Pages

Ads 468x60px

lunes, 30 de diciembre de 2013

Felices Fiestas




Desde este humilde blog os deseamos Felices Fiestas. Espero que el próximo año sea mucho mejor que este.

Haciendo balance del 2013, ha estado lleno de altibajos, de problemas etc, pero siendo algo mas optimistas os dejo con algunas estadísticas del blog.

miércoles, 18 de diciembre de 2013

Quitar rol de HyperV y Failovercluster en Windows2012Server con PowerShell





Hoy al intentar desinstalar desde roles y características de Windows Server 2012 el rol de Hyper-V, he visto que no se podía quitar el check desde la GUI.




Para poder desinstalarlo, se puede hacer desde Powershell. En primer lugar necesitamos saber el nombre del rol o característica que queremos eliminar. Se puede obtener el listado ejecutando:

  1. Get-WindowsFeature

sábado, 14 de diciembre de 2013

Activar WIFI en 2012 SRV



Hoy me he encontrado con un "problema". Acababa de montar un 2012 Server r2 y por la distancia con el router no podía conectarlo por ethernet, así que solo me quedaba la opción de hacerlo vía Wifi. 
Hasta aquí todo bien, le instalo la tarjeta Wifi, arranco el servidor y miro que en el administrador de dispositivos estuviese ok. Me voy a conectarlo y me encuentro que no detecta ninguna red. Reviso las antenas que estén bien conectadas, pero sigue igual. 
Investigando veo que hay que activar en "roles y características" el "Wireless LAN service" (hasta ahora no tenia ni idea de eso porque siempre he instalado los servidores por cable y no por wifi) así que, manos a la obra.

jueves, 5 de diciembre de 2013

Exiftool - Extraer, crear, borrar y modificar metadatos en Linux.

Aunque mi compañero akil3s ya os hablo en Agosto de datos EXIF o metadatos en "Principios forenses (básicos) II La información EXIF", yo hoy voy a tratar de ampliar un poquito más esa información y a hablaros de una herramienta forense que se llama Exiftool y que la usaremos para extraer, crear, borrar y modificar metadatos.

Está disponible para Windows, Linux y Mac OS X.

Hoy voy a explicar su uso en Linux. (Proximamente haré demostración de su uso en Windows y en Mac OS X). Todos los comandos usados en esta entrada están recogidos en este pastebin para el que quiera tener en formato texto todos los comandos.

Lo primero que vamos a hacer es descargar e instalar la herramienta, por lo que necesitamos tener permisos root (sudo) y conexión a internet. Acto seguido escribiremos la siguiente línea de comandos para ello: 


martes, 3 de diciembre de 2013

Cómo activar el "God Mode" en Windows 7. (Modo Dios)



Buenas a todos, hoy vengo a hablaros de una herramienta que no todo el mundo conoce de su sistema operativo Windows 7.

Se trata de una herramienta oculta que se llama “God Mode” o Modo Dios, en castellano.

Es una herramienta ampliamente extensa en cuanto al sinfín de configuraciones a las que podemos acceder a través de ella. Tiene un menú amplio y desplegable y gracias a su orden alfabético podemos encontrar fácilmente lo que deseemos configurar.

viernes, 29 de noviembre de 2013

Cómo cambiar dirección MAC en un sistema Linux




Hoy os voy a enseñar a cómo cambiar vuestra dirección MAC en un sistema operativo Linux.

¡Vamos al lío!

Para ver la configuración de nuestra tarjeta de red usamos el comando ifconfig:




Vamos a tocar la configuración de nuestra tarjeta de red por lo que debemos ser root:


 


Una vez que ya somos root vamos a ejecutar los siguientes comandos:

ifconfig eth0 down
ifconfig eth0 hw ether "Dirección MAC que queremos usar"
ifconfig eth0 up
 
 

 Para terminar, comprobamos que hemos cambiado la dirección MAC de nuestra tarjeta de red con el comando ifconfig:




Y así es como cambiamos nuestra dirección MAC en un sistema operativo Linux.

Espero que os sea útil.

