/*codigo slider*\

viernes, 20 de diciembre de 2013

Web application firewall: Cómo proteger su aplicación web con ModSecurity

Web application firewall: Cómo proteger su aplicación web con ModSecurity


La implementación de firewalls es una práctica de seguridad recurrente utilizada en entornos corporativos. A la hora de evaluar la protección de aplicaciones web surge lo que se conoce como WAF o Web Application Firewalls. La importancia de contar con este tipo de protección sobre aplicaciones críticas es lo que analizaremos en esta publicación.
¿Qué es un Web Application Firewall?
Los WAF son un tipo de firewall que se utilizan para controlar el acceso a una aplicación o servicio web. A diferencia de un firewall tradicional, un IPS o IDS, la ventaja de un WAF es que opera sobre la capa de aplicación (capa 7 del modelo OSI), por lo que es posible considerar algunos tipos de protecciones más allá de las tradicionales con los dispositivos mencionados.
¿En que entornos es posible utilizar un WAF?
Durante el desarrollo de una aplicación web suelen detectarse vulnerabilidades. Muchas de ellas residen sobre alguna funcionalidad en particular. Según la criticidad del caso, en algunas circunstancias no es posible mitigarlas de forma inmediata debido a que requiere rediseñar la propia aplicación. En otros casos, la criticidad de la información y las tareas que realiza la aplicación web, no permite realizar los cambios necesarios para mitigar las vulnerabilidades detectadas.
En esta instancia, se suele utilizar un WAF. De esta manera, es posible configurar la regla necesaria para que la vulnerabilidad no pueda ser explotada. Esto permite solventarlas hasta que se solucione a nivel de diseño.
ModSecurity
Uno de los firewalls de aplicaciones web más utilizados para protección de servidores web esModSecurity. Este firewall es Open Source y funciona a través de reglas que se especifican en diferentes archivos de configuración. Las reglas constan de tres parámetros:
Secrules VARIABLES OPERADORES ACCIONES
Sobre VARIABLES se especifica cuáles son los parámetros de la aplicación web que se controlarán. En el campo OPERADORES se define la regla. En este caso, suele utilizarse expresiones regulares que comprendan aquellas peticiones que se deseen filtrar. Finalmente, en el campo ACCIONES se definen qué medidas se tomarán en el caso de que se cumpla la condición.
Por lo tanto, el funcionamiento de ModSecurity puede resumirse en la siguiente imagen:
Diagrama de funcionamiento de ModSecurity
Asimismo, esta herramienta contiene algunas reglas precargadas que permiten habilitar de forma rápida la protección contra ataques comunes como Inyección SQLXSS u otros ataques derivados a partir de la entrada de cadenas de texto especiales.
Reglas de Inyección SQL
Este tipo de medidas ayudan a elaborar un plan de acción preventiva, de forma tal de poder elevar el nivel de seguridad de la empresa antes de que un posible ataque ocurra. Este tipo de herramientas permiten disminuir el tiempo de reacción antes de que se solucionen las vulnerabilidades a nivel de diseño.
En futuras ediciones profundizaremos sobre otras funcionalidades de las que dispone estefirewall para aplicaciones web y analizaremos diferentes tipos de configuraciones de reglas según la necesidad de la compañía.
Fernando Catoira
Analista de Seguridad

martes, 12 de noviembre de 2013

Código & Tutoriales para Principiantes: [Tutorial] Sensitive Buster: Escanear un sitio web...

[Tutorial] Sensitive Buster: Escanear un sitio web para encontrar (Admin panel, backups, archivos y directorios)

Hola :3
Navegando en el internet me encontré con esta herramienta y quise compartirla contigo,

Información
Lo que caracteriza a esta herramienta es escanear determinado Sitio Web y encontrar desdepaneles de administración hasta backups del sitio, esta desarrollado en el lenguajePython así que puedes usar tango Windows, como Linux o incluso Mac, yo usaré ubuntu 13.10 pero tu puedes usar el sistema operativo que prefieras.
Dicha herramienta lleva por nombre "Sensitive Buster", la herramienta es de código abierto por lo que puedes editarlo para adaptarlo a tus necesidades.

¿Cómo Usarlo?
Sensitive Buster es de lo más sencillo de manejar, se divide en 5 módulos (admin, backup, dir, files, shell), empecemos.

Paso 1
Descargar Sensitive Buster y descomprimirlo

Paso 2
Abrir una nueva terminal y dirigirnos al directorio donde se descomprimió, en mi caso lo descomprimí en:
windows:
cd C:/Sensitive_Buster/
linux:
cd Documentos/Sensitive_Buster

Paso 3
La sintaxis del comando es python sensitivebuster.py "" -m , de esta manera.
Mi objetivo sera hacia mi misma PC
~# python sensitivebuster.py "http://localhost/" -m shell
Comenzará a escanear la web y arrojará algo parecido a esto:
Cuando termine el proceso se guardaran los resultados en un archivo similar ahttp:localhost.txt en la carpeta raíz.

