Cuidado: alguien quiere entrar en tu cerebro

Hace ya algunos años que los implantes electrónicos en el cerebro dejaron de ser ciencia ficción. Diminutos dispositivos cerebrales para tratar el Parkinson, depresiones graves o para controlar miembros artificiales, han sido implantados en pacientes de todo el mundo en la última década. Ahora, por primera vez en todo este tiempo, los científicos se han dado cuenta de que todo este sistema podría ser vulnerable a ataques externos y suponer un grave problema de seguridad.

En un artículo en Neurosurgical Focus, citado por Mind Hacks y por Wired, los expertos recuerdan que la mayoría de estos dispositivos se programan desde el exterior mediante control remoto, de una forma tan sencilla como cambiar los canales de una televisión.

A pesar de la alta tecnología, casi ningún aparato viene equipado con un sistema de autentificación o encriptación que proteja de intrusiones no deseadas, lo que supone que cualquiera que tenga la combinación adecuada puede modificar los parámetros del implante y programarlos según sus deseos. (Seguir leyendo)

Pero ¿por qué iba a querer alguien controlar nuestros implantes cerebrales? Aunque suene fantasioso, los científicos están convencidos de que puede ocurrir y empiezan a proliferar los artículos sobre la denominada “neuroseguridad”. De hecho, ya han realizado pruebas para demostrar los daños que se pueden causar desde un ordenador sobre uno de estos implantes.

En el año 2003, un grupo de investigadores puso a prueba un desfibrilador que acababa de salir al mercado y lo ‘hackearon’ con cierta facilidad utilizando un equipo de bajo coste. Los autores del experimento pudieron cambiar la terapia, desactivarla e incluso inducir una desfibrilación ventricular, que puede causar la muerte del paciente.

Aunque los sistemas actuales tienen un radio de alcance de unos 10 centímetros, los expertos advierten que hay que empezar a encriptar los aparatos y tapar todas las posibles puertas traseras de estos dispositivos. “Si no ponemos cuidado en la seguridad”, dice Tadayoshi Kohno de la Universidad de Washington, “puede que en cinco o diez años estemos lamentando un grave error”.

La última generación de prótesis robóticas, por ejemplo, incluye un sistema wireless que permite a los médicos hacer los ajustes necesarios sin intervención. Si no se ponen barreras de acceso, un habilidoso atacante podría hacerse con el control de esa prótesis y manejarla a su antojo.

Brazos que actúan por órdenes ajenas, implantes que pueden acelerar el corazón del paciente o administrar más o menos cantidad de determinada droga para alterar su estado de ánimo. Los científicos plantean incluso la posibilidad de que los pacientes intenten hackear su propio dispositivo y empiecen automedicarse, mandando señales al cerebro que mejoren su humor o que anulen el dolor.

Un asunto que suena lejano pero que tal vez se convierta en una desconcertante realidad.

Enlace: The Next Hacking Frontier: Your Brain? (Wired), Ghost in the machine (Mind Hacks)

Autor: Aberrón
Fuente: Fogonazos

Leer Nota (+)

Seguridad en tu Mac, El uso del firewall del sistema

La plataforma Mac está mucho más al margen de ataques externos como los que puede sufrir el usuario de Windows, sin embargo nunca está de más conocer algo sobre la seguridad en tu equipo para no permitir que nadie controle tu ordenador si tu consentimiento. El Firewall bloquea posibles entradas para estos “extraños” que mediante puertas abiertas intentan asaltar tu castillo. Por ello, y aunque el MacOs X Leopard por defecto lo lleva desactivado, siempre es conveniente activarlo, configurándolo para que tampoco interrumpa nuestra actividad en la red. Para ello deberemos entrar en Preferencias del Sistema/ Seguridad/ Firewall. Desde aquí podremos activar o desactivar las siguientes opciones:

Desde aquí podremos determinar qué programas tienen abierta la puerta para recibir conexiones entrantes, permitir únicamente los servicios básicos -hay que advertir que esta opción literalmente deshabilita la mayoría de servicios web, por lo que solo es aconsejable en redes realmente peligrosas -, o permitir todas las conexiones entrantes, encontrándonos más expuestos. Este apartado de seguridad, se complementará con el menú Compartir, de las mismas preferencias del sistema, ya que en él definiremos carpetas compartidas, pantalla, impresora, conexión a internet, etc… por lo que ambos menús trabajarán conjuntamente y nosotros tendremos que establecer los permisos y definir correctamente los usuarios con acceso a nuestro equipo.

En la misma pantalla de Firewall tenemos un menú avanzado, en la que podremos activar un registro de toda la actividad del Firewall para estar al tanto de posibles movimientos de ataque a nuestro equipo y poder tomar las medidas necesarias. También podremos activar un Modo Encubierto, con el que conseguir que las personas que intenten conectarse a nuestro Mac ni siquiera obtengan información de su existencia. El Firewall de Mac Os X Leopard es una aplicación potente y que te puede evitar algún que otro disgusto, sobre todo cuando te encuentras en redes que no son las habituales y están controladas por ti.

Fuente: K-tuin

Leer Nota (+)

Seguridad anti-hacker en Blogger (tutorial) | Anti-hacking

No suelo hacer este tipo de tutoriales pero algo me llamó la atención, vi en Twitter dos twitts [1] [2] de @varthdeider que me obliga a hacer este tutorial.

Muchos ya hemos recibido ataques por parte de Trolls que se dedican a hacerles la vida imposible a los Bloggers, lo se porque yo soy uno de ellos, si... lo admito (mea culpa), tengo un pasado troll, la cual es una de mis múltiples personalidades esquizofrénicas que se activa justo en épocas de campaña electoral cuando me dedico a joderles la vida a los blogs socialistas y pro Gobiernistas Ecuatorianos.

Por lo tanto, con toda mi experiencia, pues es lógico que se como atacar y como defenderme de ataques trolls en todas sus formas posibles.

