Rápida desactivacion de Phishing de BBVA Banco Francés

Este fin de año ha visto un aumento importante en las denuncias que recibimos de phishing en Segu-Info. En un caso denunciado ayer, hemos comprobado una vez más la importancia de la velocidad de respuesta y al  la responsabilidad de quienes brindan servicios en Internet. Esto desde la perspectiva de hacer de Internet un lugar seguro.

Se trata de un phishing bancario, en este caso del BBVA Banco Francés de Argentina. El correo falso es el de la siguiente captura donde se observa un enlace engañoso a Bit.ly (clic para agrandar):

Si la victima siguió el enlace corto del correo: http://bit.ly/sl7uTw era llevado al enlace original: http://bitranslations.com.ar/descargas/bbvacambios.html y allí había un sitio falso del banco para robar las credenciales (usuario, contraseña, etc.) de los incautos que hayan caído en este engaño, como se ve en la captura:

La página falsa estaba alojada en un sitio (http://bitranslations.com.ar/) abusado por los delincuentes y alojado en el proveedor de hosting http://www.visualhosting.net.
Como es habitual seguimos el protocolo de denuncias que utilizamos y denunciamos el enlace corto a Bit.ly, el caso de phishing a PhishTank, desde los navegadores IE y Chrome reportamos el sitio como fraudulento, las cabeceras y el correo a Spamcop y también intentamos contactar al propietario del sitio abusado.

Es en este último que tuvimos inicialmente problemas pues la página de contacto no funcionaba, y no figuraba un correo de contacto, luego de solucionado esto cambió.

Procedimos a identificar el servicio de hosting y para nuestra grata sorpresa poseen un sistema de soporte via web que es atendido las 24hs y al que no se necesita ser cliente para poder acceder.

Allí denunciamos el caso, se nos asignó un nro de ticket para este caso y en 8 minutos el sitio fue corregido y la página falsa del banco eliminada!

Ticket de denuncia en Hosting

Phishing desactivado

Distinta suerte corrió la denuncia a Bit.ly, quienes se tomaron mas de 12 hs. en desactivar el enlace

Bit.ly desactivó el URL acortado despues de 12hs.

En este caso particular hemos reportado sin ocultar los enlaces pues ya no representan peligro alguno; no son funcionales. Por otro lado y como excepción mencionamos un servicio comercial de hosting que trabaja como entendemos se debe hacer, al menos en cuanto a denuncias de phishing se refiere.

En esta nota se demuestra que el resultado de que tan bueno o malo sea Internet depende de la responsabilidad de sus participantes. En Segu-Info tomamos esta tarea con entusiasmo y responsabilidad para demostrar que se puede hacer mucho contra estos abusos.

Agradecemos por este caso a Guillermo F. y en general todos los que envían rápidamente los casos de phishing  incluyendo cabeceras de correo. Sigan denunciado para luchar contra la delincuencia.

Raúl de la Redacción de Segu-Info

Seguir leyendo »

Nadie está a salvo en Internet

Si se aprueba un proyecto de ley que fue presentado en el Congreso de la Nación, los usuarios de Facebook, Twitter y otras redes sociales que usurpen la identidad de otra persona podrán ser condenados a una pena de entre seis meses y tres años de prisión.

El objetivo de la iniciativa va más allá. No sólo busca penalizar a los usuarios que se apropian de identidades en las redes sociales. Pretende, además, castigar a los delincuentes que, por medio de falsas identidades, roban las claves bancarias y vacían las cuentas, y a pedófilos que se hacen pasar por menores de edad para comenzar una relación en los chats con niños y adolescentes.

"Será reprimido con prisión de seis meses a tres años el que adoptare, creare, apropiare o utilizare, a través de Internet, cualquier sistema informático, o medio de comunicación, la identidad de una persona física o jurídica que no le pertenezca", sostiene el artículo primero del proyecto presentado por los diputados nacionales del Frente Peronista Natalia Gambaro, Francisco de Narváez y Gustavo Ferrari.

Contenido completo en fuente original La Nación

Seguir leyendo »

Falsificación de certificados en Android

Durante los últimos día se ha estado alertando a los usuarios acerca de una vulnerabilidad presente en el navegador de Android que puede ser utilizada para falsificar certificados de páginas oficiales. A través de este exploit un ciber criminal podría atacar a usuarios que utilicen la versión 2.3 del sistema operativo de Google o anteriores para el robo de credenciales o ataques de phishing.

La vulnerabilidad se centra en la utilización de un iframe en dónde se hace referencia a una página oficial y se engaña al usuario quien cree que se encuentra en una página verídica. Uno de los mayores riesgos que presenta es que se puede realizar el ataque tanto en páginas con HTTPS o HTTP, que le permite a un atacante simular una página del banco para obtener las credenciales del usuario.

Un iframe es un elemento del lenguaje HTML, que permite hacer referencia a una página remota e insertar este contenido dentro de la primera. De esta manera es un recurso que suele ser utilizado por los desarrolladores de códigos maliciosos para explotar una vulnerabilidad en los navegadores con el objetivo de realizar ataques de Drive-by-download. En esta técnica está siendo utilizada para engañar a los usuarios que visitan una página exponiéndolos distintas amenazas.

El uso de esta vulnerabilidad por parte de los ciber criminales podría llevar al robo de credenciales de acceso. A través de la combinación de técnicas de Ingeniería Social e iframe un atacante puede hacerle creer al usuario que está ingresando al sitio oficial de redes sociales o correos electrónicos para luego sustraer su información personal. Esta técnica también podría aplicarse al robo de información bancaria.

Google recibió el reporte de esta vulnerabilidad a principios de diciembre por parte del investigador que la descubrió. Uno de los mayores riesgos se da cuando el usuario intenta visualizar las propiedades de la web fraudulenta, ya que verá el certificado de la web contenida en el iframe creyendo que se trata de un sitio real. Por este motivo no podrá identificar si se trata de una página verdadera o de un engaño.

Siempre es recomendable que al acceder a páginas web de banca electrónica, redes sociales o correos el usuario se asegure de estar ingresando a un sitio oficial ya que de otra manera podría ser víctima del robo de información. Además les recomendamos leer las buenas prácticas para usuarios móviles en dónde podrán conocer de qué manera proteger su información.

Fuente: ESET Latinoamérica

Seguir leyendo »

Más de 16 mil sitios web muestran chicos abusados

Según un informe sobre los riesgos que enfrentan los niños y jóvenes en Internet realizado por Unicef, hay más de 16.700 páginas web que muestran imágenes de abusos a niños. El trabajo, titulado Seguridad infantil en Internet: retos y estrategias globales , tiene como objetivo proporcionar una mejor comprensión de los peligros que enfrentan los chicos en la Web.

La investigación señala cuatro aspectos que necesitan coordinarse para crear un entorno más seguro para los niños en la red: enseñar a los chicos a protegerse por sí mismos, acabar con la impunidad de quienes los acosan, reducir el acceso a material dañino y apoyar la recuperación de las víctimas.

El trabajo fue realizado por el Centro de Investigación Innocenti de Unicef en colaboración con el Centro Contra la Explotación Infantil y la Protección Online (CEOP) en el Reino Unido.

En esos más de 16.000 sitios las imágenes de abusos a niños se cuentan por millones e involucran a decenas de miles de menores. La investigación señala que cada vez es más baja la edad de los niños exhibidos.

El 73% de las víctimas tienen menos de diez años .

Gordon Alexander, director de la Oficina de Investigación de Unicef, señaló que se deben tomar la mayor cantidad posible de medidas adecuadas, pero siempre respetando los derechos de los niños a explorar el nuevo entorno y todo el potencial que la tecnología ofrece.


Fuente: Clarin

Seguir leyendo »

Desinstala Java y Acrobar Reader (Mikko says)

"¿Necesita usted Java en su navegador? Hablando en serio, ¿de veras lo necesita? En caso contrario, desinstálelo", sugiere el experto en seguridad informática de F-Secure, Mykko Hypponen.

Anteriormente, Hypponen ha causado revuelo en el ámbito de la seguridad informática al declarar, por ejemplo, que "Acrobat Reader es uno de los peores programas escritos alguna vez", debido a sus reiterados agujeros de seguridad.

En esta oportunidad, las críticas de Mikko Hyppönen, director científico de F-Secure, llegan a Java.

Hypponen se ha dedicado a combatir los códigos malignos por más de veinte años, y goza de amplio respecto en la industria informática.

El problema al que se refiere Hypponen es conocido de antes. A pesar de ser uno de los programas más propagados de Internet, la mayoría de los usuarios descuida las actualizaciones del mismo.

Hypponen explica el riesgo de tenerr Java instalado en el PC (no debe confundirse con JavaScript) con una reciente vulnerabilidad denominada Java Rhino.

"Esta vulnerabilidad no sólo es teórica. Es altamente real. La mayoría de los paquetes de explotación ya han incorporado este método, que da muy buenos resultados a cibercriminales.

Las estadísticas correspondientes a la herramienta de ataques cibernéticos Blackhole, que supuestamente ha sido desarrollada por delincuentes rusos, y comercializada en el mercado negro digital, muestra que Java preside las listas de las vulnerabilidades más explotadas. Java Rhino representa el 83,36% de las vulnerabilidades utilizadas para secuestrar PCs.

En comparación, las mencionadas vulnerabilidades de PDF representa el 12% del total.

