21/9/2014

John McAfee anuncia una página web para descargar ira y venganza


El extravagante pionero de la industria de software antivirus, John McAfee, hizo una aparición sorpresa en el congreso de piratas informáticos y reveló un sitio web nuevo donde los usuarios pueden descargar su ira.

El ex millonario, que huyó de Belice en 2012 después de que la policía le buscase para interrogarle por el asesinato de un vecino, dijo que había creado una página para que los usuarios comunes puedan lanzar sus quejas acerca de todo, desde la corrupción del gobierno a malos productos de consumo.


El sitio, llamado BrownList, porta el lema "It's payback time (Es la hora de la venganza)".

"Esto se nutre de la ira en una manera positiva", dijo en una entrevista con la agencia Reuters antes de subir al escenario en Def Con, el mayor congreso del mundo de piratas informáticos.
"En lugar de enfadarse y disparar a alguien en la carretera, o gritar a su esposa, usted puede iniciar una sesión en la página web"

BrownList ofrece un foro para que las personas publiquen quejas específicas y para que los usuarios propongan soluciones a los problemas.

Las sugerencias serán votadas por miembros del sitio decidiendo qué respuesta es la mejor.

"En lugar de simplemente quejarnos, nos permite obtener soluciones positivas", dijo a una audiencia de cientos de 'hackers' que participan en un congreso de tres días.

McAfee dijo que planea hacer dinero mediante servicios de suscripción con empresas, pero no dio más detalles.

Dijo que estaba buscando más inversores para la página, que puso en marcha con 450.000 dólares iniciales de un inversor privado, cuyo nombre no quiso revelar.

El empresario británico-estadounidense fue el fundador en 1987 de McAfee, pionero del software antivirus informático, que posteriormente fue vendida a Intel en 2010.

Fuente: iProfesional

Alemania endurecerá las penas por la #pornografía infantil

Berlín (Reuters) - Alemania quiere ampliar su definición de pornografía infantil y encarcelar hasta tres años a la gente que posea o distribuya fotos de niños desnudos que sean consideradas pornográficas, según un nuevo proyecto de ley.

"Las nuevas normas mejorarán la protección de las víctimas de ofensas sexuales", dijo el ministro de Justicia Heiko Maas al presentar el texto, que fue aprobado por el gabinete alemán el miércoles.

Hasta ahora, sólo las imágenes en la que un niño estaba en "una postura sexual extraña" eran ilegales en Alemania, pero la nueva ley ampliaría la definición de lo qué tipo de poses desnudas se consideran pornografía ilegal.

"Nadie puede ganar dinero con los cuerpos de los niños y los adolescentes", dijo Maas, quien añadió que la ley no pretende que los padres no tomen fotos de sus propios hijos en la playa.

El debate público y la presión para una ley más dura llegaron después de que el prominente parlamentario socialdemócrata Sebastian Edathy fuera investigado por imágenes de niños desnudos descargadas en su portátil del Gobierno. Las imágenes no eran ilegales y Edathy ha negado que poseyera pornografía infantil.
"La pornografía infantil es un abuso sexual. Los niños no son capaces de defenderse contra tal violencia y son traumatizados".
La ley da protección a las personas que son fotografiadas contra su consentimiento o sin su conocimiento en poses "que probablemente dañen significativamente la reputación de la persona" y que podrían usarse para el ciberacoso. Esto incluiría personas que están borrachas o que son víctimas de delitos violentos.

El borrador también arremete contra el acoso sexual infantil a través de Internet.

Fuente: Investing

20/9/2014

Consejos para proteger una empresa del hackeo


Los últimos acontencimientos en materia de seguridad, tales como la filtración de cinco millones de contraseñas de Gmail, han llevado a muchas empresas a preguntarse qué pasa con los ataques dirigidos a grandes compañías en los que los ciberdelicuentes consiguen tener acceso a información privilegiada o cómo pueden las empresas prevenir estos riesgos.