Paso 4
Así cuando finalmente termine podrás iniciar búsqueda con otros de los módulos ya mencionados, ¡Y eso es todo!
Espero le puedas dar un uso con provecho, repito "El conocimiento es libre".


Descarga de los materiales
Sensitive Buster (Descargar)
Ubuntu [Linux] (Descargar)
Python [No es necesario descargarlo en linux] (Descargar)

martes, 24 de septiembre de 2013

Listado de herramientas forenses

Listado de herramientas forenses


Suelo hacer habitualmente un post sobre herramientas forenses para no olvidarme de donde descargo muchas de las herramientas que utilizo. Muchas ya están en esta presentación en slideshare, pero en esta ocasión he incluido algunas nuevas y otras actualizadas. Esta lista es producto de recopilación de muchos meses y quiero compartirlas con todos. Espero que os pueda ser de utilidad.

ADQUISICIÓN Y ANÁLISIS DE LA MEMORIA

Set de utilidades que permite la adquisición de la memoria ram para posteriormente hacer un análisis con ella.
  • pd - Proccess Dumper - Convierte un proceso de la memoria a fichero.
  • FTK Imager - Permite entre otras cosas adquirir la memoria.
  • DumpIt - Realiza volcados de memoria a fichero.
  • Responder CE - Captura la memoria y permite analizarla.
  • Volatility - Analiza procesos y extrae información util para el analista.
  • RedLine - Captura la memoria y permite analizarla. Dispone de entrono gráfico.
  • Memorize- Captura la ram (Windows y OSX).
MONTAJE DE DISCOS 

Utilidades para montar imágenes de disco o virtualizar unidades de forma que se tenga acceso al sistema de ficheros para posteriormente analizarla. 
  • ImDisk - Controlador de disco virtual.
  • OSFMount - Permite montar imágenes de discos locales en Windows asignando una letra de unidad.
  • raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk
  • FTK Imager - Comentada anteriormente, permite realizar montaje de discos.
  • vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el administrador de discos de Windows .
  • LiveView - Utilidad en java que crea una máquina virtual de VMware partiendo de una imagen de disco.
  • MountImagePro- Permite montar imágenes de discos locales en Windows asignando una letra de unidad
CARVING Y HERRAMIENTAS DE DISCO

Recuperación de datos perdidos, borrados, búsqueda de patrones y ficheros con contenido determinado como por ejemplo imágenes, vídeos. Recuperación de particiones y tratamiento de estructuras de discos.
  • PhotoRec - Muy útil, permite la recuperación de imágenes y vídeo.
  • Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o directorios a recuperar.
  • RecoverRS- Recupera urls de acceso a sitios web y ficheros. Realiza carving directamente desde una imágen de disco.
  • NTFS Recovery - Permite recuperar datos y discos aún habiendo formateado el disco.
  • Recuva- Utilidad para la recuperación de ficheros borrados.
  • Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso si no conocemos los parámetros RAID.
  • CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.
  • Restoration- Utilidad para la recuperación de ficheros borrados.
  • Rstudio- Recuperación de datos de cualquier sistema de disco NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
  • Freerecover- Utilidad para la recuperación de ficheros borrados.
  • DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8 (GUI y consola), DOS (consola), Linux (Terminal) e incorpora utilidades de carving.
  • IEF- Internet Evidence Finder Realiza carving sobre una imagen de disco buscando mas de 230 aplicaciones como chat de google, Facebook, IOS, memoria ram, memoria virtual,etc.
  • Bulk_extractor - Permite extraer datos desde una imagen, carpeta o ficheros.
UTILIDADES PARA EL SISTEMA DE FICHEROS 

