gustavoalara
Ciberseguridad para todos
Blog donde podréis encontrar noticias, artículos, novedades... sobre Ciberseguridad para todos los gustos, unas veces para todo el público y otras veces con más detalle técnico, con la intención de aportar mi pequeño grano de arena al mundo de la Ciberseguridad
78 posts
Don't wanna be here? Send us removal request.
Last Seen Blogs
sotrinogro
Untitled
sotrinogro
Untitled
pornforgentles
Pxrn for gentlemans
takeninbadfaith
Let's Extend the Logic
freshwolfstudentblog
¡BEAUTIFUL LIAR!
Text
El brazalete anti asistentes espías
0 notes
Text
Las 25 empresas más suplantadas en casos de phishing
Según la empresa de seguridad Vade Secure estás son las 25 empresas más suplantadas en ataques phishing en el Q4 de 2019
2 notes
·
View notes
Text
Recuerda, ¡Parchea, parchea! ¡Hasta las bombillas!
0 notes
Text
Seguridad vs Usabilidad, descripción gráfica
La seguridad nunca debe impedir que el usuario final no pueda trabajar... Y muchas veces esto se nos olvida
0 notes
Text
Hoy es el phishing ¿Mañana? Las deepfakes. Como capacitar a los empleados y usuarios a detectar esta nueva amenaza emergente
Los ciberdelincuentes están evolucionando sus técnicas, y los expertos en Ciberseguridad anticipamos que el fraude de voz y video jugará un papel muy grande en las próximas brechas dicte grandes datos, así que es el momento de comenzar a proteger a las empresas.
El fraude a través de las Deepfake es un problema nuevo y potencialmente devastador para las empresas. De hecho, el año pasado se reveló que un alto ejecutivo de una compañía de energía no identificada había sido estafado a pagar 200.000 libras por estafadores que usaban inteligencia artificial para replicar la voz de su jefe, simplemente porque respondió una llamada telefónica, -creyendo que provenía de la empresa matriz alemana. La solicitud le requería que transfiriera unos fondos, que envió obedientemente a lo que se presumía que era su compañía matriz. Finalmente unos sofisticados ciberdelincuentes robaron los fondos, siendo la vanguardia de lo que podemos considerar una nueva era aterradora de fraudes basados en deepfakes.
Aunque este ha sido el primer caso reportado de este tipo de fraude en Reino Unido, podemos vaticinar que ciertamente no será el último.
En otro caso, se realizó un Deepfake sobre Mark Zuckerberg -creador de Facebook- por dos artistas británicos, Bill Posters y Daniel Howe, en colaboración con Canny AI, una compañía publicitaria israelí. Las imágenes de Zuckerberg son reales, pero se han modificado para que los labios cuadren con el texto que lee un actor a través de IA. Y no es el único caso.
Cuando la empresa evoluciona, el enemigo se adapta
No somos ajenos a los correos electrónicos de phishing en nuestras bandejas de entrada del correo corporativo o incluso personal. Seguramente, muchos de los que estáis leyendo esto, habéis recibido capacitación y advertencias obligatorias sobre cómo detectarlos: signos reveladores como errores ortográficos, la urgencia, las solicitudes desconocidas de los "colegas" o las direcciones de remitente poco comunes. Pero los estafadores saben que continuar con las técnicas de phishing establecidas no sobrevivirá por mucho más tiempo. También saben las grandes ganancias potenciales que pueden obtener de la recopilación de inteligencia de las empresas utilizando tecnología de deepfake (una mezcla de video, audio y mensajes de correo electrónico) para extraer información confidencial de los empleados bajo la apariencia del CEO o CFO.
La tecnología Deepfake todavía está en sus inicios, pero incluso en 2013 (ojo, hace ya 7 años), fue lo suficientemente potente como para causar gran impacto. Una ONG holandesa fue pionera en esta tecnología creando una falsa niña de 10 años, que se utilizó para identificar miles de delincuentes sexuales infantiles en todo el mundo. En este caso, la tecnología de IA de vídeo deepfake fue implementada por una organización humanitaria con el objetivo de combatir el crimen.
