17 dic 2018

LABORATORIOS DE SEGURIDAD CON GNS3 1/2


Tenia pensado en publicar un articulo practico sobre el funcionamiento del DHCP SPOOFING, realizado por un de nuestros alumnos certificados THD-EPC (Ethical Pentester Certified).


Sin embargo en dicho laboratorio se habla de una herramienta conocida como GNS3, y me parece prudente que los lectores conozcan primero el uso de este aplicativo antes de hablarles del laboratorio practico.

Para ello, he encontrado un articulo muy interesante que permite explorar el uso básico de GNS3, el cual comparto a continuación.

GNS3 es un simulador gráfico de red que te permite diseñar topologías de red complejas y poner en marcha simulaciones sobre ellos.

El laboratorio practico a realizar se basa en el siguiente modelo gráfico:




Espero que disfruten en estas vacaciones sin antes desearles una FELIZ NAVIDAD Y PROSPERO AÑO 2019


ThdJca @thditf


3 nov 2018

NUESTRA GIRA THD OCTUBRE-NOVIEMBRE

OCTUBRE

Gracias a la Universidad Autónoma Gabriel Rene Moreno En Santa Cruz de la Sierra en  Bolivia y en especial al Centro de Investigación y Formación Técnica - Tecnológica (CIFTT) a cargo del Ingeniero Herland Vhiestrox y su excelente equipo de trabajo; se llevo a cabo nuestra Octava Gira "The Hacking Day Project" en la que llevamos lo mejor de nuestras charlas y talleres especializados.

Taller de Hacking Android (Octubre 18 - 2018)


Taller de Descubriendo Ataques a la Redes Mediante el Análisis de Trafico (Octubre 20)



Taller de Osint Pro - Búsqueda de Información Inteligente (Nuevo) (Octubre 25)



Taller de Montaje de un Firewall Empresarial Con Software Libre (Octubre 26)



Por otro lado se llevo una edición mas de nuestra certificación internacional en Hacking Ético conocida como THD-EPC (Ethical Pentester Certified).


También aprovechamos para entregar los Certificados Internacionales de THD-EPC y THD-CMF


BOLIVIA - NUEVAMENTE GRACIAS


Una vez llegamos a Colombia, fuimos directo a la Fuerza Aérea de Colombia al III Simposio de Delitos Informáticos, en la cual nuestro proyecto apoyo con un Taller de Descubriendo Ataques a la Redes Mediante el Análisis de Trafico (Octubre 29)




NOVIEMBRE


Para empezar nuestra agenda estaremos el 8 (Charlas de Seguridad) y 9 (Talleres Prácticos)  en el 3rer Encuentro Nacional de Ingenieros de Sistemas en la Cámara de Comercio de Dos Quebradas - Risaralda, en nuestra charla mostraremos por primera vez lo fácil que es hacer los ataques a los Router Microtik que aun no han sido actualizado y dictaremos nuestro Taller Especializado:  "Descubriendo Ataques a la Redes Mediante el Análisis de Trafico" 


Para la asistencia e inscripciones, deben hacerlo en:

http://evento.camado.org.co

Los apetecidos libros de 0xword estarán disponible para la venta.


Quedan cordialmente Invitados




El 14 de Noviembre estaremos en la Fundación Tecnológica Autónoma del Pacífico, en el marco de la II Edición de la Semana del Conocimiento y la Innovación - Scientia Utap 2018 - que se llevará a cabo del 13 al 17 de noviembre, acompañaremos a través del proyecto con un WorkShop.


Para mayor información visite:  https://utap.edu.co/ccys/scientia-2018-del-13-al-17-del-noviembre-del-2018/ 


Del 19 al 24 estaremos en Manizales y a través del centro de educación de Confa, ofreceremos el 2 Bootcamp de Hacking Ético con la certificación internacional THD-EPC (Ethical Pentester Certified) de "The Hacking Day Project"


El training es un curso 90% práctico – 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor. A cada asistente se le proveerá una máquina virtual con KALI, una distribución de Linux diseñada para Penetration Testers, desde donde se realizarán la mayoría de los laboratorios. También se proveerá una placa Wireless para ser usada durante los laboratorios de Wireless Hacking.

Entre las actividades complementarias que podrán disfrutar los asistentes serán: Tarde de spa, paseo en bicicleta, mañana de canoas, tarde de piscina, yoga al aire libre, aqua cardio, entrenamiento funcional, cardio box.

