24 nov. 2017

SamuraiSTFU: pentest en entornos SCADA

Actualmente no hay suficientes personas en el sector de la energía con el conocimiento o la experiencia necesarios para realizar test de penetración en entornos SCADA. Muchas empresas de seguridad con personal altamente técnico tienen el conocimiento del 80% del trabajo, pero no se dan cuenta que trabajos como: pruebas de red cableadas e inalámbricas, pruebas de aplicaciones web y tradicionales y pruebas de hardware integrado; forman parte de un test de penetración en entornos SCADA.

Lo principal es que estas empresas se pierden es el contexto del sector energético. Motivo por el que las empresas de servicios públicos son reacias a incorporar firmas de seguridad con poca experiencia específica en los sistema de control industrial. Pero pocas empresas de servicios tienen la experiencia interna y necesitan un mayor número de empresas de seguridad para elegir. Además existen muy pocas herramientas de seguridad para trabajar con protocolos de sistemas de control industrial más allá de la captura y decodificación de paquetes.
Durante años, ha habido distribuciones de test de penetración como BackTrack y SamuraiWTF para ayudar a realizar pruebas de penetración en la mayoría de los entornos de TI, sin embargo, estas distribuciones han sido de naturaleza genérica para permitir su uso en una amplia variedad de entornos diferentes. Un entorno en el que estas distribuciones no han podido satisfacer las necesidades de sus usuarios es en los sistemas SCADA y Smart Grid.

Existe una distribución de código abierto Linux específicamente para los equipos de seguridad de la empresas eléctricas: SamuraiSTFU saca lo mejor de las herramientas de seguridad para las pruebas tradicionales de penetración de red y web, y agrega herramientas especializadas para pruebas integradas y de RF, y las mezcla en el contexto del sector energético, con documentación y archivos de muestra. Sin olvidar la inclusión de emuladores para SCADA, Smart Meters y otros tipos de sistemas del sector de la energía para proporcionar un laboratorio de pruebas completo.

Las principales características de SamuraiSTFU:
  • Live DVD/VM para realizar pruebas de penetración en sistemas de control industrial con utilidades de auditoria para proveedores en el sector de la energía y otros sectores, como gas, agua, petróleo y sistemas de control en general. Y herramientas de auditoria para contratistas de seguridad e investigadores independientes.
  • Incluye herramientas gratuitas y de código abierto para todos los aspectos de Pentesting SG con: las mejores herramientas de pentesting web (pequeño subconjunto de SamuraiWTF),  las mejores herramientas de pentesting de red (pequeño subconjunto de Backtrack) y las mejores herramientas de pentesting de hardware (no incluidas actualmente en ninguna distribución).
  • También posee funciones adicionales diseñadas para equipos de seguridad de servicios públicos y firmas de seguridad que intentan obtener experiencia en servicios públicos: documentación sobre herramientas, arquitectura, metodología y protocolos, sistemas simulados de Smart Grid para fines educativos, capturas de paquetes de muestra y volcados de datos para ejercicios.
Fuente: Gurú de la Informática

El "doxing", una forma de acoso en la red

Esta semana, Amnistía Internacional hacía públicos los resultados de un estudio sobre los abusos de los que son objeto las mujeres en las redes sociales. Del informe se podía extraer, por ejemplo, que una de cada cinco mujeres en España afirmaba haber experimentado abusos o acoso en las redes al menos en una ocasión. La investigación también revelaba que un 26% de estas mujeres que habían sido acosadas como mínimo una vez habían sufrido doxing. Pero, ¿a qué hace referencia esta concepto?

El doxing es un conjunto de técnicas destinadas a recopilar información sobre un objetivo, sea persona u organización, por vías habitualmente telemáticas.

Las campañas OSINT son un ejemplo de cómo el doxing puede ser llevado a cabo sin realizar acciones ilegales, simplemente accediendo a información que es pública en la red. Pero el doxing no tiene por qué quedarse ahí, y según el caso (y la ética de quien lo esté realizando), podría llegar mucho más lejos.
Desde lo social, consiste en "amenazar a una persona mediante la revelación de datos personales", explica a La Vanguardia Enrique Dans, experto en redes sociales y profesor de la IE Business School. "El acosador puede revelar desde el teléfono hasta el lugar de residencia, con lo cual la persona pasa a sentirse amenazada."Va al alza porque los comportamientos online son cada vez más generalizados. No estamos inventando nada, estamos haciendo algo que ya tenía su paralelismo fuera de la red", asevera.