Pero a medida que la tecnología de deepfake evoluciona y se hace más asequible, muchas de sus aplicaciones son ilegales y criminales, provocando consecuencias financieras y de reputación muy perjudiciales. A medida que más empresas educan a sus empleados para detectar y frustrar los ataques tradicionales de phishing y spear-phishing, no es difícil ver cómo los estafadores y ciberdelincuentes dedican sus esfuerzos a una tecnología de deepfake para ejecutar sus esquemas de ataque.
Cómo prosperarán las Deepfakes en el lugar de trabajo moderno
Con la gran cantidad de trabajos que requieren que sus empleados estén en línea, es fundamental que las fuerzas laborales estén educadas y tengan las herramientas para detectar, refutar y protegerse contra ataques de Deepfake y actividades fraudulentas que tienen lugar en el lugar de trabajo. No es difícil ver por qué la detección corporativa de Deepfakes en particular es tan importante: los empleados, por naturaleza, suelen querer satisfacer las solicitudes de sus superiores, y lo hacen con la menor fricción posible.
Las apuestas aumentan aún más cuando se considera cómo los equipos grandes, los trabajadores remotos y las jerarquías complejas hacen que sea aún más difícil para los empleados distinguir entre el "status quo" de un colega y una solicitud o actitud inusual. Agreguemos a esa ecuación las demandas de ritmo rápido para entregar a través de metodologías de trabajo ágiles, y es fácil ver cómo una solicitud de vídeo convincente y realista de un jefe conocido para transferir fondos, podría atraer menos escrutinio de un empleado que un vídeo de alguien que no conocen tanto.
Una nueva era de capacitación para la seguridad de los empleados
Las empresas deben capacitar a los empleados para cuestionar las solicitudes que se consideran inusuales, ya sea por la acción atípica exigida o por la forma o estilo fuera de lugar de la persona que realiza la solicitud. Esto puede ser particularmente desafiante para organizaciones con un liderazgo muy jerárquico y autocrático que no alienta ni respeta lo que percibe como desafíos para su autoridad. Por lo tanto, esto debe ser un nuevo área dentro de la concienciación a usuarios que se debe fomentar, potenciando de alguna manera las capacidades de investigación y verificación de los empleados.
Algunos enlaces:
https://www.youtube.com/watch?v=jI6H-0YWkSc
https://www.eluniversal.com.mx/techbit/la-ia-de-sensetime-es-capaz-de-generar-videos-realistas-de-deepfake
https://www.xataka.com/robotica-e-ia/deepfakes-que-te-convierten-dicaprio-movil-8-segundos-asi-zao-app-china-que-esta-arrasando
https://github.com/deepfakes/faceswap
https://github.com/iperov/DeepFaceLab
0 notes
Text
Exposición de millones de vídeos y fotos de bebés
Debido a una base de datos de Elasticsearch sin protección, millones de videos e imágenes de bebés almacenadas por la app móvil Peekaboo Moments se encuentran a la venta en foros de hacking en la Deep Web. La base de datos no fue protegida adecuadamente por Bithouse Inc., compañía desarrolladora de la app
Más información en:
https://blog.segu-info.com.ar/2020/01/millones-de-imagenes-y-videos-de-bebes.html
https://www.bankinfosecurity.com/babys-first-breach-app-exposes-baby-photos-videos-a-13603
0 notes
Text
Nueva función de seguridad sobre inicios de sesión en Facebook
Facebook ha anunciado el lanzamiento de una nueva funcionalidad de inicio de sesión destinada a ofrecer a los usuarios un control aún mayor sobre su información.
