KRACK Y WPA2… Todo lo que necesitas saber sobre la vulnerabilidad encontrada

Estos últimos días se habló mucho sobre la nueva vulnerabilidad sobre la actual mejor versión de seguridad WiFi WPA2 y las alertas sonaron sobre las empresas… pero tranquilo… esta nueva vulnerabilidad no trata de robarte la contraseña de tu router, es menos problemático que eso, pero aun así tomemos a consideración la siguiente información.

Si más no me equivoco esta vulnerabilidad salió a la luz el pasado 16 de Octubre, vulnerabilidad expuesta con el nombre de KRACK este no había sido hecha pública por los investigadores. Escribo esto después de un par de días de salir la noticia, puesto que, quería informarme bastante sobre el tema y traerles la información más exacta sobre esta vulnerabilidad.

Anteriormente dije que este KRACK no logra averiguar tu contraseña WiFi, sino que la vulnerabilidad se encuentra del lado del cliente, así que, quédate tranquilo de que alguien pueda robar tu contraseña con esta vulnerabilidad… pero, existe otras maneras de hacerlo y lo hablaremos en otro momento :D

A términos generales lo que hace esta vulnerabilidad es que… el atacante (estando dentro de la red WiFi) te engañe para que vuelvas a usar tu usuario y contraseña de tu red social o la contraseña que desee apoderarse. Esto se logra manipulando el cifrado de handshake. A continuación dejo un video referencial de cómo realizar dicho ataque.

Lo que busca hacer este ataque (recopilando), es que vuelvas a loguearte a tu cuenta pero sin que este utilice el protocolo HTTPS y así de manera más fácil con un SNIFFER como WIRESHARK este pueda obtener tu usuario y contraseña.

Ya lo dije antes y lo vuelvo a recomendar… no te unas a WiFi gratuitos o tendrás que sufrir las posibles consecuencias de un atacante. O por lo menos verifica que usas un protocolo seguro de Hipertexto…

DESCUBRE EL SIGNIFICADO DE TU NOMBRE?... Las nuevas tendencias y maneras de robar tu información sensible

Constantemente veo en Facebook veo muchas aplicaciones las cuales ayudan a “averiguar el significado de tu nombre” o uno algo antiguo como “Averigua a que artista te pareces”, los cuales parecen inofensivos pero… ¿Qué hay detrás de estos aplicativos?

Estos aplicativos, los cuales se hacen virales en poco tiempo, en su gran mayoría no son un juego simple de averiguar tu nombre o a que famoso te pareces, lo que traen detrás es una compañía desconocida la utilización de tus datos personales, incluso al grado de que tu cuenta pueda ser hackeada.

La compañía creadora de este aplicativo (Averigua a que famoso te pareces) viralizado en facebook se ha envuelto en polémica pues al querer conocer el origen o qué significa tu nombre, puede tomar información de tus datos para ser usados de diversas formas.

La web detrás de este peligroso juego es "descubrelo.com" y muchos ya han caído en su trampa. Cuando presionas en el enlace, automáticamente te pedirá que debas iniciar sesión en Facebook.

Realizando los pasos que este te pide, no solo accede a tu nombre sino a tus fotos, COTRASEÑAS, cumpleaños, estudios, estados, lugares visitados y finalmente postear en tu muro sin previo permiso tuyo.

Muchas veces incluso, pueden suplantar tu identidad en otras redes sociales para realizar fraudes por internet con rostro incluso tu nombre.

Así que ya lo sabes, si conoces a alguien o tienes la curiosidad de saber “el significado de su nombre”, lo mejor es que no lo hagas y compartas esta nota con tus amigos para que no puedan robar su información.

Tim Senft, fundador de Facecrooks.com, un sitio web que monitorea estafas y otros comportamientos ilegales o no éticos en Facebook, señaló que los creadores de estas páginas acumulan cientos de miles de likes y seguidores para luego desmontar la página y promocionar, por ejemplo, productos y obtener de esta forma una comisión.

