Noticias de Seguridad Informática - Segu-Info

miércoles, 16 de abril de 2014

14:00:00

Adolescente amenazó por Twitter con atentado y fue detenida

Una niña holandesa de 14 años fingió ser un miembro de Al Qaeda, amenazó por Twitter a la compañía aérea American Airlines con cometer un atentado el primero de junio y fue detenida.

"Hola, mi nombre es Ibrahim y soy de Afganistán, formo parte de Al Qaeda y el 1 de junio voy a hacer algo realmente grande", escribió Sarah desde su cuenta en la red de microblogging. La muchacha recibió una respuesta desde la cuenta oficial de la compañía estadounidense: "Sarah, nos tomamos estas amenazas muy en serio, tu dirección IP y detalles serán enviados al FBI".
Sarah, presa del pánico, pidió inmediatamente perdón, usando su misma cuenta, @QueenDemtriax. "Lo siento, estoy asustada ahora, estaba bromeando", escribió. "Fue solo una broma y fue una amiga mía, tomen su dirección IP, no la mía, soy solo una niña, por favor, y no soy de Afganistán".

Un portavoz de la policía holandesa, Tinet De Jong, dijo que la niña fue interrogada en compañía de un pariente en una comisaría de Rotterdam, después de que Twitter les desvelase la dirección de internet desde la que había escrito el mensaje. "Estamos preguntándole ahora por qué envió esos mensajes", reveló, y agregó que la policía preguntó a la aerolínea si quería presentar cargos. "Dependerá en gran parte de si ha hecho antes cosas así", dijo De Jong.

Hace cuatro años un hombre británico bromeó con que volaría un aeropuerto, después de que cerrara por nieve, vio anulada una condena por enviar un mensaje "amenazador", tras apelar después de dos años de batalla legal.

Fuente: Ambito

Seguir leyendo »


11:00:00

Aplicaciones de Android podrían ser vulnerables a #Heartbleed

Heartbleed, la vulnerabilidad que afecta a cientos de miles de servidores de Internet, podría hacer que unas 1.300 aplicaciones de Android estuvieran indefensas, según un análisis que ha hecho la empresa software de seguridad Trend Micro entre más de 390.000 aplicaciones de Google Play.

Y es que las aplicaciones móviles -desde el navegador hasta las apps de banca o compra online-, como las páginas web, también alojan la información en un servidor. La empresa ha anunciado que ya ha informado a Google de esta incidencia.

Trend Micro incide en que, ante la posibilidad de comprar desde una aplicación móvil, a la hora de introducir los datos de la tarjeta de crédito y finalizarse la transacción, los datos bancarios se almacenan en un servidor y pueden permanecer allí por un periodo de tiempo indeterminado.

"Basta que los ciberdelincuentes aprovechen el error Heartbleed y se dirijan a ese servidor para extraer la información que almacena, entre la que se encuentra su número de tarjeta de crédito", explican.

Fuente: RTVE

Seguir leyendo »


8:10:00

Claves para proteger la privacidad y la seguridad en la red

Tengan a bien saber –usuarios de teléfonos celulares, notebooks, tablets y demás soportes tecnológicos– que un detalle menor, como una simple foto guardada en la memoria, una grabación de voz o un video casero filmado desde el celular pueden ser la llave para montar secuestros virtuales, para robar datos personales violando la seguridad informática, para fortalecer la pedofilia, el bullying (acoso escolar) y la pornografía, entre otras prácticas.

En los últimos tiempos, los secuestros virtuales a través de llamadas extorsivas a personas de cualquier escala social aparecen entre los delitos más comentados. Y como un reguero de pólvora, las víctimas cuentan hechos parecidos. Días atrás, la viuda de Juan Carlos Calabró, Coca, sufrió una llamada extorsiva durante la madrugada. Su hija, Marina, relató lo sucedido: "Fue a las 3 de la mañana: suena el teléfono y una voz masculina le dice a mi mamá: ‘Tenemos a tu hija, danos plata, dólares, joyas. Si no, la vamos a matar’. Detrás de esa voz masculina también había una femenina que gritaba simulando una crisis de llanto: ‘¡Mamá, dales todo, me matan!’. Obviamente, mi mamá se paralizó: le dieron datos que podían dar la pauta de que ellos sabían cómo estaba estructurada nuestra familia. A mamá se le confundieron las cosas, porque estaba en shock –agregó Marina–. Por suerte no le sacaron nada y los pocos datos que dio eran falsos. Pero pasó un momento espantoso", concluyó la panelista.

