Noticias de Seguridad Informática - Segu-Info

viernes, 18 de abril de 2014

10:43:00

Programación segura en Java/Android

El CERT mantiene una lista de reglas y buenas prácticas que recomiendan seguir cuando escribimos código en el lenguaje de programación Java de Oracle. La versión 1.0 de esta lista se apoya en las versiones 1.6 y 1.7 de Java.
La lista se divide en las siguientes secciones:
Como podemos ver la última sección de la misma está orientada a Android, en la que se comentan los siguientes temas:
Si eres de los que prefieres un libro, The CERT Oracle Secure Standard for Java (imagen que encabeza esta entrada), es una buena opción, aunque no cubre el apartado de Android, al menos en la revisión actual.

Fuente: Cyber Hades

Seguir leyendo »


jueves, 17 de abril de 2014

13:36:00

Ataques DDoS amplificados: la más grande amenaza contra Internet

Hace ya un año que The Spamhaus Project fue víctima del que, en su momento, fue considerado el más grande ataque distribuido de denegación de servicios. Los atacantes lograron enviar 300 gigabytes por segundo contra los servidores de nombres de dominio de Spamhaus, haciendo que éstos no pudieran responder las solicitudes de resolución del nombre www.spamhaus.org y haciendo que el sitio web pareciera estar caído a quien tratara de visitarlo al no conseguir la resolución del dominio.

Los atacantes explotaron una vulnerabilidad en el sistema de nombres de dominio (DNS). Ellos dirigieron el ataque contra los resolutores de DNS y contra los servidores de nombres de dominio autoritarios definidos por Spamhaus para la operación normal de su dominio. Mientras que la amenaza que esta clase de ataques representa es dada por el mal uso que los atacantes dan a los recursos de direccionamiento del DNS, su mitigación consiste en el mejoramiento de las prácticas de administración de direcciones en lo que se conoce como el ‘network edge‘ (ver 1.4, SAC 004 [PDF, 8 KB]).

Fundamentos de los ataques de DDoS a través del DNS

El DNS está compuesto por una cadena de queries enviados desde el navegador del usuario hasta un servidor que tiene la autoridad para responder. Simplificando el proceso, si usted quiere visitar ‘ejemplo.com’, su navegador enviará un query a un servidor de DNS preguntándole la dirección IP en la que ‘ejemplo.com’ está alojado. El servidor de DNS buscará la respuesta al query y la enviará de vuelta.

Los atacantes usaron tres técnicas – IP spoofing, reflexión y amplificación – para disparar este ataque masivo contra Spamhaus. Ellos coordinaron el envío de un número extraordinario de queries a alrededor de 30.000 servidores de DNS. En cada uno de estos queries la dirección IP estaba falsificada (spoofing) para aparentar que habían sido enviados por el servidor de DNS de Spamhaus. Esto hizo que los 30.000 servidores de DNS creyeran que sus respuestas debían ser enviadas a ese servidor de DNS de Spamhaus (reflexión). Y, para empeorar las cosas, los atacantes enviaron los queries de manera que las respuestas enviadas por los servidores de DNS a Spamhaus fueran paquetes muy grandes (amplificación).
¿Existe una solución?

En los 90, Paul Ferguson y Dan Senie previeron el enorme potencial de daño que representaba esta vulnerabilidad y publicaron en 1997, a través de la Internet Engineering Task Force o IETF, un borrador del documento que, luego de un largo proceso y varios años de discusiones y desarrollo, terminó convirtiéndose en el BCP 38 (¿Qué es un BCP?).

El BCP 38 describe la solución a esta vulnerabilidad (o una defensa, depende de a quién se pregunte): que todos los proveedores de servicios de Internet implementen una técnica denominada Source Address Validation. Si un ISP ha implementado el BCP 38, al recibir un paquete IP que diga venir de una dirección IP por fuera de los rangos de IPs que le hayan sido asignados, su servidor lo bloqueará y no lo dejará pasar.

Contenido completo en fuente original ICANN

Seguir leyendo »


8:20:00

Elimina la polémica extensión "Sell Hack"

Sell Hack, la controvertida extensión del navegador que prometía revelar direcciones de email privadas de usuarios de LinkedIn, ha sido eliminada por sus creadores (al menos de forma temporal) tras haber recibido una orden de cese por parte de la red social.

El plun-in, que estaba disponible para Safari, Firefox y Chrome, añadía un botón "Hack In" a los perfiles de Linkedin que visitábamos. Cuando se precionaba el botón, normalmente se mostraba el correo electrónico de esa persona (no funciona el 100% de los casos). Evidentemente, esto se ha visto como una amenaza a la privacidad por muchos usuarios.
A pesar de la confusión inicial en cuanto a las informaciones, ha quedado claro que Sell Hack no ha hackeado LinkedIn de forma alguna, con el objetivo de hacer esa información privada, visible. En su lugar, ha hecho uso de información de dominio público en la red con una serie de "pesquisas" para relacionar a cada perfil con el "supuesto" medio de contacto.