Repito que esto no sucede con todas las aplicaciones, pero si con la gran mayoría, y tu en cuántos ya participaste?...

WANNACRY TIENE LAS HORAS CONTADAS… WannaKiwi y la solución al temible malware

Parece que las noticias de WannaCry llego a lugares donde muchos de los que estamos dentro del mundo de la seguridad informática nunca imaginamos, y que pena que tenga suceder estos acontecimientos para valorar a los profesionales en estas áreas y sobre todo a los dedicados a la informática.

Como ya es bastante conocido, el WannaCry encripta y secuestra la información de tu ordenador siendo el activo más importante de una empresa. Ahora existe la forma de liberarte de este gran problema…

Si eres uno de los que cayeron con este malware, te interesará saber que existe WannaWiki que, al ser incluso un software libre, logró recuperar archivos encriptados. Este software fue probado con éxito en sistemas operativos como XP, Windows 7, Windows 2003.

WannaWiki puede ser descargado en este link.

Tener en cuenta algo importante… si fuiste víctima de WannaCry, no debes reiniciar ni sobrescribir la memoria donde se almacena la clave para que este software pueda hacer efecto.

Recuerda que debes continuar con la buena práctica de realizar BackUp de tu información y no morir en el intento de sobrevivir en este mundo virtual…

ADENTRANDONOS EN UN RANSOMWARE… WannaCry y sus detalles temibles

Desde el viernes pasado, luego de tener el sonado ataque a muchas empresas españolas, se hizo viral el malware conocido como WannaCry, pero… ¿Qué es WannaCry?

WannaCry es un ransomware que vio la luz el viernes 12 de Mayo de 2017 atacando a ordenadores con sistemas operativos Windows xp, vista, en adelante. Este malware es peculiar puesto que puede afectar a toda un red con vulnerabilidad sobre mensajes del servidor de Windows SMBv2. Este malware escanea la red por el puerto 445.

Este malware, dicho sea de paso, evoluciono tras el recurrir los años, ya que esta modalidad existe -

desde 1999.

Se dice que hay forma de contrarrestar este malware, este hecho fue realizado de manera accidental registrando un dominio inexistente, que hace que el ransomware WannaCry deje de extenderse. "Vi que el malware tenía codificadas consultas a un dominio muy largo, que no estaba registrado", asegura. "Si WannaCry ve que ese dominio está activo, deja de extenderse".

Otro dato curioso es que no se debe bloquear el dominio kill-switch que cuando el malware es capaz de alcanzar el dominio kill-switch no se extiende más, las direcciones:

• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Estos dominios kill-switch tienen teclas de la fila superior del teclado. En otras palabras, alguien aplastó el teclado para generarlo. Este fue encontrado en el código WannaCry.

Al parecer esta es la forma para detener el avance por parte de los creadores de este malware. Ahora es bueno tomar en cuenta que WannaCry se encuentra actualmente en su versión 2.0 el cual ahora se propaga más rápido por una red.

Como evitarlo  o contrarrestarlo?

• Por ningún motivo bloquear los dominios Killswitch.
• Bloquear el puerto 445 del tráfico SMB en el servidor de seguridad fronteriza
• Realizar un BackUp de tu información, no solo ahora, si no de forma regular.
• No está de más tener un Linux live a la mano.
• Actualiza tu antivirus, aunque aún muchos no pueden evitar infectarse, a lo menos pueden ayudar en algo.
• Actualiza tu Windows, este parche ayudará a evitar que pases la pena de infectarse por este temido ransomware
• No abras archivos de correos electrónicos desconocidos incluso de los mismos conocidos, antes verifica su procedencia ya que actualmente es sencillo suplantar un correo electrónico cualquiera.
• Restringir el acceso a los recursos de red.
• Bloquear puertos innecesarios.

