Saturday, October 29, 2011

Mensajes con ejecutables | Facebook you got a "message.exe "



Noticia

Nathan Power, pentester de seguridad, ha hecho publica una vulnerabilidad que contiene el sitio de Facebook®. Dicha vulnerabilidad se encuentra en la sección de mensajes al adjuntar archivos. Facebook® no permite adjuntar archivos ejecutables que terminan con .exe; sin embargo es posible burlar el parseador que identifica el tipo de archivo.



Cuando se detecta que un archivo es .exe, el usuario recibe como respuesta que hubo un error al subir el archivo, ya que no está permitido cargar ese tipo de archivos.



Vulnerabilidad

Consiste en poder adjuntar archivos ejecutables [exe] en la sección de mensajes. Lo que cabe destacar aquí, como lo menciona Nathan Power, es que para enviar mensajes no es necesario tener como "amigo" a los otros usuarios; siendo el atacante capaz de enviar el mensaje a los usuarios que elija.

Descripción del ataque

Al adjuntar un archivo .exe en un mensaje, Facebook® envía un mensaje de error indicando que el archivo no puede adjuntarse por el tipo de archivo identificado.

Realizando la captura de las cabeceras se logra obtener el contenido que se envía a través del método POST, y se identifica una línea:

Content-Disposition: form-data; name="attachment"; filename="WinHoneyd_1.5c.exe"\r\n


De aquí se pudo detectar que la variable filename es 'parseada' para identificar el tipo de archivo, e impedir cargar archivos no permitidos. Según la descripción del ataque que realizó Nathan Power, dicha cabecera debía modificarse agregando un espacio al final del nombre del archivo, de tal forma que el parseador no identifica la terminación de forma correcta, quedando de la siguiente forma dicha línea:

Content-Disposition: form-data; name="attachment"; filename="WinHoneyd_1.5c.exe "\r\n

Nosotros al realizar la prueba de concepto de esa forma, no logramos cargar el archivo ejecutable; y tras realizar la nueva petición al servidor con las cabeceras modificadas obtuvimos como resultado lo siguiente:


Sin embargo, modificamos el nombre verdadero del archivo a través del comando cp o mv de UNIX, agregando un espacio al final del nombre del archivo [en Windows no realizamos la prueba]; e intentamos cargar de nuevo el archivo.


Esto ocasionaría que el archivo con el nuevo nombre generara las cabecera con los valores necesarios para poder cargar el archivo y obtuvimos lo siguiente:



Daños que puede ocasionar

Al tener un archivo ejecutable adjunto, generalmente los navegadores para descargarlos detecta el tipo de archivos que son. En caso de ser ejecutables nos pregunta si deseamos ejecutarlos o almacenarlos en memoria. En el peor de los casos puede existir una configuración realizada por el usuario en su navegador que indique que se abran los archivos al descargar, permitiendo que los archivos .exe sean ejecutados al descargarse.

Fechas de aviso y publicación

Nathan Power en su blog ha dado las siguientes fechas:

09/30/2011 - Vulnerabilidad reportada a Facebook®
10/26/2011 - Vulnerabilidad reconocida por Facebook®
10/27/2011 - Publicación de la vulnerabilidad

Créditos

Como bien lo menciona Nathan Power en su blog Security Pentest, los créditos son de él, ya que ha sido quien ha descubierto la vulnerabilidad.

Comentarios

  • Dicha vulnerabilidad aplica básicamente a sistemas Windows como se puede observar.

  • Desconocemos si la modificación de las cabeceras eran suficiente en el momento que Nathan Power descubrió la vulnerabilidad, el concepto que el plantea como vulnerabilidad es el mismo que establecimos en nuestra Prueba de Concepto, pero aplicado de otra forma. Existe la posibilidad de que no haya detallado dicha vulnerabilidad de la forma que aquí se expone. Por la información que se ha publicado en Internet, la forma en la que aquí se aplicó, es la forma de traspasar el mecanismo de seguridad implementado.

  • Se ha confirmado en otros medios que dicha vulnerabilidad no ha sido corregida en SecLists.org

  • Cabe mencionar que, si bien no parece algo demasiado importante, es un bug que debe de ser corregido ya que muchos usuarios pueden desconocer lo que ocurrirá, y el objetivo es protegerlos. Aunado a esto el spam puede volverse más agresivo, y si le sumamos que un archivo puede tener cualquier nombre, estaríamos haciendo uso de ingeniería social que lograría su objetivo a través de un bug no corregido.

Agradecimientos a Nathan Power.

Disclaimer

Desconocemos si Facebook® ha realizado alguna corrección en sus códigos o servidores, y si dichas modificaciones se hayan apegado a la repetición de petición con nuevas cabeceras, lo que realizamos aquí no significa que nuestra publicación sea un nuevo 0day, ya que la vulnerabilidad sigue presente en el código, tal cual fue reportada. Esta publicación es informativa y el reporte de la existencia de dicha vulnerabilidad tiene 29 días de haber sido reportado. Nathan Power ha realizado la publicación de acuerdo a las responsabilidades del "Full Disclosure" [divulgación completa].

Referencias:
Nathan Power vulnerability description
Nathan Power POC
SecLists.org
TechWorld
DarkNet.org UK
Publicado por nkn0wn en 01:17 0 comentarios Etiquetas: , , , ,

Thursday, July 21, 2011

Alertas de infección por búsqueda | Google Malware Warning



Google ha incorporado un nuevo mecanismo de advertencia que se basa en la detección de patrones anormales en las búsquedas, que en realidad son realizadas por código malicioso durante la navegación habitual del usuario.

El ingeniero en seguridad de Google, Damian Menscher, ha descrito que la forma en la que se lograron detectar la presencia de código malicioso fue durante la realización de actividades de mantenimiento de rutina que se les da a los centros de datos. En un momento dado detectaron tráfico inusual, lo cual los llevo a realizar un análisis más profundo, y de ahí pudieron detectar que dicho tráfico provenía de equipos infectados.

Tras esto decidieron colocar a partir del Martes 19 de Julio del 2011 un aviso en la parte superior advirtiendo a los usuarios que pueden estar infectados en caso de que durante sus búsquedas se detecte tráfico inusual. Pero a partir de esto ha quedado claro que puede ser algo contraproducente, ya que si los equipos están infectados, el código malicioso puede realizar redireccionamientos por DNS, causando que el aviso desplegado redirija a las personas a sitios que contengan un rogueware o cualquier otro tipo de código malicioso.

Google ha tomado esta medida considerando que los usuarios actualizarán la base de datos de su antivirus. La descripción que ha dado Google con respecto al análisis del comportamiento de código malicioso es que este provoca que los datos de búsqueda sean enviados por terceros, siendo estos intermediarios [proxies].

Las recomendaciones son mantener actualizadas las herramientas de protección, obtenerlas de fuentes confiables, y no dar click en cualquier enlace que se tenga si es que no se confía en su procedencia.

Referencias:
B:Secure
The Tech Herald
The Consumerist
Zdnet.com
Google Official Blog
Publicado por n|<n0\\/n en 01:51 0 comentarios Etiquetas: , ,

Tuesday, May 31, 2011

RSA SecureID en problemas | Lockheed Martin exposed



El Viernes 27 de Mayo del 2011, se dió la noticia de que una empresa que ofrece servicio de seguridad al pentágono fue vulnerada en la creación de los tokens utilizados para acceder a la red interna por parte de los usuarios desde otra parte que no fuese su lugar de trabajo. Las primera noticias no apuntaron a la compañía que sufrió el incidente de forma directa, pero Reuters publicó que la empresa que sufrió tal incidente fue Lockheed Martin, compañía contratista de seguridad y proveedor de maquiniaria para la milicia estadounidense fabricando aviones para el Pentágono.

