HTTPS el error de los usuarios en internet.

El error en HTTPS es que por creer que es seguro, debemos pensar que es 100% confiable. 

Primero para comenzar el tema hay que definir los protocolos de manera correcto:

  • HTTPHypertext Transfer Protocol o HTTP (en español protocolo de transferencia de hipertexto) es el protocolo de comunicación que permite las transferencias de información en la World Wide Web.Define la sintaxis y la semántica que utilizan los elementos de software de la arquitectura web (clientes, servidores, proxies) para comunicarse. HTTP es un protocolo sin estado, es decir, no guarda ninguna información sobre conexiones anteriores.
  • HTTPS: Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.
  • SSL/TLS: Transport Layer Security (TLS; en español «seguridad de la capa de transporte») y su antecesor Secure Sockets Layer (SSL; en español «capa de puertos seguros») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando, y para intercambiar una llave simétrica. Esta sesión es luego usada para cifrar el flujo de datos entre las partes. Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, autenticación del mensaje.

Pero si es un protocolo seguro, donde falla?

El problema radica en la confianza que le da a los usuarios de que es un protocolo seguro, haciéndonos creer que por estar presente el sitio donde accedemos es seguro y legítimo.

Algo que los cibercriminales están aprovechando de manera muy acertada con los ataques de Phishing para hacer pasar una pagina engañosa, como una legítima.

 Let’s Encrypt y la disponibilidad del HTTPS

El objetivo de Let’s Encrypt y el protocolo ACME es hacer posible configurar un servidor HTTPS y obtener automáticamente un certificado confiable de navegador, sin ninguna intervención humana. Esto se logra ejecutando un agente de administración de certificados en el servidor web.

Para habilitar HTTPS en el sitio web,  se debe obtener un certificado de una autoridad de certificación (CA). Let’s Encrypt es una CA, lo hace utilizando un software que utiliza el protocolo ACME, que normalmente se ejecuta en su host.

Esto hace que la disponibilidad del protocolo HTTPS sea alcanzable casi por cualquier web sea o no legitima al uso que se le da.

El uso de Sub-Dominios o dominios modificados para engañar a usuarios

Si bien con Let’s Emcrypt necesitamos demostrar que somos dueños del dominio, la creación de subdominos o poner con más caracteres el dominó para engañar al usuario es algo común y ahora mas efectivo.

El usuario promedio no toma el tiempo necesario para verificar un dominio completo y tampoco verificar que el certificado que nos muestra el navegador del sitio sea el correspondiente al sitio que estamos accediendo.

Tomar conciencia en el uso de la navegación web y mantenerse informado.

Es necesario tener fuentes confiables de información para mantenernos a salvo de los cibercriminales, ya que con los conocimientos necesarios agregamos una capa de seguridad a los servicios que usamos.

Y ciertamente el protocolo https y la seguridad de las plataformas, aplicaciones web, diferentes tipos de medios web digitales que usamos, se mantienen seguras pero no hay que pensar que siempre lo estamos por que nada esta 100% seguro y nada es 100% impenetrable.

#HackNic – Shadow77

Leviathan conjunto de herramientas para auditoría masiva

Esta aplicación es un conjunto de herramientas orientadas a la auditoría masiva.

 

La cual tiene módulos para el descubrimientos de objetivos, fuerza bruta, detección de inyecciones SQL y la ejecución de exploits personalizados. Para ello utiliza otras aplicaciones de software libre como masscan, ncrack y dsss, dándonos la posibilidad de combinarlas entre ellas.

Sus aplicaciones principales son:

  • Descubrir: analiza servicios FTP, SSH, Telnet, RDP, MYSQL.. servicios siendo ejecutados en las maquinas entre un rango de IPs de un país gracias a Shodan y a Censys. Tambien viene con el escáner Masscan integrado para un análisis de puertos TCP más rápido y eficiente.

Demo: https://asciinema.org/a/617bsxl1y84bav9f5bcwllx7r

  • Fuerza bruta (Brute force): gracias a la herramienta ncrack integrada en Leviathan, se pueden realizar ataques de fuerza bruta a diversos servicios del servidor.

Demo: https://asciinema.org/a/43y2j38zu7hbnuahrj233d5r0

  • Ejecucion remota de codigo (RCE): es posible ejecutar comandos en las maquinas comprometidas.

