Seguridad Noticias

Recently, I read a blog post claiming that more than 75% of secure HTTP (HTTPS) web sites are vulnerable to different types of attacks. BEAST or the Browser Exploit Against SSL/TLS aka CVE-2011-3389 tops the list in this case. Another attack that comes a close second is a typical man-in-the-middle against SSL clients. While there [...]

Sslcaudit: Perform Security Audits of SSL/TLS Clients! is a post from: PenTestIT

Siguiendo la línea de algunos posts sobre la aplicación WhatsApp (que de seguro todos conocemos), en este post me gustaría presentaros una herramienta para facilitar la extracción e interpretación de los datos generados por esta aplicación. 
 Si bien es cierto que la aplicación cifra los logs de los mensajes cuando realiza el backup en la sdcard, todos estos registros así como las conversaciones actuales, agenda de contactos y demás ficheros propios de la aplicación, se encuentran sin cifrar en la memoria interna del dispositivo, de tal forma, que accediendo a la memoria del dispositivo podremos extraer dichos ficheros para analizarlos en otro entorno. 
 La aplicación que me gustaría presentaros está escrita en Python (DJango) y aunque es una versión Beta y espero poder seguir agregándole más funcionalidades, nos facilitará bastante la tarea a la hora de interpretar la información basándose en los registros de los siguientes ficheros:

• wa.db (agenda de contactos)
• msgstore.db (conversaciones actuales)
• whatsapp-YYYY-MM-DD.log.gz (registro de conversaciones)
• msgstore-YYYY-MM-DD.X.db.crypt (registro de conversaciones cifrado)

Listado de archivos de interés Nota: Como registro de mensajes solo se usará msgstore.db, pero podemos reemplazar este archivo por cualquiera de los registros de mensajes guardados. Para descargar la aplicación, podemos hacerlo desde la URL del proyecto descargando el fichero zip/tgz o clonando el repositorio: ~$ git clone git://github.com/sch3m4/wforensic.git Cloning into 'wforensic'... remote: Counting objects: 136, done. remote: Compressing objects: 100% (117/117), done. remote: Total 136 (delta 11), reused 135 (delta 10) Receiving objects: 100% (136/136), 364.66 KiB | 163 KiB/s, done. Resolving deltas: 100% (11/11), done. ~$  Una vez hecho esto, entramos en el directorio creado y copiamos en él los ficheros wa.db y msgstore.db: ~$ cd wforensic/ ~/wforensic$ cp -v /tmp/*.db . `/tmp/msgstore.db' -> `./msgstore.db' `/tmp/wa.db' -> `./wa.db' ~/wforensic$ ls -1 CHANGELOG LICENSE README msgstore.db tools wa.db wforensic ~/wforensic$ En caso de necesitar utilizar un registro de log, procederemos de la misma manera, descomprimiendo el fichero: ~$ gzip -d whatsapp-2012-05-03.1.log.gz ~$ mv whatsapp-2012-05-03.1.log wforensic/msgstore.db ~$ Hecho esto, podemos iniciar la aplicación y acceder al navegador accediendo al puerto correspondiente, que por defecto es el 8000: Ejecutando el servidor DJango  Hecho esto, si accedemos a la URL especificada podremos ver como página principal un breve resumen de la actividad: Index (1/2) Index (2/2) Si por el contrario, solo tenemos acceso a los ficheros cifrados, podemos usar el script "tools/decrypt.py" (gracias al post de Alejandro Ramos): Volcando y descifrando un registro de mensajes desde la sdcard. Ahora volvemos a acceder a la aplicación y navegar por todos sus apartados para revisar el registro descifrado: Contactos Página Principal En la parte de "Contacts" (como en el resto de la aplicación) se muestran tanto los contactos con WhatsApp como los que no. Cuando un contacto tiene WhatsApp instalado en su dispositivo, aparecerá con el icono (como se muestra) al lado del nombre, el número de mensajes intercambiados y un enlace en su número de teléfono para mostrar la conversación. 
En el menú superior de la aplicación, aparecen secciones para ver la lista de contactos, los chats mantenidos, mostrar los mensajes con coordenadas GPS, mensajes con contenido multimedia, etc. Cuando un mensaje posee algún tipo de adjunto (imagen, contacto, coordenadas, etc.) a demás de mostrar el thumbnail del contenido, nos aparecerá un icono al lado del nombre del contacto, con la URL al contenido original, (en el caso de las coordenadas GPS, será un enlace a Google Maps). Y para sorpresa (o no) de muchos, esto es lo que pasa cuando accedemos a la URL original: Mensajes multimedias Contenido original Y finalizando, dos capturas para ver cómo se muestra el listado de chat y las conversaciones:
Chat Lista de Chats Como dije al principio del post, se trata de una beta y se le pueden agregar muchas más opciones que espero poder agregar. No obstante, toda contribución de ideas (se incorporarán al TODO) , manual o mejora (serán agregadas lo antes posible) es bienvenida.
Artículo cortesía de Chema García

