Un informático en el lado del mal: TIDoS Framework: Un proyecto para auditar webs desde la consola de comandos

Origen: Un informático en el lado del mal: TIDoS Framework: Un proyecto para auditar webs desde la consola de comandos

Las aplicaciones web son suculentos objetivos para los cibercriminales que quieren entrar en tu empresa o en tu negocio, por ello cuando diseñemos y desarrollemos cualquier aplicativo web debemos tener la seguridad en mente en cada momento de su ciclo de vida. Una tarea muy importante es pasar las pertinentes pruebas de seguridad a todos los niveles que lleva la creación, puesta en marcha y mantenimiento de un servicio web.

Figura 1: TIDoS Framework: Un proyecto para auditar webs desde la consola de comandos

Como sabéis, el diseño de una aplicación debe estar en la fase de creación e implementación, como vimos en el artículo de «SecDevOps: Una explicación en cinco minutos» y llevar a cabo nuestro querido y necesario proceso de Ethical Hacking constantemente sacando el máximo partido de las técnicas de Hacking Web Technologies , ya sean Server-Side como son las vulnerabilidades de SQL Injection en aplicaciones web o los ataques Client-Side como XSS, CSRF, ClickJacking y similares.

Para hacer esta segunda parte, es decir, para hacer las pruebas de Ethical Hacking, existen numerosas herramientas que nos ayudan en la tarea. De ellas hemos hablado y seguiremos hablando de muchos, pero hoy quiero hablar de TIDoS, que es un framework menos conocido.

Figura 3: TiDoS framework en GitHub

La herramienta se usa a través de una interfaz de texto intuitiva, en este framework se agrupan distintas funcionalidades destinadas a probar nuestras aplicaciones webs, además cuenta con módulos para hacer recolección información, tanto de manera pasiva, como activa.

Preparando nuestro equipo para usar TIDoS

Lo primero, antes de empezar a probar sus funciones, es instalar las dependencias y descargar la herramienta. Para trabajar aquí se hará uso de una versión de Kali Linux, tan útil para el pentesting, como siempre. Ejecutamos el siguiente comando:

sudo apt install libncurses5 libxml2 nmap tcpdump libexiv2-dev build-essential python-pip default-libmysqlclient-dev python-xmpp

Figura 4: Instalando dependencias para TIDoS en Kali Linux

Para continuar, descargamos TIDoS del repositorio de GitHub, ejecutando el siguiente comando:

git clone https://github.com/0xinfection/tidos-framework.git

A continuación, nos movemos al directorio de TIDoS y lo vamos a instalar. Para ello basta con ejecutar uno de sus ficheros:

chmod +x install; ./install

Se mostrará la siguiente pantalla, y al dar a la tecla Enter, empezará el proceso de la instalación. Pasado un rato no muy largo, tendremos que ver un mensaje por pantalla que nos diga que el proceso ha terminado: «Setup successful».

Figura 5: Instalando TIDoS en Kali Linux

Llegados al final de esta parte del proceso de la instalación,  ya está todo listo para empezar a probar el framework con aplicaciones web y ver qué se puede sacar de esta herramienta.

Haciendo uso de TIDoS

Ya podemos iniciar el framework. Para ello basta con poner tidos en una terminal y empezar a probarla. El uso es sencillo, cuenta con menús y números que tendremos que ir seleccionando, para testear las diferentes funcionalidades. Además tendremos que dar cierta información para que pueda realizar su trabajo correctamente configurando cada prueba.

Figura 6: Iniciando TIDoS y configurando el objetivo

El primer dato que introducir será el nombre de dominio FQDN o la dirección IP del objetivo. En nuestro caso es la dirección IP de una máquina de pruebas en la red local. Recuerda tener permisos o ser el propietario de la web a probar, no te metas en líos innecesarios por probar una herramienta. Eso sí, siempre puedes probar sitios Hacking Friendly.

Nada más iniciar, veremos menú inicial, que nos dará cinco opciones para comenzar a trabajar sobre nuestro objetivo, que son las siguientes que puedes ver a continuación:

1. Reconnaissance & OSINT
2. Scanning & Enumeration
3. Vulnerability Analysis
4. Explotiation (Beta)
5. Auxiliary Modules

La opción de Exploitation se encuentra en fase beta y aún tiene que crecer, por lo que la obviaremos. El punto de los Auxiliary Modules tampoco se probará en esta primera toma de contacto. En este apartado se nos ofrecen opciones para generar hashes, hacer encodes de payloads o extraer metadatos de imágenes entre otras opciones.

La primera opción que vamos a elegir es hacer es un poco de Hacking con Buscadores usando Google que se encuentra en el punto 1 dentro de las opciones de OSINT. Ponemos el termino a buscar y limitamos el número de resultados (recomiendan no poner más de 30).

Figura 7: Buscando información sobre Chema Alonso

Existen muchas otras opciones, que te invito a investigar. Ahora pasamos al punto de Scanning & Enumeration, y probamos a usar un escáner de puertos del tipo Stealth, nos pide el rango de puertos y si queremos ponerlo en modo verbouse.