Conjunto de herramientas para el análisis de datos y ficheros esenciales en la búsqueda de un incidente.
  • analyzeMFT - David Kovar's utilidad en python que permite extraer la MFT
  • MFT Extractor- Otra utilidad para la extracción de la MFT
  • INDXParse - Herramienta para los indices y fichero $I30.
  • MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso a la MFT
  • MFT_Parser - Extrae y analiza la MFT
  • Prefetch Parser - Extrae y analiza el directorio prefetch
  • Winprefectchview- Extrae y analiza el directorio prefetch
  • Fileassassin- Desbloquea ficheros bloqueados por los programas
ANÁLISIS DE MALWARE
  • PDF Tools de Didier Stevens.
  • PDFStreamDumper - Esta es una herramienta gratuita para el análisis PDFs maliciosos.
  • SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.
  • Proccess explorer - Muestra información de los procesos.
  • Captura BAT - Permite la monitorización de la actividad del sistema o de un ejecutable.
  • Regshot - Crea snapshots del registro pudiendo comparar los cambios entre ellos
  • Bintext - Extrae el formato ASCII de un ejecutable o fichero.
  • LordPE- Herramienta para editar ciertas partes de los ejecutables y volcado de memoria de los procesos ejecutados.
  • Firebug - Analisis de aplicaciones web.
  • IDA Pro - Depurador de aplicaciones.
  • OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.
  • Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su propósito es la detección de exploits
  • OfficeMalScanner- Es una herramienta forense cuyo objeto es buscar programas o ficheros maliciosos en Office.
  • Radare- Framework para el uso de ingeniería inversa.
  • FileInsight- Framework para el uso de ingeniería inversa.
  • VolatilityFramework con los plugins malfind2 y apihooks.
  • shellcode2exe- Conversor de shellcodes en binarios.
FRAMEWORKS

Conjunto estandarizado de conceptos, prácticas y criterios en base a el análisis forense de un caso.
  • PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
  • Log2timeline - Es un marco para la creación automática de un super línea de tiempo.
  • Plaso - Evolución de Log2timeline. Framework para la creación automática de un super línea de tiempo.
  • OSForensics - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos de un disco ya montado.
  • DFF - Framework con entorno gráfico para el análisis.
  • SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a menudo.
  • Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy útil.
ANÁLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro como usuarios, permisos, ficheros ejecutados, información del sistema, direcciones IP, información de aplicaciones.
  • RegRipper- Es una aplicación para la extracción, la correlación, y mostrar la información del registro.
  • WRR- Permite obtener de forma gráfica datos del sistema, usuarios y aplicaciones partiendo del registro.
  • Shellbag Forensics Análisis de los shellbag de windows.
  • Registry Decoder - Extrae y realiza correlación aun estando encendida la máquina datos del registro.
HERRAMIENTAS DE RED

Todo lo relacionado con el tráfico de red, en busca de patrones anómalos, malware, conexiones sospechosas, identificación de ataques, etc.
  • WireShark - Herramienta para la captura y análisis de paquetes de red.
  • NetworkMiner - Herramienta forense para el descubrimiento de información de red.
  • Netwitness Investigator - Herramienta forense. La versión 'free edition' está limitado a 1GB de tráfico.
  • Network Appliance Forensic Toolkit - Conjunto de utilidades para la adquisición y análisis de la red.
  • Xplico -  Extrae todo el contenido de datos de red (archivo pcap o adquisición en tiempo real). Es capaz de extraer todos los correos electrónicos que llevan los protocolos POP y SMTP, y todo el contenido realizado por el protocolo HTTP.
  • Snort - Detector de intrusos. Permite la captura de paquetes y su análisis.
  • Splunk - Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Indexa y aprovecha los datos de las generados por todos los sistemas e infraestructura de IT: ya sea física, virtual o en la nube.
  • AlientVault - Al igual que Splunk recolecta los datos y logs aplicándoles una capa de inteligencia para la detección de anomalías, intrusiones o fallos en la política de seguridad.
RECUPERACIÓN DE CONTRASEÑAS

Todo lo relacionado con la recuperación de contraseñas en Windows, por fuerza bruta, en formularios, en navegadores.
  • Ntpwedit- Es un editor de contraseña para los sistemas basados ​​en Windows NT (como Windows 2000, XP, Vista, 7 y 8), se puede cambiar o eliminar las contraseñas de cuentas de sistema local. No valido para Active Directory.
  • Ntpasswd - Es un editor de contraseña para los sistemas basados ​​en Windows, permite iniciar la utilidad desde un CD-LIVE
  • pwdump7- Vuelca los hash. Se ejecuta mediante la extracción de los binarios SAM.
  • SAMInside / OphCrack / L0phtcrack- Hacen un volcado de los hash. Incluyen diccionarios para ataques por fuerza bruta.
DISPOSITIVOS MÓVILES

Esta sección dispone de un set de utilidades y herramientas para la recuperación de datos y análisis forense de dispositivos móviles. He incluido herramientas comerciales dado que utilizo algunas de ellas y considero que son muy interesantes e importantes.