La función, llamada "Notificaciones de inicio de sesión", alerta al usuario (a través de la aplicación de Facebook y el correo electrónico asociado al usuario) cuando utiliza el inicio de sesión de Facebook para interactuar con aplicaciones de terceros. El diseño y el contenido de las notificaciones de inicio de sesión recuerdan a los usuarios que tienen un control total sobre la información que comparten con aplicaciones de terceros, con una ruta clara para editar esa configuración. Las notificaciones de inicio de sesión se activan:
Cuando un usuario inicia la sesión en una aplicación de terceros con el inicio de sesión en Facebook y concede a la aplicación acceso a su información
Cuando un usuario vuelve a utilizar el inicio de sesión de Facebook para iniciar sesión en una aplicación de terceros después de que el acceso a la información de una aplicación haya caducado
Facebook ha entendido que hay sensibilidades en cuanto a la privacidad de la información de las personas y la información relacionada y están tomando medidas activas para mejorar esto en sus productos. Facebook se ha comprometido a seguir probando características de control de usuario adicionales a principios de 2020, incluyendo la incorporación de permisos en la experiencia de usuario cuando se inicia sesión en una aplicación de terceros con el inicio de sesión en Facebook.
0 notes
Text
Atención usuarios de Netflix. Un nuevo phishing utiliza la imagen del servicio de streaming para robar nuestros datos bancarios
Cuando un servicio se hace popular, muy popular, como es el caso de Netflix o de los servicios online de la Banca, los ciberdelincuentes encuentran la manera de sacar partido. Por ello, muchos de ellos han puesto el ojo en la plataforma de vídeo por streaming, y es por eso que si recibes este correo de Netflix, no debes abrirlo.
El phishing es una de las técnicas más sencillas y utilizadas que tienen los ciberdelincuentes para hacerse con nuestros datos, ya que es sencillo crear correos masivos e incluso sitios web que se parezcan mucho a los totalmente legales (hay muchas herramientas para hacerlo prácticamente de manera automática, algún día hablaré sobre ello). Los usuarios, que no solemos comprobar las cosas, somos blancos fáciles de este tipo de campañas.
El correo de Netflix que están recibiendo algunos usuarios nos avisa sobre una suspensión de nuestra suscripción. Para poder reactivarla, debemos ir a un enlace e introducir nuestros datos.
La página a la que nos dirigimos parece de Netflix, con el logotipo de la compañía y las fuentes que suelen utilizar, así como el estilo de sus mails, por lo que un usuario desesperado por ver las nuevas series de Netflix, puede que vaya a toda prisa a introducir sus datos bancarios.
En ese momento, los estafadores tienen toda la información que necesitan para realizar el robo. Hay algunas señales que indican que el sitio no es completamente genuino.
Para empezar, tiene instrucciones en francés en el pie de página, cuando deberían estar en el idioma nativo de cada país, inglés en el caso de esta estafa. Además, hay algunos errores gramaticales.
Además, para prevenir la estafa de la suscripción de Netflix, la propia compañía da algunas instrucciones:
"No escribas nunca tus datos de inicio de sesión o información bancaria tras seguir un enlace en un correo o en un mensaje de texto. Si no estás seguro de si estás visitando la página web legítima de Netflix, teclea www.netflix.com directamente en tu navegador web.
Nunca hagas clic en ningún enlace ni abras ningún documento adjunto en un correo o mensaje de texto que hayas recibido inesperadamente, sea cual sea el origen del mismo.
Si sospechas que un mensaje de correo o de texto que has recibido no es realmente de Netflix, no hagas clic en él. Sigue los pasos descritos a continuación para reenviárnoslo."