Figura 8: Configurando un scanner de puertos en modo stealth

Hace su función correctamente, aunque para estos casos sigo prefiriendo tirar de nmap como hace la gran mayoría de pentesters, que sus opciones son cuasi-infinitas. Pero siempre viene bien conocer alternativas. El resultado de esta prueba se muestra en la imagen siguiente.

Figura 9: Resultado del escaner en modo stealth

Toca pasar al punto de Vulnerability Analysis, y escanear en búsqueda de vulnerabilidades web en el objetivo. Dentro de la página Mutillidae II, proyecto de OWASP, se cuenta con un entorno con varias vulnerabilidades. Este objetivo nos puede servir como entorno perfecto de pruebas para ver cómo se comporta TIDoS.

En esta primera evaluación probamos la detección de los bugs de Clickjacking, dentro de los bugs básicos, y obtenemos el resultado que se ve en la imagen siguiente. Podemos guardar el código de la PoC que ha dado positivo en un fichero HTML.

Figura 11: Se ha detectado un código vulnerable a ClickJacking

Si pasamos a probar una de las vulnerabilidades críticas (XSS), para usar este módulo, tenemos que elegir entre dos modos, el automático o el manual, donde le pasamos la URL a probar.

Figura 12: Prueba de XSS manual positiva

Como se puede ver, al probar el payload se ha conseguido un valor positivo que habrá que probar en real a ver si es un falso positivo o de verdad es vulnerable – en este caso es vulnerable -.

PoC – Vídeo TIDoS

La mejor forma de conocer una herramienta es probarla, pero para abrir boca, otra opción que puede ayudar es ver un pequeño vídeo de la herramienta en acción. Aquí dejamos una pequeña PoC lanzando el módulo de XSS que acabamos de probar.

Figura 13: PoC: Prueba de XSS con TIDoS

Conclusión

TIDoS es una herramienta para tener en cuenta, y si te ánimas, ayudarla a crecer. Todavía tiene posibles mejoras, por ejemplo, a veces se queda pillada o entra en bucles infinitos y hay que tirar de CTRL+C y toca volver a empezar. Además, bajo mi punto de vista debería dar más información sobre los problemas que se va encontrando. Por ahora te regresa al menú y antes, durante un segundo ,muestra las excepciones, que se pueden ver en la imagen siguiente, por problemas de conectividad que se detectan con bloqueos de seguridad o fallos de red.

Figura 14: Error de conexión que se puede leer solo durante 1 segundo

Estaremos atentos a las actualizaciones, y seguiremos probando la herramienta, a ver si llegan mejoras y nuevas funcionalidades. Desde luego es un trabajo muy grande y hay que agradecer este tipo de proyectos y ayudarles a seguir creciendo, dando ideas, con críticas constructivas o haciendo Pull Requests a los proyectos (aunque éste actualmente no acepta). Desde aquí quiero felicitar a 0xInfection por dar vida a TIDoS.

¡Hasta la próxima!

Hacking Fitness vía Garmin Connect 1 #Garmin #Fitness

Garmin Connect es una plataforma para deportistas que utilizan dispositivos de la marca Garmin para monitorizar en tiempo real, gracias al sistema GPS, variables importantes en la práctica del deporte como velocidad, metros de desnivel, posicionamiento dentro de un mapa, ritmo cardiaco, creación de historiales de recorridos e incluso crear pequeñas comunidades, donde los usuarios definen segmentos y utilizan gamificación para competir dentro del segmento y ver quién marca el mejor tiempo.

Figura 1: Hacking Fitness vía Garmin Connect [Parte 1 de 2]

Para compartir la información con otro usuarios, basta instalar la app en el smartphone y vincular éste con el dispositivo Garmin a través de Bluetooth, crear una cuenta gratuita en la plataforma Garmin Connect y vincular la cuenta de correo electrónico utilizada para la creación de la cuenta en el portal web en la app del smartphone. Una plataforma que, antes de almacenar los datos personales de cada usuario, llama la atención para hacer algo de «Hacking con Buscadores» y conocer cuál es su robustez.

Figura 2: Hacking con Buscadores. Google, Bing, Shodan & Robtex

Como hemos visto anteriormente en el pasado, en plataformas como Endomondo (Róbame, que estoy así de sano y estoy haciendo deporte) o Runtastic (Otra red social de deportistas que publican su ubicación y su estado de salud) , si los usuarios no han tomado las adecuadas protecciones, si la plataforma no ha tomado las suficientes medidas para evitar los info-leaks y si el servicio web no ha configurado correctamente las opciones de información,  la privacidad de los usuarios podría verse afectada, y esto es lo que vamos a ver hoy.

Figura 4: Proyecto de ElevenPaths sobre info-leaks en webs de deportistas

En el pasado, el ejercito militar americano, tuvo que prohibir el uso de dispositivos y servicios como Strava, porque los datos que subían sus soldados pudo revelar la ubicación de bases secretas, como vimos en el artículo «¿Los datos de Strava delatan a los militares de USA?»

Análisis de Fichero robots.txt en Garmin Connect

Analizamos en la plataforma la existencia del fichero robots.txt utilizado para impedir a los motores de búsqueda la indexación de cierto contenido web. Observamos que no existe, así que la probabilidad de que los motores de búsqueda hayan indexado información web del sitio, como, por ejemplo, datos de las cuentas de los usuarios relacionados con su actividad física es elevada.

