“SERVIDORES MD5 ONLINE”

Publicado: octubre 26, 2010 en Sin categoría

MD5

Aún muchas aplicaciones utilizan md5 para almacenar contraseñas en bases de datos. La mejor opción sin duda es tener tablas rainbow con todo el juego de caracteres posible. Pero si tenemos la necesidad de consultar un hash, existen muchas aplicaciones online que disponen de este servicio.

He probado varios de ellas y anotado algunas de las características que me han llamado la atención, eliminando aquellos obsoletas y comprobando si solicitan captcha o no, por si se automatiza alguna herramienta de consultas, como la publicada en packetstorm.
La siguiente tabla es el resultado.
http://hashkiller.com/index.php?action=md5webcrack md5 Necesita registro
http://www.md5this.com/crack-it-/index.php md5 X
http://passcracking.com/ md5 Prioridad con registro
http://www.beeeer.org/hash/ md5 X usa hashcat
http://crackfor.me/ md5 En ruso
http://hash.insidepro.com/ md5 X Foro
http://www.md5decrypter.co.uk/ md5 X
http://md5.my-addr.com/md5_decrypt-md5_cracker_online/md5_decoder_tool.php md5
http://md5pass.info/ md5
http://generuj.pl/ md5
http://md5decryption.com/ md5
http://md5decrypter.com/ md5 X
http://md5crack.com/ md5 Usa Google
http://schwett.com/md5/ md5 Muy pobre
http://md5-db.de/ md5
http://xmd5.org/md5/ md5
http://md5online.net/ md5
http://www.netmd5crack.com/cracker/ md5
http://md5-decrypter.com/ md5
http://www.thoran.eu/cracker md5
http://md5cracker.tk/ md5 Busca en 15 webs
http://www.shell-storm.org/md5 md5
http://tools.benramsey.com/md5/ md5 API, lento y pocos resultados
http://www.hashchecker.com/?_sls=search_hash md5
http://md5.gromweb.com/ md5
http://md5.hashcracking.com/ md5
http://bokehman.com/cracker/ md5 Pequeño
http://victorov.su/md5/ md5
http://md5.thekaine.de/ md5
http://md5.turhu.us/md5 md5 Usando buscadores
http://md5.web-max.ca md5
Anuncios

BANCOS Y SSL

Publicado: octubre 26, 2010 en Novedades

Caja Fuerte

A estas alturas todo el mundo está familiarizado con SSL, es la capa de seguridad mediante cifrado que incorpora HTTP para proteger las comunicaciones.

Bajo las siglas SSL se encuentra un complejo entramado de longitudes, algoritmos y tipos de certificados. La forma en la que se combinan estos parámetros hace que un servidor ofrezca una conexión SSL mas o menos robusta. Como tantas cosas en el mundo de la seguridad, se cumple el axioma: mas robusto = mas inversión.

Teóricamente y sobre el papel la banca online debería ser ejemplo a la hora de implementar SSL en sus servicios por dos motivos:

1- Son entidades que manejan mucha inversión
2- El tipo de actividad a la que se dedican requiere todas las garantías

Pero … ¿Es así? Hemos realizado un estudio sobre los principales portales de banca online Españoles analizando diversos parámetros para evaluar la robustez del servicio.

Criterios evaluados:

* Soporte a SSL v2: Se puntúa como Bien no dar soporte a negociaciones SSL v2 (obsoletas y con numerosos vectores inseguros) y Mal si el servidor lo admite
* Tipo de certificado: Puntúa como Mal tener un certificado SSL normal y corriente (ver post sobre Agencia Pituitaria) y bien tener un certificado con Validación extendida (mucho mas riguroso y caro)
* Longitud de la clave RSA del certificado: Puntúa como Mal tener un certificado de 1024 o menos y Bien tener 2048
* Soporte de algoritmos ‘débiles’: Se entiende por algoritmo débil aquel que cuya longitud de clave es 56 o 64 bits y puntúa como Mal admitir esos algoritmos para cifrar la conexión y Bien no hacerlo.