Un grupo español se ha propuesto ayudar a las empresas a evitar ser víctimas del hackeo y para ello acaba de publicar nueve consejos:
  • Informar periódicamente la plantilla: Las compañías deben instaurar ciclos de formación sobre las medidas que deben seguir los empleados para gestionar sus contraseñas en su trabajo diario.
  • Crear una política que obligue a generar contraseñas robustas: que tengan al menos 8 caracteres en la que se alternen mayúsculas, minúsculas y números. La firma además aconseja que éstas no se encuentren en el diccionario y que no tengan que ver con la vida personal de los usuarios.
  • Instaurar la costumbre de cambiar las contraseñas cada cierto tiempo: Para una mayor seguridad, es recomendable que todos los colaboradores de la empresa cambien sus contraseñas cada 3 ó 6 meses.
  • Cifrar todas las contraseñas de los empleados con un algoritmo robusto
  • Nunca almacenar las contraseñas de los empleados, usar en su lugar un hash
  • Crear un segundo factor de autenticación para los empleados
  • Permitir que los empleados puedan escribir su propia pregunta personalizada en un sistema de preguntas recordatorio para reseteo de contraseñas
  • Cambiar las contraseñas por defecto de todas las aplicaciones que use la empresa
  • Investigar la seguridad de los servicios que quieran usar los empleados para su trabajo y elegir el más seguro.
Fuente: CSO España

El Gobierno de Ecuador invertirá en defensa cibernética

Ecuador tiene previsto invertir ocho millones de dólares para crear un comando de defensa cibernética que deberá estar en plena actividad a mediados del próximo año, informó la ministra del área.

La titular de Defensa María Fernanda Espinosa señaló: "Queremos estar preparados para cualquier ataque que quiera vulnerar la seguridad del Estado" y destacó que Ecuador uno de los 10 países de América Latina que es blanco permanente de ataques cibernéticos.

Añadió que el Consejo Sudamericano de Defensa que tiene el mandato de los jefes de Estado de la Unión de Naciones Suramericanas se propone avanzar en una estrategia compartida con la idea "crear una suerte de anillos que protejan nuestras comunicaciones".

El general Luis Garzón, jefe del comando conjunto de las fuerzas armadas, dijo que se ha puesto un plazo de 30 días para organizarse y dar inicio al proyecto.

"Esto implica una minuciosa selección de personal, de talento humano tanto civil como militar" en universidades de todo el país. "Somos sujetos de espionaje, están violando (nuestros) sistemas de seguridad", afirmó, citado por la agencia AP.
"Somos sujetos de espionaje, están violando (nuestros) sistemas de seguridad"
Los episodios de piratería cibernética se han repetido en torno al gobierno y el presidente Rafael Correa (en la foto). Incluso en 2012 un pirata informático clonó la identidad del mandatario ecuatoriano en el portal de datos públicos.

Fuente: iProfesional

19/9/2014

Encuentra trabajo crackenado una #smartcard

Una empresa de Girona ofrece empleo y 10.000 euros a quien rompa su producto estrella: una tarjeta-chip para guardar certificados y contraseñas

Las empresas españolas que fabrican tarjetas inteligentes pueden contarse con los dedos de una mano. Entre ellas destaca de forma importante Arkocard, con sede en Girona. Arkocard tiene la respuesta a la gran pregunta que se hacen cada vez más usuarios: ¿Si no podemos guardar las contraseñas en una libreta o un post-it, y tenemos demasiadas para memorizarlas, dónde las guardamos? Desde 2010 Arkocard dedica buena parte de su I+D a una smartcard pensada específicamente para almacenar contraseñas y certificados digitales. La empezó a comercializar en 2012 y ahora reta a la comunidad de hackers especializados en "cracking" (crackers) a romperla.

Arkocard nació en 1996 como fabricante de tarjetas de plástico y hoy en día la mitad de su producción son tarjetas con tecnologías de última generación, de las cuales fabrica 3 millones al mes. Una de sus grandes apuestas han sido las tarjetas RFID, que se leen por medio de radiofrecuencia, además del desarrollo de tarjetas criptográficas a las que se puede incorporar firma digital. Entre ellas brilla con luz propia la Safe Keeper Card, que permite guardar contraseñas cifradas y hasta diez certificados digitales dentro de su chip. De esta forma, sólo es preciso recordar una contraseña: la de la tarjeta.

Para usar la Safe Keeper Card hay que disponer de un lector de tarjetas conectado al ordenador. La tarjeta cuesta 25 euros y puede comprarse en tiendas de informática. La web Safekeepercard.com muestra en un mapa los puntos de distribución a nivel mundial. En la misma web se anuncia el concurso que acaba de poner en marcha Arkocard, para probar la seguridad de esta tarjeta. Es un reto a la comunidad cracker, en el que se premia con 10.000 euros a quien consiga "romper su seguridad y hackear sus entrañas para acceder a su contenido". El premio que ofrece Arkocard es una cantidad alta debido a que hoy en día la mayoría de smartcards son productos muy seguros y quien consiga atacarlas necesita una inversión considerable de tiempo y equipos. Más aún si se trata de una tarjeta pensada para almacenar contraseñas, con 4 años de I+D encima, como es la Safe Keeper Card.