Figura 5: No existe el fichero robots.txt en la web del servicio Garmin Connect

Ya hemos visto en el pasado que el tener un fichero robots.txt no es una garantía total, y que incluso se podría convertir en una fuga de información en sí mismo, pero bien configurado ayuda a evitar problemas de info-leaks. Y en la web de Garmin Connect no existe.

Figura 6: Robots.txt en Garmin Connect not found

Como curiosidad, al realizar la petición del recurso “robots.txt” al nombre de dominio principal, observamos que sí que existe, aunque “de aquella manera”, porque no ha sido configurado siguiendo buenas prácticas. No

Figura 7: Fichero robots.txt para el nombre del dominio principal

Además, no es posible obtener información interesante a partir de las rutas relativas de recursos almacenadas en el fichero “robots.txt”. No obstante, hay que recordar que el sitio web podría hacer uso de Headers HTTP X-Robots-Tags «NoIndex» o de etiquetas HTML  META NoIndex en páginas web para evitar la indexación, así que la prueba del nueve es comprobar cuántas URLs de perfiles de usuarios de Garmin Connect se han quedado indexadas en los buscadores.

Búsqueda de URLs de actividades deportivas de usuarios

Una vez dentro de la plataforma, en la zona de actividades del usuario, se observa en la URL un posible patrón común para todas las actividades registradas de los usuarios de la plataforma: “modern/activity”

Figura 8: URL con la información de una ruta en bicicleta de Amador Aparicio (@amadapa)

Haciendo, como hemos dicho al principio, un poco de “Hacking con Buscadores” se observa como Google tiene indexados casi 100.000 resultados relacionados con la actividad de los usuarios de la plataforma, lo que es una auténtica salvajada. Y desde el punto de vista de negocio de Garmin Connect extraño, ya que está entregando los datos de todos sus usuarios a Google.

Figura 9: Resultados indexados en Google de usuarios de Garmin Connect

Con una sencilla consulta, se determina que es posible acceder a la información de las actividades usuarios de la plataforma sin la necesidad de tener una cuenta en ella, seguramente porque la cuenta no cuente con la configuración de privacidad adecuada o porque los usuarios quieran compartir esta información con el resto de usuarios de Internet.

Figura 10: Información de la actividad deportiva de un usuario junto con el dispositivo Garmin utilizado.

Además, para cada actividad pública, es posible conocer el dispositivo Garmin que registró y volcó la información deportiva en cada una de las actividades, junto con la versión de software que tenía en ese momento. De nuevo, un info-leak de un dispositivo igual que el sistema de recuperación de contraseñas de Google, lo que permite a una empresa tipo Cambridge Analytica realizar una mejor base de datos de las personas a atacar en campañas de Fake News.

Autor: Amador Aparicio de la Fuente (@amadapa), escritor de libro «Hacking Web Technologies«

Hacking Fitness vía Garmin Connect 2

Tras encontrar en la primera parte de este artículo que en Google hay indexadas casi 100.00 URLs con datos de actividades de  usuarios – más las que se puedan bruteforcear con alguna herramienta como OSR-Framework o el proyecto Dirty Business Card, vamos a continuar con la búsqueda de info-leaks que se producen en la plataforma Garmin Connect haciendo más uso de las sencillas técnicas de «Hacking con Buscadores«.

Figura 11: Hacking Fitness vía Garmin Connect [Parte 2 de 2]

Vamos a comenzar intentando hacer un perfilado de los usuarios por medio de la información que es pública de la plataforma y que, en principio, está indexada en Google.

Profiling de usuarios

Teniendo acceso de manera pública a las actividades de los usuarios, se comprueba cómo es posible acceder al perfil de cada uno de ellos, además de hacer “dorking” en función del patrón de URL del perfil de los usuarios:

Figura 12: Dorking para buscar información de los perfiles de usuarios.

En algunos perfiles, se observa que el punto de origen de la actividad y el punto de finalización es el mismo, lo que hace suponer que vive allí o en un lugar muy próximo a él. Esto es algo que ya se había visto en el caso de las bases secretas militares con los datos de Strava o en el caso de Endomondo con Robme. No se debe dar activar el origen y el final de una ruta de deporte pública en la ubicación en la que uno vive.

Figura 13: Usuarios en repetidas actividades con mismo lugar de origen y final

Estos usuarios con el mismo punto de origen y de finalización de la actividad física podrían estar dando información que afecte a su seguridad física personal, sobre todo si es relativa a rutinas constantes de la persona.

Figura 14: También se deja, como se ve, la información del dispositivo Garmin usado.

Dado que la plataforma hace uso del servicio Google Maps, es posible obtener información más detallada de los puntos de origen y finalización de la actividad, como por ejemplo el nombre y número de las calles donde se comienza y termina una ruta.

Figura 15: Información más precisa de los puntos de origen y de finalización de la actividad.

Pero con esta información, ya se puede continuar con un proceso e OSINT más completo sobre la persona, ya que se ha dado demasiada información pública a todo el mundo. Vamos a ver cómo estos datos pueden seguir alimentando bases de datos con nuestra privacidad personal.

