buscando estos campos no parece muy divertido. Es mas cómodo hacer un filtro que busque en todo el paquete la cadena “srddA-lanretxE4vPI” o “stroPdnAsrddAlanretxE4vPI” (que es otra de las formas en las que aparece).
    Este es el filtro que se queda con los paquetes que nos interesan:
    frame[0:] contains 73:74:72:6f:50:64:6e:41:73:72:64:64:41:6c:61:6e:72:65:
    74:78:45:34:76:50:49:3a:20:36:34:37:33:3a:31:39:2e:35:30:31:2e:39:34:2e:35:
    38:0d:0a or frame[0:] contains 73:72:64:64:41:2d:6c:61:6e:72:65:74:78:45:34:
    76:50:49
    image


    Con mi programa “GetMSNIPs”

    Usando Wireshark con el filtro se pueden obtener las IPs de una manera bastante cómoda. Pero me apetecía hacerlo un poco mas sencillo y ya de paso programar algo usando WinPcap.
    El resultado es este programa que ahora expongo, le he llamado GetMSNIPs, me encantan los nombres originales. No pongo el código aquí que son 300 líneas.
    GetMSNIPs: Source y binario.
    Una captura de cómo funciona:
    image
    Modo de uso:
    1. Si no tiene instalado WinPcap, instálelo!.
    2. Arranque “GetMSNIPs” y seleccione la interfaz con la que se conecta a internet.
    3. Inicie Windows Live Messenger y cámbiese de avatar, utilice uno que no haya usado antes (así sus contactos no lo tendrán y se iniciará una conexión P2P para su envío).
    4. Espere un tiempo ó inicie conversaciones con sus contactos para forzar a que carguen su avatar y capturar así su IP.

    Así que ya sabéis, si usáis Windows Live Messenger estas diciendo a tus contactos tu dirección IP. No es un gran problema, pero está bien saberlo.
    Saludos!

    Fuente: http://el-blog-de-thor.blogspot.com

    El fallo de Plesk y la rentabilidad del negocio


    Figura 1: El spam con el phishing al BBVA

    El miércoles pasado en Una al día alertaban de un fallo en Plesk, un panel de control muy utilizado en servidores de hosting, que permitía obtener las credenciales y acceso a los servidores en Internet. Como cualquier fallo que permite tener control de un servidor, decía la noticia que se estaba utilizando para distribuir malware y que se habían detectado 50.000 sitios con Plesk afectados según Sucuri Malware Labs.


    Ese mismo día, mi hermano me pasó un correo electrónico de phishing al BBVA, para que le echara un ojo. El correo, como podéis ver arriba es de lo más normal, y cuando hacías clic - los equipos de seguridad que se encargan de velar por la seguridad del BBVA ya se han encargado de que esto no siga estando activo - entrabas en una página al uso de phishing.

    Figura 2: El sitio de Phishing al BBVA

    En otros casos, la parte de login suele exigir las restricciones mínimas de seguridad que exige el banco de turno, es decir, la longitud mínima, o la complejidad necesaria, para validar el login, pero en esta ocasión parece que iban con prisas y no querían perder más tiempo, así que con cualquier nombre de usuario y contraseña se podría entrar en la "zona privada" del usuario.

    Una vez allí, la página enlazaba páginas reales del banco, lo que podría ser bueno para el banco, ya que el que se enlacen esos links podría permitir a un sistema IDSdetectar phishing simplemente usando expresiones regulares sobre los camposHTTP-Referer. Esto es así porque los nombres de los dominios usados en esquemas de phishing que se utilizan suelen intentar engañar al usuario con ingeniería social.

    Figura 3: El sitio de Phishing mezclando contenido del sitio original

    ¿Cuál sería el exploit utilizado para este caso? Normalmente son exploits conocidos, o fallos garrafales en servidores, donde incluso es común poder encontrar listados de directorios abiertos, etc... En esta ocasión, al buscar medio segundo parecía que la respuesta era evidente.

    Figura 4: El servidor de Plesk

    Sin embargo, desde el propio artículo de seguridad sobre este caso en Plesk dicen - según la actualización del mismo de ayer -  que todos los servidores vulnerados a los que han tenido acceso lo habían sido por vulnerabilidades ya conocidas y solucionadas no aplicadas por los sistemas afectados.

    En cualquier caso, esto me generó dos reflexiones. La primera es que parece mentira que vulnerabilidadades conocidas y parchadas no sean aplicadas por los administradores de servicios de este tipo en Internet. Esto se lo pone muy sencillo alnegocio sostenible del fraude online. La segunda, reflexión es que la ocasión la pintan calva, es decir, mientras que se sabe si hay una vulnerabilidad o no en los paneles, los que saben cómo sacar provecho de estos fallos no están dejando negocio sin explotar, malwarephishing... y lo que se tercie, que estamos para ganar dinero.

    Saludos Malignos!

    Fuente: http://www.elladodelmal.com/

    Exdirectivo de Windows Phone se une a Amazon... y se desatan los rumores



    Esta sí que es buena. Como bien sabes, Amazon está en el ojo el huracán porque se rumorea que está preparando el lanzamiento de un smartphone, y como podrás suponer, la industria está conteniendo el aliento ante la perspectiva. Así las cosas, hoy hemos sabido que el hasta ahora director de desarrollo de negocio de Windows Phone, Robert Williams, ha decidido dar un nuevo rumbo a su vida y acabar trabajando con el equipo de Jeff Bezos. Y nos hemos enterado de todo por su perfil en LinkedIn. Lo mejor del asunto, es que no es el primero que da este paso: le precedió Brandon Watson, compañero de faenas en Microsoft, en la aventura. Por descontado, este fichaje puede entenderse como un movimiento más para potenciar la tienda de aplicaciones de Amazon o bien podría ser un paso más en la dirección del rumoreado smartphone. ¿Te atreves a apostar?

    Fuente : Engadget

    Hackers Robaron 450.000 Cuentas de Yahoo y Las Publicaron en Internet



    Un grupo de piratas informáticos previamente desconocido colgó en Internet detalles de 450.000 cuentas de correo y claves que afirma robaron de un servidor de Yahoo.


    La web de noticias tecnológicas Ars Technica informó de que el grupo, que se autodenomina d33ds Company, pirateó un subdominio no identificado de la web de Yahoo donde obtuvieron detalles encriptados de cuentas.


    Un portavoz de Yahoo en Singapur declinó hacer comentarios sobre el tema.


    Las cuentas afectadas parecían pertenecer a un servicio de protocolo de voz en Internet, o Voip, llamado Yahoo Voices, que gestiona la mensajería instantánea de Yahoo. El servicio Voices lo facilita Jajah, una plataforma Voip que fue comprada por Telefonica Europe BV en 2010.


    La web de los hackers donde se reivindicó la acción en un primer momento, d33ds.co, no estaba disponible este jueves.


    La web de la industria Cnet citó a los hackers diciendo que su acción era "una llamada de atención y no una amenaza" y que la seguridad de Yahoo era laxa.


    La piratería a Voices es una de las que se sucedieron estos meses. La red social empresarial LinkedIn admitió el mes pasado que les habían robado más de 6,4 millones de contraseñas de su web.


    Fuente :  El Colombiano + BBC


    CHEKA SI TU CORREO HA SIDO HACKEADO (oJO: ES CONFIABLE; No a la paranoia que ya tengo mucho por este día sobre ese tema -.-!, asi es que trankilos "(probado con whois y pretesting)"...) : http://labs.sucuri.net/?yahooleak