Este escenario conlleva "una situación constante de ansiedad donde la víctima cree que no hay ningún lugar seguro, que, vaya donde vaya, pueden saber quién es". El nivel de incomodidad es tal que la persona objeto del acoso "puede estar continuamente pensando que está siendo evaluada, juzgada, y que incluso pueden darse consecuencias reales". En este sentido, Montiel recuerda que muchas de estas situaciones han acabado con despidos en el trabajo o expulsiones de centros educativos. También se puede dar el caso de que el acosador difunda algo de alguien que simplemente es falso.

Respecto al retrato robot del atacante, Irene Montiel defiende que la tipología es muy variada. Hay los que tienen el objetivo de aislar a la víctima socialmente y hay los que se suman a un acoso que ya se está produciendo, convirtiéndose en colaboradores.

Sin embargo, no todos los expertos entienden como doxing la difusión de información falsa. "Eso es más bien intoxicar", defiende Yago Jesús, experto en seguridad informática, aunque apunta que "mezclar verdad con mentira blanquea la mentira, algo que lleva haciéndose en política desde hace mucho tiempo".

La mejor manera de combatir el doxing es "teniendo claro qué dice la red de ti o qué puede encontrar una persona si busca con ciertas intenciones", apunta Dans. Y pone un ejemplo: “Puede ser que tengas una multa pendiente de pago que se ha publicado en el BOE. Hay que ser consciente de que alguien la puede sacar, porque eliminar de la red este tipo de informaciones es prácticamente imposible.

El doxing se puede dar a pequeña escala, en la esfera personal, pero también se practica a gran escala. "El verdadero riesgo es cuando lo haces contra una organización", apunta Yago Jesús. "Se puede conseguir 40 correos electrónicos de una empresa a los cuales se les puede enviar un correo que contenga un adjunto que provoque que se pueda tomar el control de ese ordenador y, a partir de ahí, controlar toda la organización", añade.
Para este experto, no entraña una gran dificultad hacer daño a una compañía. Y las empresas lo saben. Ahora mismo, las auditorías de seguridad, más allá de intentar saber si tienes una web vulnerable, miran el grado de exposición de la misma. Ahora, todos los ataques, incluso los gubernamentales, ya no se centran en una web concreta, sino en las personas que las conforman, intentando obtener toda la información de la compañía en cuestión.

Lo que cada vez más hacen las compañías para protegerse, según este experto en seguridad informática, es lanzar señuelos, liberando lo que se conoce como Honeypots y Honeytokens. "Me invento con disimulo un perfil de consejero delegado, publico deliberadamente su correo electrónico y su móvil, y lo monitorizo para saber si están atacando a mi compañía. Si llega un correo a este señor que no existe de verdad, sólo públicamente en internet, sabré que hay alguien que está rastreando la compañía para un posible ataque. Ahora es una tendencia muy en alza".

Fuente: La Vanguardia

Diputados ratifica "Convenio de Budapest" para luchar contra el cibercrimen (Argentina)

La Cámara de Diputados de Argentina convirtió en ley la adhesión del país a la Convención de Budapest para la lucha contra el ciberdelito, que establece criterios, protocolos y legislaciones locales tanto para el combate de estafas informáticas como para la pornografía infantil.
Se trata de la adhesión del país a ese tratado supranacional que la cámara baja aprobó y dio así sanción definitiva a ese convenio.

El Convenio de Budapest entró en vigencia el 23 de noviembre de 2001 y se ocupa de estandarizar criterios, protocolos y legislaciones locales para el combate contra las estafas informáticas, la distribución de pornografía infantil, las infracciones vinculadas a la propiedad intelectual y los atentados contra la integridad del sistema.

Fuente: TELAM

Averiguar si una página tiene scripts que minan criptomonedas

Son cada vez más los sitios web que engañan a los visitantes instalando un script sin su permiso para que el ordenador del visitante comience a minar criptomonedas, pero ahora es más fácil identificarlos y bloquearlos.
Algunos antivirus ya realizan el bloqueo, identificando si hay intención de acceso a algún script de este tipo, pero si no queréis instalar nada en el ordenador, es posible verificarlo con una web especializada en el tema: whoismining.com.