Una de ellas es el hackeo de cuentas de administrador en los blogs, muchos recibirán en sus correos múltiples solicitudes de Google para restaurar su contraseña Gmail, Hotmail tiene un sistema en el cual te avisan que se ha intentado muchas veces de ingresar a tu correo, los otros sistemas de correos como Yahoo tienen sus propios métodos para protegerte o avisarte de un posible intento de hackeo.

Blogger no tiene nada para protegerse del hackeo de una cuenta (no es de sorprenderse), lo único sería armarse un sistema de seguridad manual con el cual protegerse y respaldar cada cierto tiempo tu blog.

Hace algún tiempo Martha Colmenares sufrió un hacking en su blog en el cual le borraron toda la información, muchos sufrimos ante esa situación ya que su blog es una biblioteca y un referente histórico de la situación política Latinoaméricana, pero hay gente a la cual no le interesa la historia en absoluto.

Por lo tanto la forma más efectiva a mi parecer para protegerse contra un ataque
hacker es:

Tutorial Vizcaínico antihacker para Blogger:

1.-Crea una cuenta ultrasecreta en Gmail

1.a.- La cuenta de correo debe ser muy rara y nunca pero nunca la uses ni se la des a nadie.

2.- Usa una clave tan rara que ni tu te la aprendas de memoria y guárdala en un papelito, a mi me sirvió una vez hacer uso de la marca de un ventilador Japonés en la página que le hice a un amigo, lo chistoso es que el me dijo que si botaba el ventilador se le olvidaba la clave, usa algo como esto: 387LosCoMuniStasvaLenVergA756, bueno... que no sea tan exagerado, pero procura que tenga números al principio y al final mezclando letras mayúsculas y minúsculas, osea un código alfanumérico :D :D

2.a.- Nunca uses una clave que se relacione contigo, nada de tu comida favorita, el nombre de tu mascota, nada de tu segundo nombre, nada de tu fecha de nacimiento ni la tuya ni la de ningún conocido, peor la de tus hijos o esposa (por supuesto nunca la de tu esposa), obvio no uses "garfield" estadisticamente reconocida como la clave mas usada por mujeres de 15 a 25 años.

3.- Ve a Blogger: Escritorio / Configuración / Permisos, y envíale una invitación a tu nueva cuenta como si fuera un invitado mas a tu blog para postear.

3.a- Abre el correo de tu invitado fantasma y ultrasecreto en otro navegador y acepta la invitación.

4.- En los permisos de tu usuario normal otorgale a tu invitado fantasma: "privilegios como administrador".

5.- Entra luego en Blogger en el otro navegador con tu nueva cuenta fantasma y quítate a tu usuario normal los privilegios de administrador, esto quiere decir que seguirás posteando como siempre pero de ahora en adelante lo harás como invitado.

5.a.- Un invitado a tu blog tiene acciones limitadas, el puede editar solo sus post, nunca podrá editar los post del resto, y menos podrá acceder al diseño de tu blog y la configuración donde se puede borrar el blog por completo.

5.b.- Con esto estarás protegido por si llegasen a hackearte tu usuario normal, lo máximo que sucederá será que borren tus post (no te importará por que los tendrás respaldados), y perderás tu perfil de Blogger usual, pero lo solucionas luego creándote otro perfil con el mismo nombre del que perdiste.

6.- Por último a tu usuario fantasma quítale las opciones de ver el perfil, esto lo haces dentro de: Escritorio / Editar perfil / Privacidad / compartir mi perfi (quitas el visto), y luego allí mismo en seguridad / Privacidad, pones donde dice: "Selecciona los blogs que deseas mostrar" y desmarcas tu blog, así nadie sabrá que ese usuario existe, será un fantasma total y absoluto :D :D

6.a.- Y ahora si lo último, en tu usuario fantasma dentro de: Configuración / Comentarios, donde dice: "Correo electrónico de notificación de comentarios" pon tu correo de siempre para que seas notificado cuando te llega algún nuevo comentario.

Anexos. 1.- Con tu nueva cuenta fantasma podrás entrar normalmente a tu blog y editar cosas como diseño y configuración, obvio no deberás postear nunca porque saldrá este como autor.

Anexos 1.a.- Cuando entres con tu usuario fantasma nunca lo hagas desde Internet Explorer wareber, ya que los "Ie" poseen una seguridad del perro, la razón es que al estar integrados al sistema operativo significa que actualizarlos sería actualizar tooodo el maldito sistema operativo, entra siempre desde Opera, que es el navegador con la mayor eficiencia en seguridad del mundo, no recomiendo Firefox en seguridad, solo Opera, el cual es mundialmente conocido por sus ventajas a nivel de seguridad informática.

Anexos 1.b.- Esto es demasiado útil si por ejemplo posees un blog separatista y atacas constantemente a tu Gobierno y tu familia está asustada porque creen que en cualquier momento les ponen una bomba, por lo que quieren desesperadamente borrarte el blog y están a la caza de que dejes abierto el escritorio bara borrártelo (en este caso además postea siempre con un proxy server), o si por alguna circunstancia tienes que postear desde un cyber o la casa de un amigo y desconfías en ti mismo por algún descuido (dejar marcado el recordarme siempre del navegador), la presencia de algún Keylogger o la presencia también siempre misteriosa de un sapo con vista ágil que te sapée la clave; y... si por alguna Dantezca razón (Dios no quiera), lograsen ingresar a tu escritorio pues solo encontrarán acciones muuuy limitadas.

Final 1.- Y listo, esto es exáctamente lo mismo que la seguridad que te da Windows Vista o Linux en los cuales tu no puedes realizar ninguna acción importante sino tienes los privilegios de administrador los cuales solo lo tiene quien posee la clave.

Conclusión.- Por múltiples razones los blogs en Wordpress no son muy seguros que digamos ya que dependen de cada servidor o hosting, sino que lo diga Marthita, es verdad que brinda muchísimas ventajas, pero yo prefiero entre las innumerables desventajas de Blogger una sola: "la seguridad", un blog de Blogger es practicamente "inhackeable", a menos que averiguen tu clave y si lo hacen aun después de este tutorial es exclusivamente "culpa tuya".