Bueno… eso es todo por ahora, recuerda que por el hecho de que dicho malware aun no llega a tu país o ciudad, quiere decir que estés librado, solo basta un clic para desatar el terror…

RANSOMWARE EN TELEFONICA… Ataque de cibercriminales en la red interna de telefónica

En la mañana de hoy viernes, telefónica, donde el gran conocido hacker Chema Alonso labora, sufrió un ataque de cibercriminales los cuales lograron “secuestrar” la red interna. Dichos criminales piden más de 500 mil euros para la liberación del 85% de los ordenadores de la empresa.

Se dice que en la actualidad se la orden de apagar todos los ordenadores, gran parte de estos host mostraron pantallazos azules por motivos de la desconexión de la red, además de mostrar algunas imágenes pidiendo el dinero para el rescate de la información.

Además este ataque está latente en grandes empresas españolas, según CNI confirmó de un ataque masivo de ransomware mediante el sistema operativo Windows, las empresas están realizando las acciones correspondientes para poder actuar ante el ataque que se encuentra latente.

Muchas personas relacionadas al mundo de la Seguridad informática, conocerán al gran hacker Chema Alonso el cual dios una respuesta inmediata por su twitter sobre el ataque, indicando “la seguridad interna de Telefónica no es una de mis responsabilidades directas”.

Aun no se confirma la autoría de dicho ataque, algunos especulan que puede venir de China o incluso aducen que puede ser causado desde dentro de Telefónica apoyando a cibercriminales externos. Solo queda esperar la pronta respuesta del equipo de seguridad informática de Telefónica además de lo que pueden compartirnos.

HACKING BIOMÉTRICO… Robando tus huellas digitales con una simple fotografía

Actualmente la necesidad de poder proteger tus dispositivos digitales sigue en crecimiento y esto es una necesidad que los proveedores de dichos dispositivos van mejorando generación tras generación. Llegando al punto de lograr desde años atrás la autenticación de acceso mediante el uso de la biometría como el rostro, huellas digitales entre otros.

Muchos de los móviles ahora tienen incorporado el lector de huella para poder autenticarse y lo lógico es pensar que la única forma de robarte dicho factor de autenticación es usando TU dedo, esto día a día eso se hace más factible lograr, robar tu huella digital se hace cada vez más fácil incluso utilizando una fotografía.

Un miembro de la red de piratas informáticos Chaos Computer Club (CCC) asegura que clonó una huella dactilar de la ministra de Defensa alemana.

Jan Krissler, también conocido por su alias Starbug, un investigador de la Universidad Técnica de Berlín (Alemania), demostró que era capaz dereproducir la huella digital de la actual ministra de Defensa alemana, Ursula von der Leyen, a partir una foto de su pulgar y de instantáneas desde diferentes ángulos.

Es lógico que se necesita circunstancias básicas para hacer posible este “robo” desde tener una buena resolución, una proximidad respetable, iluminación adecuada entre otros. Pero es bueno recalcar que se hizo pruebas con cámaras con características de media, sacando fotografías de una distancia de 3 metros y logrando obtener la huella digital de la persona.

Ahora… está claro que este tipo de información pueda generar un cuidado en las fotografías que se publica e redes sociales, puesto q existen millones y millones de fotos mostrando la señal de paz y amor. Entendiendo realmente la situación crítica es bueno utilizar más factores de autenticación, expertos aseguran que hasta niños pueden realizar este tipo de robos de huellas dactilares.

Muchos políticos aseguran que usaran desde ahora guantes en sus conferencias puesto que es un peligro latente, además que existen países como Japón que se sacan fotografías usando guantes puesto que entienden la gravedad y el peligro real que existe.

Y tu… tienes fotografías exponiendo tus huellas dactilares?...

ZONA DESMILITARIZADA EN UNA RED… DMZ red a salvo de curiosos

Dentro del mundo de la seguridad informática existe la posibilidad que al entrar dentro de un servidor sea web, FTP o de correo, y se pueda lograr infiltrase mediante estos a la red interna logrando comprometer el activo más importante de la empresa… su información.