David Avilés, (@Davinoide)

miércoles, 27 de noviembre de 2013

Aprende a usar Google. Mejor buscar adecuadamente





Creo que a estas alturas ya todos sabemos que es Google, quien hay detrás, e incluso sabemos buscar lo que necesitamos en cada momento. Pero, ¿sabes que hay formas para afinar mas esa búsqueda?

Bien, vamos a ver como va esto.

Google tiene varios filtros que nos permiten hacer mejores búsquedas y que si se combinan entre si, alcanzan una potencia mayor.

  • + <texto>: poniendo un + (símbolo más) delante de una palabra, hace que esa palabra usada este obligatoriamente en la búsqueda.
  • -  <texto>: poniendo un - (menos) delante de una palabra, excluye los resultados que contengan esa palabra.
  • "<texto>": al poner un texto entrecomillado, se buscan cadenas de texto completas.
  • Si se utiliza el carácter * (asterisco) puede aparecer cualquier palabra dentro de una frase entrecomillada.
  • intitle:<texto>: Busca en el titulo de la pagina.
  • inurl:<texto>: hace las búsquedas en la URL de la página.
  • intext:<texto>: Busca el texto en el cuerpo de las paginas que devuelve.
  • filetype:<extensión>: restringe la búsqueda a la extensión especificada.
  • domain:<dominio>: Limita los resultados al dominio que hemos especificado.

Con estos filtros, y combinándolos entre ellos, podemos lograr encontrar cualquier cosa 
que esté en Internet. 


Os invito a que vayáis probando todas las opciones vistas en esta entrada.


Roberto García (@1GbDeInfo)

Basado en el PDF: Ataque a aplicaciones web

sábado, 23 de noviembre de 2013

Vulnerabilidad en Facebook permite ver la lista de amigos ocultos


Irene Abezgauz investigadora de seguridad del "Quotium Seeker Research Center" identificó un fallo de seguridad en los controles de seguridad de Facebook. La vulnerabilidad permite a los atacantes ver la lista de amigos de cualquier usuario. Esto sucede por el conocido mecanismo de Facebook "personas que tal vez conozcas".

Para llevar a cabo el ataque es necesario crear un nuevo perfil y enviar una solicitud de amistad a la victima, aunque si la rechaza es irrelevante, ya que desde ese momento Facebook empieza a recomendar a otros usuarios. Con la opción de de hacer clic en "ver todos", puede ver la lista de las personas sugeridas (que son los amigos de la victima), a los que el atacante envía también la solicitud de amistad, incluso si la lista de amigos es privada y el resto de estos amigos sugeridos también es privado.

El ataque se desglosa en tres pasos que os dejo a continuación.

Paso 1. El atacante crea un usuario en Facebook. Este perfil no tiene amigos ni sugerencia de amigos nuevos.




Paso 2. Se realiza el envío de solicitud de amistad. En el ejemplo del perfil de la imagen, tiene la lista de amigos ocultos.




Llegados a este punto, Facebook sugiere "para ver lo que ella comparte con amigos, envíale una solicitud de amistad"




Paso 3. Ver la lista de amigos de la victima como sugerencia de personas que podrías conocer.
La victima no acepta la solicitud de amistad. Puede que ni siquiera haya visto aún la solicitud de amistad, sin embargo Facebook comienza a sugerir amistades de la persona atacada e incluso de las que esa persona recientemente haya enviado peticiones de amistad.



Mediante el botón "ver todos" el atacante puede ampliar la lista para ver cientos de sugerencias de los usuarios que son amigos de la victima.

Como parte de la investigación, Irene quiso comprobar las condiciones exactas por lo que esto era posible. Los amigos de la victima fueron usuarios que también tenían su listado de amistades como privadas, ademas, no hubo ningún tipo de contacto con dichos usuarios, salvo la solicitud de amistad.
Se trata de datos que no están disponibles al publico a no ser que seas amigo de la victima. 

Facebook por su parte contesto a Irene diciendo "Si usted no tiene amigos en Facebook y envía una solicitud de amistad a alguien que ha elegido tener su lista de amistades oculta, es posible que vea algunas sugerencias de amigos que también son amigos de ambos. Pero no hay manera de saber si las sugerencias que aparecen representan la lista de amigos completa de alguien.    
Sin embargo, la investigación sobre este tema, ha demostrado que la mayor parte de los amigos -a menudo cientos de ellos- está a disposición del atacante. En cualquier caso, poder acceder solo a la mitad (o menos) de una lista de amigos viola los controles de privacidad que el usuario ha elegido.

