Obtener información del perfil de WhatsApp sin agregar una persona

Buenas lectores.

Existe una práctica llamada doxxing o doxeo en español, consiste en investigar y divulgar públicamente información personal de alguien, como su nombre completo, dirección, número de teléfono, etc., a menudo con la intención de acosar, amenazar o avergonzar a la persona. El término proviene de la alteración de la palabra "docs" (documentos) y se refiere a la acción de recopilar y publicar información personal de alguien. El doxxing se considera una forma de acoso cibernético y, en algunos casos, puede tener consecuencias legales graves. 

En resumen, el doxxing implica:

Investigación:

• Recopilar información personal de una persona, a menudo de forma encubierta. 

Divulgación pública:

• Publicar esa información en línea, generalmente en un foro público o en redes sociales. 

Intención maliciosa:

• La divulgación suele tener como objetivo acosar, amenazar o avergonzar a la persona. 

¿Cómo lo hacen?

No necesitas ser un genio informático para hacer doxxing. A veces basta con que alguien vea tu nombre en WhatsApp, lo busque en Google, revise tus redes sociales públicas y, con un par de clics, ya tiene medio rompecabezas armado. Otras veces, se meten a bases de datos filtradas o aprovechan que compartiste algo de más en un grupo equivocado.

¿En la práctica?

Simplemente lo que vamos a usar es el siguiente sitio:

https://whatsapp.checkleaked.cc/

Seleccionamos el número que queremos ver y listo.

Tambien puedes usar:

https://watools.io/check-online-status

https://app.lastseentracker.com/

Tips rápidos para cuidarte en WhatsApp:

• Revisa tu foto de perfil y quién puede verla. A veces, una simple imagen puede revelar más de lo que parece.
• Cambia tu nombre de contacto. Usa un alias si estás en grupos con desconocidos.
• No compartas datos personales en grupos abiertos.
• Activa la verificación en dos pasos en tu cuenta de WhatsApp.
• Si algo huele raro, sal del grupo y bloquea sin miedo.

Fuente:

https://underc0de.org/foro/hacking/obtener-informacion-del-perfil-de-whatsapp/

Bro: La herramienta de análisis forense de pcaps que debes conocer

Una de las partes fundamentales en el análisis dinámico de códigos maliciosos es la obtención de información a partir de una captura de tráfico. Para lograr este objetivo además de las opciones para hacer gráficos, el uso de filtros en Wireshark para detectar actividad maliciosa suele ser una de las alternativas más utilizada.

Pero no es la única herramienta para lograrlo, por ejemplo Malcom permite examinar estructuras de redes maliciosas facilitando el análisis de las relaciones entre las diversas direcciones IP, dominios y servidores DNS que toman parte en una comunicación C&C, permitiendo procesar rápidamente los datos recolectados y creando gráficos intuitivos que ponen en evidencia las conexiones entre equipos en red. Otra interesante opción para analizar archivos pcap es CapTipper, desarrollada en Python tiene una serie de características que facilita la lectura de estos archivos permitiendo ahorrar tiempo y optimizando el trabajo de auditoría.

Dentro de todo el arsenal de herramientas que se podrían encontrar para realizar este tipo de actividades encontramos Bro, pensado como un sistema de detección de intrusiones (IDS) que corre en plataformas UNIX/Linux y cuyo principal objetivo es permitir el análisis del tráfico de red en busca de actividad sospechosa. Ya de hecho la habíamos utilizado para extraer información de archivos pcap y visualizar las capturas de tráfico de botnets con OpenGraphiti, además de servir para procesar y simplificar la identificación de patrones entre los bots durante la Operación Liberpy.

Dado que es una herramienta bastante útil y que por su facilidad para hacer scripts resulta bastante flexible y adaptable, sobre todo para el análisis forense de una gran cantidad de datos. Vamos a hacer escribir una serie de post con información de cómo utilizar Bro y algunas ideas que podrían resultar relevantes.

Bro 101: Por dónde empezar

Esta herramienta permite analizar la actividad de red a nivel de aplicación para ir comparando este comportamiento con patrones que pudieran ser considerados sospechosos ya sea por el tipo de paquetes que se intercambien o las características de su contenido.

Para iniciar nuestros análisis solo debemos ejecutar el comando para copiar el repositorio directamente desde GitHub. Con estos además de asegurarnos que tenemos la última versión se nos facilitará su actualización:

git clone --recursive git://git.bro.org/org

Una vez tenemos el repositorio en nuestra máquina, solo nos queda instalar algunas dependencias y ejecutar la instalación de nuestra herramienta. Esta herramienta es conocida por sus funcionalidades de IDS, pero en este caso nos va interesar darle una mirada a las características para extraer información de las capturas de tráfico.

Dentro de las características que vale la pena resaltar en la capacidad para analizar grandes volúmenes de tráfico. El funcionamiento de la herramienta como ya lo mencionamos se hace a través de scripts, con los cuales se hace la extracción de información que se esté buscando.

