Tag Archives: Seguridad

  • 0

Gobierno mexicano espia por completo a periodistas

Tags : 

Estamos hablando del escándalo de Pegasus, que es capaz de grabar todas las conversaciones que emiten así como datos personales. Lo peor del asunto es que también fue instalado en familiares de los periodistas.

El gobierno está atento a la crítica y por que este tipo de personas hacen uso de la libertad de expresión frente a otros miles o incluso millones se volvieron el punto importante para el gobierno. Algunos de estos periodistas fueron Carmen Aristegui, Mario Patrón, Juan Pardinas, Carlos Loret de Mola y Salvador Camarena entre muchos más.

Por supuesto que al enterarse que todo esto salió a la luz el gobierno dijo lo siguiente:

“Como cualquier régimen democrático, realizamos actividades de inteligencia para combatir al crimen organizado y amenazas contra la seguridad nacional, pero rechazamos categóricamente que alguna de sus dependencias realice acciones de vigilancia o intervención de comunicaciones de defensores de derechos humanos, periodistas, activistas anti-corrupción o de cualquier otra persona sin previa autorización judicial.”

La forma en la que fueron infectados fue específicamente a través de mensajes de texto con el link del exploit, lamentablemente todos cayeron pues fueron enviados específicamente en base a sus intereses o miedos.

Periodistas

Periodistas


  • 0

Backdoors en WordPress con MySQL

Tags : 

Es una técnica muy utilizada por atacantes puesto que dejar un backdoor en MySQL rara ocasión es revisado y esto se debe a que no piensan que puedan lograr dejar algo que afecte o permita posteriormente acceder al sistema; es decir que piensan que con borrar la webshell se termina el problema pero no es así, ahora te explicaremos como funcionan los backdoors en MySQL con un sitio WordPress aunque obviamente funciona en cualquier sitio que cuente con SQL.

Ahora, los backdoors en SQL se basan por completo en triggers y te preguntarás ¿que es un trigger? bueno, en pocas palabras es algo que desencadena un evento cuando sucede algo, si… es un poco complicado de explicar, pero poniendo un ejemplo es si una tabla es actualizada se activa el trigger.

En el siguiente ejemplo crearemos un js como prueba de concepto (cabe destacar que el usuario debe tener permisos de TRIGGER, es decir si es DBA no tienes problemas pero si no lo es debes verificar):

Esto hará que se agregue el código a todos los posts cuando alguien publique un comentario en cualquiera de ellos, obviamente esto es escandalosisimo por que será más que obvio cuando aparezca el alert sin embargo sirve como PoC pues así como se agregó eso los atacantes pueden poner malware o algun otro js malicioso.


  • 0

Los ataques a aplicaciones web crecieron un 35% en el primer trimestre de 2017

Tags : 

Los ataques son originados desde Estados Unidos. Los objetivos como era de esperarse es el mismo Estados Unidos, Brasil, Reino Unido y Alemania.

Tan solo Estados Unidos recibió un alza del 57% en los ataques que recibió. Gran parte de la culpa en el aumento de estos ataques los tienen las Botnets que no solo han hecho estragos en grandes empresas en años pasados sino que también han podido evolucionar y adaptarse a estos tiempos y cambios.

Los 3 mayores ataques fueron SQLi (44%), LFI (39%) y XSS (10%). Las cantidades son alarmantes, tan solo en Estados Unidos fueron 221 millones de intentos mitigados.

Si esto es empezando el año ¿que estarán preparando los atacantes para lo que resta del mismo? recordemos que las botnets y ataques están en constante evolución, es por esta razón que debemos estar preparados y nuestra infraestructura debe ser bastante segura.


  • 0

Malware ¿que es y que tipos hay?

Tags : 

Cuando se habla de malware generalmente imaginamos que solo son los virus y la verdad es que es erroneo, tiene muchas variantes y aquí te platicaremos todas y cada una de ellas pero antes que nada sería importante definir que es el malware.

Malware en inglés significa Malicious Software, su principal objetivo es infiltrarse o dañar una computadora. Entonces, cualquier parásito o infección es malware.

