NOISE
06
REVISTA DE CIBERSEGURIDAD
CONSEJOS Y METODOLOGÍAS DE BUG BOUNTY
EL SALVADOR: DELITOS TECNOLÓGICOS ENCONTRA DE LA NIÑEZ Y LA ADOLESCENCIA RANSOMWARE, ANÁLISIS Y MEDIDAS PREVENTIVAS
LOS TRES ATAQUES CIBERNÉTICOS RELACIONADOS EL TODO PODEROSO NMAP CON RANSOMWARE MÁS IMPACTANTES DEL 2017 (PARTE 2) + DOUBLE PULSAR
CONTENIDO
RANSOMWARE, ANÁLISIS Y MEDIDAS PREVENTIVAS
04
CONSEJOS Y METODOLOGÍAS DE BUG BOUNTY
08
EL SALVADOR: DELITOS TECNOLÓGICOS ENCONTRA DE LA NIÑEZ Y LA ADOLESCENCIA LOS TRES ATAQUES CIBERNÉTICOS RELACIONADOS CON RANSOMWARE MÁS IMPACTANTES DEL 2017 EL TODO PODEROSO NMAP (PARTE 2) + DOUBLE PULSAR
NOISE
REVISTA DE CIBERSEGURIDAD
14 18 21
Se ha podido identificar un interés de los gobiernos de américa latina y Europa por incorporar a expertos en seguridad en su quehacer político, hablan de un ejército de hackers a la orden de los gobiernos para defender los sistemas gubernamentales, y en El Salvador se ataca a quienes identifican y denuncian problemas de seguridad en dichos sistemas. Hay mucho por hacer en temas de ciberseguridad y seguridad de la información, seguiremos impulsando y apoyando cualquier iniciativa que sea en el bien común y garantice la protección de datos personales. Feliz año 2018
Por Nelson Chacon @noise503 Director General Nelson Chacón Reyes, CDFE Asesor en Gobierno de TI Mg. Leonardo Castillo, CISA
Cuerpo Técnico Daniel Benavides
Asesor en Auditoria de TI Héctor Jiménez,CSX
Arte y Diseño Milagro Jiménez
NOISE REVISTA DE CIBERSEGURIDAD
EDITORIAL
El año 2018 se vislumbra lleno de retos para las empresas y el gobierno de El Salvador, una ley de firma electrónica que entrara en vigencia, un sistema electoral débil que se pondrá a prueba, empresas de tecnologías emergentes, y una anuencia de las empresas por mejorar sus sistemas de seguridad pero sin un presupuesto y apoyo de la alta gerencia.
RANSOMWARE, ANÁLISIS Y MEDIDAS PREVENTIVAS Por Elias Coto
¿Qué es el Ransomware? El Ransomware es un tipo de software malicioso, también conocido como malware, y representa una importante amenaza no solo para las empresas, sino para el mundo entero. Su manera de proceder consiste en cifrar los archivos informáticos de la computadora que ha infectado y pedir una suma de dinero a cambio de descifrar dichos datos. Típicamente, el atacante solicita el pago a través de un tipo de moneda virtual, como por ejemplo Bitcoin.
NOISE REVISTA DE CIBERSEGURIDAD
Ransomware puede atacar tanto a computadoras como a dispositivos inteligentes (entiéndase por tabletas o teléfonos inteligentes), por lo que puede afectar a cualquier persona particular, empresas e instituciones. Para esparcirse utiliza algunas alternativas como correos electrónicos infectados, publicidad maliciosa o páginas web ya infectadas. Una vez dentro del equipo de la víctima, este se instala sin ningún aviso visual para evitar ser detectado y, cuando ya se encuentra establecido, cifra la información y muestra un mensaje solicitando el pago a cambio de la llave que descifrará su información.
¿Vale la pena pagarlo? Desde el punto de vista del usuario que ha sido infectado, la pregunta más audaz sería ¿Vale la pena pagar por la llave para recuperar mi información? Y es que, para responder a esta interrogante, existen muchos factores en juego, pero el aspecto más importante es el valor de nuestra información. Usualmente, el valor de pago de rescate es bajo, ya que Ransomware no solo infecta a un usuario, sino a muchos, generando así ingresos inmensos gracias a distintas fuentes. Pero ¿tendrá mi equipo o dispositivo información tan valiosa que puede costar más que el monto de rescate? Muchas veces el contenido más impactante de los usuarios particulares puede ser fotos o videos de eventos irrepetibles, trabajos de procesos educativos significativos o descargas numerosas de música; y siendo honestos, muchos de estos elementos se ocupan una vez (comúnmente cuando se guarda) y luego esporádicamente a través de los años. Con esto no queremos decir que esta información no tiene ninguna importancia, pero sí que podría plantearse perderla, ya que no es vital para un usuario.
04
Lastimosamente, muchos empresarios han hecho ya este análisis, han decidido pagar, pero no todos han recuperado su información. ¿Por qué? Simple, es una negociación con cibercriminales, y no existen garantías algunas. Por tanto, no vale la pena pagarlo. Los cibercriminales, por otro lado, ocupan los ingresos de rescate generados para innovar, introduciendo virilidad en sus modelos de negocios.