Our first post regarding Mutillidae can be found here. A few hours ago an update – Mutillidae version 2.1.19 – was released. “Mutillidae is a free, open source web application provided to allow security enthusiest to pen-test and hack a web application. Mutillidae can be installed on Linux, Windows XP, and Windows 7 using XAMMP making [...]

UPDATE: Mutillidae 2.1.19! is a post from: PenTestIT

WebVulScan is a web application vulnerability scanner. It is a web application itself written in PHP and can be used to test remote, or local, web applications for security vulnerabilities. As a scan is running, details of the scan are dynamically updated to the user. These details include the status of the scan, the number [...]

webvulscan: Web Application Vulnerability Scanner is a post from: PenTestIT

¿Podrá La ley Sinde-Wert cerrar SeriesYonkis? ¿Y SeriesPepito? ¿Y las más de 500 páginas similares? ¿Cómo está afectando la nueva ley a estos sitios de enlaces? ¿Qué medidas se pueden tomar? ¿Las han tomado ya? Estas preguntas trataba de responder hace ya un año en la siguiente entrada: Monitorizando La Ley Sinde - ¿Hasta donde pueden llegar? Un año después, vamos a ver los cambios.
Para este propósito he actualizado la herramienta que construí la vez anterior y añadiendo una nueva variable: páginas que ya no existen.
Una vez puesta en marcha, los resultados son bastantes curiosos, de las 517 páginas un 11% han cerrado y ni si quiera el dominio se ha renovado.
También hay muchas de ellas que han tomado medidas para defenderse cuando sean atacadas. Como hizo SeriesYonkis clonando su dominio.
La siguiente gráfica muestra los resultados finales. Un 33% de páginas pueden ser cerradas rápidamente por mantener alguno de sus componentes críticos en España (DNS o proveedor de acceso), un 58% están completamente fuera y requerirán coordinación con otros gobiernos y un 11% ha desaparecido.



¿Es esto no una victoria de la aplicación de la Ley? Realmente no queda claro, si analizamos los datos del resultado del año pasado, se observa que el 65% de estas páginas no estaban sometidas a la ley directamente, ya que se alojaban fuera.
Otro dato interesante es que ninguna de las webs cerradas tenía un "rank" alto en Alexa, lo que indica que apenas eran populares o tenían tráfico. Para hacernos una idea SeriesYonkis.com está en la posición 2.014 del mundo, nuestro modesto blog en la 121.234 y el más alto de todos los suprimidos en la 257.696.
Los números cambian radicalmente si tan solo se estudian las 122 páginas que se han filtrado por ser los objetivos de la famosa Ley, ya que el 63% de ellas están fuera del territorio nacional.