Como resultado de aplicar Bro sobre un archivo pcap resultan varios archivos con información más específica y organizada de acuerdo a las características de cada script. Utilizando la opción más básica de Bro podemos obtener una gran cantidad de información discriminada por protocolos:

bro –r [ruta_archivo_pcap]

Ahora tenemos varios archivos con la información organizada de diferentes manera. Por ejemplo en el archivo http.log se pueden encontrar filtradas las peticiones HTTP de la captura de tráfico. Como se puede ver en la siguiente imagen, algo que puede llamar la atención durante un análisis es la descarga de un archivo ejecutable:



El string que está resaltado en amarillo, nos va a permitir hacer seguimiento de este evento en particular a través de los demás archivos generados por la herramienta. Por ejemplo si vamos al archivo conn.log y buscamos esta cadena de caracteres vamos a obtener más información sobre la conexión como el momento en que se llega el primer paquete, las ip y puertos utilizados, la duración de la conexión, el origen de la conexión, entre otra información que podría resultar interesante para el análisis:

Hasta este punto con el manejo de Bro podemos obtener información similar a la que podríamos encontrar en otras herramientas como Wireshark o CapTipper, solo que organizada de una manera diferente. En nuestro próximo post, vamos a ver como apoyarnos en scripts de Bro para reunir información de diferentes fuentes y que nos quede disponible para su análisis.


Créditos imagen: © Mike Mozart/Flickr
Fuente: http://www.welivesecurity.com/la-es/2015/07/30/bro-la-herramienta-de-analisis-forense-de-pcaps-que-debes-conocer/

Privacidad?, algunos tips para mantenerla

Buenas noches.

En tiempos atrás cuando no habían tantos foros, páginas, vídeos  y demás medios sociales hablando sobre la supuesta Deep web, la información que se encontraba era buena pero llegaron todos los curiosos y terminaron cerrando todo lo que ya existía.

Es de anotar que hay foros con información asquerosa y poco gustosa para gente cuerda, a no ser de que nosotros seamos los locos, en todo caso no se a quien va dirigido esa información siendo mejor no pensar en ello. Pero es de rescatar foros de buenas técnicas de seguridad, conspiraciones y demás.

Todo se hacia bajo Tor, después de la gran popularidad que obtuvo muchos sitios fueron cerrando y muchas personas fueron siendo capturadas todo por supuesta mente un "fallo" de javascript.

Es curioso si la popularidad de Tor no hubiera crecido, nunca hubieran capturado a tanta gente?, ya tenían esta técnica guardada y solo tenían que volver popular el sistema?. Bueno son cosas que pensar lo mismo la teoría de la desaparición de TrueCrypt donde dicen que no se libera ningún software de criptografia que ciertos gobiernos no tengan "clave tracera".

En todo caso tampoco nos vamos a volver paranoicos y tampoco vamos a tratar de esconder cosas que a simple vista el gobierno no estaría interesado pero si es bueno entrar al detalle de que se esta haciendo actualmente para combatir la falta de privacidad.

Existe un servicio que poco he probado pero tiene buenas referencias se llama i2p, el cual ofrece lo siguiente:

* intercambiar informacion a gran escala con BT/emule/GNUtella/archivos distribuidos

* mantener un blog con el sistema syndie
* sitios de cualquier contenido
* chat 100% anonimos
* email 100% anonimo y/o remailer
* ofrecer servicios
* pagar/recibir pagos con una moneda 100% anonima

  En resumen

- No es posible combatir al oligopolio Empresas + Gobiernos en su terreno
- La internet ya esta perdida, esta bajo el control total de los servicios de seguridad
- Todas las herramientas que dependan de servidores y que NO protejan la privacidad de los usuarios son ENEMIGAS

QUE NOS QUEDA?

Pasar al siguiente nivel de la internet: la deepweb (no confundir, ni mezclar con TOR) y usar aquellas herramientas libres, sin dependencias de servidores y que respeten la privacidad.

PERO NO CONSIGO ENTENDERLO DEL TODO, EXPLICAMELO

Ya nos bombardean con noticias del escandalo Snowden + NSA + Assange... es decir, los datos que estan en la internet abierta (clearnet) o semi-abierta (tor/onion) estan siendo monitoreados, analizados, claisficados y depurados con el fin de:

- conocer e identificar a TODOS
- neutralizar movimientos revolucionarios
- impulsar protestas en contra de gobiernos indeseables
- manipilar la opinion popular
- confundir a las masas cuando sea necesario
- desarticular potenciales movimientos sociales
- aislar a potenciales conflictivos usuarios
- "eliminar" a probables objetivos

Y QUE DEBERIAMOS HACER NOSOTROS?