¿Cómo me protejo? Este tipo de software malicioso aprovecha vulnerabilidades del sistema operativo del equipo, fallas de Internet, estrategias de ingeniería social, entre otros. Muchas veces, se tiende a confundir que con un sistema antivirus la protección esta garantizada, pero no es así. Existen algunas recomendaciones de mucha importancia que puede ayudar a mitigar este tipo de ataques, y son las siguientes:
05
Recomendaciones sencillas: Mantener actualizado el sistema operativo, ya que las actualizaciones muchas veces son parches de seguridad para cubrir ciertas vulnerabilidades. Mantener actualizado el sistema de antivirus, con sus bases de datos al día. Realizar respaldos de información periódicamente.
Recomendaciones más complejas: Realizar capacitaciones de personal para informar sobre este tipo de ataques y pensar en planes de acción a ejecutar en este tipo de casos. Segmentar la infraestructura de red en la que se trabaje. Utilizar equipos de seguridad para proteger la red, como IPS o Firewalls. Mantener una monitorización periódica de la red, para conocer su comportamiento normal y reconocer cualquier anomalía en caso de un ataque.
NOISE REVISTA DE CIBERSEGURIDAD
En cambio, desde el punto de vista empresarial, una computadora puede contener archivos de contabilidad valiosos, planes de crecimiento a corto o largo plazo, planillas con información personal de los empleados, y un sinfín de archivos que sí pueden ser vitales para una compañía. En este tipo de situaciones, podría sopesar más el valor de la información al monto de rescate.
NOISE CIBERSEGURIDAD
SERVICIOS LEGALES. Creación o adecuación de contratos laborales y de proveedores asegurando la protección de datos y seguridad de la información
Asesoría y representación legal frente a delitos informáticos de forma judicial y extrajudicial.
Asesoría en privacidad y protección de datos. Repercusiones legales.
Capacitaciones en protección de datos y delitos informáticos en la empresa.
Firma Electrónica.
Peritaje Informático.
Creación del Manual legal de negocios y cumplimiento del marco legal.
www.noise-sv.com informacion@noise-sv.com Teléfonos: 25572078 / 79302011
NOISE ACADEMIA
Kali Linux Aprende la metodología de PenTest Utilizando la distribución de más uso por profesionales en seguridad. 3 Módulos, 16 horas cada uno
Seguridad de la Información y Norma ISO/IEC 27001 Conoce los principios de seguridad de la información y como aplicar la norma 27001 16 horas
Análisis forense Aprende la metodología de análisis de evidencia digital, en preparar informes judiciales. 16 horas
Python for hacking Aprende a programar Python desde cero, y desarrolla herramientas para pentesting 3 Módulos, 16 horas cada uno
Endurecimiento de Servidores Aplica controles de seguridad a servidores Windows y Linux en infraestructura empresarial. 3 Módulos, 16 horas cada uno
Linux Empresarial Aprende a instalar servidores y servicios en la plataforma más estable y usada por las empresas. 3 Módulos, 16 horas cada uno
Todos nuestros cursos son 100% prácticos, acceso a nuestra biblioteca virtual durante un año completo. Instructores con amplia experiencia y certificados en diferentes áreas de la seguridad informática. Precios especiales a miembros de la comunidad OWASP, Estudiantes con carnet vigente. informacion@noise-sv.com
Consejos y Metodologías de Bug Bounty
NN OO II SS EE RR EE VV II SS TT AA DD EE CC II BB EE RR SS EE GG UU RR II DD AA DD
Por: Gema Landaverde Normalmente al momento de realizar una prueba de penetración en los sistemas de alguna empresa, se debe seguir una metodología establecida y una documentación detallada para lograr exponer de forma clara detalles técnicos e informativos a las áreas correspondientes para que estas, posteriormente, adopten medidas correctivas y preventivas para mitigar huecos de seguridad que hayamos identificado. Dichos huecos son encontrados por medio de diferentes técnicas sean manuales, automatizadas, de investigación, con ingeniería social, etc.., pero siempre dentro de un marco de referencia que conforman las fases que sigue de forma sistemática un ethical hacker: Enumeración y Recolección de Información, Escaneo, Ganar Acceso, Mantener Acceso,Cubrir huellas, Realizar Informe.
08 06
Sin embargo, todos sabemos que una persona maliciosa y con ánimos de hacer COM daño en nuestro sistema generalmente no 39 va a seguir esta metodología, y es por eso que orientados a pensar más como Otros 10 34 atacantes utilizamos técnicas más puntuales para descubrir vulnerabilidades localizadas utilizando muchas veces la fuerza bruta y manipulando por medio de scripts las fuentes de los sistemas o el contenido que hay en sus bases de datos, a manera de interrogarlos para que logremos accesar a ellos. La buena noticia es que esto no tiene que ser ilegal para los que nos preocupamos por la seguridad, y es por eso que empresas con mayor madurez y responsabilidad ponen a disposición de profesionales de seguridad informática programas donde remuneran a quienes presenten informes
3. DNS, Whois & Reverse IP Lookup
con los detalles de vulnerabilidades que podrían ser explotadas en sus sistemas. Los que se encargan de hacer estos informes hacen lo que se conoce como cazadores de errores o Bug Bounty, y en esto las técnicas y la metodología son libres y a criterio del hacker que esté realizando la caza.
El siguiente paso debería ser eliminar los datos relacionados con el DNS, como los servidores de nombres y los servidores de correo. También puede intentar la transferencia de zona si se ve el puerto 53 en un servidor. La información de Whois también puede revelar mucho sobre el objetivo, especialmente la información que puede ayudarnos en la fase de ingeniería social. También debe hacer búsquedas inversas de IP que nos proporcionarán la lista de sitios web alojados en el mismo servidor, de modo que si no se hackea el sitio web de destino, se puede piratear cualquier otro sitio web alojado en ese servidor y luego obtener acceso al servidor. Herramientas recomendadas:
Vamos a exponer algunas de las técnicas utilizadas para lograr este objetivo.