Las páginas de enlaces de la lista negra que han desaparecido son:  bitpirata.com
conemule.com
conexión24h.com
cowboysdelared.es
estrenosdt1.com
mundonds.net
torments.net


Las páginas que han cerrado del listado original que creamos: a3magazine.com  
barriop2p.com
bitpirata.com
cinemula.com
cinepelis.com
conemule.com
descargasdirectasatope.com
descargasmix.com
dexcarga.org
divoox.com
divxendirecto.com
eliculas21.com
eliteclasicos.com
emutotal.com
estrenosonline.biz
gratispeliculasonline.com
guretorrents.com
hispatorrents.org
ironcine.com
irontorrent.com
locurands.org
mazodivx.com
miselinks.com
mooseries.com
nernsoong.net
okpeliculas.net
pasalaweb.com
pcestrenos.com
peliculaon.com
peliculas-online.cc
pelis-sevillistas56.net
portalestrenos.com
quecanal.com
realfilmz.com
seriestube.net
seriesypelisonline.com
taquillaspa.com
todogratisonline.net
torments.net
verpeli.net
viciopando.com
viciowarez.com
wuapi.com
miserie.es
onlinepelis.es
paginas-infantiles.iespana.es
peliculasflv.es
toptorrent.es
lanzamientosmp3.es
docutube.es
cowboysdelared.es
cantabriatorrent.es
animenojutsu.es
cineyoutube.es

Our first post regarding Skipfish can be found here. We now we have an update! The latest release is Skipfish version 2.04b! “Skipfish is a fully automated, active web application security reconnaissance tool. Its key features: High speed: pure C code, highly optimized HTTP handling, minimal CPU footprint – easily achieving  2000 requests per second with responsive  targets. Ease of use: heuristics to support a variety of quirky web frameworks [...]

UPDATE: Skipfish-2.06b! is a post from: PenTestIT

• La noticia de la semana, sin duda, ha sido la publicación de más de 55,000 cuentas de Twitter mediante 5 posts en pastebin. Al final resultaron ser, en su mayoría, cuentas utilizadas para SPAM o cuentas ya deshabilitadas, pero se encontraban algunas funcionales, como la del actor Mark Ruffalo que encarna a Hulk en la última película de los Vengadores.
• Se presenta Passfault, el proyecto OWASP que evalúa la fuerza de contraseñas con precisión suficiente para predecir el tiempo a poder crackearse. Permite  hacer mucho más intuitiva y sencilla la creación de contraseñas y políticas de contraseñas.
• Abierto el Call For Papers (Solicitud de ponencias) para la BreakPoint 2012, que se celebra en Australia el 17 y 18 de Octubre. Justo a los tres días siguientes, también en Australia, recordamos que se celebra la RuxCON por los mismos organizadores, pero con un talante un poco más especializado.
• Bitcoinica, una página de comercio de Bitcoin creada por Zhou Tong de 17 años, ha sido cerrada debido a que se están llevando a cabo una serie de investigaciones de seguridad. Se cree que se ha podido robar casi 18,000 BTC (equivalentes a más de 68,000 euros), tras que el creador comenzó a notar transferencias sospechosas.
• Vulnerabilidad en node.js, en versiones anteriores a la 0.6.17, permitiendo la fuga de información.
• Publicada la versión 0.11 de Tails, la distribución enfocada a anonimizar al máximo nuestras tareas de navegación promovida por el proyecto Tor, y de la que ya os hablamos en este post. Muchas mejoras y nuevas funcionalidades.
• Una actualización del sistema operativo Lion de Apple, la 10.7.3, expone en claro la contraseña de cifrado de los usuarios que utilizan la aplicación FileVault.
• Demostración en video de la vulnerabilidad CVE-2012-1675, correspondiente con el TNS Poison de Oracle de Joxean Koret.
• Adrián Bravo en Security Et Alii nos presenta dos entornos para realizar pruebas de hacking web, concretamente de Inyección SQL y XPath/XML Injection, SQLol y XMLmao respectivamente.

Our first post regarding Subterfuge can be found here. Recently, an update – Subterfuge Beta 2.1 – was released. “Subterfuge is a framework to take the arcane art of Man-in-the-Middle attack and make it as simple as point and shoot. It demonstrates vulnerabilities in the ARP Protocol by harvesting credentials that go across the network, and [...]

UPDATE: Subterfuge Beta 2.1! is a post from: PenTestIT

Our first post regarding OWASP Mantra can be found here. A few days ago, an update – OWASP Mantra Security Toolkit 0.91 Beta Lexicon has been made available to us. “OWASP Mantra is a collection of free and open source tools integrated into a web browser, which can become handy for students, penetration testers, web application developers,security professionals [...]