iPhone
  • iPhoneBrowser - Accede al sistema de ficheros del iphone desde entorno gráfico.
  • iPhone Analyzer - Explora la estructura de archivos interna del iphone.
  • iPhoneBackupExtractor - Extrae ficheros de una copia de seguridad realizada anteriormente.
  • iPhone Backup Browser - Extrae ficheros de una copia de seguridad realizada anteriormente.
  • iPhone-Dataprotection - Contiene herramientas para crear un disco RAM forense, realizar fuerza bruta con contraseñas simples (4 dígitos) y descifrar copias de seguridad.
  • iPBA2- Accede al sistema de ficheros del iphone desde entorno gráfico.
  • sPyphone- Explora la estructura de archivos interna.
BlackBerry
Android
  • android-locdump. - Permite obtener la geolocalización.
  • androguard- Permite obtener, modificar y desensamblar formatos DEX/ODEX/APK/AXML/ARSC
  • viaforensics- Framework de utilidades para el análisis forense.
  • Osaf - Framework de utilidades para el análisis forense.
PRODUCTOS COMERCIALES
No podían faltar. Disponer de estas herramientas es una maravilla y un lujo el poder utilizarlas. Rápidas y concisas. Lo peor en alguna de ellas es el precio.
Fuente: Conexión Inversa


Leer más: Segu-Info: Listado de herramientas forenses http://blog.segu-info.com.ar/2013/09/listado-de-herramientas-forenses.html#ixzz2fp5m3JVs 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

lunes, 26 de agosto de 2013

Please include attribution to http://www.hotspotshield.com with this graphic.
How to protect yourself from hackers Inforgraphic

jueves, 8 de agosto de 2013

Un informático en el lado del mal: Man in the Middle con Web Proxy Auto-Discovery en ...

Man in the Middle con Web Proxy Auto-Discovery en iPv6

La principal novedad de la versión de Evil FOCA que presenntamos en esta edición de DEF CON 21 es la implementación del ataque Web Proxy Auto-Discovery tanto enIPv4 como en IPv6, tal y como se podía ver en las diapositivas de la presentaciónque os dejé ayer. Además de eso, también se metió como "bonus extra" la implementación del strippeado de los resultados de Google, para que los ataques fueran más efectivos. Esta es la demo que realicé durante la presentación, paso a paso.

Descubrimiento del servidor Web Proxy Auto-Discovery

Los navegadores de Internet, por defecto, vienen configurados para buscar al servidor Web Proxy Auto-Discovery de la red mediante un registro DNS well-knownllamado WPAD. Este registro es uno de los que la FOCA busca, por ejemplo, para sacar información de la red interna de una organización. Esta opción está activada en los navegadores, tal y como se puede ver en las opciones de este Internet Explorer.

Figura 1: Opción de buscar auutomáticamente la configuración de la red

Por supuesto, yo os recommiendo a todos que las quitéis si estáis en una red que no es vuestra, y si es una red gestionada por vosotros, aplicad alguna política para erradicar su activación en todos los navegadores si no hacéis uso de esto.

Este registro WPAD es buscado automáticamente por la red mediante el protocolo LLMNR, tal y como se puede ver en la siguiente imagen, tanto por IPv4 como porIPv6, pero buscando un registro tipo A, es decir IPv4.

Figura 2: Búsqueda del servidor WPAD por medio de LLMNR

La búsqueda de WPAD se hace por multicast, y en nuestro entorno, Evil FOCAcaptura la petición a multicast IPv6 y contesta con una dirección IPv6 en un registroAAAA, usando el mismo truco que usamos en el ataque SLAAC para pasar de A a AAAA.

Figura 3: Evil FOCA contesta con un registro AAAA

Al cliente parece que esto le deja un tanto preocupado, así que realiza una confirmación, buscando el registro WPAD por LLMNR, pero esta vez preguntando por su valor AAAA.

Figura 4: El cliente pide por LLMNR el valor de WPAD para AAAA

Para que Evil FOCA confirme que sí, que este es el servidor Web Proxy Auto-Discovery de la red y está en una dirección IPv6. Como se puede ver en la imagen, la dirección IPv6 que se usa es una dirección de vínculo local IPv6, por lo que no es necesario hacer un ataque SLAAC previamente para confgurar un gateway en IPv6.

Figura 5: Evil FOCA confirma la dirección IPv6 del WPAD

El fichero de configuración WPAD.PAC para descubrir al servidor Web Proxy

Una vez que el cliente descubre la dirección IPv6 en donde está el servidor Web Proxy Auto-Discovery, se conectará a este para conseguir la información del servidor Web Proxy de la red, que no tiene porqué ser el mismo. Es decir, el servidor Web Proxy Auto-Discovery es un servidor web donde se almacena un fichero de configuración que le dice al cliente web dónde se encuentra el servidorWeb Proxy.

