Análisis de Riesgos Tecnológico, en la vida cotidiana

En una disertación, Intel detalla un panorama desolador en seguridad informática - presentando luego la solución: Intel. Diario TI 16/03/16 10:24:31 En conferencia de prensa realizada el día de hoy, Brett Kelsey, Vicepresidente y CTO para Américas de Intel Security, realizó en México la presentación denominada “La Ciberseguridad en torno de la transformación digital”. De acuerdo con el expositor, la enorme dispersión de usuarios móviles, remotos y corporativos, la multiplicación de miles de millones de dispositivos que representan Zettabytes de información, la aparición de IoT (Internet of Things por sus siglas en inglés), la acumulación de información en la nube y factores como BYOD (Bring Your Own Device por sus siglas en inglés) han modificado el reto primordial para salvaguardar la información de las organizaciones. Con el creciente volumen y complejidad de ataques, los profesionales de seguridad han visto la necesidad de evolucionar su enfoque para proteg

Let's Encrypt   ha logrado entregar   un millón de certificados digitales libres y gratuitos SSL/TLS . En tan sólo tres meses y cinco días desde su puesta en funcionamiento,   el grupo ha superado el millón de certificados digitales para sitios web . La entidad es operada por   Internet Security Research Group (ISRG)   y es una autoridad de certificación totalmente gratuita y de código abierto reconocida por todos los principales navegadores, como Google Chrome, Mozilla Firefox y Internet Explorer de Microsoft. Let's Encrypt   permite a cualquiera obtener certificados libres SSL/TLS para sus servidores web y está respaldado por empresas como EFF, Akamai y Mozilla. Los certificados están respaldados por el proveedor IdenTrust, por lo que son reconocidos por cualquier navegador. El proyecto comenzó a ofrecer certificados HTTPS gratis a todo el mundo el pasado mes de diciembre. "Queda mucho trabajo por hacer antes de que Internet quede libre de protocolos inseguros, per

Penetration-Testing-Toolkit es una suite de herramientas para automatizar de test de penetración a sitios Web, utilizando técnicas de: escaneado de una red, exploración de CMS, generación de información de Payloads de Metasploit, consultas DNS,recopilación de información, búsqueda de  la información del dominio, etc. Entre sus características destaca: Interfaz Web para escáner Nmap. Escanea servidores Web y detecta: archivos peligrosos, versiones no actualizadas, ssl-check,   cortafuegos , verificación de puertos, ping-sweep y NetBIOS. Identifica una   pagina Web   recogiendo datos como: correo electrónico, URL, IP4, dominio... Interfaz Web para theHarvester. Incluye técnicas de Google Hacking. Genera Payloads de Metasploit que no pueden detectarse, para los sistemas: Windows, Linux, OS X y Android. Genera Payloads para Java y webshells  utilizando Metasploit para los lenguajes: PHP, ASP y JSP Crear puertas traseras para Windows, Linux y PDF. Exploración de sitios: Word

Un 'software' capaz de detectar vulnerabilidades en sistemas ajenos a la vez que protege los propios. O, en otras palabras, un 'hacker' virtual, creado por líneas de código, ceros y unos. Esa es la idea que ha puesto en marcha la   DARPA , la agencia del ejército de Estados Unidos encargada de la investigación militar, y que en agosto va a celebrar una competición, dotada con dos millones de dólares, para dar con el mejor de esos piratas informáticos virtuales. La   Cyber Grand Challenge   se celebrará el próximo 4 de agosto en Las Vegas y que enfrentará a seis equipos de diferentes universidades de Estados Unidos que deberán medirse en una especie de juego de tomar la bandera. Lo que deberán hacer las inteligencias artificiales es minar la seguridad de sus rivales a la vez que protegen su propio 'castillo' de amenazas externas. Los seis equipos finalistas tendrán que ser capaces de atacarse entre ellos a la vez que defienden sus premisas de las embesti

La siguiente   serie de post   desarrollado por   Eric Balderrama   surge de dos disparadores, uno de ellos fue un comentario sobre la dificultad para escalar privilegios en la vm del   desafío   que presentamos como finalización de la serie de   penetration with kali . El segundo, leer en un writeup sobre un script llamado linuxprivchecker.py, con lo cual decidí buscar más información sobre el proceso de escalación de privilegios para mejorar mis   skills   y compartirlo a modo de resumen. Para estas entradas necesitaremos un Windows (el que quieran o tengan a mano) con dos o más usuarios creados, uno de ellos con privilegios de administrador y una máquina atacante que en mi caso utilizaré Debian   +   Katoolin .     Como los siguientes post se tratan sobre escalamiento de privilegios, pasaremos por alto la etapa de obtener acceso al sistema. A modo de recomendación, para llevar a cabo estos ejemplos sin muchas complicaciones, pueden crearse un .exe desde msfvenom y corr

Cyborg Hawk Linux es una distribución totalmente gratuita para tests de intrusión basada en Ubuntu (Linux) y desarrollada y diseñada por y para hackers éticos y pentesters. Esta distro se puede utilizar para la seguridad y evaluación de red y para el análisis forense digital. También cuenta con varias herramientas enfocadas a las pruebas de seguridad móvil y la infraestructura inalámbrica y tiene su propio repositorio PPA personalizado. Como véis en la imagen de arriba tiene un menú bastante bien organizado, con un total de   750 herramientas   bien organizadas y ordenadas separadas en distintas categorías: - Recopilación de información - Evaluación de vulnerabilidades - Explotación - Escalado de privilegios - Persistencia de accesos - Documentación y elaboración de informes - Ingeniería inversa - Pruebas de stress - Forenses - Seguridad inalámbrica - RFID / NFC - Hardware de hacking - Análisis de VoIP - Seguridad móvil Tiene una versión liveCD totalmente funcional y desde la vers