UPDATE: OWASP Mantra Security Toolkit 0.91 Beta Lexicon! is a post from: PenTestIT

Our first post regarding FiletypeID can be found here. A few hours ago, an update – FiletypeID version 0.2.0 – was released. “FiletypeID is a tool designed to identify file types from their binary signatures. This simple application can help you to: identify what kind of file was sent to you via e-mail, aid in forensic [...]

UPDATE: FiletypeID 0.2.0! is a post from: PenTestIT

Many times error messages can be quite the confusing experience in the Windows operating system, mostly because they often do not reveal what the error is all about. windows will display a value in either Decimal or Hex for Win32, HRESULT, NTSTATUS and STOP error codes. this is where Windows Error Lookup Tool comes handy [...]

Windows Error Lookup Tool: find Error Code is a post from: PenTestIT

Mucha gente nos ha preguntado el por qué de la sección ETHERNET EXPOSED, e incluso muchos otros han cuestionado si realmente es importante disponer de tomas de red descuidadas y si realmente pueden ser aprovechadas.


Ayer se dió a conocer una nueva Drop Box, llamada MiniPwner, cuyo atractivo principal es su precio (se puede tener por menos de 50$), que resulta ser mucho más asequible que la ya conocida por todos Pwnie Express (casi 500$).
Estos dispositivos proporcionan el acceso remoto a una red, y sus principales ventajas es su reducido tamaño, por lo que bien pueden pasar desapercibidos.

En el caso de MiniPwner, se trata de un router wireless TP-Link TL-WR703N y un puerto Giga, así como un sistema operativo OpenWRT en el que se han instalado herramientas específicas para tareas de pentesting, como son nmap, tcpdump, nbtscan, etc. ofreciendo la posibilidad de establecer túneles VPN para ejecutar otras herramientas externamente pero manteniendo el acceso. Una vez se coloca en la red, nos podemos conectar mediante WiFi desde una localización próxima y tranquilamente trabajar sobre la red a la que nos hemos conectado. Y como ya habréis visto en los diferentes números de ETHERNET EXPOSED, podríamos acceder a redes de bancos, hospitales, restaurantes, clínicas...siempre y cuando las tomas encontradas ofreciesen un enlace real.
En este enlace del propio producto MiniPwner encontraréis otros proyectos relacionados con estos dispositivos Drop Box, como por ejemplo la WiFi Pineapple de la gente de Hak5: es una fonera escondida dentro de una piña de plástico que aparentemente no es más que un recipiente para zumos, pero que es capaz de crear un punto de acceso WiFi Rogue para "obligar" a los usuarios cercanos a nosotros que se conecten a nuestro punto de acceso haciéndolos creer que es de confianza.
Puedes construir tú mismo tu propia versión de MiniPwner siguiendo este enlace, o directamente pedirlo por 120$ en esta otra dirección.
[+] MiniPwner

To celebrate Mother’s Day, unlimited copies of the Windows and Mac version of Collage It Pro is being given away complete free worth $19. The giveaway is valid until May 13, 2011 so hurry and grab free copy of CollageIt Pro Picture Collage Maker Pro ( CollageIt Pro ) is a fun and easy to use program [...]

CollageIt Pro Giveaway for Mother’s Day get it free is a post from: PenTestIT

La entrada de hoy pretende ser un resumen rápido desde el punto de vista de seguridad de la aplicación TU Me, presentada ayer por Telefónica para móviles iPhone y que se ha mostrado en Internet como la competencia de WhatsApp.
Detrás de TU Me se encuentra la compañía jajah, con sede en California pero origen israelí, está especializada en VoIP y fue adquirida por Telefónica en 2010. Por lo que parece, todo ha sido desarrollado fuera de España y sus sistemas también se encuentran en California.
Teniendo en cuenta la experiencia ganada de ver como funciona WhatsApp he comprobado algunos de los fallos que hemos encontrado y contado. En algunos casos los resultados son buenas noticias y en otros no.
El registro solo se puede hacer mediante la recepción de un SMS, sin posibilidad de recibir una llamada u otro método de validación, como ocurre con su amigo verde.