27 y 28 estaremos en Bucaramanga y Cucuta a través de BASC capitulo de Oriente, en el   Seminario Privacidad de la Información Bajo Amenaza Exponencial.  Para información e inscripciones contacta a basc.oriente@wbasco.org o comunicaciones.oriente@wbasco.org


Y para terminar el mes, estaremos el 29 en la Corporación Universitaria Remington, Sede Manizales acompañando a través "The Hacking Day - Project" con un WorkShop con el tema:  "Conoce a tu vecino a través de fuentes abiertas" 



Quedan cordialmente invitados a toda nuestra agenda de Noviembre.

ThdJca @thditf

1 oct 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 8/10


8. ROBO DE COOKIES



Una cookie (galleta o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del navegador.

Su propósito principal es identificar al usuario; almacenando su historial de actividad en un sitio web específico, de manera que se le pueda ofrecer el contenido más apropiado según sus hábitos. Esto quiere decir que cada vez que se visita una página web por primera vez, se guarda una cookie en el navegador con un poco de información. Luego, cuando se visita nuevamente la misma página, el servidor pide la misma cookie para arreglar la configuración del sitio y hacer la visita del usuario tan personalizada como sea posible.

Es posible para un atacante a través de un ataque de Hombre en Medio (MITM) o un ataque en el que se permite el control remoto del equipo, que te roben las cookies que corresponden a la sesión de Facebook.  lo cual permitiría fácilmente el robo de tu identidad.

Estas cookies pueden ser cargadas en otro equipo el cual a través del navegador lo dejara en la misma sesión de Facebook de la Victima, sin introducir ninguna credencial.

Puede ver la prueba de Concepto de como capturar cookies con el el siguiente vídeo:

31 ago 2018

PROYECTO UBERTOOTH 2/2

En nuestra primera entrega dimos una introducción a lo que es UBERTOOTH, ahora continuamos con esta ultima parte para la puesta en marcha del dispositivo.




22 ago 2018

VPS GRATIS - !DE DONDE ESCOGER!

¿Qué es un VPS?



VPS (Virtual private server) o Servidor privado virtual es una solución que le permite tener un servidor 100% dedicado, pero en formato Virtual. Un servidor VPS es un punto intermedio en costos entre el servicio de Hosting compartido y adquirir un servidor dedicado y debido a su aislada naturaleza, los servidores VPS se han convertido en soluciones efectivas para correr aplicativos, como servidor de Correos, como servidor de bases de datos, como servidores de archivos, servidores de contabilidad o como servidor de desarrollo.

12 jul 2018

PROYECTO UBERTOOTH 1/2




Quiero compartir con ustedes el trabajo realizado por mis estudiantes de la Especialización en Seguridad Informática de la Universidad Autónoma de Occidente .  daremos dos entregas de este interesante proyecto.

UBERTOOTH

El proyecto Ubertooth es una plataforma de desarrollo de código abierto, con componentes tanto hardware como software, que permite experimentar y profundizar en la seguridad de las tecnologías inalámbricas Bluetooth. El proyecto Ubertooth está constituido por tres componentes:

6 jul 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 7/10


7. TABNABBING (atrapando) 

Es un nuevo tipo de phishing descubierto por Aza Raskin y que se basa en persuadir al usuario de insertar datos para entrar en cuentas, normalmente de correos o redes sociales, por medio de páginas que aparentan ser las reales. Este método es muy peligroso porque se basa en la poca atención que un usuario puede tener mientras navega en múltiples pestañas y la falta de hábito de no revisar el código fuente al entrar en una página.



Consiste en emplear scripts para reemplazar la página normal en una pestaña que no esté activa por una copia creada por el ciberdelincuente. Normalmente se utiliza javascript, pero puede funcionar aún si los scripts están bloqueados usando la función meta refresh de HTML, que carga de nuevo una página después de cierto tiempo abierta.

Normalmente el Phishing normal, cuando llega un correo, se encuentra un hipervínculo que envía al usuario un sitio web que se ve muy parecido o totalmente igual a un sitio web sin fines malévolos, donde la victima ingresa su clave, número de tarjeta u otros tipos de datos personales. En cambio, el tabnabbing, funciona inversamente: la imagen del sitio se colocará sin que el usuario lo desee, funcionando a partir de que no se note el cambio.

