La muerte del internet neutral, trae consigo una terrible posibilidad de que las empresas, decidan limitarnos el acceso a internet como ellas decidan y a cobrarnos como les plazca, si quieres ver una pelicula !paga!. si quieres bajar exploits !NO por que no esta permitido!, si quieres navegar por una enciclopedia !NO, por que te haces mas inteligente!, si quieres bajar software !NO lo tienes permitido!, si quieres ver porno !paga! mmmm....
Son vulnerables a un ataque donde podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Intel ha identificado varias vulnerabilidades de seguridad que podrían poner en riesgo las plataformas impactadas.
Los sistemas que utilizan ME Firmware versiones 11.0 / 11.5 / 11.6 / 11.7 / 11.10 / 11.20, SPS Firmware versión 4.0 y TXE versión 3.0 se ven afectados. PRODUCTOS AFECTADOS
6th, 7th & 8th Generation Intel® Core™ Processor Family
Intel® Xeon® Processor E3-1200 v5 & v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel® Atom® C3000 Processor Family
Apollo Lake Intel® Atom Processor E3900 series
Apollo Lake Intel® Pentium™
Celeron™ N and J series Processors
En función de los elementos identificados a través de la revisión de seguridad integral, un atacante podría obtener acceso no autorizado a la plataforma, la función Intel® ME y secretos de terceros protegidos por Intel® Management Engine (ME), Intel® Server Platform Service (SPS) o Intel® Trusted Execution Engine (TXE). INTEL ha sacado una utilería para detectar estos problemas en los sistemas afectados y la pueden bajar de aquí:
Hace ya unos días acabo de instalar windows 10 en una laptop que tengo y me di cuenta que tiene muchísimas aplicaciones que no son necesarias y que solo causan espacio y lentitud en el sistema operativo en cuestión, tales como:
-- El centro de actividades -- Windows Defender
que son para mi los mas importantes y que causan mucha molestia al usar windows y ni tarde ni presuroso me puse a crear un parche que resolviera esa situación y que desactivara o eliminara estas dos aplicaciones molestas y aquí les dejo la tool.
Las instrucciones de uso vienen en la tool, dejándoles esta imágenes donde se muestra el parche y lógicamente su Checksum de validez.
Le dejo aquí la imagen donde se hace una revisión de esta tool con kaspersky para corroborar que no es un virus ok. Una vez aplicado el parche, deberán de reiniciar su sistema.
Cualquier duda, me pueden contactar y recuerden en breve sacaremos la v 2.0 de este parche de actualización.
bUEN DÍA AMIGOS les dejo aquí el video de demostración de este nuevo ataque. donde al verlo me surgieron varias preguntas y que trataré de contestar.
En que consiste el ataque en detalle?
Este ataque va dirigido al haandshake que sta estructurado de 4 formas en el protocolo WPA2. el HAndshake se ejecuta cuando un cliente desea unirse a una red Wi-Fi protegida, y se utiliza para confirmar que tanto el cliente como el punto de acceso poseen las credenciales correctas (por ejemplo, la contraseña precompartida de la red).
Al mismo tiempo, el handshake también negocia una nueva clave de cifrado que se utilizará para cifrar todo el tráfico subsiguiente. Actualmente, todas las redes Wi-Fi protegidas modernas utilizan el protocolo de enlace de 4 vías. Esto implica que todas estas redes se ven afectadas por (alguna variante de) de este ataque.
Por ejemplo, el ataque funciona contra redes Wi-Fi personales y empresariales, contra el WPA anterior y el último estándar WPA2, e incluso contra redes que solo usan AES. Todos nuestros ataques contra WPA2 usan una técnica novedosa llamada ataque de reinstalación clave (KRACK).}
2.- Este ataque en que sistemas es mas peligroso?