Se trata de un sitio que muestra los sitios que usan Coinhive (para minar Monero) y otros recursos semejantes que pueden minar otras monedas (como bitcoin), con un buscador en la parte superior para que sea posible averiguar si una web específica usa o no este tipo de script.

El funcionamiento es muy sencillo: informamos la URL deseada y esperamos el resultado. En caso de que sea negativo (el sitio web es inofensivo en ese sentido), lo marcará en verde, aunque eso no significa que no tenga otro tipo de amenazas conocidas.

La detección no es difícil, solo hay que analizar el código HTML de la página para ver si existe alguna referencia a Coinhive o semejantes, pero con un buscador así, que seguramente acabará transformándose en extensión Chrome, todo parece más sencillo.

Si el consumo de CPU de vuestro ordenador ha subido bastante últimamente, es posible que ya estéis infectados, minando bitcoins para los dueños de alguna web, por lo que se recomienda realizar una limpieza intensiva.

Fuente: Wwwhatsnew

23 nov. 2017

"Un tercio de Internet está bajo ataque"

Este contundente y aleccionador mensaje viene de un equipo de investigadores que recientemente exploraron el panorama de amenazas que suponen los ataques de denegación de servicio (DoS) en el mundo. Lo que reportan haber encontrado es, según sus palabras, "una estadística que abre los ojos".

Sin embargo, antes de meternos de lleno en los detalles de su investigación, reunidos en un paper [PDF] titulado "Millions of Targets Under Attack: a Macroscopic Characterization of the DoS Ecosystem", es necesaria una breve explicación de los ataques DoS, así como de sus hermanos mayores en alcance, los ataques distribuidos de denegación de servicio (DDoS).

Ambos son comúnmente ejecutados inundando al objetivo con una marea de tráfico ficticio, con el solo objetivo de colapsar su servidor e interrumpir sus servicios. Los ataques DoS son uno contra uno, por lo que han sido reemplazados por los DDoS para multiplicar los efectos. Estos últimos implican campañas concertadas de ejércitos de dispositivos reclutados en botnets que, como soldados maliciosos alineados y marchando al mismo tiempo, apuntan a desconectar al desafortunado objetivo.

En un guiño a la magnitud del problema que los ataques DDoS representan para la estabilidad y confiabilidad de Internet, el equipo de seis investigadores llevó a cabo un análisis longitudinal del ecosistema DDoS "al introducir y aplicar un nuevo marco para permitir una caracterización macroscópica de los ataques, los objetivos de ataque y los comportamientos de mitigación".

Las conclusiones de su investigación, que se basa en datos que abarcan el período de marzo de 2015 a febrero de 2017, se dieron a conocer en la Conferencia de Medición de Internet en Londres a principios de este mes.

"Un tercio de las redes /24 recientemente estimadas como activas en Internet sufrieron al menos un ataque de denegación de servicio (DoS) en los últimos dos años", dice el hallazgo número uno del estudio realizado por investigadores de la Universidad de Twente, Países Bajos; Universidad de California, San Diego; y la Universidad de Saarland en Alemania. El sufijo "/24" o "barra inclinada 24" indica la cantidad de bits fijos en una ID de red.

Luego de diseccionar la información de dos años, los autores del estudio contabilizaron 20,9 millones de ataques que apuntaron a 6,34 millones de direcciones IP únicas. Observaron un total de 2,19 millones de bloques de red únicos /24 que alojan al menos un objetivo.

Para poner esto en perspectiva, representa poco más de un tercio de las estimaciones recientes del espacio de direcciones IPv4 utilizado activamente. IPv4 es la cuarta (y aún frecuente) versión del Protocolo de Internet que permite a los usuarios conectar sus dispositivos a Internet.
A lo largo de este período de dos años, se observó un promedio diario de casi 30.000 ataques, que uno de los autores del estudio, Alberto Dainotti, describió como "asombroso, mil veces más grande de lo que otros informes han demostrado".