Figura 6: Solicitud al servidor WPAD del fichero de configuración WPAD.PAC

Este fichero de configuración se llama WPAD.PAC y es solicitado por el cliente, para que la Evil FOCA se lo entregue conn la información del lugar donde está levantado ese servidor Web Proxy.

Figura 7: Contenido de WPAD.PAC entregado por Evil FOCA con información del Web Proxy

Hay que tener en cuenta que si el cliente utiliza Google Chrome, este ataque no funcionará, ya que IPv6 viene desactivado por defecto. En ese caso se hace exactamente lo mismo, pero seleccionando en Evil FOCA el ataque WPAD en IPv4.

El ataque con Evil FOCA

Por supuesto, en Evil FOCA esto es tan sencillo como arrastrar el equipo al panel del ataque WPAD en IPv6, hacer clic en Start Evil FOCA se encargará de interceptar la petición del registro WPAD del cliente, servirle vía web el fichero WPAD.PAC y hacer de servidor proxy HTTP, aunque vamos a confgurar la opción de usar un servidor proxy remoto para hacer algo similar a lo de la JavaScript Botnet del año pasado.

Figura 8: El ataque WPAD en IPv6 con Evil FOCA

Una vez acabada esta fase, el cliente podrá navegar por Internet, pero lo estará haciendo a través de un servidor Web Proxy en IPv6 que hará de man in the middle. Y ya que está en el medio, una de las cosas que le hemos añadido a Evil FOCA es la posibilidad de hacer SSLStrip de todos los resultados de una respuesta de Google, quitando el redirect que implanta, y cambiando los enlaces HTTP-s por enlaces HTTP.

Figura 9: Resultados de Google a través de Web Proxy en IPv6 strippeads

Por supuesto, cuando el cliente solicita una página que pide ir por HTTP-s, como la de Facebook, la herramienta Evil FOCA implementa Bridging HTTP (Pv6) / HTTP-s (IPv4), es decir, negocia con el servidor de Facebook en HTTP-s con IPv4, pero al cliente le entrega todo bajo HTTP con IPv6.

Figura 10: Facebook vista bajo HTTP(IPv6)

Esto tiene algunas implicaciones con respecto a las cookies que van marcadas como Secure, obligando a tener cuidado con la información que se envía al cliente y al servidor, pero al final, todos los datos se envían sin cifrar desde el cliente a Evil FOCA, pudiéndose robar las credenciales.

Figura 11: Credenciales de Facebook interceptadas en WireShark

Esta sermana publicaremos la versión en el blog de Eleven Paths, para que podáis testearla vosotros mismos, y en el libro de Ataques en Redes de Datos IPv4 e IPv6tenéis más información sobre ataques man in the middle en estas redes. Las otras dos demos que realicé en la presentación las tenéis paso a paso en los artículos deAtaque SLAAC con Evil FOCA y Ataque Neighbor Advertisement Spoofing con Evil FOCA.

Saludos Malignos!

miércoles, 31 de julio de 2013

Welcome to Computer Security with Ethical Hacking: List of Bug Bounty Programs

Welcome to Computer Security with Ethical Hacking: List of Bug Bounty Programs:

List of Bug Bounty Programs

Bug Bounty Program a well known topic is on the heat these days, known companies like: Google, Facebook, Mozilla are paying for finding a vulnerabilities on their web servers, products, services or some associated applications. Here is a list for all the Security Researchers and Bug Hunters to target all the best :)

Bug Bounty Websites for Web Application Vulnerability

Mozilla
security@mozilla.org 
http://www.mozilla.org/security
http://www.mozilla.org/projects/security/security-bugs-policy.html
http://www.mozilla.org/security/announce

Google
 security@google.com 
https://www.google.com/appserve/security-bugs/new?rl=xkp7zert49a5q6owod28bhr2

Facebook
http://www.facebook.com/whitehat/bounty

Paypal
sitesecurity@paypal.com 
https://cms.paypal.com/cgi-bin/marketingweb?cmd=_render-content&content_ID=security/reporting_security_issues

Etsy
security-reports@etsy.com 
http://www.etsy.com/help/article/2463

Wordpress
http://www.whitefirdesign.com/about/wordpress-security-bug-bounty-program.html

Commonsware
http://commonsware.com/bounty.html

CCBill
http://www.ccbill.com/developers/security/vulnerability-reward-program.php
http://www.ccbill.com/developers/security/rewards.php

Vark
http://www.vark.com

Windthorstisd
http://www.windthorstisd.net/BugReport.cfm


Bug Bounty Websites for Products Vulnerability 

Mozilla
http://www.mozilla.org/security
http://www.mozilla.org/security/known-vulnerabilities/firefox.html

Google Chrome
http://www.chromium.org/Home/chromium-security/vulnerability-rewards-program