El reto se presenta en forma de juego, que consiste en "conseguir 7 bolas por medio de enlaces ubicados en la memoria cifrada de la tarjeta". Los participantes deben registrarse en la web, comprar la tarjeta y tratar de averiguar el PIN y PUK de la misma. Una vez conseguido el reto, los ganadores deberán "acreditar y presentar el método utilizado para lograr acceder al contenido de la tarjeta", lo que convierte el juego en una auditoría de la Safe Keeper Card, con informe incluido. La empresa usará el reto para captar nuevos talentos que incorporar a su plantilla de 30 trabajadores. La fecha límite del concurso es el 31 de diciembre de 2014.

Akrocard fabrica también la tarjeta Biocard, ecológica y biodegradable, que ha recibido la certificación de biodegradabilidad por parte de un laboratorio independiente, bajo el acuerdo y supervisión de la Universidad de Milán. Los clientes de Akrocard son diversos: ayuntamientos; consorcios de transporte, entidades, asociaciones, empresas de varios ámbitos, cadenas hoteleras y mutuas de asistencia médica y de viaje. Sus tarjetas se usan en entornos de transporte público, servicios municipales (tarjeta ciudadana, bicing/Girocleta), comercial y publicitario, fidelización de clientela, control de asistencia, identificación de equipaje, asistencia en viajes, apertura de puertas para cadenas hoteleras y carnés de socio. Akrocard también cuenta con una línea de distribución de impresoras de tarjetas plásticas, para ofrecer a los clientes un servicio integral. Estas impresoras permiten personalizar las tarjetas y se venden en la misma empresa. La empresa facturó el año pasado 3 millones de euros.

Más información en: Akrocard

Argentina: Tres allanamientos en investigación por acoso a menores en Internet

La justicia mandó a allanar este miércoles tres domicilios en el marco de una investigación que trata de establecer si existe una red de pedofilia que acosa a menores de edad a través de Facebook y les envía material pornográfico.

Según confirmó a NA la fiscal a cargo de la investigación, Daniela Dupuy, en los allanamientos que se realizaron este miércoles por la mañana en la Ciudad de Buenos Aires y en el partido bonaerense de San Isidro, se secuestraron computadores y discos rígidos que serán peritados en las próximas horas.

Uno de los domicilios allanados es un departamento en el que vive el encargado de un edificio ubicado en avenida Callao en Barrio Norte y en donde también se allanó el sótano en busca de elementos de prueba.

El encargado del edificio, según se pudo establecer a través de la investigación, está sospechado de crear perfiles falsos en Facebook para acosar a los menores y enviarles material pornográfico.

Desde la Fiscalía Especializada en Delitos Informáticos, a cargo de la fiscal Dupuy, lograron determinar que el hombre habría mantenido conversaciones de alto contenido erótico con menores de 11 y 12 años, pero espera los resultados de las pericias para imputarlo en la causa.

Además, el hombre les solicitaba a los menores que se tomaran fotografías de sus partes genitales y que se las enviaran a él.

Los otros dos allanamientos se realizaron en San Isidro y los investigadores establecieron que operaban con la misma modalidad y desde Facebook les habrían enviado a los menores material pornográfico, películas y fotos.

Uno de los domicilios allanados es una casa de familia, mientras que el segundo lugar es un comité partidario de una agrupación vecinal, de la que no se brindaron mayores datos para no entorpecer la investigación.

El caso comenzó a ser investigado por la denuncia que realizaron los padres de tres chicos que, luego del entrecruzamiento de datos que se hizo desde la fiscalía, se determinó que las víctimas concurren a la misma escuela en la Ciudad de Buenos Aires.

Tras los allanamientos llevados a cabo este miércoles, se logró identificar a las personas investigadas y secuestrar una gran cantidad de evidencia digital que será sometida a peritajes para determinar la responsabilidad de cada uno de los imputados y determinar si existen otras víctimas y si se trata de una red de pedófilos.

"Sería conveniente abordar seriamente la problemática del grooming y que se implementen políticas de Estado para informar, formar, educar a los menores de edad, padres y docentes para impedir que estos delitos aberrantes sigan cometiéndose", sostuvo la fiscal Dupuy.

Por su parte el fiscal Martín Ocampo dijo: "Lo fundamental es actuar en conjunto desde ambos frentes, por un lado desde el Estado, avanzando coordinadamente con todos los actores involucrados, y logrando identificar al delincuente rápidamente y por el otro fomentando el dialogo dentro del hogar, que los padres sepan que pueden denunciar en la Fiscalía de la Ciudad".