Seguir leyendo »


martes, 15 de abril de 2014

17:10:00

Penetration Test en #Android

Este artículo enumera los primeros pasos para llevar a cabo una revisión de seguridad de una aplicación para Android. Estos pasos cubren una recopilación de información inicial, debugging, descompilación, análisis estático y dinámico de APKs.

El número de herramientas disponibles para ayudar en el análisis de aplicaciones de Android ha aumentado significativamente ofreciendo características potentes y robustas para entender fácilmente.

Para la evaluación inicial que utilizan las siguientes herramientas:
Contenido completo en fuente original Yet Another P0wn Blog

Seguir leyendo »


13:44:00

Primer robo real utilizando #Heartbleed

Aunque no es el peor escenario imaginado, acaba de conocerse una brecha de seguridad en la emprea Canada Revenue Agency, que podría ser la primera explotación real conocida utilizando la vulnerabilidad Heartbleed.

Canada Revenue Agency afirma que casi 1.000 números de Seguro Social, así como datos de negocio sin especificar fueron sustraídos por delincuentes utilizando dicha vulnerabilidad. Mientras que la agencia tomó medidas rápidas para empezar a asegurar sus propios sistemas, parece que los delincuentes oportunistas les ganaron de mano y lograron acceder a datos, antes de que se pudiera solucionar la vulnerabilidad.

No queda claro cómo fue detectado el ataque ya que justamente uno de los problemas relacionados a HeartBleed es la dificultad de detectar el ataque. Sin embargo, análisis adicionales aseguran que no ha existido evidencia similar ya sea antes o después de este incidente. Las autoridades canadienses aplicarán medidas adicionales de seguridad a las cuentas que fueron comprometidas para evitar cualquier uso indebido de los datos robados.

Fuente: Engadget

Seguir leyendo »

Creative Commons License
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5


11:28:00

VII Congreso de Derecho Informático

El próximo 16 de mayo, ADIAr (Asociación de Derecho Informático de Argentina) organiza en la provincia de Santa Fe, el VII Congreso de Derecho Informático, con importantes invitados nacionales e internacionales

Fecha: 16 de Mayo de 2013
Hora de Inicio: 9 hs (Acreditaciones e Inscripciones).
Lugar: Facultad de Ciencias Jurídicas y Sociales (Universidad Nacional del Litoral) - Cándido Pujato 2751 - Santa Fe Capital.
Costo: Gratis para Socios de ADIAr / $200 para No Socios / $50 para Estudiante. Se entregan certificados
Inscripción: aquí

Fuente: ADIAr

Seguir leyendo »

Creative Commons License
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5


8:04:00

Episodios para un Pentesting

Nicolás Moral de Aguilar ha publicado un documento descargable, en el que se realiza una explicación detallada sobre cómo conseguir hacerse con un ordenador remoto aprovechando una vulnerabilidad de Java en navegadores, que permite la ejecución de código malicioso tras aceptar un applet de Java en cualquier navegador y/o sistema operativo. Así mismo, explicaré el procedimiento habitual en el que entra en juego la ingeniería social para hacer que las posibles víctimas acepten la ejecución del applet.

Para explicar el procedimiento, voy a especificar varias fases por separado, que permitirán entender de manera más sencilla todo el proceso. En la primera fase, se debe realizar un escaneo de la LAN en la que se sitúa el episodio para visualizar la estructura de la red y detectar posibles equipos vulnerables. Más tarde, hay que analizar los mismos para ver cómo y qué vulnerabilidades se pueden aprovechar. Tras eso, se debe configurar el exploit necesario para aprovechar dicha vulnerabilidad, y dependiendo del tipo de exploit, habrá que seguir un procedimiento para hacer que el ataque se haga efectivo.