Zero Day Initiative
http://www.zerodayinitiative.com

Barracuda
bugbounty@barracuda.com
http://www.barracudalabs.com/bugbounty
http://www.barracudalabs.com/bugbounty/halloffame.html

Artifex Software
http://www.ghostscript.com/Bug_bounty_program.html

Hex Rays
http://www.hex-rays.com/bugbounty.shtml

Ardour
http://ardour.org/bugbounty

Piwik
http://piwik.org/security


Hall of Fame & Responsible Disclosure Websites(No Bounties)

Microsoft

http://technet.microsoft.com/en-us/security/cc308589
http://technet.microsoft.com/en-us/security/cc308575
http://technet.microsoft.com/en-us/security/cc261624
http://www.microsoft.com/security/msrc/default.aspx
http://technet.microsoft.com/en-us/security/ff852094.aspx

Apple
product-security@apple.com
http://support.apple.com/kb/HT1318
https://ssl.apple.com/support/security/

Adobe
http://www.adobe.com/support/security/bulletins/securityacknowledgments.html
http://www.adobe.com/support/security/alertus.html

IBM
http://www-03.ibm.com/security/secure-engineering/report.html

Twitter
https://twitter.com/about/security
http://support.twitter.com/groups/33-report-abuse-or-policy-violations/topics/122-reporting-violations/articles/477159-how-to-report-xss-api-and-other-security-vulnerabilities#
https://support.twitter.com/forms

Dropbox
security@dropbox.com
https://www.dropbox.com/security
https://www.dropbox.com/special_thanks

Yahoo
security@yahoo-inc.com 

http://security.yahoo.com/article.html;_ylc=X3oDMTFwMGI4cDJnBF9TAzU2NTAwMDAwMgRhaWQDMjAwNjEyMDUwMQRjbmFtZQNZb3VyIFNlY3VyaXR5IG9uIFlhaG9vIQ--?aid=2006120501

Cisco
http://tools.cisco.com/security/center/home.x#~alerts

Moodle
http://moodle.org/security

Drupal
http://drupal.org/security-team

Oracle
http://www.oracle.com/us/support/assurance/reporting/index.html

Symantec
http://www.symantec.com/security

Ebay
http://pages.ebay.com/securitycenter/Researchers.html

Twilio
http://www.twilio.com/blog/2012/03/reporting-security-vulnerabilities.html

37 Signals
http://37signals.com/security-response

Salesforce
http://www.salesforce.com/company/privacy/disclosure.jsp

Reddit
http://code.reddit.com/wiki/help/whitehat

Github
http://help.github.com/responsible-disclosure/

Ifixit
http://www.ifixit.com/Info/responsible_disclosure

Constant Contact
http://www.constantcontact.com/about-constant-contact/security/report-vulnerability.jsp

Zeggio
http://www.zeggio.com

Simplify
http://simplify-llc.com/simplify-security.html

Team Unify
http://www.teamunify.com/__corp__/security.php

Skoodat
http://www.skoodat.com/Security

Relaso
http://relaso.com/disclosure

Moduscsr
http://www.moduscsr.com/security_statement.php

Cloudnetz
http://cloudnetz.com/Legal/vulnerability-testing-policy.html

Emptrust
http://www.emptrust.com/Security.aspx

Apriva
http://www.apriva.com/security

Amazon
http://aws.amazon.com/security/vulnerability-reporting

SqaureUp
https://squareup.com/security/levels

G-Sec
http://www.g-sec.lu/responsible.disclosure.policy.html

Xen
security@xen.org
http://wiki.xen.org/wiki/Security_Announcements
http://www.xen.org/projects/security_vulnerability_process.html

Engine Yard
http://www.engineyard.com/legal/responsible-disclosure-policy

Lastpass
https://lastpass.com/support_security.php

RedHat
https://access.redhat.com/knowledge/articles/66234

Acquia
https://www.acquia.com/how-report-security-issue

Mahara
security@mahara.org 
https://wiki.mahara.org/index.php/Security 


Zynga
security@zynga.com
http://company.zynga.com/security/whitehats

Risk.io
https://www.risk.io/security

Opera 
http://www.opera.com/security/policy
https://bugs.opera.com/wizarddesktop
http://my.opera.com/securitygroup/blog/2013/04/05/thanks-to-the-researchers

Owncloud 
http://owncloud.org/security/policy
http://owncloud.org/security/hall-of-fame

Scorpion Soft
security@scorpionsoft.com
http://www.scorpionsoft.com/company/disclosurepolicy


Norada 
http://norada.com/norada/crm/security_response

Cpaperless 
http://www.cpaperless.com/securitystatement.aspx

Wizehive 
http://www.wizehive.com/security
http://www.wizehive.com/special_thanks.html