Los operativos fueron realizados por personal de la División Delitos Tecnológicos de la Policía Federal y el Área Especial de Investigaciones Telemáticas de la Policía Metropolitana.

Fuente: Ambito

Dotcom muestra junto a Snowden su nuevo servicio de videoconferencias cifradas


No es de sorprendernos que Kim Dotcom esté pensando en ampliar Mega con nuevas funcionalidades que puedan apoyar a la privacidad de sus usuarios, y tal es el caso que hoy nos enteramos que Kim prepara un nuevo servicio de videoconferencias cifradas.

Fue durante el evento "Moment of Truth" donde Kim Dotcom dijo que tiene listo un servicio de videoconferencias cifradas, el cual sería comparable con Skype en cuanto a funcionalidades, sin embargo, traería como mayor virtud asegurar la privacidad de sus usuarios. El servicio llegaría como un complemento para Mega, y sería utilizado desde la web.

Kim Dotcom organizó el evento Moment of Truth con el objetivo de discutir asuntos sobre vigilancia y privacidad. Minutos después de que había platicado con algunos defensores de la privacidad les permitió a Edward Snowden y Julian Assange unirse por medio de una videoconferencia, en la que utilizaron este prometedor servicio cifrado.

Por ahora no hay datos concretos de cuando llegarían las videoconferencias cifradas a Mega, no obstante, nos queda claro que, siendo utilizado para proteger a dos figuras como Edward Snowden y Julian Assange, podría estar en una fase final de su desarrollo.

Fuente: Genbeta

Malware oculto en cabeceras JPG EXIF

Hace ya algunas semanas que estamos observando que determinados sitios web han sido comprometidos y los atacantes han dejado una puerta trasera para seguir ejecutando código en el servidor. Sobre el caso que vamos a explicar ya existen varios artículos donde destacamos el de  securi.net y el de spiderlabs los cuales ya estaban hablando de este asunto este mes de Julio.

Resumiendo la técnica, los atacantes inyectan código en ficheros php para leer una imagen mediante la función exif_read_data() y ejecutar código de dentro de la imagen mediante un truco que permite la función preg_replace(). Este código que se ejecuta inyectado en la imagen, ofrece la posibilidad de ejecutar código php que venga en una petición POST en una variable de nombre zz1 cuando se invoque el php afectado.

Para que quede más claro vamos a ver la técnica con un ejemplo sencillo. Lo primero que hacemos es crear un fichero de nombre index.php que vamos a colocar en nuestro servidor web junto a la imagen.

Las líneas en rojo serían las que inyectaría el atacante en cualquier fichero php. Y la imagen backdoor.jpg sería la subida por el atacante. Como muy bien explican en los artículos si analizamos la imagen, veremos que en la cabecera tendremos algo como:

Donde el código que se ejecutará realmente después de aplicar la función base64_decode() será:

Como ya hemos dicho antes en el resumen, se ejecutará lo que llegue en la variable "zz1” en una petición POST. Continuando con nuestro ejemplo, la petición que lanzaría el atacante para aprovechar el código inyectado y la imagen con el backdoor, sería algo como:


 
Este ejemplo sencillo, hará que se ejecute la función “phpinfo();” en el servidor y nos devuelva la información. Con esto queda demostrado que podemos ejecutar código php en el servidor.

Una vez visto cómo funciona debemos plantearnos diferentes opciones para detectar esta amenaza o similares. Para este caso concreto podrían valernos:
  • Las funciones que se utilizan en la imagen son “base64_decode” y “eval”, así que una posible vía de detección sería detectar estas dos funciones en ficheros de tipo imagen. Esto puede detectarse tanto en el tráfico de red como de manera local en el servidor buscando estas dos funciones en ficheros de tipo imagen.
  • Detectar hacia nuestros servidores web peticiones POST a un fichero php con la variable zz1 fijada. Esto indicará que nuestro servidor web podría estar comprometido.
  • Y por último revisar el código php de nuestras aplicaciones en busca de las funciones exif_read_data() y preg_replace()
Vistas diferentes aproximaciones para detectar esta amenaza, comentaros que nosotros hemos detectado usuarios que durante una navegación normal, han descargado imágenes que contenían el backdoor. Este hecho por si solo no compromete al usuario, aunque debe alertarnos, ya que si contiene este backdoor podría tener también algún Exploit Pack que puede intentar atacar a nuestros usuarios. Un ejemplo de la detección que hemos visto ha sido:

Al detectar esto, se ha procedido a notificarlo a los sitios web para que puedan desinfectar sus servidores de esta amenaza.

