Nota como aqui le agregan 2 mas.
Se refiere a la característica de la comunicación, los documentos o cualquier dato que garantice la calidad de ser genuino o no corrupto. El papel principal de la autenticación es confirmar que un usuario es genuino. Los controles como la biometría, las tarjetas inteligentes y los certificados digitales garantizan la autenticidad de los datos, las transacciones, las comunicaciones y los documentos.
El no repudio es una forma de garantizar que el remitente de un mensaje no pueda negar posteriormente haber enviado el mensaje y que el destinatario no pueda negar haber recibido el mensaje. Las personas y las organizaciones utilizan firmas digitales para garantizar el no repudio.
Information warfare or InfoWar refers to the use of information and communication technologies (ICT).
The cyber kill chain is an efficient and effective way of illustrating how an adversary can attack the target organization. This model helps organizations understand the various possible threats at every stage of an attack and the necessary countermeasures to defend against such attacks. Also, this model provides security professionals with a clear insight into the attack strategy used by the adversary so that different levels of security controls can be implemented to protect the IT infrastructure of the organization.
The cyber kill chain is a framework developed for securing cyberspace based on the concept of military kill chains. This method aims to actively enhance intrusion detection and response. The cyber kill chain is equipped with a seven-phase protection mechanism to mitigate and reduce cyber threats.
Tactics describe the way the threat actor operates during different phases of an attack. It consists of the various tactics used to gather information for the initial exploitation, perform privilege escalation and lateral movement, and deploy measures for persistence access to the system. Generally, APT groups depend on a certain set of unchanging tactics, but in some cases, they adapt to different circumstances
To launch an attack successfully, threat actors use several techniques during its execution. These techniques include initial exploitation, setting up and maintaining command and control channels, accessing the target infrastructure, and covering the tracks of data exfiltration. The techniques followed by the threat actor to conduct an attack might vary, but they are mostly similar and can be used for profiling. Therefore, understanding the techniques used in the different phases of an attack is essential to analyzing the threat groups effectively.
“Procedures” involve a sequence of actions performed by the threat actors to execute different steps of an attack life cycle. The number of actions usually differs depending upon the objectives of the procedure and the APT group. An advanced threat actor uses advanced procedures that consist of more actions than a normal procedure to achieve the same intermediate result. This is done mainly to increase the success rate of an attack and decrease the probability of detection by security mechanisms.
Procedures “Procedures” involve a sequence of actions performed by the threat actors to execute different steps of an attack life cycle. The number of actions usually differs depending upon the objectives of the procedure and the APT group. An advanced threat actor uses advanced procedures that consist of more actions than a normal procedure to achieve the same intermediate result. This is done mainly to increase the success rate of an attack and decrease the probability of detection by security mechanisms.
their contact details, identifies vulnerable systems and potential entry points to the target network, and documents all the collected information. The further actions of an adversary depend on the tactics used.
Adversary behavioral identification involves the identification of the common methods or techniques followed by an adversary to launch attacks to penetrate an organization’s network. It gives security professionals insight into upcoming threats and exploits. It helps them plan network security infrastructure and adapt a range of security procedures as prevention against various cyberattacks.
Tactics, Techniques and Procedures (TTPs): an attacker's manifestation or modus operandi across technology, methodologies and operations. Discrete parts of an attacker's TTP can form specific Indicators of Compromise (IoCs) as if they were a fingerprint.
In general, there are five phases of hacking:
- Reconnaissance
- Scanning
- Gaining Access
- Maintaining Access
- Clearing Tracks
Reconnaissance refers to the preparatory phase in which an attacker gathers as much information as possible about the target prior to launching the attack. In this phase, the attacker draws on competitive intelligence to learn more about the target.
***Reconnaissance techniques are broadly categorized into active and passive. ****
Scanning is the phase immediately preceding the attack. Here, the attacker uses the details gathered during reconnaissance to scan the network for specific information.
This section deals with Information Assurance (IA), defense-in-depth, risk management, cyber threat intelligence, threat modeling, incident management, and AI and ML concepts
Risk refers to the degree of uncertainty or expectation of potential damage that an adverse event may cause to the system or its resources, under specified conditions. Alternatively, risk can also be:
Level of Risk = Consequence x Likelihood
This information is consumed by the high-level executives and management of the organization, such as IT management and CISO.
La inteligencia de amenazas estratégicas generalmente tiene la forma de un informe que se enfoca principalmente en estrategias comerciales de alto nivel. Dado que la característica de la inteligencia de amenazas estratégicas es preeminente, la recopilación de datos también se relaciona con fuentes de alto nivel y requiere profesionales altamente calificados para extraer información. Esta inteligencia se recopila de fuentes como OSINT, proveedores de CTI e ISAO e ISAC.
The financial impact of cyber activity o Attribution for intrusions and data breaches Threat actors and attack trends o The threat landscape for various industry sectors o Statistical information on data breaches, data theft, and malware o Geopolitical conflicts involving various cyberattacks o Information on how adversary TTPs change over time o Industry sectors that might impact due to high-level business decisions
La inteligencia de amenazas tácticas juega un papel importante en la protección de los recursos de la organización. Proporciona información relacionada con los TTP utilizados por los actores de amenazas (atacantes) para realizar ataques. La inteligencia de amenazas tácticas es consumida por profesionales de la ciberseguridad, como gerentes de servicios de TI, gerentes de operaciones de seguridad, personal del centro de operaciones de red (NOC), administradores y arquitectos. Ayuda a los profesionales de ciberseguridad a comprender cómo se espera que los adversarios realicen su ataque a la organización, identificar la fuga de información de la organización y evaluar las capacidades técnicas y los objetivos de los atacantes junto con los vectores de ataque. Usando inteligencia táctica de amenazas, el personal de seguridad desarrolla estrategias de detección y mitigación de antemano a través de procedimientos como la actualización de productos de seguridad con indicadores identificados y parches de sistemas vulnerables.
The collection sources for tactical threat intelligence include campaign reports, malware, incident reports, attack group reports, and human intelligence, among other information. This intelligence is generally obtained by reading white or technical papers, communicating with other organizations, or purchasing intelligence from third parties. It includes highly technical information on topics such as malware, campaigns, techniques, and tools in the form of forensic reports. Tactical threat intelligence provides day-to-day operational support by helping analysts assess various security incidents related to events, investigations, and other activities. It also guides the high-level executives of the organizations in making strategic business decisions.
La inteligencia de amenazas operativas proporciona información sobre amenazas específicas contra la organización. Proporciona información contextual sobre eventos e incidentes de seguridad que ayudan a los defensores a revelar riesgos potenciales, proporcionar una mayor comprensión de las metodologías de los atacantes, identificar actividades maliciosas pasadas y realizar investigaciones sobre actividades maliciosas de una manera más eficiente. Lo consumen los administradores de seguridad o los jefes de respuesta a incidentes, los defensores de la red, los forenses de seguridad y los equipos de detección de fraude. Ayuda a las organizaciones a comprender los posibles actores de amenazas y su intención, capacidad y oportunidad de atacar los activos de TI vulnerables y el impacto de un ataque exitoso. En muchos casos, solo las organizaciones gubernamentales pueden recopilar este tipo de inteligencia. Sin embargo, hacerlo ayuda a los equipos forenses y de IR a implementar activos de seguridad
Operational threat intelligence is generally collected from sources such as humans, social media, and chat rooms; it may and also be collected from the real-world activities and events that result in cyberattacks. Operational threat intelligence is obtained by analyzing human behavior, threat groups, and by similar means. This information helps to predict future attacks and thus enhances incident response plans and mitigation strategies. Operational threat intelligence generally appears as a report that contains identified malicious activities, recommended courses of action, and warnings of emerging attacks.
Technical threat intelligence provides information about resources an attacker uses to perform an attack; this includes command and control channels, tools, and other items. It has a shorter lifespan compared to tactical threat intelligence and mainly focuses on a specific IoC. It provides rapid distribution and response to threats. For example, a piece of malware used to perform an attack is tactical threat intelligence, whereas the details related to the specific implementation of the malware come under technical threat intelligence. Other examples of technical threat intelligence include the specific IP addresses and domains used by malicious endpoints, phishing email headers, and hash checksums of malware, among others. Technical threat intelligence is consumed by SOC staff and IR teams.
Technical threat intelligence provides information about resources an attacker uses to perform an attack; this includes command and control channels, tools, and other items. It has a shorter lifespan compared to tactical threat intelligence and mainly focuses on a specific IoC. It provides rapid distribution and response to threats. For example, a piece of malware used to perform an attack is tactical threat intelligence, whereas the details related to the specific implementation of the malware come under technical threat intelligence. Other examples of technical threat intelligence include the specific IP addresses and domains used by malicious endpoints, phishing email headers, and hash checksums of malware, among others. Technical threat intelligence is consumed by SOC staff and IR teams. The indicators of technical threat intelligence are collected from active campaigns, attacks that are performed on other organizations, or data feeds provided by external third parties. These indicators are generally collected as part of investigations of attacks performed on various organizations. This information helps security professionals add the identified indicators to the defensive systems such as IDS and IPS, firewalls, and endpoint security systems, thereby enhancing the detection mechanisms used to identify the attacks at an early stage. It also helps them identify malicious traffic and IP addresses suspected of spreading malware and spam emails. This intelligence is directly fed into the security devices in digital format to block and identify inbound and outbound malicious traffic entering the organization’s network.