Abandonar la clearnet y entrar en la deepweb real y comenzar a usar herramientas que

- No necesiten de servidores o hosting centrales
- Permitan y ayuden al anonimato
- Sean descentralizadas
- Permitan un alto grado de privacidad

Y QUE HERRAMIENTAS SON ESAS?

Veamos... por ahora existen

- I2P, un proxy que nos permite entrar en una red deepweb descentralizada y encriptada
- OpenNicProject.org, nos permite liberarnos del monitoreo de las consultas hechas via DNS
- TOX, mensajeria instantanea descentralizada
- Twister, red social descentralizada
- I2Pbote, servicio de email encriptado y descentralizado
- Syndie, foros descentralizados
- Tahoe, cloud social descentralizado y encriptado
- I2Pmessenger, messenger anonimo y descentralizado
- iMule, la mula para i2p, 100% anonimo
- Snark, el bittorrent para i2p, idem.

Y hay varios otros proyectos en desarrollo en esa misma direccion.

Y QUE MAS DEBERIAMOS EVITAR?

WINDOWS, MAC OSX, WINDOWS, MAC OSX, WINDOWS, MAC OSX... cualquier sistema que nos delate!

En conclusión:

Debemos tener cuidado con los datos que pasamos por internet pues estos en definitiva son monitoreados y/o pierde los derechos de si mismo, es decir, al compartir algo ya se sabe que se están perdiendo todos los derechos sobre el mismo.

Para que la privacidad?, bueno de cierta forma a nadie le gusta que le escuchen conversaciones sin ser autorizado, una empresa no le gusta desvelar sus secretos de operativa interna y demás casos que puedan presentarse.

En uso hacktivista la idea es velar por los derechos de privacidad y libre intercambio pero esta ultima parte es debatible por el simple hecho de derechos de autor.

Fuente: http://www.rebeldemule.org/foro/cursos-tutoriales/tema10512.html

INYECCION SQL LIVE HTTP

Hola amigos de blacklast-security como verán en este post les vengo a explicar como explotar una base de datos mediante consultas y sentencias manualmente pero está vez ya sería de una forma distinta usando el complemento firefox add-nos Live HTTP Headers, bueno como verán soy un chico de 10 años de edad muchos no creen(no soy hacktivista ni mucho menos parte de anonymous), soy un lector y he aprendido mucho en este mundo de la informática la verdad ignoro mucho a la gente creida y tampoco no me importa lo qué digan los demás, me baso básicamente en la programación, criptografía, pentesting web, Ingeniería social, Ingeniería Inversa, bueno entonces empezemos  .

¿Como qué en metodo Post?

Pués esta vez para utilizar este metodo necesitariamos el complemento add-nos para Mozilla Firefox (Live HTTP Headers), este complemento lo que hace es capturar las cabeceras y el tráfico de donde nosotros hemos entrado además también podremos ver nuestras cookies, bueno empezemos como verán mi victima será la web del gobierno de Brasil pero no la mostrare ya por seguridad.

Bueno entonces comenzemos como explique antes, para este metodo necesitariamos alguna barra de busqueda para comenzar a consultar la base de datos, bueno entonces como podrán ver encontre una barra de busqueda entonces en esa barra colocare cualquier número y nos aparecerá lo siguiente en el complemento add-nos Live HTTP Headers.

Vale y como ven nos ha capturado la cabeceras y ahora haremos lo siguiente, en la primera barra donde aparecera la URL daremos a repetir y nos aparecerá lo siguiente.

Bueno y como vemos la repetición esta en contenido "POST", ahora como vemos en el contenido post nos apareció "busca=1", okey entonces colocaremos una tilde y veremos si es vulnerable o no.

Y como podremos ver es vulnerable la website !, ahora colocaremos lo siguiente para comenzar a consultar la base de datos, comenzaremos colocando "order by unnúmero--+" donde dice unnúmero es donde elegiremos cualquier número que nosotros queramos otra cosa para saber si esta es la columna o no es la columna a veces nos aparecerá nada, algunas otras veces nos aparecerá error algunas otras veces nos aparecerá "Unkown Column" y cuando es la columna pués no tiene que aparecer el complemento completo de la página web, bueno comenzemos colocando "order by 8--+"

Bueno y como vemos no es la columna ahora probemos con "order by 7--+" haber si esta es la columna.

Y como vemós esta si es la columna !, ahora pondremos lo siguiente para que nos comienze a dar las consultas de la base de datos, colocaremos "union select 1,2,3,4,5,6,7--+" sin las comillas y nos aparecerá lo siguiente.

Y como vemós nos apareció el número "2" entonces ese es el que elegiremos para comenzar a consultar la base de datos, entonces borraremos el número "2" y pondremos lo siguiente.