Como de costumbre, Facebook se lava las manos en esto, queriendo hacernos creer que la privacidad del usuario es correcta.

Ya lo decían Objetivo Birmania hace muchos años. Los amigos de mis amigos, son mis amigos.




Roberto García (@1gbDeInfo)


Noticia completa: quotium.com
*Todas las imagenes son de la misma web.

viernes, 22 de noviembre de 2013

Vulnerabilidad critica en Gmail (restableciendo la contraseña)


El investigador de seguridad Oren Hafif ha descubierto una vulnerabilidad grave en el proceso de restablecimiento de contraseña que permitiría a un atacante secuestrar cualquier cuenta.
Mediante un ataque de "spear-phishing" consiguió que los usuarios de Google le entregasen sus contraseñas por un problema de XSS y "CSRF".

En el siguiente vídeo veréis un POC en el que muestra como logro hacerlo. Solo tuvo que enviar un correo en el que se pedía confirmar la cuenta haciéndose pasar por Gmail.  







El link que llevaba el correo, pedía confirmar la titularidad de la cuenta e instaba al usuario que cambiase su contraseña.











Pero en realidad habría robado la contraseña y ademas la información de la cookie de sesión mediante el ataque "XSS".




El señor Hafif informó de la vulnerabilidad encontrada a los ingenieros de seguridad de Google y ya han solucionado las incidencias. Además le han pagado 5100$ de acuerdo al su programa Bug Bounty. 

Como veis, los ataques XSS son mas serios de lo que las empresas creen. 

Roberto García (@1GbDeInfo)

Toda la información: Oren Hafif

miércoles, 20 de noviembre de 2013

Cupid Media: 42 millones de cuentas expuestas





42 millones de personas han sido expuestas por ciberdelincuentes que han atacado la web de citas Cupid Media. 
Según cuenta hoy The Guardian, las cuentas, correos y contraseñas estaban sin cifrar y fueron robadas a principios de año junto con las de las web del mismo grupo UkraineDate.commilitarycupid.com y IranianSinglesConnection.com, pero la compañía no admitió el robo, hasta que ha sido expuesta por el investigador de seguridad Brian Krebs.

El robo se extiende a 35 sitios de citas en total, y fue descubierto por Krebs en el mismo servidor que la información de usuarios que se robó de Adobe que sufrió la compañía a principios de Noviembre, pero a diferencia de Adobe que si tenia algún tipo de cifrado, las de la compañía Cupid Media iban en texto claro, siendo contraseñas, nombres completos, direcciones de correo y fecha de nacimiento de los usuarios lo robado en este caso.

El director general de Cupid Media Andrew Bolton, reconoció que en Enero habían sufrido dicho robo pero que "en ese momento tomamos las medidas adecuadas para notificar a los clientes afectados y restablecer las contraseñas de usuario. Actualmente estamos en proceso de añadir la doble verificación a las cuentas afectadas y ya han recibido una notificación por correo electrónico".
Sin embargo la empresa Cupid Media solo ha notificado a los usuarios que ya estaban afectados por la violación de los datos.


Una captura de pantalla editada mostrando varias de las cuentas de usuario robadas.  Las contraseñas se almacenan en texto sin formato.
Una captura de pantalla editada mostrando varias de las cuentas de usuario robadas.Las contraseñas se almacenan en texto sin formato.


Andrew continuaba diciendo "El numero de usuarios afectados es considerablemente menor de los 42 millones citados". 
También confirmó que dada la intrusión, la compañía ha comenzado a cifrar las contraseñas usando técnicas de "salting and hashing", una medida de seguridad que hacen que las fugas sigan ocurriendo.

El análisis de los datos filtrados proporciona una información "suculenta". Mas de las tres cuartas partes se registraron con cuentas de Yahoo, Hotmail o Gmail, pero lo que es aún mas inquietante es que mas de 11.000 cuentas habían utilizado direcciones de correo militares de EE.UU y más de 10.000 se habían registrado con cuentas gubernamentales del mismo país.


