HTTPS el error de los usuarios en internet.

El error en HTTPS es que por creer que es seguro, debemos pensar que es 100% confiable. 

Primero para comenzar el tema hay que definir los protocolos de manera correcto:

  • HTTPHypertext Transfer Protocol o HTTP (en español protocolo de transferencia de hipertexto) es el protocolo de comunicación que permite las transferencias de información en la World Wide Web.Define la sintaxis y la semántica que utilizan los elementos de software de la arquitectura web (clientes, servidores, proxies) para comunicarse. HTTP es un protocolo sin estado, es decir, no guarda ninguna información sobre conexiones anteriores.
  • HTTPS: Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP.
  • SSL/TLS: Transport Layer Security (TLS; en español «seguridad de la capa de transporte») y su antecesor Secure Sockets Layer (SSL; en español «capa de puertos seguros») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.Se usan certificados X.509 y por lo tanto criptografía asimétrica para autentificar a la contraparte con quien se están comunicando, y para intercambiar una llave simétrica. Esta sesión es luego usada para cifrar el flujo de datos entre las partes. Esto permite la confidencialidad del dato/mensaje, y códigos de autenticación de mensajes para integridad y como un producto lateral, autenticación del mensaje.

Pero si es un protocolo seguro, donde falla?

El problema radica en la confianza que le da a los usuarios de que es un protocolo seguro, haciéndonos creer que por estar presente el sitio donde accedemos es seguro y legítimo.

Algo que los cibercriminales están aprovechando de manera muy acertada con los ataques de Phishing para hacer pasar una pagina engañosa, como una legítima.

 Let’s Encrypt y la disponibilidad del HTTPS

El objetivo de Let’s Encrypt y el protocolo ACME es hacer posible configurar un servidor HTTPS y obtener automáticamente un certificado confiable de navegador, sin ninguna intervención humana. Esto se logra ejecutando un agente de administración de certificados en el servidor web.

Para habilitar HTTPS en el sitio web,  se debe obtener un certificado de una autoridad de certificación (CA). Let’s Encrypt es una CA, lo hace utilizando un software que utiliza el protocolo ACME, que normalmente se ejecuta en su host.

Esto hace que la disponibilidad del protocolo HTTPS sea alcanzable casi por cualquier web sea o no legitima al uso que se le da.

El uso de Sub-Dominios o dominios modificados para engañar a usuarios

Si bien con Let’s Emcrypt necesitamos demostrar que somos dueños del dominio, la creación de subdominos o poner con más caracteres el dominó para engañar al usuario es algo común y ahora mas efectivo.

El usuario promedio no toma el tiempo necesario para verificar un dominio completo y tampoco verificar que el certificado que nos muestra el navegador del sitio sea el correspondiente al sitio que estamos accediendo.

Tomar conciencia en el uso de la navegación web y mantenerse informado.

Es necesario tener fuentes confiables de información para mantenernos a salvo de los cibercriminales, ya que con los conocimientos necesarios agregamos una capa de seguridad a los servicios que usamos.

Y ciertamente el protocolo https y la seguridad de las plataformas, aplicaciones web, diferentes tipos de medios web digitales que usamos, se mantienen seguras pero no hay que pensar que siempre lo estamos por que nada esta 100% seguro y nada es 100% impenetrable.

#HackNic – Shadow77

Man In The Cloud – Sincronización peligrosa.

El popular ataque Man In The Middle, “como todos saben”, consiste en que el atacante consigue interponerse entre los dos extremos de una comunicación con la finalidad de capturar todos los datos de la víctima e incluso infectarla con malware.

Ahora bien el Ataque Man in the Cloud consiste en que un cibercriminal consigue tener acceso a los servicios de almacenamiento en la nube como Dropbox y Google Drive, con la finalidad de subir archivos con malware y convertir estos servicios de sincronización de archivos en la nube en un vector de ataque devastador.

Debido a que en muchas ocasiones, miembros de una misma organización tienen archivos sincronizados y compartidos con otros compañeros, infectar una sola de las cuentas que pertenecen a la carpeta compartida es fundamental para que este ataque tenga éxito e infecte a todos los miembros.

MITC (Man In The Cloud) no requiere de ningún código malicioso ni de ningún exploit de los servicios de almacenamiento en la nube en particular, sin embargo al utilizar protocolos de sincronización bien conocidos hacen que sea casi imposible distinguir un tráfico malicioso de uno completamente normal.

En algunas ocasiones, una vez que una cuenta se ha visto comprometida y que el resto de la red se ha infectado, es complicado recuperar la cuenta comprometida y asegurarse de que está completamente limpia, por lo que en la mayoría de las ocasiones deciden crearse cuentas nuevas.

Hay varios tipos de ataques Man In The Cloud que se utilizan actualmente:

  • Quick Double Switch: este tipo de ataque permite al atacante compartir los archivos de la cuenta sincronizada, tener acceso completo a los archivos para infectarlos con código malicioso.
  • Persistent Double Switch: Similar al anterior pero además permite al atacante tener control por acceso remoto al equipo de la víctima.
  • Single Switch: Permite al atacante acceder a los datos de la víctima, al equipo y ejecutar código malicioso.

Este problema de ataque MITC irá en aumento debido a que una gran mayoría de organizaciones permiten a sus usuarios usar servicios de sincronización de archivos en la nube, de hecho dependen de ellos para realizar su negocio.

#HackNic  Shadow77

ExploitPack un juguete mas para los Pentester’s.

Pentesting es el proceso de descubrir vulnerabilidades y que crea adiccion a quien lo practica.

A la hora de realizar un trabajo de pentesting las herramientas que usas son algo fundamental para hacer el proceso mas sencillo y mas completo, esta vez me eh encontrado con una herramienta que puede ser prometedora.

ExploitPack ha sido diseñado por un experimentado equipo de desarrolladores de software y coders de exploit para automatizar los procesos para pentesting y puedan concentrarse en lo que es realmente importante, “La amenaza”. Esta mezcla de los ingenieros de software y expertos en la materia proporciona una ventaja única mediante la combinación de técnicas know-how con una visión verdadera en el conjunto de problemas, lo que resulta en más eficiente soluciones para la vigilancia de la seguridad cibernética.

Instalación:

  • Clonar el repositorio de github
    • git clone https://github.com/juansacco/exploitpack.git
  • En Windows:
    • Instalar java 8 de Oracle
    • Ejecutar ExplotPack.jar o desde la terminal en la carpeta del repositorio “ java -jar ExploitPack.jar ”
  • En Linux (en cualquier distribución de Linux que soporta paquetes DEB como Ubuntu, Debian, Kali, etc):
    • Usa los siguientes comandos para instalar java 8 de los repositorios oficiales:

echo “deb http://ppa.launchpad.net/webupd8team/java/ubuntu trusty main” >> /etc/apt/sources.list

echo “deb-src http://ppa.launchpad.net/webupd8team/java/ubuntu precise main” >> /etc/apt/sources.list

sudo apt-key adv –keyserver keyserver.ubuntu.com –recv-keys EEA14886

sudo apt-get update

sudo apt-get install oracle-java8-installer

    Ejecutar ExplotPack.jar o desde la terminal en la carpeta del repositorio “ java -jar ExploitPack.jar ”

Fuente: https://github.com/juansacco/exploitpack

#HackNic  Shadow77