Según comenta una portavoz de LinkedIn, Krista Canfield, "no se ha comprometido la información de nuestra empresa, y Sell Hack no es el resultado de una brecha de seguridad, bug o vulnerabilidad". Depende de cada uno el creer esta afirmación o no, porque también es de lógica pensar que para la empresa sería más perjudicial reconocer una brecha de seguridad en sus sistemas.
Hace poco, Sell Hack ha respondido con una actualización de su blog, titulada "Las últimas 24 horas".

Los responsables del servicio Sell Hack deberían intentar ser un poco más transparentes cuando publiquen nuevas versiones de su herramienta, además de mostrar con más claridad qué están haciendo y qué no. Si quieren ganarse la confianza de los usuarios esto es básico.

Está por ver si LinkedIn terminará algún día acogiendo un complemento que instala un botón de "hack in" en cada una de las páginas de los más de 200 millones de usuarios que conforman su red.

Fuente: Mejor Antivirus

Seguir leyendo »


miércoles, 16 de abril de 2014

14:00:00

Adolescente amenazó por Twitter con atentado y fue detenida

Una niña holandesa de 14 años fingió ser un miembro de Al Qaeda, amenazó por Twitter a la compañía aérea American Airlines con cometer un atentado el primero de junio y fue detenida.

"Hola, mi nombre es Ibrahim y soy de Afganistán, formo parte de Al Qaeda y el 1 de junio voy a hacer algo realmente grande", escribió Sarah desde su cuenta en la red de microblogging. La muchacha recibió una respuesta desde la cuenta oficial de la compañía estadounidense: "Sarah, nos tomamos estas amenazas muy en serio, tu dirección IP y detalles serán enviados al FBI".
Sarah, presa del pánico, pidió inmediatamente perdón, usando su misma cuenta, @QueenDemtriax. "Lo siento, estoy asustada ahora, estaba bromeando", escribió. "Fue solo una broma y fue una amiga mía, tomen su dirección IP, no la mía, soy solo una niña, por favor, y no soy de Afganistán".

Un portavoz de la policía holandesa, Tinet De Jong, dijo que la niña fue interrogada en compañía de un pariente en una comisaría de Rotterdam, después de que Twitter les desvelase la dirección de internet desde la que había escrito el mensaje. "Estamos preguntándole ahora por qué envió esos mensajes", reveló, y agregó que la policía preguntó a la aerolínea si quería presentar cargos. "Dependerá en gran parte de si ha hecho antes cosas así", dijo De Jong.

Hace cuatro años un hombre británico bromeó con que volaría un aeropuerto, después de que cerrara por nieve, vio anulada una condena por enviar un mensaje "amenazador", tras apelar después de dos años de batalla legal.

Fuente: Ambito

Seguir leyendo »


11:00:00

Aplicaciones de Android podrían ser vulnerables a #Heartbleed

Heartbleed, la vulnerabilidad que afecta a cientos de miles de servidores de Internet, podría hacer que unas 1.300 aplicaciones de Android estuvieran indefensas, según un análisis que ha hecho la empresa software de seguridad Trend Micro entre más de 390.000 aplicaciones de Google Play.

Y es que las aplicaciones móviles -desde el navegador hasta las apps de banca o compra online-, como las páginas web, también alojan la información en un servidor. La empresa ha anunciado que ya ha informado a Google de esta incidencia.

Trend Micro incide en que, ante la posibilidad de comprar desde una aplicación móvil, a la hora de introducir los datos de la tarjeta de crédito y finalizarse la transacción, los datos bancarios se almacenan en un servidor y pueden permanecer allí por un periodo de tiempo indeterminado.

"Basta que los ciberdelincuentes aprovechen el error Heartbleed y se dirijan a ese servidor para extraer la información que almacena, entre la que se encuentra su número de tarjeta de crédito", explican.

Fuente: RTVE

Seguir leyendo »


8:10:00

Claves para proteger la privacidad y la seguridad en la red

Tengan a bien saber –usuarios de teléfonos celulares, notebooks, tablets y demás soportes tecnológicos– que un detalle menor, como una simple foto guardada en la memoria, una grabación de voz o un video casero filmado desde el celular pueden ser la llave para montar secuestros virtuales, para robar datos personales violando la seguridad informática, para fortalecer la pedofilia, el bullying (acoso escolar) y la pornografía, entre otras prácticas.