Incident management is a set of defined processes to identify, analyze, prioritize, and resolve security incidents to restore the system to normal service operations as soon as possible, and prevent recurrence of the incident. It involves not only responding to incidents but also triggering alerts to prevent potential risks and threats. A security administrator must identify software that is open to attacks before someone takes advantage of the vulnerabilities.
Health Insurance Portability and Accountability Act (HIPAA) Source: https://www.hhs.gov
Footprinting is the first step in the evaluation of the security posture of the IT infrastructure of a target organization. Through footprinting and reconnaissance, one can gather maximum information about a computer system or a network and about any device connected to that network. In other words, footprinting provides a security profile blueprint for an organization and should be undertaken in a methodological manner
over the Internet. We can only collect archived and stored information about the target using search engines, social networking sites, and so on. Passive footprinting techniques include: o Finding information through search engines o Finding the Top-level Domains (TLDs) and sub-domains of a target through web services o Collecting location information on the target through web services o Performing people search using social networking sites and people search services o Gathering financial information about the target through financial services o Gathering infrastructure details of the target organization through job sites o Collecting information through deep and dark web footprinting o Determining the operating systems in use by the target organization o Performing competitive intelligence o Monitoring the target using alert services o Gathering information using groups, forums, blogs, and NNTP Usenet newsgroups o Collecting information through social engineering on social networking sites o Extracting information about the target using Internet archives o Gathering information using business profile sites o Monitoring website traffic of the target o Tracking the online reputation of the target.
Footprinting through search engines Footprinting through web services Footprinting through social networking sites Website footprinting Email footprinting Whois footprinting DNS footprinting Network footprinting Footprinting through social engineering
The Google Hacking Database (GHDB) is a compendium of Google hacking search terms that have been found to reveal sensitive data exposed by vulnerable servers and web applications. The GHDB was launched in 2000 by Johnny Long to serve penetration testers
NAPALM FTP Indexer online tool to search for critical files and documents related to the target domain.
This section aims to familiarize you with finding the target company’s top-level domains, sub-domains, and geographical location, performing people search on social networking sites and people search services, gathering information from job sites, financial services, third-party data repositories, performing deep and dark web footprinting, determining the operating system, VOIP and VPN footprinting through Shodan, gathering competitive intelligence, etc.
A company's top-level domains (TLDs) and sub-domains can provide a large amount of useful information to an attacker. A public website is designed to show the presence of an organization on the Internet. It is available for free public access. It is designed to attract customers and partners. It may contain information such as organizational history, services and products, and contact information. The target organization’s external URL can be located with the help of search engines such as Google and Bing.
The sub-domain is available to only a few people. These persons may be employees of an organization or members of a department. In many organizations, website administrators create sub-domains to test new technologies before deploying them on the main website. Generally, these sub-domains are in the testing stage and are insecure; hence, they are more vulnerable to various exploitations. Sub-domains provide insights into the different departments and business units in an organization. Identifying such sub-domains may reveal critical information regarding the target, such as the source code of the website and documents on the webserver. Access restrictions can be applied based on the IP address, domain or subnet, username, and password. The sub-domain helps to access the private functions of an organization. Most organizations use common formats for sub-domains. Therefore, a hacker who knows the external URL of a company can often discover the sub-domain through trial and error, or by using a service such as Netcraft.
You can also use the advanced Google search operator shown below to identify all the sub-domains of the target: site:microsoft.com -inurl:www
Netcraft Source: https://www.netcraft.com Netcraft provides Internet security services, including anti-fraud and anti-phishing services, application testing, and PCI scanning. They also analyze the market share of web servers, operating systems, hosting providers and SSL certificate authorities, and other parameters of the Internet. As shown in the screenshot below, attackers can use Netcraft to obtain all the sub-domains related to the target domain.
Sublist3r Source: https://github.com Sublist3r
is a Python script designed to enumerate the subdomains of websites using OSINT. It enables you to enumerate subdomains across multiple sources at once. Further, it helps penetration testers and bug hunters in collecting and gathering subdomains for the domain they are targeting. It enumerates subdomains using many search engines such as Google, Yahoo, Bing, Baidu, and Ask. It also enumerates subdomains using Netcraft, VirusTotal, ThreatCrowd, DNSdumpster, and ReverseDNS
theHarvester Source: http://www.edge-security.com
theHarvester is a tool designed to be used in the early stages of a penetration test. It is used for open-source intelligence gathering and helps to determine a company's external threat landscape on the Internet. Attackers use this tool to perform enumeration on the LinkedIn social networking site to find employees of the target company along with their job titles.
through Social Networking Sites Attackers use various tools such Sherlock, Social Searcher, and UserRecon to footprint social networking sites such as Twitter, Instagram, Facebook, and Pinterest to gather sensitive information about the target such as DOB, educational qualification, employment status, name of the relatives, and information about the organization that they are working for, including the business strategy, potential clients, and upcoming project plans. Sherlock Source: https://github.com As shown in the screenshot, attackers use Sherlock to search a vast number of social networking sites for a target username. This tool helps the attacker to locate the target user on various social networking sites along with the complete URL.
Gathering Wordlist from the Target Website The words available on the target website may reveal critical information that helps attackers to perform further exploitation. Attackers gather a list of email addresses related to the target organization using various search engines, social networking sites, web spidering tools, etc. After obtaining these email addresses, an attacker can gather a list of words available on the target website. This information helps the attacker to perform brute-force attacks on the target organization. An attacker uses the CeWL tool to gather a list of words from the target website and perform a brute-force attack on the email addresses gathered earlier.
After gathering the information, an attacker can proceed to find the network range of a target system. Detailed information is available from the appropriate regional registry database regarding IP allocation and the nature of the allocation. An attacker can also determine the subnet mask of the domain and trace the route between the system and the target system. Traceroute tools that are widely used include Path Analyzer Pro and VisualRoute. Obtaining private IP addresses can be useful to attackers. The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets: 10.0.0.0–10.255.255.255 (10/8 prefix), 172.16.0.0–172.31.255.255 (172.16/12 prefix), and 192.168.0.0–192.168.255.255 (192.168/16 prefix). Using the network range, the attacker can get information about how the network is structured and which machines in the networks are alive. Using the network range also helps to identify the network topology, access control device, and OS used in the target network. To find the network range of the target network, one needs to enter the server IP address (that was gathered in Whois
footprinting) in the ARIN Whois database search tool. A user can also visit the ARIN website (https://www.arin.net/about/welcome/region) and enter the server IP in the SEARCH Whois text box. This gives the network range of the target network. Improperly set up DNS servers offer attackers a good chance of obtaining a list of internal machines on the server. In addition, sometimes, if an attacker traces a route to a machine, it is possible to obtain the internal IP address of the gateway, which can be useful.
tracert ip destino
tcptraceroute 10.10.1.123(ip destino)
Transferencia de zona DNS (DNS zone transfer) Las Transferencias de zona dns, a veces llamadas AXFR por el tipo de solicitud, es un tipo de transacción de DNS. Es uno de varios mecanismos disponibles para administradores para replicar bases de datos DNS a través de un conjunto de servidores DNS.
Aqui lo manejan como network scan descurbir host vivos, vulnerabilitis vulnerabilidades y port scan puertos y servicios
A TCP session initiates using a three-way handshake mechanism: To launch a TCP connection, the source (10.0.0.2:21) sends a SYN packet to the destination (10.0.0.3:21).
On receiving the SYN packet, the destination responds by sending a SYN/ACK packet back to the source.
The ACK packet confirms the arrival of the first SYN packet to the source. Finally, the source sends an ACK packet for the ACK/SYN packet transmitted by the destination.
This triggers an "OPEN" connection, thereby allowing communication between the source and destination, which continues until one of them issues a "FIN" or "RST" packet to close the connection.
SCTP (Stream Transmission Control Protocol - Protocolo de control de transmisiones de corrientes) es un protocolo orientado a las conexiones, similar a TCP, pero proporciona la transferencia de datos orientada a mensajes, similar a UDP. El sistema operativo AIX cumple con RFC 4960
Simple Service Discovery Protocol (SSDP) is a networking protocol used to discover the directly connected devices. This protocol uses UDP using plug and play devices in order to exchange data. It works on port 1900
Network discovery and mapping tools allow you to view the map of your network. They help you to detect rogue hardware and software violations and notify you whenever a particular host becomes active or goes down. Thus, you can also determine server outages or problems related to performance. An attacker can use the same tools to draw a diagram of the target network, analyze the topology, find the vulnerabilities or weak points, and launch an attack by exploiting these weak points.