Bueno amigo basados en la descripción e investigación de este, es especialmente catastrófico contra la versión 2.4 y superior de wpa_supplicant, un cliente Wi-Fi comúnmente usado en Linux. Aquí, el cliente instalará una clave de cifrado totalmente cero en lugar de volver a instalar la clave real. Esta vulnerabilidad parece ser causada por una observación en el estándar Wi-Fi que sugiere borrar la clave de cifrado de la memoria una vez que se instaló por primera vez. Cuando el cliente recibe ahora un mensaje retransmitido 3 del enlace de 4 vías, volverá a instalar la clave de cifrado ahora borrada, instalando de manera efectiva una clave de cero. Como Android usa wpa_supplicant, Android 6.0 y superior también contiene esta vulnerabilidad. Esto hace que sea trivial interceptar y manipular el tráfico enviado por estos dispositivos Linux y Android.
Tenga en cuenta que actualmente el 41% de los dispositivos Android son vulnerables a esta variante excepcionalmente devastadora.
2.- Cambiar la contraseña de tu wifi ayudará a protegerse? LAMENTABLEMENTE NO, PERO ESnÍ mantengan actualizados sus sistemas con los parches que ya ha sacado OPENBSD y WINDOWS 10.
3.- Se pueden snifear datos una vez hecho el ataque?
SI. up´s amigos...
4.- Que diferencia tiene este ataque wpa a los otros existentes?
Este es el primer ataque contra el protocolo WPA2 que no se basa en adivinar la contraseña. De hecho, otros ataques contra la red habilitada para WPA2 están en contra de las tecnologías circundantes, como Wi-Fi Protected Setup (WPS), o son ataques contra estándares más antiguos como WPA-TKIP. Dicho de otra manera, ninguno de los ataques existentes estaba en contra del apretón de manos de 4 vías o en contra de los paquetes de cifrado definidos en el protocolo WPA2. En contraste, nuestro ataque de reinstalación clave contra el apretón de manos de 4 vías (y contra otros apretones de manos) resalta las vulnerabilidades en el protocolo WPA2 en sí mismo.
5.- Sabian ustedes que OpenBSD?
YA habia sacado en silencio un parche de actualización...
se ve intersante hay que probarlo, en unos días daremos un jemplo en vivo (Y) saludos
lockpicking 2 = Mama.. Mamaa..... quiero ser cerrajero....Todas las técnicas mostradas son para conocer que tan fácil nos pueden robar y entender que lo que tu creías seguro... adivina.... NO LO ES.......(y)
Después de unos cuantas semanas de no escribir nada, hoy pondré información que es indispensable a la hora de usar el Puerto 21, Servicio FTP y lógicamente un servidor FTp y que son los:
Códigos de respuesta de FTP
Como sabemos en los protocolos de comunicación existen códigos de respuesta que se maneja entre CLIENTE-SERVIDOR SERVIDOR-CLIENTE y que sirven para saber acerca de la conexión que se lleva a cabo en estos servicios ý además es bueno mencionar que también estos códigos están estandarizados y destinados a dar una descripción intuitiva de lo que sucede en la conexión y especificados por el RFC 2616 (actualmente obsoleto), y algunos fragmentos en los estándares RFC 2518 (también obsoleto), RFC 2817, RFC 2295 (experimental), RFC 2774 (también experimental) y RFC 4918; otros no están estandarizados, pero son comúnmente utilizados.
Los mas comunes y que vemos mas son los del protocolo HTTP y que por poner un ejemplo se dividen en:
RESPUESTAS INFORMATIVAS
PETICIONES COMUNES
REDIRECCIONES
ERRORES DEL CLIENTE
ERRORES DEL SERVIDOR
Pero realmente como decía lineas arriba son las mas conocidas, aquí hablaremos de estos mismos códigos pero del servicio FTP.
A continuación se muestra un resumen de la respuesta de los códigos FTP que puede ser devuelto por un servidor FTP y Estos códigos se han estandarizado en RFC 959 por IETF con lo cual el código de respuesta es un valor de tres dígitos donde el primer dígito se utiliza para indicar uno de tres posibles resultados
El éxito - El fracaso - El error - La respuesta incompleta:
2yz - respuesta Éxito
4yz o 5yz - No hay respuesta
1yz o 3yz - Un error o una respuesta incompleta.
