Mensajes

[Etherwall]

¿Como puedo prevenir y/o evitar estos ataques?

Etherwall es una herramienta gratuita de seguridad de red  especifica para prevenir ataques de MITM (man-in-the-middle) a través de envenenamiento de cache ARP

https://github.com/rndc/etherwall

Marmita 1.3: Detector de ataques man in the middle

http://www.elladodelmal.com/2012/03/marmita-13-detector-de-ataques-man-in.html


    » Scripts para evitar "Man in the Middle" en Wifis publicas

Código (bash) [Seleccionar] Expandir


#!/bin/bash
tmpFile=/tmp/arpcheck
tmptmpFile=/tmp/arpcheckt
echo "" > $tmpFile
echo "" > $tmptmpFile
while :
do
arp -n>>$tmpFile
sort -h $tmpFile |uniq|sed '/Address/d ' | sed '/incomplete/d ' > $tmptmpFile
mv $tmptmpFile $tmpFile
awk -F' ' '{ print $1 }' $tmpFile|uniq -d > $tmptmpFile
dup=$(head -1 $tmptmpFile)
if [ "$dup" == "" ]; then
echo "No se ha detectado suplantación de MAC hasta ahora"
else
awk -F' ' -v P=$dup '$1==P {system("ifconfig " $5 " down && echo Se ha detectado un posible ataque Man in the Middle - Apagando la interfaz de internet "$5"!")}' $tmpFile|head -1
break
fi
sleep 1

Código (bash) [Seleccionar] Expandir

#!/bin/sh
#http://dasubipar.blogspot.com
#Limpiamos la pantalla
clear
# Bucle que se repite hasta que obtenemos la configuracion de red
echo "Esperando a obtener configuracion de red......"
IpGateway=""
while [ i=0 ]; do
IpGateway=`route -n|grep UG|tr -s " "|cut -d " " -f2`
if [ $IpGateway != "" ]; then
   break
fi
sleep 3
done

#Una vez tenemos conectividad, comprueba la IP y MAC del gateway y añade una entrada estatica a la lista ARP (en el caso de que se dinamica)

comprueba=`arp -n|grep -w $IpGateway|grep CM`
if [ -z "$comprueba" ]
then
echo "La entrada ARP del ROUTER en tu lista ARP NO ES ESTATICA"
MacGateway=`arp -n|grep -w $IpGateway|tr -s " "|cut -d " " -f3`
echo "La ip de tu router es: $IpGateway y su MAC es: $MacGateway"
`arp -s $IpGateway $MacGateway`
echo "Ahora ya estas protegido contra envenenamientos ARP"
else
echo "La entrada ARP del ROUTER en tu lista ARP ES ESTATICA"
fi

[PDF deconstruído al aroma de shellcode ( I )]

PDF deconstruído al aroma de shellcode ( I )
http://www.securityartwork.es/2014/09/30/pdf-deconstruido-al-aroma-de-shellcode-i/

Análisis de PDF sospechosos
http://www.securityartwork.es/2013/12/05/analisis-de-pdf-sospechosos/

Análisis y extracción de PDF.Exploit/CVE-2013-5065
http://www.securityartwork.es/2013/12/11/analisis-y-extraccion-de-pdf-exploitcve-2013-5065/

[Autoruns]

Podrías usar Autoruns para ver los programas que se ejecutan en el inicio (similar a utilizar msconfig o ver las claves del registro run, run once, etc).

Aplicaciones y servicios que se cargan al Iniciar. Es normal que un ordenador carge lento si tenemos el Skype y más programas cargados al iniciar el ordenador que luego no usamos siempre.

¿La reinstalación del sistema operativo fue completa? ¿Sistema operativo limpio o conservando programas y configuraciones?)

Si durante la instalación se apagaba es muy probable que sea un problema de hardware.

[Servicio VPN Gratuito:]

He investigado un poco acerca del tema y veo que cuando usas un proxy una de sus caracteristicas es la lentitud de la conexión aparte de que muchos de ellos son transparentes

Los proxys "transparentes" son "mejores" porque son más "seguros", es decir esconden mejor la ip real.

Se ha hablado bastante por el foro entre las diferencias de un proxy y una VPN. Es buscar un poco.

http://www.stayinvisible.com/ no sirve porque ejecuta un applet de Java xD eso es hacer trampas para ver tu ip real.

Servicio VPN Gratuito:

La escuela de posgrado de la universidad de Tsukuba, Japón, presentó hace poco el Proyecto Experimental Académico de VPN Gate con el objetivo de "expandir el conocimiento de los Servidores Globales, Públicos y Distribuidos de VPN."

http://www.vpngate.net/en/

En el foro se habrá preguntado como unas 50 veces cada cosa:

1 - Cómo ver las cabeceras de un e-mail para ver la ip del remitente
2 - Geolocalizar una ip.

Lo único que tienes que hacer  (o pedir que te hagan) es añadir los registros SPF a las DNS de tu dominio.

Registros SPF

Código [Seleccionar] Expandir

"v=spf1 IPV4:x.x.x.x -all"

Pero con el -all es FAIL, es decir REJECTED, pero eso ya depende de la política SPF de cada servidor de correo.

elhacker.net usa ~all (softfail), que es menos restrictivo.

En las cabeceras de cualquier e-mail verás el SPF si es pass, neutral o false

Received-SPF: pass (google.com: domain of el-brujo@elhacker.net designates 209.85.216.178 as permitted sender) client-ip=209.85.216.178;

Es la única manera de evitarlo, de esta manera la persona que mande e-mails con un servidor "no autorizado" muy probablemente le marcarán los e-mails como SPAM.

Creo que para capturar los paquetes de la Wifi deberás usar un adaptador Wifi para y viceversa, si estás conectado por cable de red ethernet y deseas capturar paquetes de la wifi deberás estar en la "misma red sin cablear".

Verificar si hay subredes (distintos rangos) o redes privadas virtuales.

Si es en Linux  verifica que el adaptador esté con el flag "promisc" con ifconfig, en Windows se suelen usar los drivers Winpcap.

Si, opino lo mismo.

Tendrás que monitorizar sólo el tráfico UDP 53 (usando filtros) para ver las consultas y respuestas DNS que se realizan.

Ejemplo con Wireshark en modo consola (thsark):

Código [Seleccionar] Expandir

tshark udp port 53 -b filesize:100000 -a files:250 -w /tmp/traffic.pcap &

http://www.vpngate.net/en/

También usan SofEther VPN Client Manager. Revisa que en Conexiones de Red tengas el adaptaror virtual de la VPN.

¿Siempre que intentas entrar a dónde?

Con una VPN la ip queda completamente escondida, estarán usando algún otro método para identificarte como Hardware ID o parecidos.

Sinceramente lo más fácil en este caso es que se dé de baja de Movistar Fusion.

90 metros más la distancia vertical de los 7 pisos

¿Para que quiere internet en una carnicería?

Si, ahora (hace años ya) con los nuevos routers hay que usar el Portal Alejandra:

http://www.movistar.es/particulares/internet/adsl-fibra-optica/clientes/configuracion-routers-portal-alejandra/

http://comunidad.movistar.es/t5/Soporte-T%C3%A9cnico-Banda-Ancha/C%C3%B3mo-conseguir-y-cambiar-la-Contrase%C3%B1a-WiFi-de-tu-Router/td-p/1642654

Cambia la contraseña y el SSID.