The Network Topology Mapper tool allows one to automatically discover and create a network map of the target network. It can also display in-depth connections such as OSI Layer 2 and Layer 3 topology data (e.g., switch-to-switch, switch-to-node, and switch-to-router connections). It can keep track of network changes and allow the user to perform inventory management of hardware and software assets.
- OpManager (https://www.manageengine.com)
- The Dude (https://www.mikrotik.com)
- NetSurveyor (http://nutsaboutnets.com)
- NetBrain (https://www.netbraintech.com)
- Spiceworks Network Mapping Tool (https://www.spiceworks.com)
During enumeration, attackers may stumble upon a remote inter-process communication (IPC) share, such as IPC$ in Windows, which they can probe further to connect to an administrative share by brute-forcing admin credentials and obtain complete information about the file-system listing that the share represents.
SNMP allows network administrators to manage network devices from a remote location. However, SNMP has many security vulnerabilities, such as a lack of auditing. Attackers may take advantage of these vulnerabilities to perform account and device enumeration. This section describes SNMP enumeration, the information extracted via SNMP enumeration, and various SNMP enumeration tools used to enumerate user accounts and devices on a target system
Various protocols enable communication and manage data transfer between network resources. All these protocols carry valuable information about network resources along with the data. An external user who successfully enumerates that information by manipulating the protocols can break into the network and may misuse the network resources. The Lightweight Directory Access Protocol (LDAP) is one such protocol that accesses the directory listings. This section focuses on LDAP enumeration, the information extracted via LDAP enumeration, and LDAP enumeration tools.
Administrators often overlook the Network Time Protocol (NTP) server when considering security. However, if queried properly, it can provide valuable network information to an attacker. Therefore, it is necessary to know what information an attacker can obtain about a network through NTP enumeration. The Network File System (NFS) is used for the management of remote file access. NFS enumeration helps attackers to gather information such as a list of clients connected to the NFS server, along with their IP addresses, and exported directories.
In cybersecurity is the process of investigating an individual or organization's trash to retrieve information that could be used to compromise network resources or plan a cyberattack. A person going through your trash can gather enough data to create a complex profile and commit identity theft.
<a href="http://blog.boson.com" target="_blank"><img src="/images/rss-icon.webp" border="0" alt="Boson Blog!" height="35" width="35" /></a>
<a href="http://www.twitter.com/bosonsoftware" target="_blank"><img src="/images/twitter-icon.png" border="0" alt="Follow us on Twitter!" height="35" width="35" /></a>
<a href="http://www.youtube.com/bosonsoftware" target="_blank"><img src="/images/youtube-icon.webp" border="0" alt="Boson on YouTube" height="35" width="35" /></a>
<a href="http://www.linkedin.com/company/boson" target="_blank"><img src="/images/linkedin-icon.png" border="0" alt="Connect with Boson on LinkedIn!" height="35" width="35" /></a>
<a href="http://www.facebook.com/bosonsoftware" target="_blank"><img src="/images/facebook-icon.png" border="0" alt="Boson Facebook Fan Page" height="35" width="35" /></a>
curl -s "https://www.boson.com" | grep "<a href=\"http" | cut -d "\"" -f2
El resultado como se esta usando el delimitador de " ve que se esta escapando las dobles comillas osea el delimitador
http://blog.boson.com
http://www.twitter.com/bosonsoftware
http://www.youtube.com/bosonsoftware
http://www.linkedin.com/company/boson
http://www.facebook.com/bosonsoftware
Con f1 de haber algo de confucion
curl -s "https://www.boson.com" | grep "<a href=\"http" | cut -d "\"" -f1
<a href=
<a href=
<a href=
<a href=
<a href=
Infoga is a tool gathering email accounts informations (ip,hostname,country,...) from different public source (search engines, pgp key servers and shodan) and check if emails was leaked using haveibeenpwned.com API. Is a really simple tool, but very effective for the early stages of a penetration test or just to know the visibility of your company in the Internet.
Luma is a tool / utility / application for easy and userfriendly managment of LDAP data and a platform / framework for developing custom LDAP applications.
A diferencia de gets() checa los limites osea es mas segura no permite buffer over flow sin embargo gets() si
https://www.cisa.gov/uscert/bsi/articles/knowledge/coding-practices/fgets-and-gets_s
EHLO is a command to start a conversation with the protocol
A cookie with the HttpOnly attribute is inaccessible to the JavaScript Document.cookie API; it is sent only to the server. For example, cookies that persist server-side sessions don't need to be available to JavaScript, and should have the HttpOnly attribute. This precaution helps mitigate cross-site scripting (XSS) attacks.
Existen tres versiones de SNMP: SNMP versión 1 (SNMPv1), SNMP versión 2 (SNMPv2) y SNMP versión 3 (SNMPv3) y por logica la ultima es la mas segura.
Un ataque de whaling es un método que usan los cibercriminales para simular ocupar cargos de nivel superior en una organización y así atacar directamente a los altos ejecutivos u otras personas importantes dentro de ella, con el objeto de robar dinero, conseguir información confidencial u obtener acceso a sus sistemas informáticos con fines delictivos. El whaling, también conocido como CEO fraud, es similar al phishing en cuanto a que usa métodos, como la suplantación de sitios web y correos electrónicos, para engañar a la víctima y hacer que revele información confidencial o haga transferencias de dinero, entre otras acciones.
Tipo de virus que sobrescribe una parte del fichero, generalmente áreas vacías (rellenas de null), lo que no incrementa la longitud del fichero, y mantiene su funcionalidad, dificultando así su localización.
Qué es un DGA? Para evadir la detección, generan nombres de dominio y direcciones IP para servidores de comando y control de malware.
Los DGAs no son más que algoritmos que generan de una manera pseudoaleatoria una lista de dominios DNS válidos, y que normalmente van cambiando en el tiempo.
ZoomInfo Technologies Inc. es una empresa de software y datos que proporciona información y datos para empresas y personas de negocios.
Web Statistics are log files that measure the behaviour of visitors and track details of your website. This is a useful tool for businesses as it measures and qualifies aspects of the website working towards business objectives. Highlighting which landing pages most effectively encourage people to make a purchase.
Qué es un RIR? Regional Internet Registry (RIR) es una organización que supervisa la asignación y el registro de recursos de números de Internet dentro de una región particular del mundo. Los recursos incluyen direcciones IP (tanto IPv4 como IPv6) y números de sistemas autónomos (para su uso en encaminamiento BGP).
Nuevo protocolo de intercambio de claves Dragonfly WPA3 es una nueva forma de intercambiar llaves
Se trata de un nuevo ataque para el handshake de WPA3
Dragonblood: What You Need to Know About the Latest WPA3 Vulnerabilities
Usa el SAE Simultaneus authentication of equals para rempralazar a las PSK ( pre shared keys ) ademas para proteger los datos entiendo que usa
Dragonblood es el ataque por el cual analizan el handshake de DragonFly. Mas bien una serie de ataques hacia WPA3
WPA3 certification is introduced by Wi-Fi Alliance in 2018 as a successor to WPA2. It aims to alleviate the vulnerabilities in WPA2 and provide more secure wireless networks. It introduces new concepts like Simultaneous Authentication of Equals (SAE), dragonfly key exchange, NIST elliptical curve cryptography etc. To make it easier to understand WPA3 as a whole, I will be discussing each component individually in detail. WPA3 replaces Pre-Shared Key with Simultaneous Authentication of Equals (SAE) to derive the Pairwise Master Key (PMK) which enables secure communication even when the password is compromised. To understand how this is achieved, we need to understand how Diffie-Hellman key exchange and elliptical curve cryptography work in conjunction with Dragon fly key exchange.
Además, WPA3 admite marcos de administración protegidos (PMF), lo que hace que sea imposible lanzar ataques de desautenticación. WPA2 ya admite esto, por lo que no es una novedad de WPA3. Sin embargo, con WPA, los PMF se incluyen desde el principio en el programa de certificación.
Informaciond e la empresa como lista de directivos y subordinados para esto siver esta herramietna lo cual veo bastant perro
Es una especia de DDos pero diferente porque
Whe you wat to kown the headers version of a server in port 80 yo have to use this:
HEAD /HTTP/ 1.0
Cuando alguien tiene el plaint text y el cipher text entonces intenta adivinar la contraseña que se uso para encriptar para ver las futuras conversaciones es como un ataque de fuerza bruta.
Devices infected by Mirai continuously scan the internet for the IP address of Internet of things (IoT) devices. Mirai includes a table of IP address ranges that it will not infect, including private networks and addresses allocated to the United States Postal Service and Department of Defense.[13]
Mirai then identifies vulnerable IoT devices using a table of more than 60 common factory default usernames and passwords, and logs into them to infect them with the Mirai malware.
