lunes, 30 de abril de 2012

Seminario de Ethical Hacking Ninjahack


El pasado 25 de Abril OPEN-SEC en alianza estratégica con ADIESTRA, desarrolló el Seminario de Ethical Hacking "Ninjahack", para los ganadores durante el evento "Cyber Security Government 2012" , durante el seminario se pudieron ver temas como :

- Estándares y metodologías
- Información sobre certificaciones
- Mecanismos para Footprint
- Herramientas de Google Hacking
- Tipos de escaneos de puertos y como realizarlo de manera efectiva
- SQL Inyection , teoría, técnicas y demostraciones
- Torneo de Hacking



martes, 17 de abril de 2012

Open-Sec presente en el Cyber Security Government 2012


Exitosa fue la participación de Open-Sec durante el evento que se desarrolló el pasado jueves 12 de abril, con la ponencia "Los TOP 10 de vulnerabilidades y ataques en las entidades del Gobierno Peruano" donde se brindaron detalles sobre los ataques más representativos a los organismos del Perú, el cual estuvo a cargo por Walter Cuestas (@wcu35745) - Gerente General de Open-Sec



Así mismo Open-Sec en alianza con Adiestra , sortearon a los participantes, entradas de participación al "Seminario de Ethical Hacking" a desarrollarse el próximo 25 de Abril.

Finalmente, tuvimos la oportunidad de fraternizar con amigos como Leonardo Pigñer ( @KFS ) de BASE4 Security,  así como otros grandes amigos , con los cuales pudimos departir durante el almuerzo.




lunes, 2 de abril de 2012

Explotando Vulnerabilidad en FreePBX 2.10

En el marco del Primer seminario de PER Systems como ATC de Mile2   realicé una charla titulada "Hacking Voip" , debido a esto ejecuté la demostración de explotación, de una vulnerabilidad reciente (en ese momento) en la aplicación web "Freepbx" y que afecta a las versiones 2.10

Este exploit fue publicado en exploit DB (http://www.exploit-db.com/exploits/18650/ ) el 23/03/2012
En este caso la vulnerabilidad es de tipo “Remote Code Execution Exploit” , es decir inyecta código en una pagina no autentificada de Freepbx, determinadas  variables que generan la ejecución de sentencias del sistema operativo vía la función  “system” de asterisk , lo cual genera una conexión reversa desde el host atacado hacia el host del atacante vía el puerto 443.

La vulnerabilidad es posible explotar, bajo estas condiciones :

- Tener abierto el entorno de administración (80 y/o 443)
- Conocer el numero de alguna extensión del host atacado
- Tener activado el Voicemail de la extensión atacada.

El siguiente vídeo muestra como explotar esta vulnerabilidad



Para parchar la vulnerabilidad es necesario ejecutar el comando : yum update freePBX

Saludos
Juan Oliva

Primer seminario de PER Systems como ATC de Mile2

Con motivo del anuncio de la realización del primer curso de certificación C)PTE , se desarrolló pasado jueves 29 de Marzo, el primer seminario de Ethical Haking organizado por  PER Systems en su calidad de ATC de Mile2.

En el cual participaron los Consultores Senior de Open-sec e instructores autorizados por Mile2,  Mauricio Urizar  con el tema  "Hacking de cajeros Automáticos"  y Juan Oliva  con  "Hacking Voip"  respectivamente.




Finalmente Walter Cuestas, Gerente General de Open-sec , dio a conocer  el "Course road map" de certificaciones de Mile2. las cuales se brindarán próximamente en el Perú.