Dinahosting recibe un ataque masivo de tipo DDoS

Estándar
Ayer, unos 60.000 usuarios del popular proveedor de hosting Dinahosting perdieron el servicio de sus sitios web debido a un ataque masivo de tipo DDoS contra los servidores de DNS del proveedor.
Sobre las 16h del día de ayer el equipo de Dinahosting comenzó las labores de sanitización del ataque, con el fin de comenzar a descartar paquetes e IP maliciosas.
Según fuentes de Dinahosting el ataque recibido supera en 130 veces el tráfico habitual, lo que les ha impedido poder hacer frente a la demanda de tráfico.
Dinahosting ha trabajado hasta el momento con diferentes proveedores de conectividad y DNS para filtrar y encauzar de nuevo el tráfico hasta que hoy, sobre las 8 de la mañana han recuperado el estado normal de su infraestructura.
Por Internet, corre un rumor, que nadie ha confirmado ni desmentido, sobre que el ataque podría deberse al conflicto entre Corea del Norte y EEUU, ya que Dinahosting fue proveedor de “Korea-dpr.com”
Cuentos de guerra o no, 60.000 usuarios han perdido un día de trabajo, y muchas empresas, destacando tiendas virtuales, no han podido vender sus productos en la víspera de Navidad. ¿Casualidad…?
Saludos!

Descubierto un potente y sigiloso troyano en Linux destinado al espionaje gubernamental

Estándar

troyano

Investigadores de Kaspersky Lab han descubierto un nuevo troyano para sistemas Linux tan potente y sigiloso que puede permanecer oculto durante meses en cualquier equipo. El código de este software presenta fragmentos que lo relacionan directamente con Turla, un APT (advanced persistent threat) descubierto el pasado mes de agosto por Kaspersky Lab y Symantec.

Según las investigaciones de estas dos empresas, las herramientas Turla han estado siendoutilizadas durante por lo menos cuatro años para espiar tanto a gobiernos, instituciones y embajadas como a empresas, investigadores y centros educativos en más de 45 países. Hasta ahora se creía que este malware había estado infectando exclusivamente a equipos con Windows, pero ahora parece que sus desconocidos creadores también han estado haciendo de las suyas en Linux.

Según los investigadores, el troyano pasaba desapercibido manteniéndose inactivo hasta que los atacantes lo despertaban mandándole al equipo una serie de paquetes con una secuencia especial de números. Una vez activado, el troyano era capaz de interceptar el tráfico de datos y ejecutar comandos sin necesidad de privilegios de administrador del sistema.

Pese a haber sido identificado, el código de este malware es tan sofisticado que muchos de sus componentes y utilidades aun siguen siendo un misterio, como también lo es la identidad de las personas que lo han estado utilizando, aunque desde Symantec se especula con la posibilidad de que estén siendo apoyadas por alguna nación o estado.

De momento sólo se han encontrado un par de ejemplares de Turla adaptados a Linux, por lo que no es necesario que cunda el pánico entre sus usuarios. Aun así, tanto esto troyano como el de Regin del que os hablamos a finales del mes pasado apuntan a un nuevo tipo de espionaje industrial y gubernamental del que estamos seguros que seguiremos teniendo noticias durante los próximos meses y años.

via Genbeta

RPEF: la herramienta para backdoorizar routers domésticos

Estándar

Seguro que todavía resuenan en vuestros oídos noticias sobre la presencia de backdoors en muchos modelos de routers. D-Link, Netis, Netgear, Linksys, Belkin, TRENDnet, MediaLink, Sercomm … la lista es muy larga.

Si tu también quieres hacerte el “chino” y vender en eBay tu viejo router con un regalo sorpresa añadido (es broma, no seais malos), puedes usar RPEF…

En la Defcon 20, Michael Coppola presentó una herramienta en Python llamada RPEF (Router Post-Exploitation Framework) con la que automatiza el proceso para añadir un backdoor en un buen número de firmwares para distintos modelos de routers SOHO:

– Belkin: F5D7230-4_v1xxx
– D-Link: DIR-601_1.01NA y DIR-601_2.01NA
– Linksys: WRT120N_1.0.07_(Build_02)
– NETGEAR: WGR614v10_1.0.2.26NA, WGR614v9_1.2.30NA, WNDR3700v1_1.0.16.98NA, WNDR3700v2_1.0.0.12 y WNR1000v3_1.0.2.26NA
– TRENDnet: TEW-651BR_v2.2R_2.00B12 y  TEW-652BRP_v3.2R_3.00B13

La sintaxis básica del script (python 2.6) es: 

./rpef.py <firmware image> <output file> <payload>
 
Una vez que el firmware malicioso está actualizado/instalado y funcionando en el router, el atacante tendrá a su disposición un sniffer de red desde la línea de comandos o un bot que se puede conectar a un canal IRC especificado para lanzar una herramienta DDoS… interesante ¿verdad?