Health Insurance Portability and Accountability Act of 1996 (HIPAA). The Health Insurance Portability and Accountability Act of 1996 (HIPAA) is a federal law that required the creation of national standards to protect sensitive patient health information from being disclosed without the patient’s consent or knowledge. The US Department of Health and Human Services (HHS) issued the HIPAA Privacy Rule to implement the requirements of HIPAA. The HIPAA Security Rule protects a subset of information covered by the Privacy Rule.
El protocolo ligero de acceso a directorios (en inglés: Lightweight Directory Access Protocol, también conocido por sus siglas de LDAP) hace referencia a un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red.
Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. El ejemplo más común es el directorio telefónico, que consiste en una serie de nombres (personas u organizaciones) que están ordenados alfabéticamente, con cada nombre teniendo una dirección y un número de teléfono adjuntos. Para entender mejor, es un libro o carpeta, en la cual se escriben nombres de personas, teléfonos y direcciones, y se ordena alfabéticamente.
Spanning Tree Protocol (STP) es un protocolo que permite dotar a nuestra red de un entorno de tolerancia ante fallos mediante la creación de enlaces redundantes. Estos enlaces generarán bucles en la red, lo cual introduce serios problemas a nuestra infraestructura. Dada la ausencia de un campo como el TTL en las cabeceras del protocolo IP, que se decrementa en “1” por cada dispositivo de capa 3 por el que pasa; en una trama, unidad de capa 2, no hay nada similar con lo las tramas pueden circular indefinidamente en nuestra red. Esto es especialmente dañino en el caso de tramas Broadcast pudiendo afectar también el Unicast, provocando una ralentización de la red tanto por el consumo de ancho de banda de los enlaces como de CPU de los switches.
El protocolo Long Term Evolution (LTE) más conocido como 4G es vulnerable a la interceptación y/o modificación de la comunicación de forma remota.
Muchas compañías de comunicación implementan el protocolo LTE o, como se conoce normalmente, 4G, presente en la mayoría de dispositivos móviles. Las tecnologías provenientes de esta familia (3G, 4G, 5G) se gestan para proveer de mayor seguridad (entre otras cosas más) al antiguo protocolo GSM.
Un equipo de investigadores ha descubierto una vulnerabilidad en el protocolo que podría permitir a los atacantes espiar las comunicaciones que usan el mismo, pudiendo modificar el contenido e incluso redirigirlas a sitios web maliciosos.
Los investigadores han desarrollado tres nuevas técnicas contra esta tecnología que les permiten obtener la identidad de los usuarios, los sitos web visitados y redirigirlos a sitios web maliciosos a través de la suplantación DNS.
Podemos catalogar estas técnicas como "ataques pasivos" y "ataques activos". Interceptar la comunicación y la visualización de los sitios web visitados pertenecen a ataques pasivos. Por otro lado tenemos el ataque de suplantación de DNS conocido como "aLTEr" que permite a un atacante realizar un "MiTM" para interceptar las comunicaciones y redirigir a la víctima al sitio web malicioso utilizando "DNS Spoofing".
La capa de enlace de datos de LTE está cifrada con AES-CTR, pero no está protegida su integridad, lo que permite a un atacante modificar los bits dentro de un paquete de datos cifrados. En los ataques LTE un atacante pretende emular una estación de comunicación real y así tomar el control de la comunicación. El ataque es muy peligroso pero difícil de explotar, ya que necesitamos hardware específico para ello, teniendo un alcance efectivo de casi 2 kilómetros
A logic bomb is a malicious program that is triggered when a logical condition is met, such as after a number of transactions have been processed, or on a specific date (also called a time bomb). Malware such as worms often contain logic bombs, behaving in one manner, then changing tactics on a specific date and time.
NIST Cloud Computing reference architecture defines five major performers:
Cloud Provider Cloud Carrier Cloud Broker Cloud Auditor Cloud Consumer
-
Cloud Service Providers: A group or object that delivers cloud services to cloud consumers or end-users. It offers various components of cloud computing. Cloud computing consumers purchase a growing variety of cloud services from cloud service providers. There are various categories of cloud-based services mentioned below: Iaas Saas Pass
-
Cloud Carrier: The mediator who provides offers connectivity and transport of cloud services within cloud service providers and cloud consumers. It allows access to the services of the cloud through Internet networks, telecommunication, and other access devices. Network and telecom carriers or a transport agent can provide distribution. A consistent level of services is provided when cloud providers set up Service Level Agreements (SLA) with a cloud carrier. In general, Carrier may be required to offer dedicated and encrypted connections.
-
Cloud Broker: An organization or a unit that manages the performance, use, and delivery of cloud services by enhancing specific capability and offers value-added services to cloud consumers. It combines and integrates various services into one or more new services. They provide service arbitrage which allows flexibility and opportunistic choices. There are major three services offered by a cloud broker:
Service Intermediation. Service Aggregation. Service Arbitrage
- Cloud Auditor: An entity that can conduct independent assessment of cloud services, security, performance, and information system operations of the cloud implementations. The services that are provided by Cloud Service Providers (CSP) can be evaluated by service auditors in terms of privacy impact, security control, and performance, etc. Cloud Auditor can make an assessment of the security controls in the information system to determine the extent to which the controls are implemented correctly, operating as planned and constructing the desired outcome with respect to meeting the security necessities for the system. There are three major roles of Cloud Auditor which are mentioned below:
Security Audit. Privacy Impact Audit. Performance Audit.
- Cloud Consumer: A cloud consumer is the end-user who browses or utilizes the services provided by Cloud Service Providers (CSP), sets up service contracts with the cloud provider. The cloud consumer pays peruse of the service provisioned.
Esta deprrecated apartir del 2023 y usaba 56 X 3 DES normal usaba 56 168. Pero solo realmente cubria 112 no entiendoe sta parte del todo
Un chroot es una operación que cambia el directorio raíz aparente para el proceso en ejecución actual y sus subsidiarios. Un programa que se ejecuta en este entorno modificado no puede acceder a los archivos y comandos fuera de ese árbol de directorios del entorno
Traducción del inglés-Una técnica de elicitación es cualquiera de una serie de técnicas de recopilación de datos utilizadas en antropología, ciencias cognitivas, asesoramiento, educación, ingeniería del conocimiento, lingüística, gestión, filosofía, psicología u otros campos para recopilar conocimientos o información de las personas
Estandarizacion para ver que tan critica es una vulnerabilidad
Se usan un rango para decir si es alta media o baja y es el siguiente puedes verlo en la magina del nist de NVD ( National Vulnerability Database )
El Protocolo simple de administración de red o SNMP es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Wikipedia actuamente la version mas reciente es las v3
Utiliza el puerto TCP 23 para establecer comunicaciones.
Nbtstat es una herramienta de red que se utiliza para verificar las conexiones TCP/IP en ejecución. Nbtstat enumera todas las conexiones de red que se utilizan en el sistema operativo Windows. Esta herramienta está preinstalada en Windows, no necesita utilizar ningún software externo para ejecutar nbtstat. Es una herramienta efectiva para determinar todas las conexiones TCP/IP de un equipo Windows.
Los ataques de reinstalación de clave (KRACK) son un tipo de ciberataque que aprovecha una vulnerabilidad de WPA2 para robar los datos transmitidos a través de las redes. Estos ataques pueden provocar el robo de información confidencial como credenciales de acceso, números de tarjetas de crédito, chats privados y cualquier otro dato que la víctima transmita por la red. Los KRACK también pueden utilizarse para realizar ataques en ruta, sirviendo a la víctima un sitio web falso o inyectando código malicioso en un sitio legítimo.
Una conexión WPA2 encriptada se inicia con una secuencia de protocolo de enlace de cuatro vías, aunque no se requiere la secuencia completa para una reconexión. Para que las reconexiones sean más rápidas, solo hay que retransmitir la tercera parte del protocolo de enlace de cuatro vías. Cuando un usuario se vuelve a conectar a una red WiFi conocida, la red WiFi le reenvía la tercera parte de la secuencia del protocolo de enlace; este reenvío se puede producir varias veces para garantizar que la conexión tenga éxito. Este paso repetido es la vulnerabilidad que puede ser explotada.
Un atacante puede configurar un clon de una red WiFi a la que la víctima se haya conectado con anterioridad. La red clon maliciosa puede proporcionar acceso a Internet, así que la víctima no notará la diferencia. Cuando la víctima intenta volver a conectarse a la red, el atacante puede obligarla a unirse a la red clon en su lugar, posicionándose como un atacante en ruta. Durante el proceso de conexión, el atacante puede seguir reenviando la tercera parte del protocolo de enlace al dispositivo de la víctima. Cada vez que el usuario acepta la solicitud de conexión, se desencripta un pequeño fragmento de datos. El atacante puede sumar esta serie de comunicaciones para descifrar la clave de encriptación.