Grandes empresas que brindan servicios vía online como bancos, universidades, entre otros, tienen sus servidores dentro de su LAN, siendo estos un puente entre la WAN y su red interna y para los cibercriminales una oportunidad de colarse dentro de la red y realizar acciones con ransonware o malware para su beneficio personal y sobre todo de su bolsillo.

En todo caso, se debe tener claro que la única idea de una DMZ es tener servidores que sean accesibles desde Internet y que físicamente estén instalados en nuestra red. El problema se genera cuando la compañía tiene servidores locales que deben ser accesibles desde Internet y el administrador de redes o encargado de la infraestructura se comienza a preguntar cómo y donde los instalará.

La DMZ está comprendida de  un firewall el cual sirva para crear reglas específicas de seguridad y NAT que permitan el tráfico proveniente de Internet solamente hacia esa zona. El NAT estático estaría asociado entre las IP públicas y las IP asignadas a cada servidor en la DMZ. Así, si un hacker vulnera la seguridad de uno de los servidores, este no tendría acceso a la red LAN corporativa.

Claro está que es muy importante crear las reglas de manera correcta, permitiendo y denegando servicios en específico.

Ahora si estas en una empresa, implementa o mejora tu DMZ y si estas en casa usa un DMZ en tu router…

BITÁCORA DEL HACKER 004

El siguiente tutorial tiene fines educativos buscando enseñar algunas técnicas hacker, con el fin de evitarlas y no de incentivar su mal uso. No me hago responsable sobre un uso incorrecto de estas herramientas.

En el siguiente tutorial haremos un ataque de tipo Spoofing, logrando suplantando de manera fácil y básica un email, con lo cual aca solo se necesita tener un conocimiento muy básico de PHP y tener una cuenta de hosting, sea gratuito o pagado, en el cual pueda correr dicho código.

Este tipo de ataques es uno de los más comunes y utilizados, puesto que muchos de las víctimas no conocen esta capacidad sencilla de suplantar una identidad, logrando así, sacar información de las mismas utilizando de la mano la ingeniería social.

Sin más preámbulo, siguiendo con la bitácora debemos crear el archivo .php el cual deberá contener lo siguiente:

En el apartado de “$to” se deberá colocar el email donde será enviado, y en “$from” el email de la persona a suplantar, finalmente en la línea 8 realizar l magia de la suplantación.

Previamente, como lo indique, se debe contar con un hosting en el cual dentro del administrador de archivos como se indica

Se debe subir el archivo .php como se muestra en la imagen

Finalmente lo único que falta es abrir el archivo y este se ejecutará mandando un correo a la persona designada en el apartado de “$to”.

Como pueden ver, el fallecido Steve Jobs “me mando un mensajes”, con esto queda claro que la suplantación usando el e-mail Spoofing es una técnica muy fácil de realizar, pero además dejar en claro que es fácil de evitar, pero de eso hablaré en otro momento.

SUPLANTANDO TU IDENTIDAD… Spoofing una técnica de hacking

El Spoofing, dentro del ámbito de la seguridad informática, hace referencia a la suplantación de identidad ya sea un dominio, correo electrónico o una dirección IP. Esta técnica tiene un uso bastante frecuente para realizar estafas o ataques de tipo phishing entre otros.

Para poder realizar este tipo de ataques, se necesita a 3 actores los cuales constan de 2 víctimas y el atacante. Una víctima será el mail supuesto que tomará el puesto de “emisor” y la otra víctima será el receptor, el puesto del emisor (victima 1) será suplantado por el atacante haciéndose pasar por este. Finalmente obtener la información necesaria que requiere para su ataque y continuar con los mismos.