Código: [Seleccionar]

union select 1,group_concat(0x3c62723e,table_name),3,4,5,6,7 from information_schema.tables where table_schema=database()--+

Y como verán en la imagen esas son las tablas de la base de datos, ya casi llegamos al último paso, bueno entonces elegiremos la tabla "categorias" para evitarnos problemas al públicar los datos del administrador, okey entonces ahora haremos pondremos lo siguiente.

Código: [Seleccionar]

union select 1,group_concat(0x3c62723e,column_name),3,4,5,6,7 from information_schema.columns where table_name=0x63617465676f72696173--+

Como verán el 0x no significa nada pero el "63617465676f72696173" es el nombre de categorias y como lo encodie, pués muy fácil como se me habia olvidado antes también necesitariamos el complemento HackBar, y en que parte de la sección lo encodeo?, pués muy fácil les pasaré una imagen de la sección.

Le daremos click pondremos el nombre de la tabla y listo estará encodeado, bueno ahora siguamos, colocamos lo que escrbí y nos quedaría así.

Y como vemos nos ha aparecido las columnas de la tabla categorias (id, nome), y como vemos en la imagen solo hay dos entonces pondríamos lo siguiente para completar el resultado de las consultas al sacar la base de datos.

Código: [Seleccionar]

busca=1' union select 1,group_concat(0x3c62723e,0x3d,id,0x3d,nome),3,4,5,6,7 from categorias--+

Y como vemos nos ha sacado la información de la columna !, otra cosa el "0x3d" significa el signo (=) pero en forma en hexadecimal

 

Fuente:

 http://pentest-angelwhite.blogspot.com/2014/07/inyeccion-sql-live-http.html

7 ideas de desarrollo de software enfocadas a la seguridad informática para el 2015

Cada semana suelo dedicar un rato en pensar en qué cosas me gustaría trabajar, qué herramientas me gustaría desarrollar y qué quiero estudiar en mi tiempo libre, así como también las cosas quiero evitar a toda costa en mi vida profesional. Lo considero un ejercicio muy entretenido y que me ayuda a mejorar mi creatividad y a lo mejor, algún día pueda tirar de algunas de ellas para dedicarme a tiempo completo. “Sueños” aparte, cuando alguien quiere escribir una herramienta enfocada a la seguridad, antes de pensar en el lenguaje de programación o requisitos técnicos/funcionales específicos, es necesario preguntarse, dos cosas: “por qué” y “para qué”. El “por qué” es importante, ya que permite definir objetivos claros sobre lo que queremos hacer, una serie de funciones que pretenden cubrir una necesidad, automatizar alguna tarea concreta o simplemente por aprendizaje/diversión. Luego, hay que pensar en el “para qué” y definir si realmente es algo que le va a servir a la comunidad. Hay que tener en cuenta que es posible que existan otras herramientas que ya hacen lo mismo que quieres hacer con la tuya y no tiene sentido reinventar la rueda. Por ejemplo, ¿Quieres desarrollar un servidor web? bueno… ya existen algunos cuantos muy buenos y si consideras que puedes hacer algo interesante que no hacen servidores como Apache o NGINX, cabe preguntarse, ¿No sería mejor hacer un plugin o un modulo con esa funcionalidad concreta para alguno de esos servidores?.
¿Quieres hacer un escáner de puertos? bueno… si crees que lo puedes hacer mejor que  Nmap, Hping3, Queso y un largo, larguísimo etcétera de herramientas que sirven para lo mismo, adelante!.
Para que tu proyecto tenga éxito, tiene que ser novedoso, cubrir una necesidad concreta y que tenga tu “sello personal”. De esta forma ganaras visibilidad y la gente podrá ver lo que has hecho. A continuación, te dejo un listado de 7 ideas de proyectos que a lo mejor te pueden interesar y si quieres puedes poner en marcha en cualquier momento.

1. Desarrollo de un RAT.

Un RAT  es una herramienta que permite la administración remota de un ordenador y normalmente cuenta con una serie de funciones que permiten, literalmente, hacer de todo en el ordenador donde se encuentra instalado el programa. Es un tipo de herramienta que suele ser utilizada por equipos de mantenimiento para la resolución de incidencias concretas, sin embargo, también es una herramienta muy común cuando se habla de cibercrimen y de APTs. Existen muchas herramientas con estas características y probablemente una de las más conocidas es “TeamViewer”, pero también han sonado otras como PoisonIvy o DarkComet en temas relacionados con campañas de APTs de alto nivel.
El beneficio que conseguirás creando una herramienta con estas características, es la cantidad de conocimientos técnicos que adquirirás, ya que incluye muchas funciones, tales como la posibilidad de ejecutar comandos en una consola, subir/descargar ficheros, controlar cualquier dispositivo conectado al ordenador, etc.