Y, sin embargo, la coautora Anna Sperotto expresó su preocupación de que esto todavía no pinta el cuadro completo. "A pesar de que nuestro estudio emplea técnicas de monitorización de última generación, ya sabemos que no vemos algunos tipos de ataques DoS", dijo.

Para detectar eventos de ataque, el equipo profundizó en dos fuentes de datos brutos que se complementan mutuamente: el Telescopio de Red UCSD, que captura evidencia de ataques DDoS que involucran direcciones IP al azar y uniformemente falsificadas; y los honeypots AmpPot DDoS que rastrean los ataques DDoS de reflexión y amplificación, que involucran direcciones IP falsificadas específicas. Los atacantes usan IP spoofing para disfrazar sus identidades en ciberataques.

Objetivos

Como era de esperar, se descubrió que los servidores web eran los principales objetivos. "La mayoría de los ataques DoS (por ejemplo, alrededor del 69% para ataques basados en TCP) se dirigieron a servidores web", se lee en el estudio.

Un promedio del 3% de los sitios web que terminan en .com, .net y .org fueron víctimas de ataques diarios debido a que fueron alojados en direcciones IP que eran blanco de ataque.

Varios servicios grandes, incluidas organizaciones que prestan servicios de alojamiento web, se identificaron como objetivos frecuentes, en particular GoDaddy, Google Cloud y Wix.

Mientras tanto, la clasificación de objetivos por país coincide en gran medida con los patrones de uso de direcciones de Internet, aunque con algunas excepciones notables. Utilizando los datos del Telescopio, se encontró que los EE. UU. albergaban más del 25 por ciento de las direcciones IP a la que se apunta.

Para los ataques de reflexión, la proporción sube al 29 por ciento, con ambas cifras más o menos a la par con el uso del espacio de direcciones del país. China ocupa el segundo lugar con alrededor del 10 por ciento para ambos tipos de ataques, que también es proporcional a las estadísticas de utilización del espacio de direcciones de Internet.

Por el contrario, Japón, mientras que ocupa el tercer lugar en el número de direcciones de Internet, se ubica 14º y 25º, respectivamente, en números de objetivos DoS. Por otro lado, Rusia y Francia soportan más ataques de los que su uso de espacio de Internet estimado predeciría.

¿Qué hacemos con esta información?

Mirando debajo de la superficie, los investigadores nos dieron una idea de la amplitud y escala del problema DoS, que claramente va más allá de los ataques supremamente paralizantes que acaparan los titulares.

El equipo también notó los crecientes ataques provocados por el aumento del fenómeno DoS-as-a-Service (también conocido como "stressers" o "booters"), que permite a cualquier internauta mal intencionado orquestar ataques poderosos. El estudio claramente sirve para resaltar la necesidad de mantenerse a la vanguardia de la creciente ola de amenazas que surgen de los ataques DoS.

La magnitud del daño que los ataques de denegación de servicio pueden infligir como cortesía de botnets se ejemplificó en octubre de 2016, cuando se lanzaron una serie de ataques DDoS contra los sistemas operados por el proveedor del Sistema de Nombres de Dominio (DNS) Dyn.

El ataque, que hizo que una serie de servicios en línea de alto perfil no estuvieran disponibles, se habilitó mediante la utilización de miles de dispositivos de Internet de las Cosas comprometidos en una red de bots llamada Mirai y debería servir como una clara advertencia del daño que la denegación de servicio puede causar.

Fuente: WeLiveSecurity

22 nov. 2017

Usan scripts keyloggers para espiar usuarios en la web

Se ha hecho público un nuevo estudio de la Princeton University’s Centre for Information Technology Policy (CITP) en el que se demostraba cómo en más de 400 sitios web muy conocidos y fiables, todas ellas incluidas en el Top-50.000 de las webs más visitadas de todo el mundo, estaban espiando a los usuarios, controlando toda su actividad mediante keyloggers remotos que se habilitaban al acceder a las webs en cuestión, pudiendo seguir al ratón e incluso registrar todas las pulsaciones de teclado.