Disfrútalo, espero que te sea muy útil.

Autor: Víctor Vizcaíno
Fuente: LaPlegariaDeUnPpagano.com

Leer Nota (+)

Microsoft publicará seis boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Tres de las actualizaciones afectan a Windows en general, una a Publisher, una a ISA Server y otra Virtual PC (Server). Parece que corregirá los dos "0 days" activos que mantiene.

Si en junio se publicaron doce boletines que parchearon hasta 31 vulnerabilidades diferentes, este mes Microsoft prevé publicar seis actualizaciones el martes 14 de julio. Tres boletines son críticos, y el resto importantes. De los tres boletines dedicados a Windows, las versiones de XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por uno de estos boletines.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

La buena noticia es que en que se confirma que en esta tanda se solucionará la vulnerabilidad CVE-2009-1537, un problema de ejecución de código en DirectShow que Microsoft reconoció a finales de mayo. Sobre la otra vulnerabilidad que está siendo aprovechada por atacantes, CVE-2008-0015 ("0 day" destapado hace unos días) Microsoft dice que "nuestros ingenieros han trabajado las 24 horas del día para producir una actualización" y "creen que estará lista con la calidad apropiada" para el martes. Teniendo en cuenta que conocían la vulnerabilidad desde la primavera de 2008, da la impresión de que realmente han realizado en unos días (desde que se hizo pública) el esfuerzo de todo un año.

Microsoft ha reconocido que mientras "estudiaba a fondo" la vulnerabilidad, los atacantes lo descubrieron de forma paralela y comenzaron a explotarla. Son los riesgos de investigar durante más de un año la solución de un desbordamiento de memoria intermedia sin que interfiera en otros elementos del sistema operativo. Es demasiado tiempo, una ventana de riesgo excesivamente amplia. Existen investigadores a tiempo completo, dedicados a la creación de malware, que descubrirán el fallo tarde o temprano. Cuanto más tiempo pase, más posibilidades de que lo hagan. ¿Cuántas vulnerabilidades están siendo aprovechadas sin que lo detectemos mientras estudian una solución? Este problema puede ocurrir con cualquier pieza de software, pero con este incidente Microsoft ha dado a entender que mientras no salten a la luz, la espera puede alargarse considerablemente y no se sienten tan presionados como para solucionarlos lo antes posible, o no les imprimen la prioridad que los problemas se merecen. Si la excusa para el letargo es que "existen otros problemas de seguridad más urgentes que atender", el consuelo es mínimo.

Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:

Microsoft conocía el último "0 day" desde 2008
http://www.hispasec.com/unaaldia/3911/microsoft-conocia-ultimo-day-desde

0 day en la librería msvidctl.dll de Microsoft Windows
http://www.hispasec.com/unaaldia/3907/day-libreria-msvidctldll-microsoft-windows

Autor: Sergio de los Santos
Fuente: Hispasec

Leer Nota (+)

¿0 day en SSH? - Peligroso defecto de seguridad probablemente sólo una falsa alarma

Analistas de seguridad consideran no hay pruebas de lo que se alega sea una vulnerabilidad de día cero en OpenSSH, que está instalado en decenas de millones de servidores.

Una reivindicación de una vulnerabilidad en el software de un programa utilizado para conectarse de forma segura a los servidores a través de Internet es probablemente una falsa alarma, según un analista del Centro de Tormenta SANS Internet.

El programa, llamado OpenSSH (Secure Shell), está instalado en decenas de millones de servidores de proveedores tales como Red Hat, Hewlett-Packard, Apple e IBM. Es utilizado por los administradores para hacer conexiones encriptadas con otros ordenadores y realizar tareas como la actualización de archivos de forma remota. OpenSSH es la versión de código abierto, y hay versiones comerciales del programa.

A principios de esta semana, SANS recibió un correo electrónico anónimo reivindicando una vulnerabilidad de día cero en OpenSSH, lo que significa una falla en el software ya está siendo explotado, y que se ha hecho público. Es el tipo más peligroso de vulnerabilidad de software, ya que significa que aún no hay solución y que los chicos malos la conocen.

Una verdadera vulnerabilidad de día cero en OpenSSH podría ser devastador para la Internet, permitiendo a los hackers a tener carta blanca para el acceso a servidores y PCs hasta que una solución o un parche esté listo.

"Por eso creo que la gente realmente está creando un poco de pánico", dijo Bojan Zdrnja, un analista y consultor senior de seguridad de la información de SANS en Infigo, una compañía de seguridad y pruebas de penetración en Zagreb, Croacia."La gente que no debe entrar en pánico ahora. Nada en este momento señala que haya un exploit que se esté utilizando."

Las pruebas de una verdadera vulnerabilidad de día cero en OpenSSH es débil, dijo Zdrnja. Hasta ahora, los analistas no han visto un exploit funcionando, a pesar de las preocupaciones de un grupo llamado Anti-Sec puedan haber encontrado un día cero que les haya permitido el control de un servidor Web. Detalles sobre el hackeo se publicaron en Full Disclosure, que es un foro de información de seguridad, sin moderador.

Cuando fue presionado por más detalles, una persona que dice ser parte de Anti-Sec escribió un e-mail al Servicio de Noticias IDG diciendo "no estoy autorizado a discutir realmente la explotación (o si existe o no)", quien firmó con "Anónimo".

Zdrnja dijo que el mismo grupo comprometió recientemente otro servidor, pero parece ser un ataque de fuerza bruta contra OpenSSH. Un ataque de fuerza bruta es cuando un hacker intenta muchas combinaciones de credenciales de autenticación a fin de obtener acceso a un servidor.Si un administrador está utilizando simples inicios de sesión y las contraseñas, eso hace más vulnerable a un servidor a un ataque de fuerza bruta, dijo Zdrnja.

Ambos servidores comprometidos son administrados por la misma persona. "Supongo que lo que estamos tratando aquí son dos piratas informáticos en una guerra entre ellos mismos", dijo Zdrnja.