2. Plataforma portable de servicios ocultos en redes anónimas como TOR o I2P.

Si tienes servicios ocultos en TOR o I2P, en la mayoría de casos los ejecutarás desde tu ordenador y punto, pero si para ti es realmente importante el anonimato y te conectas desde varios ordenadores lo más probable es que te interese montar y eliminar tus servicios ocultos de forma automática o si lo haces desde una máquina virtual del estilo de TAILS, lo que tengas en dicha máquina virtual será eliminado después de que termines tu trabajo.
Una aplicación interesante puede consistir en el levantamiento automático de una instancia de TOR y de una serie de servicios ocultos del tipo HTTP, SSH, SMB, etc.
Si por ejemplo, eres un periodista que trabaja en zonas en conflicto y que utilizas constantemente TOR desde el ordenador que te pille mejor para compartir privadamente tus reportajes, una plataforma con estas características puede venir muy bien, ya que se encargará de la configuración de los servicios ocultos y de levantar los servidores por ti, en un instante lo tienes todo montado y funcionando.

3. Desarrollo de un spider con funciones para análisis de metadatos.

Existen muchas librerías y herramientas para iniciar procesos de crawling y scrapping en aplicaciones web, sin embargo, algo que siempre echo en falta, es la capacidad de descargar documentos, imágenes y cualquier otro recurso de una aplicación web y almacenar dicha información de forma “inteligente” basándome en los metadatos de dichos documentos. Evidentemente, el proceso de crawling funcionará igual que como lo hacen muchas de las herramientas y frameworks que existen en el mercado, pero además, descargarás contenidos como imágenes y documentos basándote únicamente en una serie de patrones predefinidos. Esto te permite descargar solamente el contenido que te interesa (independiente de cuál sea tu interés :-) )

4. Asistente y simulador de reglas para Snort.

Snort es uno de los NIDS más potentes que conozco, además de que se trata de un proyecto Open Source, que desde luego son los que más me gustan. Sin embargo, crear reglas robustas y que permitan detectar ataques y amenazas en el segmento de red no es una tarea para nada trivial, de hecho, conocer todas las directivas que se pueden utilizar en una regla de Snort y su comportamiento es de las cosas más complicadas a las que se puede enfrentar un administrador de redes que desea mantener su entorno seguro. Que yo sepa, el desarrollo de este tipo de reglas se hace manualmente, no conozco herramientas que permitan facilitar su creación y mucho menos que permitan simular su  comportamiento ante diferentes tipos de ataque. Una buena idea que puede resultar interesante a más de uno es justamente desarrollar un asistente que permita crear reglas de Snort de forma interactiva y que una vez creadas, tenga la opción de levantar Snort y simular su comportamiento llevando a cabo diferentes tipos de ataques predefinidos en la simulación, como por ejemplo ataques DoS, escaneos, patrones de shellcodes, etc. Creo que puede ser un proyecto muy interesante que aportaría un valor enorme a los administradores de red que diariamente se tienen que pegar con Snort.

5. Plataforma de honeypots para múltiples servicios

Un honeypot es un sistema que se encarga de levantar un servicio determinado que intenta simular un sistema vulnerable, pero sin ser realmente un servicio utilizado y mucho menos, con recursos sensibles. Uno de los más conocidos es “Kippo”, un honeypot de un servidor SSH completo, en el que se puede incluso definir un sistema de archivos y un usuario y contraseña predecibles, todo esto con el fin de atraer atacantes. La idea consiste en levantar múltiples honeypots para diferentes tipos de servicios, tales como SSH, FTP, SMB, HTTP, etc. Además, utilizar un firewall como NetFilter/IPTables para filtrar todo el trafico entrante por puertos como el 21, 22, 80, 139, 443, 8080, etc. Al puerto en el que se encuentre en ejecución el honeypot correspondiente. Del mismo modo que ocurre con “Kippo”, si un atacante entra en el sistema utilizando las credenciales intencionalmente predecibles, la plataforma de honeypot puede ejecutar un “contra-ataque” contra el atacante. Se trata de una idea que puede ser interesante para temas relacionados con la ciberdefensa y la seguridad ofensiva. Existen proyectos similares a éste, como por ejemplo MHN (http://threatstream.github.io/mhn/) sin embargo, solamente se limitan al registro de ataques y no en ejecutar el siguiente paso correspondiente al “contra-ataque”, que puede consistir simplemente en recolectar información sobre el atacante, detectar vulnerabilidades y posteriormente realizar las tareas correspondientes a la explotación y post-explotación.