Datos de carácter personal del usuario

Hasta  este momento, tendríamos el nombre y apellidos del usuario, así como el nombre de la ciudad y calles que más frecuenta porque en ellas inicia o termina buena parte de sus actividades deportivas. También aparece en el perfil de los usuarios el nombre de sus perfiles en otras redes sociales.

Figura 16: Información de las redes sociales utilizadas por uno de los usuarios

Con la información anterior, sería relativamente sencillo obtener datos de carácter personal de los usuarios, siempre y cuando se hayan publicado en Internet previamente y no se hayan eliminado. Una buena fuente son las clasificaciones en las carreras, que al final dejan información pública de todos los deportistas que han participado. En la siguiente imagen incluso aparece un correo electrónico de uno de los usuarios:

Figura 17: Dirección de correo electrónico indexada por Google

Con el nombre de correo electrónico es posible extraer el nombre y apellidos del usuario, ya que ha utilizado esa cuenta de correo para utilizar servicios en Internet en lo que ha introducido datos de carácter personal. Hay muchas bases de datos en la red con esta información, así que hay que tener mucho cuidado con dónde están publicados nuestros datos.

Figura 18: Datos de carácter personal del usuario publicados en web de teléfonos

Y ya, para terminar de perfilar a los usuarios y tener toda la información de una determinada zona geográfica para hacer una base de datos con los vecinos y correr algoritmos de Machine Learning que los agrupen en grupos de Insights, podemos seguir tirando del hilo.

Marca y modelo del smartphone del usuario

Con el nombre de usuario de la cuenta de correo electrónico anterior, se puede probar el en el servicio de correo electrónico de Google para tratar de obtener qué dispositivo móvil tiene, en caso de que éste esté vinculado a una cuenta de correo electrónico de Gmail y el usuario utilice este servicio, como ya vimos en un artículo anterior.

Figura 19: Información del dispositivo móvil utilizado por el usuario con la cuenta de correo electrónico vinculada a él

Con las opciones del servicio de correo electrónico y de recuperación de la contraseña que proporciona Gmail se determina que el usuario dispone de una cuenta de correo en Gmail y que ésta se encuentra vinculada a un dispositivo móvil, un “Huawei Honor View 10”, que probablemente da alguna idea de los gustos, preferencias o ideas de una persona sobre algunos temas tecnológicos o económicos.

Conclusiones sobre este artículo

Si usas la plataforma Garmin Connect y no quieres que tus datos personales queden expuestos o se pueda llegar hasta ellos por una configuración laxa de la privacidad de tu cuenta, puedes utilizar la configuración de privacidad que se muestra en la siguiente imagen:

Figura 20: Configuración de privacidad de Garmin Connect

Lo ideal y respetuoso para la privacidad del usuario es que todos los perfiles tuvieran la opción por defecto de que los datos no los pudiera ver nadie, y además las apps y opciones de UX no deberían a incitar a su publicación. Pero si usas esta plataforma de Garmin Connect las recomendaciones básicas son:

• Configura el perfil para que sólo tú puedas ver la información que aparece en él. 

• Sería aconsejable que nadie más que tú vea la información de las actividades o del histórico de actividades que has realizado. 

• Si quieres, puedes proporcionar información a Garmin de las rutas que realizas para de esta forma ayudar a la plataforma a que clasifique las rutas en función de su popularidad. Nadie más que Garmin va a disponer de esa información…. en teoría… 😉

Por último, recuerda que si dejas información pública del origen y final de tus rutas podrías estar publicando donde vives a todo el mundo y que si publicas información de tu pulsómetro podrías dar información de tu estado de salud que pudiera ser utilizada por terceros con fines negativos para ti, así que cuida tu privacidad al máximo.

Autor: Amador Aparicio de la Fuente (@amadapa), escritor de libro «Hacking Web Technologies«