Página del proyecto: https://github.com/mncoppola/rpef

Nanoport, tecnología magnética para unir smartphones

Estándar

nanoport -1

El futuro para Nano Magnetics se encuentra en Nanoport: su estándar para transferir información y energía entre móviles a través de imanes, mágico para el usuario y seguro para fabricantes y desarrolladores.

Hay quien dice que el futuro está en las pantallas flexibles, otros opinan que se encuentra en los diseños modulables y personalizables a gusto del usuario, algunos apuntan a por todos aquellos que no se pueden permitir un smartphone… y luego están los que confían en el magnetismo para trabajar en un futuro con pantallas que se conectan entre sí.

Ese último futuro es el que están intentando trabajar en Nano Magnetics, una compañía que cree que los dispositivos deberían poder conectarse y trabajar entre ellos. Para ello han creado Nanoport: una forma de utilizar tecnología wireless e imanes para conectar hardware entre sí, y hacer que puedan funcionar juntos como si fueran uno sólo.

El vídeo de presentación que han utilizado es bastante representativo: un teléfono con Android que se conecta a otro, y que son capaces de trabajar en equipo para que otro tercero llegue y funcionen los tres a la vez sin ningún problema aparente. Estas uniones entre dispositivos no sólo son físicas, porque también prometen ser capaces de intercambiar datos y energía de forma segura y rápida.

Además, no sólo se queda en teléfonos o pantallas, porque la compañía también asegura que se puede conectar cualquier tipo de hardware: altavoces, baterías, cámaras… gracias a su capacidad de compartir tanto datos como energía. ¿Os imagináis una powerbank, un altavoz o una cámara externa que se conectara a nuestro smartphone o tablet por vía de este puerto Nanoport?

Magnetismo para conectar todos nuestros Android

Lo bueno de todo esto es que en Nano Magnetics confían en que conseguir esto ya es posible, y han tomado dos pasos: publicar un kit para que los desarrolladores puedan adaptar sus dispositivos a Nanoport, y el anuncio de que estarán en el CES 2015 mostrando un prototipo completamente funcional a cualquier visitante que pase por su stand. La cosa promete, y nos tocará estar atentos

Google Translate incluirá traducción en vivo de imágenes y conversaciones

Estándar

g-translate

Tras la compra de Word Lens por parte de Google el pasado mayo, los primeros resultados sobre las mejoras de Google Translate se han filtrado en la red, permitiéndonos ver la traducción de texto de imágenes y la traducción para el nuevo modo conversación, opciones que la próxima actualización de Google Translate podría ya incluir.

Screen Shot 2014-12-06 at 19.28.19

Traducción de texto de imágenes

En primer lugar, Google ha decidido aplicar el desarrollo ya hecho por Word Lens y ya podemos ver cómo a partir de una imagen con texto:

Screen Shot 2014-12-06 at 19.28.13

Podemos conseguir rápidamente, gracias a la cámara su traducción:

Screen Shot 2014-12-06 at 19.27.54

Esto no es más que aplicar la misma funcionalidad que ya teníamos disponible con Word Lens, pero ya directamente desde Google Translate. Por ahora funcionará sóloutilizando el inglés como uno de los idiomas, pudiendo ser el otro español, francés, alemán, italiano, portugués y ruso.

Traducción para el nuevo modo de conversación

Pero la cosa no queda ahí, pues han incluido una gran novedad: podremos utilizar Google Translate para traducir en vivo una conversación, para todos aquellos que no nos entendamos.

Por ahora requiere seleccionar manualmente cada idioma que se vaya a escuchar, pero es una funcionalidad realmente útil para cuando nos vemos en esos aprietos que necesitamos entender algo de alguien que no hay manera.

Screen Shot 2014-12-06 at 19.28.31

La aplicación escuchará activamente ambos idiomas seleccionados, facilitando la traducción automática, permitiendo una comunicación lo más natural posible, sin necesidad de esperar a terminar las frases.

Pero aún no sabemos cuándo estará disponible esta nueva versión de Google Translate con estas nuevas características, a pesar de que la aplicación parece estar estable y terminada. Tan pronto como tengamos noticias, os avisaremos. ¿Habéis echado en falta alguna vez este tipo de características?