Pero hay otros factores que indican un día cero para OpenSSH no existe. Si el día cero ha existido, los hackers quizás sería más probable que lo utilicen contra un servidor de más alto perfil que el que recientemente fue comprometido, dijo Zdrnja.

Uno de los desarrolladores de OpenSSH, Damien Miller, también echó agua fría sobre la posibilidad de un día cero. Miller escribió en un foro de OpenSSH el miércoles que intercambió mensajes de correo electrónico con una supuesta víctima del día cero, pero los ataques parecen ser "simple fuerza bruta."

"Por lo tanto, no estoy convencido de que exista un día cero en absoluto", escribió Miller. "La única prueba hasta el momento son algunos rumores anónimos y transcripciones de intrusión no verificable".

También parece haber cierta confusión entre el presunta día cero y una vulnerabilidad en OpenSSH, dijo Zdrnja. Esa vulnerabilidad, que estaba hasta un momento sin parchear, podía permitir a un atacante recuperar hasta 32 bits de texto plano de un bloque de texto cifrado arbitrario de una conexión asegurada mediante el protocolo SSH en la configuración estándar, según un del Centro del Reino Unido para la Protección de Infraestructura Nacional (CPNI).

La gravedad de la vulnerabilidad se considera alto, pero la probabilidad de éxito de la explotación es baja, de acuerdo con CPNI. Zdrnja dijo que los administradores pueden implementar mecanismos de autenticación más fuertes en OpenSSH usando claves públicas y privadas para protegerse contra un ataque exitoso. En un boletín, OpenSSH también estableció que la posibilidad de un ataque con éxito es baja.

Fuente: Infoworld y SANS.org ISC
Traducción de Raúl Batista para Segu-Info

Leer Nota (+)

Invasores de PC le cuestan u$s 415.000 a un condado de Kentucky

Ciber-criminales con base en Ucrania se robaron u$s415.000 de las arcas del condado de Bullitt, Kentucky esta semana. Los ladrones contaron con la ayuda de más de dos docenas de co-conspiradores en los EEUU, y también de na variante de un programa malicioso capaz de vencer las medidas de seguridad en linea que tienen muchos bancos.

El abogado del Condado de Bullitt Walt Sholar dijo que el problema comenzó el 22 de junio, cuando alguien comenzó a hacer transferencias no autorizadas de u$s10.000 o menos de los suelos a cuentas perteneciente a al menos 25 individuos a lo largo del país (algunos recibieron varios pagos). El 29 de Junio, el banco del condado se dio cuenta que algo andaba mal, y comenzó a pedir a los bancos que recibían esas transferencias que la empezaran a revertir, dijo Sholar.

"Nuestro banco nos dijo que para el jueves sabrían cuantas de esas transacciones podrían ser revertidas," dijo Sholar. "Nos dijeron que pensaban que tendríamos algo del dinero de vuelta, solo que no estaban seguros de cuanto."

Sholar dijo que las transferencias no autorizadas parecen haber sido facilitadas por "alguna clase de virus de computadora". Security Fix se ha estado comunicando con un investigador de crímenes informáticos que está familiarizado con el caso. Lo que sigue es una descripción del programa malicioso usado, un relato pormenorizado de como realizaron el atraco los atacantes, y entrevistas con un par de mujeres contratadas para recibir los fondos robados y transferirles el dinero a los que cometieron el fraude en Ucrania. Este caso sirve también de ejemplo de como las estafas por correo electrónico pueden ser usadas para embaucar a víctimas que desconociéndolo sirven como cómplices en sus planes.

Según mi fuente, que pidió no ser identificada porque aun está investigando diferentes lados de este caso, los criminales robaron el dinero usando una variante adaptada de un troyano con capacidad de registro de teclado conocido como "Zeus" (también conocido como "Zbot") que incluyó dos características nuevas. La primera que que las credenciales robadas son enviadas inmediatamente mediante mensajería instantánea a los atacantes. Pero la segunda, y más interesante característica de este malware, dijo el investigador, es que crea una conexión directa entre el sistema Windows infectado y los atacantes, permitiendo a los malos ingresar a la cuenta bancaria de la víctima usando la propia conexión Internet de la víctima.

Muchos bancos en linea verifican si la dirección de Internet del cliente viene de una ubicación que ya estaba asociada al nombre y contraseña del cliente, o al menos de una ubicación geográfica que sea cercana a donde vive el cliente. Conectándose mediante la PC de la víctima o su conexión Internet, los chicos malos pueden evitar levantar sospechas.

Esto podría ser suficiente para engañar a los bancos minoristas que dan servicio a usuarios comunes de banca en línea, pero el banco del Condado de Bullitt, como muchos otros bancos comerciales, usan esquemas de autenticación aún mas rigurosos. Por ejemplo, algunas tecnologías adoptadas por los sitios Web de bancos comerciales usan técnicas de programación especiales de Javascript para verificar varios aspectos del sistema del cliente -- incluyendo el tamaño de la pantalla, la versión del navegador, sistema operativo, y una gran cantidad de otras variables -- para crear una "huella digital" única de las computadoras de sus clientes. En tales casos, aún si los criminales han secuestrado la conexión Internet de la víctima, un banco que use este enfoque aún será capaz de detectar que el cliente se está conectando desde una computadora diferente porque las huellas digitales no coinciden.

Además, el proceso de crear y aprobar una transferencia desde la cuenta del condado no se puede completar sin dos usuarios diferentes autorizados para firmar la transacción. En el caso del Condado de Bullitt, esos sistemas de cheques y balances fueron diseñados para ser llevados a cabo por el tesorero del condado y un juez local.

Finalmente, si por cualquier razón el sistema del banco detecta que alguna de las dos cuentas es usada de una PC con una huella digital desconocida, el intento de ingreso fallará, y ese usuario se le pedirá verificar su cuenta de correo para una passphrase especial de única vez que deberá ser reingresada junto con el usuario y la contraseña, para poder conseguir ingresar a la cuenta.