Contenido completo en fuente original Flu-Project

Seguir leyendo »


lunes, 14 de abril de 2014

17:00:00

Cómo evitar ser víctima de un secuestro virtual

En los últimos meses se dieron a conocer varios casos de secuestros virtuales . La modalidad no es nueva, pero va adquiriendo diversas variantes para engañar a la gente.

El llamado "secuestro virtual" es en realidad una extorsión. Ocurre cuando un delincuente llama a una persona y le hace creer que tiene a un familiar secuestrado. La amenaza y le pide dinero y joyas a cambio de la liberación del supuesto secuestrado.

En general los llamados se hacen los viernes y sábados en la madrugada, aprovechando que los jóvenes salen a bailar y sus padres se quedan en casa preocupados.

En los últimos casos, se conoció que los extorsionadores se hacían pasar por personal policial o médico que llamaban, supuestamente, para avisar que un familiar había tenido un accidente. Cuando la persona entraba en el engaño, surgían las amenazas y el pedido de pago de un rescate (dinero y joyas) que se dejaba en una bolsa, en alguna esquina cercana a la casa.

El extorsionador se aprovecha de la vulnerabilidad que produce en la gente un llamado con supuestas noticias trágicas y en un horario en que las personas no están muy lúcidas. Ante estos casos, especialistas consultados por LA NACION sugieren:

Cortar la llamada

Son dos las modalidades más usadas por los delincuentes que realizan secuestros virtuales. Una de ellas es fingir ser personal médico o policial que llama para avisar sobre un supuesto accidente de un familiar. Otra es poner al teléfono a una persona llorando que se hace pasar por el familiar presuntamente secuestrado.

"Como los llamados ocurren generalmente a la madrugada, el que atiende, no está del todo alerta y además entra en pánico", explican a LA NACION fuentes de la Policía Federal. Ante esto recomiendan cortar inmediatamente la llamada.

"Apenas escuche que le dicen que llaman desde tal o cual comisaría u hospital, corten. No permita que lleguen al momento de la amenaza. Ni la policía ni los médicos hacen esos llamados en la vida real", sostienen las fuentes. En el caso de que pongan al teléfono al supuesto familiar, recomiendan tener la lucidez para tratar de reconocer si esa voz es en verdad la del familiar.

Daniel Adler, fiscal general federal de Mar del Plata, sugiere que no se atienda el teléfono fijo si suena de madrugada. "Las noticias malas llegan. Si realmente es algo importante, nos vamos a enterar de otra manera en forma inmediata y no por el teléfono fijo. Hoy en día quienes quieren comunicarnos cosas urgentes nos llaman al celular. El teléfono fijo figura en los directorios, por eso es el que usan los delincuentes para los secuestros virtuales", explica Adler.

No brindar información

Si la gente no quiere o no puede dejar de atender el teléfono en esos horarios, o ante el temor no se anima a cortar la comunicación, hay otras cuestiones a tener en cuenta para prevenir que se concrete la extorsión.

"Los delincuentes aprovechan la desesperación de la gente y el hecho de que por llamarlos de madrugada estén algo dormidos. Es fundamental tener la lucidez para no brindarles ninguna información", sostiene Adler.

Ricardo Pedace, subjefe de la Metropolitana, recomienda que la gente trate de mantener la calma. "Las personas tienen que estar tranquilas: no están recibiendo un llamado personalizado. Estos llamados son al voleo. Los delincuentes eligen números de la guía de zonas donde hay un poder adquisitivo bueno y llaman. La información con la que cuentan es el nombre y apellido y la dirección. Es esencial no brindarles más datos", sostiene Pedace.