VRFY Verifica si existe un mailbox. Para inciar una conexion usa HELO o EHLO. En la actualidad, los puertos SMTP más habituales son: 25, 465, 587 y 2525
La aplicación que se sincroniza con el servicio en la nube utiliza un token de sincronización para obtener acceso a la cuenta correcta y a los datos. Los atacantes generalmente colocan cierto malware en los sistemas objetivo, que también se denominan conmutadores; esto se hace a través de ataques de ingeniería social, que son atacados con archivos adjuntos maliciosos en los correos electrónicos. Una vez que se inicia el malware, mueve el token de sincronización de la víctima potencial a la carpeta de sincronización de datos real. Luego reemplazaría ese token original en particular por el creado por los atacantes.
Cuando las aplicaciones objetivo se sincronizan con los sobres de sincronización de datos la próxima vez, el token único del objetivo se copia en las ubicaciones de la nube de los atacantes desde donde se puede descargar fácilmente y luego utilizar posteriormente por esos atacantes. Esto proporciona a los atacantes acceso a los datos basados en la nube de las víctimas desde cualquier computadora; proporcionando así a los atacantes la capacidad de sincronizar archivos maliciosos y reemplaza los archivos de uso muy común en los que la víctima suele confiar. Se hace de manera de borrar la mayor parte de la evidencia de estos ataques.
Un Managed Service Provider (MSP) es una empresa que proporciona y gestiona diversos servicios informáticos para sus clientes. Por lo general, los servicios gestionados se prestan y mantienen de forma remota a través de Internet, por lo que visitar a los clientes no suele estar en la agenda de un MSP. Los Managed Services Providers suelen ofrecer varios modelos de facturación diferentes: una cuota mensual por la prestación y el mantenimiento de los respectivos servicios MSP es tan común como una facturación basada en el tiempo. También es común que los proveedores cobren por el número de usuarios o dispositivos conectados.
Se previene con un CASB Agente!
Puede emular la prespectiva de un atacante ya que pueden hacer escaneos desde dentro y fuera de la red es administrado por terceros ya sabes un Saas
Es administrado pro el staff cuesta trabajo tenerlo al dia y por lo regular solo puede hacer escaneos desde dentro.
Se tiene una lista para saber que test se le va correr al sistema target. El administrado selecciona el tipo de SO especific vulnerabilities.
Este tiene una fase de obtencion gatehering durante esta fase se puede detectar el SO, Una vez que se tiene esa informacion ya corre los escaneos. reduce falsos positivos
Cuando el atacante accede a informacion de un dispositivo que no deberia contact list, text mesages, email messages and calendar.
Es como el ping de la muerte pero en bluetooth lo entiendo como un ataque de denegacion de servicio.
Es un ataque donde se tienen un backdoor en el dispositivo de la victima.
Es el ataque en donde se mandan mensajes indeseados a la victima
Es un ataque en donde medienta man in the middle se consigue un token o informacion como Samba relay y cosas asi de AD.
Puede ser incluso fisico en el caso de que alguien vea un password e intente replicarlo pero tambien pues lanzar un sweep ping etc.
En donde el atacante consigue el texto cifrado y el texto claro e intenta ver como se cifra para en un futuro interceptar mensajes cifrados e intentar espiar.
Es donde el atacante conoce como aspectos tecnicos por ejemplo tipo de procesador tiempo para romper una encryptacion.
Se llama wardriving a la búsqueda de redes inalámbricas Wi-Fi desde un vehículo en movimiento. Implica usar un coche o camioneta y un ordenador equipado con Wi-Fi, como un portátil o una PDA, para detectar las redes. Esta actividad es parecida al uso de un escáner para radio. TJ Maxx sufrio un ataque que comenzo por aqui
A hacker or hackers stole data from at least 45.7 million credit and debit cards of shoppers at off-price retailers including T.J. Maxx and Marshalls in a case believed to be the largest such breach of consumer information.
El término ataque de abrevadero, en inglés watering hole attack, es una estrategia de ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización
##piggybacking o tailgating
En seguridad , piggybacking se refiere a cuando alguien acompaña a otra persona que está autorizada para ingresar a un área restringida; el término se aplica a las redes informáticas en este contexto.
With a birthday attack, it is possible to find a collision of a hash function. Osea que se podria encontrar un password x que de el mismo hash que la contraseña que no sabemos lo cual permitiria hacernos con la cuenta y ahorraria el tiempo que nos costaria un brute force atack a un hash.
Es el ataque de la memoria USB que la dejas en un lugar para que alguien la agarre se infecte como si se hubiera encontrado una USB.
Cuando se usa algo para hackear un dispositivo que este confia por ejemplo un iphone si primero hackeas una computadora con Itunes esta confiara en dicha computadora y podrias controlar el iphone con ella.
SOAP supports document-level transfer, whereas xml-rpc is more about values transfer, although it can transfer structures such as structs, lists, etc. xm-rpc is really about program to program language agnostic transfer. It primarily goes over http/https. SOAP messages can go over email as well.
Se genera una firma con la clave privada del firmante. La firma se verifica por medio de la clave pública correspondiente
Serpent es un algoritmo de cifrado simétrico de bloques que quedó finalista en el concurso Advanced Encryption Standard del NIST, tras Rijndael. Serpent fue diseñado por Ross Anderson, Eli Biham y Lars Knudsen.
Como otros participantes del AES Serpent usa un tamaño de bloque de 128 bits y soporta tamaños de clave de 128, 192 y 256 bits de longitud. El cifrado consiste en 32 rondas de substitución-permutación operando sobre cuatro bloques de 32 bits. Cada ronda usa 32 copias de la misma S-Box de 4-bit a 4-bit. Serpent se diseñó para que las operaciones se realizasen en paralelo, usando 32 desplazamientos de 1 bit.
Serpent adoptó una visión mucho más cauta que otros participantes al AES, optando por un mayor margen de seguridad. Los diseñadores afirmaron que 16 rondas serían suficientes para los métodos conocidos de ataque, pero especificaron 32 rondas para asegurarse de la robustez del algoritmo contra futuros descubrimientos en criptoanálisis.
The mib_ii.mib Management Information Base (MIB) file was originally created by Microsoft for RFC1213, which is for management of TCP/IP-based networking for a host system.
The lmmib2.mib file contains the following SNMP object types:
Slowloris intenta mantener abiertas muchas conexiones con el servidor web de destino y mantenerlas abiertas el mayor tiempo posible. Lo logra abriendo conexiones al servidor web de destino y enviando una solicitud parcial. Periódicamente, enviará encabezados HTTP subsiguientes , agregando, pero nunca completando, la solicitud. Los servidores afectados mantendrán estas conexiones abiertas, llenando su conjunto máximo de conexiones simultáneas y, finalmente, denegando intentos de conexión adicionales de los clientes.
La técnica criptográfica de claves bajo custodia, o también de depósito de claves, consiste en que las claves que se necesitan para descifrar los datos cifrados son depositadas en un sitio seguro
El ataque DROWN es una falla de seguridad de protocolos cruzados que afecta a servidores criptográficos que soportan la pila de protocolos TLS al utilizar su soporte para el protocolo inseguro SSLv2 y atacar así las conexiones que utilizan protocolos actualizados sin fallas de seguridad conocidas.12 DROWN puede afectar todos los tipos de servidores que ofrezcan servicios encriptados con TLS y que todavía ofrezcan soporte a SSLv2 y compartan las credenciales de clave pública entre los dos protocolos.
Aquí radica la motivación para el ataque del Monólogo Interno . Esta técnica creativa permite que un probador obtenga credenciales del sistema sin tocar el proceso LSASS . El ataque aprovecha el protocolo de desafío-respuesta de NetNTLM v1 . El protocolo NetNTLMv1 es inseguro debido a la forma en que calcula el desafío - respuesta, lo que permite que un atacante recupere el hash NTLM descifrando fácilmente la respuesta . Además, recuperar el hash NTLM de un usuario es casi sinónimo de recuperar la contraseña de texto sin formato de un usuario, ya que puede usarse para una técnica de ataque ' Pasar el hash ' o puede descifrarse para obtener la contraseña de texto sin formato.
Los investigadores crearon una aplicación de Android que fue diseñada para registrar las reverberaciones del habla usando el acelerómetro y enviar los datos capturados a un servidor controlador de atacante como prueba de concepto. Los investigadores han demostrado que este ataque puede usarse con éxito para espiar llamadas telefónicas, escuchar notas de voz o multimedia, y espiar el uso de un asistente como Google Assistant o Bixby, como se muestra a continuación.
Nuevo ataque permite que las aplicaciones de Android capturen datos de altavoces sin ningún permiso.
PCI DSS is a security standard, not a law. Compliance with it is mandated by the contracts that merchants sign with the card brands (Visa, MasterCard, etc.) and with the banks that actually handle their payment processing.
Definition(s): In a watering hole attack, the attacker compromises a site likely to be visited by a particular target group, rather than attacking the target group directly.
CeWL es una aplicación de Ruby que rastrea una determinada URL a una profundidad especificada, siguiendo opcionalmente enlaces externos, y devuelve una lista de palabras que pueden ser usadas para crackers de contraseñas como John the Ripper.
sqlmap.py -u "http://10.10.1.20/?p=1&forumaction=search" -dbs
Enumera el systema manejador de bases de datos.