1.Leer y Documentarse Las empresas que abren sus puertas o tienen programas de Bug Bounty, generalmente ponen las reglas del juego: que se espera recibir, formatos de reporte, que se considera como una amenaza alta, media o baja, cuales son los criterios de remuneración etc. Así que, antes de empezar a cazar, sería bueno informarnos que es lo que está ofreciendo esa empresa, y si encontramos una vulnerabilidad, saber cual es la manera apropiada de reportarla.
dnsdumpster.com, dnsenum, YouGetSignal, whois.net
También se recomienda las extensiones de firefox: passive recon, RefControl y Tamper Data
2. Buscar Subdominios
Encontrar todo lo que se pueda sobre la organización propietaria del sitio web. Desde sus socios comerciales hasta las direcciones de correo electrónico de sus empleados. Linkedin es un gran recurso para encontrar y aprender sobre los empleados. Cuanta más información tengamos sobre la organización, mejores serán nuestros enfoques de ingeniería social. Herramientas Recomendadas: theHarvester, Maltego, Google, Linkedin, DuckDuckGo
09 07
NOISE REVISTA DE CIBERSEGURIDAD NOISE REVISTA DE CIBERSEGURIDAD
4. Información acerca de la empresa
Generalmente el oro no está a simple vista, hay que picar piedra y no lo vamos a lograr en una sola mina, por lo que lo primero es realizar una investigación de reconocimiento para conocer si una empresa posee mas subdominios, por ejemplo, todos entramos a google.com pero Google tiene más de 300 subdominios a los que podemos hacer escaneo exhaustivo, es decir cada uno es una mina donde cavar. Herramientas recomendadas: Sublist3r, Censys, Shodan, Netcraft Pablo barrera, investigador y consultor, líder capitulo OWASP Guatemala
5. Escaneo de Puertos
7. Detección de WAF e IPS
Este es uno de los pasos clave y uno de los mas importantes para determinar las técnicas de ataque que vamos a utilizar y donde debemos tener cuidado de no lanzar mucho ruido hacia la red a la que estamos escaneando. Aquí el clásico Nmap nos da la posibilidad de customizar nuestros escaneos, por ejemplo con nmap -P0 -A “ip"nos evitamos hacer ping y ojo, Nmap por default solamente escanea los 1024 puestos más comunes pero existen 65535 puertos por lo que sería provechoso hacer un escaneo completo nmap -T0 -p 1-65535. Muchas veces solamente queremos saber si los equipos están vivos en la red sin necesidad de alertar que estamos escaneando, para esto usamos arp-scan -l(ele) -I (I mayuscula) enp109s0(tarjeta de red) los temas de arp son para otro artículo. Herramientas recomendadas: Nmap, Zenmap, Sparta (preinstalada en Kali Linux)
Se aconseja detectar si hay un WAF / IPS ya que esto nos permitirá decidir que capas adicionales debemos considerar para hacer llegar nuestros payloads. El método común es inyectar una carga útil ruidosa en algún cuadro de entrada o parámetro y observar el resultado, el mensaje de acceso denegado a menudo revela el WAF subyacente. Herramientas recomendadas: wafw00f
8. Encontrar Robots y Directorios Escondidos Robots.txt es un archivo que contiene la lista de rutas que los desarrolladores web no quieren que los rastreadores encuentren. En palabras simples, el contenido que no se debe encontrar a través de los motores de búsqueda. El uso de fuerza bruta para rutas comunes también es una buena idea, ya que es posible que se obtenga algunos directorios ocultos. Encontrar paneles de administración también puede ser útil para probar problemas relacionados con el inicio de sesión o en caso de que obtenga las credenciales a través de la ingeniería social. DirBuster de OWASP es una excelente opción para hacer perfilamiento de estructuras de árbol de directorios dentro de un sitio web. Herramientas recomendadas: dirsearch, Breacher, DirBuster (preinstalada en Kali Linux)
NOISE REVISTA DE CIBERSEGURIDAD
6. Detección de Tecnología Web Los sitios web modernos son muy complejos y usan muchas tecnologías web, como varias bibliotecas de JavaScript, complementos, sistemas de gestión de contenido, marcos y otras cosas. Para un pirata informático, es muy importante saber qué tipo de tecnologías web están en uso para su posterior explotación. Herramientas recomendadas: builtwith.com, wpscan, whatcms.org
10
9. Uso de Exploits
11. XSS e Inyecciones HTML
Es una de las técnicas principales ya que, conociendo, por ejemplo, una vulnerabilidad asociada a un puerto abierto que hayamos detectado, podemos hacer ataques dirigidos, de la misma forma a sistemas o bases de datos. Aquí es cuando nos sirve la etapa de reconocimiento donde enumeramos las tecnologías que usan los sitios web, para conocer a que son vulnerables. En esta etapa es muy útil usar metasploit o los exploits de Nmap y por supuesto hacer uso de exploit-db para conocer que tipos de exploits podemos utilizar de acuerdo a lo que tengamos disponile. Herramientas recomendadas: Google, exploit-db, metasploit, exploits de Nmap que se pueden sacar con el comando en una terminal find / -name *nse -print
XSS es una de las vulnerabilidades más comunes. No tiene un factor de alto riesgo, pero sus impactos pueden ser peligrosos según la configuración de la aplicación web. La inyección de XSS y HTML es muy popular entre los cazadores de errores (bug bounters). Herramientas recomendadas: Aquí lo mejor son inyecciones manuales (recomendable aprender a hacer nuestros scripts en php, pearl, rubi, javascript, etc. O ver los que tiene ya listados OWASP por ejemplo), XSStrike
14. Ataques LFI (Local File Inclusion) & RFI (Remote File Inclusion) Si la solicitud que se hace por medio de HTTP incluye una ruta / nombre de archivo desde la dirección remota o desde el servidor web, podemos probar LFI y RFI. Se puede obtener un shell web con RFI fácilmente. Por otro lado, LFI se puede usar para ver archivos en el servidor web y puede ejecutar las condiciones del sistema si no se implementan las medidas de seguridad adecuadas. Herramientas Recomendadas: LFISuite
10. Explotación de Parámetros y Formularios En esta parte nos debemos preguntar ¿cómo recibe un sitio web la entrada de los usuarios? Los sitios web utilizan principalmente el método GET & POST para obtener información del usuario. Como los parámetros son una forma de enviar datos, hay muchos vectores de ataque relacionados con ellos. El sitio web también puede usar formularios ejecutados por JavaScript o JQuery y, en ese caso, no podrá ver los parámetros, pero, por supuesto, está enviando los datos al back-end.
