BlockChain cambiando las reglas del juego.

Blockchain, como lo dice su nombre cadena de bloques diseñadas para evitar su modificación, usando un sellado de tiempo confiable y enlazado a un bloque anterior. 

Blockchain es una red global descentralizada, similar a un libro contable abierto, en donde se asientan todas las transacciones de bitcoins del mundo, pero los activos que se pueden certificar allí exceden a esta moneda virtual: pueden ser bienes, servicios, contratos legales y hasta personas que se asocian a un “bloque” de código que luego se encadena con otros (de ahí su nombre).

Es una de las tecnologías exponenciales que genera más entusiasmo y sus partidarios no se intimidan con las fluctuaciones de las criptomonedas, a las que consideran aprendizajes propios de una etapa temprana de desarrollo.

Un poco de Historia

En 2008, Satoshi Nakamoto publicó un artículo en la lista de criptografía de metzdowd.com donde describe el protocolo Bitcoin.

El 3 de enero de 2009 la red P2P de Bitcoin entra en funcionamiento con la publicación del primer programa cliente, de código abierto, y la creación de los primeros bitcoins.

Hasta la invención de bitcoin era obligado que todos los pagos en el comercio electrónico se canalizarán a través de entidades centralizadas de confianza, ​ generalmente bancos y otras empresas financieras, que gestionaban el seguimiento de todas las transacciones.

El concepto de BlockChain fue aplicado por primera vez en 2009 como parte de Bitcoin.

Cómo funciona

Cuando un usuario A transfiere algo a un usuario B,  A entrega la propiedad agregando la clave pública de B y después firmando con su clave privada.​ A entonces incluye esos datos en una transacción, y la difunde a los nodos de la red P2P a los que está conectado. Estos nodos validan las firmas criptográficas y el valor de la transacción antes de aceptarla y retransmitirla. Este procedimiento propaga la transacción de manera indefinida hasta alcanzar a todos los nodos de la red P2P.

Aplicaciones

El concepto de BlockChain es usado en los siguientes campos:

  • En el campo de las criptomonedas la cadena de bloques se usa como notario público no modificable de todo el sistema de transacciones a fin de evitar el problema de que una moneda se pueda gastar dos veces. Por ejemplo es usada en BitcoinEthereumDogecoin y Litecoin, aunque cada una con sus particularidades .
  • En el campo de las bases de datos de registro de nombres la cadena de bloques es usada para tener un sistema de notario de registro de nombres de tal forma que un nombre solo pueda ser utilizado para identificar el objeto que lo tiene efectivamente registrado. Es una alternativa al sistema tradicional de DNS. Por ejemplo es usada en Namecoin.
  • Uso como notario distribuido en distintos tipos de transacciones haciéndolas más seguras, baratas y rastreables. Por ejemplo se usa para sistemas de pago, transacciones bancarias (dificultando el lavado de dinero), envío de remesas y préstamos.
  • Es utilizado como base de plataformas descentralizadas que permiten soportar la creación de acuerdos de contrato inteligente entre pares. El objetivo de estas plataformas es permitir a una red de pares administrar sus propios contratos inteligentes creados por los usuarios. Primero se escribe un contrato mediante un código y se sube a la cadena de bloques mediante una transacción. Una vez en la cadena de bloques el contrato tiene una dirección desde la cual se puede interactuar con él. Ejemplos de este tipo de plataformas son Ethereum y Eris.

Clasificación

Las cadenas de bloques se pueden clasificar basándose en el acceso a los dos datos almacenados en la misma:

  • Cadena de bloques pública: Es aquella en la que no hay restricciones ni para leer los datos de la cadena de bloques (los cuales pueden haber sido cifrados) ni para enviar transacciones para que sean incluidas en la cadena de bloques.
  • Cadena de bloques privada: Es aquella en la que tanto los accesos a los datos de la cadena de bloque como el envío de transacciones para ser incluidas, están limitadas a una lista predefinida de entidades.

El BlockChain es un fuerte concepto para evitar el fraude en todos los elementos en los que se integre, dando así el uso del mismo para cambiar el control de las grandes organizacion y gobiernos, a tener un control transparente por la gente que lo usa.

La elaboración de proyectos basados en BlockChain es un fuerte aspecto para concebir poderosos conceptos de trabajo y colaboración.

Crees tu que el BlockChain esta cambiando las reglas del mundo digital ?

#HackNic -Shadow77 

Leviathan conjunto de herramientas para auditoría masiva

Esta aplicación es un conjunto de herramientas orientadas a la auditoría masiva.

 

La cual tiene módulos para el descubrimientos de objetivos, fuerza bruta, detección de inyecciones SQL y la ejecución de exploits personalizados. Para ello utiliza otras aplicaciones de software libre como masscan, ncrack y dsss, dándonos la posibilidad de combinarlas entre ellas.