0 notes
Text
Cuando un producto es gratis, el producto eres tú
Relacionado con el post anterior que he puesto sobre las aplicaciones de control del ciclo menstrual (y por petición de compañeras de trabajo), os pongo aquí un video que realizó Telefónica/Elevenpaths comparando los permisos, accesos y lo que hacen las aplicaciones gratuitas si lo extrapolásemos a la vida real. El video resulta divertido, pero es lo que realmente ocurre con las apps.
youtube
0 notes
Text
Cuidado chicas, algunas aplicaciones de control del ciclo menstrual comparten vuestra información sexual sensible con Facebook
Información extremadamente sensible, como el uso de métodos anticonceptivos, periodicidad de la actividad sexual, posibles síntomas recurrentes durante distintas etapas del ciclo menstrual como calambres o inflamaciones, están siendo compartidas con Facebook, contraviniendo la normativa vigente sobre los derechos a la privacidad de los usuarios.
Una investigación de la organización sin ánimo de lucro Privacy International, afincada en Londres, revela cómo las aplicaciones de control del ciclo menstrual más descargadas en las distintas app stores están compartiendo con Facebook, contraviniendo la normativa europea vigente sobre privacidad, datos extremadamente sensibles acerca de la salud de los usuarios. Según la investigación, estas aplicaciones comparten directamente información sensible con la popular compañía, independientemente de si el usuario tiene o no cuenta de Facebook o si está conectado a un perfil.
Estas aplicaciones se utilizan comúnmente para controlar el ciclo menstrual, pero también para definir – tal y como las propias aplicaciones anuncian – cuál es el periodo más fértil del ciclo, por lo que sería posible incluso conocer si una persona está monitorizando esta información y, por tanto, inferir si está intentando un embarazo.
En aras de definir dicho periodo de máxima fertilidad, este tipo de aplicaciones demandan a la usuaria que facilite información muy sensible, como los días concretos en los que ha mantenido relaciones sexuales, fechas de los períodos menstruales, síntomas emocionales o físicos, etcétera.
La organización Privacy International descubrió, a través de un análisis de las peticiones que estas aplicaciones realizaban, que se estaba compartiendo información no sólo con Facebook sino con más servicios de terceros.
La información es compartida a través del propio software de kit de desarrollo (SDK) de las aplicaciones y es utilizada, entre otras cosas, para generar ingresos a través del posterior desarrollo de anuncios personalizados en función de la información recogida.
El informe, que puede leerse en este enlace, muestra cómo el consentimiento para el uso de estos datos es extremadamente ambiguo, desinformado o no explícito. Desde un punto de vista jurídico, esto podría implicar la concurrencia de la figura legal del consentimiento viciado. La condición de consentimiento viciado puede resolverse con la nulidad del consentimiento, que invalidaría a su vez los términos del contrato y supondría la reparación civil a los usuarios damnificados y el inicio de un proceso penal si se determina la existencia de un delito contra el derecho a la privacidad.
«La confidencialidad se encuentra tan en el corazón de la deontología y la ética médicas que, tradicionalmente, los países que han legislado la protección de datos han legislado como un régimen aparte todo aquello que tenía que ver con datos relativos a la salud, por considerarlos datos especialmente sensibles que requerían un tratamiento especializado y más restrictivo.
Nuestra investigación pone de manifiesto que las aplicaciones auditadas están en graves apuros respecto de sus obligaciones legales para con la legislación europea (GDPR), especialmente en lo tocante a consentimiento y tansparencia»
Informe Técnico de International Privacy, al que aludíamos anteriomente en el enlace proporcionado.
Las aplicaciones que han estado compartiendo información sensible – algunas no han contestado a las preguntas de Privacy International- son las siguientes:
Maya – propiedad de la empresa india Plackal Tech, 5 millones de descargas.
MIA Fem: Ovulation Calculator – por la empresa chipriota Mobapp Development Limited, 1 millón de descargas.
My Period Tracker – propiedad de Linchpin Health, 1 millón de descargas
Ovulation Calculator: propiedad de PinkBird, más de 500.000 descargas
Mi Calendario: por Grupo Familia, con más de 1 millón de visitas.