Se puede dividir la experiencia del Tabnabbing en 4 pasos:
  • Al tener muchas pestañas abiertas, se puede entrar a un sitio controlado por el cyberdelincuente, que aparentemente no es ilícito.
  • Mientras se observa la página, se podrá ver el historial del usuario en busca de páginas que puedan tener valor (páginas de bancos o tiendas en línea) así como páginas de correo o redes sociales que se frecuentan.
  • Repentinamente, se cambiará la página que se estaba viendo, así como el favicon y se verá con una imagen muy parecida a los sitios originales donde se suelen ingresar datos, tales como correo, contraseñas o números de tarjetas.
  • Si el objetivo del delincuente se cumple y el usuario ingresa sus datos, tendrá acceso a diversas cuentas.

COMO PROTEGERNOS

  • Evite acceder a Facebook en sitios sospechosos. 
  • En vez de iniciar sesión por Facebook en paginas de Terceros, cree una cuenta en el sitio con una contraseña que nunca ha utilizado y que no identifique sus preferencias personales.

1 jul 2018

WP3 STANDAR - YA ES OFICIAL PARA REDES WI-FI


Como lo mencionamos en nuestro articulo previo, Wi-Fi Alliance ya lanzó oficialmente WPA3 , el estándar de seguridad Wi-Fi de próxima generación que promete eliminar todas las vulnerabilidades de seguridad conocidas y los ataques inalámbricos que se producen hoy en día, incluidos los ataques KRACK ATTACK.

WPA/WPA2, o Wi-Fi Protected Access, es un estándar diseñado para autenticar dispositivos inalámbricos utilizando el protocolo Advanced Encryption Standard (AES) y está destinado a evitar que los piratas informáticos espíen sus datos inalámbricos.

Sin embargo, a fines del año pasado, los investigadores de seguridad descubrieron una falla grave en el protocolo actual WPA2, denominado KRACK (Key Reinstallation Attack), que permitía a los atacantes interceptar, descifrar e incluso manipular el tráfico de la red WiFi.

Aunque la mayoría de los fabricantes de dispositivos parchearon sus dispositivos contra ataques KRACK, WiFi Alliance, sin mucha demora, se apresuró a finalizar y lanzar WPA3 con el fin de abordar las deficiencias técnicas de WPA2 desde cero.


27 jun 2018

NOVEDADES THD - JUNIO/JULIO 2018

Quiero compartir con todos nuestros lectores, las ultimas novedades "The Hacking Day - Project"

Para Empezar en la semana de 27 al 29 de Junio, acompañaremos a la Universidad Católica de Cuenca, en el 1rer Congreso Internacional "Innovación y Tecnología Informática en las Organizaciones" .  Participaremos con nuestras charlas especializadas y talleres propios del proyecto THD.

Cordialmente están invitados todos a este importante Evento, para los interesados a los talleres, favor comunicarse con el correo itf@itforensic-la.com




En Colombia, en la zona conocida como el Eje Cafetero (Pereira, Armenia y Manizales) a través de La Caja de Compensación Familiar de Caldas (Confa), dictaremos el primer entrenamiento tipo Bootcamp de nuestra reconocida Certificación en Hacking Ético THD-EPC (Ethical Pentester Certified).  Una semana intensa de Retos, Conocimientos de Hacking, trucos y ansias de compartir este conocimiento.



En Bucaramanga, A través de la Universidad Pontificia Bolivariana, iniciaremos durante 6 fines de semanas a partir del 13 de Julio; nuestra curso de Hacking Ético THD-EPC,  un curso que se destaca por su calidad de laboratorios, muchos de ellos usados por los grupos de inteligencia nacionales e internacionales.




Pero aquí no acaban las noticias, pronto saldrán los calendarios para otras regiones de Colombia, Ecuador, Bolivia y Panamá

Hasta Pronto

ThDjca





5 jun 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 6/10



6 - ROBO DE SU CUENTA DE CORREO



Es posible que una persona maliciosa, robe su cuenta de correo asociada a Facebook, si logra esto; podrá alterar la contraseña de ingreso a Facebook para así tomar control de la misma.

Muchas personas utilizan su numero de documento para su correo electrónico o datos que un tercero puede saber fácilmente. al tomar el control de la cuenta es posible que la persona le solicite a Facebook, la recuperación de la contraseña.

En otros casos, las equipos de computo tienen la sesión de correo abierta o hacen que los exploradores recuerden de forma automática las credenciales de las mismas.