Es fundamental que las personas no respondan a las preguntas del delincuente. Que no den datos concretos sobre su situación familiar, ni quienes viven en la casa o quienes están en otro lado.
En general, a través del engaño, los delincuentes logran sacarle a la persona que atendió el llamado el nombre de un ser querido. "Por ejemplo, le dicen 'tenemos a su hijo'. Y la persona, tal vez medio dormida, pregunta '¿A Martín?'. Con ese dato el delincuente tiene todo lo que necesita para extorsionar a la gente", detalla Pedace. Y sugiere: "Si uno tiene la lucidez suficiente en ese momento puede intentar darles un nombre falso. Si el delincuente contesta que sí, que esa es la persona secuestrada, se desmantela el engaño y ahí pueden cortar la llamada con tranquilidad".

Contactar al supuesto secuestrado

La forma clásica que tiene el delincuente de asegurarse que el extorsionado siga el juego es amenazarlo con dañar al falso secuestrado si corta la llamada.

"Aunque no nos animemos a cortar la llamada, si tenemos celular, hay que intentar ubicar al ser querido que los delincuentes dicen que secuestraron. Y los que tenemos celular debemos mantenerlo encendido siempre por si suceden estas cosas", dice Pedace.

Hacer la denuncia

Cuando el extorsionador que hizo la llamada logró generarle a la otra persona la creencia de que tiene secuestrado a un familiar, el siguiente paso va a ser la amenaza. Van a pedirle que les deje cierta cantidad de dinero, joyas, objetos de valor en una bolsa en alguna esquina cercana a su casa.

"Antes de hacer esto, antes de responder a la extorsión, tienen que llamar a la policía", dicen desde la Federal. "La policía no va a hacer nada que pueda poner en riesgo a nadie. Se sigue un protocolo con intervención de un juez. En el 100 por ciento de los casos, es secuestro virtual. Si la gente denuncia en ese momento, al menos se puede detener a los que van a buscar la plata", explican las fuentes.

Por su parte, Pedace también sugiere que se realice la denuncia. "Una vez que establecimos que nuestro familiar está bien y no es víctima, hay que radicar la denuncia correspondiente", sostiene. "La policía necesita la denuncia para ir monitoreando las zonas en donde operan los delincuentes y lograr, con un aviso temprano, detenerlos", añade.

"Si entregaron el dinero, también deben radicar la denuncia para permitir la investigación. Todos los datos suman para combatir este modo de extorsión", dice Pedace.

Informarse

Para los especialistas, los medios de comunicación juegan un rol fundamental. "La gente tiene que saber qué tipo de modalidades delictivas se están utilizando. Muchas veces hay víctimas que no estaban al tanto de que existían los secuestros virtuales. Los medios tienen que informar, y la gente tiene que buscar estar informada", señalan las fuentes de la PFA.

"La gente tiene que saber que un secuestro extorsivo real requiere de una logística mucho más complicada. Un sistema de postas, un lugar donde esconder al secuestrado. No se lo hacen a cualquier persona", explican.

Por su parte, Pedace indicó que desde la Policía Metropolitana se brindan charlas a los vecinos para mantenerlos actualizados y alertas ante las diversas modalidades que tienen los delincuentes para robarle a la gente.

Fuente: La Nación

Seguir leyendo »


15:11:00

Fundamentos sobre Certificados Digitales: el estándar X.509 y estructura de certificados

En esta entrada, dentro de nuestra serie dedicada a Certificados Digitales, nos vamos a centrar en la estructura e implementación de los certificados.

Creo que antes de comenzar es preciso realizar una aclaración, sé que hemos estado hablando continuamente de certificados, la tecnología criptográfica que emplean, la gestión que realizan de ellos las autoridades de certificación, los dispositivos hardware para gestión de claves criptográficas, etc. Por otra parte, también hemos hablado de el establecimiento, normativa y responsabilidades de una CA, así como de los servicios que prestan. Sin embargo, aún no hemos hablado de la implementación de los certificados, es decir, como se construyen y que formatos estructurales tienen. Este punto es el objeto de la presente entrada.