Al respecto, Maya ha confirmado a Privacy International que su aplicación ya ha eliminado completamente las funcionalidades relativas al núcleo del SDK de Facebook y las analíticas. Además, han actualizado su versión de la aplicación a la 3.6.7.7, que ya está disponible en la app store. Por su parte Pink Bird ha declarado que investigarán si se están recopilando datos privados de usuarios y que, de ser así, los eliminarán inmediatamente.
Facebook se escuda en que sus términos exigen a cada desarrollador que interactúe con su plataforma, que sea extremadamente claro con el propósito y metodología en la recogida y tratamiento de datos de usuario. Recuerdan además que sus términos prohíben – pese a que han estado aprovechando la recolección de estos datos durante años – compartir información relativa a la salud o el estado financiero de los clientes.
Más información: https://www.privacyinternational.org/long-read/3196/no-bodys-business-mine-how-menstruation-apps-are-sharing-your-data
0 notes
Text
Metasploit Lanza Exploit Y Módulo Para BlueKeep
Los desarrolladores Metasploit han lanzado un exploit para la vulnerabilidad de Windows BlueKeep. Mientras que otros investigadores de seguridad han lanzado sólo el código de la prueba de concepto, este exploit es lo suficientemente avanzado como para lograr la ejecución del código en sistemas remotos.
BlueKeep, también conocido como CVE-2019-0708, es una vulnerabilidad en el servicio de protocolo de escritorio remoto (RDP) en versiones "antiguas" del sistema operativo Windows: Windows XP, Windows 2003, Windows 7, Windows Server 2008 y Windows Server 2008 R2.
Microsoft parcheó BlueKeep en mayo de 2019 y advirtió a los usuarios que apliquen los parches lo antes posible. La vulnerabilidad es descripta como "wormable", es decir que puede propagarse de manera similar a la forma en que el exploit EternalBlue ayudó a que el ransomware WannaCry se propagara a millones de computadoras en 2017. Desde que se hizo público, la comunidad de ciberseguridad ha estado conteniendo el aliento colectivo por el lanzamiento de un primer exploit BlueKeep "armado", temiendo que pueda ser abusado de la misma manera y ayudar a potenciar un brote global de malware.
Microsoft ha dicho repetidamente a los usuarios que apliquen parches, e incluso la Agencia de Seguridad Nacional de EE.UU. (NSA), el Departamento de Seguridad Nacional, la Agencia de Seguridad Cibernética BSI de Alemania, el Centro de Seguridad Cibernética de Australia y el Centro Nacional de Seguridad Cibernética del Reino Unido han emitido alertas que instan a los usuarios y las empresas a parchear versiones anteriores de Windows.
Varias empresas de ciberseguridad e investigadores de seguridad han desarrollado exploits de BlueKeep, pero todos se negaron a publicar el código, temiendo sus consecuencias. En julio, la comunidad de infosec tuvo un primer susto cuando la compañía Immunity comenzó a vender unexploit privado de BlueKeep. Sin embargo, se mantuvo privado y nunca se filtró.
Nuevo módulo BlueKeep Metasploit
Ahora, Rapid7, la firma de ciberseguridad detrás de Metasploit, publicó un exploit de BlueKeep como un módulo más de Metasploit y disponible para todos.
A diferencia de las decenas de exploits de prueba de concepto de BlueKeep que se han cargado en GitHub en los últimos meses, este sí módulo puede lograr ejecución del código. Sin embargo, el módulo Metasploit ha sido un tanto "controlado". Actualmente solo funciona en modo "manual", lo que significa que necesita la interacción del usuario para ejecutarse correctamente.
Los operadores de Metasploit deben alimentarlo con un parámetro con información sobre el sistema al que desean apuntar. Esto significa que el exploit no se puede usar (aún) de manera automatizada como un gusano, pero funciona para ataques dirigidos.
Además, el módulo BlueKeep de Metasploit sólo funciona con versiones de 64 bits de Windows 7 y Windows 2008 R2, pero no con las otras versiones de Windows que también son vulnerables a BlueKeep. Este pequeño hecho también reduce su posible uso para actividades criminales, aunque no lo descarta.