El archivo fstab se encuentra en: /etc, este archivo contiene las lineas donde se indica al sistema que dispositivos debe "montar", el lugar donde "montarlo" así como el sistema de archivos y las opciones necesarias.
La principal diferencia entre mount y el fichero fstab es que este ultimo monta los dispositivos automáticamente en el arranque, mientras que el comando mount se usa para montar los dispositivos de forma manual. El siguiente comando recarga fstab sin necesidad de reiniciar el sistema.
mount -a
Proc file system (procfs) is virtual file system created on fly when system boots and is dissolved at time of system shut down.
It contains useful information about the processes that are currently running, it is regarded as control and information center for kernel.
ls -l /proc
ps -aux
FUente: https://www.geeksforgeeks.org/proc-file-system-linux/
evilginx2 is a man-in-the-middle attack framework used for phishing login credentials along with session cookies, which in turn allows to bypass 2-factor authentication protection.
This tool is a successor to Evilginx, released in 2017, which used a custom version of nginx HTTP server to provide man-in-the-middle functionality to act as a proxy between a browser and phished website. Present version is fully written in GO as a standalone application, which implements its own HTTP and DNS server, making it extremely easy to set up and use.
Este es un archivo runtime de confguracion que define como PHP
El fichero de configuración (php.ini) es leído al arrancar PHP. En las versiones en que PHP funciona como módulo de servidor, esto sucede únicamente cuando se inicia el servidor. En las versiones CGI y CLI, esto ocurre en cada ejecución.
Es una directiva dentro del php.ini que determina si el PHP error messages van a ser escritos a los log en el file system. Por defecto esta configurado en off. Se usa para servidores productivos que no muestra errores a los usuarios lo que seria una falla de seguridad
Es una directiva dentro del php.ini determina el path y el nombre del log que es activado por el log_errors. por default esta OFF si se activa la directiva logs_errors tu debes tambien especificar el path y nombre. Osea van juntas. log_errors ON y el error_log
Es la directiva que muestra los errores en el navegador por defecto esto esga cofigurado en On para servidores en produccion debe de estar en OFF
especifica el nivel de detalle de los errores que se moestraran.
Es cuando una organizacion extiende su infraestructura on premises a una a la nube y hay inter comunicacion entre ambas partes ( es como los ejemplos de AWs o Azure)
Donde multiples organizaciones pueden compartir los recursos de la nube. es como aws azure etc
La nube privada son recursos solamente para una organizacion que no se comparten.
Es un esquema que se comparte entre publica y privada recursos.
Nota este tipo de escaneo solo puede determinar si un puerto esta filtered o unfiltered. Si el puerto esta filtrado se espera un "no reply" no responde nada. recordas el tcp 3 way handshake SYN SYN/ACK ACK.
nmap -D IP,IP2,IP3
The goal of both options is similar, however -D allows you to specify a number of hosts. Therefore, according to the man page the syntax is actually slightly different than outlined by you, ie -D decoy1[,decoy2][,ME][,...]. This allows you to obfuscate which of the addresses that were passed is the actual source host (denoted by ME here) because the IDS or target host will see a number of portscans. You, on the "ME" host, will be able to retrieve the results without the target knowing which host was actually scanning.
Para asacar informacion de dispositivos
nmap --script enip-info -sU -p 44818
This NSE script is used to send a EtherNet/IP packet to a remote device that has TCP 44818 open. The script will send a Request Identity Packet and once a response is received, it validates that it was a proper response to the command that was sent, and then will parse out the data. Information that is parsed includes Device Type, Vendor ID, Product name, Serial Number, Product code, Revision Number, status, state, as well as the Device IP.
This technique is exactly the same as NULL, FIN, and Xmas scan, except that the probe is FIN/ACK. According to RFC 793 (TCP), a RST packet should be generated in response to such a probe whether the port is open or closed.
When scanning systems compliant with this RFC text, any packet not containing SYN, RST, or ACK bits will result in a returned RST if the port is closed and no response at all if the port is open. As long as none of those three bits are included, any combination of the other three (FIN, PSH, and URG) are OK. Nmap exploits this with three scan types:
nmap -sn -PS
The -sn option tells Nmap to skip the port scanning phase and only perform host discovery. The -PS flag tells Nmap to use a TCP SYN ping scan. This type of ping scan works in the following way:
Lo imporante es ver que existen otros TCP X ping scans dependiendo del paquete que se vaya a enviar por ejemplo esta el TCP ACK ping ( -PA ) o el UDP ping scans ( -PU ).
nmap -PA
Usando ARP tambien se puede hacer un host discovery ( -PA ).
nmap -sS -v -v -Pn -g 88 172.25.0.14
Nmap offers the -g and --source-port options (they are equivalent) to exploit these weaknesses. Simply provide a port number, and Nmap will send packets from that port where possible. Nmap must use different port numbers for certain OS detection tests to work properly. Most TCP scans, including SYN scan, support the option completely, as does UDP scan. In May 2004, JJ Gray posted example Nmap scans to Bugtraq that demonstrate exploitation of the Windows IPsec source port 88 bug against one of his clients. A normal scan, followed by a -g 88 scan are shown in Example 10.7. Some output has been removed for brevity and clarity.
https://nmap.org/book/firewall-subversion.html#defeating-firewalls-sourceport88
nmap -sS IP
One way to determine whether a TCP port is open is to send a SYN (session establishment) packet to the port. The target machine will respond with a SYN/ACK (session request acknowledgment) packet if the port is open, and RST (reset) if the port is closed. This is the basis of the previously discussed SYN scan.
nmap -Pn -p- -sI kiosk.adobe.com www.riaa.com
While idle scanning is more complex than any of the techniques discussed so far, you don't need to be a TCP/IP expert to understand it.
Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos}
ESPECIFICACIÓN DE OBJETIVO:
Se pueden indicar nombres de sistema, direcciones IP, redes, etc.
Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <archivo_entrada>: Lee una lista de sistemas/redes del archivo.
-iR <número de sistemas>: Selecciona objetivos al azar
--exclude <sist1[,sist2][,sist3],...>: Excluye ciertos sistemas o redes
--excludefile <fichero_exclusión>: Excluye los sistemas indicados en el fichero
DESCUBRIMIENTO DE HOSTS:
-sL: Sondeo de lista - Simplemente lista los objetivos a analizar
-sP: Sondeo Ping - Sólo determina si el objetivo está vivo
-P0: Asume que todos los objetivos están vivos
-PS/PA/PU [listadepuertos]: Análisis TCP SYN, ACK o UDP de los puertos indicados
-PE/PP/PM: Solicita un análisis ICMP del tipo echo, marca de fecha y máscara de red
-n/-R: No hacer resolución DNS / Siempre resolver [por omisión: a veces]
--dns-servers <serv1[,serv2],...>: Especificar servidores DNS específicos
--system-dns: Utilizar la resolución del sistema operativo
TÉCNICAS DE ANÁLISIS:
-sS/sT/sA/sW/sM: Análisis TCP SYN/Connect()/ACK/Window/Maimon
-sN/sF/sX: Análisis TCP Null, FIN, y Xmas
--scanflags <indicador>: Personalizar los indicadores TCP a utilizar
-sI <sistema zombi[:puerto_sonda]>: Análisis pasivo («Idle», N. del T.)
-sO: Análisis de protocolo IP
-b <servidor ftp rebote>: Análisis por rebote FTP
ESPECIFICACIÓN DE PUERTOS Y ORDEN DE ANÁLISIS:
-p <rango de puertos>: Sólo sondear los puertos indicados
Ej: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080
-F: Rápido - Analizar sólo los puertos listados en el archivo nmap-services
-r: Analizar los puertos secuencialmente, no al azar.
DETECCIÓN DE SERVICIO/VERSIÓN:
-sV: Sondear puertos abiertos, para obtener información de servicio/versión
--version-intensity <nivel>: Fijar de 0 (ligero) a 9 (probar todas las sondas)
--version-light: Limitar a las sondas más probables (intensidad 2)
--version-all: Utilizar todas las sondas (intensidad 9)
--version-trace: Presentar actividad detallada del análisis (para depurar)
DETECCIÓN DE SISTEMA OPERATIVO
-O: Activar la detección de sistema operativo (SO)
--osscan-limit: Limitar la detección de SO a objetivos prometedores
--osscan-guess: Adivinar el SO de la forma más agresiva
TEMPORIZADO Y RENDIMIENTO:
-T[0-5]: Seleccionar plantilla de temporizado (los números altos son más rápidos)
--min-hostgroup/max-hostgroup <tamaño>: Paralelizar los sondeos
--min-parallelism/max-parallelism <numsondas>: Paralelización de sondeos
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <msegs>: Indica
el tiempo de ida y vuelta de la sonda
--max-retries <reintentos>: Limita el número máximo de retransmisiones de las
sondas de análisis de puertos
--host-timeout <msegs>: Abandonar un objetivo pasado este tiempo
--scan-delay/--max-scan-delay <msegs>: Ajusta el retraso entre sondas
EVASIÓN Y FALSIFICACIÓN PARA CORTAFUEGOS/IDS:
-f; --mtu <valor>: fragmentar paquetes (opc. con el MTU indicado)
-D <señuelo1,señuelo2[,ME],...>: Disimular el análisis con señuelos
N. del T.: «ME» es «YO» mismo.
-S <Dirección_IP>: Falsificar la dirección IP origen
-e <interfaz>: Utilizar la interfaz indicada
-g/--source-port <numpuerto>: Utilizar el número de puerto dado
--data-length <num>: Agregar datos al azar a los paquetes enviados
--ttl <val>: Fijar el valor del campo time-to-live (TTL) de IP
--spoof-mac <dirección mac/prefijo/nombre de fabricante>: Falsificar la dirección MAC
--badsum: Enviar paquetes con una suma de comprobación TCP/UDP falsa
SALIDA:
-oN/-oX/-oS/-oG <file>: Guardar el sondeo en formato normal, XML,
s|<rIpt kIddi3 (n3n3b4n4n4), y Grepeable (para usar con grep(1), N. del T.),
respectivamente, al archivo indicado.