Para definir y establecer el contenido y estructura que debe tener un certificado digital se establece el estándar conocido normalmente como X.509, aunque su nombre completo es “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”, definido por el “Network Working Group” y definido en la RFC 5280. El estándar surgió originalmente en el año 1988, aunque la última versión vigente, X.509 v3, se aprobó en 2008.

La principal motivación de la definición de este estándar es la implementación de una Infraestructura de Clave Pública (en adelante PKI). Este hecho es fundamental, y es lo que distingue inequívocamente una clave criptográfica de un certificado digital. Las claves definidas por RSA únicamente son secuencias que permiten realizar el cifrado y descifrado de información, sin embargo el estándar X.509 establece parámetros para identificar al propietario del certificado, a su emisor (la autoridad de Certificación), fechas de emisión, caducidad, etc. Lo que nos lleva a pensar que sin este estándar nos resultaría imposible usar los certificados para, por ejemplo, firmar un documento electrónico.

Adicionalmente, este estándar también marca las directivas para la implementación de los mecanismos de validación que permiten a los usuarios de los certificados comprobar su validez en cualquier momento (más información sobre mecanismos de validación en anteriores entradas de este blog). Además, considera los conceptos de validación, rutas de certificación, revocación, etc. Esto nos da a entender que sin la definición de este estándar sería imposible establecer y operar una PKI.

Contenido completo en fuente originalSecurity Art Work I y II

Seguir leyendo »


11:13:00

Google vulnerable a XXE y Yahoo a SQL Injection

Una vulnerabilidad crítica Google permitía a un atacante acceder a los archivos internos de los servidores de producción de la empresa.

La vulnerabilidad residía en la Toolbar Button Gallery. Los investigadores encontraron el bug después de que se dieron cuenta de que la barra podía ser personalizada por los usuarios creando botones propios, subiendo archivos XML que contienen metadatos.

Esta función del motor de búsqueda Google es vulnerable XML External Entity (XXE). XXE es una inyección de XML que permite a un atacante forzar un analizador XML mal configurado para "incluir" o "cargar" funcionalidades no deseadas y que pueden poner en peligro la seguridad de la aplicación web.

"La causa principal de las vulnerabilidades XXE es no analizador el código XML suminitrado por el usuario y arriesgarse a interpretar código dañino. Algunos ataques incluyen: acceso a archivos locales, denegación de servicio y ejecución remota de código", escribieron los investigadores en su blog.

Los investigadores inmediatamente informaron la vulnerabilidad al equipo de seguridad de Google y recompensado con U$S10.000.

Por su parte, Yahoo Flickr uno de los grandes sitios web de gestión de fotos del mundo, tenía vulnerabilidades críticas en sus aplicaciones web, lo cual permitían acceso remoto a sus bases de datos y al servidor del sitio Web.

Ibrahim Raafat, un investigador de seguridad de Egipto, ha encontrado vulnerabilidades de inyección SQL en Flickr Photo Books, una característica que permite ka impresión de libros de fotos personalizados a través de Flickr, y que fue lanzado hace 5 meses.

Raafat afirmó haber encontrado dos parámetros (page_id, artículos) vulnerable a Blind SQL Injection que le permitió realizar consultas a la base de datos de Flickr a través de una declaración SELECT. Aquí se puede ver el video.

Su explotación exitosa podría permitir a un atacante robar la contraseña del administrador de bases de datos y MYSQL.
Además, la inyección facilitaba que el atacante pudiera explotar una ejecución remota de código en el servidor y utilizar la función load_file para lista archivos, por ejemplo load_file("/etc/passwd").

Raafat denunció la vulnerabilidad a Yahoo y este ya la ha parcheado.

Cristian de la redacción de Segu-Info

Seguir leyendo »

Creative Commons License
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5


Aquí y Ahora

 
 Widget de Google 

Acerca de Segu-Info

Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - MVP que brinda información sobre Seguridad de la Información desde el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons a menos que se indique lo contrario. Cristian Borghello no se hace responsable del contenido o comentarios de terceros.

  ©Template desarrollado por Dicas Blogger y Adaptado por SoloE para Segu-Info - 2009