jueves, 3 de septiembre de 2015

Ataque de fuerza bruta contra bases de datos

Hace unos días, he estado desarrollando una herramienta para realizar ataques de fuerza bruta con diccionario, contra bases de datos, de momento el ataque esta únicamente dirigido contra el motor de MySql.

La herramienta esta disponible para Windows y no depende de ningún cliente MySql instalado en el ordenador para funcionar, ya que incorpora librerías para establecer una conexión directa. 

Imagen 1: Heramienta FBCBD.

Puedes elegir entre 3 modos de ataque de diccionario:
  • Dirigido contra el usuario.
  • Dirigido contra la contraseña.
  • Dirigido contra el nombre de la base de datos.
Sin duda el hecho que este dirigida solo para Mysql, es una tremenda limitación al querer auditar otras bases de datos contra ataques de fuerza fruta, utilizando diccionarios. Espero ampliar mas motores de bases de datos pronto y que ampliar las funcionalidades de esta herramienta. 

Cabe aclarar que la herramienta puedes utilizarla para auditar bases de datos locales o remotas, siempre estableciendo los parámetros necesarios. En el caso que realices un ataque de fuerza bruta contra el usuario, debes rellenar cada campo a excepción de usuario, de igual forma un ataque de diccionario contra la contraseña, deberás llenar cada campo a excepción del campo con el cual se realizara el ataque.

 Ataque de fuerza bruta FBCBD



Cualquier sugerencia o bug que encuentres, es bienvenido para que lo reportes. Y nada, que disfrutes de la herramientas, pues a mi ya me ha sacado de ciertos apuros, en los últimos días.
Puedes descargarlo del siguiente enlace: https://goo.gl/T4l4Kh

Saludos.
Lexer Pars.
   

miércoles, 2 de septiembre de 2015

Hackers atacan una compañía de ciberespionaje para probar sus vínculos con gobiernos represivos

Una compañía que provee programas informáticos de vigilancia y espionaje a autoridades y gobiernos ha sufrido un ataque informático que expuso sus negocios con países criticados por sus violaciones de derechos humanos y duras restricciones a la libertad de sus internautas.

Los atacantes publicaron la información robada a la compañía Hacking Team desde su propia cuenta de Twitter, que también estaba comprometida. La información incluía la lista de clientes de la compañía, entre los que se encontraban los gobiernos de países como Sudán, Arabia Saudita y Etiopía, que sufren duras y frecuentes críticas por sus políticas de espionaje a disidentes políticos, activistas y periodistas. Esto puso a Hacking Team en la mira de organizaciones de defensa de Derechos Humanos y privacidad en Internet.

La compañía había negado sus conexiones con estos países, por lo que los atacantes publicaron un inmenso fichero de 400 GB de información acompañado de un mensaje que decía: “Como no tenemos nada que esconder, estamos publicando todos nuestros correos electrónicos, ficheros y códigos fuente”.

No se conocen los métodos exactos que usaron los atacantes para irrumpir en los sistemas de la compañía, pero se sabe que en algunas ocasiones aprovecharon el bajo nivel de seguridad de sus contraseñas, que hasta llegaron a ser variantes de la palabra “password” (“contraseña” en inglés). Esta es una falla común entre los internautas, pero una sorpresa en una compañía dedicada a la tecnología.

“Los informes iniciales… validan nuestras investigaciones que mostraban el uso (de programas de espionaje) por parte de regímenes represivos como el de Etiopía y Sudán”, dijo Citizen Lab, que había denunciado las actividades de Hacking Team antes de las filtraciones. “Esos informes muestran la falta de transparencia y responsabilidad en el mercado de software de intrusión. Creemos que una mejor comprensión de este mercado es esencial para conseguir que Internet sea libre y seguro”.


Lexer Pars.
Saludos.

martes, 1 de septiembre de 2015

Investigadores espían a hackers que atacan los sistemas de monitorización de las gasolineras

Un equipo de investigadores ha tendido una trampa a los hackers para estudiar su comportamiento ante los sistemas vulnerables de monitorización de gasolineras.

El estudio de Kyle Wilhoit y Stephen Hilt, investigadores de TrendMicro, estuvo elaborado a partir de una publicación de Rapid7 que había encontrado 5.800 surtidores de gasolina que no contaban con ninguna protección, ni siquiera una contraseña. Los investigadores también tomaron en cuenta un artículo de The Register que informaba sobre un ataque de hackers de Anonymous que habían irrumpido en el sistema de monitorización de una gasolinera para borrar el identificador de la bomba del surtidor y reemplazarlo con el slogan “Somos Legión”.

Tomando esta problemática como punto de partida, Wilhoit y Hilt abordaron el tema construyendo sistemas de monitorización de gasolineras falsos que llamaron “GasPots”, que mantuvieron activos durante 6 meses. Los sistemas estaban alojados en servidores en Estados Unidos, el Reino Unido, Alemania, Jordania, Brasil, Rusia y los Emiratos Árabes Unidos, y funcionaban como trampas para ver cómo se comportaban los hackers que lograban irrumpir en ellos y recibir ataques virtuales de forma segura.

Durante este periodo, los sistemas más afectados fueron los de los Estados Unidos. La mayoría de los atacantes se limitaron a ubicar y explorar los sistemas. Pero el GasPot recibió nueve ataques en los que los intrusos cambiaron el nombre del surtidor para mostrar su propia firma en mensajes como “H4CK3D by IDC-TEAM” y “AHAAD WAS HERE”. Sólo una vez, un sistema de los Estados Unidos recibió un ataque DDoS que duró dos días y fue realizado por los hackers de la Syrian Electronic Army.

Pero, aunque los atacantes que se involucraron en este experimento no realizaron ataques peligrosos, los sistemas de las gasolineras tienen vulnerabilidades que permiten tomar el control de los tanques de tal forma que podrían causar desastres físicos, poniendo en riesgo la vida de la gente y la infraestructura que los rodea.

Por ejemplo, los atacantes podrían falsificar los niveles de gasolina para que parezca que los tanques están vacíos, lo que podría dejar inoperantes gasolineras que están en condiciones de ofrecer sus servicios a la comunidad. Los hackers también podrían cambiar los nombres de los tipos de combustible para confundir a los usuarios y hacer que, por ejemplo, llenen sus tanques de diésel en vez de gasolina sin plomo.

O podrían compartir información falsa sobre sobrecalentamientos y sobrecargas, lo que podría causar fugas peligrosas como la que en 2009 causó una explosión en Puerto Rico después de una falla en el sistema de monitorización.

Wilhoit y Hilt presentaron los resultados de su investigación en la conferencia DefCon, y compartieron el informe completo aquí.


Saludos.
Lexer Pars.