En los últimos tiempos, los secuestros virtuales a través de llamadas extorsivas a personas de cualquier escala social aparecen entre los delitos más comentados. Y como un reguero de pólvora, las víctimas cuentan hechos parecidos. Días atrás, la viuda de Juan Carlos Calabró, Coca, sufrió una llamada extorsiva durante la madrugada. Su hija, Marina, relató lo sucedido: "Fue a las 3 de la mañana: suena el teléfono y una voz masculina le dice a mi mamá: ‘Tenemos a tu hija, danos plata, dólares, joyas. Si no, la vamos a matar’. Detrás de esa voz masculina también había una femenina que gritaba simulando una crisis de llanto: ‘¡Mamá, dales todo, me matan!’. Obviamente, mi mamá se paralizó: le dieron datos que podían dar la pauta de que ellos sabían cómo estaba estructurada nuestra familia. A mamá se le confundieron las cosas, porque estaba en shock –agregó Marina–. Por suerte no le sacaron nada y los pocos datos que dio eran falsos. Pero pasó un momento espantoso", concluyó la panelista.

Seguir leyendo »


martes, 15 de abril de 2014

17:10:00

Penetration Test en #Android

Este artículo enumera los primeros pasos para llevar a cabo una revisión de seguridad de una aplicación para Android. Estos pasos cubren una recopilación de información inicial, debugging, descompilación, análisis estático y dinámico de APKs.

El número de herramientas disponibles para ayudar en el análisis de aplicaciones de Android ha aumentado significativamente ofreciendo características potentes y robustas para entender fácilmente.

Para la evaluación inicial que utilizan las siguientes herramientas:
Contenido completo en fuente original Yet Another P0wn Blog

Seguir leyendo »


13:44:00

Primer robo real utilizando #Heartbleed

Aunque no es el peor escenario imaginado, acaba de conocerse una brecha de seguridad en la emprea Canada Revenue Agency, que podría ser la primera explotación real conocida utilizando la vulnerabilidad Heartbleed.

Canada Revenue Agency afirma que casi 1.000 números de Seguro Social, así como datos de negocio sin especificar fueron sustraídos por delincuentes utilizando dicha vulnerabilidad. Mientras que la agencia tomó medidas rápidas para empezar a asegurar sus propios sistemas, parece que los delincuentes oportunistas les ganaron de mano y lograron acceder a datos, antes de que se pudiera solucionar la vulnerabilidad.

No queda claro cómo fue detectado el ataque ya que justamente uno de los problemas relacionados a HeartBleed es la dificultad de detectar el ataque. Sin embargo, análisis adicionales aseguran que no ha existido evidencia similar ya sea antes o después de este incidente. Las autoridades canadienses aplicarán medidas adicionales de seguridad a las cuentas que fueron comprometidas para evitar cualquier uso indebido de los datos robados.

Fuente: Engadget

Seguir leyendo »

Creative Commons License
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5


11:28:00

VII Congreso de Derecho Informático

El próximo 16 de mayo, ADIAr (Asociación de Derecho Informático de Argentina) organiza en la provincia de Santa Fe, el VII Congreso de Derecho Informático, con importantes invitados nacionales e internacionales

Fecha: 16 de Mayo de 2013
Hora de Inicio: 9 hs (Acreditaciones e Inscripciones).
Lugar: Facultad de Ciencias Jurídicas y Sociales (Universidad Nacional del Litoral) - Cándido Pujato 2751 - Santa Fe Capital.
Costo: Gratis para Socios de ADIAr / $200 para No Socios / $50 para Estudiante. Se entregan certificados
Inscripción: aquí

Fuente: ADIAr

Seguir leyendo »

Creative Commons License
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5


8:04:00

Episodios para un Pentesting

Nicolás Moral de Aguilar ha publicado un documento descargable, en el que se realiza una explicación detallada sobre cómo conseguir hacerse con un ordenador remoto aprovechando una vulnerabilidad de Java en navegadores, que permite la ejecución de código malicioso tras aceptar un applet de Java en cualquier navegador y/o sistema operativo. Así mismo, explicaré el procedimiento habitual en el que entra en juego la ingeniería social para hacer que las posibles víctimas acepten la ejecución del applet.

Para explicar el procedimiento, voy a especificar varias fases por separado, que permitirán entender de manera más sencilla todo el proceso. En la primera fase, se debe realizar un escaneo de la LAN en la que se sitúa el episodio para visualizar la estructura de la red y detectar posibles equipos vulnerables. Más tarde, hay que analizar los mismos para ver cómo y qué vulnerabilidades se pueden aprovechar. Tras eso, se debe configurar el exploit necesario para aprovechar dicha vulnerabilidad, y dependiendo del tipo de exploit, habrá que seguir un procedimiento para hacer que el ataque se haga efectivo.

Contenido completo en fuente original Flu-Project

Seguir leyendo »


Aquí y Ahora

 
 Widget de Google 

Acerca de Segu-Info

Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - MVP que brinda información sobre Seguridad de la Información desde el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons a menos que se indique lo contrario. Cristian Borghello no se hace responsable del contenido o comentarios de terceros.

  ©Template desarrollado por Dicas Blogger y Adaptado por SoloE para Segu-Info - 2009