Cómo saber si tu vecino te está robando el Wi-Fi

Robarle el Wi-Fi a tu vecino es un delito. Pero a pesar de que es un acto castigado por el Código Penal, se estima que el 12% de los que se conectan a la Red en nuestro país lo hace a través de conexiones ajenas. Esta situación no es solo un problema de gorroneo. A través del router de un usuario se pueden obtener una gran cantidad de datos personales, desde sus hábitos de navegación hasta la posibilidad de disponer a su antojo de diferentes aspectos del ordenador de la víctima, como la webcam. En estos últimos casos el castigo penal puede llegar a ser de 4 años de cárcel.Pero no hay que esperar a la justicia ni llamar a la Policía si se sospecha que hay alguien fisgando y utilizando la conexión de casa. Existen multitud de aplicaciones y programas que nos permiten monitorizar el Wi-Fi para saber qué aparatos están conectados.Uno de ellos es Wireless Network Watcher, un programa que escanea nuestra red inalámbrica y nos muestra la lista de todos los equipos y dispositivos que están conectados a ella. Podremos ver la dirección IP, la dirección MAC, la empresa que fabricó la tarjeta de red y el nombre (si lo tiene) de cada aparato conectado. Además, podremos configurarlo para que nos avise cuando un nuevo dispositivo se conecte. Para ello, tendremos que pulsar en ‘Options’ y señalar ‘Beep on new device’ y en ‘Background scan’. Cada vez que hagamos el scan en busca de intrusos, sonará una alarma que nos advertirá de la presencia de nuevos gorrones. Este software solo está disponible para Windows y ese puede descargar de forma gratuita desde esta página web http://www.nirsoft.net/utils/wireless_network_watcher.html.Zamzom Wireless Network Tool es otro programa que también escanea nuestra red y nos muestra quien está conectado, y como el anterior, lo hace mostrando la dirección IP y otros parámetros. Pero además, Zamzom es capaz de hacer un barrido en profundidad para mostrar aquellos dispositivos ocultos que están intentando acceder. Otra opción interesante que ofrece es la de crear listas negras para prohibir que se conecten de nuevo si les hemos pillado una vez. ¿Cómo? Gracias a las direcciones MAC, un identificador de 48 dígitos que corresponden de forma única a las tarjetas o dispositivos de red. Es una especie de matrícula única para todo aparato que se conecte a Internet mediante Wi-fi.Pero aún así, lo más interesante de Zamzon es la posibilidad de crear ‘listas blancas’ con los aparatos que tienen permiso para conectarse a Internet en nuestra red: podemos incluir en ella cualquier cacharro que usemos para conectarnos, desde un ordenador, una consola hasta un móvil, para que cuando otro dispositivo que no está en ese registro intente entrar, salte una alarma avisándonos.Eso en lo que respecta a los ordenadores. Pero también podemos controlar estos parámetros desde el móvil, con aplicaciones como Fing, Mi router o On My WiFi. Con estos programas solo podremos saber la iP, la dirección MAC o el tipo de dispositivo que está conectado. Y no podremos ni retirar el permiso de acceso ni recibir un aviso cuando un nuevo aparato acceda.

Origen: Cómo saber si tu vecino te está robando el Wi-Fi

Un informático en el lado del mal: Evita que tu cuenta de Facebook sea robada fácilmente por culpa de las «Preguntas de Seguridad»

Evita que tu cuenta de Facebook sea robada fácilmente por culpa de las «Preguntas de Seguridad»

A lo largo de los últimos años las empresas han buscado formas de reducir el costoso tiempo que consume el servicio de «Me he olvidado de la contraseña». Y es que en el industria de la tecnología el uso de las passwords ha sido lamentable. No solo hemos creado una cultura de crear muchas contraseñas, sino además las hemos hecho complejas, como si realmente sirvieran para algo las contraseñas complejas en los servicios online. Cada nueva restricción puesta en la generación de la contraseña incrementa sustancialmente le número de casos de «He olvidado mi contraseña«.

Figura 1: Evita que te roben tu cuenta de Facebook con las «Preguntas de Seguridad»

Por ese motivo, las empresas han tenido que construir sistemas para recuperar la cuenta de todo tipo a lo largo de la historia. Desde llamar al Call-Center y dar un código de una tarjeta de coordenadas, hasta enviar un mensaje OTP a un número de teléfono asociado, pasando por el correo electrónico con el enlace de recuperación de contraseña, reconocer amigos de tu cuenta de Facebook, que amigos de tu cuenta de Facebook te reconozcan o las peligrosísimas Preguntas de Seguridad o Preguntas Secretas.

Facebook activó hace mucho tiempo las Preguntas de Seguridad, pero tiempo después decidió que era una muy mala idea, y que mucha gente estaba sufriendo robo de cuentas por culpa de ellas. Lo más gracioso es que la empresa que es la pieza angular del fin de la privacidad en el mundo actual, asociada a conceptos como la «Aldea Global» o el «Nuevo Paradigma de la Privacidad», utilizara en algún momento Preguntas de Seguridad cuyo única protección es que se responda a preguntas cuya respuesta conoce solo el dueño de la cuenta. Y las retiró.

Cuentas de Facebook protegidas por Preguntas de Seguridad

Pero no las retiró definitivamente. En las nuevas cuentas no se puede activar este mecanismo de «protección» de la cuenta, pero si tienes una cuenta antigua. De esas que se crearon hace ya unos añitos, puede que en el pasado las configuraste y no lo supieras. De hecho, podría darse el caso de que tuvieras una pregunta cuya respuesta está publicada en Facebook, en tu Linkedin, en tu Instagram o en alguna de las «enecientas» redes sociales con las que contamos hoy en día, que van desde las de amar a las de odiar, pasando por las de compartir aficiones o currículos.

Figura 2: Buscar la cuenta de una «víctima» por número de teléfono

Si tu cuenta de Facebook tiene unos años, te recomiendo que intentes robarte la cuenta con este método, y que tomes buena nota de estos riesgos para, inmediatamente ponerte a Fortificar tu cuenta de Facebook con las recomendaciones que doy en ese artículo.

Figura 3: Recuperación por medio de correo electrónico y mensaje SMS

En este ejemplo, como veis, he buscado la cuenta de un compañero usando su número de teléfono y me da dos opciones para recuperarla, usando el correo electrónico o el mensaje SMS, pero también tengo la opción de decir que no tengo acceso a nada de eso así que….

Figura 4: Creación de un nuevo correo electrónico para asociar a la cuenta

…llegamos a una pantalla en la que nos solicita la dirección de correo electrónico de otra cuenta para que me puedan enviar cosas. Por supuesto, cualquier dirección de correo vale, así que al lío con una inventada.