700.000 sistemas aún vulnerables
A pesar de que hoy se lanzó un módulo, los expertos en seguridad no esperan ver campañas de malware o hacks aprovechados de inmediato. Sin embargo, para cuando los atacantes se acostumbren al nuevo módulo, todavía habrá muchos sistemas vulnerables. Esto se debe a que a pesar de haber tenido casi cuatro meses para parchear la vulnerabilidad de BlueKeep, la mayoría de los usuarios y compañías no pudieron aplicar los parches de Microsoft.
Según un análisis de BinaryEdge, todavía hay 700.000 sistemas vulnerables a BlueKeep expuestos en Internet, y posiblemente millones más dentro de las redes y detrás de los firewall.
Si bien las defensas específicas y la detección contra este exploit en particular son útiles, las nuevas vulnerabilidades RDP de la familia"DejaBlue" han subrayado este protocolo en general como un riesgo. La complejidad inherente del protocolo sugiere que los errores conocidos hoy en día no serán los últimos, particularmente porque los desarrolladores e investigadores de exploitsahora tienen una comprensión más matizada de RDP y sus debilidades. La explotación continua es probable, al igual que la mayor sofisticación de explotación.
0 notes
Text
Exposición de datos de Facebook con números de teléfono, nombres...
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/?guccounter=1
0 notes
Text
Nuevo phishing para robar cuentas de Instagram
La gran popularidad y los millones de usuarios con los que cuenta Instagram, hace que la red social sea uno de los principales objetivos de ciberdelincuentes. Tanto es así, que la compañía de seguridad Sophos, ha descubierto una campaña de phising dirigida a la popular red social para robar las cuentas de los usuarios de Instagram.
Un campaña que, a pesar de que muchos usuarios ya son conscientes de este tipo de técnicas, es lo suficientemente sofisticada para conseguir que los usuarios no se den cuenta de su falsedad y caigan en el engaño de los atacantes.
Lo particular de este ataque de phising, además de la gran falsificación de las páginas que simulan ser Instagram, es el uso de un sistema de doble factor de autenticación. Algo que, incluso a los investigadores de Sophos, les ha sorprendido, ya que se trata de dar un toque más de realidad al ataque y hacer que la gran mayoría de usuarios no sospechen que es una estafa y terminen facilitando los datos de su cuenta a los ciberdelincuentes.
Como en la mayoría de casos de phising, el proceso comienza con el envío de un mensaje de correo electrónico que aparentemente llega desde una cuenta real de Instagram y que al hacer clic sobre el enlace que solicita el inicio de sesión en nuestra cuenta, se abre una página de inicio de sesión falsa de Instagram. Sin embargo, todo parece ser real, ya que han cuidado cada detalle para que así sea. Incluso el sistema de autenticación de doble factor es muy real.
Eso sí, teniendo en cuenta que se trata de un ataque de phising, hay un detalle donde podemos detectar que se trata de un engaño. Curiosamente, los ciberdelincuentes registraron un dominio con extensión .cf que les delata, eso sí, siempre que seamos muy precavidos y nos fijemos en todos estos detalles, ya que por otro lado, el proceso y las páginas diseñadas son idénticas a las de Instagram.
Tanto es así, que incluso la página de phising se muestra con el famoso candado verde que indica el uso del protocolo de seguridad HTTPS, por lo que esto hace que la mayoría de usuarios no se fijen en la extensión del dominio, ya que su mirada suele ir más en este sentido para comprobar que siguen navegando por un sitio web seguro, en este caso aparentemente seguro.
Por lo tanto, se trata de una técnica bastante peligrosa que podría estar robando miles de cuentas de Instagram, de ahí que sea importante que tomemos todo tipo de precauciones cuando recibamos un mail que nos solicite iniciar sesión en nuestra cuenta de Instagram, por muy real que parezca.