34 million Cupid users registered with a Yahoo, Hotmail or Gmail address. 56 Homeland Security Dept. employees were looking for love here as well.


De las contraseñas filtradas, una vez más, casi 2 millones de ellas respondían al "Top Ten" "12346", mas de 1,2 millones eran "111111", "iloveyou" y "lovely". 40.000 eligieron como contraseña "QWERTY", 20.000 se decantaron por la parte inferior de su teclado, lo que se corresponde con "zxcvbn".
Una vez más os recuerdo la importancia de una "contraseña segura".


cupidnonn
Top Ten de contraseñas mas usadas en webs de citas.

Desde mi punto de vista, creo que cualquier empresa podría considerar la protección de los datos de sus usuarios una prioridad. Estoy seguro que empresas grandes pueden pagar ( o tienen) especialistas en seguridad que saben que las contraseñas y demás datos de un usuario no pueden ir en texto claro. 
Y por nuestra parte, deberíamos educar mejor a los usuarios en el arte de crear contraseñas mas robustas.

Roberto García (@1GbDeInfo)


Fuente: The Guardian.

Como protegerte del ramsomware Cryptlocker




Hace poco hablábamos del peligro de infección del que nos avisó la National Crime Agency de Reino Unido, y hoy os dejo algunas recomendaciones y algún software para intentar que no nos afecte este nuevo malware.

El peligro tan grande que corremos, es que solo se dispone de 72 horas -una vez infectado- para realizar el abono del importe que nos solicitan, porque de no ser así, perderás la opción de obtener la clave de descifrado y no podrás recuperar tus datos.
Si el equipo es infectado, (de momento) no hay ninguna forma de intentar descifrar los datos, ni siquiera por fuerza bruta, ya que atacar un cifrado de 2048 bits, es prácticamente imposible.

Por esto, es conveniente leer las opciones que os dejo a continuación.

- Evitar abrir documentos adjuntos en los correos electrónicos, ya sean de contactos conocidos o no.
- Debemos contar con un programa antivirus y tenerlo correctamente instalado y actualizado.
- Reiterándome siempre en lo mismo, también debemos tener todo el software del equipo actualizado.
- Guardar una copia periódica de los datos con los que trabajamos. No hay un tiempo exacto para hacer las copias, todo depende de lo que "muevas" los datos. Es recomendable realizarla al menos una vez cada 15 días.
- Puedes crear una cuenta en alguna de las distintas opciones que nos ofrecen gratuitamente para subir datos en la nube. Ojo con esto, no subir datos de alta criticidad.
- Utiliza los puntos de restauración que trae Windows.
- Si vas a restaurar alguna copia de seguridad, asegúrate de haber formateado el equipo para que no quede rastro del malware.

Además de estos consejos, ya existen herramientas gratuitas que pueden ayudarte a prevenir el ataque de este malware.

1.- CryptoPrevent es una herramienta creada por el experto en seguridad Nick Shaw. Esta herramienta parece bastante efectiva en Windows Xp y Windows 7 ya que no permite la ejecución de Cryptlocker.





2.- Cryptoguard. HitmanPro Alert ahora cuenta con la función cryptoguard, que supervisa el sistema de archivos en busca de actividad sospechosa.Cuando esto se detecta, el malware es neutralizado y los archivos permanecen a salvo.





3.- BitDefender anti CriptBlocker. Es una herramienta de bloqueo que puede detectar el cifrado del malware. 

4.-Los sistemas de prevención de intrusiones (IPS) pueden bloquear las comunicaciones que impedirían el sistema de cifrado.


Como ultima recomendación, mas de lo mismo, actuar como si estuvieseis en la vida real. Haced como dice Yago, si veo un peligro, me cambio de acera. Esto extrapolado al mundo de Internet  es exactamente igual. Dos de dos de frente, si nos llegan correos extraños, de gente que no conocemos, no abráis los documentos adjuntos jamas. Elimina el mensaje y sigue disfrutando de las bonanzas que nos ofrece Internet.

Si conocéis alguna otra herramienta os animo a compartirla desde los comentarios.

Gracias.