6. Plugins para Tortazo!

Para aquellos que se encuentran interesados en la red de TOR, a lo mejor les resulte útil aprender a escribir plugins para Tortazo. No se trata de una herramienta simple, no es fácil de instalar por la cantidad de dependencias necesarias, tienes que tener ciertos conocimientos para poder sacarle el máximo provecho y todo esto es así de forma premeditada ya que la filosofía de Tortazo es “anti-script kiddies”. Nunca ha sido mi intención crear una herramienta como Metasploit, en la que la gente lanza módulos y exploits contra otros sistemas y no se enteran de qué es lo que realmente están haciendo esas utilidades ni mucho menos, comprenden el funcionamiento de los exploits que se ejecutan. Ese tipo de herramientas, aunque son extremadamente útiles y ahorran mucho tiempo, suelen fomentar la pereza entre novatos y personas con escasos conocimientos en seguridad, aquellos que quieren las cosas rápido y fácil, sin dedicar el tiempo suficiente en aprender cómo funcionan las herramientas que utilizan.
Si te interesa TOR y Tortazo, puedes escribir plugins que se conecten a la web profunda de TOR utilizando una sencilla API incluida en Tortazo, la cual tiene funciones para realizar conexiones a diversos tipos de servicios ocultos (SSH, SMB, FTP, HTTP, etc.) así como también realizar actividades de recolección de información sobre los repetidores que conforman la red de TOR.

7. Mapeo de redes inalámbricas a nivel metropolitano.

Para aquellos que conocéis WiGLE, probablemente ya sepáis de qué va esta idea, para los que no, basta con comentar que se trata de una base de datos enorme con información sobre redes inalámbricas a nivel mundial. En la ciudad en la que vivo actualmente (Madrid) hay redes inalámbricas a cualquier sitio al que te dirijas, muchas tienen vulnerabilidades fáciles de explotar y otras se encuentran abiertas (en muchas ocasiones de forma deliberada para atacar a los clientes que se conectan). WiGLE tiene mucha información de redes en USA, pero en el caso de España, no veo tantos registros, por este motivo una buena idea puede ser intentar hacer lo mismo que hace WiGLE pero con un enfoque distinto, además de identificar y registrar redes inalámbricas en una base de datos, almacenar también su localización aproximada, intentar auditarlas intentando ejecutar los vectores de ataque más comunes (hirte, coffe latte, fragmentación, etc.) y determinar cuáles son vulnerables. Un programa de estas características puede funcionar bastante bien si el atacante se encuentra en constante movimiento, por ejemplo, si se desplaza en transporte público y deja al programa recibiendo “Beacon Frames” de los puntos de acceso cercanos y además, realizar las pruebas de penetración típicas contra este tipo de redes. Se trata de una actividad que en la mayoría de países puede ser considerada ilegal en el caso de que se acceda sin permisos a dichas redes, con  lo cual lo mejor es limitar el ataque únicamente al reconocimiento de vulnerabilidades y su posterior registro y aunque no soy partidario, ni me gusta la gente que se dedica a usar herramientas como “aircrack-ng” para fastidiar a otros, creo que es un proyecto del que se puede aprender bastante sobre el funcionamiento de las redes inalámbricas y sobre cómo crear programas de auditoría contra dichos entornos de red.
Son simplemente ideas que se me han ido ocurriendo y que a lo mejor, te pueden resultar interesantes como proyecto a implementar el año que viene. En fin, otra idea de proyecto puede ser, como propósito general, aprender a programar mejor, dedicar tiempo y enfocar esfuerzos en adquirir esos conocimientos que son tan importantes y que os van a servir para crear cosas novedosas que seguro nos van a sorprender a todos!
Un Saludo y Happy Hack!
Adastra.

Fuente: http://thehackerway.com/2014/12/16/10-ideas-para-el-desarrollo-de-software-enfocadas-a-la-seguridad-informatica/

Detección de web shells con NeoPI y técnicas de evasión

Hoy en día, muchas aplicaciones web se desarrollan utilizando lenguajes de scripting como PHP, Python, Ruby, Perl, etc. Estos lenguajes pueden ser lo suficientemente complicados para que un pequeño fallo pueda llegar a permitir la ejecución de código arbitrario en el servidor.
Cuando una de estas condiciones es identificada por un atacante, casi con total seguridad intentará subir un web shell para mantener el acceso al servidor comprometido, permitiendo normalmente la ejecución de comandos del sistema y el acceso a archivos.

Pero, ¿cómo detectar el código de estos backdoors en un servidor con cientos o quizás miles de páginas?

Si la shell no está ofuscada, podremos realizar una búsqueda rápida en base a una serie de patrones aunque, eso sí, obtendremos numerosos falsos positivos. Por ejemplo encontraríamos la mítica C99 con:

grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)" /pathto/webdir/

Otra opción sería utilizar herramientas basadas en firmas como Linux Malware Detect (LMD), que encontrará algunas de las más típicas web shells. Sin embargo, ¿cómo detectaríamos aquellas shells que hayan sido modificadas/ofuscadas para ocultarse?

Para ello podemos utilizar NeoPI, un script en Python que utiliza varios métodos estadísticos para descubrir este tipo de contenido ofuscado o cifrado dentro de scripts y ficheros de texto.