En el mes de Marzo, RSA dió a conocer que sufrió de una violación de datos, y que esto podía provocar problemas de seguridad en sus productos. Ante esto, algunos de los clientes y usuarios tomaron medidas para fortalecer su seguridad para evitar posibles fallas en sus sistemas, o bien, el robo de información. El algoritmo RSA es ya muy conocido, pero no por ello implica que sea fácil de vulnerar, pues se puede tener una llave pero no el candado que abre. De tal forma que, quien haya obtenido la llave, logró encontrar el candado que abría. Esto es comentado en el blog de Robert Cringely. Pero no sólo se necesita la llave, sino candados con los cuales probar, así el ataque perpetrado tendría que ser por fuerza bruta.

El ataque que sufrió en Marzo RSA, consistió primero que nada en el uso de Ingeniería Social, combinándose con spamming, resultando en phishing. Se enviaron correos a personas de la empresa, de las cuales una [cuya identidad se conserva en el anonimato] accedió al correo y descargó un archivo con una hoja de cálculo, cuyo nombre sugería contener información de reclutamiento. Dicho archivo contenía un exploit que atacaba un 0-day contra Adobe Flash, el atacante podía instalar lo que quisiera en la máquina, y en este caso se instaló Poison Ivy RAT [Remote Administration Tool]. Al tener acceso remoto a un equipo se pudo acceder a la red después de una escalada de privilegios. Se recopiló información para ser descargada posteriormente. La información que se obtuvo fue acerca de SecureID, pero se desconoce si los hackers obtuvieron información de cómo generar los tokens, lo cual sugiere el vector inicial del ataque perpetrado contra Lockheed Martin.

Lo que ocurrió con Lockheed Martin, es que ofrecía el servicio de autenticación doble con SecureIDs de RSA para acceder a las redes corporativas. Dicho acceso tuvo que ser bloqueado el Domingo anterior a la publicación de la brecha de seguridad, y se informó a los usuarios que el servicio estaría suspendido durante una semana; y que se reestablecerían las contraseñas y tokens para acceder.

De cualquier forma, existen varias proposiciones de lo que pudo o puede ocurrir a partir de las brechas de seguridad.


  • Se sugiere que cerca de 100mil usuarios se ven afectados por tal incidente, pues al parecer la información que se vió afectada fue con respecto a la administración o usuarios con privilegios.


  • A pesar de ello, RSA ha estipulado que los hackers que lograron romper la seguridad, aún necesitan más información para poder obtener algo importante; pues necesitan los nombres de usuario y contraseñas, independientemente del token que han obtenido y han podido utilizar.


  • Ante la situación que se ha presentado, nace la posibilidad de que el ataque sea producto de ciberespionaje. Lo cual no habría que descartar, ya que Stuxnet mostró la capacidad de la gente preparada [hackers] para poder irrumpir en sistemas informáticos de alta seguridad, por lo cual cabe recordar el principio del eslabón más débil.



No se sabe que información fue la que se extrajo de Lockheed Martin, si es que se obtuvo alguna. En caso de que fuese así, la información puede ser de sistemas de armamento en desarrollo, así como equipo utilizado por la milicia en algunas operaciones. A esto, el Pentágono ha declarado que el número de llaves electrónicas de seguridad RSA en uso es limitado, reservándose de mencionar la cantidad por razones de seguridad.

Mucha de la información que se ha recopilado con respecto al incidente ha sido manejada de forma anónima por oficiales en la industria militar. Si bien, el alcance de los daños puede ser especulativo, las opiniones y narraciones que han sido publicadas dan una idea general de lo que puede representar dicho ataque.

Las medidas que ha tomado Lockheed Martin, tienen que ver con el aseguramiento de su información, de tal manera que si se detecta algún comportamiento anómalo que provenga del exterior de la red, la contramedida será el cierre de todos los sectores de la red para evitar infiltraciones.

Apenas el Domingo 29 de Mayo se publicó que siguen las acciones de reestablecimiento de contraseñas para el acceso de los usuarios. Algunas de las acciones que se decidieron tomar son la suspensión del uso de la red privada virtual de la compañía, el cambio de contraseñas, mejorar los tokens de acceso SecureID e incluir un nuevo nivel de seguridad para el acceso remoto. Y un día antes, el 28 de Mayo, Jennifer Whitlow [vocera de Lockheed Martin] aseveró en un correo electrónico que los datos de clientes, empleados y programas no fueron comprometidos.

Lo que sigue es encontrar el origen del ataque, así como a los responsables, y lo importante es el tiempo que esto pueda llevar antes de que un ataque parecido vuelva a repetirse en alguna otra institución. Ya que se sugiere que hay información que sí ha sido obtenida, sospechando quizás de espionaje militar por parte de China y Rusia, y una de las premisas que sugiere dicha conclusión es que han desarrollado rápidamente aviones o jets militares sigilosos, es decir, no detectables por radares; sugiriendo que hayan tomado modelos en base a información obtenida de los Estados Unidos de América. Lockheed Martin no afirma dicha suposición, pues aceptan que la compañía es un objetivo frecuente de adversarios al rededor del mundo.

Referencias:
The Register
Cringely blog
New York Times
Reuters - 26/05/11
Reuters - 27/05/11 [1]
Reuters - 27/05/11 [2]
Reuters - 28/05/11
Reuters - 29/05/11
Reuters - 30/05/11
UK Reuters
Allthingsd.com [RSA hacked info]
Publicado por n|<n0\\/n en 15:10 0 comentarios Etiquetas: , , , , ,

Saturday, May 28, 2011

Skype de vuelta | Solving an incident



El Jueves 26 de Mayo de este año, Skype ha sufrido una falla en brindar el servicio de comunicación a sus usuarios. La falla provocó que los usuarios no pudieran conectarse a sus cuentas. Pero su equipo de respuesta ante incidentes encontró una solución a dicho problema, publicando los pasos a seguir según el sistema operativo sobre el que se ejecutara la aplicación.

Dicha falla se produjo para una baja cantidad de usuarios, según publicó Peter Parkes [el coordinador del blog]. De igual forma informó que los afectados podían ser usuarios de GNU/Linux, Mac OS o Windows; quedando exentos aquéllos que se conectaran desde otro dispositivo con algún otro sistema operativo.

Básicamente la solución es encontrar un archivo con el nombre shared.xml, y borrarlo. Después, iniciar de nuevo la aplicación, y el archivo se volverá a crear, al parecer con la información correcta para poder establecer la conexión.

De cualquier forma, el Viernes 27 de Mayo, se ha liberado una versión actualizada para Mac OS X, que sustituye el proceso de eliminación del archivo shared.xml, por lo cual, aquéllos usuario que lo eliminaron manualmente ya no requieren de descargar e instalar la versión actualizada. Para los usuarios de Windows, también se ha dado la instrucción o recomendación de descargar la última versión de Skype.

Referencias:
Zdnet UK
Skype blog - Peter Parkes
Skype blog [Windows]- Jennfer Caukin
Skype blog [Mac OS X]- Jennfer Caukin
Zdnet - 26/05/11
Skype blog [Solución manual]
Publicado por n|<n0\\/n en 00:42 0 comentarios Etiquetas: , , ,

Thursday, February 24, 2011

Actualización en contra de XSS | Microsoft update against 0 day and XSS



Microsoft ha publicado 1 de Febrero de 2011 su actualización como cada primer Martes de mes. En esta ocasión dos parches que destacan son sobre el navegador Internet Explorer, y sobre la posibilidad de obtener información a través de MHTML.

