ROPEMAKER Cambiar el contenido del Email ya enviado para uso malicioso.

 

Un Email puede ser cambiado después de ser enviado, según la última investigación de Mimecast’s denominado ROPEMAKER.

Un nuevo exploit ROPEMAKER que podría permitir a un atacante modificar un email legítimo para volverlo malicioso, incluso después de que este haya llegado a la bandeja de entrada.

Su descubridor ha sido Francisco Ribeiro, investigador de Mimecast dedicado a la seguridad de servicios de email y cloud.

A través de la explotación de Ropemaker, un atacante puede modificar de forma remota el contenido de un email enviado por él mismo, pudiendo por ejemplo sustituir una URL  por otra maliciosa.

El exploit puede ser ejecutado tras recibir el destinatario el email, después de superar todos los filtros de spam y seguridad y sin que el atacante necesite acceder directamente al ordenador de la víctima.

Correo en el buzón de la Víctima:

GodURL Email ROPEMAKER

Correo en el buzon de la Victima modificado sin intervención de la pc de manera remota:

BadURL Email ROPEMAKER

El origen de ROPEMAKER se encuentra en la intersección de las tecnologías de correo electrónico y Web, más específicamente hojas de estilo (CSS) utilizadas con HTML.

Si bien el uso de estas tecnologías Web ha hecho que el correo electrónico sea más atractivo y dinámico en relación con su predecesor basado en texto, esto también ha introducido un vector de ataque explotable para el correo electrónico .

Claramente, dar posibilidad a los atacantes del control remoto sobre cualquier aspecto de las aplicaciones o infraestructura es algo malo.

Esta capacidad de control remoto podría permitir a los malos actores dirigir a los usuarios  a sitios web maliciosos o otras consecuencias perjudiciales mediante una técnica que podría pasar por alto los controles de seguridad comunes y engañar incluso a los usuarios más seguros y experimentados.

ROPEMAKER podría ser apalancado en formas que son limitadas sólo por la creatividad de los actores de la amenaza, que la experiencia nos dice, es a menudo ilimitada.

Fuente: https://www.mimecast.com

#HackNic – Shadow77 

HTTPS el error de los usuarios en internet.

El error en HTTPS es que por creer que es seguro, debemos pensar que es 100% confiable. 

Primero para comenzar el tema hay que definir los protocolos de manera correcto:

  • HTTPHypertext Transfer Protocol o HTTP (en español protocolo de transferencia de hipertexto) es el protocolo de comunicación que permite las transferencias de información en la World Wide Web.Define la sintaxis y la semántica que utilizan los elementos de software de la arquitectura web (clientes, servidores, proxies) para comunicarse. HTTP es un protocolo sin estado, es decir, no guarda ninguna información sobre conexiones anteriores.
  • HTTPS: Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.
  • SSL/TLS: Transport Layer Security (TLS; en español «seguridad de la capa de transporte») y su antecesor Secure Sockets Layer (SSL; en español «capa de puertos seguros») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando, y para intercambiar una llave simétrica. Esta sesión es luego usada para cifrar el flujo de datos entre las partes. Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, autenticación del mensaje.

Pero si es un protocolo seguro, donde falla?

El problema radica en la confianza que le da a los usuarios de que es un protocolo seguro, haciéndonos creer que por estar presente el sitio donde accedemos es seguro y legítimo.

Algo que los cibercriminales están aprovechando de manera muy acertada con los ataques de Phishing para hacer pasar una pagina engañosa, como una legítima.

 Let’s Encrypt y la disponibilidad del HTTPS

El objetivo de Let’s Encrypt y el protocolo ACME es hacer posible configurar un servidor HTTPS y obtener automáticamente un certificado confiable de navegador, sin ninguna intervención humana. Esto se logra ejecutando un agente de administración de certificados en el servidor web.

Para habilitar HTTPS en el sitio web,  se debe obtener un certificado de una autoridad de certificación (CA). Let’s Encrypt es una CA, lo hace utilizando un software que utiliza el protocolo ACME, que normalmente se ejecuta en su host.

Esto hace que la disponibilidad del protocolo HTTPS sea alcanzable casi por cualquier web sea o no legitima al uso que se le da.

El uso de Sub-Dominios o dominios modificados para engañar a usuarios

Si bien con Let’s Emcrypt necesitamos demostrar que somos dueños del dominio, la creación de subdominos o poner con más caracteres el dominó para engañar al usuario es algo común y ahora mas efectivo.

El usuario promedio no toma el tiempo necesario para verificar un dominio completo y tampoco verificar que el certificado que nos muestra el navegador del sitio sea el correspondiente al sitio que estamos accediendo.

Tomar conciencia en el uso de la navegación web y mantenerse informado.