0 notes
Text
Una Planta Nuclear Ucraniana Fue Conectada A Internet Para Minar Criptomonedas
Las autoridades ucranianas están investigando una grave violación de seguridad en una planta de energía nuclear, después de que unos empleados conectaran partes de su red interna a Internet para el minado de criptomonedas.
La investigación está siendo dirigida por el Servicio Secreto ucraniano (SBU) y es de máximo nivel al considerar el incidente como una violación de secretos de estado debido a la clasificación de las centrales nucleares como infraestructura crítica.
Los investigadores también están examinando si los piratas informáticas podrían haber utilizado las plataformas de minería como pivote para ingresar a la red de la planta de energía nuclear y recuperar información de sus sistemas, como datos sobre las defensas y protecciones físicas de la planta.
El incidente tuvo lugar en julio en una planta de energía nuclear cerca de la ciudad de Yuzhnoukrainsk. Agentes del SBU confiscaron computadoras y equiposespecíficamente construidos para la minería de criptomonedas, instalados en las oficinas administrativas de la planta.
Los equipos estaban especialmente fabricados para esta actividad, con un chasis metálico que alojaban partes básicas de una computadora, además de fuentes de alimentación y sistemas de refrigeración adicionales para mantener en funcionamiento hasta seis tarjetas gráficas AMD Radeon RX 470, principales encargadas del proceso.
Varios empleados han sido acusados por su participación en esta operación. No se conoce si hay implicado personal militar. Las autoridades creen que los sospechosos aprovecharon un reciente aumento en los precios de comercio de criptomonedas, después de un largo período de caídas.
No es un caso único
No es la primera vez que se registra un incidente similar al de Ucrania y distinto personal ha abusado de su posición utilizando este tipo de infraestructura que ofrecen grandes fuentes de energía y potencia informática para el minado de criptomonedas.
En febrero de 2018, las autoridades rusas arrestaron a ingenieros del Centro Nuclear Ruso por usar la supercomputadora de la agencia para esta actividad. Un mes después, funcionarios australianos comenzaron una investigación sobre un caso similar en la Oficina de Meteorología, donde los empleados usaron computadoras de trabajo para minar criptomonedas. En abril de 2018, un empleado del Instituto Nacional Rumano de Investigación de Física e Ingeniería Nucleares (que cuenta con uno de los láseres más potentes del mundo) también fue arrestado en un caso similar. Obviamente sin autorización y violando gravemente la seguridad de unas infraestructuras críticas que no pueden conectarse a redes generales como Internet.
Via: www.muyseguridad.net
1 note
·
View note
Text
Ciberguerra, podrían utilizar tus gadgets como arma ofensiva
Una nueva investigación realizada por Matt Wixey ha mostrado que muchos de nuestros dispositivos modernos pueden ser hackeados para ser convertidos en ciber-armas "ofensivas" de bajo grado que produzcan sonidos ensordecedores y desorientadores .
La gama de dispositivos va desde portátiles, teléfonos móviles, auriculares, sistemas de megafonía hasta varios tipos de altavoces.
Una vez controlados, éstos podrían causar daños físicos, acosar a las personas o interrumpir organizaciones más grandes.
Sonidos molestos
Wixey, quien es jefe de investigación en ciberseguridad de PwC, dijo que realizó los experimentos como parte del trabajo de doctorado sobre las formas en que el malware puede causar daños físicos directamente.
Intentó averiguar si el volumen y los controles de los altavoces de los dispositivos podían manipularse para que produjeran sonidos dañinos de alta y baja frecuencia.
Para ello utilizaron virus personalizados, vulnerabilidades conocidas y otros exploits para subvertir los dispositivos y hacer que emitan sonidos peligrosos durante largos períodos de tiempo.
"Algunos ataques aprovecharon vulnerabilidades conocidas en un dispositivo en particular, lo que podría hacerse localmente o remotamente en algunos casos", dijo a la BBC. "Otros ataques requerirían proximidad al dispositivo o acceso físico al mismo".