Desde el 29 de Noviembre del 2010 existe una vulnerabilidad de tipo 0 day en el navegador Internet Explorer. Dicha vulnerabilidad es explotada a través de CSS, que permite la obtención de información de la víctima. Microsoft ha recomendado que se requiere la instalación y configuración de EMET2.0 Toolkit. Dicha vulnerabilidad fue publicada en el advisory 24488013, y la vulnerabilidad tiene asociado el CVE-2010-3971.

La vulnerabilidad sobre MHTML [Mime HTML] la publicó Microsoft en el advisory 2501698. MHTML permite indicar que el archivo contiene diferentes tipos de recursos externos como imágenes o animaciones y además código html, esto en en el mismo archivo. Dicha vulnerabilidad afecta a cualquier versión de Windows, por lo cual todos los sistemas operativos Windows que no estén actualizados o no cuenten con las medidas necesarias son afectados.

Dicha vulnerabilidad permite a atacantes remotos extraer información de la computadora, incialmente información del navegador como cookies o el historial de páginas visitadas. Se ha calificado como un ataque parecido a un XSS [Cross Site Scripting]. De igual forma, puede convencer al usuario de instalar código malicioso.

Cabe destacar que para poder perpetuarse dicho ataque, de alguna u otra forma el atacante debe de persuadir a su víctima para que dé click sobre un enlace que envíe a un sitio con el código a ejecutarse.

Microsoft como primera forma de evitar ser víctima de dicho ataque, ha indicado dos principales formas de mitigar el ataque:

1. De forma predeterminada Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2, tienen habilitada una navegación de modo seguro por lo cual no permitiría a los usuarios acceder a dichas páginas.2. Las versiones de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo con código HTML en la sona de sitios restringidos, desactivando scripts y controles ActiveX.

A pesar de ello, las víctimas se ven expuestas en el escenario de un ataque basado en la Web, ya que el atacante puede convencer a la víctima de acceder al sitio que contiene el código MHTML a través del navegador. A esto, las medidas que se debían de tomar eran las de proteger la PC y el navegador Internet Explorer, a través del firewall, actualizaciones de software, instalación de antivirus, y colocar la configuración de seguridad de navegación en el nivel más alto, teniendo acceso sólo a los sitios en los que se confía. Esta segunda vulnerabilidad fue asociada al CVE-2011-0096.

Es una actualización necesaria en todos los sistemas operativos Windows para evitar cualquiera de estos dos tipos de ataques, y no se debe de pasar por alto pues nunca se es completamente seguro de que se accesa a sitios seguros, con técnicas de ataque como el phishing, pharming, y los ahora ya tan comunes scams.

Referencias:
Qualys - Advisory
Qualys - IE 0 day
Technet blog
Advisory 2501696
Advisroy 2501696 specifications
Advisory 2488013
SearcSecurity
Publicado por n|<n0\\/n en 01:25 0 comentarios

Thursday, February 3, 2011

Algo más que spams en Facebook | Spam calling Malware



Una forma nueva de aplicar Ingeniería Social ha aparecido en las redes sociales. En donde todo comienza por un spam y termina en la ejecución de código malicioso almacenado en un servidor al cual el usuario desconoce estar conectándose.

Los spammers han decidido tomar ventaja de la forma en la que los usuarios de Facebook seleccionan a sus amigos. Esto cuando algunos usuarios aceptan de forma indiscriminada a contactos que no conocen, o aceptando contactos que son conocidos por amigos a los que previamente han añadido a su cuenta de Facebook.

Es sabido que obtener una cuenta de correo no es tan complicado hoy en día, y no es necesario proveer datos reales para obtenerlo, y que a través de esas cuentas uno se puede registrar en la mayoría de las redes sociales, sino es que en todas. Esto es lo primero que aprovechan los atacantes y spammers. Además de ello, realizar búsqueda de imágenes en Internet es muy sencillo, y al descargarlas hay varios sitios web que nos ofrecen el almacén de imágenes, y en general cualquier tipo de archivos.

Los atacantes lo primero que hacen es crear una cuenta en Facebook con una cuenta de correo creada con datos falsos, la imagen que ponen en su perfil suele ser de una adolescente o joven atractiva, que pudo haber sido descargada de Internet. Después de ello, localizan a aquellos usuarios que suelen aceptar amigos sólo por popularidad o por incrementar el número de amigos que tienen. Las personas más populares suelen tener más de 2.5 mil amigos. Contacta a las personas que son más populares, y al ser aceptados como amigos los marca [tag] en la imagen de su perfil, de tal forma que las víctimas visitan su perfil al ver que en sus actualizaciones han sido marcados [tagged] en una imagen. Pero además de ello incluye una dirección URL en la cual pueden ver el perfil del atacante oculto, persuadiendo a las víctimas. Lo que la víctima no sabe es que dicha URL puede estar oculta, de tal forma que al dar click sobre ella es redireccionada a otro servidor en el cual se almacena código malicioso que será descargado por la víctima. Pero como lo común es que los usuarios den click sobre la foto, los marca directamente sobre la foto para convencerlos de visitar el sitio que dice ser su perfil. Imagen tomadas de www.zdnet.com


Para evitar ser víctima de estos ataques, es importante evitar aceptar como amigos a personas que son desconocidas, así como evitar dar click sobre URL's de personas que no son conocidas, y que aparentemente serán conocidas a través de Facebook [Recordemos que las redes sociales, en especial Fabceook, su principal objetivo es mantener conectadas a las personas que se conocen pero que por una u otra razón no tiene contacto directo]. El código malicioso que se llegue a descargar puede robar información personal de la víctima o inclusive hacerlo miembro de alguna botnet.

Referencias:
Zdnet
Publicado por n|<n0\\/n en 16:08 0 comentarios Etiquetas: , , ,

Friday, January 28, 2011

5 miembros de Anonymous capturados | Anons get caught



La policía de Lóndres a detenido a 5 presuntos atacantes miembros de Anonymous en sus respectivas casas. Dos son menores de edad [15 y 16 años] y tres jóvenes de 19, 20 y 26 años de edad, y fueron aprehendidos a las 7 A.M. La policía metropolitana, ha informado en un boletín que son parte de la investigación que se comenzó a realizar a finales del año pasado con respecto al grupo Anonymous, perseguidos por actos criminales por sus ataques DDoS en contra de varias empresas. Tambien han mencionado que la investigación está siendo llevada en conjunto con agencias internacionales en Europa y Estados Unidos.

Los detenidos están siendo investigados para ver su relación con el grupo de hacktivistas Anonymous, que han estado realizando ataques Distribuidos de Denegación de Servicio a diferentes sitios que no han apoyado la causa de Wikileaks, entre los más conocidos los sitios de Mastercard y PayPal. A los detenidos se les condenará con una multa de £5mil y 10 años de prisión en caso de ser declarados culpables por actos de violación estipulados en el Acta 1990 de Mal uso de computadoras [Computer Misuse Act 1990].

Anonymous tras recibir la noticia, no se ha quedado atrás y ha liberado un comunicado dirigido al gobierno de Reino Unido. En él declaran el apoyo que brindará toda la comunidad a los 5 arrestados, y que es como declararle la guerra a Anonymous, una ideología. También plantean el mal uso del término hacking y DDoS con respecto a las actividades que han realizado, pues ellos no han realizado hackeo a los servidores de las empresas atacadas.

