Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

AÑO 8 - Nº 05 - MAY 12

HACKING BAJO LA LUPA

¿Teclados inseguros y candados rotos?

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Desde hace un tiempo, se ha notado que la mayoría de los que disponen páginas web, no tienen en cuenta la importancia de la protección de los datos.

Paginas con contenido confidencial, como por ejemplo, los bancos, o webs de e-commerce, son objetivos de los atacantes a la hora de seleccionar los "futuros ingresos $$$".

Tres escenarios posibles, tenemos que considerar:

Del lado del usuario, nos conectamos a un banco o a una web de compras, acaso con una "pequeña tranquilidad" viendo el "candadito"????

Del lado del proveedor de ese servicio, damos por asentado que los usuarios estarán seguros, porque disponen del último antivirus, parche o cumplieron con la ISO XXXXXXX???

Del lado del atacante, están contentos porque instalaron el ultimo keylogger, antidetectable, y encima pueden saber si el usuario sale con la secretaria que trabaja en el proveedor??

Un sinfín de preguntas, que todas las respuestas están basadas en una dos palabras: cero seguridad

Uno puede notar una cierta sinceridad en estos comentarios, dado que de cada 10 sitios webs que visito, y en el cual estén trabajando tanto con "HTTPS" o con teclados virtuales, noto que siguen habiendo fallas que un
atacante no perdonaría.

Hablemos de los teclados virtuales:

Un teclado virtual que nos muestra la web, y en el cual, mediante clicks del mouse, podremos mandar nuestro "password" o "clave", y así poder tener acceso al servicio ofrecido.

Encontramos también, teclados que no obedecen ningún orden de aparición de teclas, esto significa que no están ordenadas como los teclados  originales, y también tenemos teclados virtuales de números solos, o
hasta gráficos (este es muy bueno, recomendable usarlo!!!)

De antemano, sabemos que es IMPORTANTE, no acceder a estos sitios, desde lugares públicos, (llámese ciber, aeropuerto, hoteles, etc), dado que es más sencillo un ataque desde ahí.

Hoy en día existen y seguirán existiendo métodos para que los atacantes estén un paso adelante, keyloggers indetectables, troyanos que graban videos, y hasta aplicaciones que no son detectadas como maliciosas pueden llegar a ser desastrosas para el usuario.

COMO??????

La manera de romper el cifrado SSL/TLS, con la aplicación BEAST, ha dejado a muchos perplejos, si bien la versión vulnerable es vieja, eso no quiere decir que algún día salga algo para lo nuevo.

Muchos servidores corren aun la versión 1.0, así que no piensen que todo termino.... SHODAN da fe.....

Y contra los teclados virtuales, que hay??? y bueno, hay aplicaciones que utilizamos para manejo de proxys, las cuales son de utilidad en el traslado de los paquetes hacia el destino.

No se habla de un snifeo, sino que se habla de la traslación de esos paquetes, que NO ESTÁN CIFRADOS en el momento que los utilizamos en NUESTRA COMPUTADORA.

La clave ingresada, sea pulsada o por teclado virtual, no está cifrada en su mayoría (al menos de cada 10 bancos que testee, 2 estaban cifrados), y pude capturar lo ingresado por teclado virtual, en TEXTO PLANO!!!!, en otros bancos, capture el hash que realizo el teclado virtual, pero no hay como un buen traductor (HASHONLINE).

CONCLUSIÓN: sería bueno, que sigamos protegiendo esos activos, que no nos quedemos en el "OK, tengo todo controlado", sino mejor que digamos "tengo todo controlado???"

No confiemos en el “oro” que nos muestran, sino confiemos en las pruebas que nos den, en que el sistema sea seguro, en que no tienen que conectarse desde sitios que no ofrecen una seguridad.

Utilicemos métodos de ocultamiento de contraseñas, no usemos los métodos convencionales, ya que la mayoría han sido vulnerados. (POR FAVOR, basta de teclados virtuales, guardando info en el cache de navegación) .

 

Anonymous vs LulzSec

Por Rafael Núñez
Clean Perception Internacional
Caracas - Venezuela


"Verisign Trusted"  NO TAN CREIBLE!
Freedom, el hacker de sombrero gris que ha identificado muchas vulnerabilidades de cross-site scripting (XSS) en algunos sitios importantes, regresa con otros hallazgos interesantes. Descubrió una serie de 25 tiendas en línea del Reino Unido que contienen agujeros de seguridad XSS.


¿Cómo funciona el nuevo standard para reducir phishing?
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


TOR MAIL: SERVICIO SEGURO DE EMAIL
En un mundo donde la actividad en Internet es cada vez más vigilada y censurada por parte de gobiernos y/o miembros del crimen organizado, redes como Tor se han hecho cada vez más populares; tanto por razones de privacidad y confidencialidad, como por razones de anonimato. Con este mismo impulso con el que han crecido esta clase de redes, se han desarrollados también numerosos servicios que permiten a los usuarios transmitir sus comunicaciones de la más diversa índole a través de estas redes; un buen ejemplo de ello son todas las posibilidades que ofrece la conexión a las redes I2P.


Ataques al protocolo SSL
Por D. Luciano Bello (Chalmers University)

Dr. Alfonso Muñoz (grupo de investigación T SIC UPM).

Intypedia - España


Amenaza de Anonymous en Chile y Perú
Por Frano Capeta Mondoñedo
Country Manager Perú
I-SEC Information Security Inc.


Vectores de ataque HTML 5
Por Guillermo Mir

Security Art Work


Introducción al protocolo SSL
Por Alfonso Muñoz Muñoz

Grupo de investigación T SIC UPMC


CIBERLOCADEMIA de Policías, la excusa Hacker
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


EE.UU. quiere atacar militarmente a 'hackers' estén donde estén
Juegos de guerra (WarGames), la célebre película de 1983 protagonizada por un adolescente Matthew Broderick, narra la historia de un joven hacker que se infiltra en ordenadores del Pentágono y por error está a punto de iniciar un conflicto nuclear entre Estados Unidos y la URSS en plena Guerra Fría.


Autenticación Online

Por Alberto González

Panda ID Soluciones


La Red es el Campo de Batalla

Por Harry N Mesa P

System Engineer - Watchguard

Medellín - Colombia


Drive by pharming

Por Christian Javier Vila Toscano
Senior Security Consultant
I-Sec Information Security


Con menos de u$s8.000 hasta usted ya puede comprarse "el kit" para convertirse en un hacker


Ataque y Detección del Hacker
Por Rafa Núñez

Enfoque Seguro - Venezuela



Copyright © 2012 ISEC. Todos los derechos reservados
Política de privacidad