Según el investigador, el ataque contra la cuenta bancaria del Condado de Bullitt sucedió así:

- Los atacantes lograron de alguna forma poner el Troyano Zeus en la PC del tesorero del condado, y la usaron para robar el usuario y contraseña del tesorero necesarios para acceder al correo y a la cuenta del banco del condado.

- Los atacantes ingresaron en la cuenta bancaria del condado mediante un túnel a través de la conexión del Internet del tesorero.

- Una vez dentro, los criminales cambiaron la contraseña del juez, y también la dirección de correo relacionada con la cuenta del juez, de modo que futuras notificaciones sobre passphrases de única vez fueran a una cuenta de correo controlada por los atacantes.

- Entonces crearon varios empleados ficticios del condado (estos eran los 25 personas reales, co-conspiradoras contratadas por los atacantes para recibir los fondos robados), y crearon un lote de transferencias para esos individuos para ser aprobado.

- Los delincuentes entonces ingresaron en la cuenta bancaria del condado usando las credenciales del juez y una computadora fuera del estado de Kentucky. Cuando el sistema de seguridad del banco falló en reconocer el perfil de la PC, el banco envió un correo con la passphrase de desafío a la dirección de correo controlada por los atacantes.

- Los atacantes obtienen la passphrase del correo, ingresan nuevamente con las nuevas credenciales del juez y la passphrase de única vez. Una vez que ingresaron, los delincuentes fueron capaces de aprobar el lote de transferencias.

Cuando fue consultado para comentar esta versión de los eventos, Sholar el abogado del Condado dijo que estaba limitado en lo que podía decir, porque el FBI le pidió no dar detalles de la causa. Pero dijo que "Sabemos que se iniciaron y aprobaron transferencias que fueron generadas y enviadas al banco mediante computadoras que estaban ubicadas físicamente fuera del estado de Kentucky."

El rol de las mulas de dinero - Estafadas para servir
Con la ayuda del investigador de delitos informáticos, pude logra contactar a dos de las 25 denominadas "mulas de dinero" quienes fueron contratadas para actuar como intermediarios en esta estafa. Ambas fueron mujeres de menos de 35 años que fueron contactadas después de publicar sus currículos en Careerbuilder.com. Cada una recibió correos electrónicos de una compañía que se hacía llamar Fairlove Delivery Service. Ambas mujeres acordaron hablar con Security Fix en condiciones de anonimato.

Ambas fueron contratadas por Fairlove para editar y corregir la gramática de documentos, y se les prometió una paga de u$s8 por cada kilobyte de datos que procesaran (vea el correo inicial de la estafa en Careerbuilder aqui). Los documentos para los que fueron contratadas de editar estaban llenos de errores gramaticales, equivocaciones o errores de puntuación. Ambas mulas de dinero dijeron que parecía que quien fuera que escribió las cartas no era alguien que hablara Inglés nativo.

No queda claro si los ciber-estafadores reclutaron la mulas como editores de texto para probar su confiabilidad, o porque realmente necesitaban su ayuda para lograr que sus cartas de la estafa parecieran más creíbles. Lo que queda claro de ver copias de las cartas que les pidieron corregir, es que estaban corrigiendo cartas que serían enviadas para reclutar y estafar a otras mulas. Dele un vistazo a esos mensajes por corregir enviados a nuestras mulas anónimas, visibles en este enlace.

La primer persona con la que hablé, una mujer de 34 años de Miami, ha estado editando textos que le fueron enviados por correo electrónico por representantes de Fairlove por un par de semanas. Poco después que ella preguntó cuando le iban a pagar por su trabajo, recibió un correo que le preguntaba que si estaba interesada en la posición como "agente local", para la compañía. El representante de Fairlove que la contactó por correo electrónico dijo algo respecto que como la compañía tenía a menudo problemas enviando dinero a sus clientes del extranjero tan rápido como lo necesitaban, y que necesitaban desesperadamente acelerar aquel proceso (al menos eran honestos en esa afirmación). Una descripción de la posición de agente local le fue enviada a esta mujer y está disponible aquí.

El jueves pasado, ella recibió un depósito de más de u$s9.900, con instrucciones de girarlo casi por completo excepto unos u$s500 (su 5 por ciento de comisión) vía Western Union a una cuenta de un banco en Ucrania. La mujer dijo que comenzaron a crecer sus sospechas sobre "algo que no andaba bien con todo este asunto," y solo giró u$s3.000 de ese dinero. Después que fue contactada por Security Fix acerca de la estafa, se enteró que su banco le había congelado la cuenta. Su banco le aseguró que si ella venía y mostraba que los correos electrónicos que la atraparon en una estafa, ellos podrían conseguir hacer algo.

La segunda mujer con la que hablé, una madre soltera de 27 años, también de Florida, no fue tan afortunada. Ella tuvo mas de u$S 9.700 transferidos el lunes a su cuenta desde el banco del Condado de Bullitt por los delincuentes. Ella sacó casi todo ese monto de su banco inmediatamente, girando cerca de u$s9.200 a los estafadores en Ucrania. Poco después de eso, su banco revirtió el depósito inicial de u$s9.700 a pedido del banco del Condado de Bullitt. Su banco dijo ahora que ella estaba enganchada por ese monto: el saldo de su cuenta corriente estaba en casi u$s9.000 en rojo.

He aquí algunas observaciones y consejos para que no lo estafen, sin importar lo obvio que pueda resultar:

- Evite responder ofrecimiento de trabajo recibidos por correo electrónico. Si busca trabajo en sitios como Monster.com o Careerbuilder.com, al menos esté advertido que bandas criminales también usan estos sitios para reclutar a quienes estan desesperados, incautos y a codiciosos.

- Si se involucra con una compañía que ni siquiera investigó en Google, espere lamentarse de eso: Una búsqueda sobre Fairlove Delivery Service devolvió apenas unas páginas llenas de quejas de otros que buscaban trabajo que fueron estafados por estos criminales.