Los ataques que han realizado son como una protesta más, en donde la infraestructura de sus oponentes es bloqueada, y en este caso Anonymous no ve la diferencia entre una infraestructura física o en el ciberespacio. Declaran que la condena a la que los arrestados serán sometidos no es justa, ya que los ataques DDoS no dejan secuelas en la infraestructura de las empresas.

"The Jester" aceptó haber realizado ataques del mismo tipo en contra de Wikileaks, pero nadie a mencionado realizar una investigación en contra de él, o las personas que han realizado dichos ataques en contra de Wikileaks. Exigen justicia, pues mencionan que el arresto de los 5 anons es más por cuestiones políticas que de justicia.

De igual forma, Anonymous se ha sumado a la protesta en Egipto y Tunisia por el bloqueo a ciertos sitios sociales de Internet, atacando varios sitios gubernamentales de dichos lugares.

Referencias:
Guardian
Metropolitan Police of UK
BBC
SCMagazine
Anonymous Press Release
Publicado por n|<n0\\/n en 00:58 0 comentarios Etiquetas: , , , , ,

Spam a la baja | Decreasing spam



El reporte de inteligencia de Symantec de amenazas que fue liberado el Martes 25 de Enero del 2011 ha arrojado una reducción del 3.1% del spam detectado de Diciembre a Enero 2011, porcentaje que no había reducido desde Marzo del 2009. A la fecha se considera que del total de tráfico de correo el 78.6% es spam comparado con el porcentaje anterior que era de 83.9%.

También reportan que las botnets Xarvester, Rustock y Lethic dejaron de realizar spam en Diciembre, lo cuál ha sido un factor importante ya que la botnet Rustock sola generaba cerca de la mitad del spam que estaba en circulación.

Spamit estableció una nueva política en su programa farmaceútico, de tal forma que los anuncios de medicinas y drogas a través del correo se han visto reducidos.

Estos datos aparentemente son positivos, pero se espera que el aumento de spam se dé durante los próximos meses, una vez que las empresas que no tienen el servicio de envío de Spamming consigan quién les ofrezca dicho servicio para poner de nuevo en circulación toda clase de spam en los correos.

Referencias:
InformationWeek
Publicado por n|<n0\\/n en 00:56 0 comentarios Etiquetas: , ,

Thursday, January 27, 2011

Mark Zuckerberg:"Let the hacking begin"|Zuckerberg Pwned?



El 25 de Enero del 2011, en la página personal de Mark Zuckerberg, creador de Facebook, apareció un mensaje en su "Muro" [mejor conocido como "Wall"] que decía:

"Permitamos que el hacking comience: Si facebook necesita dinero, en vez de ir a los bancos, ¿por qué no Facebook permite a sus usuarios invertir en Facebook de una manera social? Por qué no transformar Facebook en un "negocio social" como Muhammad Yunus ganador del Premio Nobel lo describió? http://bit.ly/fs6rT3 ¿Ustedes que piensan? #hackercup2011"


Su mensaje se mostraba un tanto torpe, pero a pesar de ello 1,803 personas lograron marcar el comentario como que les gustaba, y recibió cerca de 500 comentarios.Aparentemente no lo escribió Zuckerberg, ya que no hubo un anuncio con respecto a lo sucedido. Aunado a ello, la página personal de Mark Zuckerberg fue cerrada durante un día aproximadamente, de tal forma que más personas no podrían ver lo que se encontraba en su "Wall".De cualquier forma, no se ha confirmado que la cuenta de Zuckerberg haya sido hackeada. Los dos indicativos de que pudo haber sido un hackerson la alusión que se hace a #hackercup2011 [concurso de hackers realizado por Facebook cada año] y que el mensaje escrito no era muy claro y presentaba errores ortográficos ["price" cuando debía ser "prize"]Además de ello, la página fue retirada.


Las fuentes disponibles en la red, no se atreven a confirmar un ataque, pero tampoco descartan la posibilidad de que haya sido Zuckerberg quien haya realizado dicha publicación. La noticia inicialmente parece hber surgido en TechCrunch el 25 de Enero del 2011 cerca de las 5 de la madrugada, y las diversas fuentes apuntan y declaran sobre dicha publicación. Lo que es un hecho, es que la página estuvo fuera de línea, y quizás Facebook dará respuestas a lo ocurrido en un momento dado. Actualmente la página de Zuckerberg no muestra el mensaje con respecto a al "Social Business".

Referencias:
TechCrunch
Technolog
Zdnet
Publicado por n|<n0\\/n en 05:05 0 comentarios Etiquetas: , , , ,

Jailbreakers establecen contacto con Microsoft | No courts



Microsoft ha establecido una discusión con los jailbreakers del Windows Phone 7, que crearon una aplicación llamada ChevronWP7 que lograba desbloquear los dispositivos Windows Phone 7 para poder hacer uso de aplicaciones específicas para la plataforma [homebrew] de terceros, es decir, daba la capacidad de instalar programas que originalmente no se podrían instalar.

En el mes de Noviembre del 2010 dicha aplicación fue liberado por lo jailbreakers, que aprovecha una vulnerabilidad que permite registrarse como desarrollador autorizado para la plataforma del dispositivo, siendo que esos registros sólo son escritos por Microsoft, y cuyo costo es de USD$99 al año por ser avalado para poder publicar aplicaciones para Windows Phone 7.

Microsoft ha anunciado que publicará una actualización para evitar que se siga abusando de la vulnerabilidad, por lo cual la aplicación desarrollada por el equipo ChevronWP7 ya no será útil, pero a la vez ha expresado su interés por seguir con el desarrollo y soporte de las aplicaciones homebrew [específicas para el dispositivo].

La noticia fue confirmado por los miembros del equipoco ChevronWP7 al publicar en su blog una ligera idea de lo ocurrido en las reuniones establecidas con Microsoft, pues de forma voluntaria acordaron un acuerdo de no divulgación [Non-Disclosure Agreement - NDA], afirman. Además de mencionar que estarán trabajando con Microsoft para que las aplicaciones homebrew puedan ser soportadas por el dispositivo después de la actualización que removerá el bug.

Microsoft ha decidido establecer una relación distinta con los jailbreakers a diferencia de algunas otras empresas. George Hotz, el hacker que realizó el jailbreak al iPhone de Apple y al Playstation 3 de Sony, comentó en su sitio que quizás es una forma más apropiada de lidiar con los jailbreakers. Pues Apple y Sony están dispuestos a pasar tiempo en las cortes culpando a los jailbreakers por realizar uso inapropiados de sus productos.

La noticia no quedó ahí, ya que en su blog publicó en forma de broma que compraría un Windows Phone 7 y comenzaría a ver que puede hacer para llamar la atención de Microsoft. Y con esa publicación, logró captar la atención, ya que el Director de Experiencia de Desarrolladores para el Windows Phone, Brandon Watson, a través de Twitter.com ha intentado contactarle ofreciéndole un Windows Phone para que comience a desarrollar en conjunto con ellos.


Referencias:
Winrumors
ChevronWP7
Wired
Winrumors Brandon Watson
Publicado por n|<n0\\/n en 03:52 0 comentarios Etiquetas: , , , , ,

Tuesday, January 25, 2011

Nuevo Director Global de Seguridad en Apple | Rumor: Apple hires a Military Grade Chief



Recientemente ha surgido la noticia de que Apple ha contratado a un experto en seguridad informática graduado de la Academia Naval de los Estados Unidos [US Naval Academy] con maestría en Ingeniería en Sistemas y Guerra de la Información [Information Warfare and System Engineering] de la Escuela de Naval de Posgrados, y que ha sido analista de vulnerabilidades globales en redes de la Agencia Nacional de Seguridad [National Security Agency - NSA], y Oficial de la Armada Especial Criptológica de la Marina de Guerra; su nombre es David Rice.