COMO PROTEGERNOS

  • Utilice contraseñas fuertes, así como un método de recuperación seguro
  • Utilice autenticación de dos factores, tanto para el Correo como para Facebook
  • Verifique constantemente los dispositivos que están autorizados a acceder a su Correo
  • No guarde las contraseñas de los correos de forma automática
  • Cierre los Inicio de Sesión, después de utilizar su cuenta de correo

Otras Entregas



Entrega 5
Entrega 7
Entrega 8
Entrega 9

@jcaitf


8 may 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 5/10

Hoy quiero compartir esta nueva entrega:

5 -  A TRAVÉS DE TU SMARTPHONE


Es muy común que terceras personas tenga acceso a las cuentas de redes sociales a través de tus dispositivos móviles y mucho mas si no configuras una seguridad adecuada en ellos o simplemente no tienes cuidado con ellos.

algunos de los ataques mas comunes va desde que te agarren tu celular sin tu autorización hasta la instalación de una aplicación no confiable que compromete la seguridad de tu equipo.



6 abr 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 4/10

Ahora compartiremos Nuestra Cuarta entrega de esta Serie:

4 - VISUALIZAR EL CÓDIGO FUENTE



A través del Código fuente de la pagina de Facebook es posible ver las contraseñas ocultas bajo los asteriscos (*****************), solo modificando un valor en el origen de la pagina, tal como se muestra en la siguiente imagen animada:


3 abr 2018

LIBROS GRATUITOS DE PROGRAMACIÓN WEB



Muchos recursos están disponibles en la Web, comparto con ustedes este enlace que tiene varios libros para descarga gratuita.

La colección de ebooks gratis ofrecida por GoalKicker no tiene límite o trampa ninguna y no requiere registro alguno para realizar la descarga. Además podemos suscribirnos con nuestro correo si queremos estar informados de nuevos ebooks que se vayan añadiendo a la colección.

Esta colección cuenta actualmente con algo más de 40 libros sobre programación (la gran mayoría), ofimática, sistemas y diseño web.


Fuente:  segu-info.com.ar 

ThDJca

13 feb 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 3/10

En nuestra Primera y Segunda entrega vimos algunas forma de como alguien puede comprometer nuestra cuenta de Facebook, hoy entregaremos la Tercera Manera de hacerlo.

3 -  CAPTURA DE TECLAS DIGITADAS





Conocido como Keylogger, es el método más simple para comprometer cualquier contraseña incluyendo la de Facebook. Un Keylogger es un software o Hardware(USB) clasificado como Malware que cuando se instala en el equipo o el móvil de la victima registra todas las teclas digitadas por la misma, entre ellas posibles credenciales de acceso.









KALI LINUX 2018.1 YA DISPONIBLE



La noticia de Febrero es que la popular distribución para hackers éticos Kali Linux se ha renovado en este inicio de año, llegando a nuestra disposición su nueva versión Kali Linux 2018.1. Con varias correcciones de errores que se tenían desde la versión 2017.3 esta nueva versión también añade muchos paquetes actualizados al sistema.

2 feb 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 2/10


Ya vimos la primera manera de como alguien puede comprometer tu cuenta de Facebook: https://goo.gl/9P8xTi , ahora continuaremos con nuestra segunda entrega:


2 - CONTRASEÑAS DEL NAVEGADOR ALMACENADAS
Muchas personas acostumbran indicar en su navegador Firefox, Chrome o Internet Explorer que recuerden sus credenciales de acceso a la pagina de Facebook. Esta acción permitirá al usuario ingresar cuando lo desee,sin que se solicite las credenciales de acceso.


NUESTRO AGENDA DE TALLERES Y CERTIFICACIONES ECUADOR Y BOLIVIA

Ya en nuestra pagina oficial "The Hacking Day", se encuentra el calendario de cursos de Bolivia y Ecuador.

Reserva desde ya tus cupos y aprovecha los precios especiales.


1 feb 2018

DISPONIBLE TOR BROWSER 7.5 Y EL SISTEMA LINUX TAILS 3.5



El Proyecto Tor sigue mejorando los que son sus desarrollos más destacados: el navegador web Tor Browser, cuya versión 7.5 fue liberada antes de ayer, y el sistema operativo Linux Tails 3.5, publicado el mismo día.

31 ene 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO 1/10

Como prometimos iniciamos estas entregas de las 10 maneras de como alguien puede comprometer tu cuenta de Facebook y las maneras de evitar cada una de ellas.

Antes de mencionar nuestra primera manera, es conveniente que el lector tenga en cuenta que las mismas tecnicas se aplican tambien a otros sitios como Gmail, Outlook, youtube.