Las vulnerabilidades de inyección de base de datos son como un tesoro para un hacker. Se debe tener conocimiento de cómo funcionan las diferentes bases de datos y DBMS para explotarlos. Herramientas recomendadas: Siempre es preferible las inyecciones manuales, SQLmap, NoSQLmap
11
NOISE REVISTA DE CIBERSEGURIDAD
15. Inyecciones de Bases de Datos
16. Inyecciones de Comando
Es recomendable realizar pruebas para ellos siempre que sea posible.
¿Por qué buscar otras vulnerabilidades si puede ejecutar comandos del sistema en el servidor web? El sentido común y el conocimiento de la línea de comandos es todo lo que necesita para aprovechar las vulnerabilidades de inyección de comandos. Herramientas recomendadas: Commix
Open Redirection & Server Side Request Forgery (SSRF) Si un parámetro o formulario de entrada toma una URL como entrada, se debe verificar SSRF y abrir la vulnerabilidad de redirección.
15. Inyecciones de Bases de Datos
17. Vulnerabilidades en Gestores de Contenidos Despues de haber determinado si un sitio web está basado en un gestor de contenidos se pueden explotar vulnerabilidades conocidas para cada uno de las extensiones o utilidades que puedan contener. Herramientas recomendadas: WpScan de OWASP preinstalada en Kali Linux Otros Tips muy útiles son: Utilización de herramientas automatizadas es buena idea, pero muchas veces es necesario indagar manualmente en los sitios, es decir ataques basados en lógica. Intentar omitir (bypass) el panel de inicio de sesión con script maliciosos
NOISE REVISTA DE CIBERSEGURIDAD
Usar técnicas de detección para Cross Site Request Forgery (CSRF), vulnerabilidades Insecure Direct Object Reference (IDOR) Definir una aplicación específica para enviarle un ataque dirigido, hay algunos ataques específicos de aplicaciones / tecnologías como inyección LDAP, inyección SSI, inyección XML, inyección XPath, etc.
12
SABÍAS QUE... Los
delitos informáticos son conductas en que él o los delincuentes se valen de programas informáticos para cometer
delitos como:
*Implantación de virus, *Suplantación de sitios *Web, estafas,
*Piratería, etc.
www.noise-sv.com 13
NOISE REVISTA DE CIBERSEGURIDAD
*Violación de derechos de autor,
EL SALVADOR: DELITOS TECNOLÓGICOS EN POR: CARLOS MOLINA MEDRANO CONTRA DE LA NIÑEZ Y LA ADOLESCENCIA Por: Carlos Molina Medrano
NOISE REVISTA DE CIBERSEGURIDAD
En una serie de artículos de opinión, trataremos de abordar algunas prácticas y delitos que se suelen desconocer por la ciudadanía salvadoreña, en ellos se abordará cómo el uso abusivo y la negligencia por parte de los padres de familia, pueden facilitar el acometimiento de abusos en contra de menores de edad a través de las Tecnologías de la Información. En la Ley Especial de Delitos Informáticos y Conexos de El Salvador aprobada en el año 2016 por la Asamblea Legislativa, se ha dedicado un capitulo completo a prevenir delitos que se realizan empleando las Tecnologías de la Información en contra de la niñez y la adolescencia. En total son seis artículos que contempla el capitulo IV llamado: Delitos Informáticos en contra de niños, niñas, adolescentes y personas con discapacidad. Tres de ellos están relacionados con la producción, reproducción, distribución y posesión de material pornográfico de menores de edad y de personas con discapacidad
Pornografía Infantil y Tecnologías de la Información La pornografía infantil es un flagelo de
larga data. Con algunos matices, en la actualidad se ha detonado debido a la La facilidad con las que imágenes y vídeos con contenido sexual fluyen a través del Internet, expone con facilidad a los menores de edad. Las cifras se vuelven cada vez más alarmantes. Según la UNICEF[1], existen más de 16 mil sitios web de pornografía infantil en el mundo, donde más del 70% de víctimas que aparecen son menores de 10 años. El informe indica también que las imágenes son cada vez más gráficas y violentas. México lleva la delantera, con más de 12 mil cuentas electrónicas de donde se distribuye pornografía infantil, según el mismo informe. Mientras tanto, en El Salvador solo en el 2017 se han conocido de por lo menos dos casos de producción y distribución de pornografía infantil. Incluso, se capturó a un miembro de pandillas que era parte de una red internacional de tráfico de pornografía infantil a nivel internacional. Cerca de 10 mil personas que fueron víctimas de la gigantesca red. Otro caso de este año, fue el de una pareja que descargaba materiales con contenido de pornografía infantil, los producía y los distribuía en DVD en el centro de San Salvador[2].