Es necesario tener fuentes confiables de información para mantenernos a salvo de los cibercriminales, ya que con los conocimientos necesarios agregamos una capa de seguridad a los servicios que usamos.

Y ciertamente el protocolo https y la seguridad de las plataformas, aplicaciones web, diferentes tipos de medios web digitales que usamos, se mantienen seguras pero no hay que pensar que siempre lo estamos por que nada esta 100% seguro y nada es 100% impenetrable.

#HackNic – Shadow77

BlockChain cambiando las reglas del juego.

Blockchain, como lo dice su nombre cadena de bloques diseñadas para evitar su modificación, usando un sellado de tiempo confiable y enlazado a un bloque anterior. 

Blockchain es una red global descentralizada, similar a un libro contable abierto, en donde se asientan todas las transacciones de bitcoins del mundo, pero los activos que se pueden certificar allí exceden a esta moneda virtual: pueden ser bienes, servicios, contratos legales y hasta personas que se asocian a un “bloque” de código que luego se encadena con otros (de ahí su nombre).

Es una de las tecnologías exponenciales que genera más entusiasmo y sus partidarios no se intimidan con las fluctuaciones de las criptomonedas, a las que consideran aprendizajes propios de una etapa temprana de desarrollo.

Un poco de Historia

En 2008, Satoshi Nakamoto publicó un artículo en la lista de criptografía de metzdowd.com donde describe el protocolo Bitcoin.

El 3 de enero de 2009 la red P2P de Bitcoin entra en funcionamiento con la publicación del primer programa cliente, de código abierto, y la creación de los primeros bitcoins.

Hasta la invención de bitcoin era obligado que todos los pagos en el comercio electrónico se canalizarán a través de entidades centralizadas de confianza, ​ generalmente bancos y otras empresas financieras, que gestionaban el seguimiento de todas las transacciones.

El concepto de BlockChain fue aplicado por primera vez en 2009 como parte de Bitcoin.

Cómo funciona

Cuando un usuario A transfiere algo a un usuario B,  A entrega la propiedad agregando la clave pública de B y después firmando con su clave privada.​ A entonces incluye esos datos en una transacción, y la difunde a los nodos de la red P2P a los que está conectado. Estos nodos validan las firmas criptográficas y el valor de la transacción antes de aceptarla y retransmitirla. Este procedimiento propaga la transacción de manera indefinida hasta alcanzar a todos los nodos de la red P2P.

Aplicaciones

El concepto de BlockChain es usado en los siguientes campos:

  • En el campo de las criptomonedas la cadena de bloques se usa como notario público no modificable de todo el sistema de transacciones a fin de evitar el problema de que una moneda se pueda gastar dos veces. Por ejemplo es usada en BitcoinEthereumDogecoin y Litecoin, aunque cada una con sus particularidades .
  • En el campo de las bases de datos de registro de nombres la cadena de bloques es usada para tener un sistema de notario de registro de nombres de tal forma que un nombre solo pueda ser utilizado para identificar el objeto que lo tiene efectivamente registrado. Es una alternativa al sistema tradicional de DNS. Por ejemplo es usada en Namecoin.
  • Uso como notario distribuido en distintos tipos de transacciones haciéndolas más seguras, baratas y rastreables. Por ejemplo se usa para sistemas de pago, transacciones bancarias (dificultando el lavado de dinero), envío de remesas y préstamos.
  • Es utilizado como base de plataformas descentralizadas que permiten soportar la creación de acuerdos de contrato inteligente entre pares. El objetivo de estas plataformas es permitir a una red de pares administrar sus propios contratos inteligentes creados por los usuarios. Primero se escribe un contrato mediante un código y se sube a la cadena de bloques mediante una transacción. Una vez en la cadena de bloques el contrato tiene una dirección desde la cual se puede interactuar con él. Ejemplos de este tipo de plataformas son Ethereum y Eris.

Clasificación

Las cadenas de bloques se pueden clasificar basándose en el acceso a los dos datos almacenados en la misma:

  • Cadena de bloques pública: Es aquella en la que no hay restricciones ni para leer los datos de la cadena de bloques (los cuales pueden haber sido cifrados) ni para enviar transacciones para que sean incluidas en la cadena de bloques.
  • Cadena de bloques privada: Es aquella en la que tanto los accesos a los datos de la cadena de bloque como el envío de transacciones para ser incluidas, están limitadas a una lista predefinida de entidades.

El BlockChain es un fuerte concepto para evitar el fraude en todos los elementos en los que se integre, dando así el uso del mismo para cambiar el control de las grandes organizacion y gobiernos, a tener un control transparente por la gente que lo usa.

La elaboración de proyectos basados en BlockChain es un fuerte aspecto para concebir poderosos conceptos de trabajo y colaboración.

Crees tu que el BlockChain esta cambiando las reglas del mundo digital ?

#HackNic -Shadow77