Los más conocidos son:

Virus: La forma en la que actúan es infectando a otros archivos del sistema para modificarlo o dañarlo, generalmente se encuentran en archivos ejecutables. Es muy interesante pues son como los virus biológicos pues al igual que estos el antibiotico es el Antivirus.

Gusanos: Se distribuyen por email o redes P2P y distribuyen código malicioso que posteriormente permitirán estafar o robarle a los infectados, igualmente son usados para ataques DOS (de los cuales ya hablamos).

Troyano: Se distribuyen en alguna aplicación y luego de pasar inadvertidos se instalan en el sistema, su objetivo es ser usados como instaladores de backdoors y posteriormente el atacante obtenga acceso al sistema, de ahí obtienen su nombre pues pasan inadvertidos como el caballo de troya.

Adware: Este simplemente es usado para desplegar publicidad molesta y es capaz de abrir ventanas emergentes o de agregar barras a los navegadores.

Spyware: Se utiliza para espiar y luego distribuir el uso que se le da a la pc para luego venderlo a empresas de publicidad, envia todo tipo de información como ips y habitos de navegación a sus servidores.

Keylogger: Recibe todo lo que teclees, su objetivo principal es obtener contraseñas, accesos y datos bancarios.

Phishing: Generalmente son por correos electrónicos para obtener información tal como accesos o datos bancarios. El objetivo es que los usuarios entren a paginas falsas y ahí ellos mismos proporcionen sus datos.


  • 0

Shadow Brokers venderá los exploits que obtuvieron mensualmente

Tags : 

Planean hacer un servicio de suscripción donde las personas que paguen dicha suscripción (que consiste en 100 ZCash o sea al cambio a usd serían aproximadamente 20,000 dlls) obtendrán de forma mensual un pack con exploits para exploradores web, routers, exploits para dispositivos móviles, Windows 10, armas, información de bombas e información privada de paises como norcorea, rusia, china, etc.

Esta descarga mensual va dirigida según palabras de Shadow Brookers a gobiernos, hackers y compañías de seguridad. Este servicio empezará a partir de Junio y como ya lo habrás notado seguro más de uno se interesará en el contenido de ese pack mensual.

La razón por la que decidieron utilizar ZCash es por que esta cuenta con un algoritmo que permite que las transacciones tengan un control de la información muy estricto, de tal forma que se protegen ellos y también se protege a la persona o institución que haya comprado dicha información.

El primer pack llegaría del 1-17 de Julio del presente año.


  • 0

Te contamos las posibles vulnerabilidades en QLink.it

Tags : 

QLink.it se trata de un sistema seguro que encripta y borra automáticamente el mensaje que pusiste pero además recientemente liberaron el código aunque según investigadores de Argentina tiene varios errores y a continuación te platicaremos brevemente acerca de ellos pero antes como es que funciona:

Encripta desde el lado del cliente -> Privado (nadie más lo lee pues es de solo una vez) -> Se autodestruye después de haber sido leido -> Volátil (no se guarda en disco sino en ram) -> Vence (el link dura solo un tiempo).

Entonces, a simple vista es perfecto sin embargo ahora si, te contaremos los bugs que tiene:

XSS:

La entrada de texto parece no filtrarse bien y lograron llamar un alert() desde ahí

Entrada y criptografía:

En el archivo RandomHasher.php y LandingNewController.php son generados en base al timestamp que se crea con Date.getTime() que el navegador envía o sea podría manipularse y esto es sumado al timestamp del servidor, toda esta información y que después hace otras multiplicaciones se pasa a mt_rand() sin embargo esto es inseguro al crear operaciones criptográficas.

Del lado del navegador en la parte donde encriptan utilizando CryptoJS también usan al final Math.random() que no es considerada segura en el lado de criptografía.

Ahora, en base a las pruebas de estos investigadores las pruebas que faltan serían si por ejemplo se pueden generar urls identicas (obviamente sin tener en cuenta que el sistema valida las peticiones a una por ip) .

Del lado de Math.random() sugieren simplemente utilizar otros mecanismos para que sea más segura la parte criptográfica.