Tuenti
http://corporate.tuenti.com/en/dev/hall-of-fame

Nokia Siemens
http://www.nokiasiemensnetworks.com/about-us/responsible-disclosure

Sound Cloud
http://help.soundcloud.com/customer/portal/articles/439715-responsible-disclosure

HTC
security@htc.com

http://www.htc.com/www/terms/product-security

Neohapsis
http://www.neohapsis.com/disclosure.php

Nokia
security-alert@nokia.com
http://www.nokia.com/global/security/security
http://www.nokia.com/global/security/acknowledgements


BlackBerry
secure@blackberry.com
https://www.blackberry.com/profile/?eventId=8322
http://us.blackberry.com/business/topics/security/incident-response-team/collaborations.html

Heroku
security@heroku.com
https://policy.heroku.com/security

Chargify
security@chargify.com
https://chargify.com/security

Zendesk
security@zendesk.com
http://www.zendesk.com/company/responsible-disclosure-policy

Lookout
security@lookout.com
https://www.lookout.com/responsible-disclosure

Puppetlabs
security@puppetlabs.com 
http://puppetlabs.com/security
https://puppetlabs.com/security/acknowledgments
https://puppetlabs.com/blog/responsible-disclosure-of-security-vulnerabilities

Gliph 
https://gli.ph/s/security.html

miércoles, 17 de julio de 2013

Technology News: Grave fallo de seguridad en Facebook que permite h...

Grave fallo de seguridad en Facebook que permite hackear cualquier perfil.


De nuevo el fantasma de la seguridad planea sobre Facebook, y esta vez puede tratarse de un fallo muy grave.

Al parecer, un bug en la plataforma (que todavía no ha sido arreglado por los desarrolladores de la compañía, según informa The Hacker News) permitiría a cualquiera hacerse con la cuenta de otro usuario en poco menos de 60 segundos.

La vulnerabilidad funciona de la siguiente forma: cuando una persona trata de abrir un perfil nuevo en la red social con una dirección de email que ya está siendo utilizada en la plataforma (por él o por otra persona), gracias a un exploit programado (y que podría encontrarse en la red), el ciberdelincuente podría lograr que Facebook le permitiese usar de nuevo la cuenta de correo ya en uso, lo que le daría acceso a la cuenta que ya está vinculada a este email.


Es decir, que con un pequeño programa malicioso que ha sido desarrollado, cualquiera podría hackear una cuenta de Facebook y hacerse con su control.

La voz de alarma la ha dado el experto en seguridad Dan Melamed y el equipo de seguridad de Facebook ha confirmado que está trabajando para resolver la incidencia lo antes posible, según The Hacker News.

En el siguiente vídeo se explica cómo se lleva a cabo el hackeo de una cuenta:



(Fuente | TreceBits)

martes, 25 de junio de 2013

Los siete pecados capitales de la ingeniería social

Los siete pecados capitales de la ingeniería social

Puede ser que uno no esté consciente que hay una escala de siete pecados capitales está relacionados con la ingeniería social. Los ataques de ingeniería social más mortíferos son los que tienen las tasas de éxito más grandes, a menudo aproximándose al 100%. ¿Cuál es el secreto de esos ataques?, ¿cómo llegan a hacerlo tan bien?

Sus propias observaciones le muestran que las personas son muy diferentes. Algunas siempre son entusiastas y deseosas de aprende algo nuevo. Otras son más conservadoras pero corteses con sus compañero de trabajo.  Un poquito más abajo de esta escala están las personas que parecen siempre estar aburridas con sus vidas y entonces al final son aquellos quienes justamente no se preocupan y están básicamente apáticos con todo.

Los ingenieros sociales exitosos determinan primero en que parte de la escala se ubican sus blancos, y luego seleccionan un ataque que pueda tener el más alto grado de éxito con aquella persona, intentando asemejar la mirada sobre la vida de su víctima.

Esta escala de vicios puede ser encarada tanto por el lado positivo como por el negativo. Uno puede llamarle tanto credulidad o puede llamarle confianza, avaricia o interés propio, pero como aquí hablamos de pecados, no atendremos a las etiquetas negativas.

Aqui hay siete ataques de ingeniería social que espero sean un buen ejemplo de cada uno de los pecados capitales, noten sin embargo que hay solapamientos y que las cosas no siempre son un caso claro. Al fin y al cabo ¡estamos tratando con seres humanos!

Curiosidad:
El atacante deja olvidado una memoria USB junto al lavatorio en el restaurant del piso donde están las oficinas ejecutivas y sus asistentes administrativos. Está claramente marcado "Actualización de Salarios 1er Trimestre".  La memoria USB tiene un malware modificado que se autoinstala y llama a casa desde cualquier PC en donde sea conectado. Este ataque fue 90% efectivo.