Cuando se introduce el número, se manda una petición https con ese número de móvil, TU Me responde por SMS un código pin de tan solo cuatro números para verificar que ese teléfono es de nuestra propiedad, ya que como último paso hay que introducirlo en la aplicación, para que sea nuevamente valido. El proceso tendría un esquema similar a esto:
Registro en TU Me
---------------------------------------------------------------------------------------------------------------------------
ACTUALIZACIÓN:
Lo comentado a continuación ha sido solucionado a las pocas horas de publicarse esta información en el blog.






----------------------------------------------------------------------------------------------------------------------------

Desgraciadamente el número de veces que se introduce el PIN no está controlado y con una herramienta como burp es muy fácil automatizar el proceso y registrar el número que queramos en unos minutos.

En otro orden de cosas, revisando el directorio de la aplicación y la base de datos de conversaciones que se almacena en el fichero Connect.sqlite, me he encontrado que guarda la geo localización de todos los mensajes. Aunque no sea necesaria ni se solicite. Una vez mandas tu posición, los siguientes mensajes también llevarán esta información. Con todo lo que ello implica. ¡No hemos aprendido!
Connect.sqlite (geolocalización)
La sorpresa, esta vez buena, ha sido encontrar que las imágenes compartidas no son públicas y requieren autenticación para acceder a ellas. Además de estar solo disponibles por SSL, a diferencia de WhatsApp que cualquiera puede acceder a ellas si conoce la ruta y se sirven sin cifrar.
Almacenamiento de imágenes en https://store.yarnapp.com
Intento de acceso a una imagen sin credenciales
También las conversaciones se hacen usando protocolos cifrados, por lo que será difícil encontrar herramientas del tipo WhatsAppSniffer.

De momento, ¡esto es todo!

Guys! The SANS Investigative Forensic Toolkit has been updated! We now have SIFT version 2.13! Our old post regarding SIFT can be found here. “The SANS Investigative Forensic Toolkit (SIFT) Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format [...]

UPDATE: SIFT 2.13! is a post from: PenTestIT

Como ya se ha visto en los posts anteriores (Mitigaciones de seguridad en EMETv2.1 I, II y III), EMET es un programa muy útil para incrementar la seguridad del sistema. Permite añadir mitigaciones de seguridad a aplicaciones que no han sido programadas nativamente para soportarlas. Esto permite que incluso queden protegidas ante vulnerabilidades 0-day que en otras condiciones podrían hacer que el sistema fuese vulnerable a ejecución de código, por ejemplo

EMET soporta diferentes versiones de Windows y niveles de parcheo, pero no todas las mitigaciones están disponibles para todos ellos.


Lo mismo sucede con sistemas de 32 y 64 bits, ya que algunas protecciones sólo están disponibles en 32 bits.


Gracias a los posts anteriores conocemos qué protecciones ofrece EMET y cómo funcionan a bajo nivel. Ahora vamos a ver cómo configurar EMET para sacarle el máximo partido.

Aplicar mitigaciones

Existen dos formas de configurar las protecciones: a nivel de sistema o de ejecutables. Éstas no son mutuamente excluyentes, sino complementarias.


En el apartado Configure System podemos configurar a nivel global ciertas mitigaciones de seguridad (DEP, SEHOP, ASLR) mediante las directivas Always On, Application Opt-Out, Application Opt-In, Disabled). Se explicó cómo funciona cada una de ellas en el apartado DEP del primer post de la serie.

Existen dos perfiles por defecto en esta sección. Si se utiliza Maximum Protection Security nos podemos encontrar con que algunas aplicaciones dan problemas y no funcionan correctamete. Por eso se recomienda utilizar Recommended Security Settings.



En Configure Apps se configuran los binarios que queremos proteger y las mitigaciones que se aplican al mismo. Por defecto se activan todas si el SO las soporta. Las mitigaciones de seguridad que no aparecen en Configure System, se aplican o no en base a si están marcadas mediante el checkbox en la lista de aplicaciones añadidas manualmente.

