Entradas etiquetadas con “wifi” de Mixelandia
PandaLabs ha descubierto DreamSystem, un sistema para controlar varias variantes de la
familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce
y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado
se incluyen actualizaciones gratuitas de nuevas versiones.
La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.
Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.
En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.
Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.
Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.
familia de bots DreamSocks. la versión 1.3 de esta herramienta es la ultima que se conoce
y esta siendo vendida en varios foros por alrededor de 750 dollares. Por el dinero pagado
se incluyen actualizaciones gratuitas de nuevas versiones.
La herramienta consta de dos partees, La primera permite a los ciber-delincuentes controlar las maquinas comprometidas, convirtiéndolas en servidores, ingresando una URL en los bots,esto es para que se conecten a ella y comiencen a recibir ordenes. La segunda parte es la parte que permite enviar las ordenes a esas maquinas infectadas. Esta ultima ha sido encontrada en muchos foros, lo cual indica que hay varias botnet controladas por esta herramienta.
Los bots controlados mediante DreamSystem permiten que el atacante las convierta en zombies y también las utilice como servidores. Además también permite que el bot descargue y ejecute cualquier tipo de archivos, incluyendo otros códigos maliciosos.
En los foros donde se ha encontrado esta herramienta, esta se esta utilizando para lanzar ataques de Delegación de Servicio Distribuidos(DDoS por sus siglas en ingles) en contra de Servidores web. Esto puede ser en dos protocolos:UDP y TCP.
Los Ciber-delincuentes usan estos ataques para bloquear los servicios proporcionados por compañías que basan sus servicios en internet, -con las perdidas que esto acarrea-, si no pagan una cantidad para detener el ataque.
Las técnicas utilizadas para distribuir estas variantes de los bots van desde la utilización de exploits para infectar la maquina de usuarios, como Mpack o enviando spam con el bot como contenido.
Los hackers han desarrollado una nueva forma de engañar alos usuarios y que descarguen malware desde un sitio de descarga apocrifo de Adobe Shockwave Player.
la forma en que operan estos sitios es mostrando iconos especialmente formados, para hacer creer al usuario que su copia de Shockwave (si es que se encuentra instalado) no esta funcionando correctamente.
Todos los links apuntan a otro sitio el cual da un "diagnostico del problema", hay que actualizar el macromedia flash player. El usuario es redirigido a un sitio que se hacer pasar por el Centro de descarga del hockwave Player.
Por supuesto la descarga es un troyano, en vez del popular Flash player. Entre las características del sitio podemos encontrar que deshabilita el botón derecho del mouse.
Con la utilización de ingeniería social, en vez de utilizar permanentemente vulnerabilidades, tales como el iFrame en internet explorer, los hackers extienden los rangos de sus posibles víctimas.
la forma en que operan estos sitios es mostrando iconos especialmente formados, para hacer creer al usuario que su copia de Shockwave (si es que se encuentra instalado) no esta funcionando correctamente.
Todos los links apuntan a otro sitio el cual da un "diagnostico del problema", hay que actualizar el macromedia flash player. El usuario es redirigido a un sitio que se hacer pasar por el Centro de descarga del hockwave Player.
Por supuesto la descarga es un troyano, en vez del popular Flash player. Entre las características del sitio podemos encontrar que deshabilita el botón derecho del mouse.
Con la utilización de ingeniería social, en vez de utilizar permanentemente vulnerabilidades, tales como el iFrame en internet explorer, los hackers extienden los rangos de sus posibles víctimas.
Esta es una pequeña traducción de un entrevista realizada a los creadores de este ataque.
Lanoa original esta en ingles aquí.
Extracto
WEP esta muerto y aquí la prueba.
Crackear el algoritmo de seguridad para WIFI "WEP" es un juego de probabilidad. el número de paquetes requerido para desencriptar la clave depende de varios factores, incluyendo suerte.
Cuando WEP fue rota en 2001, el ataque necesitaba mas de 5 millones de paquetes para funcionar. Durante el verano de 2004, un hacker llamado KoreK publico un nuevo ataque para WEP llamado Chopper que redujo considerablemente la cantidad de paquetes requeridos, permitiendo que la gente crackeara las llaves, con cientos de miles de paquetes, en vez de millones de estos.
El mes pasado, res investigadores, Erik Tews, Andrei Pychkine y Ralf-Philipp Weinmann
desarrollaron un ataque mas rápido (basándose en el criptoanálisis del RC4 de Andreas Klein),que trabaja con paquetes ARP y que solo necesita 85,000 paquetes para crackear la llave con un 95% de probabilidad. Esto significa obtener la llave en menos de 2 minutos.
pero ¿Cómo funciona el ataque?
Paso1: Encuentra al enemigo (esto es la red de pruebas que creaste en tu laboratorio), solo para verificar los resultados). Puedes usar airodump para encontrarla.
Paso 2: Generar algo de tráfico. Para generar algo de tráfico, usa aireplay-ng en modo ARP injection. Airplay buscara en la red hasta que encuentre un paquete ARP encriptado. Reinjectando este paquete una y otra vez, generaras mucho trafico, y así sabrás que la mayoría de trafico es trafico-ARP. Para un packete ARP, se conocen los 16 primeros Bytes de texto en claro y entonces también los primeros 16 bytes del cipherstream.