Cortesía:
El atacante se enfoca en el CEO de la compañía a la que tiene como objetivo. Hace su investigación, encuentra que el CEO tiene un familiar batallando con el cáncer y que participa activamente en una organización benéfica de lucha contra el cáncer. El atacante se hace pasar por alguien de esa organización, le pide al CEO su respuesta sobre una campaña de recaudación de fondos y adjunta un PDF infectado. Misión cumplida, la PC del CEO es capturada y pronto también caerá la red. Y por supuesto mantener la puerta abierta para un extraño con sus manos ocupadas llenas de cajas es un ejemplo clásico que todos conocemos de como montarse a cuestas de otro.

Credulidad
Los atacantes identifican a los gerentes adecuados de dos sucursales distintas de su banco objetivo. Compran un dominio que se parece mucho al del banco. Falsifican los correos de los ejecutivos del banco y envían correos falsos al gerente autorizando una transacción. Entraron con un cheque falsificado y una identificación falsificada, y salieron caminando con 25.000 en efectivo ... varias veces!

Codicia
¿Sabe que las estafas Nigerianas 419 actuales usan la palabra 'Nigeria' a propósito para calificar a los objetivos con que se enfrentan? Ahora es utilizada como un filtro para eliminar gente y agarrar a los incultos que son suficientemente codiciosos como para arriesgarse a responder por la jovencita huérfana de 26 años que tiene $12.500.000 en el banco, y que necesita alguien que la cuide y la ayude a transferir esos fondos.

Inconsciencia
La inteligencia de los ejércitos americanos e israelíes crearon el malware Stuxnet que saboteó la centrífugas iraníes de enriquecimiento de uranio en Natanz. Fue llevado a cabo mediante un sencillo ataque USB a uno de sus científicos. El Mossad deslizó una memoria USB al científico que luego la enchufó en el laptop en su casa, fue a trabajar y allí conectó el laptop en la red interna de Natanz. La ingeniería social salteó ese barrera gracias a un científico que debería haber sabido más.

Timidez
Alguien parecido a Brad Pitt se acerca a la recepción interna del departamento de recursos humanos de una multinacional francesa con oficinas en Boston. Se disculpa efusivamente de haber llegado unos minutos tarde y muestra un papel con manchas de café. Explica que volcó café en su curriculum y si la recepcionista "por favor con azúcar" puede imprimirle una copia nueva para su entrevista? Le entrega una memoria USB, la tímida recepcionista no lo confronta por las políticas de la compañía de no permitir dispositivos extraños en la red, rápidamente le imprime una nueva copia y le devuelve el USB. El joven desaparece hacia el baño y la red de esta manera fue tomada.

Apatía
P: ¿Que es lo más útil para la ingeniería social, la ignorancia o la apatía?
R: No lo sé y no me importa.

Los tres empleados de un departamento de despachos reciben todos el mismo correo de phishing genérico de UPS que les aparece en sus bandejas de entrada más o menos al mismo tiempo. Ninguno de ellos se toma el tiempo de pasar el cursor sobre el enlace y ver que en realidad lleva a un sitio de Eslovaquia con '.cz' al final. Más aún, ninguno de ellos asoma de su cubículo para advertirle a los demás. Dos de ellos hacen clic en el enlace e infectan su PC con un apestoso malware que requiere que se reinstale por completo sus equipos.

Como pueden ver el genio está fuera de la lámpara. El cibercrimen ha incorporado el concepto de ingeniería social y están usándolo. Así que, ¿que hacer?

Publicar y distribuir una política de seguridad integral.
Comprender que la política es el inicio para enfrentarse con el problema.
Reconocer que no hay implementación efectiva de una política que no incluya algún grado de capacitación.
Ser realista. La capacitación no significa hacer de los usuarios unos expertos en seguridad. Significa enseñarles todo lo que necesitan saber para usar de forma segura las computadoras.

Reconocimiento a David Harley, Kevin Mitnick, Chris Hadnagy, SANS, y muchos otros. Para mayor información y enlaces útiles sobre Ingeniería Social vea la página de Wikipedia y un gran artículo de David Harley en el sitio de cluestick.

Traducción: Raúl Batista - Segu-Info
Autor: Stu Sjouwerman
Fuente: Blog KnowBe4

Leer más: Segu-Info: Los siete pecados capitales de la ingeniería social http://blog.segu-info.com.ar/2013/06/los-siete-pecados-capitales-de-la.html#ixzz2XF7F7ug4 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

Related Posts Plugin for WordPress, Blogger...