14
Al respecto, la legislación salvadoreña, en el artículo 28 de la Ley Especial de Delitos Informáticos prohíbe el producir, reproducir y distribuir material pornográfico donde aparezcan niños, niñas, adolescentes o personas con discapacidad. El artículo 29 de la misma ley se prohíbe la publicación, el difundir y hasta el financiamiento de materiales con actividades sexuales, sean explícitas o no, reales o simuladas, donde se involucre a niños, niñas, adolescentes o personas con discapacidad. Mientras tanto, el artículo 30, se prohíbe la adquisición y la posesión de material donde aparezcan niños, niñas, adolescentes o personas con discapacidad. Las penas para los delitos relacionados con dichos artículos oscilan entre los 4 y los 12 años.
El sexting y el origen de los delitos en contra de los menores de edad Según el sitio web sexting.es, el sexting consiste en: “... el envío de contenidos de tipo sexual (principalmente fotografías y/o vídeos) producidos generalmente por el propio remitente, a otras personas por medio de teléfonos móviles.[3] Esta es una práctica sumamente normal en la actualidad, y no fuese un problema social si se hiciera de forma responsable y por personas mayores de edad, conscientes de sus implicaciones.
No obstante, el sexting se ha salido de control. Tan grave y complejo es, que hasta el Papa Francisco, el líder de una de las religiones más grandes del planeta lo ha catalogado como un “fenómeno altamente peligroso”[4]. Y en efecto, no se equivoca el líder, ya que el sexting es el origen de una serie de delitos informáticos como el grooming, la ciberextorsión, la pornografía infantil, entre otros.
El papel de los padres de familia Por ello, el origen de este fenómeno está dado por la falta de control en el uso de las Tecnologías de la Información, la falta de información por parte de los padres de familia y el abuso en proveer de dichas tecnologías a menores de edad. El desconocimiento de los padres de familia del funcionamiento real de las redes sociales, y lo abiertamente inescrupuloso que se han vuelto enfoques errados sobre el tema sexual y reproductivo que afectan la preadolescencia y la adolescencia. Estos son elementos que agravan la creciente ola de delitos en contra de la niñez y la adolescencia. Si los medios convencionales escapan a regulaciones para colocar a menores de edad y adolescentes frente a imágenes sexuales constantemente, lo que único que queda es apelar a la moral de los medios digitales, que solamente se autorregulan. Otro elemento sustancial, es la falta de educación sexual y reproductiva en las sociedades latinoamericanas y los tabúes edificados sobre estos temas.
15
NOISE REVISTA DE CIBERSEGURIDAD
La legislación salvadoreña sobre la Pornografía Infantil
El Estado debe dar un salto rápido y prever que si no hay regulaciones sustantivas de los medios de comunicación y difusión social, se deben potenciar dos herramientas básicas: 1) la formación constante de la familia sobre la salud reproductiva, y 2) el control familiar en el uso adecuado de las Tecnologías de la Información y la Comunicación. Esto conllevaría a reducir los niveles de vulnerabilidad a la niñez y la adolescencia. Por último, las religiones deben tomar un papel protagónico en estos temas. Sus cerradas doctrinas no permiten que la formación sexual y reproductiva sea un elemento de prevención. Así como el fomento de dichas conversaciones sobre estas temática en el seno de la familia y en la escuela.
DENUNCIE delitos ciberneticos a menores de edad y adolecentes
PROTEJAMOS A LOS NUESTROS
Además, se debe propiciar el debate público y abierto del papel de las tecnologías en la niñez y la adolescencia, para consensuar medidas que pueden propiciar un uso adecuado en esos sectores de la sociedad.
NOISE REVISTA DE CIBERSEGURIDAD
* Docente Investigador y Coordinador del Departamento de Ciencias de la Computación de la Universidad Luterana Salvadoreña. Referencias: [1] P. Tres, «México, primer lugar en difusión de pornografía infantil: ONU», PeninsulaTres. [En línea]. Disponible en: http://peninsulatres.com/pais-1/otros-0/mexico-primer-lugar-en-difusion-de-pornografia-infantil-onu-4661. [Accedido: 16-sep-2017]. [2] «Esposos comercializaban videos con pornografía infantil en el centro de San Salvador - Diario Digital Cronio de El Salvador». [En línea]. Disponible en: http://cronio.sv/nacionales/5248-esposos-comercializaban-videos-con-pornografia-infantil-en-el-centro-de-san-salvador. [Accedido: 17-sep-2017]. [3] «Sexting | Envío mediante el teléfono móvil de imágenes con contenido sexual». . [4] «Francisco alertó por el sexting y otros “fenómenos extremadamente peligrosos”». [En línea]. Disponible en: http://www.telam.com.ar/notas/201710/210315-francisco-alerto-a-por-el-sexting-y-otros-fenomenos-extremadamente-peligrosos.html. [Accedido: 09-oct-2017].