Fuente: DiarioTI

Seguir leyendo »

Diez formas curiosas de perder datos

Kroll Ontrack ha confeccionado una lista con diez casos reales de usuarios que perdieron sus datos  [PDF] de forma peculiar. Se trata de ejemplos de sucesos que pueden ocurrir y que refuerzan la necesidad de disponer de copias de seguridad.

Al igual que en el popular programa televisivo “1000 maneras de morir”, Kroll Ontrack ha hecho una repaso de diez casos con la pérdida de datos como elemento común en todos ellos. Destruir los datos más valiosos puede ser un auténtico desastre si no se logra recuperarlos o si no se posee una copia de seguridad de los mismos. Ante semenjante lista, se hace aún más evidente la necesidad de disponer de backups de los datos más importantes, sobre todo en las empresas.

Estos son los diez casos tras los cuales puede que deba replantearse su política de recuperación de datos, o si ya ha tomado todas las medidas de seguridad pertinentes, simplemente disfrute con las desgracias ajenas, voluntarias e involuntarias, de las personas que siguen a continuación. Se trata de una lista de situaciones reales de pérdidas de datos, recopiladas por ingenieros expertos en la materia en todo el mundo.

10. Mala imagen

Una actriz borró por accidente todas sus fotos y credenciales, incluido su book de modelo y las fotos más recientes, al seleccionar el disco USB incorrecto desde su programa de uso de disco de MAC. Finalmente se logró restablecer por completo todas sus imágenes, pero el susto del cuerpo no se lo quita nadie.

9. Realidad virtual

Para mejorar el rendimiento de sus sistemas, un administrador TIC dividió los discos C y D de su servidor virtual en dos sistemas diferentes. Al quedarse sin espacio, el administrador tuvo que rápidamente consolidar de nuevo los discos C y D dentro del mismo sistema. Sin embargo, no sabía que el sistema seguía las mismas pautas de nombramiento y grabó información sobre la información crítica de la empresa.

8. Atracción magnética

Unas extrañas fuerzas magnéticas terrestres entraron en contacto con un portátil situado sobre un escritorio. Cuando el usuario intentó encender el dispositivo, éste no se iniciaba por completo y hacía un ruido extraño. A pesar de que los discos estaban dañados, con técnicas propietarias se logró reparar el daño y recuperar los datos. Finalmente, todo se debía a la presencia cercana de unas tierras raras magnéticas.

7. El café de la desgracia

Un equipo del departamento contable se quedó trabajando hasta tarde para reconciliar la contabilidad del mes. Mientras se tomaban un café para recuperar energías se fue la luz. Todos los ordenadores se apagaron, incluido el servidor de finanzas. Afortunadamente los ordenadores del departamento estaban conectados a una unidad de alimentación eléctrica ininterrumpida. Lo peor fue que, al final, de tanto preparar tazas de café tirando de la alimentación de emergencia, la agotaron y el servidor acabó rompiéndose.

6. Si bebes, no trabajes

Dos hombres de negocios se citaron en un bar para discutir sobre un posible acuerdo tomando unas cervezas. Sin querer, el camarero tiró uno de los vasos, derramando todo el contenido sobre el portátil, que contenía el plan de negocio. Las servilletas de papel no fueron suficientes para salvar el portátil y los importantes documentos que contenía.

5. Fumar mata

Un recién contratado guarda de seguridad estaba haciendo su primera ronda de noche en un almacén de elementos químicos. A pesar de que le habían informado de que estaba prohibido fumar, pensó que nadie se daría cuenta si se fumaba un cigarro cuando ya no había nadie en la oficina. En cuanto encendió el cigarrillo la alarma de incendios sonó y se activó el sistema de rociadores. Todo el equipo electrónico, incluidos los 44 ordenadores de mesa y dos servidores, quedaron inundados.

4. Dentro de la caja de seguridad, no encima

Un miembro del equipo TIC llegaba tarde a una reunión de negocios, y en vez de meter la unidad de cinta centro de la caja de seguridad impermeable la colocó encima. Una hora después, la ciudad sufrió un terremoto de gran intensidad y la cinta se cayó al suelo, cubriéndose de barro, agua y arena. Por el aspecto de la cinta parecía que no se iba a poder recuperar el contenido, sin embargo, con la tecnología adecuado se logró recuperar el 100% del contenido, entre el que se encontraban todas las animaciones web y de TV del año.

3. Motines de Londres

Un fotógrafo freelance se encontraba con su cámara en medio de los recientes disturbios de Londres. Algunos de los amotinados le vieron grabar y aplastaron la cámara para destruir cualquier prueba incriminatoria. La cámara se envió a una empresa experta en la materia donde se recuperaron todos los datos y las imágenes de vídeo que posteriormente se enviaron a la policía.

2. Se lo comió el perro

Un hombre animó a su novia a hacer una copia de seguridad de todos sus archivos fotográficos, en los que tenía miles de fotos de alta resolución hechas en su estudio de fotografía. La chica trasladó los datos de su portátil a un disco duro externo, que se convirtió en la única copia existente de todo su trabajo. Un día, un amigo pasó a saludarles por casa, y antes de que salieran a recibirle, el perro de la familia salió disparado a la puerta al oír que alguien llegaba. Al salir corriendo el perro tiró el disco duro de la mesa donde estaba, que cayó al suelo rompiéndose y dañando la única copia que existía.

1. Triple golpe

Un rayo cayó sobre una isla Caribeña provocando tal incendio en una casa que se llenó de humo la zona, los servidores informáticos se quemaron y los bomberos los remataron rociándolos con agua para extinguir el fuego. Los medios de comunicación rodeaban la casa hasta que fue seguro volver a entrar en ella. Al final, los daños causados por el triple golpe causado por el rayo, el incendio y el agua pudieron ser solventados en una cámara limpia.

Por suerte la mayoría de estos casos no terminaron igual que en el programa televisivo, pero aún así el riesgo de perder los datos no debería ser tomado a la ligera. Tomar las medidas preventivas adecuadas puede evitar un grave disgusto mañana.

Fuente: Ontrack

Seguir leyendo »

Stuxnet y Duqu son sólo dos amenazas de un conjunto de cinco

Investigadores de la firma de seguridad Kaspersky han encontrado evidencias que apuntan a que Stuxnet y Duqu forman parte de un conjunto de cinco virus desarrollados a partir de un mismo patrón. El sistema para la creación de estos virus es modular y podría permitir la creación de otras amenazas similares.

Sin ninguna duda Stuxnet y Duqu han sido dos de los protagonistas del sector de la seguridad en 2011. Se trata de dos virus que han hecho saltar las alarmas de compañías de seguridad e incluso de países. En el caso de Stuxnet, el virus se lanzó contra los sistemas de control de programa nuclear iraní, lo que podría haber provocado dramáticas consecuencias.

Los investigadores continúan analizando los dos virus en un intento por conocer su origen y desarrollar fórmulas de protección que puedan prevenir ante posibles ataques. En las primeras investigaciones se confirmó que los dos virus tenían relación. Ahora, investigadores de Kaspersky han profundizado en el análisis de los virus y han identificado importantes características.

Lo principal es que tanto Stuxnet como Duqu se crearon a partir de una plataforma a la que han denominado "Tilded" haciendo referencia a los nombre "~d" que usan ambos malware. La peculiaridad del sistema es que permite el desarrollo de los virus a través de módulos de software. Según el director de análisis e investigación de Kaspersky en declaraciones a Reuters, los módulos permiten añadir funciones a los virus y hacer que cada uno sea diferente.

Gracias a que se ha identificado este sistema común, los investigadores han podido confirmar la relación de Duqu y Stuxnet y han asegurado que las raíces de estos dos virus datan de 2007. Además, analizando la información disponible, los expertos han asegurado que los dos virus son parte de un grupo de cinco amenazas, por lo que quedarían tres de las que todavía no se conoce nada.

Las empresas de seguridad y los desarrolladores de software ya han desarrollado sistemas de defensas para Duqu y Stuxnet, pero el hallazgo de Kaspersky confirma que los hackers podrían desarrollar nuevos tipos de virus con características similares con cierto grado de facilidad, por lo que el reto ahora es encontrar una manera de proteger los sistemas ante cualquier virus relacionado de esta manera.

Fuente: CSO España

Seguir leyendo »

McAfee alerta de una "ciberguerra" contra infraestructuras básicas en 2012

La multinacional estadounidense de seguridad informática McAfee ha aconsejado a todos los países que, en 2012, extremen las medidas de prevención para hacer frente a la "ciberguerra", cuyo objetivo serán los sistemas informatizados de las infraestructuras básicas (agua, gas, electricidad...)

La multinacional hizo público hoy el informe de predicción de amenazas para 2012 [PDF], entre las que se incluye la llamada "ciberguerra", que es consecuencia de la dependencia masiva de redes militares y gubernamentales de los sistemas informáticos.

McAfee prevé ataques a las grandes empresas de servicios públicos esenciales para la vida diaria, en muchas ocasiones para practicar el chantaje y la extorsión.

Además, según el informe, en 2012 el movimiento de "hackers Anonymous se reinventará a sí mismo o desaparecerá" y otros movimientos unirán sus fuerzas y se dirigirán a figuras como "políticos, líderes industriales y jueces mucho más que antes".

El informe advierte de que habrá ataques dirigidos a difundir certificados digitales falsos que afectarán a las infraestructuras críticas, la navegación segura por internet y las transacciones.

El próximo año los cibercriminales ignorarán a los ordenadores personales en sus ataques a la banca y se dirigirán a las aplicaciones de bancos en dispositivos móviles. El auge del dinero virtual hará que también intenten robarlo.

En 2012, descenderá el volumen de "spam" (correo basura) pero seguirá aumentando el llamado "spam legal" o "snowshoe spamming", que utilizan las agencias de publicidad para conseguir direcciones de correo electrónico.

De esta forma compran listados de direcciones de correo electrónico cuyos usuarios en teoría han consentido recibir publicidad, o bases de datos de clientes de empresas que han cesado su actividad empresarial.

En cuanto a tendencias de seguridad, McAfee se refiere a la integración de software de seguridad en el hardware de dispositivos de automoción, médicos, GPS, routers, cámaras digitales e impresoras.

Esta tendencia, unida a la incorporación de la seguridad en el núcleo de los sistemas operativos, obligará a los cibercriminales a ser más sofisticados y a dirigirse al hardware desde donde tendrán mayor control y acceso a sistemas y datos.

Fuente: Expansión

Seguir leyendo »

Correo falso de Banco Galicia trae troyano bancario y regresan las Fotomultas

En vísperas de fin de año y del feriado bancario en Argentina, recibimos muchas denuncias de un correo falso que dice provenir del Banco Galicia (Argentina) con el pretexto de un "Dinero acreditado en su cuenta".

El engaño pretende que la víctima siga alguno de los cuatro enlaces maliciosos del correo para confirmar el depósito.

La treta de ingeniería social apela a la codicia y/o curiosidad de la víctima; pero obtendrá como resultado la descarga de un troyano bancario descargado de alguno de los dos sitios abusados de los enlaces http://arcadeium.com/[ELIMINADO]/comprobante.exe, http://www.ihp-espoir.be/[ELIMINADO]/comprobante.exe y http://www.nba.com/[ELIMINADO]?dest=http://www.muelleran[ELIMINADO].com/touren/multa-fotografica.exe que descargan el archivo Comprobante.exe, un malware detectado por 18 de 43 antivirus según el informe de VirusTotal.

Como puede verse nuevamente se está haciendo uso de enlaces al sitio de la NBA que, como ya informamos, tienen una vulnerabilidad de redireccion abierta.

Este archivo es un troyano del tipo downloader que descarga otro troyano bancario desde http://www.kf[ELIMINADO].fi/web/mittimillan/calendar/Flashinfo.exe o http://jupiterprostho[ELIMINADO].com/hello/Flashinfo.exe o http://www.la-clo[ELIMINADO]-electrique.fr/Flashinfo.exe (reporte de VT), desarrollado en Delphi, con un tamaño de 2MB y que afecta a los siguientes bancos argentinos: Macro, ITAU, StandarBank, Santander Río, COMAFI y Patagonia.

Vuelven las FotoMultas

También hemos recibido denuncias del mismo correo falso de las Fotomultas del cual dimos cuenta a principios de mes con su analisis y en octubre cuando aparecieron y tomaron estado publico incluso en los diarios por la cantidad de gente que lo recibió.

Se puede observar que el correo posee tres enlaces maliciosos a sitios abusados que sufren de vulnerabilidad de redireccionamiento a sitios externos. En todos los casos el malware que se descarga es un archivo multa-fotografica.exe que es el mismo binario del caso anterior según se ve en VT.

Lo anterior muestra que es el mismo delincuente quién está detrás de ambos engaños para apropiarse de datos bancarios ajenos.

Tengan cuidado con los correos. Los delincuentes quieren pagarse las vacaciones con dinero ajeno, ¡el suyo!

Raúl de la Redacción de Segu-Info

Seguir leyendo »

(In)seguridad Wi-Fi, no uses WPS (Wi-Fi Protected Setup)

Un investigador y el CERT de USA han dando a conocer una vulnerabilidad, y como explotarla, en el mecanismo WPS de los routers y AP inalámbricos haciendo inútil la configuración y cifrado que se esté usando.

El WPS (Wi-Fi Protected Setup) es un estándar que promueve la Wi-Fi Alliance para hacer redes WLAN seguras. WPS no es un mecanismo de seguridad en si, sino la descripción de mecanismos para facilitar la configuración de la red inalámbrica facilitando la misma al usuario, y es independiente del mecanismo de cifrado usado.
Stefan Viehböck describe en su blog que el mecanismo WPS (Wi-Fi Protected Setup) con PIN es susceptible a ataques exitosos por fuerza bruta.  La vulnerabilidad ha sido registrada por el CERT de USA con la identificación VU#723755. La lista de proveedores de equipos incluyen a Linksys(Cisco), Belkin, Netgear, D-Link, TP-Link, ZyXEL y otros. Y en su trabajo de investigación Stefan explica que:

Hasta donde sé ningún proveedor ha reaccionado ni publicado firmware con alguna mitigación.

Como la mayoría de los routers Wi-Fi actuales vienen con WPS activado por defecto, se estima que son millones los aparatos susceptibles de se atacados.

La recomendación es desactivar WPS en los routers, al menos en su formato con PIN y también verificar que se esté utilizando WPA2, ya que otros mecanismos de protección de conexiones Wi-Fi como WEP y WPA son vulnerables hace varios años y por ello considerados inseguros.

Stefan promete publicar una herramienta para aprovechar esta vulnerabilidad, una forma de presionar a los fabricantes para actualizar y corregir el problema.

Raúl de la Redacción de Segu-Info en base a las siguientes fuentes:

• CERT
• Blog .braindump
• Engadget
• ZDNet
• Threatpost

Seguir leyendo »

Vulnerabilidad en servidores ASP.NET permite ataques DoS

Una vulnerabilidad que afecta a todas las versiones de Microsoft .NET Framework permite realizar ataques sencillos a servidores que tengas páginas ASP.NET

En el Security Advisory 2659883 publicado por Microsoft se detalla el problema y la forma de mitigarlo. También se aclara que los sitios que provean solo páginas estáticas o tengan deshabilitadas las de contenido dinámico, no son vulnerables.

El problema está en la forma que ASP.NET procesa los valores de los form ASP.NET en el POST que causa una colisión de hash. Es posible que se envíe a uns servidor ASP.NET un número dado de posts preparados  especialmente para degradar de forma tan significativa al mismo que provoque una condición de denegación de servicio.
El director del centro de Microsoft Trustworthy Computing, Dave Forstrom, dice que no tienen conocimiento de ningún ataque hasta el momento que se aproveche de esta vulnerabilidad, pero recomienda tomar las medidas para mitigar la misma contra este método de ataque.

Boletin: http://technet.microsoft.com/en-us/security/advisory/2659883
MSRC: http://blogs.technet.com/b/msrc/archive/2011/12/28/microsoft-releases-security-advisory-2659883-offers-workaround-for-industry-wide-issue.aspx

Raúl de la Redacción de Segu-Info

Seguir leyendo »

Exploit para vulnerabilidad de ejecución remota de código en telnetd para FreeBSD

El pasado domingo enlazábamos en nuestro post recopilatorio "enlaces de la SECmana - 103", con lo mejor de la semana, un mensaje en la lista del sistema operativo freebsd.org en el que se anunciaba una vulnerabilidad crítica en el servicio telnetd que permitiría ejecución remota de código como usuario con privilegios máximos (ya que normalmente es ejecutado como usuario root) y ayer mismo se pulbicaba el parche para esta vulnerabilidad.

La vulnerabilidad residía en la librería encrypt.c, ya que cuando se proporcionaba una clave de cifrado mediante el protocolo telnet, su longitud no era validada antes de que dicha clave se copiase dentro de un búfer de tamaño fijo. Se puede ver mejor en el parche que se puso a disposición de todos para solventar dicha vulnerabilidad, en donde se establece que si la longitud (variable len) es mayor que MAXKEYLEN, entonces se fuerza a tomar su valor.

Ayer mismo, Jaime Peñalba "Nighterman" del grupo Painsec, al que pudimos ver en la pasada Rooted CON 2011 dando una charla sobre qué protecciones tomo él y su grupo para participar en el CTF de la Defcon 18 (aquí el video, 100% recomendado), publicaba un exploit que permitiría aprovechar esta vulnerabilidad en FreeBSD 8.0, 8.1 y 8.2.

Según se ha notificado desde el momento que se anunció esta vulnerabilidad, se tenía constancia de que estaba siendo explotada.

Fuente: Security by Default

Seguir leyendo »

¿Cuánto vale un seguidor en Twitter?

¿Cuánto vale un tuit? ¿Y cuánto un seguidor en la red social Twitter? En términos económicos su valor parecer insignificante, ya que un tuit (mensaje público de como máximo 140 caracteres) no son más que que unos pocos datos enviados. Pero en un mundo donde la influencia de los medios sociales puede significar la diferencia entre una venta lucrativa o otra llamada infructuosa, las cuentas de las empresas en las redes sociales toman mayor relevancia. La cuestión es: ¿puede una compañía dar valor económico al tuit y reclamar la propiedad de una cuenta a un empleado? ¿Qué significa para los trabajadores que cada vez más acceden a Twitter, Facebook o Google+ en horario laboral?

Una demanda presentada en julio en Estados Unidos podría resolver algunas de estas cuestiones. En octubre de 2010, tras cuatro años, el escritor de Oakland (California) Noah Kravitz dejó su trabajo en un conocido sitio web de móviles, PhoneDog. Mientras trabajó en la empresa, Kravitz, de 38 años, empezó a tuitear bajo el nombre Phonedog_Noah. Con el tiempo consiguió 17.000 seguidores. Al abandonar su puesto de trabajo, aseguró a The New York Times, PhoneDog le autorizó a quedarse con su cuenta de Twitter a cambio de tuitear de vez en cuando. Y eso hizo: empezar a escribir bajo su nombre real, pero manteniendo todos los seguidores.

Ocho meses después, PhoneDog le demandó argumentando que la lista de Twitter contenía a clientes y le reclamaba 340.000 dólares (unos 260.000 euros) al valorar en 2,5 dólares ( 1,9 euros) al mes cada seguidor durante ocho meses. Kravitz considera que la demanda presentada en California fue una represalia por reclamar el 15% de los ingresos brutos de publicidad por su sitiación de socio externo y bloguero del sitio. La respuesta oficial de PhoneDog al asunto fue mediante un comunicado: "Los costes y los recursos invertidos por PhoneDog en el crecimiento de sus seguidores, fans y conocimiento de la marca general a través de los medios de comunicación social son importantes y considerados propiedad de Phonedog Media L.L.C. Pretendemos proteger agresivamente nuestras listas de clientes e información confidencial, propiedad intelectual y marcas comerciales".

El tema, en cualquier caso, puede tener ramificaciones más amplias. "Sentará un precedente en Internet ya que está relacionada con la propiedad de las cuentas en las redes sociales", dice Henry J. Cittone, abogado experto en litigios de propiedad intelectual del Nueva York. "De hecho, hemos estado esperando un caso así ya que muchos de nuestros clientes están preocupados por la titularidad de las cuentas en las redes sociales en relación con sus marcas". Lo importante, en su opinión, es el valor que el tribunal dará a un seguidor en Twitter para la empresa y en cómo determina el motivo por el cual la cuenta fue abierta. Si el objetivo era relacionarse o captar nuevos clientes, entonces fue creada en nombre de PhoneDog. Ahora bien, en este caso no está claro".



Fuente: El Pais

Seguir leyendo »

FreeBSD parchea vulnerabilidad que permitía obtener permisos de root

A pesar de ser uno de los sistemas operativos más robustos que existen, FreeBSD también parchea periódicamente aquellas vulnerabilidades que se encuentran, sobre todo si alguna de ellas está siendo aprovechada por delincuentes para acceder a sistemas vulnerables con permisos de root (administrador).

Con motivo de la gravedad de esta vulnerabilidad, el pasado viernes se publicaron cinco avisos de seguridad, y se comentó en uno de ellos una vulnerabilidad crítica que afectaba al servicio telnetd. Este servicio ha estado desactivado por defecto desde hace más de 10 años, pero aquellos usuarios que lo tuvieran activado podrían sufrir la intrusión de un atacante que podría conectarse a este servicio y ejecutar código arbitrario con los privilegios de ese servicio (que en la mayoría de los casos serían los de root o administrador).

Aunque no existen medidas para mitigar este ataque, aquellos sistemas FreeBSD que no tengan este servicio activado (la mayoría) no resultan afectados. Recordemos también que este servicio lleva desactivado por defecto desde agosto de 2001, debido principalmente a la carencia de seguridad criptográfica, habiendo sido sustituido casi completamente por el protocolo SSH.

Pero FreeBSD no ha sido el único sistema basado en Unix afectado por esta vulnerabilidad, ya que desde Debian también han comunicado que se encuentra presente en varias de sus distribuciones. Como solución, se recomienda a los usuarios actualizar a las últimas versiones de las diferentes distribuciones.

Recomendamos tomar las medidas recomendadas por los fabricantes. Asimismo, para estar completamente seguros, tanto nuestro amigo Dabo del blog Daboweb como desde SecuritybyDefault también nos recomiendan tomar otras medidas como desactivar el servicio telnet en FreeBSD y Debian o aplicar un parche que soluciona la vulnerabilidad.

Fuente: Ontinet

Seguir leyendo »

Campaña navideña de robo de contraseñas

En estos días tan señalados, y como viene siendo habitual, proliferan las campañas realizadas a través de correo electrónico, con temática navideña, con la intención de vender Viagra, distribuir malware o intentar robar contraseñas de correo. Estos días he recibido varios correos de mis contactos para que visitara una postal navideña de un usuario anónimo, en nombre de Correos.

Está claro que no tiene buena pinta, y si seguimos el enlace nos encontramos con una pantalla de login, donde debemos meter nuestra contraseña de correo para, supuestamente, ver nuestra postal. Este login aparece en primer plano, mientras que de fondo se carga la página legítima de Correos para parecer más real y verídico.

Contenido completo en fuente original S21Sec

Seguir leyendo »

Perfil psicológico de los empleados que roban documentos confidenciales de la empresa

Las personas que sustraen propiedad intelectual de las empresas suelen haber sufrido un problema profesional que les impulsa a ello. Los secretos comerciales y la información de facturación son los datos más valiosos.

Una de las principales preocupaciones de todas las empresas del mundo es una potencial filtración de información confidencial o protegida de la corporación. Por ello, Symantec ha hecho público un informe en que busca crear un perfil de los ladrones de propiedad intelectual.

En primer lugar, el estudio señala que los estas personas ocupan a menudo cargos técnicos, siendo la mayoría de ellas empleados masculinos actuales de, aproximadamente, 37 años de edad que ocupan puestos científicos, de ingeniería, de gestión o de programación. Un gran porcentaje de estos ladrones ha firmado acuerdos de propiedad intelectual, lo que indica la inefectividad de esta política. Asimismo, estos trabajadores suelen tener ya un nuevo trabajo, ya que cerca de un 65% de los empleados que cometen un robo de este tipo ya han aceptado un trabajo en una compañía de la competencia o ha montado su propia compañía cuando realizó el robo de información. De hecho, cerca de un 20% ha sido contratado por otra empresa interesada en los datos, y un 25% ofreció la propiedad intelectual robada a una compañía extranjera o a otro país.

Así pues, los trabajadores maliciosos se apoderan generalmente de la información a la que pueden acceder de forma autorizada, datos que conocen, con los que trabajan y a los que, en cierta manera, tienen derecho. Una información que se vuelve más valiosa si se trata de secretos comerciales (52% de los casos) o información empresarial como, por ejemplo, la información de facturación, las listas de precios y otros datos administrativos, que se robaron en un 30%, seguido por el código fuente (20%), el software propietario (14%), la información de los clientes (12%) y los planes empresariales (6%).

Por otro lado, los empleados usan medios técnicos para hacerse con estos datos, pero la mayoría de los robos son descubiertos por empleados no técnicos. Unos robos que pueden estar propiciados por los problemas profesionales, que pueden provocar en el empleado ya predispuesto un golpe de efecto que le hace cansarse de “meditarlo” y decide pasar a la acción (o cuando otras personas le empujan a hacerlo). Este cambio ocurre a menudo después de un problema profesional o de expectativas insatisfechas.

Fuente: IDG

Seguir leyendo »

Bernanke hará monitoreo a Facebook y a Twitter

Sin duda, la comunicación es una preocupación para los últimos titulares de la Reserva Federal. Alan Greenspan fue quizás uno de los que más se obsesionaron con el lenguaje a la hora de comunicar las decisiones y opiniones del banco central. Pero Ben Bernanke podría trascender ahora como el Gran Hermano al estilo de sociedad orwelliana de la novela «1984». Ocurre que el actual presidente de la Fed se apresta a implementar un amplio sistema de monitoreo de redes sociales y de medios de comunicación. Según trascendió, el proyecto se lanzó a través de la Fed de Nueva York, el más grande de los 12 bancos que integran el sistema. El objetivo es seguir a Facebook, Twitter, y demás redes sociales, y a la internet en su conjunto para medir la respuesta pública a la política económica. Bernanke aspira así a conocer todo lo que se dice de él y de la Fed, en tiempo real. Algunos justifican la decisión por el voltaje que adquirió el movimiento de «indignados» Occupy Wall Street. Para ello la Fed de Nueva York invitó a empresas especializadas en el análisis de sentimientos y solución de monitoreo de redes sociales y de comunicación a una licitación para obtener una plataforma informática, que le permita el seguimiento de lo que dice y escribe la gente acerca de la Fed a toda hora. El sistema monitoreará tanto las reacciones y las opiniones expresadas en público en lo referido a la Fed y sus acciones.

Se controlarán millones de conversaciones y se generarán análisis de textos sobre la base de criterios predefinidos. También podrán determinar el sentimiento de un orador o del escritor con respecto a algún tema o documento.

Cabe señalar que para las corporaciones de Wall Street este tipo de tecnología no es nada nuevo, ya que algunos la utilizan para realizar un seguimiento de marketing (como el caso de Google, Apple, y Procter & Gamble), o para mejorar la capacidad de una organización frente a las crisis, tales como noticias de última hora o un escándalo. También lo emplean para seguir a las personas, a menudo los considerados influyentes en el mundo de las relaciones públicas, tales como los bloggers o periodistas. O sea, buscan detectar tanto los comentarios positivos como las opiniones negativas.

Pero la Fed apunta a una solución compatible con contenidos procedentes de diferentes países y regiones geográficas. «También debe soportar múltiples idiomas. La solución debe ser capaz de recopilar datos de las principales plataformas de medios de comunicación social como Facebook, Twitter, blogs, foros y YouTube. También debe ser capaz de agregar datos de varios medios de comunicación, tales como: CNN, Wall Street Journal, Google News, Associated Press, etc.», señala el llamado a licitación. «La solución debe proveer monitoreo en tiempo real de las conversaciones pertinentes. Se deberían elaborar análisis de sentimiento (positivo, negativo o neutral) en torno a temas claves de la conversación. Debe ser capaz de proporcionar resúmenes o reseñas de alto nivel de un conjunto específico de temas. La solución debe proporcionar un mecanismo de alerta que envía automáticamente los informes o notificaciones de acuerdo con un disparo predefinidos». No sólo monitorearán las entradas a los blogs, sino también los comentarios y los twitters, los foros, e incluso los comentarios a noticias vinculadas. Según el vocero de la Fed de Nueva York, Jack Gutt, «éste es un nuevo esfuerzo de la Fed de Nueva York que se está examinando en este momento. La razón para contemplar esta iniciativa es obtener una mejor idea de las preocupaciones y los debates pertinentes que se están llevando a cabo en el dominio público con el fin de mejorar nuestras comunicaciones y el compromiso con el público», le explicó a la publicación Fast Company.

La movida de Bernanke refleja su interés no sólo de los pensamientos de unos cuantos bloggers financieros y economistas, sino también a controlar el tráfico internacional y el contenido de los medios de comunicación social en varios idiomas. Todo lo que diga, se escriba, se piense, se comente sobre Bernanke y la Fed estará supervisado en tiempo real. Esto le permitiría, por un lado, tener una rápida respuesta frente a un comentario negativo y por otro relevar online quiénes juegan a favor y en contra.

Fuente: Ambito

Seguir leyendo »

Explotación de vulnerabilidades en Android sin permisos diciembre 26, 2011

En el momento que se detecta una vulnerabilidad en un sistema operativo, esta puede ser utilizada por un atacante para realizar una acción maliciosa en el sistema. En esta oportunidad Thomas Cannon, investigador de viaForensics ha reportado [reporte PDF] que es posible que una aplicación de Android puede instalar un backdoor en un dispositivo móvil sin contar con permisos. Este exploit afecta desde la versión 1.5 a la versión 4.0 del sistema operativo de Google.

En su reporte, el cual acompaña de un video, Thomas resalta que al utilizar un componente público desde una aplicación que si cuenta con permisos para el acceso a Internet y a almacenar contenido dentro de la memoria extraíble del dispositivo, es posible para un atacante obtener una consola remota. A través de esta consola se puede acceder al sistema de archivos y ejecutar comandos de manera remota. Por lo tanto una aplicación que no cuente con permisos dentro del sistema puede vulnerar la seguridad del sistema.


Para lograr eludir la seguridad del sistema, este enfoque se basa en la utilización de recursos públicos que algunas aplicaciones dejan disponibles. Esta falla se puede dar en el momento del desarrollo de una aplicación en la cual quién la desarrolló no definió correctamente los atributos de privacidad de algún componente, uno de los ocho concejos para desarrolladores de Android que compartimos con ustedes hace un tiempo.

Además de ser una vulnerabilidad que afecta a todas las versiones del sistema operativo de Google, una aplicación especialmente diseñada puede instalar un backdoor en un dispositivo con Android sin la necesidad de requerir ningún permiso ni escalar privilegios mediante un exploit que le otorgue permisos de administrador al atacante. Estas técnicas mencionadas anteriormente han sido utilizadas por algunos códigos maliciosos anteriormente como así también aquellas aplicaciones que solicitan más privilegios de los que realmente necesitan.

Los herramientas de seguridad que se ponen a disposición de los desarrolladores deben ser tenidas en cuenta al momento de diseñar y crear una aplicación. Al dejar de lado las buenas prácticas de programación se puede exponer la información del usuario además de comprometer el equipo.

Fuente: ESET Latinoamérica

Seguir leyendo »

ISACA presenta un Programa de Evaluación de COBIT para ayudar a las empresas a asegurar sus procesos

Durante últimos 15 años,  empresas en todo el mundo han  utilizando COBIT para mejorar y evaluar sus procesos de TI. Sin embargo, hasta ahora no existía un programa consistente para evaluar estos procesos. El nuevo Programa de Evaluación de COBIT de ISACA ofrece consistencia y confiabilidad para que los líderes de la empresa y de TI puedan confiar tanto en los procesos de evaluación como en la calidad de los resultados, al mismo tiempo que maximizan el valor de sus inversiones en TI.

Después de llevar a cabo una encuesta a nivel global en el 2010 para determinar las necesidades del mercado, ISACA descubrió que el 89% de los 1,400 entrevistados expresó la necesidad de una evaluación rigurosa y confiable de la capacidad de los procesos de TI. Para cubrir con esta solicitud ISACA dio a conocer el Programa de Evaluación de COBIT (COBIT Assessment Programme), que consta de tres partes y que está basado en COBIT 4.1 e ISO/IEC 15504-2:2003 Tecnología de Información—Evaluación de procesos—Parte 2: Realizando una evaluación:

• Modelo de Evaluación de Procesos de COBIT: Usando COBIT 4.1
• Guía para Asesores de COBIT: Usando COBIT 4.1
• Guía de Autoevaluación de COBIT: Usando COBIT 4.1
  

"El nuevo programa de evaluación brinda una metodología para realizar evaluaciones repetibles, confiables y robustas a los procesos”, señaló Max Shanahan, CISA, CGEIT, FCPA, y miembro del equipo de desarrollo. “Además de brindar un valor agregado inmediato a partir de los resultados, el Programa de Evaluación de COBIT también ofrece la base para la creación  de evaluaciones más amplias".

El documento está disponible para descarga gratuita en www.isaca.org/cobit. Las guías del Programa de Evaluación de COBIT están disponibles en http://www.isaca.org/cobit-assessment-programme

Fuente: ISACA

Seguir leyendo »

La mitad de los usuarios de Facebook fueron etiquetados en fotos en contra de su voluntad

Así lo determina una encuesta realizada por MyMemory.com a 1.781 usuarios británicos de Facebook. Estos usuarios aseguran que fueron etiquetados bajo la influencia del alcohol en un 76% de las fotos en las que aparecen y la mitad de ellos sostienen que fue en contra de su voluntad.

Por otra parte, un 8% de los encuestados aseguró que estas imágenes les podrían traer serios problemas en caso de que alguien de su trabajo las viera por lo que un 93% de los usuarios se ha desetiquetado de una foto alguna vez.

Estas cifras se agravan cuando en la misma encuesta se señala que dos tercios de los encuestados etiquetaron intencionalmente a un amigo en fotos que sabían que eran comprometedoras y podían meterlo en graves problemas laborales o familiares.

¿Qué hacer en estos casos? La configuración de la privacidad resulta fundamental ya que de esta forma no podrá ver cualquier persona tus fotos y datos personales. Sin embargo, la encuesta tampoco en este aspecto resultó muy favorable para los usuarios británicos. Sólo un cuarto de los encuestados configuró su privacidad para que nadie pueda ver las fotos de Facebook.

Fuente: Identidades en peligro

Seguir leyendo »

Firefox 9.0.1 soluciona varios problemas de seguridad

Después de su anterior versión estable, liberada hace apenas 2 días, Mozilla lanza una actualización de su navegador, solucionando varios problemas de seguridad y mejorando el soporte para HTML5, MathML, CSS y el motor JavaScript entre otras novedades. Como ya sabemos, la anterior versión, fué la última versión estable de Firefox en este año que estamos finalizando. Esta actualización suponemos que ha sido lanzada a última hora por Mozilla, para solucionar los problemas comentados (algunos de ellos críticos). El navegador del panda rojo, pasa a ser Mozilla Firefox 9.0.1 y ya lo podemos descargar desde su web oficial.

Mozilla Firefox 9.0.1, ha sido liberado hace apenas unas horas, solucionando varios problemas de seguridad críticos. El navegador se actualiza, añadiendo, interferencia de tipos (algo que ya se hizo con la versión anterior hace 2 días y se ha mejorado), se mejora la integración de temas con el sistema operativo Mac OS X Lion, se añade soporte para font-Stretch (CSS), se mejora el soporte para HTML5, CSS y MathML, así como también para las fuentes de textos o test-overflow, además de fijarse varios problemas de estabilidad. Podemos observar sus notas de la versión, para más detalles.

Podemos descargar Mozilla Firefox 9.0.1 en el idioma español, desde el sitio oficial o desde las opciones del navegador buscando actualizaciones (opción recomendada).

Como si fuera poco también se encuentra para la descarga la versión Nightly 12 (de prueba y compilada cada noche).

Fuente: Softzone

Seguir leyendo »

Los famosos "hackeados" durante 2011

Los delincuentes informáticos no sólo tienen como objetivo atacar empresas, sitios gubernamentales u obtener datos personales, en su radar también figuran las celebridades, especialmente aquellas que gozan de un alto nivel de popularidad.

Durante 2011 más de una docena de artistas fue presa de cibercriminales, lo que significó que distintas cuentas de Twitter, correos electrónicos y dispositivos móviles fueran vulnerados y expuestos al mundo.
Aquí un listado con los ataques informáticos que más revuelo generaron.

Contenido completo en fuente original bSecure

Seguir leyendo »

Anonymous roba lista de clientes secreta de Stratfor

El grupo de piratas informáticos Anonymous (en realidad Lulzsec) afirmó que ha robado la lista «secreta» de clientes del instituto privado de seguridad estadounidense Stratfor y otra información confidencial como correos electrónicos y datos de tarjetas de crédito.

La base de datos de Stratfor (mirror del deface) «nos pertenece», anunció en su cuenta de Twitter el grupo, que agregó que la lista de clientes del instituto «no será privada ni secreta nunca más».

El lider de Lulzsec SABU colocó en Twitter un enlace a un archivo con, lo que según ellos, es la lista secreta de clientes de Stratfor, que incluye a organismos de las Fuerzas Armadas de EE.UU y a compañías como American Express, Goldman Sachs y Morgan Stanley, entre otras muchas. Aquí también se puede encontrar más información robada.

El sitio web de Stratfor fue «hackeado» y, en consecuencia, «la operación de los servidores y del correo electrónico ha sido suspendida», confirmó en un comunicado el presidente de la entidad, George Friedman.

«Tenemos razones para creer que los nombres de nuestros abonados corporativos se han colocado en otros sitios web», advirtió Friedman.

Además, resaltó que la «confidencialidad» de la información de sus clientes «es muy importante"» para Stratfor, por lo que se está trabajando con la policía en la investigación para ayudar a identificar a los responsables del ataque cibernético.

Fuente: ABC y The Hacker News

Seguir leyendo »

Preparar Windows, SQL y .NET para auditoria web

Si queremos hacer prácticas con Metasploit u otras herramientas en un entorno controlado es bueno poder tener un sistema operativo configurado de manera que pueda ser susceptible a ataques para poder practicar. Los de Offensive Security tienen una guía de como configurar un Windows XP Service Pack 2 para habilitar servicios y aplicaciones vulnerables. Me he basado en la web de Offensive Security, recordad que para habilitar estos servicios deberemos de contar una licencia de Windows XP SP2.

No entraré en detalles de como realizar una instalación de Windows, sólo hay que instalarla con las opciones por defecto. Una vez instalado vamos a configurar ciertas cosas.

• Primero lo que haremos será deshabilitar protecciones nativas del sistema operativo además de desactivar las notificaciones.
• Lo segundo es configurar servicios adicionales, por eso nos iremos a añadir o remover componentes de Windows en Agregar o quitar programas
• Tercero instalamos SQL Server Express para configurar una aplicación vulnerable 

Contenido completo en fuente original Seifreed

Seguir leyendo »

Hackers publican datos de 90 millones de internautas de China

Nombres de usuario, contraseñas y correos electrónicos de 90 millones de usuarios de china se han hecho públicos en las últimas horas. Hackers han atacado el foro Tianya.cn y servicios de microblogs en China y han conseguido los datos de los 90 millones de usuarios.

China se está convirtiendo en uno de los países con más actividad de ciberdelincuencia del mundo. En las últimas semanas expertos de seguridad han denunciado que en el país se encuentran grupos de hackers que operan con el consentimiento del Gobierno y en varias ocasiones se ha acusado de irresponsabilidad a los millones de usuarios chinos por no mantener sus equipos actualizados y protegidos.

La combinación de grupos de hackers y millones de usuarios desprotegidos es un peligro, y puede agudizarse por situaciones como las vividas en las últimas horas. Según el portal Infosecurity, varios hackers han conseguido vulnerar los sistemas de seguridad de varios servicios muy extendidos entre los internautas chinos. Los ataques se han saldado con el robo y publicación de datos de un total de 90 millones de usuarios.

Al parecer, los hackers han atacado la página web Tianya.cn, un foro social con 60 millones de usuarios. De este foro, los hackers han conseguido robar los datos de 40 millones de usuarios, que han visto como sus datos se publicaban en la red. Además de atacar a Tianya, los hackers también han vulnerado los sistemas de seguridad de servicios de microblog. Este tipo de servicios, similares a Twitter, están muy de moda en China y los hackers han conseguido robar los datos de 50 millones de usuarios.

Según Infosecurity, los hackers han publicado la información robada, entre la que se encuentran nombres de usuario, contraseñas e incluso correos electrónicos. Por el momento no se ha concretado cómo ha sido el ataque pero Tianya sí ha confirmado el robo de datos. Posiblemente los hackers hayan usado una botnet, una red de ordenadores controlados. La falta de medidas de seguridad de los usuarios chinos permite la creación de estas botnets, que pueden ser letales para los sistemas de seguridad.

La publicación de los datos es una de las más grandes registradas hasta el momento. Los hackers han conseguido un volumen de información que casi sin precedentes. Un caso parecido se ha vivido con Sony este mismo año, cuando en abril sus sistemas se vieron comprometidos y los datos de millones de usuarios estuvieron en peligro.

Fuente: CSO España

Seguir leyendo »

Informe sobre Seguridad en Juegos Online 2011

El Informe sobre Seguridad en Juegos Online 2011 elaborado por S2 Grupo y cuyo autor es David Lladró está disponible para su descarga [PDF, 1.2MB].

I Informe sobre el estado de la seguridad en los juegos online

El 79% de los cracks para videojuegos son sospechosos de contener virus.

• Las copias ilegales y la modificación de las restricciones impuestas por los fabricantes de videojuegos y dispositivos tecnológicos son la principal puerta de entrada de hackers y malware.
• Más del 50% de los juegos de Android tienen acceso al número de teléfono, 1 de cada 4 tiene permiso para obtener la ubicación del jugador y el 1% puede enviar SMS Premium de coste elevado.
• S2 Grupo ha realizado su primer estudio sobre la seguridad en los juegos en red para detectar y advertir sobre las principales amenazas que pueden afectar a los usuarios en las diferentes plataformas tecnológicas y sistemas.
• La compañía ha presentado un Decálogo con consejos básicos para acceder a juegos online de una forma segura.

Fuente: Security Art Work

Seguir leyendo »

Filtros de acción en MVC 3 .NET

Hace ya algún tiempo, antes que la vida me llevara por estos lares en los que resido, solía realizar mis “creaciones” con un programita que algunos conoceréis y otros no, llamado Microsoft Visual Studio. Sí, habéis leído bien, Microsoft. Adorado y odiado a partes iguales, hay que reconocerle que esta gente es muy buena en muchas cosas (opinión personal, y con esto no quiero decir que el resto no lo sea), y hace fácil el desarrollo de aplicaciones para su plataforma. No es el motivo del post hacer publicidad de este producto, lo que quiero mostraros es lo fácil que pueden resultar algunas tareas gracias a este entorno (del que existe versión gratuita y con la que he realizado este ejemplo).

Lo primero, he descargado una aplicación llamada “Microsoft Web Platform Installer”, que es un gestor de descargas de software. Si realmente queréis probar lo que voy a tratar de exponer, sólo tenéis que ir a http://www.asp.net/get-started y seguir las instrucciones para instalar el “Microsoft Visual Web Developer Express” y el Framework “ASP.NET MVC 3” con el que realizaré este ejemplo. Como veis, voy a usar el patrón de diseño MVC con el Framework que Microsoft proporciona.

Como ya sabréis, en el patrón MVC (Modelo Vista Controlador), el controlador es el que se encarga de recibir las peticiones de una vista en concreto, y llamar al método o acción correspondiente a ese evento. Por ejemplo, si un usuario hace “clic” en un enlace, el controlador definirá la acción que se ha de realizar, como podría ser ir a una sección de la web en concreto. Imaginemos ahora que nos gustaría realizar cierta tarea (crear algún tipo de lógica) antes de que se ejecute el proceso asignado a una acción. En el caso anterior, querríamos saber si el usuario que solicita ver la página del enlace tiene permisos para ello. Ahí es dónde entran los filtros de acción.
¿Qué es un filtro de acción?

Un filtro de acción es un atributo que, cuando se adjunta a una clase Controlador (Controller) o a un método de este, añade cierta lógica a la acción solicitada. La gracia del asunto radica en que se puede extraer cualquier tipo de lógica que no tenga porque pertenecer al controlador en si mismo. Esto nos permite reutilizar este filtro en los controladores que queramos.

ASP.NET MVC incluye unos cuantos filtros de acción predefinidos, de los que podemos extender, o bien crear nuestros propios filtros, implementando las interfaces que nos proporcionan. En esta página http://msdn.microsoft.com/en-us/library/dd410209.aspx de la que he sacado gran parte de la información que os cuento, podéis encontrar una descripción de estos.

Ya veo que algunos os estáis asustando porque no sabéis de que hablo y probablemente si no sois desarrolladores esto os puede sonar a chino, pero con el ejemplo lo entenderéis, o eso espero. En este post vamos a ver como se usa el filtro de autorización que viene por defecto, y dejamos para un segundo post la implementación (extensión) de este.

Contenido completo en fuente original Security Art Work y II

Seguir leyendo »

Actualiza a phpMyAdmin 3.4.9: solventa dos vulnerabilidades XSS

La versión3.4.9 de phpMyAdmin ha sido liberada liberada cerrando dos agujeros de seguridad en el popular y tan usado gestor de bases de datos Open Source. Esta nueva versión solventa dos bugs XSS (cross-site-scripting) y se encuentran afectadas todas las de la rama 3.4x ,incluyendo la 3.4.8 por lo que es más que recomendable actualizar con brevedad.

Fuente: Daboweb

Seguir leyendo »

Extensiones de Firefox para saltear #SOPA

La Ley (SOPA) sigue inspirando nuevas soluciones creativas para sortearla. TorrenteFreak menciona la extensión para Firefox, llamada DeSopa es sólo una de ellas.
Una vez instalada, los usuarios pueden hacer clic en su botón para resolver un dominio bloqueado a través de servidores DNS extranjeros, salteando los bloqueos nacionales de DNS.

Su autor dice que creo la extensión porque "el público en general no es consciente de la gravedad de SOPA y parece que el Congreso está a punto de atender a los intereses particulares involucrados".

De hecho, ya hay varias soluciones con los mismos objetivos e incluso una de ellas llevada adelante por The Pirate Bay.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Networking mapping en Black Box

Lo que les traigo como lectura funcional es la practica o procedimiento de Mapeo de Red.
Generalmente inicio los proyectos como un Black Box (Caja Negra) debido a que sin importar el tipo de Proyecto que se contrate, el resultado en la entrega de información inicial por parte del cliente es la misma, es decir es "poca la información", de hecho lo he tomado como una oportunidad de demostrar como un atacante interno a partir de un punto de acceso, cable de red, conector de Red en un Face Plate o alcance inalámbrico tiene la posibilidad de lograr información sensible de la organización, aprovechando debilidades, negligencia, o fallas humanas o técnicas en la plataforma tecnológica.

Es el rol de un atacante que se ha hecho contratar en la compañía buscando la oportunidad ideal para alcanzar su objetivo militar (target), es el perfil de un vigilante en una garita, en la puerta de entrada de un edificio, una bodega, o una empresa, un operario en un molino, o en una planta de producción, un estudiante de informática, un auxiliar contable o un gomoso de marketing, cuyo fin es lograr por lo que se le ha contratado la información sensible de la organización.

Contenido completo en fuente original El Mundo de Dino

Seguir leyendo »

No recargues tu iPhone o iPad en cualquier lugar

Cada vez que leo Seguridad Apple no deja de sorprenderme la falta de seguridad en los dispositivos creados por la empresa de la manzanita. Recién leía sobre una técnica de ataque conocida como Juice Jacking la cual consiste en robar información de los dispositivos (como las fotos) por el simple hecho de conectarlos para realizar una recarga de baterías, ¡incluso si se encuentran bloqueados o apagados!

Esa es la base de la técnica de ataque conocida como Juice Jacking, que fue puesta en practica en la presente Defcon 19, mediante unos kioskos de recarga de batería maliciosos. Por suerte para los incautos que tuvieron la confianza inocente de conectar sus teléfonos a los postes de recarga, el sistio solo enseñaba un cartel que alertaba de que, en caso de haber sido un atacante el que hubiera puesto ese kiosko - no olvidemos que en la Defcon 17 pusieron un cajero falso de ATM completo - entonces todos sus datos podrían estar en manos del enemigo.

Contenido completo en Spamloco y Seguridad Apple

Seguir leyendo »

"Has ganado en TV 42 pulgadas", ¿cómo son las estafas por SMS?

En estas fiestas se sigue propagando la estafa de los televisores LED a través de mensajes de SMS (engaño conocido como SMiShing)que llegan a ciudadanos argentinos desde el número +542362XXX121 (Junín, Buenos Aires), número que seguramente cambiará en las próximas horas.

El mensaje dice lo siguiente, errores incluidos:

Visa, Telefonia movil le info: Que ha ganado un TV 42'' LED. Para mas info visite hoy mismo www.promoverano[ELIMINADO].blogspot.com llamar al 0341-15XXX7153

Nota: el prefijo 0341 pertenece a la ciudad de Rosario, Santa Fe.

La estafa radica en que al querer "obtener el premio" y comunicarse con el número de teléfono, le informarán que el usuario debe pagar los gastos administrativos y de envío y, una vez realizado el pago el premio nunca aparecerá. La otra forma de engaño más popular es que es que el estafador solicite que se recargue crédito en un número telefónico móvil y una vez acreditado el saldo, el estafador desaparecerá. 

Es importante destacar que este crédito y líneas telefónicas pueden utilizarse para cometer delitos mayores y el usuario inocente puede verse involucrado en investigaciones criminales de gran envergadura. Por eso bajo ningún punto de vista se ponga en contacto con estas personas ni por teléfono ni a través del sitio web.

Por supuesto se trata del mismo engaño que tratamos días atrás y que utilizan un medio clásico de comunicación como es el SMS para lograr convencer al usuario de que ingrese a un sitio web o que se ponga en contacto con un número telefónico. Lo único que varía en cada caso son los teléfonos involucrados y las URL, las cuales siempre son de Blogspot y que desde Segu-Info seguimos denunciado para que sean dadas de baja a la brevedad.

¡Gracias L. por la denuncia y la imagen!

Cristian de la Redacción Segu-Info

Seguir leyendo »

Webcasts gratis sobre CISSP desde ISC2

Como profesional de seguridad de la información, usted sabe que hay una variedad de certificaciones para elegir. ¿Cuál es la mejor opción para usted? La certificación CISSP es la certificación estándar de oro en la industria y es muy respetado y reconocido en todo el mundo. Si usted está buscando una certificación que validen sus conocimientos INFOSEC, habilidades y experiencia, la certificación CISSP es la certificación para usted.

Esta serie de webcast sobre CISSP son gratuitos y pueden servir para averiguar lo que necesita saber antes de tomar el examen CISSP. Incluye el conocimiento se espera de un CISSP, una descripción detallada de cada dominio cubiertos en el examen CISSP y cosas importantes que saber antes de sentarse para el examen. Usted recibirá un webcast por semana para una serie de once semanas

Fuente: Carlos Solis

Seguir leyendo »

Rendimiento de Firefox vs Chrome vs IE9 vs Safari vs Opera 11

Tras el lanzamiento del Firefox 9 actualizamos las pruebas de rendimiento Javascript realizadas en marzo enfrentando a los principales navegadores web del mercado.
Para la comparativa realizada por ZDNET se utilizó un equipo de nivel medio con Windows 7 de 64 bits, procesador Intel Q9300 de cuádruple núcleo a 2,5 GHz, 4 Gbytes de memoria RAM y una tarjeta gráfica NVIDIA GTX 260.

Los navegadores web comparados fueron:

• Internet Explorer 9 32 bits
• Firefox 9
• Chrome 15.0.874.106
• Chrome 16
• Safari 5.1.1
• Opera 11.60

Los test se realizaron con las herramientas habituales en test Javascript obteniendo los resultados que se muestran en las gráficas:

• SunSpider JavaScript 0.9.1, un benchmark para JavaScript creado por los desarrolladores de Webkit, utilizado en Safari o Chrome y basado en el Konqueror de KDE.
• V8 Benchmark Suite, un benchmark para JavaScript utilizado por Google para tunear su motor V8.
• Kraken 1.0, otro benchmark JavaScript desarrollado por Mozilla basado en el SunSpider pero con mejoras.

CONCLUSIONES

• El navegador web de Google sigue siendo el más rápido del mercado en rendimiento Javascript, venciendo en dos de las tres pruebas, especialmente en el benchmark V8 aunque hay que tener en cuenta que este motor es la referencia de Google para la optimización de Chrome.
• Las pruebas confirman que el aumento de rendimiento anunciado para Firefox 9 sobre anteriores versiones es real, gracias a la nueva característica Type Inference implementada.
• Internet Explorer 9 de 32 bits sigue venciendo en el SunSpider aunque es el peor en los otros dos benchmark. En todo caso, sigue siendo el navegador web más mejorado de la actual generación.
• No te molestes en utilizar Internet Explorer 9 de 64 bits, el peor con diferencia. Conviene puntualizar que esta versión no utiliza el motor Chakra JIT de la versión de 32 bits.
• La conclusión general del mes de marzo sigue siendo válida nueve meses después tras la actualización de los navegadores: el apartado de rendimiento en Javascript no es excluyente para usar uno u otro con diferencias de 60 milisegundos en el SunSpider, lo que indica que en la práctica real será difícil ver diferencias, exceptuando en sitios HTML5 optimizados para alguna versión de navegador en particular.
• En resumen; aunque Chrome sigue destacando sobre el resto en estas pruebas de rendimiento Javascript, las diferencias cada vez son menores y sólo son uno de los múltiples apartados para elegir usar un navegador web con otros como seguridad, complementos, compatibilidad con estándares o interfaz de usuario como aspectos a valorar. 

Fuente: Muy Computer y ZDNet

Seguir leyendo »

Guia sobre Seguridad en Control Industrial de la ENISA

En marzo de 2011 ENISA encargaba un estudio sobre los sistemas de control industrial, bajo el nombre de Protecting Industrial Control Systems. Recommendations for Europe and Member States.

Los sistemas de control industrial (ICS) son los encargados de la regulación automática de operaciones, así como de la integración y coordinación de éstas en un sistema global de producción. El uso de estos sistemas comenzó en los años 50 extendiéndose su uso hasta nuestros días. Los sistemas de control industrial se están utilizando para el control de diversas infraestructuras, algunas, por su origen, pueden ser vitales para la sociedad, como puede ser una central nuclear o una planta química, y forman parte de las infraestructuras críticas. Debido al uso tan extendido y a la delicadeza de su naturaleza son necesarios unos pilares de seguridad en los que asentar a estos sistemas de control.

El equipo de investigadores encargado del estudio ha realizado un arduo trabajo de investigación documental para recopilar toda la información disponible sobre el estado del arte actual de seguridad de los ICS, los principales retos a los que se enfrentan, los proyectos de investigación existentes, los grupos de trabajo, el estado de las normativas en los diferentes estados miembros, así como otras iniciativas de interés a nivel nacional e internacional. Esta labor de investigación documental se complementa con los puntos de vista de más de 60 expertos del ámbito industrial (fabricantes, operadoras de infraestructuras críticas, proveedores de soluciones y servicios de seguridad, organismos de estandarización, organismos públicos, universidades y centros de investigación), a través del análisis de casi 50 cuestionarios y más de 20 entrevistas personales.

El estudio está formado por un documento principal y cinco anexos, todos ellos de alto interés. En el documento principal se proponen 7 recomendaciones de alto nivel orientados a los Estados Miembros y las instituciones europeas, consensuadas con los expertos en la materia y la propia ENISA. Con toda probabilidad estas recomendaciones acabarán definiendo las líneas maestras de las iniciativas políticas europeas en materia de ciberseguridad de los sistemas industriales de las infraestructuras críticas.

Para finalizar conviene destacar que durante 2011 ENISA ha tratado los principales temas en torno a la seguridad de ICS, comenzando con la valoración de las implicaciones de Stuxnet y el análisis del más reciente DuQu, así como ahora con este informe sobre seguridad en sistemas de control industriales.

Fuente: S21Sec

Seguir leyendo »

Furia de titanes: ZeuS vs SpyEye

En este trabajo publicado por SANS "Clash of the Titans: ZeuS vs SpyEye" [PDF] se discuten y estudian los detalles de los dos troyanos bancarios más propagados de los últimos tiempos: Zeus y SpyEye.

En el paper se describe cómo realizar ingeniería inversa de los dos binarios y se comparan las técnicas de ofuscación y anti-depuración utilizados por ellos. Como hay mucha literatura que describe sus capacidades maliciosos individuales, este trabajo centra su atención principalmente en la comunicación entre ambos bots, lo cual es un fenómeno relativamente raro en el mundo del malware.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Presentaciones de Seguridad en la Campus Party Colombia 2011 en Video

Poco a poco la Campus Party se ha convertido en uno de los mejores escenarios para la Seguridad Informatica en Colombia, no solo su duración (8 dias) o sus patrocinadores, sino por la can cantidad y calidad como de charlas altamente técnicas, sin contar con las actividades adicionales en las que pueden participar sus asistentes:

• PC Tools: protégete de las nuevas amenazas cibernéticas. La conferencia trató sobre sobre las últimas ciber-amenazas, malware y estafa que pueden atacarte. Los expertos en seguridad de PC Tools Mike Chen y Juan Mendez compartieron historias sobre fallos en seguridad y las últimas estafas a través de redes sociales. Se explicó cómo se puede proteger su familia y amigos, y también cómo protegerse y garantizar su seguridad online. 
• El Arte de la Ingeniería Inversa. En esta conferencia se presentó una breve introducción a la ingeniería inversa, de igual forma los conceptos y términos utilizados en el mundo del Cracking aplicadas en todas las ramas de la ingeniería inversa. A modo de ejemplo a durante la conferencia se presentaron talleres, todos bajo la plataforma Microsoft windows.
• Análisis de tráfico de redes, usando CACE PILOT. A manera de introducción, se habló de conceptos básicos como tráfico de redes y captura de datos, abordando las temáticas de direccionamiento IP y protocolos. Luego se hizo referencia a la herramienta Wireshark, para captura de tráfico y una introducción a la herramienta CACE PILOT para el análisis del mismo. Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP. Este taller hizo un recorrido por las técnicas y herramientas que permiten a los profesionales de la seguridad informática identificar patrones de tráfico asociado a diversas actividades maliciosas que ponen en peligro la seguridad de las plataformas informáticas. Tópicos como herramientas de captura simple, sistemas de monitoreo de tráfico, técnicas de correlación de patrones, análisis del comportamiento del tráfico generado por herramientas de hacking y malware, entre otros, fueron tratados a los largo del taller. La metodología del taller fue teórico–práctico, permitiendo fortalecer conceptos básicos, profundizar en el uso de las herramientas y la interpretación de los patrones de tráficos asociados a los casos planteados.
• ¿Qué es SCADA y cómo me afecta su (in)seguridad?. Si esta noche tienes una pesadilla, seguramente será con SCADA. SCADA supervisa y controla millones de sistemas críticos a nuestro alrededor y sin saberlo, muchos aspectos de nuestra vida están regidos por estos sistemas, mientras cocinamos, manejamos, vemos TV, hablamos por teléfono, nos tomamos una cerveza, etc. Durante la conferencia se dio a conocer el impacto de este sistema, sus problemas de seguridad y las fallas de diseño que han hecho de SCADA inseguro desde el principio.
• Técnicas y Herramientas de Hacking para procesos de auditoria. El taller se presentó como un caso de estudio donde se pueda evidenciar el uso de herramientas y técnicas hacking usadas durante una auditoría de seguridad. Se ilustró paso a paso las tareas típicas realizadas en una auditoría. Los participantes tuvieron la oportunidad de desarrollar sus habilidades a partir de la solución de problemas dirigidos y se les facilitó un kit de herramientas multiplataformas que les permitió encontrar las soluciones en el escenario planteado.
• Aseguramiento de Vulnerabilidades Web con tecnologías OWASP. Las vulnerabilidades más explotadas actualmente en las aplicaciones Web existen principalmente por falta de conocimiento de los conceptos básicos de seguridad por parte de los desarrolladores y arquitectos de software. En esta conferencia se mostraron los principales vectores de ataque utilizados contra las aplicaciones web y se mostró un ejemplo de cómo mitigarlos haciendo una integración con el framework de validación ESAPI, la cual requiere el desarrollo de algunos componentes de software. ESAPI es un componente de software libre, bajo licencia BSD desarrollado y soportado por OWASP y es utilizado actualmente por American Express, Apache Foundation y Aspect Security, entre otras organizaciones.
• Análisis e implementación de Botnets sobre sistemas operativos Windows. El objetivo de esta ponencia fue ahondar en la conceptualización que rodea a las botnets, para de esta manera entender su funcionamiento y usos. Además se realizaró una actividad práctica a través del proceso de creación de botnets usando como víctimas ambientes con sistemas operativos Windows, utilizando éstas para desencadenar ataques de DDoS coordinados y sustracción de información masiva, todo esto sobre un ambiente controlado. Esto ayudaró a entender la manera como se implementa y operan estas amenazas que azotan a la comunidad informática mundial.
• Atacando Infraestructuras Corporativas Wireless. En la actualidad existen una gran cantidad de ataques conocidos a redes wireless, aunque la mayoría de las implementaciones de estas redes se realiza utilizando equipos hogareños. Al momento de realizar un ataque a una infraestructura “corporativa” wireless, nos vamos a encontrar con medidas de seguridad adicionales mucho más complejas de las comunmente utilizadas, y que van a requerir un mayor grado de sofisticación por parte del atacante. El objetivo de este workshop fue demostrar ataques avanzados que nos van a permitir penetrar una implementacion “corporativa” de wireless.
• Explotando Vulnerabilidades Web. Durante este workshop, el asistente tendrá la oportunidad de conocer los ataques Web más utilizados en la actualidad por los atacantes informáticos, y demostrar los riesgos a los cuales una organización estaría expuesta a través de la explotación de dichas vulnerabilidades. El asistente podrá replicar todos los ataques vistos durante este workshop, pero siempre trabajando en un ambiente controlado. 
• Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP. Este taller hizo un recorrido por las técnicas y herramientas que permiten a los profesionales de la seguridad informática identificar patrones de tráfico asociado a diversas actividades maliciosas que ponen en peligro la seguridad de las plataformas informáticas. Tópicos como herramientas de captura simple, sistemas de monitoreo de tráfico, técnicas de correlación de patrones, análisis del comportamiento del tráfico generado por herramientas de hacking y malware, entre otros, fueron tratados a los largo del taller. La metodología del taller fue teórico–práctico, permitiendo fortalecer conceptos básicos, profundizar en el uso de las herramientas y la interpretación de los patrones de tráficos asociados a los casos planteados.
• Técnicas y Herramientas de Hacking para procesos de auditoria. El taller se presentó como un caso de estudio donde se pueda evidenciar el uso de herramientas y técnicas hacking usadas durante una auditoría de seguridad. Se ilustró paso a paso las tareas típicas realizadas en una auditoría. Los participantes tuvieron la oportunidad de desarrollar sus habilidades a partir de la solución de problemas dirigidos y se les facilitó un kit de herramientas multiplataformas que les permitió encontrar las soluciones en el escenario planteado.
• HP Networking. HP expuso las siguientes temáticas, durante su ponencia:– Security in virtual environment– Data Center Virtualization Trends– Challenges due to Virtualization– Secure Virtualization Framework– Virtual Controller and Virtual Management Center.
• Hardening Video Streaming. Los asistentes pudieron observar un demo en vivo sobre el aseguramiento de los datos de video para mitigar los riesgos generados por delincuentes informáticos y así evitar el almacenamiento, intercepción, y visualización de transmisiones de streaming por individuos no autorizados. Así se presentaron herramientas para el control de acceso a servicios de video administrados bajo plataformas GNU/Linux con el software “Wowza” instalado, de forma que sólo usuarios autorizados puedan tener acceso al uso de los mismos.

Fuente: DragonJAR

Seguir leyendo »