Controla WhatsApp desde tu PC gracias a AirDroid

Estándar

airdroid1

Poder utilizar WhatsApp desde el PC es algo que mucha gente demanda, y de lo quehemos hablado anteriormente en el caso de que fuéramos ROOT, gracias a PushBullet. Y ahora nos llega una opción nueva, para poder controlar WhatsApp desde nuestro PC.

Hace tan sólo unos días os anunciábamos la gran actualización de AirDroid a la versión 3.0, una versión cargada de novedades, especialmente para los clientes nativos de escritorio.

AirMirror, la llave para llevar WhatsApp al PC con AirDroid

Y una de esas novedades, llamada AirMirror, es la herramienta que nos permitirá controlar WhatsApp desde el PC.

airdroid3

AirMirror nos permite utilizar la técnica conocida como mirroring, con la cual podemos ver la pantalla de nuestro dispositivo Android en el PC en cualquier momento. A partir de ahí, podemos controlar dicha pantalla con los diferentes periféricos de entrada de nuestro PC (teclado, ratón), por lo que podremos ver los mensajes de WhatsApp sin problema ninguno, ya que WhatsApp es una de las aplicaciones para las que incluyeron soporte en AirMirror.

Screen Shot 2014-12-06 at 17.31.46

Pero para poder utilizar el mirar, necesitaremos tener acceso root.

Pero, ¿qué pasa con las notificaciones de los mensaje que recibamos? Pues exactamente como ocurre con PushBullet, tendremos un sistema de notificaciones, de forma que podamos recibir las notificaciones de nuestro dispositivo también en el PC.

AirMirror aún no disponible para Lollipop

airdroid2

La mala noticia llega cuando hemos probado con un Nexus 5 y su recientemente estrenada nueva versión de Android: Lollipop. Y es que AirMirror aún no está disponible para Lollipop, aunque lo añadirán próximamente. Por lo que, en este caso si tienes la última versión de Android, tendrás que esperar.

AirDroid – Android on Computer
Requiere Android Varía según el dispositivo
Versión: Varía según el dispositivo
Tamaño: Varía según el dispositivo

Via FaqsAndroid

Capturando credenciales en claro mediante un firewall Fortigate

Estándar

En este mundillo estamos cansados de repetir que se sustituya FTP y telnet por sus respectivos equivalente seguros: SCP, FTPS, SFTP, SSH… pero después de tantos años se siguen utilizando 😦

Hoy vamos a hacer una pequeña demostración de la inseguridad del uso de estos protocolos no cifrados capturando tráfico mediante un firewall y obteniendo las contraseñas en claro.

En la vida real el firewall podría ser la máquina de un atacante, el cuál tendría la misma facilidad para robar credenciales simplemente esnifando el tráfico en un nodo que está en medio del camino de nuestra conexión cliente-servidor. Y no sólo el atacante podría ser una persona hábil que ha envenenado ARP y ha conseguido hacer un MiTM… en este gran entramado que es Internet, un ISP o hasta el administrador de red de una empresa podría estar vigilando…

Para nuestro escenario concreto el firewall será un Fortigate. Estos cacharros tienen una gran variedad de comandos de diagnóstico. Permiten depurar aplicaciones comunes (ike, sslvpn, urlfilter…), el proceso de flujo de paquetes e incluso activar un sniffer bastante decente que arroja una salida muy similar a la de tcpdump (será un fork?). La sintaxis del comando es la siguiente:

# diag sniffer packet <interfaz> <‘filtro’> <verbose> <contador> a

Veamos primero un ejemplo sencillo:

# diag sniffer packet internal 'src host 192.168.0.130 and dst host 192.168.0.1' 1

192.168.0.130.3426 -> 192.168.0.1.80: syn 1325244087
192.168.0.1.80 -> 192.168.0.130.3426: syn 3483111189 ack 1325244088
192.168.0.130.3426 -> 192.168.0.1.80: ack 3483111190
192.168.0.130.3426 -> 192.168.0.1.80: psh 1325244088 ack 3483111190
192.168.0.1.80 -> 192.168.0.130.3426: ack 1325244686
192.168.0.130.1035 -> 192.168.0.1.53: udp 26
192.168.0.130.1035 -> 192.168.0.1.53: udp 42
192.168.0.130.1035 -> 192.168.0.1.53: udp 42
192.168.0.130 -> 192.168.0.1: icmp: echo request
192.168.0.130.3426 -> 192.168.0.1.80: psh 1325244686 ack 3483111190
192.168.0.1.80 -> 192.168.0.130.3426: ack 1325244735
192.168.0.130 -> 192.168.0.1: icmp: echo request


Y las opciones que manejamos:

– Interfaz, como su nombre indica, es el interfaz por el que se capturarán los paquetes. Podemos especificar “any” para que capture en todos los interfaces.