Sus aplicaciones principales son:

  • Descubrir: analiza servicios FTP, SSH, Telnet, RDP, MYSQL.. servicios siendo ejecutados en las maquinas entre un rango de IPs de un país gracias a Shodan y a Censys. Tambien viene con el escáner Masscan integrado para un análisis de puertos TCP más rápido y eficiente.

Demo: https://asciinema.org/a/617bsxl1y84bav9f5bcwllx7r

  • Fuerza bruta (Brute force): gracias a la herramienta ncrack integrada en Leviathan, se pueden realizar ataques de fuerza bruta a diversos servicios del servidor.

Demo: https://asciinema.org/a/43y2j38zu7hbnuahrj233d5r0

  • Ejecucion remota de codigo (RCE): es posible ejecutar comandos en las maquinas comprometidas.

Demo: https://asciinema.org/a/0xcrhd12f2lpkbktjldwtab16

  • Escaner de inyecciones SQL: permite analizar posibles vulnerabilidades SQLi en una determinada extensión de un país o con dorks de Google personalizados. Todo ello gracias a la herramienta DSSS (Damn Small SQLi Scanner).

          Demo: https://asciinema.org/a/2mwfmd9afsuyg5p0vzcq5e6si

  • Explotación de vulnerabilidades específicas: descubre objetivos vulnerables con Shodan, Censys o masscan para explotarlos con tus propios exploits o con exploits ya integrados.

Demo: https://asciinema.org/a/9uqsjvnru780h0ue6ok9j9ktb

Herramientas integradas:

  • Masscan : Es un escáner de puertos TCP muy rápido por Robert David Graham. Leviathan usa masscan para detectar servicios en un gran rango de IP.

https://github.com/robertdavidgraham/masscan.

  • Ncrack : Ncrack es una herramienta de autenticación de red de craqueo de alta velocidad. Leviathan utiliza Ncrack a los servicios de fuerza bruta, tales como FTP, SSH, RDP, Telnet, etc. MYSQL

https://github.com/nmap/ncrack.

  • DSSS (Damn Small escáner SQLi) : DSSS es un escáner de vulnerabilidades de inyección SQL totalmente funcional y minimalista de Miroslav Stampar. Leviatán utiliza DSSS para identificar vulnerabilidades de inyección SQL en URL específicas.

https://github.com/stamparm/DSSS.

Para su instalacion debemos seguir los siguentes pasos:

  • Descargar leviathan clonando el repositorio Git:

git clone https://github.com/leviathan-framework/leviathan.git

  • Ir al directorio de leviathan

cd leviathan

  • Instalar las librerias de Python:

pip install -r requirements.txt

Y Listo!

Fuente: https://github.com/leviathan-framework/leviathan

Shadow77

#HackNic

Fuerza Bruta, con 4 mil millones de Passwords es una alta probabilidad

A la hora de hacer Fuerza Bruta la importancia que tiene un buen diccionario es algo fundamental, no solo el hecho de contener muchos passwords si no de tener los passwords adecuados para el ataque.

Esto es lo que ah realizado  al trabajar en un diccionario basado en passwords de popularidad, pero en que puede beneficiar esto?, esto beneficia en la mejora de tiempo en que se realiza el ataque, haciéndolo mas efectivo y preciso.

Normalmente podemos encontrar algunas listas con contraseñas ordenadas por popularidad, pero el problema es que la gran mayoría de las listas, especialmente las listas más grandes, son ordenados alfabéticamente. Evidentemente esto no es muy práctico. Si asumimos que la contraseña más común es “password” y estamos realizando un ataque de diccionario usando uno en inglés, vamos a tener que empezar con “aardvark” y pasar por “passover” para llegar a “password”. “Aardvark” no parece una contraseña que elija mucha gente por lo que podríamos estar perdiendo mucho tiempo al no comenzar el ataque con la contraseña más común en nuestra lista!

Para crear los diccionarios, Ben fue a SecLists, Weakpass y Hashes.org y descargó casi todas las listas de palabras que contenían contraseñas reales. Estas listas eran enormes y terminó con más de 80GB reales, con contraseñas utilizadas y generadas por personas. Luego dividió los diccionarios entre más de 350 archivos de longitud variable, tipo de clasificación u orden, codificación de caracteres, origen y otras propiedades. Ordenó esos archivos, eliminó los duplicados de los propios archivos y juntó todos.

Si encontraba una contraseña en varios archivos, consideraba que era una aproximación de su popularidad.  Una entrada en 5 archivos, no era demasiado popular. Una entrada se podía encontrar en 300 archivos, era muy popular. Usando comandos de Unix, concatenó todos los archivos en un archivo gigante que contenía 4 mil millones de claves usadosy los ordenó por el número de apariciones en el archivo único. Con esto, pudo crear una lista de palabras muy grande clasificada por popularidad, no por orden alfabético.

Muy Útil no ¡¡?

Fuente: Berzerk0 Probable Wordlist

Shadow77

#HackNic