Figura 5: Llegamos a la Pregunta de Seguridad que protege esta cuenta de Facebook

Luego llega el momento del reto, responder a la «Pregunta Secreta» o «Pregunta de Seguridad». En este caso no parece tan difícil, basta con hacer un poco de trabajo de hacking con buscadores o directamente entablar una bonita conversación con mi amigo sobre los viejos buenos tiempos cuando éramos niños y veíamos dibujos con 8 años: «Como salíamos a jugar al parque, donde jugábamos a cosas tan inocuas como la lima o Burro, y como era el barrio. Oh, el barrio. ¿En qué barrio dices que vivías tú?».

Figura 6: Si se responde correctamente la pregunta, entonces se puede cambiar la password

Y si la respuesta es correcta, ya puedes poner la contraseña nueva para esta cuenta de Facebook. No son pocas las cuentas que tienen aún esta protección, y las preguntas no son nada complejas – si las respuestas fueron configuradas de forma correcta – en la mayoría de los casos como para que no puedan ser respondidas por casi cualquiera con un poco de tiempo e imaginación.

Figura 7: Otra cuenta de Facebook protegida por otra «Pregunta de Seguridad»

Así que dedica un ratito a intentar hackearte y si salen las «Preguntas de Seguridad» ve a tu cuenta de Facebook, elimínalas y pon un segundo factor de autenticación tal y como explico en el artículo de Fortificación de cuentas de Facebook.

Cómo reducir el ruido en un audio o video usando ffmpeg – CLA Carrera Linux Argentina – Blog

Cómo reducir el ruido en un audio o video usando ffmpeg
Posted on enero 25, 2016 Diego CordobaPosted in Aplicaciones, Linux

Si estamos trabajando con audio o video, es probable que necesitemos reducir el ruido ambiente en nuestras grabaciones.

Para ellos, una forma muy simple es utilizar ffmpeg, que nos permitirá aislar el sonido audible del ruido combinando un filtro de pasa bajos con uno de pasa altos.

En general el audio utilizable tiene frecuencias que oscilan entre los 200Hz y los 3000Hz, por lo que podríamos filtrar nuestro archivo de audio o video de la siguiente forma:
ffmpeg -i archivo_entrada -af «highpass=f=200, lowpass=f=3000» archivo_salida
1

ffmpeg -i archivo_entrada -af «highpass=f=200, lowpass=f=3000» archivo_salida

En este ejemplo se agrega un filtro pasa altos para recortar las menores frecuencias a 200Hz, y luego se aplica un filtro pasa bajos para recortar las frecuencias superiores a 3000Hz.

Además, si luego del filtrado no quedamos conformes con la calidad, podemos volver a filtrar el archivo de salida con el mismo comando (cambiando los nombres de archivo, por supuesto) y obtendremos una nueva salida.

Hasta la próxima!

 

¿Cómo monitorear trafico de red con iptraf?

Hoy hablaremos sobre una pequeña aplicación para monitorear tráfico de red: iptraf.

iptraf es una aplicación de línea de comandos con interfaz curses que captura, vía librerías pcap, paquetes de red en alguna interfaz de red determinada, y nos brinda información sobre los mismos.
Para las tareas cotidianas de un sysadmin es una herramienta importante dado que cuando se cae algún servicio, o hay alguna intrusión externa que compromete la seguridad de un datacenter, analizar el tráfico de red resulta sumamente importante.
Normalmente estas herramientas están dispuestas en puertas de enlace de red hacia Internet, o de segmentos de datacenters, o zonas desmilitarizadas (DMZ), de modo que la herramienta «vea» pasar por la red todo el tráfico a analizar.
iptraf se encuentra en los repositorios de Debian GNU/Linux, por lo que podremos instalarlo utilizando la siguiente instrucción:

apt-get install iptraf

Algunas opciones de línea de comandos-

• -i iface: Permite especificar el monitoreo directo en una interfaz determinada de red.
• -g iface: Comienza las estadísticas generales directamente en una interfaz.
• -d iface: Idem para iniciar directamente las estadísticas detalladas.
• -s iface: Permite monitorear directamente el trafico tcp y udp
• -z iface: Permite acceder directamente al conteo de paquetes por tamaño.
• -l iface: Permite monitorear paquetes y bytes entrantes y salientes por interfaz de red. Si iface es «all» se monitorearán todas las interfaces.
• -u: Permite el uso de interfaces no soportadas, o nombres en alias de interfaces comunes que no son reconocidos por iptraf.
• -L logfile: Permite especificar un archivo de log para recolectar toda la información de estado del proceso de monitoreo.
• -z timeout: Permite especificar además de alguna de las opciones anteriores, un tiempo, en minutos, máximo de ejecución del proceso
• -B: Corre el proceso iptraf en segundo plano.