Con tanto renombre, Apple ha decidido no realizar comentarios respecto a la contratación. De igual forma, Rice no ha comentado al respecto de su contratación. Además de los puestos que ha ocupado Rice, ha publicado en el año 2007 el libro llamado "Geekonomics", libro que habla acerca del impacto económico de la inseguridad en el software.

No sería sorpresa que la noticia fuese cierta, pues en el 2010 Apple contrato a la Jefa de Seguridad de Mozilla (Window Snyder) como su Administradora de Productos de Seguridad, y en el 2009 contrató al pionero del proyecto One Laptop Per Child (Ivan Krstić) para trabajar en el núcleo de seguridad de Mac OS X. Y a su grupo de trabajo también se unió el pionero de cifrado de software PGP (Jon Callas).

Hay mucho que esperar de la nueva familia de productos de Apple, ya que con la nueva oleada de ataques que están por venir a productos muy comercializados y de uso general, como son el iPhone y el iPad, Apple necesitará reforzar la seguridad de sus sistema operativo, así como asegurar la información de sus clientes de la mejor manera.

La noticia no ha sido confirmada pero se ha esparcido por la factibilidad de ser cierta. Sólo habrá que esperar que dicen Apple y David Rice en los próximos meses, ya que se rumora que comenzaría a trabajar para Apple en el mes de Marzo. Apple siempre buscando innovar, ahora con un nuevo miembro en su equipo de trabajo de seguridad.

A pesar de que no se ha confirmado algo hasta el momento, de ser cierto, beneficiaría a Apple y a la gama de productos que ofrece, ya que la popularidad de sus dispositivos va en escalada, y cada vez más gente comienza a creer de nuevo en Apple por la calidad de sus productos. A la vez, sería un nuevo gran reto para todos aquellos hacker que gozan de dispositivos aparentemente tienen una seguridad infranqueable.

Referencias:
AllThingsD
The Inquirer
Publicado por n|<n0\\/n en 08:19 0 comentarios Etiquetas: , , ,

Hacking targets: Apple & Android | Future attacks


La popularidad de los dispositivos móbiles con capacidad de conectarse a Internet e instalación de aplicaciones de diferentes usos, provoca que los atacantes cambien sus formas de ganar acceso a la información.

La seguridad que se está implementando en los dispositivos de escritorio ha ido aumentando, con diversas aplicaciones y herramientas, además del incremento de la capacidad de procesamiento y almacenamiento en dichos dispositivos.

Las aplicaciones que están en línea no son del todo confiables, ya que un atacante puede publicar una aplicación que contenga código malicioso como un troyano o un spyware, incluso subir rogueware que el usuario cree inofensivo y adecuado para ayudar a sus tareas cotidianas. La penetración a los dispositivos por parte del malware también tiene com aliado al "jailbreak" que muchos usuarios hacen a sus dispositivos con el fin de utilizar aplicaciones que no están a la venta en los sitios autorizados, y así incrementar las opciones de descargas para sus equipos.

En cuanto a Android, al ser una arquitectura abierta lo convierte en un software más llamativo para los atacantes, ya que pueden encontrar vulnerabilidades directamente en el código y hacer uso de ellas, tal como pueden ser los "0 days", que en el momento no tienen un parche o una solución y son desconocidos por muchos usuarios, incluso por las empresas.

Henry Stern, investigador de seguridad de Cisco, comenta que dada la capacidad que se les está brindando a los dispositivos móviles, pronto serán como una PC, ya que la cantidad de software disponible aumenta conforme pasa el tiempo, pero a la vez esto provoca que existan más hoyos de seguridad en los dispositivos, obligando a que se tome en cuenta el asegurar los equipos con urgencia.

Algunas han tomado medidas al respecto, generalmenta para los dispositivos que se les asignan a los usuarios, algunas asignan personal para administrar el servidor empresarial de BlackBerry [BlackBerry Enterprise Sever - BES]. El otro mecanismo que las empresas han tenido que configurar e implementar es el de prevención de pérdida/fuga de datos [Data Loss/Leak Prevention - DLP], para el monitoreo del uso de datos de los usuarios que poseen los dispositivos móviles. Pero hay que tomar en cuenta que esto no aniquila el problema en su totalidad, ya que el usuario es libre de adquirir otro dispositivo móvil para uso personal, el cuál no será regulado por estos mecanismos.

Lo que convierte a estos dispositivos en presas fáciles es la euforia que ha surgido por las aplicaciones y la adquisición de dichos equipos con tantas capacidades, esto ha provocado que los errores en las aplicaciones sean muy parecidos a los primeros fallos que tuvieron los pioneros en la programación de la web, esto se comentó en la SecTor2010 por investigadores de seguridad, y dichas fallas van desde la fuga de información hasta la escalada de privilegios en los equipos.

Tanto Google con Android, como Apple con iOS, deberán poner atención a la seguridad que ofrecen en sus respectivos sistemas operativos, y tomar en cuenta que la competencia que tienen ambos también implica que el usuario pueda confiar en su producto.

Referencias:
SearchSecurity Mobile Devices
SearchSecurity SecTor2010
CISCO annual report 2010
Publicado por n|<n0\\/n en 02:22 0 comentarios Etiquetas: , , , , , , ,

Monday, January 24, 2011

Tarjetas de crédito y botnets a la venta|Cheap services


Con USD$2 que se tengan en la bolsa se puede comprar un iPad o una pantalla LCD, esto a través de una compra en línea, y gracias a la venta de tarjetas de crédito hackeadas. O bien, si se quiere vender un producto por qué no pagar USD$15 por un campaña "spamicitaria".

El obtener una tarjeta de crédito clonada no tiene garantía alguna, pero si se desea tener la garantía de uso el costo aumenta de USD$80 en bancos pequeños, hasta USD$700 dando un consumo de USD$82,000. De igual forma están a la venta registros por USD$1,500 acerca de cuentas que han sido utilizadas para hacer compras electrónicas como puede ser PayPal.

Si quiere el dinero en efectivo, también puede contratar el servicio para saquear un cajero automático, como en la conferencia que se presentó en Black Hat USA 2010 por Jack Barnaby, o bien conseguir datos de cuentas bancarias existentes a través de un ATM skimmer [dispositivo portable que se conecta a la entrada de la tarjeta para la lectura de la tarjeta, la contraseña puede almacenarse con una cámara o reemplazando el teclado].

Una vez obtenida una inmensa cantidad de dinero, hay que justificarla. También existe el servicio de lavado de dinero, en el cual al "venderse" dicho servicio, se obtiene de un 10 a un 40% de comisión, y las presas para este tipo de negocios son las personas desempleadas que buscan la forma de ganar dinero fácil.

Si el cliente no está convencido, o no confía de los servicios, como en muchas empresas, te ofrecen una demostración o una versión de prueba. Todo esto lo hacen a través de aplicaciones de mensajería instantánea y cuentas de correo que cualquier persona puede usar. Aquí habría que mencionar, que seguramente ocupen herramientas de cifrado para sus conversaciones y así no ser atrapados de forma tan fácil.