16
NOISE CIBERSEGURIDAD
¿Qué es un delito informático? Un delito informático es un acto dirigido contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos.
Tipos de delitos informáticos
Acceso ilícito a sistemas informáticos. Interceptación ilícita de datos informáticos. Interferencia en el funcionamiento de un sistema informático. Abuso de dispositivos que faciliten la comisión de delitos. Delitos Informáticos. Falsificación informática mediante la introducción, borrado o supresión de datos informáticos. Fraude informático mediante la introducción, 17 alteración o borrado de datos infomáticos, o la interferencia en sistemas informáticos.
Delitos relacionados con el contenido Producción, oferta, difusión, adquisición de contenidos de pornografía infantil por medio de un sistema informático o posesión de dichos contenidos en un sistema informático o medio de almacenamiento de datos.
Delitos relacionados con infracciones de propiedad intelectual y derechos afines Un ejemplo de este grupo de delitos es la copia y distribución de programas informáticos o piratería informática.
NOISE REVISTA DE CIBERSEGURIDAD
Delitos contra la confidencialidad la integridad y la disponibilidad de los datos y sistemas informáticos.
Los tres ataques cibernéticos relacionados con ransomware más impactantes del 2017 Por Elias Coto En el 2017 han ocurrido muchos ataques contra la seguridad informática, y esto realmente es alarmante, pero lamentablemente tienen muchas similitudes y algunos explotan las mismas vulnerabilidades, lo cual nos incentiva a estar alerta para proteger nuestra información. Los tres ataques más impactantes relacionados con Ransomware en el 2017, en orden cronológico, son:
NOISE REVISTA DE CIBERSEGURIDAD
WannaCry WannaCry (también denominado WannaCrypt, WanaCrypt0r 2.0 o Wanna Decryptor) ha sido uno de los ataques más grandes de Ransomware. El ataque consiste en encriptar los datos de la víctima y solicitar un rescate económico pagado con Bitcoins, para obtener la llave que desencripte los datos y puedan ser accesibles de nuevo.
18
El ataque empezó el 12 de Mayo del 2017, teniendo un alcance de más de 400 mil ordenadores en más de 150 países. Entre los países más afectados que fueron reportados, se encuentran Rusia, Ucrania, India, Taiwán, Gran Bretaña, España, y otros muchos blancos a nivel mundial. Los expertos sostienen que WannaCry usó el exploit EternalBlue, desarrollado por la Agencia de Seguridad Nacional estadounidense (NSA por sus siglas en ingles National Security Agency), y filtrada por el grupo The Shadow Brokers. EternalBlue permite autoreplicarse y propagarse rápidamente por la red infectada o anfitriones remotos para atacar las computadoras víctimas explotando el protocolo SMB, que corre sobre los puertos TCP 137, 139, 445 y UDP 137, 138. Microsoft Server Message Block 1.0 (SMB) es un protocolo de uso compartido de archivos de red y
19
NotPetya Cabe destacar desde un principio que Petya y NotPetya no son distintas formas de llamar a un mismo malware; de hecho, tienen sus diferencias. NotPetya (que en español significa "No es Petya") está basado en Petya, y al analizar los códigos binarios de cada uno, se determina que existen pocas diferencias, pero no son lo mismo. Petya es un malware que apareció en Marzo del 2016, y su forma de trabajo consiste en infectar la zona donde se almacena la información sobre las particiones del disco: el MRB (Master Boot Record), con el fin de encriptar la tabla de archivos (MFT del inglés Master File Table) del sistema de archivos NTFS, dañar el registro de arranque principal, desactivar el modo seguro de Windows y solicitar un reinicio del equipo. Al reiniciar, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica. Su forma de exparsirce ha sido con ayuda de los exploits EternalBlue (el mismo de WannaCry) y EternalRomance, ambos parecidos y creados por la NSA, atacando siempre la misma vulnerabilidad del protocolo SMB. Petya se distribuyó a través del servicio de almacenamiento Dropbox, solicitando al usuario una descarga de archivos infectados que necesitan intervención humana para luego instalarse e iniciar su labor.
NOISE REVISTA DE CIBERSEGURIDAD
“permite que las aplicaciones de una computadora lean y escriban en archivos y soliciten servicios” que están en la misma red. Microsoft había publicado el boletín de seguridad MS17-010 que corregía vulnerabilidades críticas en el protocolo SMB, el 14 de Marzo del 2017, para todas las versiones de Windows que en ese momento eran mantenidas por la compañía: Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, y Windows Server 2016. Por diversas razones, no todos la aplicaron esta actualización de seguridad, siendo así víctimas del ataque, pero también usuarios de las versiones del sistema operativo que no estaban incluidos dentro del parche de seguridad MS17-010. El 13 de mayo de 2017, un día después del ataque, Microsoft aportó la actualización de seguridad para Windows XP, Windows 8, y Windows Server 2003, disponible para descarga en el Microsoft Update Catalog, pero para muchos ya era demasiado tarde. Otro dato interesante de este malware es que posee dos variantes: WannaCrypt.A y el WannaCrypt.B, las cuales actúan de modo diferente. El primero realiza un intento de conexión a una web codificada internamente y, si la realiza con éxito, no cifra ningún documento; pero si no lo consigue, comienza el cifrado de documentos y solicita el pago del rescate de los archivos. Y la segunda variante comienza inmediatamente con el cifrado de los archivos para solicitar el pago del rescate de los documentos cifrados.