- Evite seguir vínculos en correos electrónicos que no esperaba, y esté particularmente atento de cualquier correo electrónico que le advierta de terribles consecuencias a menos que usted actúe o responda inmediatamente. El malware usado para infectar las computadoras del Condado Bullitt eran parte de la enorme campaña de spam Zeus/Zbot que sucedió desde hace unas semanas hasta ahora, spam variados disfrazados de alertas sobre tarjetas de felicitación, números de seguimiento de encomiendas, y actualizaciones de seguridad de Microsoft.

- La última vez que escribí sobre mulas de dinero estafadas, algunos lectores me escribieron para decirme, en efecto: "Las mulas fueron estúpidas: debieron haber tomado TODO el dinero." Estos lectores se olvidan del punto fundamental sobre estas estafas que los chicos malos comprenden muy bien: es todo una cuestión de sincronización. El banco siempre va a reclamar el deposito. Es sólo cuestión de cuando.

- Sea extremadamente cauteloso --no, mejor huya de -- cualquier transacción en la cual la otra parte le pida convertir una transacción revocable en una irrevocable. El dinero en efectivo enviado por Western Union, Moneygram u otros servicios de envíos, son un ejemplo de transacciones irrevocables: Una vez que se hicieron, no se pueden deshacer. Por el contrario, los cheques pueden ser cancelados, y los depósitos pueden ser revertidos.

Autor: Brian Krebs
Fuente: Security Fix - The Washington Post
Traducción de Raúl Batista para Segu-Info

Leer Nota (+)

Microsoft conocía el último "0 day" desde 2008

El pasado día 4 de julio se supo que ciertos atacantes estaban aprovechando de forma masiva una vulnerabilidad no hecha pública hasta ahora en un ActiveX de Microsoft. Poco después Microsoft confirmaba el problema en una notificación, que ofrecía contramedidas pero en el que todavía no se publicaba parche oficial. Al parecer, Microsoft estaba al tanto desde 2008 no solo de esta, sino de otra vulnerabilidad más en el mismo componente.

CVE-2008-0015 es el CVE que Microsoft ha asignado a este nuevo "0 day". El CVE es el Common Vulnerabilities and Exposures, un estándar (administrado por la organización Mitre.org) que se encarga de identificar unívocamente a las vulnerabilidades. El CVE ha tenido gran aceptación entre todos los fabricantes porque la mayor parte de las veces es muy complejo saber a qué vulnerabilidad nos estamos refiriendo solo por ciertas características. Es necesario una especie de número de identidad único para cada fallo, puesto que en ocasiones son tan parecidas, complejas o se ha ofrecido tan poca información sobre ellas que la única forma de diferenciar las vulnerabilidad es por su CVE.

¿Por qué asignar un CVE de 2008 en 2009? Esto significa que Microsoft conocía el fallo desde el año pasado. Los fabricantes solicitan CVEs al Mitre y los asignan libremente a las vulnerabilidades que encuentran. Ryan Smith y Alex Wheeler de IBM ISS X-Force lo descubrieron y lo reportaron entonces. Microsoft asignó el CVE pero todavía no lo ha hecho público ni lo ha solucionado... hasta que se ha convertido en un "0 day". Los atacantes (no se sabe cómo) han descubierto la existencia del fallo y desde no se sabe cuándo, están aprovechándolo para instalar malware en los sistemas Windows. Esto ha hecho que Microsoft deje de mantener la vulnerabilidad en el letargo y tenga que ponerse a trabajar en ella cuanto antes.

¿Es normal tardar tanto para solucionar una vulnerabilidad? Según Microsoft, básicamente depende de si es conocida o no. La compañía se vuelca totalmente en un fallo cuando es público, si no, va a "otro ritmo" a la hora de parchear. Incluso cuando la vulnerabilidad es pública, hay que tener en cuenta que Microsoft hace insistentes pruebas de compatibilidad cada vez que saca un parche, y aun así, a veces comete errores. El código del sistema operativo es demasiado complejo y las interacciones pueden ser impredecibles, así que la estrategia para los parches de Windows es "lento pero (en lo posible) seguro". En este caso Microsoft ha sido lento sin excusas, teniendo en cuenta la gravedad de la vulnerabilidad, el tiempo transcurrido y que (como ha pasado) al final la información o bien ha sido filtrada o descubierta independientemente por los atacantes. Microsoft tiene la responsabilidad de actuar (por volumen de uso, por recursos disponibles y por ser objetivo principal del malware) mucho más rápido. Wheeler, uno de los descubridores del fallo, piensa que no: que hay muchos problemas de seguridad, y que es normal que Microsoft se dedique a los que están siendo explotados con prioridad. Como este no era público hasta hace poco, no piensa que sea demasiado tiempo.

Para colmo, se ha dado a conocer que desde el IBM ISS X-Force, también se notificó a Microsoft otra vulnerabilidad en 2008, identificada con el CVE-2008-0020, en la misma librería Msvidctl.dll de DirectShow. Esta todavía no ha sido reconocida por Microsoft, pero es probable que sea parcheada junto con la CVE-2008-0015.

Microsoft acumula así dos vulnerabilidades en DirectShow que se sabe que están siendo aprovechadas por atacantes (CVE-2009-1537 y CVE-2008-0015) y otra de la que no se sabe demasiado (CVE-2008-0020).

Por otro lado, en el "advisory" oficial de Microsoft se ofrecía información interesante. Por ejemplo, limita el problema a Windows XP y 2003. También enumera nuevos CLSID a los que se les puede activar el Kill Bit para evitar que sean explotables a través de Internet Explorer. Esto puede significar que son potenciales nuevos vectores de ataque que podrían ser usados para aprovechar la vulnerabilidad. Los ataques estaban llevándose a cabo a través de un solo CLSID (asociado a una librería) para aprovechar la vulnerabilidad, pero al parecer existen más, que Microsoft bloquea ahora para prevenir futuros ataques hasta que el problema sea solucionado por completo.