Esta herramienta escaneará recursivamente los ficheros del directorio indicado y los puntuará en base a los resultados de las pruebas. Este ranking nos ayudará a identificar con una alta probabilidad de acierto qué ficheros podrían tener web shells ofuscadas:
root@testbed:~# ./neopi.py -z -e -l -i -s /var/www/ \.php$

[[ Total files scanned: 10235 ]]
[[ Total files ignored: 0 ]]
[[ Scan Time: 48.170000 seconds ]]

[[ Top 10 entropic files for a given search ]]
6.1817        /var/www/gallery/lang/chinese_gb.php
6.1784        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-cn.php
6.1710        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-tw.php
5.8753        /var/www/blog/wp-admin/js/revisions-js.php
5.7846        /var/www/gallery/lang/japanese.php
5.7306        /var/www/webacoo.php
5.6484        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/cs.php
5.6296        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/sk.php
5.6203        /var/www/plugins/system/nonumberelements/helper.php
5.6133        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/pl.php

[[ Top 10 longest word files ]]
  745        /var/www/gallery/include/exif_php.inc.php
  745        /var/www/gallery/exifmgr.php
  741        /var/www/gallery/lang/japanese.php
  728        /var/www/blog/wp-admin/js/revisions-js.php
  522        /var/www/blog/wp-includes/functions.php
  516        /var/www/libraries/tcpdf/tcpdf.php
  474        /var/www/plugins/content/jw_allvideos/includes/sources.php
  456        /var/www/blog/wp-content/plugins/sexybookmarks/includes/html-helpers.php
  436        /var/www/gallery/lang/chinese_gb.php
  354        /var/www/blog/wp-includes/class-simplepie.php

[[ Average IC for Search ]]
0.0372679517799

[[ Top 10 lowest IC files ]]
0.0198        /var/www/webacoo.php
0.0206        /var/www/gallery/lang/chinese_gb.php
0.0217        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-tw.php
0.0217        /var/www/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/langs/zh-cn.php
0.0217        /var/www/templates/system/index.php
0.0217        /var/www/administrator/templates/system/index.php
0.0222        /var/www/blog/wp-content/themes/lightword/alternatives/404.php
0.0226        /var/www/blog/wp-admin/js/revisions-js.php
0.0270        /var/www/includes/HTML_toolbar.php
0.0272        /var/www/templates/beez/html/com_user/reset/complete.php

[[ Top 10 signature match counts ]]
   43        /var/www/gallery/include/themes.inc.php
   43        /var/www/gallery/themes/sample/theme.php
   26        /var/www/blog/wp-admin/includes/class-ftp.php
   19        /var/www/blog/wp-content/plugins/nextgen-gallery/lib/imagemagick.inc.php
   14        /var/www/libraries/geshi/geshi/php.php
   13        /var/www/blog/wp-includes/Text/Diff/Engine/native.php
   10        /var/www/blog/wp-includes/js/tinymce/plugins/spellchecker/classes/PSpellShell.php
    9        /var/www/gallery/include/functions.inc.php
    8        /var/www/blog/wp-includes/js/tinymce/plugins/spellchecker/config.php
    8        /var/www/blog/wp-admin/includes/class-wp-filesystem-ssh2.php

[[ Top 10 compression match counts ]]
1.0704        /var/www/administrator/templates/system/index.php
1.0704        /var/www/templates/system/index.php
1.0000        /var/www/blog/wp-content/plugins/sexybookmarks/includes/index.php
1.0000        /var/www/blog/wp-content/plugins/sexybookmarks/js/index.php
0.9663        /var/www/blog/wp-content/themes/lightword/alternatives/404.php
0.8958        /var/www/includes/mambo.php
0.8860        /var/www/includes/joomla.php
0.8821        /var/www/includes/vcard.class.php
0.8818        /var/www/includes/PEAR/PEAR.php
0.8796        /var/www/includes/HTML_toolbar.php

[[ Top cumulative ranked files ]]
  122        /var/www/webacoo.php
  202        /var/www/blog/wp-admin/js/revisions-js.php
  528        /var/www/plugins/content/jw_allvideos/includes/elements/header.php
  912        /var/www/plugins/content/jw_allvideos/includes/helper.php
  984        /var/www/modules/mod_archive/helper.php
 1100        /var/www/libraries/bitfolge/vcard.php
 1210        /var/www/administrator/components/com_content/elements/article.php
 1240        /var/www/gallery/addfav.php
 1246        /var/www/administrator/components/com_installer/admin.installer.php
 1258        /var/www/administrator/components/com_config/views/component/view.php

Encontraremos emelco, una shell osfuscada y una wso metida al final de una imagen, pero también hay que decir que esta herramienta no es infalible y que, si el atacante pone un poco de empeño, se pueden evavir sus métodos de detección:

- Strings largas: NeoPI identifica las cadenas largas que normalmente representan código ofuscado. Se podrían añadir espacios para separar el string (base64_decode los va a ignorar).