En un ataque, Wixey usó un programa que escaneó redes locales de wi-fi y Bluetooth en busca de altavoces vulnerables a los que tomó el control.
Cualquier dispositivo comprometido se utilizaría entonces para reproducir el sonido dañino
En algunos casos, los tonos que la gama de aparatos emitía sólo molestaban o desorientaban a la gente, pero sosteniendo el sonido durante un tiempo, los ruidos se acercaban a niveles que podían dañar la audición, comenta Wixey.
Hubo un caso, en que el propio dispositivo resultó dañado por las pruebas, ya que dejó de funcionar después de que el equipo lo hiciera emitir una serie de sonidos durante varios minutos.
Las pruebas se realizaron en una sala insonorizada y no hubo humanos involucrados durante la serie de experimentos, y aunque el equipo de Wixey se ha puesto en contacto con los fabricantes para intentar mitigar este tipo de vulnerabilidades, que duda cabe que estamos expuestos a multitud de dispositivos que podrían utilizarse en nuestra contra si no son protegidos correctamente. No sólo los usuarios debemos estar concienciados con respecto a la ciberseguridad, sino que los fabricantes deberían incluir obligatoriamente comprobaciones de ciberseguridad en sus procesos de fabricación al igual que lo hacen para la seguridad física.
Más info en el documento de la Def Con 27 de la charla de Wixey que podéis encontrar aquí
1 note
·
View note
Text
Hacktronian. Otra herramienta all-in-one para Pentesters
Hacktronian quiere hacernos la vida más fácil a los Pentesters ofreciendo un conjunto de herramientas de hacking accesibles a través de un menú.
Lo bueno es que se puede instalar tanto en Linux como en Android (mediante Termux y siendo root)
Esto es lo que contiene la herramienta
HACKTRONIAN Menu :
Information Gathering
Password Attacks
Wireless Testing
Exploitation Tools
Sniffing & Spoofing
Web Hacking
Private Web Hacking
Post Exploitation
Install The HACKTRONIAN
Information Gathering:
Nmap
Setoolkit
Port Scanning
Host To IP
wordpress user
CMS scanner
XSStrike
Dork - Google Dorks Passive Vulnerability Auditor
Scan A server's Users
Crips
Password Attacks:
Cupp
Ncrack
Wireless Testing:
reaver
pixiewps
Fluxion
Exploitation Tools:
ATSCAN
sqlmap
Shellnoob
commix
FTP Auto Bypass
jboss-autopwn
Sniffing & Spoofing:
Setoolkit
SSLtrip
pyPISHER
SMTP Mailer
Web Hacking:
Drupal Hacking
Inurlbr
Wordpress & Joomla Scanner
Gravity Form Scanner
File Upload Checker
Wordpress Exploit Scanner
Wordpress Plugins Scanner
Shell and Directory Finder
Joomla! 1.5 - 3.4.5 remote code execution
Vbulletin 5.X remote code execution
BruteX - Automatically brute force all services running on a target
Arachni - Web Application Security Scanner Framework
Private Web Hacking:
Get all websites
Get joomla websites
Get wordpress websites
Control Panel Finder
Zip Files Finder
Upload File Finder
Get server users
SQli Scanner
Ports Scan (range of ports)
ports Scan (common ports)
Get server Info
Bypass Cloudflare
Post Exploitation:
Shell Checker
POET
Weeman
Instalación en Linux :
(la herramienta hay que ejecutarla como ROOT)
git clone https://github.com/thehackingsage/hacktronian.git
cd hacktronian
chmod +x install.sh
./install.sh
Lanzarla escribiendo hacktronian
Instalación en Android :
Abrir Termux
pkg install git
pkg install python
git clone https://github.com/thehackingsage/hacktronian.git
cd hacktronian
chmod +x hacktronian.py
python2 hacktronian.py
Más info en su repositorio de GitHub
1 note
·
View note