-oA <nombre_base>: Guardar en los tres formatos principales al mismo tiempo
-v: Aumentar el nivel de mensajes detallados (-vv para aumentar el efecto)
-d[nivel]: Fijar o incrementar el nivel de depuración (Tiene sentido hasta 9)
--packet-trace: Mostrar todos los paquetes enviados y recibidos
--iflist: Mostrar interfaces y rutas (para depurar)
--append-output: Agregar, en vez de sobreescribir, a los archivos indicados con -o.
--resume <archivo>: Retomar un análisis abortado/detenido
--stylesheet <ruta/URL>: Convertir la salida XML a HTML según la hoja de estilo
XSL indicada
--webxml: Referenciar a la hoja de estilo de Insecure.Org para tener un XML más portable
--no-stylesheet: No asociar la salida XML con ninguna hoja de estilos XSL
MISCELÁNEO:
-6: Habilitar análisis IPv6
-A: Habilita la detección de SO y de versión
--datadir <nombreDir>: Indicar la ubicación de los archivos de datos Nmap
personalizados.
--send-eth/--send-ip: Enviar paquetes utilizando tramas Ethernet o paquetes IP
"crudos"
--privileged: Asumir que el usuario tiene todos los privilegios
-V: Muestra el número de versión
-h: Muestra esta página resumen de la ayuda.
EJEMPLOS:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
Ayuda a detectar el nombre del host nombre del dominio nombre en NetBios y el OS entre otros.
IPC is inter-process communication. It describes the mechanisms used by different types of android components to communicate with one another.
- Intents are messages which components can send and receive. It is a universal mechanism of passing data between processes. With help of the intents one can start services or activities, invoke broadcast receivers and so on.
- Bundles are entities of data that is passed through. It is similar to the serialization of an object, but much faster on android. Bundle can be read from intent via the getExtras() method.
- Binders are the entities which allow activities and services to obtain a reference to another service. It allows not simply sending messages to services but directly invoking methods on them.
https://source.android.com/docs/security/overview/app-security
Concepto nuevo se puede usar una clave publica para verificar una firma ( generada con una clave privada no repudiation)
Encrypta la informacion en fases de 56 bytes
Usa el protocolo
Este comanod verifica si existe un buzon para x usuario ejemplo:
VRFY adams
250 Jonh Adams <[email protected]>
Nos muestra los destinatarios de una lista de correos
Incia la conversacion de un servidor SMTP
indica el remitente osea quien envia
Indica el receptor de un mensaje
Es un protocolo de administracion esta en la vercion 3 la version mas actual pero dicen que no ha sido aceptado en la industria
Es una base que contiene informacion de los host por ejemplo interfaces esto se logra atravez de un agente que recopila l ainformacion de los host es una base de datos jerarquica.
Contiene informacion de configuracion del protocolo SNMP en si misma y el protocolo TCP/IP
Contiene informacion del trafico entre los host y del protocolo DHCP
Esta guarda informacion sobre procesos y servicios que corren en los host. El sistema operativo que corren
Guarda los nombres de las pc tiene que ver con netbios y WINS.
Tiene informacion de los host pero mas cmo el hardware como tamaño de discos duros y cosas asi users time date processers memory.
El parametro menos r nos inidica que hay que grep va a mirar dentro de todos los arhcivos de la extencion que le digamosy la L nos indica que nos moestrara que archivos no tienen el termino que pusimos osea que no lo contienen.
-L search for files that do not contain the term.
EL atacante pone ua torre y escucha las comonuicaciones pero no modifica nada
Es cuanod el atacante usa los metadatos para ver que sitios esta visitando la victima sin modificar paquetes es un ataque dirgido a la capa 2
pues es cuando ponen una torre y esta modifica hacia donde se conecta el usuario
Son un ataque en donde se sutituye numeros y caracteres en palabras para descubir una contraseña como por ejemplo hacking a h4cking
TCP
21 ftp
22 ssh
23 telnet
25 smtp
53 dns
80 http
88 kerberos
110 pop3
161/162 SNMP
389 LDAP
443 https
445 SMB
3389 RDP
636 LDAPS
Quick Definition: A DHCP starvation attack is a malicious digital attack that targets DHCP servers. During a DHCP attack, a hostile actor floods a DHCP server with bogus DISCOVER packets until the DHCP server exhausts its supply of IP addresses. Once that happens, the attacker can deny legitimate network users service, or even supply an alternate DHCP connection that leads to a Man-in-the-Middle (MITM) attack.
En conclucion se acaba las ips y se convierte en el servidor dhcp el atacante permitiendo man in the middle.
Es el cliente final que consume la nube por ejemplo tu!
Son los que dan los servicios de la nube ejemplo:
Popular examples of cloud service providers include:
-Amazon Web Services (AWS)
-Microsoft Azure.
-Google Cloud.
-Alibaba Cloud.
-IBM Cloud.
-Oracle.
-Salesforce.
-SAP.
En la computación en la nube, una nube de operador es una clase de nube que integra redes de área amplia y otros atributos de las redes de nivel de operador de los proveedores de servicios de comunicaciones para permitir el despliegue de aplicaciones altamente complejas en la nube.
Examples of popular telecom carriers include AT&T, Sprint (acquired by T-Mobile) and Verizon. Carrier clouds integrate some of the components and features . Quiza como un tipo telcel
Cloud Broker es una entidad que administra el uso, el rendimiento y la entrega de servicios en la nube y negocia las relaciones entre los proveedores de la nube y los consumidores de la nube.
Best Cloud Brokers include: Pax8, IBM Cloud Broker, AppDirect Monetization Suite, AWS Service Catalog, CIGNEX Mercado Enterprise Marketplace, OpenText Cloud Brokerage and BPaaS, interworks. cloud platform, Jamcracker Cloud Services Brokerage (CSB), CSP Control Center, and AWS Service Broker.
Un paso por delante de las puertas de enlace a nivel de circuito, los cortafuegos de inspección de estado y la verificación y el seguimiento de las conexiones establecidas también realizan la inspección de paquetes para proporcionar una seguridad mejor y más completa. Funcionan creando una tabla de estado con IP de origen, IP de destino, puerto de origen y puerto de destino una vez que se establece una conexión. Crean sus propias reglas dinámicamente para permitir el tráfico de red entrante esperado en lugar de depender de un conjunto de reglas codificadas basadas en esta información. Dejan caer convenientemente paquetes de datos que no pertenecen a una conexión activa verificada.
Los cortafuegos de inspección de estado verifican las conexiones legítimas y las direcciones IP de origen y destino para determinar qué paquetes de datos pueden pasar. Aunque estas comprobaciones adicionales proporcionan seguridad avanzada, consumen una gran cantidad de recursos del sistema y pueden ralentizar considerablemente el tráfico. Por lo tanto, son propensos a DDoS (ataques distribuidos de denegación de servicio).
( TPM , también conocido como ISO/IEC 11889 ) es un estándar internacional para un criptoprocesador seguro , un microcontrolador dedicado diseñado para proteger el hardware a través de claves criptográficas integradas. El término también puede referirse a un chip conforme al estándar.
TPM se utiliza para la administración de derechos digitales (DRM) , Windows Defender , inicio de sesión de dominio de Windows, protección y aplicación de licencias de software , [1] y prevención de trampas en juegos en línea . [2]
Uno de los requisitos del sistema de Windows 11 es TPM 2.0. Microsoft ha declarado que esto es para ayudar a aumentar la seguridad contra ataques de firmware y ransomware
Cuando se manofactura se crea una clave de respando que consta de una llave publica y privada.
The Docker client can reside on the same host as the daemon or connect to a daemon on a remote host. A docker client can communicate with more than one daemon. The Docker client provides a command line interface (CLI) that allows you to issue build, run, and stop application commands to a Docker daemon.