Roberto García (@1GbDeInfo)


Fuente: The hackers news.

lunes, 18 de noviembre de 2013

10 millones de usuarios españoles podrían infectarse con CryptoLocker




La National Crime Agency de Reino Unido ha dado una alerta urgente por el peligro de un envío masivo de Spam con un adjunto bastante peligroso, nada menos que el ramsomware Cryptolocker. El ya conocido malware que cifra nuestos archivos y luego pide un "rescate" por ellos.
Según comenta la NCA, la mayoría de los correos provienen de instituciones bancarias. Adjuntan un archivo como una factura, un mensaje de voz o de fax, pero en realidad lleva el malware que cifrará tus datos.

Para recuperar dichos datos, aparece una imagen como la de arriba, indicando que pagues 2 Bitcoins -y te añade un contador de tiempo en la misma ventana- para conseguir la clave de descifrado.


Precio del Bitcoin a día de hoy


Bit defender encontró mas de 12.000 ordenadores infectados en la ultima semana de Octubre. Por su parte la Agencia Nacional de Crimen dice estar trabajando para identificar y llevar ante la justicia a los responsables y reducir el riesgo para los cibernautas.
Ademas, recomiendan no pagar el rescate ya que incluso pagando, nadie garantiza que realmente puedas recuperar los datos.

Conclusión, haz copia de tus archivos regularmente y no abras correos de desconocidos (y a veces ni de conocidos) si el contenido te parece raro.


Roberto García (@1GbDeInfo)

Fuente: The hackers news.

domingo, 17 de noviembre de 2013

Vulnerabilidad de redireccion en Facebook





El investigador de seguridad Dan Melamed ha descubierto hace un par de semanas una vulnerabilidad de redirección de URL en Facebook que le permitió redirigir a otras web sin ningún tipo de restricción.
Según el propio Dan, solo tenia que cambiar una cadena aleatoria en la URL para conseguir la redirección, de manera que si usásemos


  1. http://facebook.com/campaign/landing.php?url=http://yahoo.com


Esta URL siempre nos devolvería a la web de Facebook, pero si manipulamos el parámetro URL y le asignamos una cadena aleatoria obtendríamos otro resultado.


  1. http://facebook.com/campaign/landing.php?url=asdf

Esta variable genera una variable única "h" y pasa el parámetro al Linkshim de Facebook (l.php) permitiendo así la redirección.


  1. http://www.facebook.com/l.php?u=asdf&h=mAQHgtP_E


Una vez que Dan se dio cuenta del proceso, vio la forma de explotar la vulnerabilidad para eludir las restricciones de redirección y vio como eliminando la parte de destino era suficiente para redirigir un enlace de Facebook hacia otros lugares sin ningún tipo de restricción. 


  1. http://facebook.com/campaign/landing.php?url=yahoo.com


El linkshim de Facebook (l.php) interpreta el enlace yahoo.com como http://yahoo.com haciendo que la redirección sea posible.

Os dejo un POC para que veáis lo simple que puede llegar a ser hacer una redireccion dirigida, pudiendo llevarnos a paginas que contienen malware.







Facebook por su parte ha corregido en cuestión de una semana y media dicha vulnerabilidad y Dan ha sido recompensado con 1000$, lo cual no esta nada mal (mas por el tiempo que por el dinero).



Roberto García (@1GbDeInfo)

Fuente: www.dan-melamed.com

lunes, 11 de noviembre de 2013

Stuxnet infecta la red de una planta nuclear Rusa


Eugene Kaspersky ha dicho hace un par de días que la red interna de una planta nuclear de Rusia ha sido infectada por el malware Stuxnet.

Según dijo el NewYork Times en 2012, Stuxnet fue creado por el gobierno de EE.UU junto con Israel para alterar los planes de enriquecimiento de uranio de Irán. Al parecer el método de infección ha sido el mismo anteriormente utilizado en otros ataques, un dispositivo USB.

Kaspersky por su parte, ha mencionado que un miembro del personal de la central, no identificado, le avisó de la infección. Éste le comentó que la planta nuclear había sido desconectada de Internet al ser gravemente infectada por Stuxnet.