Fuente: SecurityArtWork

18/9/2014

Fallo de seguridad y exploit en el navegador por defecto de #Android


El investigador Rafay Baloch ha publicado una vulnerabilidad, identificada como CVE-2014-6041, que afecta a la mayoría de los sistemas Android.

La Política del mismo origen o Same Origin Policy (SOP) es una medida de seguridad básica que deben implementar todos los navegadores actuales. La idea es muy sencilla: el código de una página que se ejecuta en cliente (casi siempre javascript) no debe ser capaz de acceder al código de otra.

Eso es porque, aunque hay algunas excepciones con unas pocas propiedades y atributos, si se permitiera acceder globalmente desde un origen a otro (Esquema, dominio y puerto) un sitio A podría acceder a las propiedades de otro sitio B, es decir, un sitio malicioso podría obtener las cookies, location, response, etc. de otro sitio por el que está navegando el usuario. Un ejemplo claro sería cuando un usuario accede a un sitio malicioso y es posible robar una sesión de Facebook abierta en otra pestaña del navegador.

Resulta que el navegador por defecto de todas las versiones de Android anteriores a la 4.4, el conocido como AOSP browser (Android Open Source Project), permite evadir La Política del mismo origen (SOP) cargando Javascript en un iframe o ventana cualquiera simplemente poniendo antes de "javascript:..." un byte nulo. Es lo que sería UXSS (Universal Cross-site Scripting).

Además, para facilitarnos más aún la vida, jvennix-r7 ha publicado un módulo de Metasploit que también soporta la evasión de x-frame-options cocinando así un exploit universal listo para su uso: https://github.com/rapid7/metasploit-framework/pull/3759.

Se recomienda actualizar el navegador si hay actualización disponible, o en caso contrario, utilizar navegadores alternativos, como Firefox o Chrome.
Para saber que versión de Android tiene un dispositivo hay que dirigirse al menú Ajustes > Acerca del teléfono > Versión de Android.

Fuente: OSI y Hackplayers

Argentina: Cayó red que falseaba datos para visas de EEUU

La Justicia investiga a una mujer detenida por la Policía Metropolitana, acusada de liderar una organización que creaba falsos perfiles socio-económicos para saltar las trabas burocráticas y acceder a la visa para ingresar a los Estados Unidos de América.
La mujer de 70 años era, también, propietaria de una agencia de turismo en la zona de Ramos Mejía en el conurbano bonaerense, y habría cobrado 500 dólares por cada uno de los más de cien trámites adulterados.

Hace seis meses comenzó la investigación cuando funcionarios de la Embajada detectaron irregularidades en algunos perfiles presentados, en los que los ingresos declarados no correspondían con la vestimenta de los postulantes y algunos domicilios presentados resultaban ser terrenos baldíos.

Esto motivó a realizar una denuncia en el Juzgado Criminal y Correccional Federal Nro. 3, a cargo de Daniel Rafecas que ordenó a la Policía Metropolitana que inicie la investigación.

El Área de Cibercrimen recolectó los registros de conexión de los trámites sospechados.

Tras ser analizados se pudo trazar un patrón y se localizó el área dónde operaba la banda. Se pudo ubicar a los lugares donde se iniciaba el trámite, que eran locutorios situados en el radio comprendido entre las avenidas Belgrano, Entre Ríos, Jujuy y Rivadavia.

Luego de realizar tareas de inteligencia en la zona la policía logró individualizar a la mujer cuando intercambiaba documentación con los postulantes y los llevaba a su domicilio.

Con los datos aportados por la investigación, la Justicia ordenó allanar dos domicilios. El primero fue la vivienda de la sospechosa, ubicada en la avenida Belgrano al 2600, en la localidad bonaerense de Ramos Mejía y luego la vivienda de un ciudadano camerunés que ofrecía servicios de gestoría en Internet, pero que no se encontraba en el país.

En los operativos se logró incautar una gran cantidad de documentación que se relaciona con el armado de carpetas y perfiles de más de un centenar de personas.

También se secuestraron certificados de constancia de trabajo en blanco, hojas con sellos de hospitales públicos, contratos de locación en blanco, pasaportes argentinos y extranjeros y hojas membretadas del Gobierno de la Ciudad de Buenos Aires. También se secuestraron computadoras y celulares.

La mujer quedó a disposición de la Justicia, bajo arresto domiciliario.

Fuente: Ambito