NOISE REVISTA DE CIBERSEGURIDAD
Como se mencionaba antes, NotPetya está basado en Petya, pero no lo es. Utiliza la misma estructura, pero no las mismas tácticas de propagación e infección. Por ejemplo, NotPetya no necesita intervención humana para esparcirse, ya que este utilizo una vulnerabilidad de un programa de contabilidad muy popular en Ucrania: el M.E.Doc, y la herramienta PsExec. Todo inicio con la infección a los servidores dedicados a actualizar este programa, ya que en las actualizaciones del mismo, se insertó el ejecutable de NotPetya y así se logró distribuir por una variedad redes corporativas. NotPetya es solamente capaz de distribuirse a través de redes locales, y logra llegar a las mismas por medio de la actualización infectada de M.E.Doc. Una vez dentro de la red, ocupa sus dos exploits (EternalBlue y EternalRomance) para atacar a sus víctimas concretamente. Otra diferencia es que NotPetya encripta todo, no solamente la tabla de archivos, sino que todo. Un punto muy interesante, es que NotPetya no es un ransomware, sino un wiper. A diferencia de Petya, que solicitaba un monto a pagar y daba algunas opciones muy pobres de pago, NotPetya presentaba números creados de forma aleatoria para simular un secuestro, pero en realidad, aunque se intentará pagar, jamás regresaría los archivos secuestrados. Con Petya, se podían recuperar los archivos, ya que solamente cifraba la MFT y archivos con extensiones de lenguajes de programación como los de Python, Visual Basic, etc; pero NotPetya solamente destruye los
archivos, y además escribe encima de los sectores de los archivos dentro del disco duro, imposibilitando su recuperación, sin el objetivo de ganar dinero. El ataque de NotPetya fue efectuado el 27 de Junio del 2017, afectando a cientos de millones de computadoras en más de 100 países, dentro de los cuales, los más afectados fueron Ucrania, Rusia, Polonia, Italia, Alemania, Estados Unidos, entre otros. "Creo que esto fue dirigido a propósito contra nosotros", dijo Roman Boyarchuk, director del centro de ciberseguridad ucraniano, luego de ser Ucrania el primer país en ser afectado y además, el más afectado.
BadRabbit Bad Rabbit es el último caso de ransomware de gran magnitud registrado durante el 2017. Es un malware que infecta a sus víctimas haciéndose pasar por una actualización de Adobe Flash Player. Una vez instalado, reinicia al ordenador y encripta todos los datos para solicitar un pago a cambio de la información secuestrada. Su distribución se hizo viral gracias a la inyección de código malicioso a algunas páginas web, donde a todos los usuarios que pasaran, les aparecería una solicitud de actualización de Adobe Flash Player. El usuario debe aceptar para que se ejecute la descarga, lo que quiere decir que necesita de intervención humana; y una vez en la computadora, se instala el malware. Luego se distribuye por toda la red local en la que ha logrado incurrir, y lo hace con
20
20
Las claves generadas para la encriptación usan CryptGenRandom, es decir que se generan aleatoriamente, yluego se protegen con una clave pública RSA 2048. Llegado hasta este momento, Bad Rabbit solicita el monto de rescate en Bitcoins para recuperar los datos El ataque se realizó por primera vez el 24 de Octubre del 2017, afectando mayormente a Ucrania y Rusia. También ha aparecido en otros países como Turquía, Alemania, Estonia, Japón, entre otros.
NOISE REVISTA DE CIBERSEGURIDAD
ayuda del exploit EternalRomance, por medio del protocolo SMB. La codificación de este ransomware es muy similar a los códigos de NotPetya, pero con pequeñas variantes; por ejemplo, Bad Rabbit utiliza una colección de usuarios con contraseñas comunes para explotar, por medio de fuerza bruta, los impedimentos que tiene para esparcirse dentro de la red. Una vez dentro del equipo, procede a encriptar los datos con un software de código abierto legítimo llamado DiskCryptor.
EL TODO PODEROSO NMAP (PARTE 2) + DOUBLE PULSAR Por: Daniel Benavides
NOISE REVISTA DE CIBERSEGURIDAD
RETRO ALIMENTACIÓN:
Atacante: Kali Linux - IP -192.168.1.74
En el ejemplar de nuestra revista del mes pasado hablábamos un poco sobre todas las maravillas que son posibles de realizar con esta poderosa herramienta, que inicialmente se utilizaba solo para escanear puertos y servicios que se encontraban activos en nuestro objetivo de análisis. Hoy por hoy podemos utilizar un motor de scripts para nuestras tareas de mapeo de vulnerabilidades y asimismo tareas de explotación. Vamos a cambiar el rumbo del tutorial anterior, para esta segunda fase se decidió montar un laboratorio local para la explotación utilizando nmap, para evitar cualquier tipo de inconveniente. Los detalles del pequeño laboratorio se detallan a continuación:
Atacado: Windows 7 Ultimate 64 bits – IP -192.168.1.70
Para poder listar los scripts que vienen por defecto en la nueva actualización de nmap podemos ejecutar el comando find / -name *nse y se mostrará algo como lo siguiente:
21
Ahora sabemos que nos consta la existencia de la vulnerabilidad, en estos momentos vamos a la parte favorita de todos, la explotación. Para esta fase nos vamos a apoyar con metasploit, a diferencia de la explotación que llevamos a cabo hace un par de ejemplares anteriores, esta vez incluiremos una librería que no viene por defecto en metasploit, se trata de eternalblue_doublepulsar. Necesitamos tener internet en nuestra virtual de kali, ya que clonaremos el repositorio desde github. Double Pulsar lo que hace en resumidas palabras es instalar un backdoor en el host de nuestra víctima y se intenta conectar a través de ahí gracias a la vulnerabilidad ms17_010 del boletín de microsoft.