Un ejemplo de archivo de log:

root@debian:~# iptraf-ng -d wlan0 -L /tmp/iptr.log
root@debian:~# cat /tmp/iptr.log
Wed Jan  1 19:12:15 2014; ******** LAN traffic monitor started ********

*** LAN traffic log, generated Wed Jan  1 19:12:18 2014

Ethernet address: 48:5d:60:b5:17:2f
Incoming total 13 packets, 1222 bytes; 13 IP packets
Outgoing total 13 packets, 2035 bytes; 13 IP packets
Average rates:      3.26 kbps incoming,      5.42 kbps outgoing

Ethernet address: 00:1e:58:c1:3d:5f
Incoming total 13 packets, 2035 bytes; 13 IP packets
Outgoing total 13 packets, 1222 bytes; 13 IP packets
Average rates:      5.42 kbps incoming,      3.26 kbps outgoing

Running time: 3 seconds
Wed Jan  1 19:12:18 2014; ******** LAN traffic monitor stopped ********
Wed Jan  1 19:19:52 2014; ******** LAN traffic monitor started ********

*** LAN traffic log, generated Wed Jan  1 19:20:30 2014

Ethernet address: 00:1e:58:c1:3d:5f
Incoming total 26 packets, 4582 bytes; 26 IP packets
Outgoing total 27 packets, 7928 bytes; 27 IP packets
Average rates:      0.96 kbps incoming,      1.66 kbps outgoing
Last 5-second rates:      0.73 kbps incoming,      0.65 kbps outgoing

Ethernet address: 48:5d:60:b5:17:2f
Incoming total 27 packets, 7928 bytes; 27 IP packets
Outgoing total 28 packets, 4860 bytes; 28 IP packets
Average rates:      1.66 kbps incoming,      1.02 kbps outgoing
Last 5-second rates:      0.65 kbps incoming,      0.73 kbps outgoing

Ethernet address: ff:ff:ff:ff:ff:ff
Incoming total 2 packets, 278 bytes; 2 IP packets
Outgoing total 0 packets, 0 bytes; 0 IP packets
Average rates:      0.06 kbps incoming,      0.00 kbps outgoing
Last 5-second rates:      0.00 kbps incoming,      0.00 kbps outgoing

Running time: 38 seconds
Wed Jan  1 19:20:30 2014; ******** LAN traffic monitor stopped ********

Administración de señales.

iptraf está configurado para recibir e interpretar dos señales de IPC.
IPC, o Inter Process Communication por sus siglas en inglés, representan una serie de mecanismos de comunicación entre procesos, en entornos POSIX.1, y que permiten a un proceso de alguna manera enviar información a otro. Entre esos mecanismos disponemos de segmentos de memoria compartida, sockets, pipes, fifos, o, entre otros, señales.

En Linux podemos enviar una señal utilizando nuestro intérprete de comandos muy simplemente mediante el comando kill o killall y un número o sigla de identificación de señal.
En el caso particular que nos trae hoy, las señales de usuario 1 y 2, respectivamente, SIGUSR1 y SIGUSR2, son interpretadas particularmente por nuestro procesos iptraf en ejecución.
SIGUSR1 efectua una rotación de logs mientras el proceso está en ejecución, y SIGUSR2 termina el proceso iptraf que esté corriendo. Esta segunda opción es importante conocerla, puesto que a veces, solo para mantener logs, podemos correr el proceso iptraf en segundo plano (modo background) sin obtener salida por pantalla, lo que hace imposible salir directamente de su interfaz mediante el menú de curses.

Claro está que USR2 es la señal que termina normalmente al proceso, aunque también podría terminarse abruptamente mediante señales comunes de terminación, como TERM o KILL.

Veamos un ejemplo. Si en una terminal levantamos el iptraf, por ejemplo, en modo detallado, y en segundo plano, para la interfaz wlan0, volveremos a tener el prompt para introducir comandos, pero el proceso habrá quedado corriendo en segundo plano.

root@debian:~# iptraf-ng -Bd wlan0
root@debian:~# ps fax|grep iptraf
16523 ?        Ss     0:00 iptraf-ng -Bd wlan0

Podremos terminar el proceso de alguna de las siguientes maneras:
root@debian:~# killall -USR2 iptraf-ng
root@debian:~# killall -12 iptraf-ng
root@debian:~# kill -USR2 16523
root@debian:~# killall -12 16523

Espero que les sirva esta potente herramienta de curses para monitorear sus redes! Seguiremos hablando de herramientas de monitoreo de tráfico en siguientes artículos! Por supuesto, para GNU/Linux 🙂

Origen: CLA Carrera Linux Argentina

Charla de seguridad en microsoft (chema alonso)

charla del miercoles 4 de noviembre de 2015. disfrutenla

Hacking tutorial: Privacidad en la red

Hace unas semanas, comenzaba a hablar acerca del pentesting porque tenía pensado seguir por esta rama de la informática con una serie de post-tutoriales en los que pudieseis ver algunas de las vías de ataque más comunes hacia nuestros equipos o dispositivos.

Pues bien, quiero comenzar hoy hablando un poco del efecto miedo, que dio lugar al sector de la seguridad informática. Fue allá por la década de los 90, cuando los ordenadores comenzaron a desembarcar en miles de hogares gracias a los primeros pc’s “económicos” con sistemas UNIX.

El miedo a una tecnología desconocida para los ciudadanos inexpertos hacía que se recurriesen a los servicios técnicos de forma muy frecuente por el simple hecho de que el usuario sospechaba que sus archivos estaban infectados o corruptos. Esa preocupación por la integridad de la información no era sólo producto de la psicosis de usuarios inexpertos en el tema, puesto que los hackers ya estaban haciendo de las suyas desde mucho tiempo atrás.