Es importante tener en mente que se añaden los binarios de aplicaciones indicando la ruta completo, no sólo el nombre del binario. Por lo tanto podríamos tener dos versiones de la misma aplicación protegidas por EMET.



Cuando se realiza una modificación en Configure System o Configure Apps es necesario reiniciar el sistema para aplicar los cambios.

Configuración de seguridad mediante CLI

Existe la posibilidad de configurar EMET mediante CLI, de forma que se podría automatizar el proceso. La configuración mediante GUI es extremadamente útil para una sóla máquina, pero podría ser un problema para implementarlo en varias máquinas. Es aquí donde entra en juego la CLI.


También podemos sacar partido de la posibilidad de importar y exportar la configuración en XML. Sería útil en caso de que las restantes máquinas tengan el mismo software instalado y necesiten la misma configuración de seguridad.

---------------------------------------- Artículo cortesía de David Montero

oclHashcat-plus is Worlds first and only GPGPU based rule engine and Worlds fastest md5crypt, phpass, mscash2 and WPA / WPA2 cracker. Features of oclHashcat-plus Free Multi-GPU (up to 16 gpus) Multi-Hash (up to 24 million hashes) Multi-OS (Linux & Windows native binaries) Multi-Platform (OpenCL & CUDA support) Multi-Algo (see below) Low resource utilization, you can still watch movies or play games while cracking Focuses [...]

oclHashcat-plus: fastest password Cracker tool is a post from: PenTestIT

Casi siempre cuando hablamos de Seguridad, y más aún de Seguridad Informática, es común escuchar que “una cadena es tan fuerte como su eslabón más débil”. Sí, es casi un cliché, pero no por eso deja de ser verdad.

Con lo omnipresencia de las grandes empresas de servicios de correo gratuito, y con los servicios plus que cada una ofrece (e.g.: calendario, Web disk, Mensajería instantánea, etc.), es común ver cómo la gente protege paranoicamente su cuenta, ya no sólo de correo sino de servicios. Perder la cuenta de correo que usas desde la Universidad o el colegio es peor que perder a tu novia tus tarjetas bancarias, dependiendo de cómo perdiste el acceso a tu cuenta, recuperarla podría ser más complicado que reponer las tarjetas perdidas. Por esta razón, las grandes compañías de servicio de correo electrónico gratuito como Gmail, Hotmail o Yahoo, agregan mecanismos multifactoriales para la recuperación de la cuenta (e.g.: preguntas de seguridad, números telefónicos y cuentas de correo secundarias.) Ahora bien, así como agregan mecanismos varios para la recuperación de la cuenta, también fortalecen los mecanismos de ingreso porque para muchos que nos movemos en el mundo de la seguridad depender únicamente de una clave pareciera ser insuficiente, razón por la cual Gmail agrega, por ejemplo, su doble factor de autenticación.

A propósito de la reciente vulnerabilidad que se encontró en Hotmail, Yahoo y AOL, la cual permitía a cualquier usuario con medianos conocimientos técnicos resetear la clave de cualquiera de estas cuentas, me di a la tarea de reflexionar sobre los mecanismos disponibles para la recuperación de contraseñas en varias de las empresas más grandes que ofrecen este servicio gratuitamente. Una de las opciones que comparten prácticamente todas ellas es la opción de envío de restitución de credenciales a través de un correo secundario previamente asociado por el usuario. El mecanismo en sí es muy lógico, si nos manejamos en un mundo virtual donde el correo es prácticamente la llave de entrada a tu(s) identidad(es) digital(es), es razonable pensar que debes tener más de una cuenta de correo habilitada, y la posibilidad de perder el acceso simultáneamente a ambas cuentas no debería ser algo tan común. No obstante, estos mecanismo de recuperación de contraseñas en términos prácticos representan otra puerta de entrada al correo, y en seguridad, entre más puertas tengas, más puertas tienes que cuidar.