Demo: https://asciinema.org/a/0xcrhd12f2lpkbktjldwtab16

  • Escaner de inyecciones SQL: permite analizar posibles vulnerabilidades SQLi en una determinada extensión de un país o con dorks de Google personalizados. Todo ello gracias a la herramienta DSSS (Damn Small SQLi Scanner).

          Demo: https://asciinema.org/a/2mwfmd9afsuyg5p0vzcq5e6si

  • Explotación de vulnerabilidades específicas: descubre objetivos vulnerables con Shodan, Censys o masscan para explotarlos con tus propios exploits o con exploits ya integrados.

Demo: https://asciinema.org/a/9uqsjvnru780h0ue6ok9j9ktb

Herramientas integradas:

  • Masscan : Es un escáner de puertos TCP muy rápido por Robert David Graham. Leviathan usa masscan para detectar servicios en un gran rango de IP.

https://github.com/robertdavidgraham/masscan.

  • Ncrack : Ncrack es una herramienta de autenticación de red de craqueo de alta velocidad. Leviathan utiliza Ncrack a los servicios de fuerza bruta, tales como FTP, SSH, RDP, Telnet, etc. MYSQL

https://github.com/nmap/ncrack.

  • DSSS (Damn Small escáner SQLi) : DSSS es un escáner de vulnerabilidades de inyección SQL totalmente funcional y minimalista de Miroslav Stampar. Leviatán utiliza DSSS para identificar vulnerabilidades de inyección SQL en URL específicas.

https://github.com/stamparm/DSSS.

Para su instalacion debemos seguir los siguentes pasos:

  • Descargar leviathan clonando el repositorio Git:

git clone https://github.com/leviathan-framework/leviathan.git

  • Ir al directorio de leviathan

cd leviathan

  • Instalar las librerias de Python:

pip install -r requirements.txt

Y Listo!

Fuente: https://github.com/leviathan-framework/leviathan

Shadow77

#HackNic

BackdoorMan-detectando Shell’s ocultas

 

BackdoorMan es un toolkit de código abierto escrito en Python por Yassine Addi y destinado a ayudar a los sysadmins a encontrar scripts PHP y shells maliciosos, ocultos y sospechosos en un servidor, automatizando todo el proceso de detección.

Recordar que es bastante común que cuando se logra comprometer un sitio se ubique un backdoor pues puede dar acceso continuo al sitio (persistencia) incluso si los propietarios del sitio cambian las contraseñas.

Los scripts de un backdoor varían de 100 líneas de código hasta incluso 1 ó 2 líneas y se pueden fusionar en cientos de archivos lo que hace muy difícil descubrirlos, especialmente si el backdoor está inactivo. Hay maneras y herramientas comunes que se pueden utilizar, como grep, pero BackdoorMan automatiza todo y hace más fácil la identificación de código malicioso.

Caracteristicas:

  • Deteccion de shell mediante base de datos de firmas.
  • Reconocimiento de Backdoor’s Web.
  • Deteccion de funciones y actividades sospechosas de php
  • Uso de servicios externos junto a sus funcinalidades
  • Uso de nimbusec shellray API (deteccion de WebShell’s online y  gratuito para archivos php https://shellray.com).
    • Rendimiento alto de reconocimiento WebShell’s.
    • Comprobacion de archivos sospechosos PHP en linea.
    • Facil, Rapido y Confiable.
    • Clasificacion de WebShell’s por comportamiento.
    • Servicio gratuito de nimbusec.
  • El uso de la API pública de VirusTotal (servicio en línea gratuito que analiza los archivos y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware), que puede ser útil en nuestra situación.
  • El uso de UnPHP (El decodificador en línea de PHP: UnPHP es un servicio gratuito para el análisis y ofuscado código PHP malicioso) www.unphp.net . Muy útil en nuestra situación.
    • Eval + gzinflate + Base 64.
    • De-Ofuscación recursiva.
    • Función personalizada y soporte expresión regular.

Uso:

Usage: Python BackdoorMan --help
BackdoorMan [options] destination1 [destination2 ...]

A toolkit that helps you find malicious, hidden and suspicious PHP scripts and shells in a chosen destination.
Author: Yassine Addi <yassineaddi.dev(at)gmail(dot)com>.
NOTE: This tool does not require Internet connection but it is highly recommended to benefit from all features.

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -o OUTPUT, --output=OUTPUT
                        save output in a file
  --no-color            do not use colors in the output
  --no-info             do not show file information
  --no-apis             do not use APIs during scan (not recommended)

 

Fuente:https://github.com/yassineaddi/BackdoorMan
#HackNic
Shadow77