Metodología empleada:

Verificación SSL v2:

openssl s_client -ssl2 -connect servidor:443

Tipo de certificado (Normal / EV):

Cualquier navegador actual (Chrome, Firefox, IE)

Longitud clave pública:

openssl s_client -connect servidor:443

Soporte de algoritmos débiles:

openssl s_client -cipher LOW:EXP -connect servidor:443

Fuente: Securitybydefault.com

Aprovechando la ultima vulnerabilidad de microsoft : web_dav + reverse tcp + vncinjection

Twitter, una vez más, se convirtió en el principal blanco de ataque. A su vez se ha detectado una nueva campaña de infección masiva del gusano Koobface y el primer troyano para equipos móviles con sistema operátivo Android.

Durante agosto se descubrieron aplicaciones dañinas especialmente diseñadas para automatizar la creación de malware del tipo bot administrados por medio de Twitter. A su vez, según informa la empresa de seguridad informática ESET, ha sido detectada una nueva campaña de propagación masiva del gusano Koobface a través de técnicas de Ingeniería Social.

Durante el mes de agosto, el Laboratorio de Análisis e Investigación de ESET Latinoamérica alertó sobre la existencia de una nueva aplicación maliciosa denominada TWot Bot que posibilita la generación de malware para la creación de zombies administradas a través de Twitter. De esta manera, utilizando los perfiles de la red social es posible enviar comandos al equipo infectado para descargar y ejecutar de forma automática otros códigos maliciosos o, por ejemplo, robar contraseñas de varios programas, entre ellos, FileZilla.

A través de esta amenaza, detectada como MSIL/TwiBot.A, se establece la comunicación entre el equipo infectado y el administrador de una botnet.

“Las redes sociales constituyen uno de los canales de propagación de malware más explotados por los ciberatacantes debido a la masificación del uso de estas plataformas. Por tal motivo si bien es muy importante contar con una solución de seguridad con capacidades de detección proactiva, la educación y la información son complementos fundamentales para mantenerse a salvo de estas nuevas amenazas informáticas”, afirmó Sebastián Bortnik, Analista de Seguridad de ESET Latinoamérica.

También, a mediados del mes de agosto se alertó sobre una nueva campaña de propagación del gusano Koobface que, como ya es habitual en este tipo de amenazas, utiliza técnicas de Ingeniería Social para infectar el equipo. En esta oportunidad, a través de una falsa página de YouTube se descarga el gusano que luego de infectar el equipo descarga otros códigos maliciosos diseñados para efectuar acciones particulares: romper Captcha, robar contraseñas almacenadas en el sistema, convertir el equipo en un zombi, crear un Proxy, instalar rogue, entre otros.

Clickjacking

Publicado: septiembre 2, 2010 en Novedades

Clickjacking es una vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen que afecta a muchos los navegadores actuales (menos a links, lynkx y parecidos) y permite a un atacante tomar control de los vínculos que nuestro navegador con solo visitar una sitio malicioso. El bug no tiene relación con JavaScript así que deshabilitarlo no ayudará de mucho.

El problema es grave y no parece resolverse con un simple parche, con esta vulnerabilidad un atacante puede forzar a hacer click en cualquier vinculo (sitios con virus, spyware… o anuncios…) sin que el usuario se dé cuenta de lo que está sucediendo.

Para poner un ejemplo sencillo un atacante podría por ejemplo obligarnos a visitar enlaces de AdSense (aumentando las ganancias del usuario malicioso), se podría ofertar automáticamente en sitios como MercadoLibre o eBay, robar nuestra información personal, bancaria, etc… Con el hecho de hacernos visitar la url que ellos decidan las acciones que nos podemos realizar sin darnos cuenta solo son limitadas por la imaginación del atacante.

Jeremiah Grossman y Robert Hansen , ya se han puesto en contacto con las empresas responsables de los principales navegadores Microsoft, Mozilla y Apple para solucionar el problema aunque advierten que no hay una solución sencilla hasta el momento pero están trabajando en una.

Algunas cosas que podemos hacer para protegernos:

1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
* Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
* Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
4. Los usuarios de Explorer, Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Fuente:http://www.dragonjar.org/clickjacking.xhtml