GitRob: Organizaciones que tienen repositorios GitHub

A los desarrolladores generalmente les gusta compartir su código, y muchos de ellos lo hacen al abrirlo en GitHub, un servicio de alojamiento y colaboración de código social. Muchas compañías también usan GitHub como un lugar conveniente para alojar repositorios de códigos públicos y privados mediante la creación de organizaciones de GitHub donde se puede unir a los empleados.
A veces los empleados pueden publicar cosas que no deberían estar disponibles públicamente. Cosas que contienen información delicada o cosas que podrían incluso llevar al compromiso directo de un sistema. Esto puede suceder por accidente o porque el empleado no conoce la sensibilidad de la información.

Buscar información delicada en repositorios de GitHub no es algo nuevo, se sabe desde hace tiempo que se pueden encontrar cosas como claves privadas y credenciales con la funcionalidad de búsqueda de GitHub, sin embargo, Gitrob hace que sea más fácil enfocar el esfuerzo en una organización específica. Lo primero que hace la herramienta es recopilar todos los repositorios públicos de la organización. A continuación, recoge a todos los miembros de la organización y sus repositorios públicos, a fin de compilar una lista de repositorios que podrían estar relacionados o tener relevancia para la organización.

Resultado de imagen de gitrob

INFORMACIÓN Y DESCARGA DE GITROB

Gitrob es una herramienta de línea de comandos que puede ayudar a las organizaciones y a los profesionales de seguridad a encontrar esa información confidencial. La herramienta iterará sobre toda la organización pública y los repositorios de miembros, y hará coincidir los nombres de los archivos con un rango de patrones para archivos que generalmente contienen información sensible o peligrosa.

Es una herramienta que se puede usar defensivamente y ofensivamente:

  • Defensivamente: Si usted es responsable de la seguridad en una empresa que utiliza GitHub para el código de hosting, Gitrob puede utilizarse para verificar periódicamente si su organización tiene algún archivo confidencial que pueda estar retenido en los repositorios.
  • Ofensivamente: Si estás en el lado ofensivo, como un probador de pentester profesional, Gitrob puede usarse en la etapa inicial de recopilación de información para buscar cualquier cosa que pueda proporcionarte un punto de apoyo o aumentar la superficie de ataque del objetivo. Gitrob también puede proporcionarle nombres de usuario, nombres, direcciones de correo electrónico y nombres de sistemas internos que son útiles en campañas de phishing y ataques de ingeniería social. Si tienes suerte, Gitrob incluso puede darte un completo engaño sin enviar un solo paquete malicioso a los sistemas del objetivo.

Más información y descarga de Gitrob:
https://github.com/michenriksen/gitrob

FUENTE: gurudelainformatica.es

Hacer frente a ataques de Phising.

Phishing: envío de correos electrónicos que, simulando proceder de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario.

Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas Web falsas. El usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que va a parar a manos del estafador. La mayoría de los ataques Phishing son consecuencia de las masivas infecciones de ordenadores zombie. Las redes formadas por los troyanos (botnet) que convierten el sistema en un zombie, son utilizadas para el envió de Spam y Phishing, ya que así se escudan en personas que no son conscientes de su infección para realizar estos ataques.

Paliar los ataques de Phishing es posible con Gophish, una herramienta para la simulación de ataques de Phishing. La idea detrás de Gophish es simple: poder realizar entrenamiento de técnicas de Phishing a grandes redes de corporaciones o empresas y que esté disponible para todo el que quiera usarlo, en este caso significa dos cosas:

  • Que es un software de código abierto que es completamente gratuito para cualquiera que lo quiera utilizar.
  • Está escrito en el lenguaje de programación Go. Con el beneficio posee binarios compilados sin dependencias. Esto hace que la instalación sea tan simple como «descargar y ejecutar».
Acceso y descarga.  Manual de uso

Se trata de un sistema de Phishing de código abierto destinado a poner a disposición de todos el entrenamiento de Phishing, y supuestamente es extremadamente fácil de usar. GoPhish difiere de la mayoría de las ofertas comerciales similares en el hecho de que está alojado en un servidor de la propia red interna, por lo que cualquier información que se maneje con ella, no saldrá de la red interna.

Tiene una interfaz de usuario de administración muy amigable. Construido desde el principio con una API JSON que hace que sea fácil para los desarrolladores y administradores de sistemas, automatizar campañas simuladas de Phishing. Al ejecutarla se inician dos servidores web, una base de datos y un agente en segundo plano, que gestionará el envío de correos electrónicos. Está disponible para Windows, Linux y OS X.

 

Fuente: http://www.gurudelainformatica.es