Se recomienda en todo caso, ejecutar la herramienta que Microsoft ha publicado para activar todos los Kill Bits de los CLSID implicados, que si bien no soluciona el fallo de raíz, evita que Internet Explorer se convierta en un vector de ataque.

Más Información:

Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code
Execution
http://www.microsoft.com/technet/security/advisory/972890.mspx

Microsoft Security Advisory: Vulnerability in Microsoft Video ActiveX
control could allow remote code execution
http://support.microsoft.com/kb/972890/en-us

http://www.eweek.com/c/a/Security/Was-Microsoft-Slow-to-Patch-Video-ActiveX-Vulnerability-130458
Was Microsoft Slow to Patch Video ActiveX Vulnerability?

Autor: Sergio de los Santos
Fuente: Hispasec

Leer Nota (+)

Análisis Forense

Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos, unos procedimientos y métodos de análisis que nos permitan identificar, recuperar, reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios para realizar la investigación.

En el ámbito de los sistemas informáticos, a la Ciencia Forense se le llama Análisis Forense Digital. Esta disciplina es relativamente nueva y se aplica tanto para la investigación de delitos "tradicionales" (homicidios, fraude financiero, narcotráfico...), como para los propiamente relacionados con las tecnologías de la información y las comunicaciones, entre los que destacan piratería de software y comunicaciones, intrusiones, "hacking", spam, phishing... . Dicho de otra manera, se define el Análisis Forense Digital como un conjunto de principios y técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y presentación de evidencias y que llegado el caso puedan ser aceptadas legalmente en un proceso judicial.

Un incidente de seguridad informática puede considerarse como un violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos, como por ejemplo: Incidentes de denegación de servicios, de código malicioso, de acceso no autorizado, por uso inapropiado, incidente múltiple....
Los incidentes en la realidad pueden enmarcarse en varias categorías de las anteriormente mencionadas, por lo que una buena forma de identificarlos puede ser el mecanismo de transmisión empleado.

En el análisis forense digital pueden diferenciarse las siguientes fases:

1. Identificación del incidente: descubrir las señales de ataque.
2. Recopilación de evidencias: registros y contenidos de la caché, contenidos de la memoria, estado de las conexiones de red, tablas de rutas, estado de los procesos en ejecución, contenido de archivos y discos duros...
3. Preservación de la evidencia: realizar copias, métodos adecuados para el almacenamiento y etiquetado de las evidencias.
4. Análisis de la evidencia: acondicionar un entorno de trabajo adecuado, reconstrucción de la secuencia temporal del ataque, determinación de cómo se realizó el ataque, identificación del autor del incidente y evaluación del impacto causado al sistema.
5. Documentación y presentación de los resultados: utilización de formularios de registro de incidente, informe técnico e informe ejecución.

Una vez que hemos pasado la primera fase del análisis y estamos seguros de que nuestro sistema informático ha sido atacado, debemos decidir qué es más importante para nosotros: tener nuevamente operativo nuestro sistema o realizar una investigación forense detallada.

Los administradores lo primero que suelen hacer es devolver a la normalidad el sistema, aunque así puedan perder casi todas las evidencias del ataque, y ello impida llevar a cabo acciones legales posteriores si fuera necesario. En sistemas SCADA, una vez identificado el incidente la única opción que tenemos es la de restablecer el sistema, ya que sería impensable dejar de suministrar gas, agua.... y comenzar con un análisis forense, ya que son sistemas críticos. Por ello, una posible solución sería registrar todo tipo de evento que pueda suceder en cualquier dispositivo de nuestro sistema.

En las redes SCADA hay dispositivos que son capaces de registrar eventos, sin embargo, existen otros que no lo son (PLC, RTU...), así una buena solución sería establecer soluciones de software que puedan registrar dichos eventos de estos dispositivos SCADA. Los PLC y RTU´s suelen utilizar protocolos concretos (ModbusTCP, DNP3, IEC104, ...) que tendrán que ser interpretados por este software, de tal modo que permita determinar que información es la que se desea registrar.

En ocasiones esto no es suficiente y es necesario además incluir una ultima interpretación de lo que está sucediendo en la red para crear el registro necesario de estos eventos, como por ejemplo, se está actualizando un firmware en un dispositivo y esta actualización NO se ha completado con éxito, todo ello con el fin de disponer de toda la información suficiente para realizar un análisis forense más completo.

Autor: Iker Berriozabal
Fuente: S21Sec labs

Leer Nota (+)

EE.UU detecta ciberataques masivos provenientes de Corea del Norte

Las amenazas se han dado contra sitios oficiales del país norteamericano y Corea del Sur.

Las autoridades estadounidenses han identificado a Corea del Norte como origen de los recientes ataques a las webs de algunos de sus organismos oficiales y redes privadas, así como a sitios de Corea del Sur.

Según los funcionarios americanos, aún se tardará un tiempo en descubrir quiénes han perpetrado estos ciberdelitos contra su administración digital y, pese a que la fuente se haya localizado en el país norcoreano, esto no implica necesariamente que los responsables estén relacionados con el gobierno de Pyongyang.

Los ataques de software fueron tan fuertes que obligaron a clausurar las páginas del Departamento de Defensa y la Comisión Federal de Comercio (FTC) durante varios días, aunque otros sitios como el del Pentágono o la Casa Blanca apenas notaron una pequeña interrupción de su servicio y se defendieron sin problemas, según informa MSNBC.

En cualquier caso, estos incidentes dejan el descubierto la falta de seguridad en las propias infraestructuras tecnológicas del país más poderoso del mundo. Estados Unidos ya está impulsando varias medidas para hacer frente a estas carencias, como la creación de un grupo especial transatlántico con sede en Roma para la lucha contra el cibercrimen y un comando denominado “Cybercom” dependiente del Ministerio de Defensa que hará frente a los hackers.

Autor: Alberto Payo
Fuente: siliconnews.es

Leer Nota (+)

Chrome OS, solo agregue Internet

“Google es una empresa que pone mucho énfasis en desarrollar aplicaciones web y conceptos tan simples como crear accesos directos a dichas aplicaciones, muestra como independientemente de que haya tomado a muchos por sorpresa la aparición de Chrome, este paso era lógico para Google, pues a fin de cuentas el “sistema operativo” con el cual operan la mayoría de sus productos es el navegador.”