El segundo dígito define la clase de error:
x0z - Sintaxis. Estas respuestas se refieren a errores de sintaxis.
x1z - Información. Las respuestas a las solicitudes de información.
x2z - Conexiones. Respuestas en referencia al control y las conexiones de datos.
x3z - Autenticación y contabilidad. Respuestas para el proceso de inicio de sesión y los procedimientos contables.
x4z - No definido.
x5z - Sistema de archivos. Estas respuestas transmiten códigos de estado del sistema de archivos del servidor.
Y para finalizar el tercer dígito del código de respuesta se utiliza para proporcionar detalles adicionales para cada una de las categorías definidas por el segundo dígito.
Como pueden ver amigos estos son algunos de los códigos de respuesta y además nos da a entender lo que realmente pasa ahí dentro de ese protocolo y su forma de funcionar.
-------------- Porque lo digo? bueno les contaré la historia -----------
Hace 15 días que nació mi hijo y lógicamente estábamos pensando mi esposa y yo a que pediatra llevarlo para su primera revisión de salud y ver todo eso de las vacunas y llevar su control de bebe con pediatra, entonces recordé que había llevado ya hace más de 17 años a mi primer hijo con una doctora en Coatepec, Ver. llamada:
---SOLER CHAVEZ MA ESTHER Pediatra----
Entonces ni tarde ni presuroso hice la cita para llevarlo a su consulta y para no hacérselas cansada llegó el día de la consulta, me levante, tenía mucha flojera y me puse el pantalón de mezclilla más viejo que tenía y mis tenis viejitos Nike, pero ya medio gastadones por comodidad y recuerdo que hasta le pregunté a mi esposa " Corazón será que me vaya así vestido o me arreglo?" a lo que ella me contesta, sí solo vamos a una consulta con la Dra. así vete no creo que sea problema.
Ok! me subí con mi esposa y el bebe a mi camioneta NISSAN KICKS 2017 ya que la que tenia una Renault STEPWAY me la robaron si amigos me la robaron y ya algún día de estos contaré la historia jejejejejeje y pues ni modo a comprar otra. Nos fuimos al Dr., me presente con mi esposa al consultorio a las 11.20 y la cita era a las 12:00 ok llegue con buen tiempo y a esperar, dieron las 12 y la dra. no llegaba las 12.30 y por fin llegó. Entramos a consulta........ y una vez en consulta la dra. nos dijo pónganlo en la mesa de exploración y así lo hicimos, lo revisó y dijo que todo estaba perfectamente bien y eso me alegro muchísimo y continuo la dra. hablado sobre diferentes cosas y cuestiones que le preguntábamos sobre el bebe, y en ese momento le pregunté: Dra. Que vacunas se le tiene que poner a mi Hijo para que quede protegido y así llevar su control de todas ellas? --------------- y ella me contesto: Bueno se le tiene que poner 5 vacunas, pero esas yo no las regalo, a mí me cuestan y yo no las regalo, en Salubridad si las regalan. 🤔 Y que volteo a ver a mi esposa y con la mirada le dije queee le pasa a la dra. si no le voy a pedir regalado.......
A lo cual le conteste: Haber dra. soy el papa de IVAN H.S que usted le llevó el control por más de 5 años cuando fue BB que no recuerda quién soy? 😎
Y en ese momento expresa:
Ahh! si se me hacía conocido sr. Rodolfo Hernández Baz
Inmediatamente cambio su tono de platica y la forma de ofrecer sus servicios. Claro sr. Rodolfo al finalizar la consulta pase con mi secretaria y le dirá los costos de las vacunas................. up´s 🤑🤑🤑🤑🤑🤑
Sin más que comentar con esto amigos doy como cierta la premisa de la imagen:
NO ES LO MISMO LLEGAR EN CHANCLAS QUE PRESENTABLE
y dejamos la moraleja: Como te ven, te tratan, y como te ves, ¡te pagan!