Dentro de este modelo de ataques, se tiene bastantes tipos, dependiendo de la información que se desee obtener o si este solo es parte de un ataque más grande… como el supuesto dinero que ganaste y te llegó la notificación y solo desean tu USUARIO y CONTRASEÑA para corroborar tus datos. Dentro de los tipos de Spoofing tenemos:

• IP Spoofing haciendo referencia a la suplantación o falsificación de IP.
• ARP Spoofing suplantación de identidad por falsificación de tabla ARP (relación IP‐MAC).
• DNS Spoofing suplantación de dominio resolviendo con una dirección IP falsa un cierto nombre DNS o viceversa.
• Web Spoofing o también conocido como phishing.
• E-mail Spoofing suplantación de identidad logrando enviar un mail falso, con credenciales altamente creíbles.

Cada una de estos modelos de ataque tiene sus metodologías para poder defenderse y evitar que sucedan, puesto que la suplantación de una persona sea tu jefe, un representante de Facebook o alguien al que tienes que responder de manera rápida, puede hacerte caer en grandes fraudes y obtener información que los atacantes desean obtener.

Solo queda aprender la forma de no caer y saber corroborar los datos originales, este método es fácil de realizar además fácil de incurrir como víctima, y tú puedes ser el próximo…

SECUESTRO DE LLAVES ELECTRÓNICAS EN HOTEL… Hotel inteligente sufre ataque ransonware

Anteriormente escribí un artículo explicando sobre la modalidad de secuestro de información usado por ciberdelincuentes el cual es denominado RANSONWARE, dentro del cual se explica el gran problema que puede ocasionar dependiendo del tipo de empresa que sea candidato a víctima.

Un caso importante sucedió en el mes de enero, donde, un hotel considerado Smart por la tecnología que usa e implementa en su servicio, fue atacado, ocasionando que las cerraduras electrónicas dejaran de funcionar, logrando esto mantener a los cientos de huéspedes afuera y algunos dentro de sus habitaciones sin poder hacer nada.

Como era lógico este tipo de ataques tiene forma de poder revertirlos sin pagar a los cibercriminales, los cuales puede tomar su tiempo, en este caso en concreto no se tenía el tiempo necesario, puesto que podía generar una gran molestia a sus cliente. Tomando la decisión de pagar a los atacantes.

Ransonware está tomando fuerza día tras día de su uso, siendo la forma más rápida de obtener dinero. El pago que se realizó a dichos atacantes fue con monedas bitcoins el cual ascendía a los 1500 euros.

Además de obtener el control del sistema de llave electrónica, los piratas informáticos, incluso obtuvieron el control sobre el sistema general de la computadora, el cierre de todos los ordenadores del hotel, incluyendo el sistema de reservas y el sistema de recepción de efectivo.

Ahora, es lógico pensar que después de este ataque, se dejaron puertas traseras buscando tener aun acceso al hotel para futuros ataques. Afortunadamente, las normas de seguridad del hotel se habían mejorado por su departamento de TI y redes críticas habían sido separados para frustrar el ataque, haciendo que los atacantes no tengan ninguna posibilidad de dañar el hotel de nuevo.

Los directivos del hotel decidieron hacer público dicho ataque para advertir de dicho peligro es latente en las redes.

"La casa fue totalmente lleno con 180 personas; no teníamos otra opción. Ni la policía ni de seguro le ayuda en este caso. La restauración de nuestro sistema después del primer ataque en verano nos ha costado varios miles de euros. No nos dieron ningún dinero del seguro de lo que va porque ninguno de los culpables se pudo encontrar. Cada euro que se paga a los chantajistas nos duele. Sabemos que otros colegas han sido atacados, que han hecho de manera similar" declararon.

Bitcoin fue la moneda por el cual se pidió el rescate, puesto que este no está sujeto a transacciones transparente, este tema lo extenderé en otro artículo.

No pienses que nadie quiera secuestrar tu información como tu tesis terminada, trabajo final o el proyecto que estaban esperando en tu oficina, TODOS somos vulnerables…