Referencias:
Tech-faq
Information Week. Launder Money
Information Week. Cybercrime Services
Publicado por n|<n0\\/n en 23:57 0 comentarios Etiquetas: , , , , , ,

Sunday, January 23, 2011

USD$500 por un sitio gubernamental o militar|Hacked sites

Un hacker que ofrece sus servicios por Internet ha puesto a la venta accesos con privilegios de administrador de ciertos sitios gubernamentales y militares, como pueden ser sitios del Comando de Comunicaciones y Electrónica del Ejército de los Estados Unidos [U.S. Army's Communications-Electronics Command - CECOM].

Imperva que se dedica a vender servicios encontró que este hacker está realizando ventas en el "underground", y que también pone a la venta el control total de sitios de universidades.

Además de poner a la venta los accesos, también ofrece bases de datos que contienen información personal de los sitios web. Por esta información cobra USD$20 por 1,000 entradas o registros, y USD$65 por 3MB de cuentas aleatoriamente hackeadas.

Aparentemente el hacker ha obtenido la información de las bases de datos a través de SQL Injection, obteniendo quizás los datos del administrador almacenados en la base de datos. Y sumado a ello, el hacker ofrece sus servicios por beneficio propio, que es obtener una remuneración económica, recordando que no sólo los hackers realizan sus actividades por reconocimiento en el underground, por molestar, o por rebeldía.



Referencias:
Computerworld
Imperva
KrebsonSecurity.com
Publicado por n|<n0\\/n en 20:14 0 comentarios Etiquetas: , , , ,

Saturday, January 22, 2011

Marzo 2011



El siguiente paso... Marzo 2011...

Creative Commons License
SHES Logo by Miguel Cervantes is licensed under a Creative Commons Attribution-NoDerivs 3.0 Unported License.
Publicado por n|<n0\\/n en 05:15 0 comentarios Etiquetas:

Cargos por iPad hacking | Apple says: No comments

El Martes de esta semana [18 de Enero 2011], fiscales federales de los Estados Unidos de América anunciaron que existen dos personas con cargos por hackear el sitio de AT&T y por haber recolectado cerca de 120 mil direcciones de correo electrónico de personas que poseen un iPad. Las dos personas que presentan cargos son [ambos fueron puestos bajo custodia por parte del FBI]:
- Andrew Auernheimer de 25 años de Fayetteville, Ark.
- Daniel Spitler de 26 años de San Francisco

El ataque se produjo en Junio del 2010, cuando AT&T publicó la reparación de un hoyo de seguridad que permitía a personas no autorizadas a acceder a las direcciones de correo electrónico de los usuarios. Esto provocó que se tuviera una lista de los usuarios que habían sido los primeros en comprar o acceder al producto de Apple, iPad 3G. Entre sus usuarios destacaban figuras políticas y militares, incluyendo al presidente de los Estados Unidos de América, según rumores en Gawker.

El ataque se perpetró con un script de AT&T que solicitaba un identificador, al cual llamaron ICC-ID, y en base a ello regresaba una dirección de correo. Los hackers, de Goatse Security, realizaron un ataque de fuerza bruta que escogía de forma aleatoria un identificador, y de esta forma si existía, tenían como respuesta la dirección de correo electrónico del usuario. Esta petición se realizaba alterando el User_Agent de las cabeceras en las peticiones, por el User_Agent que utilizan los iPads, y así el servidor de AT&T respondía.

Goatse Security acusó en su página a AT&T de no implementar su seguridad de forma correcta, pues no la toman seriamente, y que lo que obtuvieron fue en un ataque perpetrado en no más de una hora. A su vez, afirmaron no haber realizado la acción con fines lucrativos ni por afectar a la empresa, aclarando que lo hicieron como un servicio a su nación, y que lo hicieron con fines de interés público.



Spliter actualmente no tiene derecho a acceder a Internet, sólo en su trabajo. Se le retiró su pasaporte y sólo puede viajar a California y Nueva Jersey hasta que la corte dicte su veredicto.

Apple dijo no tener comentarios, mientras AT&T a través de su vocero hizo saber que "toman muy en serio la privacidad de sus clientes, y apoyan la fuerza de la ley por protegerla".

Es claro que trás el gran éxito del iPad en el mercado, los hackers estén volteando a mirar con más detenimiento lo que hace Apple. La cantidad de personas con un dispositivo o equipo de Apple es mayor comparado incluso con la cantidad de usuarios del 2009. Apple se verá sometida a una prueba de fuego, de la que debe salir con paso firme si es que no quiere dañar su reputación perder el mercado que ha ganado.

Comentario

Hay que recordar, "Las Apple|Mac no tienen virus...", es algo completamente falso. Apenas dos semanas atrás, escuché a un vendedor intentando convencer al cliente con esa frase. El usuario promedio lo creerá, y los hackers con esos usuarios podrán navegar plácidamente por Internet con usuarios así, imaginen la botnet con equipos de Apple vulnerados por un sólo hoyo de seguridad porque "no hay virus para la Mac", nos llevaría a decir Mac OS = Vulnerabilidad. La parte más vulnerable de una computadora, es el usuario.

Referencias:
CNN Money
Goatse Security
CNN Money: iPad attacked
CNN Money: Apple Security
CNN Money: iPad breack
Gawker
Publicado por n|<n0\\/n en 03:24 0 comentarios Etiquetas: , , , , ,

Friday, January 21, 2011

Mac and Linux bots| Vulnerable Malware


Investigadores de Symantec han hallado un troyando que afecta a equipos con sistema operativo Mac y Linux, y no sólo los equipos con Windows. Lo cual lo convierte en un malware multiplataforma.

El troyano es conocido como
  • Trojan.JnanabotOSX
  • Koobface.A
  • trojan.osx.boonana.a
El malware se ha difundido a través de Facebook con el mensaje:
"As you are on my friends list I thought I would let you know I have decided to end my life."
["Como estás en mi lista de amigos pensé en hacerte saber que he decidido terminar con mi vida "]

Los enlaces que contenía apuntaban a un archivo de JAVA, o un JAR, que puede ejecutarse en diversos sistemas operativos, y ya estando infectado el equipo a través del código malicioso, la cuenta de Facebook también es portadora del malware.

Este código malicioso está escrito en Java, y por ello puede ser multiplataforma. Al descargarse e instalarse, almacena todo el código que requiere en un directorio oculto en la carpeta del usuario, y para establecer comunicación con la botnet, utiliza métodos de cifrado bastante fuertes.

Los investigadores de Symantec también dieron con que el malware cuenta con vulnerabilidades, lo cual puede ser aprovechado por otros atacantes, fuera de la botnet, para insertar archivos en las máquinas que han sido infectadas, por lo cual al estar infectada la máquina, no sólo se suma a la botnet sino que se hace vulnerable a otro tipo de ataques, pues la vulnerabilidad es de tipo "traversal" [como directory traversal], dando la posibilidad de acceder a los archivos de la máquina con la posibilidad de ejecutar código arbitrariamente, escribir en los directorios y eliminar archivos. También descubrieron que el malware no sigue funcionando en sistemas Linux después de reiniciar.

El malware por ahora sólo ha llegado a miles de infecciones y no a cientos de miles. Pero ha de ser considerado pues de aumentar la cantidad de infecciones, la botnet crecerá exponencialmente, y no será fácil controlarla ya que se le puede indicar al bot que haga ataques DoS y hasta publicar en las cuentas de Facebook de los usuarios infectados, y estas instrucciones las recibe a través de IRC [Internet Relay Chat].

A pesar de que principalmente se ha esparcido por Facebook, se ha detectado que se la logrado dispersar por diversas redes sociales, como son Twitter y Myspace.