Imaginemos que un usuario A está interesado en ingresar desautorizadamente a la cuenta de un usuario B. Este usuario B tiene su cuenta de correo en Gmail y lo ampara una contraseña irrompible de 16 caracteres combinados entre números, letras y símbolos especiales. Imaginemos también que este usuario A sólo conoce algunos datos básicos del usuario B, datos como el lugar de trabajo, algunos amigos, algunas aficiones, y cualquier detalle que se pueda encontrar en un perfil descuidado de Facebook. Este usuario B tiene como cuenta secundaria asociada la cuenta de correo de su empresa y las preguntas de seguridad convencionales que cualquier usuario podría configurar. Si el usuario A prepara su ataque descartará como primera opción hacer un ataque de fuerza bruta a Gmail, ya sabemos que desde hace años y con la implementación de los validadores de Recaptcha estos ataques se han complicado, en el caso de que aún así decida efectuarlo no le funcionará porque ya sabemos que la contraseña es robusta.

También podría pensar en un ataque más a largo plazo analizando la plataforma de Gmail haciendo recolección de información técnica, escaneo de puertos, análisis de paquetes de red, y cualquier estrategia que busque hallar debilidades en los sistemas de seguridad de Google, lo cual seguramente no le será fácil y mucho menos le garantizará el éxito de la operación. Adivinar las preguntas de seguridad son una posibilidad, sin embargo, se requiere conocer muy bien a la víctima para poder tener acertar la respuesta, al fin de cuenta, cuando se configura la pregunta secreta siempre se está pensando en algo que sólo conozcamos nosotros, al menos debería ser así.

Como tercera y última opción le queda comprometer la cuenta secundaria asociada para ingresar de manera indirecta a la cuenta Gmail. El hecho de que lo logre o no ya es lo de menos, lo que podemos ver aquí es que la seguridad de Gmail es directamente proporcional a la seguridad de la segunda cuenta de correo electrónica asociada:

• Si es una cuenta Hotmail, y créanme que un gran porcentaje de asociaciones entre cuentas para recuperación de credenciales está entre Hotmail-Gmail, la seguridad de Gmail será equivalente a la seguridad de Hotmail, la cual se puso en evidencia hace pocos días tal como vimos. 
• Si la cuenta secundaria es de una empresa, la seguridad de la cuenta de Gmail (y todos sus servicios) será igual a la seguridad de la plataforma tecnológica de esa empresa. Podríamos seguir profundizando el análisis comentando que un gran porcentaje de las empresas que realizan sus implementaciones para correo corporativo no usan conexión SSL para sus usuarios, por lo que con un ataque de MITM quedarían expuestas las credenciales de todas las cuentas que ingresen. Podríamos referir otro tipo de ataques también comunes como los de SQLi el cual afecta a sistemas de correos de empresas muy importantes en la actualidad y a través del cual también se podrían comprometer las credenciales de acceso de cualquier usuario. De igual forma aplicarían los ataques de fuerza bruta para las implementaciones que carecen de Recaptcha o que no controlan el número de intentos de ingreso permitidos.

La conclusión es que si la seguridad es un punto crítico de tu plataforma, debes pensarla en todas las perspectivas y enfoques. No sirve de nada que una empresa invierta millones en tener los sistemas de IDS/IPS más robustos, los Sistemas Operativos con las últimas actualizaciones de seguridad disponibles, los sistemas de monitoreo más completos y que, la recuperación de credenciales dependan de una segunda plataforma que no controlas.

--------------------------------------------------------------
Artículo cortesía de Carlos Rondón A. @phronimos

All of us know that though Tor is an excellent cryptographically secured protocol that provides anonymity. However, we now know that relay nodes and relay bridges can be uniquely identified because of their peculiar characteristics. To over come these problems, awesome guys at the University of Waterloo came up with a proof-of-concept tool – SkypeMorph [...]

SkypeMorph: Obfuscate TOR Traffic as Skype Video Calls! is a post from: PenTestIT

Get iCare Format Recovery, worth US$69.95 for free! The offer is valid till May 8, 2012 (Asian Pacific Time) so hurry!!! iCare format recovery is a entry level version of iCare Data Recovery that can recover files after you have performed an intentional or accidental format on a storage device. It allows you to recover files [...]

Free download and grab iCare Format Recovery. is a post from: PenTestIT