Paso 3: Escribe este trafico al disco usando airodump-ng. Esto creara un archivo con el trafico TCP capturado.
Paso 4: Lanza el algoritmo. Necesitaras aircrack-ptw (por cierto, aircrack-ptw ha sido integrado en la versión 0.9-dev de aircrack-ng, la cual esta actualmente en svn, pero no ha sido lanzada).
Desde un punto de vista teórico, el algoritmo se basa en las siguientes ideas.
Andreas Klein, un investigador alemán, demostró que hay una correlación en RC4 entre los Keybytes 1 al i-1, la keystrem y el keybyte i. Si los keybytes 1 al i-1 y la keystream son conocidos, es posible adivinar el siguiente keybyte con una probabilidad de 1.36/256 lo cual es un poco máyor que 1/256. Esto permite que sea posible adivinar la suma de los keybytes i hasta i+k con una probabilidad de mas de 1.24/256.
En el ambiente de WEP, los primeros tres bytes de un paquete clave, siempre son conocidos y son llamados IV. Esta herramienta trata de adivinar la suma de los siguientes 1,2,3, ... hasta 13 keybytes para cada paquete. Si se han capturado los paquetes suficientes, el valor adivinado un numero mayor de veces par una suma, usualmente sera el numero correcto. Si no el valor correcto en la mayoría de los casos sera uno de los mas adivinados.
Aircrack-ptw trata de encontrar la clave, usando la idea descrita anteriormente. Si se tienen de 40,000 a 85,000 paquetes, la probabilidad de éxito, estará entre el 50 y el 95 por ciento.
Lanoa original esta en ingles aquí.
Extracto
WEP esta muerto y aquí la prueba.
Crackear el algoritmo de seguridad para WIFI "WEP" es un juego de probabilidad. el número de paquetes requerido para desencriptar la clave depende de varios factores, incluyendo suerte.
Cuando WEP fue rota en 2001, el ataque necesitaba mas de 5 millones de paquetes para funcionar. Durante el verano de 2004, un hacker llamado KoreK publico un nuevo ataque para WEP llamado Chopper que redujo considerablemente la cantidad de paquetes requeridos, permitiendo que la gente crackeara las llaves, con cientos de miles de paquetes, en vez de millones de estos.
El mes pasado, res investigadores, Erik Tews, Andrei Pychkine y Ralf-Philipp Weinmann
desarrollaron un ataque mas rápido (basándose en el criptoanálisis del RC4 de Andreas Klein),que trabaja con paquetes ARP y que solo necesita 85,000 paquetes para crackear la llave con un 95% de probabilidad. Esto significa obtener la llave en menos de 2 minutos.
pero ¿Cómo funciona el ataque?
Paso1: Encuentra al enemigo (esto es la red de pruebas que creaste en tu laboratorio), solo para verificar los resultados). Puedes usar airodump para encontrarla.
Paso 2: Generar algo de tráfico. Para generar algo de tráfico, usa aireplay-ng en modo ARP injection. Airplay buscara en la red hasta que encuentre un paquete ARP encriptado. Reinjectando este paquete una y otra vez, generaras mucho trafico, y así sabrás que la mayoría de trafico es trafico-ARP. Para un packete ARP, se conocen los 16 primeros Bytes de texto en claro y entonces también los primeros 16 bytes del cipherstream.
Paso 3: Escribe este trafico al disco usando airodump-ng. Esto creara un archivo con el trafico TCP capturado.
Paso 4: Lanza el algoritmo. Necesitaras aircrack-ptw (por cierto, aircrack-ptw ha sido integrado en la versión 0.9-dev de aircrack-ng, la cual esta actualmente en svn, pero no ha sido lanzada).
Desde un punto de vista teórico, el algoritmo se basa en las siguientes ideas.
Andreas Klein, un investigador alemán, demostró que hay una correlación en RC4 entre los Keybytes 1 al i-1, la keystrem y el keybyte i. Si los keybytes 1 al i-1 y la keystream son conocidos, es posible adivinar el siguiente keybyte con una probabilidad de 1.36/256 lo cual es un poco máyor que 1/256. Esto permite que sea posible adivinar la suma de los keybytes i hasta i+k con una probabilidad de mas de 1.24/256.
En el ambiente de WEP, los primeros tres bytes de un paquete clave, siempre son conocidos y son llamados IV. Esta herramienta trata de adivinar la suma de los siguientes 1,2,3, ... hasta 13 keybytes para cada paquete. Si se han capturado los paquetes suficientes, el valor adivinado un numero mayor de veces par una suma, usualmente sera el numero correcto. Si no el valor correcto en la mayoría de los casos sera uno de los mas adivinados.
Aircrack-ptw trata de encontrar la clave, usando la idea descrita anteriormente. Si se tienen de 40,000 a 85,000 paquetes, la probabilidad de éxito, estará entre el 50 y el 95 por ciento.
Suscripción a fuentes
Si usted utiliza un lector de Fuente RSS, usted podrá suscribirse a una fuente de todas las entradas con las etiquetas “wifi”.
Estadisticas