1 PAGINA FALSA

Conocido también como Phishing, este método es uno de los más populares, consiste en crear una página de acceso falsa de Facebook, así que la víctima creyendo que está en el sitio verdadero acaba escribiendo su E-mail y contraseña que en vez entrar al sitio oficial; es direccionado a la pagina verdadera de Facebook haciendo creer a la victima que cometió un error en el ingreso.


20 ene 2018

10 MANERAS DE HACKEAR FACEBOOK Y COMO EVITARLO



Antes del fin de mes, empezaremos una serie de entradas relacionadas con la forma que la delincuencia informática actualmente puede comprometer su cuenta de Facebook, se darán las pautas de como funciona las técnicas de ataque y al mismo tiempo la manera de prevenirlo.

Técnicas que serán enseñadas en nuestro curso de Certificación  de Hacking Ético, llamado THD-EPC  (Ethical Pentester Certified) que iniciaremos la próxima semana en la ciudad de Cali - Colombia.


Con esto iniciamos nuestro calendario de Certificaciones y Talleres, ya se esta organizando la agenda para Ecuador y Bolivia que podrá consultar en la pagina http://www.thehackingday.com

Entregas Relacionadas

Entrega 9

ThDJca

17 ene 2018

CORREOS ELECTRÓNICOS TEMPORALES


En la labor de un profesional de la seguridad digital, aveces se hace necesario contar con buzones de correo electrónicos temporales, los cuales son usados para recibir un E-MAIL de productos pertenecientes a una actividad en la que no se desea comprometer el buzón propio personal, como puede ser la creación de una cuenta para la descarga de unos archivos o crear una cuenta temporal en una red social.


16 ene 2018

Sobre la Nueva ISO/IEC 27007:2017

ISO/IEC 27001 es el estándar más conocido en la familia que proporciona los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Es un estándar internacional al que se puede certificar una organización, aunque la certificación es opcional.


Para la persona encargada de auditar a una empresa en particular, puede ser un proceso complejo. Del mismo modo, prepararse para una auditoría sin problemas requiere preparación y atención a los detalles. Esa es precisamente la razón por la que existe la ISO/IEC 27007 - Tecnología de la información - Técnicas de seguridad - lineamientos para la auditoría de sistemas de gestión de la seguridad de la información. Este estándar ayuda a ambas partes a prepararse a fondo proporcionando una guía clara. Publicado por primera vez en 2011, ISO/IEC 27007 se ha actualizado para alinearlo con ISO/IEC 27001:2013.

Este estándar brinda orientación sobre la gestión de un programa de auditoría del sistema de gestión de la seguridad de la información (SGSI), la realización de auditorías ISMS internas y externas de acuerdo con ISO / IEC 27001 , así como la competencia y evaluación de los auditores de SGSI. Además, proporciona una guía extensa para auditar todos los requisitos establecidos en ISO / IEC 27001. Está diseñado para usarse junto con la guía contenida en ISO 19011: 2011, y sigue la misma estructura que ese Estándar Internacional. 

ISO / IEC 27007 aporta beneficios a cualquier tipo de negocio y está diseñado para ser aplicable a todos los usuarios, incluidas las pequeñas y medianas organizaciones.

Fuentes:


ThDJca



15 ene 2018

WP3 - NUEVO ESTÁNDAR PARA SEGURIDAD WI-FI


Con el desastre KRACK que tuvo lugar en de octubre del 2017 quedó claro que el WPA2 tenía que ser optimizado. Si bien hasta el momento se había pensado que se trataba de uno protocolo impenetrable, unos atacantes descubrieron la forma de hackear cualquier red WiFi protegida con WPA2 mediante el ataque KRACKATTACK. Aunque tanto Wi-Fi Alliance como los fabricantes lanzaron parches de seguridad para reparar la vulnerabilidad y en la actualidad el protocolo es seguro, se puso de manifiesto la necesidad de una versión actualizada con nuevas medidas de seguridad.

Wi-Fi Alliance, la organización que establece los estándares para la seguridad WiFi, ha presentado en el CES 2018 el WPA3, un nuevo protocolo de seguridad que será lanzado este año como sucesor del WPA2, que en la actualidad es el que protege el acceso las redes WiFi de casi todos los móviles, ordenadores y routers modernos.

UN HACKER NO ES UN DELINCUENTE

Iniciamos este año con esta noticia que circulo a finales del año pasado.



Que la real academia de la Lengua Española RAE, agrega un definición mas acertada al discutido termino HACKER.