- Entropía: NeoPI calcula la entropía de Shannon de los datos y devuelve un valor float entre 0 y 8. Si metemos espacios despues de cada caracter del string en base64 aumentamos el largo del archivo y la entropia va a ser menor. Tambien se puede agregar un comentario con los caracteres suficientes para que la entropia baje lo suficiente.

- Índice de coincidencia (I.C.): esta técnica se basa en el cálculo de las coincidencias de combinaciones de caracteres comparadas con las de un texto de ejemplo con la misma distribución. Un bajo IC indicará una posible ofuscación o cifrado. Teóricamente se podría intentar modificar el índice añadiendo caracteres basura o junk.

- Firmas: la típica búsqueda de patrones. Evitando el uso de eval(), system() y demás funciones comunes de las webshells. Se pueden usar funciones globales o 'strrev' ($b=strrev("edoced_4"."6esab")).

Referencias:
NeoPI in the Wild - Neohapsis
Bypasseando NeoPI - El rincon de seth
Maths behind web shell code detection - Anestis Bechtsoudis
Web Shell Detection Using NeoPI - InfoSec

Fuente: http://www.hackplayers.com/2011/12/deteccion-de-web-shells-con-neopi-y.html

Herramientas pasivas y activas para encontrar SSIDs ocultos

Por defecto, los puntos de acceso retransmiten su SSID (service set identifier) o nombre de red en beacon frames aunque, hoy en día, la mayoría también permite ocultarlo: es lo que se denomina 'network cloaking' y no debe llevarnos a una sensación de falsa seguridad. Me explico, siempre está bien ocultar nuestro SSID de miradas indiscretas pero cualquier sniffer inalámbrico seguirá siendo capaz de leer los frames cuando un cliente se conecte... ¿por qué? porque el SSID va en texto claro y bastaría con leer los paquetes 'Probe Request' y 'Probe Response' (tipo=0x00, subtipo=0x05).

Y ahora seguro que dirás... "pues puedo eternizarme esperando a que un cliente se conecte al SSID objetivo"... no necesariamente. Existe un método más rápido (aunque más detectable) enviando frames de desautenticación a todos los clientes para forzarles a desconectarse y reconectarse, revelando así sus SSIDs.

Por ejemplo con aireplay-ng sería así de sencillo:

 aireplay-ng --deauth 5 -a 00:14:6C:7E:40:80 mon0

donde '5' es el nº de paquetes de desautenticación enviados y la MAC la dirección física del punto de acceso.

Es decir, podemos averiguar el SSID oculto de forma pasiva o de forma activa, y tanto para una u otra forma tenemos herramientas que nos facilitan la vida:

Pasivas:

- KisMAC: herramienta libre y gratuita para OS X que puede auditar por completo conexiones a nuestro alrededor, recibir sus paquetes de datos y, por supuesto, realizar inyecciones de estos mismos paquetes para lograr la contraseña de acceso a la red. 

- Kismet: Kismet es un sniffer, un husmeador de paquetes, y un sistema de detección de intrusiones para redes inalámbricas 802.11.

- PRADS: sistema pasivo de detección de activos que puede usarse para mapear la red y hacer inventario o, junto con un IDS/IPS, para la correlación de eventos con hosts/servicios.
 
- ESSID-Jack: o airjack, fue utilizada originalmente como una herramienta de desarrollo para aplicaciones y controladores de captura, inyección o recepción de paquetes que se transmiten de forma inalámbrica.

- CommView para WiFi: potente monitor de red inalámbrico y analizador de 802.11. Cargado con muchas funciones, CommView para WiFi combina rendimiento y flexibilidad con facilidad de uso.

Activas:

- NetStumbler: NetStumbler es un programa para Windows que permite detectar redes inalámbricas (WLAN) usando estándares 802.11a, 802.11b y 802.11g. Existe una versión para Windows CE (PDA) llamada MiniStumbler.

- inSSIDer: es un escáner Wi-Fi para Microsoft Windows y Apple OS X desarrollado por MetaGeek, LLC. Ha recibido premios como el Bossie Infoworld 2008 al "Mejor Software libre de red" pero ya no es libre en la versión 3.

- Acrylic WiFi: innovador escáner WiFi para realizar un análisis de cobertura y seguridad WiFi detallado en redes de comunicaciones WiFi en un tiempo muy reducido y con un coste insuperable. 

Fuentes: 

 http://www.hackplayers.com/2015/02/herramientas-para-encontrar-ssids-ocultos.html
 
- Uncovering Hidden SSIDs 
- How to Detect a Non-Broadcasted (Hidden) SSID in Linux and Windows
- Wireless Pentesting on the Cheap (Kali + TL-WN722N) - Hidden SSID  
- How to Find Hidden Wireless Networks & their SSID, in Windows
- Debunking Myths: Is Hiding Your Wireless SSID Really More Secure?