Cuando hablamos de keylogger, lo primero que se nos viene a la mente es un software malicioso, como un troyano, instalado en nuestro sistema. Aunque en cierto modo es así, no todos los keyloggers llegan en forma de software malicioso y se instalan en los ordenadores, sino que muchas veces estos también se activan en la memoria, de forma oculta, simplemente con visitar una página web.
Keylogger oculto en web
Seguro que, si visitamos una página web rusa, o china, no nos extrañe que esta oculte alguna sorpresa de este tipo. Sin embargo, lo que seguro que nos pilla por sorpresa es que estos keylogger se activen al visitar webs de supuesto prestigio como la página de HP, Xfinity, Comcast, Norton, Intel, The Telegraph, o Opera.com.

Yandex, Microsoft, Adobe, GoDaddy, Spotify, WordPress, Reuters y TMZ son otras de las páginas web catalogadas como "evidence of session recording", es decir, que cargan scripts

Cómo nos espían estas páginas web con scripts y keyloggers

La mayoría de estas páginas web descargan algo llamado "Session Replay Script", un script utilizado a menudo para recopilar información sobre los usuarios, principalmente con fines analíticos.

Existen un gran número de plataformas analíticas que utilizan este tipo de scripts para analizar la actividad de los usuarios, sin embargo, no todas funcionan igual. Mientras que muchas de ellas registran los datos esenciales para la analítica, otras muchas plataformas, como FullStory, Hotjar, Yandex o Smartlook, entre otras, recopilan absolutamente todo lo que el usuario hace en la web, hasta los movimientos del ratón o las teclas que pulsamos.

Lo peor de todo es que muchas de las conexiones, que registran y envían hasta nuestras contraseñas, se comunican con los servidores a través del protocolo HTTP, por lo que nuestros datos viajan sin cifrar por la red.

Si queremos conocer todas las páginas que hacen uso de estas técnicas, podemos consultar la lista en el siguiente enlace. Desde que este informa se ha hecho público, algunas de las webs han bloqueado la carga de estos scripts temporalmente, aunque no se descarta que se vuelvan a activar en cualquier momento.

Como podemos ver, no solo se esconden amenazas informáticas para nuestra seguridad y privacidad en las webs de dudosa confianza, sino que muchas páginas web que, aparentemente son de confianza, pueden estar actuando igual que un malware instalado en nuestro ordenador.

Fuente: Redes Zone

Uber reconoce hackeo de 57 millones de usuarios

El medio estadounidense Bloomberg reveló este martes que la aplicación de viajes urbanos, Uber, fue víctima de un hackeo que a su vez estuvo oculto por más de un año.
Según confirmó la empresa, los datos comprometidos en octubre de 2016 incluían nombres, direcciones de correo electrónico y números de teléfono de 50 millones de usuarios de Uber en todo el mundo, dijo la compañía a Bloomberg el martes. También se accedió a la información personal de aproximadamente 7 millones de conductores, incluidos unos 600.000 números de licencia de conducir de EE. UU. No se habrían robado números de seguridad social, detalles de la tarjeta de crédito, información de ubicación del viaje u otros datos.

De acuerdo a la legislación estadounidense, Uber tendría que haber informado a las autoridades y a los conductores cuyo número de licencia quedó expuesto una vez que se percataron de la brecha. Sin embargo, la compañía pagó cerca de US $100.000 a los hackers para que borarran la información y mantuvieran la filtración en secreto.

Por este motivo, durante esta semana, la empresa despidió a Joe Sullivan, jefe de la oficina de seguridad y a uno de sus ayudantes por encubrir la falla.

Fuente: Bloomberg

21 nov. 2017

Publicado OWASP Top 10 versión 2017

OWASP Top 10 es un documento orientado a la concienciación que establece un ranking de los mayores riesgos de seguridad a los que hacen frente las aplicaciones web. Esta clasificación nace del consenso de múltiples expertos en seguridad en aplicaciones web, y es actualizada cada 3 o 4 años desde 2003.
Luego de la publicación de la RC2, finalmente se ha publicado la versión final de OWASP Top 10 1017.
Como documento orientado a la concienciación, el objetivo principal del Top 10 es educar a los desarrolladores, diseñadores, arquitectos, gerentes, y organizaciones; sobre las consecuencias de las vulnerabilidades de seguridad más importantes en aplicaciones web. Provee técnicas básicas sobre cómo protegerse en estas áreas de alto riesgo y también provee orientación sobre los pasos a seguir.