Jee Morparia, empleado de Symantec ha clasificado el funcionamiento del malware en los siguientes componentes:

  • Library - Las biblotecas necesitadas por el malware [recordemos que el malware sigue siendo un software] para ejecutarse en Mac OSX, Linux AMD 64, Linux x86 y Windows x86.
  • Main - El archivo .jar que controla la ejecución.
  • Instalación/Actualización - Mecanismo de instalación y actualización del malware.
  • IRC - Permite las conexiones remotas IRC para recibir instrucciones.
  • Key logging - Registro.
  • Crypt - Mecanismo para descifrar la información que recibe.
  • Facebook - Permite que el malware haga uso de la cuenta de Facebook de la víctima para enviar nuevos enlaces a través de publicaciones para la descarga del malware.


Referencias:
TheRegister
Intego
Symantec
Symantec [continuación]
Publicado por n|<n0\\/n en 20:53 0 comentarios Etiquetas: , , , , ,

DoS FUSE | Ubuntu vulnerable

Se informó una vulnerabilidad en FUSE [Filesystem in Userspace] que sucede cuando FUSE es engañado y no actualiza correctamente la tabla mtab cuando ha montado algún sistema de archivos.

Aplica a las siguientes versiones de Ubuntu:
  • Ubuntu 8.04
  • Ubuntu 9.10
  • Ubuntu 10.04
  • Ubuntu 10.10
Para solucionar el problema se necesita la actualización de fuse-utils, según la versión de Ubuntu:
Ubuntu 8.04 - fuse-utils 2.7.2-1ubuntu2.2
 Ubuntu 9.10 - fuse-utils 2.7.4-1.1ubuntu4.4
 Ubuntu 10.04 - fuse-utils 2.8.1-1.1ubuntu2.2
 Ubuntu 10.10 - fuse-utils 2.8.4-1ubuntu1.1

De igual forma se necesita actualizar:
Ubuntu 8.04 - mount 2.13.1-5ubuntu3.1
 Ubuntu 9.10 - mount 2.16-1ubuntu5.1
 Ubuntu 10.04- mount 2.17.2-0ubuntu1.10.04.1
 Ubuntu 10.10 - mount 2.17.2-0ubuntu1.10.10.1

Es importante actualizar la herramienta, de lo contrario un atacante de forma local puede desmontar sistemas de archivo sin que se registre dicha modificaciones en mtab, provocando una denegación de servicio. De igual forma la actualización de mount para que FUSE pueda utilizar todas sus opciones de forma correta.

Se le conoce con como el CVE-2010-3879

Referencia:
Ubuntu
Publicado por n|<n0\\/n en 13:37 0 comentarios Etiquetas: , , , ,

Thursday, January 20, 2011

Hack-and-sec.org @ X25 | Perimeter Security

Hack-and-sec.org estará presente en las segundas conferencias de hacking ético, X25 V2.0. Se estará presentando con el taller:

Perimeter security: Breaking the wall to the endpoint and Bypassing perimeter security

Es sabido que muchas empresas optan por implementar diversos métodos, técnicas y herramientas para proteger la entrada a sus servidores y evitar que su información sea revelada. Es por eso que una de las medidas principales que se toma es la seguridad perimetral.

La seguridad perimetral en el ámbito de la computación hace referencia a los dispositivos que ponen una barrera más para el acceso a los servicios. La biometría es un ejemplo de barrera físico-electrónica que puede fungir como parte de un perímetro.

Romper un perímetro en muchas ocasiones no es suficiente para poder traspasar la seguridad. Es sólo un paso "seguro" dado sobre la nieve, siendo que hay que recorrerla toda sin hundirse, con posibilidad de hundirse sobre ese primer paso. Esto es aprovechado por administradores, consultores y expertos en segurida informática para resolver el problema sin que afecte directamente la integridad de la información.

En dado caso de lograr una infiltración, se necesita después realizar una búsqueda por parte del atacante para llegar a los destinos finales, a sabiendas que pueden existir más perímetros y poner en riesgo el ser descubierto.

Los temas que abaracará son:

  • Seguridad perimetral
  • Dispositivos removibles y desmontables
  • Acceso [Control de accesos]
  • Herramientas
  • Endpoint

Consulta aquí la página de talleres de X25: Talleres X25
Publicado por n|<n0\\/n en 14:32 1 comentarios Etiquetas: , , , ,

Frogster bajo presión | Hacker roba información


Un nuevo caso de secuestro información se ha presentado, en esta ocasión un hacker presume haber robado información 3.5 millones de cuentas de Frogster, que dice publicará en caso de que no se cumplan su demandas. Lo que el hacker solicita es que ciertas formas de operación de Frogster sean cambiadas. Además de ello publicó 2,100 usuarios y contraseñas, que según Mike Kiefer [Administrador de la comunidad Runes of Magic] eran cuentas no actualizadas del año 2007, y que ya habían reportado el incidente a la Oficina de Estado Alemana de Investigación Criminal. Además, informaron haber tomado nuevas medidas de seguridad.

El hacker anónimo bajo el pseudónimo Augustus87 en Runes of Magic, publicó sus demandas, bajo advertencia de publicar 1,000 cuentas con contraseña cada día; después de ello, todos sus posts fueron removidos; en Kotaku.com se ha publicado una captura de uno de los posts removidos. De igual forma, advirtió publicarán la colección de 3.5 millones de cuentas si no se cumplen sus peticiones en 2 semanas, afirmando que 500 mil han sido verificadas, esto a través de un video en Youtube.com; en donde informan haber afectado también a juegos en línea como Bounty Bay Online y Tera.



El ataque [análisis]

Por la información que están brindado, se debió a alguna vulnerabilidad en los servidores UNIX, y el acceso que se tuvo fue a la base de datos con algún usuario de dicho servidor. Quizás podría haber sido a través de una inyección de código SQL. Aclaro que esto no es una afirmación es tan sólo algo posible, ya que Frogster no ha publicado detalles con respecto a lo sucedido.

Observación

En el video de Youtube.com se aprecia que el ataque fue realizado por parte del grupo Anonymous, que se popularizaron en los últimos meses por Operation Payback, Operation Leakspin y Operation Paperstorm, han dado de plazo dos semanas a partir del 13 de Enero del 2011. Sólo con el tiempo se conocerá la veracidad de las advertencias.

Referencias:
Gamasutra
Runes of Magic
Youtube.com
Kotaku.com
Publicado por n|<n0\\/n en 00:56 0 comentarios Etiquetas: , , ,

Wednesday, January 19, 2011

Release de SP1 Windows 7 | Not yet

Microsoft Corporation tras cerrar el año, en los meses de Octubre a Diciembre con varias vulnerabilidades detectadas y corregidas, dejó el compromiso de liberar el Service Pack 1 la primer mitad de este año. Y como era de esperarse, ya se está a la expectativa de su salida.

Actualmente Microsoft tiene un candidato a liberación disponible [Release Candidate-RC], que permiten tener los equipos actualizados. Especifican que dicho RC se adecua mejor para profesionales de tecnologías de la información, desarrolladores y alguno que otro entusiaste que quiera realizar pruebas del funcionamiento del SP.

Cabe destacar que Microsot liberará el SP1 a las empresas manufactureras en el periodo que mencionó el año pasado, pero aún no se ha dicho en cuánto tiempo estará disponible a los usuarios.