Para nuestra prueba de descubrimiento de vulnerabilidad utilizaremos un script en específico y es smb-vuln-ms17-010 para continuar evaluando el hueco que afectó a miles de equipos a nivel mundial. El comando completo que vamos a ejecutar es nmap -Pn -p445 --open --script smb-vuln-ms17-010 192.168.1.70. En donde estamos asumiendo dos cosas, la primera, que el dispositivo está en línea (-Pn) y que el puerto 445 está abierto (-p445 –open), si la evaluación fallara significa o que el puerto está cerrado o que el dispositivo no está en linea o que simplemente no posee la vulnerabilidad. Acá vemos que nuestro conejillo de indias si cumple con los requisitos para poder ser explotado.
Copiamos el script: eternalblue_doublepulsar.rb a los contenedores de metasploit
Nótese que nos lista los sistemas y su respectiva versión que es posible explotar con este script. En esta prueba nos interesa la opción #8, ya que nuestro conejillo de indias es un windows 7.
22
NOISE REVISTA DE CIBERSEGURIDAD
Abrimos una sesión de msfconsole de metasploit y hacemos referencia al nuevo script que hemos incluido, use exploit/windows/smb/eternalblue_doublepulsar y mostramos la información de uso (show info).
Es un pequeño error que ya fue reportado por muchos usuarios (incluyéndonos) por lo que nos toca crear esa ruta a mano. Mkdir -p root/.wine/drive_c/
Seleccionamos la opción #8 entonces, con el comando set TARGET 8 y creamos un nuevo PAYLOAD de 64 bits para nuestra sesión de meterpreter en el equipo a atacar.
NOISE REVISTA DE CIBERSEGURIDAD
Indicamos el nombre del ejecutable a inyectar, y los parámetros de nuestro host local y el del host remoto. Es importante indicar el proceso de inyección correcto (lsass.exe para 64 bits) y la arquitectura de nuestra víctima (64 bits).
Ejecutamos el comando exploit para iniciar con la explotación. Observe que nos muestra en pantalla que no se pudo crear la sesión ya que no encuentra la ruta root/.wine/drive_c/ para poder crear el archivo eternal11.dll.
Al ejecutar nuevamente el comando exploit nos muestra un error que requiere la instalación de wine32 y nos sugiere los comandos a ejecutar.
Para solventar este problema, toca agregar otras rutas de los repositorios de debian en el archivo sources.list. Luego actualizamos con apt-get update e intentamos instalar wine32 con el comando apt-get install wine32. (Tomará alrededor de 20 minutos dependiendo de la velocidad de su internet).
Intentamos explotar nuevamente y BINGO, hemos conseguido crear una sesión de meterpreter en el host de nuestra víctima.
23
Hemos conseguido acceso desde nuestra terminal de kali linux, para validar ejecutamos el comando sysinfo en kali y systeminfo en windows. Comparemos los resultados.
Todo lo que realicemos desde kali, podrá ser visible del lado de nuestra víctima.
Escaneamos nuevamente con NMAP, utilizando el mismo comando del inicio. Observe que la vulnerabilidad ha sido mitigada y ya no se pudo detectar.
Abrimos una nueva terminal y llamamos otra sesión de msfconsole. Ejecutamos el comando use auxiliary/scanner/smb/smb_ms17_010. Indicamos la ip de nuestra víctima con rhosts y explotamos. El objetivo no solo es validar la existencia de la vulnerabilidad que ya detectamos, si no comprobar que en efecto el host está infectado con el backdoor Double Pulsar que hemos insertado.
Por suerte, NOISE Ciberseguridad abre sus puertas para que te puedas entrenar en este campo, tanto en los cursos de Kali Linux, como con los cursos de NMAP, recuerda que si sigues nuestras revistas al pie de la letra puedes ganar 20% de descuento.
Vamos a hacer el ejercicio, instalaremos el parche de esta vulnerabilidad http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 e intentaremos escanear nuevamente.
DISCLAIMER: Este contenido es sólo para fines educativos. Cualquier acción o actividad relacionada con el material contenido en esta revista es de su exclusiva responsabilidad. El mal uso de la información en esta revista puede resultar en cargos criminales contra las personas en cuestión. Los autores y NOISE Ciberseguridad no serán responsables en caso de que se presenten cargos penales contra cualquier persona que abuse de la información de esta revista para violar la ley.
24
NOISE REVISTA DE CIBERSEGURIDAD
Existen muchas herramientas para las distintas fases de un test de penetración, sin embargo, uno de los objetivos primordiales de este tutorial era demostrar la evolución que ha tenido NMAP en cuanto a no solo mapear puertos y servicios corriendo, si no también las vulnerabilidades conocidas de un host. La moraleja al final de todo es la misma, insistimos en las actualizaciones de sus equipos y la utilización de un antivirus con buen IDS para evitar dolores de cabezas.
21
NOISE REVISTA DE CIBERSEGURIDAD
Contรกctanos: informacion@noise-sv.com 79302011 / 72355175