– El filtro puede tener también la siguiente sintaxis: ‘[[src|dst] host] [[src|dst] host] [[arp|ip|gre|esp|udp|tcp] [port_no]] [[arp|ip|gre|esp|udp|tcp] [port_no]]’

– Verbose tiene diferentes niveles:
1: muestra la cabecera de los paquetes
2: muestra la cabecera y los datos IP de los paquetes
3: muestra la cabecera y los datos ethernet de los paquetes
4: muestra la cabecera de los paquetes con el nombre de interfaz
5: muestra la cabecera y los datos IP de los paquetes con el nombre de interfaz
6: muestra la cabecera y los datos ethernet de los paquetes con el nombre de interfaz

– El contador indica el número de paquetes que se recogerán antes de parar el sniffer. Si no especificamos nada seguirá recogiendo paquetes hasta que lo paremos con CTRL+C.

– Y por último la opción “A” es para mostrar timestamps

Ahora imaginemos que queremos capturar las credenciales de un acceso FTP. Podríamos capturar las de todas las sesiones en un momento dado filtrando simplemente el puerto TCP; pero para el ejemplo supongamos que queremos capturar sólo las credenciales de un acceso a un servidor FTP específico, ftp.rediris.org con IP 130.206.1.5.

Primero, en Putty, no olvidemos capturar la salida de la sesión a un fichero de log:

Después iniciaremos el sniffer:

# diag sniffer packet any 'dst host 130.206.1.5' 6
interfaces=[any]
filters=[dst host 130.206.1.5]

Y desde un cliente ftp estándar lanzaremos la conexión:


C:\Users\vmotos\Desktop>ftp ftp.rediris.org
Conectado a zeppo.rediris.es.
220-  Bienvenido al FTP an├│nimo de RedIRIS.
220-Welcome to the RedIRIS anonymous FTP server.
220 Only anonymous FTP is allowed here
Usuario (zeppo.rediris.es:(none)): vicente
331-            RedIRIS - Red Acad├®mica y de Investigaci├│n Espa├▒ola
331-                RedIRIS - Spanish National Research Network
331-
331-           ftp://ftp.rediris.es  -=-  http://ftp.rediris.es
331-
331 Any password will work
Contraseña:
230 Any password will work

Ahora comprobareis rápidamente que el sniffer está capturando datos. Si os fijáis en el fichero de log generado aparecerá la contraseña en claro:


7.816069 123.123.123.11.19043 -> 130.206.1.5.21: psh 840580428 ack 3720924021
0x0000   0000 0000 0000 0009 0fd3 bac5 0800 4500        ..............E.
0x0010   0035 1d7b 4000 7c06 5d89 c2e0 3d0b 82ce        .5.{@.|.]...=...
0x0020   0105 4a63 0015 321a 3d4c ddc8 cb75 5018        ..Jc..2.=L...uP.
0x0030   07a1 ba58 0000 5041 5353 2070 7275 6562        ...X..PASS.prueb
0x0040   610d 0a      

Aunque si lo preferís, existe un script en perl fgt2eth.pl para exportar el fichero a formato pcap y analizarlo más claramente con Wireshark.

Primero quitamos la cabecera que nos deja putty:

=~=~=~=~=~=~=~=~=~=~=~= PuTTY log 2014.12.04 01:35:03 =~=~=~=~=~=~=~=~=~=~=~=

Y luego lo exportamos con esta utilidad:

C:\Users\vmotos\Desktop>fgt2eth.exe
Version : 1.22 (Feb 21 2008)

Assuming OS: windows
Usage : fgt2eth.pl -in <input_file_name>

Mandatory argument are :
   -in  <input_file>     Specify the file to convert (FGT verbose 3 text file)

Optional arguments are :
   -help                 Display help only
   -version              Display script version and date
   -out <output_file>    Specify the output file (Ethereal readable)
                         By default '<input_file>.eth' is used
   -lines <lines>        Only convert the first <lines> lines
   -system <system>      Can be either linux or windows
   -debug                Turns on debug mode
      
C:\Users\vmotos\Desktop>fgt2eth.exe -i putty.log -o putty.pcap
Conversion of file putty.log phase 1 (FGT verbose 3 conversion)
Output written to putty.pcap.
Conversion of file putty.log phase 2 (windows text2pcap)
Ouput file to load in Ethereal is 'putty.pcap'

Y por último lo abrimos con Wireshark. Si queréis afinar más la búsqueda podéis usar el filtro:

(ftp.response.code == 230 || ftp.request.command == “PASS”) || (ftp.request.command == “USER”)

¡Feliz caza!