Corrieron rumores acerca de la liberación del SP1 a los fabricantes de equipamiento original [Original Equipment Manufacturers - OEMs]. El rumor comenzó en los blogs de technet de Rusia el día 13 de Enero del 2010. Se publicó después una actualización sobre el artículo advirtiendo que Microsoft no ha liberado el SP1 aún. Así que la expectativa continúa



Referencias:
Zdnet.co.uk
Technet.com
CNET News
Microsoft
Publicado por n|<n0\\/n en 04:30 0 comentarios Etiquetas: , , , ,

SISCTI 36 | Conferencias internacionales de tecnología


El próximo mes de Marzo se llevará a cabo el Simposium Internacional de Sistemas Computacionales y Tecnologías de Información [SISCTI] en su XXXVI [trigésimo sexta] edición, que se caracteriza por ser organizada por estudiantes de Tecnologías de la Información del Instituto Tecnológico y de Estudios Superiores de Monterrey, conocido más como Tecnológico de Monterrey.

El SISCTI36 hasta ahora ha confirmado cuatro conferencias:

- John Resig [Creador de jQuery|Desarrollador para Mozilla Corporation]
Mobile JavaScript and jQuery Mobile
- Luis Magdalena [Director General de European Centre for Soft Computing]
Soft computing: la “inteligencia natural” de las máquinas
- Johan Oskarsson [Ingeniero de Software en Twitter]
Big Data: Innovation and Opportunities
- Collin Mulliner [Universitaet Berlin y Deutsche Telekom Laboratories]
Attacking SMS

Además de las conferencias se realizarán concursos que van desde la ciencia ficción hasta proyectos académico-empresariales [Gamers,Robótica,Emprendimiento,etc], talleres en diferentes temas de tecnología desde programación hasta diseño, y foros estudiantiles en donde se podrán compartir temas en común.

El evento estará saturado de información sobre tecnología, no sólo para aquellos que están inmersos en este mundo, sino también para aquellos que comienzan a interesarse y quieren expandir su visión y conocer el estado del arte de las tecnologías de la información.


Sede: Auditorio Luis Elizondo. Monterrey, NL
Días: 3,4 y 5 de Marzo 2011
Costo: $950 Antes del 5/02/2011 | $1050 Después del 5/02/2011


Referencia:
SISCTI
Publicado por n|<n0\\/n en 01:12 0 comentarios Etiquetas: , , , ,

Monday, January 17, 2011

Ransomware genera USD$30mil   \
Users abused


Apenas a finales del año pasado, se estuvo presentando una nueva forma de ataque cuya característica era la estafa directa a usuarios, como por ejemplo, las llamadas por celular y correos electrónicos falsos para solicitar dinero, que afectan directamente a quién los recibe. Pero en esta ocasión, esta estafa una vez realizada va más allá de un simple chantaje.

La navegación por Internet abre una amplia gama de posibilidades para el robo de información personal, además troyanos, gusanos y spywares son ofrecidos de manera sencilla y atractiva ocultos detrás del freeware. Esto no quiere decir que todo freeware contenga código malicioso, sino que es la carnada perfecta utilizada por la comunidad Black Hat para atrapar usuarios que no tienen la precaución de revisar lo que descargan o de proteger sus equipos.

Los crímenes cibernéticos que se cometen hoy en día suelen enfocarse al secuestro de la computadora o de la información de los usuarios, a través de malware que impide al usuario acceder a su información.

Las redes ransomware generaron cerca de USD$30mil [$350mil MXN aprox.] en un sólo mes fue cifrando la información de los usuarios a través de malware que descargaban sin saberlo, y después de ello se le indicaba al usuario que para recuperar su información tenía que enviar un mensaje SMS para recibir un código que reestableciera la información, la agencia SMS cobraba USD$12 [cerca de $150 MXN] por dicho mensaje.

El investigador Nart Villeneuve, de Trend Labs, menciona en el Malware Blog de Trend Labs se realizaron 137 mil descargas de un archivo detectado por Trend Micro conocido como WORM_RIXOBOT.A tan sólo durante el mes de Diciembre del 2010, en mayoría de Rusia, de páginas pornográficas.

En una actualización realizada el día 16 de Enero del 2011, se ha detectado que el archivo WORM_RIXOBOT.A fue renombrado TROJ_RANSOM.QOWA.

De igual forma han identificado dos canales de infección principales, que son a través de aplicaciones de mensajería instantánea y dispositivos extraíbles.


Referencias:
Publicado por n|<n0\\/n en 18:35 0 comentarios Etiquetas: , , , ,

Instituciones pirateadas | Hijacked!!!

El equipo de investigación de Zscaler Inc a publicado en su blog la lista de sitios que han sido más pirateados. Dentro de la lista aparecen instituciones gubernamentales y universidad de Estados Unidos.

El ataque

El ataque consiste en redireccionar a los usuarios a páginas que ellos no esperan. En este caso, redirecciona a búsquedas con extrañas en Google.com. Las búsquedas que aparecen en su mayoría son a sitios de compra falsos, que ofrecen software a precios más bajas, así como son licencias de Microsoft Windows 7. Además de ello, en la búsqueda se muestran puertos no estándar pare realizar la conexión a los sitios listados.

Los sitios que se muestran en la supuesta búsqueda pertenecen a diferentes dominios, pero que son muy parecidos, y Julien Sobrier menciona haber encontrado cerca de 75 dominios diferentes. Aunado a ello, Ryan Cloutier (contribuidor de searchsecurity.com) remarca que lo que hace único a este tipo de ataque o intento de ataque que utiliza los algoritmos de google en contra de la búsqueda del usuario, es que soporta diversos lenguajes

Sobrier indica que los sitios con puertos no estándar son usados para promover asuntos como venta de viagra, y la oferta de VISA para estudiantes en Estados Unidos.

Resultados

Los spammers ya no sólo envían correos, y es algo que hay que tener en cuenta. Aparecen en las redes sociales, durante la navegación, y ahora están apareciendo en las búsquedas que realizan los usuarios. Sitios importantes se ven comprometidos y a la vez se pone en riesgo su reputación, como en la siguiente imagen se muestra, la misma búsqueda en Google.com nos muestra que es un sitio del cual se desconfía.


Referencias:
SearchSecurity.com
CSO Security and Risk
Zscaler.com
Publicado por n|<n0\\/n en 13:28 0 comentarios Etiquetas: , , ,

"X.25 Ethical Hacking Conferences" 2011

El Centro de Investigaciones en Alta Tecnología organiza el
Segundo
"X.25 Ethical Hacking Conferences" 2011

Se llevará a cabo del 21 al 23 de Octubre del 2011, uno de los principales eventos en Latinoamérica y primero en su tipo en México relacionado con el (Hacking Ético).
En su segunda edición se tendrán a mas personalidades del hacking mexicano mostrando nuevas vulnerabilidades y técnicas de hacking.

INSCRIPCIONES ABIERTAS

El "X.25 Ethical Hacking Conferences" permite reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.

Este evento se dividirá en dos etapas: los talleres de especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus útimas investigaciones y experiencias en el área.

FILOSOFIA:

VISION: Ser un congreso reconocido a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma de una forma ÉTICA y PROFESIONAL.

MISIÓN: Este congreso esta comprometido a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país

VALORES: Liderazgo - Transparencia - Ética - Profesionalismo
Publicado por n|<n0\\/n en 04:36 0 comentarios Etiquetas: , , ,

Bienvenida

Se da la bienvenida a todos los interesados en la seguridad informática y lo que implique a su vez la inseguridad. Cualquier comentario es bienvenido.
Publicado por n|<n0\\/n en 04:31 0 comentarios Etiquetas:
Subscribe to: Posts (Atom)