Las novedades introducidas en esta edición en cuanto a la elaboración del listado son el peso que han tenido los comentarios de la comunidad, a partir de los cuales se han incluido dos de las entradas, y la gran cantidad de información recogida a través de las decenas de profesionales y empresas colaboradoras, que obtuvieron datos de más de 100.000 aplicaciones web y APIs.

La larga sombra de los microservicios

Desde la publicación del anterior Top 10, allá por noviembre de 2013, el paisaje de Internet ha cambiado bastante. Por un lado la proliferación de las arquitecturas basadas en microservicios ha aumentado la superficie de exposición y permite que código antiguo esté expuesto a Internet, cuando anteriormente se situaba detrás de una gran aplicación monolítica. Asimismo, las llamadas entre las APIs que exponen los microservicios también introducen la necesidad de autenticación entre los mismos.

A esto se une la hegemonía de JavaScript como el lenguaje de la web: por supuesto en el lado del cliente a través de los diversos frameworks disponibles, como Angular o React, pero también en la parte del servidor, donde poco a poco Node.js va reclamando un lugar propio.

Por tanto no es de extrañar que algunas de las nuevas entradas estén bastante relacionadas con este nuevo escenario. Por ejemplo, la entrada "A4 - Entidades Externas XML", que afecta a sistemas que utilizan SOAP para comunicarse, o "A8 - Deserialización insegura", que podría permitir en última instancia la ejecución remota de código y que puede encontrarse en servicios web, brokers de mensajería y autenticación en APIs. Por otro lado, y también elegido con el respaldo de la comunidad, se han introducido en el puesto 10 riesgos derivados del "registro y motorización insuficiente", no como vulnerabilidad, si no como causa principal de una respuesta deficiente a incidentes de seguridad .

El cambio de entorno también ha provocado algunas salidas del ranking. El puesto 10 de 2013, "Redirecciones no válidas" ha desaparecido del ranking (ocupa ahora el puesto 25) al aparecer sólo en el 1% de los datos analizados. Por otro lado, las vulnerabilidades de tipo Cross Site Request Forgery, el puesto 8 en 2013, ahora solo se da en menos del 5% de las aplicaciones web estudiadas, principalmente debido a que los frameworks actuales incluyen protección contra CSRF de serie.

Pero hay cosas que nunca cambian

Por ejemplo, los puestos más altos del ranking. Perenne desde 2010, permanece en el primer puesto la inyección de código: SQL, NoSQL, sistema operativo, y en general cualquier entrada que permita llegar comandos maliciosos directamente al interprete.

Igualmente, desde 2010 tenemos en segunda posición "Autenticación defectuosa", categoría que engloba los riesgos relacionados con ataques de fuerza bruta, credenciales por defecto, gestión defectuosa de las sesiones y otros muchos problemas de alto riesgo relacionados con la autenticación ante las aplicaciones.

También siguen siendo relevantes el Cross Site Scripting (aunque su presencia decrece y baja al puesto 7) y la exposición de datos sensibles, donde ocurre al contrario: Desde el sexto puesto sube al tercero.

El Top 10 de OWASP es desde hace años el estándar de facto para el desarrollo seguro de aplicaciones, y es de revisión obligada cuando se realizan auditorías de seguridad. Por ello, el documento publicado no solo ofrece el listado, sino además una completa guía de detección y actuación sobre los riesgos identificados y pasos a seguir para desarrolladores, analistas de seguridad y organizaciones.

Fuente: Hispasec

9.9.9.9, DNS especializado en detección de malware

Tres grandes de Internet se han unido para crear un servidor DNS especializado en identificar y bloquear dominios maliciosos con un nuevo servidor DNS público bajo la IP 9.9.9.9. IBM es quien ha cedido al proyecto Quad9 la singular IP 9.9.9.9 con la que resulta muy fácil recordar la dirección del servicio y que nos recuerda a los famosos 8.8.8.8 de las DNS de Google.
Esta IP esconde detrás de si la infraestructura mantenida por PCH, empresa especializada en poner en marcha puntos de intercambio de tráfico y que mantiene la red mundial más extensa de servidores DNS, incluyendo dos servidores raíz

El tercer pilar de Quad9 es son los datos que provee la Global Cyber Alliance, especialistas en análisis de ciber riesgos, y que se encargarán de alimentar al servicio con los datos de sitios identificados como maliciosos desde múltiples fuentes públicas y privadas.