Ojala
la Dra. pudiera ver quien soy yo y no se base en lo que ve, ademas sea
lo que sea si se pide una consulta todo el dinero vale sea quien sea. www.rodolfohbaz.net
A eso como le podríamos llamar amigos??
Ya en breve pondré en este blog otros datos de discriminación en otros lugares que eh visto como en el HOspital CIvil de Coatepec y deveras ahí si que están muchísimo peor..... hasta se sorprenderán...
Funciones usadas para el Proceso criptográfico de infección
Cada infección genera un nuevo par de llaves RSA-2048.
La clave pública se exporta como blob y se guarda en 00000000.pky.
La clave privada se cifra con la clave pública ransomware y se guarda como 00000000.key
Cada archivo se cifra usando AES-128-CBC, con una clave AES única por archivo.
Cada clave AES se genera con la función CryptGenRandom.
Donde la función CryptGenRandom llena un búfer con bytes criptográficos y los datos producidos por esta función son criptográficamente aleatorios. Es mucho más aleatorio que los datos creados por el generador de números aleatorios típicos, como el que se usa en un compilador de C.
Para poder usar esta función se requiere como mínimo:
--- Para clientes ---Windows XP (solo aplicaciones de desktop)
--- Para Servidores ---Windows Servers 2003 (solo aplicaciones de desktop)
Cabe mencionar tambien que existen otras funciones que pueden ser usadas para
La clave AES se cifra utilizando el par de claves RSA específico de la infección.
Cebe señalar que la llave pública RSA utilizada para cifrar la clave privada de RSA de infección se incrusta dentro de la DLL y es autoría de los creadores del Ransomware.
Buenas tardes amigos hace unos días comentaron en las noticias que vaciaron
las cuentas donde se almacenaban los bitcoins obtenidos por los
creadores del Ransomware WANNACRY hechandole un ojo a esas direcciones
hagamos un balance de ellas:
Para empezar son 3 direcciones hardcoded de BITCOINS que son las siguientes:
Como podemos ver amigos el resumen seria: GANANCIA TOTAL en las 3 cuentas: 41.XXXX btc.
Contando que hoy el costo del bitcoin es de:
Seria un total de:
$ 2,357,541.00 +- pesos mexicanos wowwwwwwww si que sacaron lana esas personas........
y
como podemos ver en la gráfica siguiente se vació todo jejejejeje con
esto comprobamos que fueron vaciadas 1 día después de que según
arrestaron al que encontró el killswitch para ese Ransomware.
Hoy comentamos una vulnerabilidad recién salida del comal que se da desde la versión SAMBA v 4.0.0
Nota:
y yo sigo con las rayas, Up´s este tipo de escritura la usan los que
sacan exploits, digo por si no sabian. ;p ahora ya lo saben ;P ==================================================================== == BUG: Orpheus' Lyre mutual authentication validation bypass == CVE ID#: CVE-2017-11103 (Heimdal) == Versiones: Todas las versiones de Samba desde 4.0.0 que usan Heimdal Kerberos. == Recordándoles que los binarios no son vulnerables
==
==================================================================== ============== DESCRIPCIÓN DE LA VULNERABILIDAD ============== Un
atacante puede hacerse pasar por un servidor de confianza y así obtener
privilegios en el dominio afectado y esta catalogada como:
Crítica.
En _krb5_extract_ticket () el nombre del servicio KDC-REP debe
obtenerse por medio de la versión cifrada almacenada en 'enc_part' en
lugar de la versión sin cifrar almacenada en el "ticket". El uso de la
versión sin cifrar proporciona una oportunidad para la suplantación de
servidor exitosa y otros ataques.
El impacto para Samba es particularmente fuerte para los casos en los que el servicio de replicación de DRS contacta a otro DC que solicita la replicación de contraseñas de usuario, ya que éstas podrían ser controladas por el atacante.
==================
Disponibilidad del parche
==================
Se ha puesto a disposición un parche de actualización de este sistema, recuerden actualizarlo.