Como todos sabemos, allá por 1968 el proyecto ARPANET inició su andadura en el campo militar, y desde su antes de su puesta en marcha, cuando sólo eran unos bocetos sobre el papel, ya había personas ideando cómo poder hacerse con la información bien desde un punto de acceso bien interceptándola en su trayectoria. Aquí tenemos a los primeros hackers.

Ya en 1990 nuestro venerado amigo Tim Berners-Lee desarrolló e implementó la World Wide Web sumándole a este hito lo que comentábamos antes de la llegada masiva de pc’s a los hogares, el campo de actuación actuación de estos hackers se vio incrementado de una forma brutal una vez que estos equipos comenzaron a conectarse a internet.

Por aquellos entonces, la vida del hacker era bastante sencilla, las vulnerabilidades de sistemas UNIX expuestos a la red de redes hacían que enviar un script que infectase la máquina con malware que posteriormente infectaría más máquinas. Además había un sistema simplísimo para que cada máquina no fuese reinfectada, y no era más que el propio malware contestaría con un sí o un no al intento del script de ejecutarse nuevamente, si la respuesta era afirmativa la máquina ya estaba infectada y en caso de no haber respuesta (respuesta negativa) el script se ejecutaría procediendo a la infección.

Hoy día esto no es tan simple. Podemos encontrar estadísticas mostrando que el software antivirus o antimalware existente hoy día es capaz de evitar hasta el 85% de las amenazas. Pero ese 15% restante será el que veamos en las próximas publicaciones, empezando en este post iniciándonos en la ingeniería social.

La ingeniería social, no es más que el obtener toda la información que podamos de una persona o empresa que tengamos como objetivo. La obsesión de mucha gente, las redes sociales son una fuente inagotable de información ya que nos va ofreciendo datos día a día y no sólo de nuestro target, también de su entorno, conocidos, socios, familia… Prácticamente están exponiendo su vida, de donde podremos obtener seguro que mucho más que la información que íbamos buscando.

Gracias a este método, podríamos identificar pautas de conducta, rasgos de personalidad, por poner un ejemplo, es extremadamente fácil obtener hoy día la fecha de nacimiento de una persona, y si coincide con que esa persona utiliza dicho dato como contraseña… ya os imagináis ¿no?

Existen, aparte de Google, muchas herramientas con las que obtener información mediante esta vía. Los especialistas en esto son los americanos, que tienen bases de datos de prácticamente todo lo que os imaginéis. Páginas como Intelius, aboutme, Spokeo o Findmypast son un ejemplo de que en E.E.U.U. (algunas de estas páginas extienden sus servicios a Reino Unido, Canadá, América Latina, etc…) es demasiado fácil encontrar a alguien. Para nuestro territorio podemos usar WebMii o Pipl, que nos dará un resultado bastante bueno (aunque como digo no al nivel de estos norteamericanos :S) para ver por dónde empezar. Otra función de estas herramientas de búsqueda es para ver el alcance mediático que podemos tener en internet, basándose en la cantidad de búsquedas que llevan nuestros datos, las publicaciones que hayamos realizado, fotografías subidas o etiquetadas, etc…

Además, existen aplicaciones específicas para la recopilación de datos bien de personas o de empresas. Cabe destacar un par de ellas.

Facebook Blaster Pro aplicación inicialmente destinada a favorecer la apariencia empresarial mediante el envío masivo de solicitudes a usuarios de Facebook; es sin duda una muy buena herramienta si por ejemplo queremos acceder al cierta información del perfil de alguien que sólo comparte con amigos o amigos de sus amigos, por lo que esa solicitud masiva la haremos a sus conocidos y seguro que alguien con tal de engrosar su lista de “amigos de Facebook” os acepta, con lo que ya accederemos a la información que buscábamos.

Maltego. Líder de las aplicaciones de recopilación de datos. Con darle un nombre o una URL, nos ofrecerá en un menú muy sencillo qué tipo de información buscaremos y cómo queremos que se nos muestre y escaneará la red en busca de cualquier dato coincidente con la solicitud que le hayamos pasado. Os dejo con unos vídeos de su funcionamiento:

Como vemos, debemos tener en cuenta no sólo la seguridad de nuestro equipo y red, si no también la información que compartimos en internet que como habéis visto, con un poco de paciencia y un par de horas libres, mediante la ingeniería social podemos hacernos con información muy valiosa según en manos de quien caiga.

Como ejemplo, os dejo un par de vídeos, el primero bastante ilustrativo acerca de esto que os comento de la información que publicamos en la red, se trata de una campaña belga que quería concienciar a la ciudadanía de esto que tratamos.

El siguiente trata de lo poco que valoramos la seguridad de nuestras cuentas, servicios, equipos… ya que una reportera consigue que personas de a pie le den sus contraseñas a base de un par de preguntas aparentemente inocentes.

Espero que os sea de utilidad esta información y os ayude a prevenir situaciones no deseadas e incómodas.

Origen: Hacking tutorial: Privacidad en la red

Navegando seguros (la seguridad de los datos personales en internet)

Aprenderemos como navegar seguros con este video