Para empezar a utilizarlo simplemente hay que configurar el DNS primario de nuestro router u ordenador con la IP 9.9.9.9. A partir de ese momento Quad9 analizará cada dominio al que se acceda desde nuestro equipo, bloqueando aquellos que contrastádamente considera maliciosos, por ser utilizados por troyanos, phishing u otras amenazas para engañar o tomar el control de la víctima.

Quad9 asegura que no almacena ningún dato personal o que permita identificar al usuario, empezando por la IP y que en ningún caso se empleará el servicio para otro servicio que no sea la seguridad. La respuesta a un dominio bloqueado no será la redirección a una página de advertencia, como hacen otros servicios similares, sino que responde con un NXDOMAIN. Adicionalmente, la IP 9.9.9.10 responde sin filtrado para poder contrastar los resultados cuando queramos saber si un dominios está bloqueado.

Ejemplo de configuración

  • En Windows simplemente se debe cambiar el DNS en la configuración de red.
  • En linux se puede cambiar el archivo /etc/resolv.conf, de la siguiente manera:
Quad9 - 9.9.9.9 (IBM) 
Level3 – 209.244.0.3 y 209.244.0.4 
Verisign – 64.6.64.6 y 64.6.65.6 
Google – 8.8.8.8 y 8.8.4.4 
WATCH – 84.200.69.80 y 84.200.70.40 
Comodo Secure DNS – 8.26.56.26 y 8.20.247.20 
OpenDNS Home – 208.67.222.222 y 208.67.220.220 
DNS Advantage – 156.154.70.1 y 156.154.71.1 
Norton ConnectSafe – 199.85.126.10 y 199.85.127.10 
GreenTeamDNS – 81.218.119.11 y 209.88.198.133 
SafeDNS – 195.46.39.39 y 195.46.39.40 
OpenNIC – 96.90.175.167 y 193.183.98.154 
SmartViper – 208.76.50.50 y 208.76.51.51 
Dyn – 216.146.35.35 y 216.146.36.36 
FreeDNS – 37.235.1.174 y 37.235.1.177 
Alternate DNS – 198.101.242.72 y 23.253.163.53 
DNS – 77.88.8.8 y 77.88.8.1 
dk – 91.239.100.100 y 89.233.43.71 
Hurricane Electric – 74.82.42.42 
puntCAT – 109.69.8.51

Fuente: https://bandaancha.eu/articulos/9-9-9-9-nuevos-dns-publicos-9635Fuente:

GitHub ayudará a encontrar vulnerabilidades en dependencias de código

GitHub alberga casi 70 millones de repositorios, con proyectos que dependen de paquetes o bibliotecas de software que frecuentemente no se actualizan cuando se detectan fallos.

La plataforma de desarrollo GitHub ha lanzado un nuevo servicio que busca vulnerabilidades conocidas en proyectos en JavaScript y Ruby para lanzar alertas. Python, Ruby y JavaScript se encuentran entre los cinco lenguajes de programación principales en GitHub, junto con Java y PHP.

El nuevo servicio tiene como objetivo ayudar a los desarrolladores a actualizar los repositorios de proyectos en GitHub en cuanto se detecte una vulnerabilidad anunciada.

GitHub identificará todos los repositorios públicos que usan la versión afectada. Los proyectos en repositorios privados deberán optar por el servicio de detección de vulnerabilidades.

Las alertas deberían tener un gran impacto en la seguridad, dado que GitHub alberga actualmente casi 70 millones de repositorios, con proyectos que dependen de paquetes de software o bibliotecas de software que frecuentemente no se actualizan cuando se revelan nuevos fallos.
Las alertas forman parte del llamado "gráfico de dependencia" de GitHub, que ayuda a los desarrolladores a monitorizar los proyectos de los que depende su código, y solo se enviarán a los propietarios del proyecto y a los usuarios autorizados con acceso de administrador.

La compañía promete no divulgar públicamente las vulnerabilidades de un repositorio específico. GitHub también está utilizando el aprendizaje automático para sugerir soluciones a la comunidad.

Fuente: Silicon