Eugene también asegura que para el diseño de un código malicioso como el de Stuxnet, Flame y Red October son necesarios al menos 10 millones de dolares y que el 50% de los malwares se han escrito en Chino, el 33% en Español o Portugués, seguido por el Ruso y que este último era el mas peligroso porque es el más sofisticado del mundo.

Os dejo el discurso de Kaspersky en el Club de Prensa en Canberra, Australia. Dura algo mas de una hora y está en Ingles.






Roberto García (1GbdeInfo)

viernes, 8 de noviembre de 2013

Como activar BitLocker en Windows 8 sin TPM





BitLocker es una utilidad que nos brinda Windows para cifrar las unidades de nuestro ordenador (disco duro y pendrives que se conecten) para que en caso de robo, alguien malintencionado no pueda acceder a los datos del equipo. Viene disponible de serie en Windows Vista, Windows 7 y 8.

Pero como todo en esta vida tiene un "pero". Y este es el caso que vamos a tratar.


Puede que al intentar activar BitLocker te aparezca la siguiente pantalla.


Error al iniciar BitLocker

Si te ha sucedido alguna vez, no desesperes porque para eso es esta entrada.
El motivo por el que esto sucede es porque -como dice el error- el equipo no dispone de TPM. Vale, y ahora traducido al cristiano. TPM es "modulo de plataforma segura" (del Inglés Trusted Platform Module) que resumiendo, no es más que un microchip que puede almacenar claves de cifrado.

Para activar BitLocker, solo tendríamos que ir a "equipo" y con el botón derecho sobre la unidad que quisiéramos activarlo pinchar en "Activar BitLocker".





Pero lo siguiente que veríamos sería el cartel del error que he dejado mas arriba.

Empieza la función!

Vamos a "obligar" a Windows 8 a que acepte BitLocker.
Lo primero nos vamos a ejecutar tecla  +R y en el recuadro vamos a escribir 

  1. gpedit.msc




Se nos abre el editor de directivas de grupo local y navegamos hasta Directiva de equipo local \ Configuración del equipo \ Plantillas administrativas \ Componentes de Windows \ Cifrado de unidad BitLocker \ Unidades del sistema operativo para llegar a “Requerir autenticación adicional al iniciar”.




Damos doble clic sobre ella o bien con el botón derecho pinchamos sobre "editar"





En la nueva ventana que se abre marcaremos (como se ve en la imagen) la casilla "habilitada" y “Permitir BitLocker sin un TPM compatible”.




Aceptamos en esa ventana, y cerramos la de directivas de grupo.
Continuamos. Volvemos a sacar el recuadro de ejecutar (tecla  +R) y escribimos en este caso

  1. gpupdate.exe /force




Para forzar a actualizar las directivas.

Ya podemos activar BitLocker en nuestro Windows 8. Si vamos a "equipo" y pinchamos nuevamente con el botón derecho sobre la unidad a cifrar, podemos comprobar que ya no sale el error. En la ventana que nos aparece, elegimos  una de las dos opciones. En mi caso he elegido escribir una contraseña para luego guardarlo en un USB (las dos opciones terminan llevando al mismo sitio) o como vemos en la última imagen, imprimirla, guardarla en la cuenta Microsoft (si la tenemos activada) o guardarla en un archivo. 




Yo he elegido como comentaba guardarla en un USB, así que lo conecto, selecciono la unidad y le doy a guardar. 




Acto seguido nos pide elegir la parte a cifrar de la unidad. Yo le diré que lo haga para la unidad entera.





Ahora nos aparece una ventana (leer detenidamente para saber que va a ocurrir) y le damos a continuar.




Y por último, nos dice que mantengamos la unidad USB en el equipo y que éste se reiniciará.





Una vez que arranque el equipo (y con el pendrive "pinchado") comienza a cifrar el disco. Ojo porque obviamente, cuanta mayor capacidad tenga el disco más tardará)





Una vez termine, ya tenemos la unidad cifrada.
Podemos echar un vistazo a la unidad USB y veremos el archivo que genera.




Y su contenido (tranquilos que es una máquina virtual y ya esta muerta jeje)




¿A que no ha sido tan difícil? Y ahora tendremos nuestros datos mejor asegurados.


Roberto García (@1gbdeInfo)

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates