tag:blogger.com,1999:blog-144234622024-03-29T00:28:07.825-03:00Segu-Info - Ciberseguridad desde 2000Noticias de Ciberseguridad desde Segu-InfoSeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.comBlogger2883125tag:blogger.com,1999:blog-14423462.post-77720790400364172942023-11-07T17:57:00.012-03:002023-11-08T17:40:31.143-03:00Extracción de datos de #Linkedin (35 millones de registros)<p>
Una
<a
href="https://twitter.com/DarkWebInformer/status/1720811481309065330?r"
rel="nofollow"
target="_blank"
>base de datos que contiene 35,9 millones de registros</a
> con datos sobre <b>usuarios Premium de LinkedIn</b> se está
compartiendo de forma gratuita en un popular foro de hacking y, al parecer,
han sido obtenidos mediante <i>scraping</i>. El archivo tiene 13GB
descomprimido.
</p>
<p>
<b
>Por eso es importante señalar que, estos datos NO han sido robados desde
base de datos internas de Linkedin, han sido obtenidos mediante diferentes
técnicas, combinados, agregados e inventados por atacantes, tomando diversas
fuentes, no necesariamente reales.</b
>
</p>
<div>
El <i>scraping</i> es el proceso de utilizar herramientas automatizadas para
extraer grandes cantidades de datos de sitios web, que generalmente involucran
rastreadores y robots que pueden evadir las medidas
<i>anti-scraping</i> imitando el comportamiento humano del usuario.
</div>
<p>
Aunque el <i>scraping</i> constituye una violación de los términos de servicio
en LinkedIn, muchos actores de amenazas continúan participando en la actividad
para demostrar su capacidad de eludir las protecciones o obtener ganancias.
</p>
<p>
Esta no es la primera vez que se roban o recolectan datos de Linkedin. En
2012, su base de datos efectivamente sí fue robada a través de la explotación
de una vulnerabilidad y
<a
href="https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/"
rel="nofollow"
target="_blank"
>se sustrajeron 164 millones de registros</a
>
(como direcciones de correo electrónico y contraseñas) y, luego en 2021 se
publicó una base de datos con otros
<a
href="https://www.businessinsider.com/linkedin-data-scraped-500-million-users-for-sale-online-2021-4?ref=troyhunt.com"
rel="nofollow"
target="_blank"
>126 millones de registros que fueron originados desde el
<u><i>scraping</i></u></a
>
(como la actual).
</p>
<p>
En este caso, el usuario <i>"USDoD"</i> ha compartido libremente la base de
datos CSV, que contiene datos recientes (2023) de los usuarios de LinkedIn
Premium, incluida la siguiente información, entre otras cosas:
</p>
<ul style="text-align: left;">
<li>Nombres completos</li>
<li>Algunos hashes, aunque no parecen ser contraseñas</li>
<li>Correos electrónicos</li>
<li>ID y URL de perfil de LinkedIn</li>
<li>Títulos de trabajo</li>
<li>Nombres de empleadores</li>
<li>Historia de la Educación</li>
<li>Habilidades</li>
<li>Idiomas hablados</li>
<li>Breves resúmenes profesionales</li>
</ul>
<p>
<b>
En mi caso, solo he buscado mi apellido y los datos son bastante erráticos,
imprecisos, aleatorios o directamente inventados. </b
>Por ejemplo, cada registro con varias direcciones de correo electrónico
tiene exactamente el formato <i>"[nombre].[apellido]@"</i>.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="470"
data-original-width="1128"
height="267"
src="https://i.imgur.com/6eipJVu.png"
width="640"
/>
</div>
<p></p>
<p>
Si bien la mayor parte de lo anterior ya es de acceso público para los
usuarios de LinkedIn, la inclusión de direcciones de correo electrónico hace
que esta filtración sea valiosa para los ciberdelincuentes. Esta información
se puede utilizar para correlacionar direcciones de correo electrónico con
otras filtraciones para encontrar contraseñas comunes, reducir el alcance de
los ataques de fuerza bruta o simplemente habilitar el phishing.
</p>
<p>
Además, tener información confidencial combinada en un formato indexable hace
que sea mucho más fácil para actores malintencionados aprovecharla en ataques
de ingeniería social o realizar fraude de identidad.
</p>
<p>
<b>
El usuario <i>USDoD</i> señala que la base de datos compartida libremente
contiene información de personas importantes como empleados gubernamentales,
miembros de organizaciones no gubernamentales, personal de institutos
educativos, empresas financieras, etc., y en general se refiere a personas
de alto rango.
</b>
</p>
<p>
La visibilidad de la dirección de correo electrónico está determinada por la
configuración del usuario, que define el grado de conexiones permitidas para
acceder a esta información confidencial. El <i>scraping</i> utilizado en este
caso omitió estas configuraciones para todos los usuarios o se hizo pasar por
una conexión cercana, lo cual es un escenario poco realista.
</p>
<p>
El investigador de ciberseguridad Troy Hunt, creador de <a
href="https://haveibeenpwned.com/"
rel="nofollow"
target="_blank"
>Have I Been Pwned</a
>, examinó los datos y descubrió que contienen una combinación de información
real e inventada.
<a
href="https://www.troyhunt.com/hackers-scrapers-fakers-whats-really-inside-the-latest-linkedin-dataset/"
rel="nofollow"
target="_blank"
>Troy escribe en su blog</a
>:
<i
>Estos datos son una combinación de información obtenida de perfiles
públicos de LinkedIn, direcciones de correo electrónico inventadas y, en
parte basada simplemente en observar los datos. Pero las personas son
reales, las empresas son reales, los dominios son reales y, en muchos casos,
las direcciones de correo electrónico mismas son reales.</i
>
</p>
<p><b>Estos son los puntos fundamentales a tener en cuenta:</b></p>
<ul style="text-align: left;">
<li>
Linkedin NO fue hackeado. Por ahora las acusaciones contra LinkedIn por este
incidente son infundadas
</li>
<li>
Muchos de los correos electrónicos observados son falsos y creados a partir
de los nombres y empresas de los usuarios de LinkedIn.
</li>
<li>
Se sospecha que los datos provienen de varias fuentes, no solo de LinkedIn,
y que pueden haber sido usados con fines comerciales.
</li>
<li>
Los datos ya se encuentran cargados en
<a href="https://haveibeenpwned.com/" rel="nofollow" target="_blank"
>Have I Been Pwned</a
>
para que la gente pueda verificar si sus datos están expuestos.
</li>
</ul>
<p >
<b style="text-align: left;"
>Cristian de la Redacción de
<a href="https://www.segu-info.com.ar/" rel="nofollow" target="_blank"
>Segu-Info</a
></b
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-54269770889337476912019-09-02T14:25:00.000-03:002019-11-30T13:21:13.736-03:00Detección de amenazas y búsqueda de las técnicas MITRE ATT&CK más comunes<h3>
Evasión de defensa: carga lateral de DLL</h3>
Las bibliotecas de enlaces dinámicos (DLL) contienen código ejecutable que se carga al ejecutar un programa. Los atacantes pueden sustituir una DLL maliciosa para llenar el espacio de un archivo DLL normal ausente en un dispositivo. Luego pueden comprometer dicho dispositivo o escalar los privilegios actuales, dependiendo del tipo de ejecutable y si se está ejecutando como un servicio o programa normal. Los proveedores de software a menudo no corrigen estas vulnerabilidades porque se requiere permiso local para instalar DLL, y muchos proveedores no ven los ataques de DLL como un riesgo.<br />
<h4>
Comprobador de integridad de suma de comprobación de archivos Versión 2.05 "fciv.exe"</h4>
Durante las pruebas, Axon Technologies se centró en la explotación de un ejecutable portátil vulnerable para entregar la carga útil fácilmente en un entorno. El 4 de julio de 2019, <a href="http://hyp3rlinx.altervista.org/">hyp3rlinx</a> lanzó públicamente una vulnerabilidad en el <i>File Checksum Integrity Verifier</i>. Axon Technologies determinó mediante pruebas que en Windows 10, la única DLL que funciona es <i>USEREN.dll</i>, por lo que cargar esta DLL nos permitió ejecutar con éxito la carga útil que desarrollamos.<br />
<h3>
PoC de Ataque</h3>
La demostración de tal ataque utilizando estas vulnerabilidades sin parches requiere un plan sofisticado y bien organizado:<br />
<h4>
1 - Saltear cualquier AV al portar un <i>shell</i> inverso limpio como <i>Dynamic Link Library</i></h4>
Para lograr este paso, codificamos un archivo DLL que omitiría la mayoría de los motores AV y luego se ejecutaría con éxito mientras se carga en <i>fciv.exe</i>. Utilizamos <i>C ++ Visual Studio</i> para compilar la DLL definiendo <i>MAIN_DLL</i> con <i>DLL_PROCESS_ATTACH</i> y llamando a la función <i>executepayload ()</i> para que cuando esta DLL se adjunte a cualquier proceso, se ejecute la carga maliciosa.<br />
<br />
Código DLL <a href="https://gist.github.com/lawrenceamer/4f5b5e851c1b7096153802bef4120f62">Enlace al código</a><br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="1298" data-original-width="1070" height="640" src="https://1.bp.blogspot.com/-EwQCHXgA-Ko/XWrLwVZsl6I/AAAAAAAAtps/GWP_D67N-5QrQp2-_HwDbetprGcYHvP4ACLcBGAs/s640/1_uMOt-W6iwdh78j6E4SwsFg.png" width="527" /></div>
Este archivo DLL compilado omitirá con éxito la mayoría de los motores AV.<br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="894" data-original-width="1600" height="357" src="https://1.bp.blogspot.com/-TiWL1bBNwe4/XWrMl8rLltI/AAAAAAAAtp0/4LYs_C9_y7smp_hgxRjn7t8wLkKvoUsrACLcBGAs/s640/1_r-kHtCMWJJk3erOSLXhD7Q.png" width="640" /></div>
<h4>
2 - Utilizar la técnica de flanqueo de macros Excel 4.0 XLM</h4>
XLM Macro es una tecnología de 27 años que se considera una muy buena alternativa a las macros VBA. XLM se ha convertido en una solución preferida para los <i>teamers</i> rojos, ya que XLM puede ser difícil de analizar para las soluciones antivirus; Esto se debe a que en XLM, los datos se almacenan en <i>OLE Streams</i> en contenedores como <i>Workbook OLE Streams</i>. XLM aún es compatible con las versiones más recientes de <i>Microsoft Office</i>. De este modo, pudimos ejecutar el ejecutable <i>fciv</i> vulnerable con un archivo DLL cargado lateralmente utilizando el código de macro XLM.<br />
<br />
Código Macro:<br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="222" data-original-width="488" height="291" src="https://1.bp.blogspot.com/-4Y54ygkiMO0/XWrN3VJ4xtI/AAAAAAAAtqA/jA0b2V8Qtc47lPElNWRnpfxoLMHKz7njACLcBGAs/s640/Captura.PNG" width="640" /></div>
<h3>
3 - Entrega el paquete</h3>
El último paso para demostrar el ataque es combinar los dos pasos anteriores junto con una mentalidad de hacker para comprometer el dispositivo sin ser detectado. Como fciv.exe es un ejecutable portátil firmado por Microsoft, lo entregamos con el código de macro XLM guardado como .xls (formato Excel 97–2003).<br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="604" data-original-width="1517" height="254" src="https://1.bp.blogspot.com/-w7YytfhM-ys/XWr9UsN2JzI/AAAAAAAAtqM/gdajhOBprxA4HCBiFbeBAJ8MmB1-8hfrgCLcBGAs/s640/1_yOU2N9wP-YEXHVV6rNLr-A.png" width="640" /></div>
Después de que se ejecuta el archivo XLS, recibimos con éxito un <i>shell</i> inverso a nuestro terminal atacante.<br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="386" data-original-width="903" height="272" src="https://1.bp.blogspot.com/-7FXV7G8ZOtU/XWr9mrp6_sI/AAAAAAAAtqU/_WdAQ47iyfEvgECfZ8dpCffjUac0LAHegCLcBGAs/s640/1_GkvpnNrFdms75bVySh7Kww.png" width="640" /></div>
Utilizando la combinación de la técnica de macro XLM y la vulnerabilidad sin parche del verificador de integridad de la suma de comprobación de archivos, eludimos las soluciones AV y la solución EDR de Carbon Black. También aprendimos que muchos proveedores de soluciones desconocen esta técnica y sus implicaciones.<br />
<h3>
Análisis de Carbon Black Detección y Respuesta de punto final (EDR)</h3>
El análisis del comportamiento sospechoso es una de las principales fortalezas de cualquier operación de seguridad cibernética. Después de la ejecución del documento XLM Macro, encontramos que <i>Carbon Black EDR</i>, con sus fuentes de búsqueda de amenazas habilitadas, no detectó este tipo de ataque. Creemos que la mayoría de los ataques de secuestro de DLL no se pueden detectar. Para analizar qué detectó EDR de Carbon Black y qué se perdió, utilizamos los siguientes pasos y el diagrama de árbol de proceso:<br />
<ol>
<li>Vaya a <i>Búsqueda de procesos</i> y escriba: nombre del proceso: <i>fciv.exe</i></li>
<li>Haga clic en <i>Proceso</i> para mostrar información detallada de nuestra investigación.</li>
<li>Vea en el diagrama de árbol anterior que <i>fciv.exe</i> se está ejecutando como un proceso secundario de Excel y que hay un tipo de ejecución de Macro.</li>
<li>Obtenga información relacionada (que se enumera debajo del diagrama de árbol) para ver que Carbon Black EDR mostró qué proceso cruzado secundario se ejecutó con una conexión de red activa, pero no señaló un ataque malicioso.</li>
</ol>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="384" data-original-width="1245" height="197" src="https://1.bp.blogspot.com/-jCbaw6GrJBI/XWr_swQ5epI/AAAAAAAAtqg/ktxEJqVpfJErE9fLsulV2_q-dMUhvUe5gCLcBGAs/s640/1_fpD5xL8hrX7gR7tIq8qS-Q.png" width="640" /></div>
Como se muestra arriba, podemos ver que el ejecutable <i>fciv</i> cargó nuestra DLL maliciosa. Al observar de cerca el orden del árbol de ejecución, observamos que <i>cmd.exe</i> comenzó con PID 2304 directamente con una conexión de red activa al dispositivo atacante.<br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="327" data-original-width="882" height="237" src="https://1.bp.blogspot.com/-1kzsHKIR-gQ/XWr_3B9ARXI/AAAAAAAAtqk/g6FuCW-ie1Yk7e1ifaK78YzWu-3uAVjmgCLcBGAs/s640/1_I5S29M-iNPxgfZ3DHEhwWA.png" width="640" /></div>
<h3>
Indicadores de compromiso (IOC) y detección del ataque</h3>
Axon Technologies desarrolló su propio IOC para detectar este tipo de ataque en <i>Carbon Black EDR</i>. El desarrollo de los IOC requiere análisis profundos para evitar falsos positivos y garantizar que el IOC detecte exactamente la técnica de ataque utilizada. La detección de esta técnica de ataque específica en <i>Carbon Black EDR</i> requiere la creación de una alerta de observación con la siguiente consulta del IOC:<br />
<pre><code>cb.urlver = 1 & q = (nombre_proceso: fciv.exe AND (nombre_programa_propietario: rundll32.exe
O nombre_programa infantil: cmd.exe O nombre_programa hijo: powershell.exe) Y
(modload: CRYPTSP.dll O modload: USERENV.dll))</code></pre>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="231" data-original-width="1600" height="92" src="https://1.bp.blogspot.com/-AOdWuuWKPnQ/XWsAhFfBH9I/AAAAAAAAtqw/2kwdUvtDX3QTU2jpf096neVHIF99XjaTQCLcBGAs/s640/1_QdXekqxKHw0Tsprr_dyZqQ.png" width="640" /></div>
<br />
Axon Technologies desarrolla de manera proactiva y continua las consultas de IOC que se publican en su página de Github (<a href="https://github.com/AxonTechnologies/Threat-Research/blob/master/ioc/Defense%20Evasion%20-%20t1073%20-%20Possible%20Microsoft%20Checksum%20Side%20DLL%20Hijacking">Enlace</a>).<br />
<br />
Traducción: <a href="https://twitter.com/rfb_">Raúl Batista</a> de la Redacción de <a href="https://www.segu-info.com.ar/">Segu-Info</a><br />
Autor: <a href="https://medium.com/@lawrenceamer">Lawrence Amer</a><br />
Fuente: <a href="https://medium.com/axon-technologies/threat-detection-and-hunting-for-the-most-common-mitre-att-ck-techniques-5a1993e89f93">Medium - Axon Technologies</a>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-68795429451432205772015-07-23T09:03:00.000-03:002015-07-23T09:03:00.048-03:00600 Terabytes de bases de datos MongoDB expuestasSegún el representante de Shodan, John Matherly, se <a href="https://www.shodan.io/search?query=product%3A%22MongoDB%22" target="_blank">ha expuesto casi 600 Terabytes (TB)</a> de información almacenados en <a href="https://www.mongodb.org/">base de datos MongoDB</a>, debido a versiones vulnerables y/o mal configuradas.<br />
<div class="separator" style="clear: both; text-align: center;">
<img height="290" src="https://blog.shodan.io/content/images/2015/07/mongodb-results.png" style="margin-left: 1em; margin-right: 1em;" width="580" /></div>
MongoDB es la base de datos NoSQL más popular utilizado por empresas de todos los tamaños, desde eBay y Sourceforge a The New York Times y LinkedIn.<br />
<br />
<a href="https://blog.shodan.io/its-the-data-stupid/" rel="nofollow" target="_blank">Hay casi 30.000 bases de datos MongoDB accesibles públicamente</a> en Internet, sin necesidad de brindar ninguna información de autenticación. Esta enorme cantidad de datos, <i>"están expuestos debido al uso de versiones obsoletas y sin parchear y que todavía escuchan por defecto en la dirección IP 0.0.0.0 (habilitado para todas las interfaces)".</i><br />
<br />
Las versiones afectadas, no tienen la opción de <i>'bind_ip 127.0.0.1'</i> en el archivo <i>mongodb.conf</i>. Este error fue divulgado como una <a href="http://blog.segu-info.com.ar/2015/02/error-critico-en-la-configuracon-de.html" rel="nofollow" target="_blank">vulnerabilidad crítica en febrero de 2012</a> por Roman Shtylman, pero MongoDB tardó un poco más de dos en corregir esta falla de seguridad. <br />
<br />
Son afectadas la versiones anteriores a la versión 2.6 y según Shtylman, <i>"el valor por defecto debe ser cambiado cuanto antes o <a href="https://www.mongodb.org/downloads">actualizar a la última versión</a>"</i>.<br />
<br />
Fuente: <a href="http://thehackernews.com/2015/07/MongoDB-Database-hacking-tool.html">HackerNews</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-21252585208840066562015-07-23T08:44:00.000-03:002015-10-24T10:49:55.990-03:00Vulnerabilidad 0-Day en automóviles ChryslerLos propietarios de Chrysler Fiat deben actualizar el software de sus vehículos después de un par de investigadores de seguridad <a href="http://www.scmagazine.com/security-firm-ioactive-to-expand-vehicle-security-service-program/article/389357/">fueran capaces de explotar una vulnerabilidad 0-Day</a> que permite controlar remotamente el motor, la transmisión, las ruedas y los frenos del vehículo.<br />
<br />
<a href="http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/" rel="nofollow" target="_blank">Según Wired</a>, los investigadores Chris Valasek y Charlie Miller, miembros de la empresa IOActive, <a href="http://www.scmagazine.com/researchers-discover-an-exploit-in-uconnect-enabled-fiat-chrysler-vehicles-that-allows-control-over-vehicle/article/427651/">dijeron que la vulnerabilidad fue encontrada en los modelos de 2013 a 2015</a> y que tienen la característica de Uconnect.<br />
<div class="separator" style="clear: both; text-align: center;"><a href="http://www.wired.com/wp-content/uploads/2015/07/150701_car_hackers_49-582x388.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://www.wired.com/wp-content/uploads/2015/07/150701_car_hackers_49-582x388.jpg" /></a></div>Alguien que conocer la dirección IP del coche puede tener acceso al vehículo vulnerable a través de su conexión celular. Los atacantes pueden dirigirse entonces a un chip en la unidad de <i>hardware</i> de entretenimiento del vehículo y reescribir el <i>firmware</i> para enviar comandos a la re informática interna que controla los otros componentes físicos.<br />
<br />
Miller y Valasek han probado el <i>hacks</i> en una Jeep Cherokee pero suponen que replicarlo en la mayoría de los otros vehículos vulnerables. La actualización debe implementarse a través de un USB o por un mecánico en el concesionario. El dúo <a href="http://media.fcanorthamerica.com/newsrelease.do;jsessionid=13E79D6AB3795B7199839FB2DF3E3836?&id=16827&mid=1" rel="nofollow" target="_blank">había notificado a Fiat Chrysler</a>, que<a href="https://twitter.com/0xcharlie/status/623171594349842433" rel="nofollow" target="_blank"> lanzó un aviso la semana pasada</a>. Los investigadores estiman que existen al menos 1.4 millones de automóviles hackables.<br />
<br />
La <a href="http://thehackernews.com/2015/07/car-hacking-jeep.html" rel="nofollow" target="_blank">lista de modelos</a> es: <br />
<ul><li>2013-2015 MY Dodge Viper specialty vehicles</li>
<li>2013-2015 Ram 1500, 2500 and 3500 pickups</li>
<li>2013-2015 Ram 3500, 4500, 5500 Chassis Cabs</li>
<li>2014-2015 Jeep Grand Cherokee and Cherokee SUVs</li>
<li>2014-2015 Dodge Durango SUVs 2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans</li>
<li>2015 Dodge Challenger Sports coupes</li>
</ul>Valasek y Miller ya habían presentado <a href="http://www.scmagazine.com/researchers-shed-light-on-car-hacking/article/320604/">investigaciones similares</a> en <a href="http://www.scmagazine.com/defcon-car-hacking-talk-will-detail-how-an-outsider-can-physically-control-the-vehicle/article/304428/" rel="nofollow" target="_blank">DefCon 2013</a>.<br />
<br />
Fuente: <a href="http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/" rel="nofollow" target="_blank">Wired </a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-13859603576080372712015-07-20T18:07:00.000-03:002015-07-20T18:26:53.660-03:00Boletín fuera de banda de Microsoft (Actualiza!)<img height="112" src="http://2.bp.blogspot.com/-Sld_wqfotOE/VIdJVtG703I/AAAAAAAAN3M/YEujjOCTn9M/s200/patchday.png" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" width="200" />Microsoft acaba de lanzar una <a href="http://blogs.technet.com/b/seguridad/archive/2015/07/20/bolet-237-n-de-seguridad-de-microsoft-ms15-078-out-of-band-fuera-de-banda.aspx" rel="nofollow" target="_blank">actualización crítica de seguridad fuera de banda (OoB)</a>. El <a href="https://technet.microsoft.com/en-us/library/security/ms15-078.aspx">boletín MS15-078</a> recién publicado se refiere a una vulnerabilidad crítica en el controlador de fuente de Microsoft, que podría permitir la ejecución remota de código (CVE-2015-2426).<br />
<br />
El <a href="https://support.microsoft.com/en-us/kb/3079904" target="_blank">artículo KB 3079904</a> menciona que se corrige una vulnerabilidad en la biblioteca de Adobe Type Manager de Windows, la cual maneja las fuentes OpenType y afecta a todas las versiones de Windows, <a href="https://support.microsoft.com/en-us/kb/3074667" rel="nofollow" target="_blank">incluído Windows 10 pero con la KB 3074667</a>.<br />
<br />
El parche ya está disponible a través de Windows Update y los clientes que utilizan actualizaciones automáticas lo recibirán automáticamente. Para aquellas empresas que necesitan probar primero, el boletín <a href="https://technet.microsoft.com/library/security/dn848375.aspx#Workaround">ofrece técnicas de mitigación</a>, que incluyen renombrar archivos y modificar el registro de Windows.<br />
<br />
<b>Cristian de la Redacción de <a href="http://www.segu-info.com.ar/" target="_blank">Segu-Info </a></b>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-62971357695748063762015-07-20T08:56:00.000-03:002015-07-20T08:56:00.702-03:00Cracking RC4 en WPA-TKIP y TLS en 52 horasInvestigadores de seguridad han desarrollado una técnica de ataque más práctica y viable contra el algoritmo criptográfico <a href="https://es.wikipedia.org/wiki/RC4" rel="nofollow" target="_blank">RC4 (Rivest Cipher 4)</a>, el cual sigue siendo ampliamente utilizado para cifrar comunicaciones en Internet.<br />
<ul>
<li>SSL (Secure Socket Layer)</li>
<li>TLS (Transport Layer Security)</li>
<li>WEP (Wired Equivalent Privacy)</li>
<li>WPA (acceso protegido Wi-Fi)</li>
<li>Microsoft RDP (Protocolo de escritorio remoto)</li>
<li>BitTorrent</li>
<li>... </li>
</ul>
Las debilidades que se han encontrado durante años en este algoritmo indican que <a href="http://blog.segu-info.com.ar/2015/03/rc4-debe-morir-mas-ataques-htttps.html">RC4 debe morir</a> y <a href="http://blog.segu-info.com.ar/2015/07/firefox-39-desactiva-sslv3-y-rc4.html">desaparecer de Internet</a> pero, sin embargo, aproximadamente el 50% de todo el tráfico TLS está protegido con este algoritmo.<br />
<br />
Ahora, dos investigadores de seguridad belga demostraron un ataque práctico contra RC4, permitiendo a un atacante exponer información cifrada en mucho menor tiempo que antes.<br />
<h3>
Ataque a RC4 con 94% de precisión</h3>
En 2013, <a href="http://www.isg.rhul.ac.uk/tls/" rel="nofollow" target="_blank">un ataque a RC4 requirió más de 2.000 horas</a> para llevarse a cabo. A principio de año, el ataque <a href="http://www.imperva.com/docs/HII_Attacking_SSL_when_using_RC4.pdf">Bar Mitzvah</a> requirió 2<sup>24</sup> conexiones y, en marzo de este año, la <a href="http://www.isg.rhul.ac.uk/tls/RC4mustdie.html" rel="nofollow" target="_blank">recuperación de contraseñas en RC4 en TLS</a>, requirió alrededor de 312 a 776 horas.<br />
Ahora, el <i>paper</i> <a href="http://www.rc4nomore.com/vanhoef-usenix2015.pdf" rel="nofollow" target="_blank"><i>"All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS"</i></a> [PDF] desarrollado por <a href="https://twitter.com/vanhoefm" rel="nofollow" target="_blank">Mathy Vanhoef</a> y <a href="https://distrinet.cs.kuleuven.be/people/frank" rel="nofollow" target="_blank">Frank Piessens</a> de la Universidad de Lovaina en Bélgica, muestra un ataque que les permitió descifrar <i>cookies</i> cifradas con RC4 en sólo 52 horas, con una exactitud del 94%.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-7FmFbssSYk8/Val4Uc9URcI/AAAAAAAAO5A/_12ku-At3Bs/s1600/rc4-broke.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://1.bp.blogspot.com/-7FmFbssSYk8/Val4Uc9URcI/AAAAAAAAO5A/_12ku-At3Bs/s1600/rc4-broke.png" /></a></div>
<br />
<i>"Nuestro trabajo reduce significativamente el tiempo de ejecución de realizar un ataque, y consideramos que esta mejora muy preocupante"</i> se lee en el <a href="http://www.rc4nomore.com/" rel="nofollow" target="_blank">post de los investigadores</a>. <i>"Aún se pueden implementar algoritmos más eficientes y mejores técnicas de generación de tráfico, por lo que esperamos más mejoras en el futuro".</i><br />
<h3>
Rompiendo Wi-Fi protegidas con TKIP en una hora</h3>
La técnica de ataque podría ser aprovechada por los atacantes para analizar una conexión entre la víctima y un sitio protegido por HTTPS o en redes inalámbricas protegidas por el Wi-Fi que utilizan el protocolo <i>Protected Access Temporal Key Integrity Protocol (WPA-TKIP)</i>.<br />
<br />
En el caso de sitios HTTPS protegidos con TLS, los investigadores utilizaron un sitio HTTP separado para inyectar código JavaScript que hace que el servidor destino transmita la <i>cookie</i> de autenticación cifrada repetidamente. Fueron capaces de descifrar una <i>cookie</i> segura con 94% de precisión mediante 9 x 2<sup>27</sup> criptogramas.<br />
<center>
<iframe allowfullscreen="" frameborder="0" height="350" src="https://www.youtube.com/embed/d8MtmKrXlKQ" width="580"></iframe></center>
El ataque tomó unas 75 horas, transmitiendo 4.450 peticiones por segundo, aunque en el caso de ataques contra los dispositivos reales, el tiempo requerido puede ser mejorado hasta 52 horas.<br />
<br />
Sin embargo, el nuevo ataque contra WPA-TKIP solo requiere una hora, permitiendo a un atacante inyectar y descifrar paquetes arbitrarios.<br />
<br />
Los detalles sobre el hallazgo serán presentados por los investigadores en agosto en el próximo <a href="https://www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/vanhoef" rel="nofollow" target="_blank">USENIX Security en Washington D.C.</a> Por ahora, los investigadores <a href="http://www.rc4nomore.com/vanhoef-usenix2015.pdf" rel="nofollow" target="_blank">han publicado un paper</a> con información adicional sobre sus técnicas de ataque.<br />
<br />
Fuente: <a href="http://thehackernews.com/2015/07/crack-rc4-encryption.html" rel="nofollow" target="_blank">The Hacker News</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com2tag:blogger.com,1999:blog-14423462.post-38953836592710752232015-07-18T11:12:00.000-03:002015-07-18T11:12:00.586-03:00Cómo Hacking Team se saltaba los controles de Google PlayEl escandalo de los <a href="http://blog.segu-info.com.ar/search/?q=Hacking%20Team" target="_blank">documentos filtrados del Hacking Team</a> está poniendo en evidencia la seguridad de muchos sistemas y aplicaciones. Esta empresa conocía los agujeros de seguridad de cientos de aplicaciones, lo que le permitía acceder sin problemas a los ordenadores y móviles de los usuarios.<br />
<br />
El Hacking Team habría desarrollado una aplicación que podría ejecutar malware en Android y se habría colado en la tienda de aplicaciones Google Play en forma de aplicación de noticias, <a href="http://www.zdnet.com/article/trend-micro-discovers-hacking-team-android-malware-app-that-avoids-google-play-checks/" rel="nofollow" target="_blank">según los especialistas de seguridad de Trend Micro</a>. La aplicación denominada <a href="http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2015-071709-0943-99" rel="nofollow" target="_blank">BeNews</a> sólo requiere tres permisos por parte del usuario cuando era instalada y consiguió pasar todos los controles de seguridad de Google ya que <i>"no contenía código malicioso detectable"</i>.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://blog.trendmicro.com/trendlabs-security-intelligence/files/2015/07/BeNews_04.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://blog.trendmicro.com/trendlabs-security-intelligence/files/2015/07/BeNews_04.png" /></a></div>
<br />
La falsa aplicación de noticias fue descargada más de 50 veces de Google Play hasta que fue retirada el 7 de julio, información de nuevo confirmada por esta empresa de seguridad. Creen que consiguió saltarse todos los controles mediante el uso de tecnología de carga dinámica. Esto permite que la aplicación ejecute parte de su código desde Internet, por lo que los controles automáticos no encuentran nada sospechoso al verificarla. El código aparece después de ser instalada la aplicación, por lo que Google poco puede hacer al respecto.<br />
<br />
Trend Micro afirma que el Hacking Team habría desarrollado un manual para que sus clientes pudieran aprovechar esta brecha de seguridad, además de una cuenta común que podían utilizar para subir aplicaciones a Google Play sin despertar sospechas. Estas aplicaciones aprovechaban un problema de seguridad, con el código <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3153" rel="nofollow" target="_blank">CVE-2014-3153</a>, localizado en las <b>versiones Android 2.2 ("Froyo") a 4.4.4 ("KitKat").</b><br />
<br />
El <i>backdoor</i>, identificado como <a href="http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ANDROIDOS_HTBENEWS.A">BeNews</a> utiliza una vulnerabilidad de escalamiento local de privilegios y <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/fake-news-app-in-hacking-team-dump-designed-to-bypass-google-play/" rel="nofollow" target="_blank">el exploit ya había sido previamente utilizado</a> por la herramienta <a href="http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/androidos_towelroot.a">TowelRoot</a>.<br />
<br />
Fuente: <a href="http://www.adslzone.net/2015/07/17/el-hacking-team-tambien-podia-colar-malware-en-android-al-saltarse-sin-problemas-los-controles-de-google-play/" rel="nofollow" target="_blank">ADSLZone</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-79596185024909419852015-07-17T09:13:00.000-03:002015-07-17T09:13:00.048-03:00SIMP: herramienta de NSA para defensa en profundidadDesde esta semana, la Agencia de Seguridad Nacional de Estados Unidos (NSA) está ofrecido públicamente una de sus herramientas de seguridad para departamentos gubernamentales.<br />
<br />
La Systems Integrity Management Platform -SIMP- está publicada en el <a href="https://github.com/NationalSecurityAgency/SIMP" rel="nofollow" target="_blank">repositorio de código GitHub</a> y está enfocado en la <b>"defensa en profundidad"</b>, tan necesario en las organizaciones.<br />
<br />
NSA dijo que <i>"libera la herramienta para evitar la duplicación de esfuerzos después de que algunos departamentos del gobierno de Estados Unidos comenzaran a intentar replicar el producto con el fin de cumplir con los requisitos establecidos por los organismos de inteligencia"</i>.<br />
<br />
Actualmente Red Hat Enterprise Linux versiones 6.6 y 7.1 y CentOS 6.6 y 7.1-1503-01 son que los únicos sistemas operativos compatibles para SIMP.<br />
<div class="separator" style="clear: both; text-align: center;"><img src="http://2.bp.blogspot.com/-6J-DJeCNIpo/Vaf7Rz3pJxI/AAAAAAAAO30/OxATypvjLjQ/s1600/nsa_technology_transfer_program.png" style="margin-left: 1em; margin-right: 1em;" /></div><br />
En los últimos meses, luego de Snowden, la NSA está incrementado sus esfuerzos para compartir su tecnología y recientemente estrenó su programa <a href="http://m.nsa.gov/research/tech_transfer/" rel="nofollow" target="_blank">"transferencia de tecnología"</a>, que pretende promover el desarrollo de nuevas capacidades y tecnologías en el gobierno y el sector privado. Hasta ahora ha abierto una gama de ocho categorías (y patentes) que abarcan las redes, óptica, procesamiento, seguridad y microelectrónica, entre otros [<a href="http://m.nsa.gov/research/_files/tech_transfers/nsa_technology_transfer_program.pdf" rel="nofollow" target="_blank">PDF</a>].<br />
<br />
<i>"La comunidad Open Source puede aprovechar el trabajo que ha producido la NSA y el gobierno puede beneficiarse de la experiencia y perspectiva de la comunidad"</i><br />
<br />
La Agencia también ha desarrollado una arquitectura de <a href="https://en.wikipedia.org/wiki/Mandatory_access_control" rel="nofollow" target="_blank">Control de Acceso Madatorio (MAC)</a>, llamada <a href="https://en.wikipedia.org/wiki/Security-Enhanced_Linux" target="_blank">Security Enhanced Linux</a> que ha encontrado su camino en varias distribuciones como Android, FreeBSD y Solaris de Oracle.<br />
<br />
Fuente: <a href="http://www.itnews.com.au/News/406509,nsa-releases-linux-based-open-source-infosec-tool.aspx">ITNews</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-91459072809268808552015-07-16T13:11:00.000-03:002015-07-16T13:13:39.890-03:00Hacking Team utilizaba Rootkit de BIOS UEFILa semana pasada alguien <a href="http://blog.segu-info.com.ar/2015/07/la-empresa-hacking-team-hackeada-400gb.html" rel="nofollow" target="_blank">hackeó a la empresa Hacking Team</a>, fabricante de ciberarmas en Italia y filtró la enorme cantidad de 400GB de datos internos, incluyendo:<br />
<ul>
<li>Mensajes de correo electrónico</li>
<li>Herramientas de hacking y de control remoto (RCS) - Galileo</li>
<li>Vulnerabilidades 0-Day</li>
<li>Herramientas de vigilancia</li>
<li>Código fuente de software espía</li>
<li>Hojas de cálculos con la lista de cliente de gobiernos y países</li>
</ul>
Ahora, los <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/" rel="nofollow" target="_blank">investigadores de Trend Micro encontraron</a> que el equipo de Hacking <i>"utiliza un Rootkit de BIOS UEFI (Unified Extensible Firmware Interface) para mantener a su agente de sistema de Control remoto (RCS) instalado en los sistemas de sus objetivos"</i>. Según los investigadores, el <i>rootkit</i> sólo es capaz de atacar sistemas UEFI BIOS de Insyde y AMI, utilizados por la mayoría de los fabricantes de <i>laptop</i> y computadoras.<br />
<center>
<img border="0" height="331" src="http://4.bp.blogspot.com/-4k6_E5DkYkU/VaTs9I_yyiI/AAAAAAAAjik/LvA_xij1M6g/s1200/hacking-team-uefi-bios-rootkit.jpg" title="hacking-team-uefi-bios-rootkit" width="580" /></center>
Esto significa que aunque el usuario vuelva a instalar su sistema operativo, formatee el disco o incluso compre un nuevo disco, los agentes seguirán activos cuando el sistema arranque.<br />
<br />
Sin embargo, en este momento los investigadores no están seguros si el malware puede completar la instalación del rootkit sin acceso físico a la máquina. El análisis de <i>rootkit</i> realizado por los investigadores de Trend Micro sólo fue posible debido a que el código fuente del software espía se filtro la última semana. Hasta ahora, se han descubierto <a href="http://blog.segu-info.com.ar/2015/07/vulnerabilidad-0-day-en-flash-player.html" rel="nofollow" target="_blank">dos vulnerabilidades</a> <a href="http://blog.segu-info.com.ar/2015/07/segundo-exploit-0-day-de-flash-de-nuevo.html" target="_blank">0-Day de Adobe Flash Player</a> y un exploit 0-Day de Android y ahora este <i>rootkit</i> de BIOS dá más luz sobre todas las actividades del equipo.<br />
<br />
Fuente: <a href="http://thehackernews.com/2015/07/hacking-uefi-bios-rootkit.html" rel="nofollow" target="_blank">The Hacker News</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com2tag:blogger.com,1999:blog-14423462.post-77627344837572263332015-07-16T09:09:00.000-03:002015-07-16T12:04:41.725-03:00Adios a Windows Server 2003 Finalmente llego el día, los almanaques de muchos administradores de sistemas Windows tenían marcado en rojo el 14 de Julio de 2015 porque ese es el día en que <a href="https://support.microsoft.com/es-ar/lifecycle?C2=1163#" rel="nofollow" target="_blank">Microsoft deja de dar soporte extendido a Windows Server 2003</a> en todas sus versiones.<br />
<div class="separator" style="clear: both; text-align: center;">
<img height="122" src="http://3.bp.blogspot.com/-T_G3sGxzXsM/VafH76QguHI/AAAAAAAAO3k/7_XZPFUHdr4/s320/win-2003-eol.png" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;" width="320" /></div>
<br />
Windows Server 2003 fue una de las versiones más populares cuando reemplazo a Windows 2000 Server y fue rápidamente adoptado. Aun hoy, en muchas empresas Pequeñas y Medianas siguen funcionando servidores que corren Windows Server 2003 y tal vez aun lo sigan haciendo por un tiempo más, a pesar de la pérdida del soporte ya que una migración implica además de la compra de licencias y casi con seguridad la renovación tecnológica de servidores que soporten la nueva versión.<br />
<br />
Para quienes esten pensando en migrar a Windows Server 2012, aquí tienen un <a href="http://migrationplanningassistant.azurewebsites.net/" rel="nofollow" target="_blank">asistente para la planificacion de la migración</a> donde se tienen en cuenta distintos aspectos y consideraciones principales a tener en cuenta en cada etapa y nos ayudaran para que nuestra migración sea exitosa.<br />
<br />
Incluso podemos tomar una <a href="https://www.microsoftvirtualacademy.com/en-US/training-courses/windows-server-2003-end-of-support-migration-overview-8324" rel="nofollow" target="_blank">capacitación gratuita</a>, que nos ayudara con las mejores prácticas y recomendaciones adicionales para la migración.<br />
<br />
Igualmente, por cuestiones presupuestarias o por mantener aplicaciones antiguas aun en funcionamiento dentro de los servidores Windows Server 2003, muchas empresas aun no migraran a la nueva versión de Windows.<br />
<br />
Para ellos, algunos consejos:<br />
<ul>
<li>Actualizar los parches hasta la última versión disponible del producto</li>
<li>Mantener los Servidores Windows Server 2003 sin acceso desde Internet ni hacia Internet</li>
<li>Mantener actualizado el antivirus (motor y base) en los servidores a través de la consola centralizada</li>
<li>Para quienes tengan que tener los servidores expuestos a Internet por tener Aplicaciones Web considerar el uso de un UTM/WAF.</li>
<li>Realizar un análisis de Riesgo por mantener Servidores sin soporte y presentarlo a la alta gerencia</li>
<li>Planificar la migración y migrar lo antes posible.</li>
</ul>
Fuente: <a href="http://twitter.com/adolfofioranell" rel="nofollow" target="_blank">@adolfofioranell</a> de la Redacción de <a href="http://www.segu-info.com.ar/" target="_blank">Segu-Info</a>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-21805070283670013042015-07-15T12:02:00.000-03:002015-07-15T12:02:00.213-03:00¿Todos contra Flash? ¡Por fin!El movimiento en contra del uso de Adobe Flash Player gana impulso.<br />
<div class="separator" style="clear: both; text-align: center;">
<img height="127" src="http://4.bp.blogspot.com/-gBtWkgdl3oI/VaW1I0qBNjI/AAAAAAAAZLk/lqAwocq0tqs/s400/stop-flash-kill-adobe1.jpg" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;" width="200" /></div>
<br />
Ya todos están más o menos enterados que en el <a href="http://blog.segu-info.com.ar/2015/07/la-empresa-hacking-team-hackeada-400gb.html">ataque y posterior publicación de 400Gb</a> de material de la empresa italiana <a href="http://www.hackingteam.it/">Hacking Team</a>, salieron a la luz <a href="http://blog.segu-info.com.ar/2015/07/vulnerabilidad-0-day-en-flash-player.html">diversas</a> <a href="http://blog.segu-info.com.ar/2015/07/segundo-exploit-0-day-de-flash-de-nuevo.html">vulnerabilidades</a> no descubiertas aún (los denominados <i>0-Day</i>) de Adobe Flash Player, y también el código necesario para saber como explotarlas.<br />
<br />
A poco de esta divulgación se empezaron a conocer <a href="http://blog.segu-info.com.ar/2015/07/vulnerabilidad-0-day-en-flash-player.html">diversos</a> tipo de <a href="http://blog.segu-info.com.ar/2015/07/segundo-exploit-0-day-de-flash-de-nuevo.html">ataques</a> en Internet que se aprovechan de explotar estas vulnerabilidades.<br />
<br />
Incluso ya se sabe que estas vulnerabilidades están siendo <a href="https://www.f-secure.com/weblog/archives/00002819.html">incluidas en diversos Kits de Explotación</a>, que al ser instalados por un atacante en un sitio web, permiten infectar el equipo de quien visita el sitio, generalmente sin que lo note.<br />
<br />
Pero tantas malas noticias juntas parece que están provocando <b>decisiones esperadas</b> hace tiempo por muchos de nosotros en el campo de la seguridad informática.<br />
<br />
Como ejemplo de ello <a href="https://addons.mozilla.org/en-US/firefox/blocked/p946" rel="nofollow" target="_blank">Mozilla decidió</a> <a href="http://blog.segu-info.com.ar/2015/07/firefox-bloquea-flash-por-defecto-al-fin.html" target="_blank">bloquear por defecto Adobe Flash</a> en <a href="http://www.zdnet.com/article/firefox-now-blocks-all-versions-of-flash-player-by-default/" rel="nofollow" target="_blank">todas las versiones</a> de su navegador Firefox. Así lo hizo saber Mark Schmidt jefe de soporte de Firefox en un <a href="https://twitter.com/MarkSchmidty/status/620783674561327104">Twit</a><br />
<br />
Por otra parte el nuevo jefe de seguridad de Facebook, Alex Stamos, publicó un<a href="https://twitter.com/alexstamos/status/620306643360706561"> twit</a> en el que llama al fin de Flash y su bloqueo en los navegadores.<br />
<blockquote class="tr_bq">
<i>It is time for Adobe to announce the end-of-life date for Flash and to ask the browsers to set killbits on the same day</i>.<br />
Es tiempo que Adobe anuncie la fecha del fin de ciclo de vida de Flash y pida a los navegadores fijar para ese mismo día su bloqueo.</blockquote>
Leyendo los comentarios de ese twit queda claro que Facebook va en camino de discontinuar el uso de Flash en su plataforma. Facebook ya soporta HTML5 en navegadores modernos sin necesitad de Flash.<br />
<br />
Si esto continua tomando impulso será un gran avance hacia eliminar Adobe Flash. Así se realizaría el deseo que planteó Steve Jobs hace algunos años en una <a href="https://www.apple.com/hotnews/thoughts-on-flash/">larga nota</a> que hizo al respecto de Flash.<br />
<br />
Por último Jason de F-Secure <a href="http://safeandsavvy.f-secure.com/2015/07/10/3-ways-to-make-adobe-flash-less-annoying-andor-risky/">describe en una concisa nota</a> 3 formas de tomar el tema de Flash para estar más seguros o con menos riesgo: 1) desinstalándolo 2) asegurándose que se auto-actualice 3) usando la autorización con un clic cada vez que sea necesario su uso.<br />
<br />
Está claro que Adobe Flash permanece aún en la medida que las compañías con portales o plataformas web no desean incurrir en el <b>gasto y esfuerzo</b> de reprogramar lo que ya les funciona con Flash por una <b>tecnología más moderna y con menos riesgos como HTML5</b> .<br />
<br />
Pero el alto impacto que empiezan a sentir por requerirle al usuario el uso de Flash, un <i>plugin</i> visible y públicamente <b>riesgoso</b>, está empezando a torcer voluntades, y esperamos, se empezará a ver cada vez más como una acertada decisión de negocios.<br />
<br />
<b><a href="https://twitter.com/rfb_">Raúl</a> de la redacción de <a href="http://www.segu-info.com.ar/">Segu-Info</a></b>Unknownnoreply@blogger.com3tag:blogger.com,1999:blog-14423462.post-13298321316175624432015-07-14T18:10:00.003-03:002015-07-14T18:10:22.369-03:00Firefox bloquea Flash por defecto (al fin!)Debido a las vulnerabilidades y exploits <a href="http://blog.segu-info.com.ar/2015/07/segundo-exploit-0-day-de-flash-de-nuevo.html" rel="nofollow">recientemente descubiertos</a> en <a href="http://blog.segu-info.com.ar/2015/07/vulnerabilidad-0-day-en-flash-player.html" rel="nofollow">Flash Player</a>, este software ahora estará bloqueado por defecto en todas las versiones del navegador Mozilla Firefox.<br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" height="105" src="https://support.cdn.mozilla.net/media/uploads/gallery/images/2015-02-19-13-37-10-dbc0aa.png" width="580" /></div>
<br />
Adobe lo único que ha dicho es que <i>"se toma la seguridad de Flash 'en serio'"</i>. Esta frase parece un chiste, luego de 10 años de ser una de las aplicaciones más vulnerables que existe, <a href="http://blog.segu-info.com.ar/2015/07/0-day-en-java-esperamos-el-parche.html" target="_blank">junto a Java</a>.<br />
<br />
En sus páginas <a href="https://support.mozilla.org/en-US/kb/set-adobe-flash-click-play-firefox" rel="nofollow" target="_blank">Mozilla dice</a> que <i>"bloqueará Flash hasta que Adobe lance una versión actualizada y solucione los problemas conocidos de seguridad críticos"</i>.<br />
<br />
Las vulnerabilidades y <i>exploits</i> descubiertos en los documentos <a href="http://blog.segu-info.com.ar/2015/07/la-empresa-hacking-team-hackeada-400gb.html" target="_blank">robados a Hacking Team</a>, ya han sido agregados rápidamente a los paquetes y <i>Exploit Kits</i>, que son utilizados por muchos delincuentes para apoderarse de los sistemas de las víctimas.<br />
<br />
Algunos <a href="https://twitter.com/alexstamos/status/620306643360706561" rel="nofollow" target="_blank">especialistas afirman</a> que "<i>ya es hora de que Adobe anuncie el fin del ciclo de vida de Flash"</i>. Ojalá se cumpla.<br />
<br />
<b>Cristian de la Redacción de <a href="http://www.segu-info.com.ar/" target="_blank">Segu-Info</a></b>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com2tag:blogger.com,1999:blog-14423462.post-39460926166475040182015-07-14T10:32:00.000-03:002015-07-17T09:23:48.969-03:00Tu próxima foto de Facebook, está en el padrón nacional (Actualizado)En estos días la <a href="http://www.electoral.gov.ar/" rel="nofollow" target="_blank">Cámara Nacional Electoral (CNE)</a> ha publicado el nuevo <a href="http://padron.gob.ar/" rel="nofollow" target="_blank">padrón electoral</a>, donde nuevamente (<a href="http://blog.segu-info.com.ar/2013/10/descargar-todas-las-fotos-del-padron.html" rel="nofollow" target="_blank">como en el 2013</a>) se insiste con la publicación de la imagen de los ciudadanos argentinos, al momento de realizar una consulta sobre el lugar donde corresponde votar. Esto le ocurre a cada ciudadano que haya actualizado su documento y haya sido ingresado en el sistema con su fotografía.<br />
<div class="separator" style="clear: both; text-align: center;">
<img src="http://1.bp.blogspot.com/-3biVONX9zs8/VaUKUvIp-II/AAAAAAAAO3U/JEPpOFcTw0s/s1600/luisana.png" style="margin-left: 1em; margin-right: 1em;" /></div>
La pregunta clave: <b>¿Es necesario? ¿Es indispensable a los fines del padrón?</b> La respuesta en principio aparece como negativa, toda vez que la imagen no es dato necesario para poder ejercer el derecho el sufragio. Prueba de esto es quien no haya actualizado su DNI, puede votar sin necesidad de que su foto haya sido cargada en el sistema. <br />
<br />
En términos de la <a href="http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/texact.htm" rel="nofollow" target="_blank">Ley 25.326 de Protección de Datos Personales </a>(art. 4 LPDP - Calidad del Dato), la imagen a los fines del padrón electoral no parece ser un dato pertinente y a su vez sí aparece como excesivo. En todo caso, si su fundamento es evitar que a través de un fraude en la identidad, alguna persona utilice un DNI alterado para ir a votar, su respuesta podría haber sido que la imagen exista como dato en las planillas de votación, pero no que estén abiertamente publicados en Internet, más aún sin las medidas de seguridad que corresponden de acuerdo a la normativa vigente (art. 9 LPDP). <br />
<br />
<b>En relación a la pregunta inicial, la respuesta parece evidente: No, no es necesario a los fines del padrón electoral, la puesta a disposición pública de la imagen del ciudadano.</b><br />
<br />
Una segunda pregunta sería: <b>¿La publicación de la imagen de un ciudadano por parte del Estado, es legal?</b> En Argentina, el derecho a la imagen reconoce protección a través de distintos instrumentos jurídicos. Entre ellos podemos encontrar el Art. 31 de la <a href="http://infoleg.mecon.gov.ar/infolegInternet/anexos/40000-44999/42755/texact.htm" rel="nofollow" target="_blank">Ley 11.723</a> de Derechos de Autor. En dicho texto, se establece como excepción: el principio es que la imagen pertenece a su titular, y no se puede publicar sin su consentimiento que <i>"Es libre la publicación del retrato cuando se relacione con fines científicos, didácticos y en general culturales, o con hechos o acontecimientos de interés público o que se hubieran desarrollado en público"</i>. <br />
<br />
Es importante aclarar que en el caso del padrón electoral, no existe ninguna de estas finalidades determinadas por la ley como excepciones. De hecho, este análisis es una adecuada puerta de entrada sobre la interpretación del problema a la luz de la <a href="http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/texact.htm" rel="nofollow" target="_blank">Ley 25.325 de Protección de Datos Personales</a>, otro de los instrumentos jurídicos aplicables para la protección de la imagen. De acuerdo al concepto amplio de dato personal del art. 2 de la citada ley, <b>la imagen ES sin lugar a dudas un dato personal</b>, gozando de las protecciones que brinda la normativa. <br />
<br />
Debemos recordar que de acuerdo al art. 5 de la LPDP, <b>el principio es que los datos personales sólo pueden ser tratados lícitamente cuando el titular hubiere prestado consentimiento libre, expreso e informado.</b> Es interesante señalar que el inc. 2 de este artículo detalla algunos casos excepcionales donde NO se necesita consentimiento.<br />
<br />
Puntualmente, y pensándose en los datos del padrón electoral, se incluyó en el inc. c a aquellos <i>"listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio"</i>. Como puede observarse, <b>aquí no se detalla la imagen</b> entre los datos exceptuados de consentimiento, de manera que su incorporación y publicación irrestricta en modo público, puede interpretarse como ilícito, por no contarse con el consentimiento de sus titulares. <b>Es decir, volviendo a la pregunta raíz de todo este análisis jurídico, puede concluirse como ILÍCITA la publicación de la imagen de un ciudadano sin contar con su consentimiento. Hasta aquí, la Justicia Nacional Electoral viola la Ley 25.326 de Protección de Datos Personales.</b> <br />
<br />
Como dato extra, vale aclarar que el hecho que la propia normativa establezca la excepción al pedido de consentimiento para los datos del padrón electoral (donde ya vimos que la imagen no se encuentra en el listado textualmente enunciado de la norma) no implica que eso sea una excepción a cumplir con todo los demás principios obligatorios que establece la propia normativa (inscripción, confidencialidad, seguridad, etc.). A esto hay que sumarle que la fotografía se encuentra publicada en alta resolución, lo que facilita el uso de la misma para fines delictivos (por ejemplo suplantación de identidad).<br />
Además, el tamaño de estas imágenes en esa resolución (700px x 900px) simplemente hace que el sitio sea más pesado e incluso facilite una posible Denegación de Servicio (DoS).<br />
<div class="separator" style="clear: both; text-align: center;">
<img border="0" src="http://3.bp.blogspot.com/-UN6NdhkQ6t8/VaL2HTj9III/AAAAAAAAO2Y/pHR8rsRKQ2M/s1600/padron.png" /></div>
<b>Dicha base de datos, de acuerdo a las consultas realizadas hasta el momento de la publicación de este artículo, no se encontraba disponible en el <a href="https://www.sitioseguro.jus.gov.ar/dnpdp/acceso/index.epl">sistema de consultas de la Dirección Nacional de Protección de Datos Personales</a>.</b><br />
<br />
Por último, una pregunta válida de cualquier ciudadano argentino sería: <b>¿Tengo el derecho de solicitar la supresión de mi imagen de la base de datos del padrón electoral? El derecho existe</b>, lo que no podemos asegurar es su cumplimiento, algo que excede a los autores de esta nota. Para ejercerlo, sería necesario completar el siguiente <a href="http://www.jus.gob.ar/media/79717/form_rectificacion.doc">FORMULARIO PARA LA RECTIFICACIÓN, ACTUALIZACIÓN O SUPRESIÓN DE DATOS PERSONALES INCLUIDOS EN BANCOS DE DATOS</a>, completando con los datos del titular que ejerce los derechos. <b>Lamentablemente, al no encontrarse el padrón electoral inscripto como base de datos personales (cuestión que consideramos que debería estar) no quedan claros los datos del Responsable de la Base de Datos, que claramente sería el Estado.</b><br />
<br />
<center>
<iframe allowfullscreen="" frameborder="0" height="345" src="https://www.youtube.com/embed/tA8S7RU-T6g" width="580"></iframe></center>
<br />
Para completar el artículo con una yapa técnica, y adaptando una frase conocida de que <i>"Nadie es tan feo como en la foto del Padrón ni tan lindo como en su foto de perfil"</i>, a continuación <a href="https://www.youtube.com/watch?v=tA8S7RU-T6g" rel="nofollow" target="_blank">explicamos en un video cómo acceder a la foto del padrón en alta calidad</a>, para guardarla y ponerla como foto de perfil, al fin y al cabo la foto es tuya y no del Estado.<br />
<br />
<b>Nota:</b> desde <a href="http://www.segu-info.com.ar/" target="_blank">Segu-Info</a> hemos intentado, en repetidas ocasiones, ponernos en contacto con las autoridades del sitio, sin resultados.<br />
<br />
<b>Actualización 14/07 - 03:39hs</b>: durante el día de hoy, el sitio ha sufrido intermitencias y ha mostrado diferentes errores.<br />
<br />
<b>Actualización 16/07 - 10:00hs:</b> cumpliendo la Ley vigente, las fotos parecen haber sido eliminadas.<br />
<br />
<b>Actualización 16/07 - 12:00hs:</b> <a href="http://www.unoentrerios.com.ar/laprovincia/Quitan-las-fotos-de-ciudadanos-del-padron-electoral-nacional-20150716-0012.html">DiarioUNO se hace eco de la noticia</a>.<br />
<br />
<b>Abog. Marcerlo Temperini - <a href="http://twitter.com/mgitemperini" rel="nofollow" target="_blank">@mgitemperini</a><br />
AIA Maximiliano Macedo - <a href="http://twitter.com/ydea2" rel="nofollow" target="_blank">@ydea2</a><br />
Lic. Cristian Borghello - <a href="http://twitter.com/seguinfo" target="_blank">@seguinfo</a> </b>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com2tag:blogger.com,1999:blog-14423462.post-26847103179739072152015-07-14T08:26:00.000-03:002015-07-16T09:47:06.031-03:000-Day en Java. Esperamos el parche<div class="separator" style="clear: both; text-align: center;">
<img height="112" src="http://1.bp.blogspot.com/-HmCYss7b8M4/VaR0JVqy92I/AAAAAAAAO3A/Ny5VnzuRGRs/s320/java.jpg" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" width="320" /></div>
En solo unos días, nos encontramos con <a href="http://blog.segu-info.com.ar/2015/07/vulnerabilidad-0-day-en-flash-player.html" rel="nofollow" target="_blank">dos</a> <a href="http://blog.segu-info.com.ar/2015/07/segundo-exploit-0-day-de-flash-de-nuevo.html" rel="nofollow" target="_blank">0-Day de Adobe Flash Player</a> y también una<a href="http://blog.segu-info.com.ar/2015/07/nueva-vulnerabilidad-critica-en-openssl.html" rel="nofollow" target="_blank"> vulnerabilidad critica de Open SSL</a>.<br />
Casi como era de esperarse, ahora le toca el turno del 0-Day a Java. En este caso la única versión afectada es la <a href="http://www.oracle.com/technetwork/java/javase/8u-relnotes-2225394.html" rel="nofollow" target="_blank">1.8.0.45</a>, no siendo vulnerables las versiones 1.6 y 1.7 respectivamente. La vulnerabilidad permitiría ejecución de código remoto y aun no tiene parche disponible.<br />
<br />
Según <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-trend-micro-discovers-new-java-zero-day-exploit/" rel="nofollow" target="_blank">informan los investigadores de Trend Micro</a>, La vulnerabilidad esta siendo explotada en estos momentos por la <a href="http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf" rel="nofollow" target="_blank">Operación Pawn-Storm</a> contra miembros de la OTAN y la Casa<br />
Blanca en abril. Oracle ya se encuentra trabajando para resolver el fallo.<br />
<br />
Los <i>exploits 0-day</i> en Java son tan comunes que en el sitio <a href="http://java-0day.com/">http://java-0day.com/</a> cuentan la cantidad de días desde la aparición del último exploit (en este momento el contador está en 3). Aquí, además recomiendan <a href="http://www.java.com/en/download/help/disable_browser.xml" target="_blank">cómo desactivar Java y evitar utilizarlo</a>.<br />
<br />
Y, Trend <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/how-to-use-java-if-you-must/" rel="nofollow" target="_blank">recomienda la forma de utilizarlo</a>, en el caso que no quede alternativa como usarlo si es necesario.<br />
<br />
<b>Actualización 16/07:</b> ya se encuentra disponible la actualización <a href="http://java.com/es/download/installed8.jsp" rel="nofollow" target="_blank">1.8.0.51</a><br />
<br />
<a href="http://twitter.com/adolfofioranell" rel="nofollow" target="_blank">@adolfofioranell</a> de la Redacción de <a href="http://www.segu-info.com.ar/" target="_blank">Segu-Info</a>Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-81445440891410431212015-07-13T14:18:00.000-03:002015-07-13T14:57:32.137-03:00Vulnerabilidad en OpenSSH <= 6.8 y BIND 9.X<img src="http://1.bp.blogspot.com/--2PxaAtpRMA/VaLLda31bII/AAAAAAAAO2E/b7Cy3fv6n4g/s1600/openssh.jpg" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" />Se ha encontrado una <a href="https://thejh.net/written-stuff/openssh-6.8-xsecurity">vulnerabilidad de seguridad en OpenSSH <= 6.8</a> que permitiría a servidores maliciosos saltarse algunas restricciones de seguridad X11. La vulnerabilidad ha sido identificada como <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5352">CVE-2015-5352</a>.<br />
<br />
Después de que un cliente se conecta a un servidor X, es necesario autenticarlo. Esto se puede hacer especificando información de autenticación explícita: en la práctica, esto generalmente significa utilizar MIT-MAGIC-COOKIE-1, que requiere al usuario una "cookie" de autenticación al servidor. Pero, también puede hacerse implícitamente: por ejemplo, para una conexión local, el servidor podría dejar ingresar cliente basándose sólo en su UID.<br />
<br />
Curiosamente, el servidor X realiza de nuevo una autenticación implícita, incluso si el cliente ha especificado explícitamente datos de autentificación no válidos. Hace unos días, OpenSSH ha publicado la <a href="http://www.openssh.com/txt/release-6.9">versión 6.9</a> que soluciona la vulnerabilidad y es recomendable actualizar inmediatamente.<br />
<br />
Además, <a href="https://kb.isc.org/article/AA-01267/">ISC ha liberado una nueva versión del servidor DNS BIND</a>. Esta versión corrige un error que podría causar una denegación de servicio a través de una consulta especialmente manipulada.<br />
<br />
El problema, con <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4620" rel="nofollow" target="_blank">CVE-2015-4620</a>, afecta a servidores BIND configurados para realizar validaciones DNSSEC.Se ven afectadas las versiones BIND 9.7.1 a BIND 9.7.7, 9.80 a 9.8.8, 9.9.0 a 9.9.7 y 9.10.0 a 9.10.2-P1.<br />
<br />
Fuente: <a href="https://thejh.net/written-stuff/openssh-6.8-xsecurity">Jann Horn</a> e <a href="http://unaaldia.hispasec.com/2015/07/denegacion-de-servicio-en-bind-9.html">Hispasec</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-17458857224534595472015-07-12T15:34:00.000-03:002015-07-14T11:15:33.614-03:00Segundo exploit 0-Day de Flash (de nuevo de Hacking Team)Luego de los <a href="http://blog.segu-info.com.ar/2015/07/la-empresa-hacking-team-hackeada-400gb.html">cientos de gigas filtrados recientemente de la empresa italiana Hacking Team</a>, ha aparecido el segundo exploit 0-Day de Flash. El <a href="http://blog.segu-info.com.ar/2015/07/vulnerabilidad-0-day-en-flash-player.html">primero había aparecido</a> tan solo un día después de la filtración.<br />
<br />
La vulnerabilidad crítica es un nuevo bug <a href="https://www.fireeye.com/blog/threat-research/2015/07/cve-2015-5122_-_seco.html" rel="nofollow" target="_blank">Use-After-Free() y ha sido identificada como CVE-2015-5122</a>. Según el investigador Dhanesh Kizhakkinan de FireEye es similar a la vulnerabilidad CVE-2015-5119 parcheada la semana pasada y que permite ejecución de código.<br />
<br />
<i>"El <a href="http://malware.dontneedcoffee.com/2015/07/cve-2015-5122-hackingteam-0d-two-flash.html" rel="nofollow" target="_blank">código de explotación ya está disponible en línea</a>, permitiendo a un atacante remoto ejecutar código malicioso en los equipos de las víctimas e instalar malware"</i>, <a href="https://helpx.adobe.com/security/products/flash-player/apsa15-04.html">dijo Adobe</a>.<br />
<br />
La vulnerabilidad está presente en la última versión de Adobe Flash Player 18.0.0.204 y versiones anteriores para Windows, Linux y OS X.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://pbs.twimg.com/media/CJleg4sVAAQUyNf.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="342" src="https://pbs.twimg.com/media/CJleg4sVAAQUyNf.png" width="580" /></a></div>
El código ya <a href="https://twitter.com/w3bd3vil/status/619630344078135296">fue publicado</a>, <a href="https://github.com/rapid7/metasploit-framework/pull/5698">integrado en Metasploit</a> y será integrado en los Exploit Kits en horas. Una vez más aconsejamos desinstalar Flash o desactivar el software hasta que la empresa parchee este fallo crítico.<br />
<br />
De otra forma recomendamos utilizar la herramienta gratuita <a href="https://support.microsoft.com/kb/2458544/es" rel="nofollow" target="_blank">EMET</a>, la cual detectará el comportamiento del <i>exploit</i> y lo bloqueará, como se muestra a continuación:<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-A0__QQE1hqM/VaJu4bdlR_I/AAAAAAAAO10/RkPz0Husgwo/s1600/flash-emet.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-A0__QQE1hqM/VaJu4bdlR_I/AAAAAAAAO10/RkPz0Husgwo/s1600/flash-emet.png" /></a></div>
Como podemos ver en este caso no se ejecuta la calculadora, como sucedía anteriormente.<br />
<br />
<b>Actualización 14/07:</b> ha aparecido un <a href="http://thehackernews.com/2015/02/adobe-flash-zero-day-vulnerability_2.html" rel="nofollow" target="_blank">tercer exploit 0-Day en Adobe Flash Player</a> identificado como CVE-2015-0313 y que afecta a la versión 16.0.0.296 y anteriores.<br />
<br />
Fuente: <a href="http://thehackernews.com/2015/07/hacking-flash-player-exploit.html">The Hacker News</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-19097965615977793522015-07-12T10:15:00.000-03:002015-07-12T20:23:45.568-03:00Hacking Team reconoce y advierte el grave peligro resultante del ataque del que fue víctima<div class="tr_bq">
Tal como quedó en evidencia, el ataque y publicación de la información robada a HackingTeam abrió una <a href="https://es.wikipedia.org/wiki/Caja_de_Pandora">Caja de Pandora</a>. A continuación traducimos el último <a href="http://www.hackingteam.it/index.php/about-us">comunicado de HackingTeam</a> publicado al respecto en su sitio web. </div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-_G4WP4oO-pA/VaHq004P5VI/AAAAAAAAZKg/kPcdgJw2co8/s1600/the-hacking-team-hacked-docs-leaked.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="180" src="http://1.bp.blogspot.com/-_G4WP4oO-pA/VaHq004P5VI/AAAAAAAAZKg/kPcdgJw2co8/s320/the-hacking-team-hacked-docs-leaked.jpg" width="320" /></a></div>
<br />
<i><span style="font-family: Times, Times New Roman, serif;">Información relacionada con los ataques a HackingTeam el 6 de Julio de 2015</span></i><br />
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>Revisado el 8 de julio de 2015</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>Ahora es evidente que existe una grave amenaza por causa de la publicación realizada, por los cibercriminales en Internet, del software propietario de HackingTeam la noche del 6 de julio. La investigación de HackingTeam ha determinado que <b>se publicó suficiente código para permitir que cualquiera pueda utilizar ese software contra cualquier objetivo</b>.</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>Ante del ataque, HackingTeam podía controlar quién tenía acceso a la tecnología que fue vendida exclusivamente a gobiernos y agencias de gobierno. Ahora, debido al trabajo de los criminales,<b> esa capacidad de controlar quien usa esa tecnología se ha perdido</b>. <b>Terroristas, extorsionadores y otros pueden usar esta tecnología a voluntad, en la medida que tengan la habilidad técnica para hacerlo</b>.</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>Creemos que esta es una situación extremadamente peligrosa.</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>HackingTeam esta evaluando si es posible mitigar el peligro. <b>Esperamos también que las compañías antivirus estén actualizando sus programas para detectar el sistema de control remoto (RCS) comprometido.</b></i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>###</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>Los ingenieros de HackingTeam están trabajando contra reloj para proveer una actualización del Sistema de Control Remoto (RCS) que permitirá a los clientes continuar con las investigaciones criminales y de inteligencia.</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>En respuesta al pedido de HackingTeam, virtualmente todos los clientes han suspendido el uso de los sistemas que fueron comprometidos en el ataque.</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>Han habido informes respecto que HackingTeam tiene "puertas traseras" en sus sistemas que nos permitirían tomar control remotamente. Esto sencillamente no es verdad. Los clientes operan nuestra tecnología en sus propios sistema de computación, y de esa forma son los clientes los que deben tomar la acción de suspender las operaciones.</i></span></div>
<div>
<span style="font-family: Times, Times New Roman, serif;"><i><br />
</i> <i>###</i></span><b><br />
</b> <b><br />
</b> <b>Traducción: <a href="https://twitter.com/rfb_">Raúl Batista</a> - <a href="http://www.segu-info.com.ar/">Segu-Info</a></b><br />
<br /></div>
Unknownnoreply@blogger.com4tag:blogger.com,1999:blog-14423462.post-88647390082837081282015-07-11T10:43:00.000-03:002015-07-12T17:27:37.195-03:00Argentina involucrada en el affaire Hacking TeamUna vez que se conoció la noticia sobre la <a href="http://blog.segu-info.com.ar/2015/07/la-empresa-hacking-team-hackeada-400gb.html" target="_blank">intrusión a la cuestionada empresa "Hacking Team" la madrugada del pasado lunes 6 de Julio</a>, se pudo acceder a una gran cantidad de información, 400 GB para ser precisos, donde se podía ver todo tipo de archivos, <i>mails</i>, <i>exploits</i>, etc. Pero una de las cosas que mas ruido hizo fue la lista de clientes que esta organización tenía, entre ellas, muchos gobiernos y <a href="http://blog.segu-info.com.ar/2015/07/paises-latinos-que-usaban-hacking-team.html" target="_blank">agencias de Inteligencia Latinoamericanas</a>. <br />
<br />
En todas las noticias que se han publicado hasta ahora, no se había observado relación con el gobierno de Argentina (si con Chile, Colombia, México, etc); pero desde que recientemente Wikileaks hizo una indexación de todos los correos divulgados, es que empezaron a verse algunas cosas interesantes. <br />
<br />
Buscando en profundidad, se puede observar que hay una persona interesada en contratar servicios de #HackingTeam para la "nueva agencia de inteligencia de Argentina" (en referencia a la recientemente conformada Agencia Federal de Inteligencia, AFI), tal como puede apreciarse en este correo, cuyo remitente dice representar al Gobierno Argentino. Luego se entiende que representa una empresa de tecnología y vigilancia (TAMCE) que negocia con el Gobierno Argentino y esta interesado en una demostración de un 0-Day utilizado en los productos RCS (Remote Control System) y que habían sido visto en las conferencias de <a href="http://www.issworldtraining.com/ISS_EUROPE/" rel="nofollow" target="_blank">ISS (Intelligence and Support System)</a>:<br />
<div class="separator" style="clear: both; text-align: center;">
<img height="246" src="http://1.bp.blogspot.com/-UuVpHoflXvc/VaAphHopawI/AAAAAAAAO1A/lAZP4DI1izM/s1200/hacking-team-argentina1.png" style="margin-left: 1em; margin-right: 1em;" width="580" /></div>
<b>Nota:</b> ISS es el centro de reunión más grande de agentes de la ley, inteligencia y analistas de seguridad así como los operadores de telecomunicaciones encargados de la interceptación legal, investigaciones electrónicas de alta tecnología y recolección de inteligencia en la red.<br />
<br />
Aquí otro email donde le responden concretamente sobre el interés de trabajar con AFI y destacándose por sobre la empresa Israelí NSO:<br />
<div class="separator" style="clear: both; text-align: center;">
<img height="183" src="http://1.bp.blogspot.com/-Rox-iwFBIqw/VaEcb3r8zuI/AAAAAAAAO1Q/ClW3k47g17g/s1200/hacking-team-argentina4.png" style="margin-left: 1em; margin-right: 1em;" width="580" /></div>
<br />
En otro de los emails que se encuentra dentro del <i>leak</i>, se puede ver la intención de una reunión en BsAs con miembros del grupo:<br />
<div class="separator" style="clear: both; text-align: center;">
<img height="264" src="http://3.bp.blogspot.com/-SzOswu88_cI/VaEcnhJ-K8I/AAAAAAAAO1Y/tFR5GmX1URo/s640/hacking-team-argentina2.png" style="margin-left: 1em; margin-right: 1em;" width="580" /></div>
<br />
Los <i>leaks</i> pueden verse en los siguientes correos: <a href="https://wikileaks.org/hackingteam/emails/emailid/4221">4221</a>, <a href="https://wikileaks.org/hackingteam/emails/emailid/4524">4524</a>, <a href="https://wikileaks.org/hackingteam/emails/emailid/4519">4519</a>, <a href="https://wikileaks.org/hackingteam/emails/emailid/4528">4528</a>, <a href="https://wikileaks.org/hackingteam/emails/emailid/1088127">1088127</a>, <a href="https://wikileaks.org/hackingteam/emails/emailid/1088185">1088185</a>. <br />
<br />
No es sorpresa desde ya que esta relación exista, de hecho ni siquiera estos correo son una prueba irrefutable ni mucho menos. Solo deja el manto de duda del real interés en la potencial utilización de <i>exploits</i> y <i>Zero-Days</i>, que esperemos sean para los fines reales de la Agencia y no para el espionaje masivo de ciudadanos.<br />
<br />
<b>Actualización:</b> <a href="http://tecnovortex.com/hacking-team-argentina/" rel="nofollow" target="_blank">TecnoVortex ha hecho un seguimiento del caso</a>.<br />
<br />
<b>Actualización:</b> el <a href="http://www.perfil.com/politica/Parrilli-negocio-la-compra-de-un-sofisticado-material-para-espiar-celulares-y-computadoras-20150711-0024.html" rel="nofollow" target="_blank">diario Perfil cuenta la relación entre Hacking Team y el gobierno Argentino</a>. <br />
<br />
<b>Redacción de <a href="http://www.segu-info.com.ar/" target="_blank">Segu-Info</a></b>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-87496186305783529602015-07-09T16:49:00.000-03:002015-07-09T16:07:06.813-03:00Nueva vulnerabilidad crítica en OpenSSL (Parchea!)<img src="http://1.bp.blogspot.com/-B1dkQrOEPiM/VZu8zkaKILI/AAAAAAAAOzg/HZqBg7EyrmM/s1600/openssl.png" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" />El equipo de <a href="https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html">OpenSSL anunció</a> que mañana jueves 9 de julio se pondrá a disposición nueva versión de OpenSSL 1.0.2d y 1.0.1p, la cual soluciona una vulnerabilidad de seguridad clasificada como de "alta severidad".<br />
<br />
Si bien no se conocen más detalles sobre la vulnerabilidad, se sabe que la misma <u>no</u> afecta a la serie 1.0.0 y 0.9.8.<br />
<br />
Algunos expertos han especulado que este error podría ser otro como <a href="http://blog.segu-info.com.ar/search/?q=Heartbleed" target="_blank">Heartbleed</a> o <a href="http://blog.segu-info.com.ar/search/?q=poodle" target="_blank">POODLE</a>. Sin embargo, muchas otras vulnerabilidades de severidad alta ya se corrigieron en marzo de este año -incluida <a href="http://blog.segu-info.com.ar/search/?q=freak" target="_blank">FREAK</a>-, sin que las cosas llegaran a ser tan graves.<br />
<br />
<b>Actualización 09/07:</b> luego de publicados los detalles, la "misteriosa" vulnerabilidad requiere acción inmediata de los sysadmins ya que pemitiría ataques Man-in-the-Middle e impersonalizar sitios protegidos (SSL), VPN, servidores de correo y cualquier conexión que utilice esta librería criptográfica. Por lo que el problema afecta a clientes Transport Layer Security (TLS), Secure Sockets Layer (SSL) y DTLS y servidores SSL/TLS/DTLS.<br />
<br />
La vulnerabilidad identificada como CVE-2015-1793 corresponde a un problema en el proceso de verificación del certificado, lo cual llevaría a confiar en certificados fraudulentos.<br />
<br />
La vulnerabilidad fue descubierta por Adam Langley y David Benjamin del proyecto Google <a href="http://blog.segu-info.com.ar/search/?q=boringSSL">BoringSSL</a>, la implementación propia que Google hizo de OpenSSL. <br />
<br />
La falla afecta a OpenSSL versiones 1.0.1n, 1.0.2b, 1.0.2c, y 1.0.1o. Es recomendable actualizar a 1.0.2d y 1.0.1p respectivamente.<br />
<br />
<b>Cristian de la Redacción de <a href="http://www.segu-info.com.ar/" target="_blank">Segu-Info </a></b>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-90891825461972269052015-07-09T09:12:00.000-03:002015-07-09T09:12:00.092-03:00Condenan por realizar ataques DDoS a miembro de Lizard Squad<a href="http://thehackernews.com/2015/01/two-lizard-squad-hackers-arrested-after.html">Según autoridades finlandesas</a>, Julius "zeekill" Kivimaki (17), uno de los presuntos miembros del <a href="http://blog.segu-info.com.ar/search/?q=Lizard%20Squad">Lizard Squad</a>, que se responsabilizó por el ataque a <a href="http://blog.segu-info.com.ar/search/?q=xbox">Sony PlayStation Network y Xbox Live de Microsoft</a> a finales del pasado año, <a href="http://www.kaleva.fi/uutiset/kotimaa/17-vuotias-tuomittiin-murtautumisesta-yli-50-000-palvelimelle/701586/">ha sido condenado</a> a dos años de prisión suspendida por realizar ataques cibernéticos. Los <b>50.700 cargos</b> contra Kivimaki incluyen violaciones de datos, acosos de telecomunicaciones, fraude de pago y otros cargos relacionados con fraude y violación de secretos de empresa.<br />
<br />
<a href="http://images.eurogamer.net/2013/articles/1/7/6/6/8/0/8/143634132998.png/EG11/resize/300x-1/quality/80/format/jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" src="http://images.eurogamer.net/2013/articles/1/7/6/6/8/0/8/143634132998.png/EG11/resize/300x-1/quality/80/format/jpg" height="300" width="320" /></a>La banda realizó ataques masivo de denegación de servicio (DDoS) contra las mayores redes de juegos en línea, PlayStation Network y Xbox Live, el 25 de diciembre de 2014. Además, ofreció vender su propia herramienta de DDoS para promocionar al grupo Lizard Squad.<br />
<br />
Bajo el alias de "Ryan", el adolescente participó en una entrevista con la televisora U.K. Sky News, afirmando abiertamente que él era un miembro del grupo Lizard Squad y que estaban llevando a cabo los ataques contra Xbox Live y PlayStation Network. Los ataques DDoS fueron detenidos finalmente por el fundador de MegaUpload Kim Dotcom, quien ofreció $300.000 en calidad soborno.<br />
<br />
Fuente: <a href="http://thehackernews.com/2015/07/lizard-squad-hacking.html" target="_blank">Hacker News</a> <br />
<br />
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-15764892233648210852015-07-07T11:19:00.000-03:002015-07-12T10:36:28.275-03:00Vulnerabilidad 0-Day en Flash Player (Desactívalo)<div class="separator" style="clear: both; text-align: center;">
<img src="http://1.bp.blogspot.com/-ZW8SSxny63Q/VZvRWonqs9I/AAAAAAAAOzw/KfYuZP93etk/s1600/adobe-flash-zero-day-header_2.jpg" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" /></div>
Symantec ha confirmado la existencia de una nueva <a href="http://www.symantec.com/connect/blogs/leaked-flash-zero-day-likely-be-exploited-attackers">vulnerabilidad 0-Day en Adobe Flash</a> que podría permitir a los atacantes ejecutar código en forma remota. La vulnerabilidad se hizo pública en el paquete de <a href="http://blog.segu-info.com.ar/2015/07/la-empresa-hacking-team-hackeada-400gb.html">400GB robados de Hacking Team</a> el pasado domingo y es probable que los atacantes la comiencen a explotar antes de que se publica el parche.<br />
<br />
El <a href="http://malware.dontneedcoffee.com/2015/07/hackingteam-flash-0d-cve-2015-xxxx-and.html" rel="nofollow" target="_blank">código de la prueba de concepto para explotar la vulnerabilidad</a> era parte de la gran cantidad de archivos con información interna que se filtró. Dado el origen del código, es posible que esta vulnerabilidad ya haya sido explotada anteriormente y, tras su divulgación, puede esperarse que distintos grupos de delincuentes la incorporen en sus <i>exploit kits</i>.<br />
<br />
El análisis de Symantec ha confirmado la existencia de esta vulnerabilidad en una versión completamente parcheada de Adobe Flash (18.0.0.194) con Internet Explorer. <br />
<br />
Mientras se publica la actualización, los usuarios pueden deshabilitar temporalmente Adobe Flash en el navegador. O, mejor aún, desinstalarlo e instalar alternativas como <a href="https://github.com/mozilla/shumway/" rel="nofollow" target="_blank">Shumway</a>.<br />
<br />
<b>Actualización:</b> más información en el sitio de <a href="https://www.kb.cert.org/vuls/id/561288" rel="nofollow" target="_blank">US-CERT</a>. Mientras tanto se puede utilizar <a href="http://blog.segu-info.com.ar/2014/11/microsoft-publica-emet-51-pruebalo.html">EMET</a> para detectar y prevenir el <i>exploit</i>. <br />
<br />
<b>Actualización:</b> Adobe ha publicado un <a href="https://helpx.adobe.com/security/products/flash-player/apsb15-16.html">boletín informativo con la actualización 18.0.0.203 y 13.0.0.302</a>.<br />
<br />
Fuente: <a href="http://www.symantec.com/connect/blogs/leaked-flash-zero-day-likely-be-exploited-attackers" rel="nofollow" target="_blank">Symantec</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-4929150737770110192015-07-06T15:57:00.001-03:002015-07-12T10:16:03.510-03:00La empresa Hacking Team, hackeada (400GB filtrados)<a href="http://surveillance.rsf.org/en/hacking-team/">Hacking Team</a>, una empresa que ayuda a los gobiernos a hackear a los ciudadanos, ha sido hackeada. En una serie de tweets de la cuenta de Twitter comprometida de la empresa, atacantes desconocidos parecen haber revelado embarazosos correos electrónicos internos y un <a href="http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html" rel="nofollow" target="_blank">archivo Torrent con 400GB</a> con archivos internos, código fuente y sus comunicaciones. <br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-i8xkAuOe560/VZrOeEhmIEI/AAAAAAAAOzQ/g18tCO0BQGQ/s1600/Hacking_Team.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="373" src="http://3.bp.blogspot.com/-i8xkAuOe560/VZrOeEhmIEI/AAAAAAAAOzQ/g18tCO0BQGQ/s400/Hacking_Team.jpg" width="400" /></a></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://pastebin.com/yaVJxgDD" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://regmedia.co.uk/2015/07/06/678657567567.jpg" /></a></div>
<br />
Es ampliamente conocido que existen varias empresas que comercializan abiertamente herramientas de seguridad ofensiva para realizar espionaje. El mercado de ciberarmas claramente está en crecimiento y según una investigación llevada a cabo por Reuters, los gobiernos son los principales compradores de estas capacidades.<br />
<br />
La empresa italiana Hacking Team cuenta con más de 40 empleados y <a href="http://www.ibtimes.co.uk/hacking-team-hacked-spy-tools-sold-oppressive-regimes-sudan-bahrain-kazakhstan-1509460">vende software de hacking a la policía y gobiernos</a> en docena de países, incluyendo los Emiratos Árabes Unidos, Etiopía, South Korea, Kazakhstan, Oman, Líbano, Mongolia y Marruecos. Un <a href="http://www.theverge.com/2015/4/15/8422477/dea-spyware-hacking-team-drug-enforcement-agency">informe reciente de la Motherboard,</a> reveló que Hacking Team también provee herramientas de software espía para la agencia antidrogas y ayuda en la implantación el software espía en teléfonos así como facilita el monitoreo de textos, correos electrónicos, contraseñas y conversaciones de sospechosos.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://core0.staticworld.net/images/article/2015/07/hackingteam_011-100594951-orig.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://core0.staticworld.net/images/article/2015/07/hackingteam_011-100594951-orig.jpg" height="233" width="580" /></a></div>
Una de sus herramientas estrellas es la conocida como <a href="https://securelist.com/blog/research/64215/adobe-flash-player-0-day-and-hackingteams-remote-control-system/">Da Vinci</a> (<a href="https://www.youtube.com/watch?v=R63CRBNLE2o">video publicitario</a>) y por eso resulta tan polémico conocer el listado de sus clientes, listados que supuestamente están ya circulando (junto con otro tipo de material confidencial como correos y código fuente) por todo Internet.<br />
<br />
Inicialmente, los archivos podían ser encontrados en <a href="http://pastebin.com/MP8zpQ26" target="_blank">Pastebin</a> y en archivos <i>Torrents</i> pero hoy <a href="https://en.wikipedia.org/wiki/Mustafa_Al-Bassam" target="_blank">Mustafa Al-Bassam</a> publicó una <a href="http://ht.transparencytoolkit.org/" target="_blank">copia con todo el contenido robado de Hacking Team</a>.<br />
<br />
Hacking Team nace en 2001 cuando un par de programadores italianos <a href="https://www.theverge.com/2013/9/13/4723610/meet-hacking-team-the-company-that-helps-police-hack-into-computers" target="_blank">llamados Alberto Ornaghi y Marco Valleri</a> publicaron una herramienta Open Source y gratuita llamada <a href="https://ettercap.github.io/ettercap/" rel="nofollow" target="_blank">Ettercap</a>. Capaz de robar contraseñas, realizar escuchas y manipular remotamente un ordenador infectado, sus técnicas evolucionaron sin límites y ahora consideran por ejemplo <a href="http://www.theverge.com/2014/8/15/6007031/hacking-team-is-spreading-government-malware-through-youtube-and">inyectar malware en servicios como YouTube</a> o Microsoft o interceptar comunicaciones en TOR. <br />
<br />
Un precedente del caso de Hacking Team es el troyano <a href="http://blog.segu-info.com.ar/search/?q=Finfisher">Finfisher</a>, puesto que la empresa desarrolladora también lo vendía a países y organizaciones de todo el mundo hasta que <a href="http://www.welivesecurity.com/la-es/2014/10/20/analisis-finfisher-wikileaks/">varias muestras y un listado de clientes fueron publicados por WikiLeaks.</a><br />
<br />
<b>Actualización 1:</b> se conoció el primer <a href="http://blog.segu-info.com.ar/2015/07/vulnerabilidad-0-day-en-flash-player.html">exploit 0-Day en Flash Player</a> utilizado por la empresa para realizar sus ataques.<br />
<br />
<b>Actualización 2:</b> según sigue apareciendo información, ahora se pudo confirmar que l<a href="http://t.co/xt4UYVdfL8" rel="nofollow" target="_blank">as contraseñas utilizadas por la empresa</a> eran <a href="https://twitter.com/micahflee/status/618134364379963392" rel="nofollow" target="_blank">muy débiles</a> e incluso en algunos de sus servidores <a href="https://twitter.com/micahflee/status/618134364379963392" rel="nofollow" target="_blank">SSH utilizaban "P4ssword" y "wolverine"</a>.<br />
<br />
<b>Actualización 3:</b> se conoció la cantidad de países involucrados y que eran clientes de Hacking Team, así como <a href="http://blog.segu-info.com.ar/2015/07/paises-latinos-que-usaban-hacking-team.html">los países América Latina</a>. <br />
<div class="separator" style="clear: both; text-align: center;">
<img height="422" src="http://3.bp.blogspot.com/-j9eREEE6_Bc/VaEduVodsmI/AAAAAAAAO1k/gNmxetNWxfM/s640/Hacking-Team-clients.jpg" style="margin-left: 1em; margin-right: 1em;" width="580" /></div>
<b>Actualización 4:</b> <a href="http://blog.segu-info.com.ar/2015/07/argentina-involucrada-en-el-affaire.html">Argentina también se encuentra involucrada</a> en el intento de compra de servicios a la empresa.<br />
<br />
<b>Actualización 5:</b> <a href="http://blog.segu-info.com.ar/2015/07/hacking-team-reconoce-y-advierte-el.html" target="_blank">Hacking Team reconoce la gravedad del asunto</a>. <br />
<br />
Fuente: <a href="http://www.welivesecurity.com/la-es/2015/07/06/filtran-400gb-de-informacion-confidencial-del-grupo-hacking-team/" rel="nofollow" target="_blank">WeLiveSecurity</a> y <a href="http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html" rel="nofollow" target="_blank">CSO Online</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-92131537442974105902015-07-06T11:55:00.000-03:002015-07-06T11:57:33.749-03:00Cursos de Ethical Hacking en Buenos Aires y Rosario<b>En el mes de julio tendré el placer de dictar dos nuevos Cursos de Introducción al Ethical Hacking y Penetration Test en la Ciudad de Buenos Aires y en Rosario respectivamente.</b><br />
<div class="separator" style="clear: both; text-align: center;">
<b><a href="http://3.bp.blogspot.com/-wdnFsM3YjxE/VZqVFwJ_cVI/AAAAAAAAOzA/hSU_5KR_-P0/s1600/ethical-hacking.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="400" src="http://3.bp.blogspot.com/-wdnFsM3YjxE/VZqVFwJ_cVI/AAAAAAAAOzA/hSU_5KR_-P0/s640/ethical-hacking.jpg" width="580" /></a></b></div>
<h3>
Curso en Ciudad de Buenos Aires</h3>
<b>Fecha y horario:</b> 21 de julio de 09 a 18hs<br />
<b>Lugar:</b> Auditorio del MUG, Rivadavia 1479, 1er Piso Oficina A. Ciudad de Buenos Aires. <br />
<div style="text-align: center;">
<span style="font-size: large;"><a href="http://www.mug-it.org.ar/Event.aspx?Event=248" rel="nofollow" target="_blank">Aranceles y Registro Buenos Aires (MUG Argentina)</a></span></div>
<h3>
Curso en Ciudad de Rosario</h3>
<b>Fecha y horario:</b> 30 de julio de 18 a 22 hs / 31 de julio de 09 a 13 hs<br />
<b>Lugar:</b> Fundación Libertad Mitre 170, Rosario.<br />
<div style="text-align: center;">
<span style="font-size: large;"><a href="http://www.centroit.org.ar/vistas/upload/news/2015/flyer_ethicalhacking_2015.html" rel="nofollow" target="_blank">Aranceles y Registro en Rosario (Fundación Libertad)</a></span></div>
<h3>
Luego de finalizado el curso será capaz de</h3>
<ul>
<li>Conocer los distintos tipos de análisis de seguridad</li>
<li>Entender las amenazas y vulnerabilidades a las que está expuesta cualquier organización</li>
<li>Conocer las metodologías de análisis de vulnerabilidades</li>
</ul>
<h3>
Contenidos: Teórico - Práctico</h3>
<ul>
<li>Introducción al Ethical Hacking</li>
<li>Crímenes por computadora</li>
<li>Conceptos introductorios para un análisis</li>
<li>Posicionamiento para realizar un análisis</li>
<li>Certificaciones relacionadas</li>
<li>Conceptos de criptografía</li>
<li>Ingeniería Social</li>
<li>Metodologías</li>
<li>Ataques pasivos vs activos</li>
<li>Reconocimiento</li>
<li>Exploración</li>
<li>Scanning</li>
<li>Enumeración</li>
<li>Explotación de vulnerabilidades</li>
<li>Man in the Middle (MitM)</li>
<li>Ataques de inyección</li>
</ul>
<br />SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-18108651201632440422015-07-04T15:09:00.000-03:002015-07-05T09:01:59.299-03:00Firefox 39 desactiva SSLv3 y RC4 (Actualiza!)<img src="https://mozorg.cdn.mozilla.net/media/img/firefox/template/header-logo.3a1dbd13f2ae.png" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;" />La organización Mozilla ha actualizado <a href="https://www.mozilla.org/en-US/firefox/39.0/releasenotes/">Firefox a la versión 39</a>, la nueva versión de su navegador web para sistemas operativos de escritorio y dispositivos móviles Android. Con este lanzamiento, Mozilla ha aplicado a su navegador web una amplia variedad de novedades que afectan a varios campos, aunque los cambios más importantes afectan al rendimiento y la seguridad del software.<br />
<br />
Se han publicado 13 boletines de seguridad (del MSFA-2015-59 al MSFA-2015-71). Cuatro de ellos están considerados críticos, dos importantes, seis moderados y uno de gravedad baja. En total se corrigen 22 nuevas vulnerabilidades en los diferentes productos Mozilla. <br />
<br />
El <a href="https://hacks.mozilla.org/2015/01/project-silk/">Project Silk</a>, está orientados a mejorar el rendimiento del navegador web, y en este caso se han suavizado las animaciones y desplazamientos en ordenadores Mac OS X. Y también ha sido <a href="https://support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work" rel="nofollow" target="_blank">mejorada la seguridad gracias a SafeBrowsing</a>, otro factor clave para seguir compitiendo frente a frente con Google Chrome.<br />
<br />
También hay cambios que afectan a usuarios de Windows en el campo de la accesibilidad, entre otros. Una novedad para todos es el soporte de Unicode 8.0, que ya incluye los emoji con diferentes tonos de piel. Y, una vez más, Firefox sigue mejorando la compatibilidad y soporte con HTML5.<br />
<br />
En lo que respecta a seguridad el cambio más importante viene de la mano de haber eliminado el soporte para <a href="http://blog.segu-info.com.ar/2015/06/sslv3-ha-muerto-oficialmente-ietf.html" rel="" target="_blank">SSLv3, el cual ya es considero inseguro por parte de IETF</a> y el cual tiene <a href="https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/" rel="nofollow" target="_blank">múltiples vulnerabilidades</a>. Finalmente también se <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=999544" rel="nofollow" target="_blank">desactivó el uso de RC4</a> salvo para una lista temporal de hosts.<br />
<br />
Fuente: <a href="http://www.adslzone.net/2015/07/03/firefox-39-llega-con-mejoras-de-rendimiento-y-seguridad/" rel="nofollow" target="_blank">ADSLZone</a> <span class="" id="ouHighlight__54_58TO51_55"></span> y <a href="https://www.mozilla.org/en-US/firefox/39.0/releasenotes/">Firefox</a>SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-48355795511139729482015-07-03T16:18:00.000-03:002015-07-19T17:18:19.707-03:00Proxyham: Wi-Fi anónimo a 4 Km de alcanceEl investigador de seguridad <a href="http://www.wired.com/2015/07/online-anonymity-box-puts-mile-away-ip-address/" rel="nofollow" target="_blank">Benjamin Caudill ha desarrollado un dispositivo</a> que añade una capa extra de anonimato a informantes, periodistas, disidentes y, por supuesto, los criminales.<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-i7f0RwwtGXw/VZWXkSpQ1jI/AAAAAAAAOyM/1XDtyMgoCQU/s1600/proxyham.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://4.bp.blogspot.com/-i7f0RwwtGXw/VZWXkSpQ1jI/AAAAAAAAOyM/1XDtyMgoCQU/s1600/proxyham.jpg" /></a></div>
Bautizado como <a href="http://motherboard.vice.com/read/with-this-device-you-can-connect-anonymously-to-wi-fi-25-miles-away" rel="nofollow" target="_blank">ProxyHam</a>, es un "proxy de hardware" que permite a los usuarios conectarse a una red Wi-Fi pública y a larga distancia sobre un canal de radio de baja frecuencia no identificables, haciendo más difícil para las agencias gubernamentales y espías descubrir la verdadera identidad y origen del tráfico de Internet.<br />
<h3>
¿Cómo funciona Proxyham?</h3>
Proxyham se compone de un Raspberry Pi conectada a una tarjeta WiFi USB, junto con una instalación de tres antenas. Una antena se utiliza para conectar a una red Wi-Fi en un lugar público, y las otras dos antenas se utilizan para transmitir la señal de Wi-Fi a una frecuencia de 900 MHz. <br />
<br />
ProxyHam hace uso de una conexión de radio para añadir una capa física de ofuscación en el intento por localizar al usuario de Internet. Por depender de una conexión de radio de 900 MHz, ProxyHam se puede conectar a un Wi-Fi lejano en un rango de entre 1 y 2,5 millas (4Km), dependiendo de ciertos factores de interferencia.<br />
<br />
La idea es la de esconder esa caja en algún lugar público y luego beneficiarse de esas ventajas. Por lo tanto, en caso de que se logre trazar completamente la conexión a Internet de destino, sólo se encontrará la dirección IP de ProxyHam a cientos o miles de metros de la conexión real.<br />
<br />
Caudill dice que están trabajando en agregar características adicionales como la autodestrucción de ProxyHam. Caudill presentará ProxyHam en la Conferencia DefCon en Las Vegas el próximo mes así como las especificaciones de hardware, el código fuente y el modelo del dispositivo para que cualquier persona puede desarrollar su propia versión.<br />
<br />
<b>Actualización:</b> <a href="http://www.csoonline.com/article/2947377/network-security/privacy-talk-at-def-con-canceled-under-questionable-circumstances.html?utm_source=twitterfeed&utm_medium=twitter" target="_blank">La charla sobre ProxyHam de Defcon cancelada</a>. No se conocen los verdaderos motivos, pero el autor, Ben Caudill, reniega de hablar más sobre el tema. A su vez, han comenzado a publicarse alternativas al proyectos que se pretendía presentar, <a href="http://hackaday.com/2015/07/14/how-to-build-a-proxyham-despite-a-cancelled-defcon-talk/" target="_blank">tanto en HackADay</a> como por parte de <a href="http://samy.pl/proxygambit/" target="_blank">Samy Kamkar con su ProxyGambit</a>, que últimamente está muy activo. <br />
<br />
Fuente: <a href="http://thehackernews.com/2015/07/anonymity-proxyham.html" rel="nofollow" target="_blank">HackerNews</a> SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0