The Docker daemon ( dockerd ) listens for Docker API requests and manages Docker objects such as images, containers, networks, and volumes. A daemon can also communicate with other daemons to manage Docker services.
Usualmente para hacer footprint se utilizan esta cabecera que regresa header information of the web server.
The HTTP HEAD method requests HTTP headers from the server as if the document was requested using the HTTP GET method. The only difference between HTTP HEAD and GET requests is that for HTTP HEAD, the server only returns headers without body.
Ayuda a que no existan loops redundantes en la red
Consiste en poner un switch en un puerto no usado con prioridad baja para que el protocolo mande paquetes por ahi y puedan ser snifeados.
Trident is a sophisticated(成熟的) spyware that exploits vulnerabilities in an iPhone to spy on users.These vulnerabilities allow attackers to jailbreak the target iPhone remotely and install malicious spyware such as Pegasus.Trident is capable of taking complete control of the target mobile device, and it allows attackers to monitor and track all the user activities. It also allows attackers to record audio, capture screenshots, and monitor all phone calls and SMS messages. (P.2498/2482)
Web of trust (WoT) is a trust model of PGP, OpenPGP, and GnuPG accessible systems.In WoT, everyone in the network is a CA, and they can sign for other trusted entities.WoT is a network chain in which individuals intermediately validate each other’s certificates using their signatures. Every user in the network has a ring of public keys to encrypt the data, and they introduce many other users whom they trust.
Is the most basic form of threat intelligence. These are your common indicators of compromise (IOCs). Tactical intelligence is often used for machine-to-machine detection of threats and for incident responders to search for specific artifacts in enterprise networks.
provides insight into actor methodologies and exposes potential risks. It fuels more meaningful detection, incident response, and hunting programs. Where tactical threat intelligence gives analysts context on threats that are already known, operational intelligence brings investigations closer to uncovering completely new threats.
Provides a big picture look at how threats and attacks are changing over time. Strategic threat intelligence may be able to identify historical trends, motivations, or attributions as to who is behind an attack. Knowing the who and why of your adversaries also provides clues to their future operations and tactics. This makes strategic intelligence a solid starting point for deciding which defensive measures will be most effective
Is one of the most important steps in ethical hacking because it gives hackers the necessary information to launch an attack. For example, hackers who want to crack passwords need to know the usernames of valid users on that system. Enumerating the target system can extract this information (CrashTestSecurity.com, 2022).
Es la manera de aser un weak password mas seguro y se trata de meter dicho password debil en una key derivation function PBKDF2HMAC or HKDF.
Enumeration is one of the most important steps in ethical hacking because it gives hackers the necessary information to launch an attack. For example, hackers who want to crack passwords need to know the usernames of valid users on that system. Enumerating the target system can extract this information (CrashTestSecurity.com, 2022).
No proper attribute-based access control (ABAC) validation allows attackers to gain unauthorized access to API objects or perform actions such as viewing, updating, or deleting.
Kubernetes es una plataforma portable y extensible de código abierto para administrar cargas de trabajo y servicios. Kubernetes facilita la automatización y la configuración declarativa. Tiene un ecosistema grande y en rápido crecimiento. El soporte, las herramientas y los servicios para Kubernetes están ampliamente disponibles
Kube-scheduler is a master component that scans newly generated pods and allocates a node for them. It assigns the nodes based on factors such as the overall resource requirement, data locality, software/hardware/policy restrictions, and internal workload interventions
is a type of network attack where an attacker connected to a switch port floods the switch interface with very large number of Ethernet frames with different fake source MAC address.
Attackers create fake or spoofed TCP sessions by carrying multiple SYN, ACK, and RST or FIN packets. Bypass firewalls and perform DDoS attacks against the target network, exhausting its network resources. (P.1319/1303)
A Web page with an ".stm" extension is an .HTM file that contains server side includes (SSI). These "includes" are directives that are processed by the Web server when the page is accessed by a user. They are used to generate dynamic content. SSI Web pages can be viewed as a standard HTML page in any browser.
HIPAA proporciona pautas fundamentales en torno a la divulgación de información, mientras que HITECH se basa en estos estándares con respecto a las violaciones de datos. En el caso de una violación no segura, HITECH describe los requisitos de notificación para que las entidades cubiertas cumplan.
Under Federal Information Security Modernization Act (FISMA), the Department of Homeland Security provides additional operational support to federal.
Esta permite encontrar paginas que son similares a la que pones en related.
is a free and open-source tool, which is used for finding if emails were leaked using haveibeenpwned.com API. Infoga is used for scanning email addresses using different websites and search engines for information gathering and finding information about leaked information on websites and web apps.
Herramienta utilizada para realizar ataques DDos.
Para buscar exposed parent directory por lo regular se usa.
intitle: parent directory
Es un ataque por medio de spear phising que permito a el APT10 de china espiar a empresas occidentales y se ubiera podido editar si se ubiera usado en enfoque de Zero trust.
Puede manejar tanto JSON como XML.
Arp scan
Esto equivale a
nmap -sV -sC -O --traceroute
Para la autentication encryption se usa AES-GCMP.
Es una herramienta que cuando un sitio web realiza algun cambio este te avisa ( pdoria usarse para bug bounty ¿? )
Este tipo de escaneo manda paquetes con las banderas FIN, PSH, URG.
Este tipo de escaneo si el puerto esta filtrado regresara no reply
EXPN para solicitar los destinatarios de un correo electronico.
Cuando alguien finje una relacion amorosa para poder conseguir informacion confidencial
Infecta solo cuando una condicion se cumple.
Archivos PDF que contengan dentro "txt" pero no "doc"
Es una vulnerabilidad que se aprobecha de los servidores en la nube que no tiene SO
Se considera un escaneo pasivo.
A OSINT tool.
Is a law that protects the confidentialy the integrity of information in financial institutions
Activa la version segura del FTP poniendola en los puertos 989 990
Requiere que el cliente pida al servidor usar una conexion segura.
HINFO records allow you to define the hardware type and Operating System (OS) in use at a host. This information can be used by application protocols such as FTP, which uses special procedures when communicating with computers of a known CPU and OS type. For security reasons, these records are rarely used on public servers.
Es cuando un atacante ingresa resgistros DNS ( datos de resolucion de nombres) malisiosos en un servidor dns y cuando los usuarios visitan ese sitio pues son redirigidos a otros. mas tambien en algunos casos como MITM.
Es un ataque DoS que inunda los servidores dns con trafico lo cual no permite que respondan a peticiones legitimas.
Este ataque se usa malware para re direccionar este modifica las tramas TCP por lo que entiendo asi los dns apuntaran a uno malicioso en vez del verdadero. Siento qu ees como el troyano este DNSChanger que cambiaba el 8.8.8.8 a uno controlado pro ellos.
Filtered no replay unfiltered A RST.
WPA2 PSK es remplazado por SAE ( simultaneus authentication equals).
Es modificar los paquetes a nivel de IP para que vengan desde otro source lo cual no permitiria que el atacante recupere la pagina web porque le llegaria a la ip que va en el paquete.
Ademas date cuenta del uso de chroot que ahora esa sera el root y puedes escribir el archivo de la contraseña para cambiar el passwd.
Son hackers que atacan directamente a un blackhack para detenerlos usando troyanos, keyloggers, DoS attacks.
This file contains the Java libraries that the application uses.
The Maimon scan is named after its discoverer, Uriel Maimon. He described the technique in Phrack Magazine issue #49 (November 1996). Nmap, which included this technique, was released two issues later. This technique is exactly the same as NULL, FIN, and Xmas scan, except that the probe is FIN/ACK. According to RFC 793 (TCP), a RST packet should be generated in response to such a probe whether the port is open or closed. However, Uriel noticed that many BSD-derived systems simply drop the packet if the port is open. Nmap takes advantage of this to determine open ports, as shown in Table 5.7.
Table 5.7. How Nmap interprets responses to a Maimo
Sideloading is a term that refers to transferring a file between two local devices without the use of the internet. Since the internet isn't involved, transferring a file via side loading typically requires the use of Wi-Fi, Bluetooth, or a physical memory card.
En la seguridad de las redes informáticas, los ataques de fijación de sesión intentan explotar la vulnerabilidad de un sistema que permite que una persona fije el identificador de sesión de otra persona
A chosen-ciphertext attack (CCA) is an attack model for cryptanalysis where the cryptanalyst can gather information by obtaining the decryptions of chosen ciphertexts. From these pieces of information the adversary can attempt to recover the hidden secret key used for decryption.
Tunneling trafic via DNS 53 port
Tunnelizar paquetes por ssh
Tunelizar trafico por http 80
Tuneliza trafico via ICMP
El bloque mas largo que AES puede utilizar el 127 bits
Es un ataque man in the middle en donde el atacante inserta entradas invalidad en el ARP cache. False ip to MAC associations
Tiene que ver con el ISN el cual es utilizado en el 3 way hand shake. Lo que pasa es que y se suplanta la IP.