Este párrafo lo escribí hace 10 meses atrás y servía para justificar la lógica de que Google lanzara un navegador al mercado. El espíritu de lo que decía el párrafo era que a diferencia de la mayoría de empresas tradicionales que viven del software de una forma o de otra, Google era una de las pocas empresas en el mundo donde prácticamente el 100% de sus aplicaciones viven en un navegador.

Google lo tenía claro desde un principio y por eso hoy anunciaron el siguiente paso obvio en su estrategia: lanzarán un sistema operativo basado en un kernel de Linux cuya interface y programas giran en torno a su navegador Google Chrome. Pero esta obviedad solo resulta del todo clara posterior a esta bomba de hidrogeno lanzada por la gran G, pues técnicamente los rumores de que esto ocurriese habían sido acallados cuando la empresa dio a conocer a Android.

Leer el anuncio de Google era haber revivido el lanzamiento de la Palm Pre, donde un muy capaz aparato giraba en torno a un sistema operativo basado en estándares web llamado precisamente webOS. La belleza de este sistema operativo desarrollado por Palm era que el único requisito para desarrollar aplicaciones era saber cómo programar con las herramientas web disponibles en la actualidad. Por ende, el universo de posibles desarrolladores es mucho más amplio que cualquier otra plataforma que ha partido de cero en el último tiempo. El anuncio, fue gigante y el potencial enorme, sin embargo, hasta la fecha Palm no ha hecho su trabajo muy bien y el acceso a la plataforma webOS sigue siendo muy restringida.

Sin embargo, a Google parece que la misma gitana le leyó las cartas pues la empresa está apostando por la misma estrategia que Palm, con su flamante Chrome OS. Como fue mencionado en el principio, la transición de un navegador a un sistema operativo -en el caso de Google- es una extensión absolutamente natural que es coherente con todos sus desarrollos. La lógica para este sistema operativo es la misma que implementaron para cuando lanzaron Chrome : los navegadores actuales (descontando el de Google) tienen mucho bagaje pues su código contiene muchos aspectos del nacimiento y la infancia de la web -solo hay que reemplazar navegadores por sistemas operativos.

Google considera los sistemas operativos actuales lentos pesados e inseguros y piensa resolver esto partiendo de cero desarrollando un sistema operativo sencillo, liviano, rápido y seguro. Pero esto no es todo, la empresa define que la plataforma de desarrollo de software es la web, por lo que cualquier aplicación web actual y futura funcionara de forma automática en Chrome OS. Considerando que Chrome funcionara tanto en plataformas x86 y ARM, que sus aplicaciones serán cualquier programa hecho con herramientas web y que dichas aplicaciones no solamente funcionaran en este sistema operativo sino en cualquier navegador que cumpla estándares, estamos hablando de que este nuevo desarrollo de Google es de temer, especialmente en Redmond.

Dos razones poderosas hay para lo anterior: la gran mayoría de aplicaciones que hay para sistemas operativos actuales existen de una forma o como versión web incluyendo suites ofimáticas. Se ha hecho tan popular esto que hasta Microsoft anuncio una versión en línea de Office en el futuro. Por otra parte, el navegador e Internet están presentes prácticamente en todas partes por lo que la gran ventaja del software tradicional, un medio físico donde este almacenado el software, ya en muchas partes es irrelevante. Ahora para cuando el tema de la conectividad sea relevante, tecnologías disponibles en la actualidad como Google Gears (que permiten acceder a las aplicaciones de Google sin estar conectado a Internet) se encargaran de cubrir la brecha entre el mundo online y offline.

Desde hace un muy buen tiempo, los sistemas operativos tradicionales han dado pistas que tienden hacia simplemente comportarse como maquinas virtuales. En el ambiente de servidores es prácticamente un requisito, en sistemas operativos de consumidores se está volviendo necesario tener una maquina virtual y muchos grupos de desarrolladores -incluyendo Microsoft- están pensando “partir de cero” nuevamente, creando un sistema operativo nuevo en donde la compatibilidad se maneja a través de maquinas virtuales. El mejor ejemplo de la actualidad es la maquina virtual de Windows XP que vendrá con algunas versiones de Windows 7 para mantener compatibilidad con programas antiguos.

¿A qué va lo anterior? Cuando analicé el manejo de memoria de Chrome el año pasado dije: “Viendo esto, es claro que Google ve más a su navegador como una maquina virtual la cual debe funcionar de forma eficiente para no hacer decaer el rendimiento del computador. Ciertamente esta mentalidad es muy acertada y es un paso en la dirección correcta para hacer de los navegadores herramientas aun más poderosas.” Esto muestra que Google va claramente adelantado en la carrera de los sistemas operativos del futuro y va a ser un rival altamente competitivo.

Un sistema operativo liviano, limpio y rápido con miles de aplicaciones familiares desde el día de lanzamiento. El anuncio de Google no pudo llegar en un momento más oportuno cuando los sistemas operativos actuales están teniendo problemas para cumplir fechas de entrega y ofrecer razones de fondo para adquirirlos. Google Chrome OS es una muy interesante apuesta que está bien fundamentada y encaminada.

Desde luego, no es que durante el segundo semestre del 2010 Google vaya a tomar un 20% del mercado de sistemas operativos ni mucho menos, es un esfuerzo a largo plazo (tal como lo han venido siendo su suite de aplicaciones) que dependerá, dentro de muchas cosas, del nivel de adopción del sistema operativo, su compatibilidad con el hardware y su idoneidad para reemplazar los esquemas de computación tradicionales. Sin embargo de todas las empresas que podrían lograr tener éxito en el cometido de lanzar un nuevo sistema operativo y ser una potencial amenaza para el líder indiscutido actual -Windows- Google era el mejor candidato.

Autor: Nicolas Rencoret
Fuente: CHW

Leer Nota (+)