El siguiente paso... Marzo 2011...
SHES Logo by Miguel Cervantes is licensed under a Creative Commons Attribution-NoDerivs 3.0 Unported License.
Saturday, January 22, 2011
Marzo 2011
SHES Logo by Miguel Cervantes is licensed under a Creative Commons Attribution-NoDerivs 3.0 Unported License.
Cargos por iPad hacking | Apple says: No comments
El Martes de esta semana [18 de Enero 2011], fiscales federales de los Estados Unidos de América anunciaron que existen dos personas con cargos por hackear el sitio de AT&T y por haber recolectado cerca de 120 mil direcciones de correo electrónico de personas que poseen un iPad. Las dos personas que presentan cargos son [ambos fueron puestos bajo custodia por parte del FBI]:
- Andrew Auernheimer de 25 años de Fayetteville, Ark.
- Daniel Spitler de 26 años de San Francisco
El ataque se produjo en Junio del 2010, cuando AT&T publicó la reparación de un hoyo de seguridad que permitía a personas no autorizadas a acceder a las direcciones de correo electrónico de los usuarios. Esto provocó que se tuviera una lista de los usuarios que habían sido los primeros en comprar o acceder al producto de Apple, iPad 3G. Entre sus usuarios destacaban figuras políticas y militares, incluyendo al presidente de los Estados Unidos de América, según rumores en Gawker.
El ataque se perpetró con un script de AT&T que solicitaba un identificador, al cual llamaron ICC-ID, y en base a ello regresaba una dirección de correo. Los hackers, de Goatse Security, realizaron un ataque de fuerza bruta que escogía de forma aleatoria un identificador, y de esta forma si existía, tenían como respuesta la dirección de correo electrónico del usuario. Esta petición se realizaba alterando el User_Agent de las cabeceras en las peticiones, por el User_Agent que utilizan los iPads, y así el servidor de AT&T respondía.
Goatse Security acusó en su página a AT&T de no implementar su seguridad de forma correcta, pues no la toman seriamente, y que lo que obtuvieron fue en un ataque perpetrado en no más de una hora. A su vez, afirmaron no haber realizado la acción con fines lucrativos ni por afectar a la empresa, aclarando que lo hicieron como un servicio a su nación, y que lo hicieron con fines de interés público.
Spliter actualmente no tiene derecho a acceder a Internet, sólo en su trabajo. Se le retiró su pasaporte y sólo puede viajar a California y Nueva Jersey hasta que la corte dicte su veredicto.
Apple dijo no tener comentarios, mientras AT&T a través de su vocero hizo saber que "toman muy en serio la privacidad de sus clientes, y apoyan la fuerza de la ley por protegerla".
Es claro que trás el gran éxito del iPad en el mercado, los hackers estén volteando a mirar con más detenimiento lo que hace Apple. La cantidad de personas con un dispositivo o equipo de Apple es mayor comparado incluso con la cantidad de usuarios del 2009. Apple se verá sometida a una prueba de fuego, de la que debe salir con paso firme si es que no quiere dañar su reputación perder el mercado que ha ganado.
Comentario
Hay que recordar, "Las Apple|Mac no tienen virus...", es algo completamente falso. Apenas dos semanas atrás, escuché a un vendedor intentando convencer al cliente con esa frase. El usuario promedio lo creerá, y los hackers con esos usuarios podrán navegar plácidamente por Internet con usuarios así, imaginen la botnet con equipos de Apple vulnerados por un sólo hoyo de seguridad porque "no hay virus para la Mac", nos llevaría a decir Mac OS = Vulnerabilidad. La parte más vulnerable de una computadora, es el usuario.
CNN Money
Goatse Security
CNN Money: iPad attacked
CNN Money: Apple Security
CNN Money: iPad breack
Gawker
Friday, January 21, 2011
Mac and Linux bots| Vulnerable Malware
Investigadores de Symantec han hallado un troyando que afecta a equipos con sistema operativo Mac y Linux, y no sólo los equipos con Windows. Lo cual lo convierte en un malware multiplataforma.
El troyano es conocido como
El troyano es conocido como
- Trojan.JnanabotOSX
- Koobface.A
- trojan.osx.boonana.a
El malware se ha difundido a través de Facebook con el mensaje:
"As you are on my friends list I thought I would let you know I have decided to end my life."
["Como estás en mi lista de amigos pensé en hacerte saber que he decidido terminar con mi vida "]
Los enlaces que contenía apuntaban a un archivo de JAVA, o un JAR, que puede ejecutarse en diversos sistemas operativos, y ya estando infectado el equipo a través del código malicioso, la cuenta de Facebook también es portadora del malware.
Este código malicioso está escrito en Java, y por ello puede ser multiplataforma. Al descargarse e instalarse, almacena todo el código que requiere en un directorio oculto en la carpeta del usuario, y para establecer comunicación con la botnet, utiliza métodos de cifrado bastante fuertes.
Los investigadores de Symantec también dieron con que el malware cuenta con vulnerabilidades, lo cual puede ser aprovechado por otros atacantes, fuera de la botnet, para insertar archivos en las máquinas que han sido infectadas, por lo cual al estar infectada la máquina, no sólo se suma a la botnet sino que se hace vulnerable a otro tipo de ataques, pues la vulnerabilidad es de tipo "traversal" [como directory traversal], dando la posibilidad de acceder a los archivos de la máquina con la posibilidad de ejecutar código arbitrariamente, escribir en los directorios y eliminar archivos. También descubrieron que el malware no sigue funcionando en sistemas Linux después de reiniciar.
El malware por ahora sólo ha llegado a miles de infecciones y no a cientos de miles. Pero ha de ser considerado pues de aumentar la cantidad de infecciones, la botnet crecerá exponencialmente, y no será fácil controlarla ya que se le puede indicar al bot que haga ataques DoS y hasta publicar en las cuentas de Facebook de los usuarios infectados, y estas instrucciones las recibe a través de IRC [Internet Relay Chat].
A pesar de que principalmente se ha esparcido por Facebook, se ha detectado que se la logrado dispersar por diversas redes sociales, como son Twitter y Myspace.
Jee Morparia, empleado de Symantec ha clasificado el funcionamiento del malware en los siguientes componentes:
"As you are on my friends list I thought I would let you know I have decided to end my life."
["Como estás en mi lista de amigos pensé en hacerte saber que he decidido terminar con mi vida "]
Los enlaces que contenía apuntaban a un archivo de JAVA, o un JAR, que puede ejecutarse en diversos sistemas operativos, y ya estando infectado el equipo a través del código malicioso, la cuenta de Facebook también es portadora del malware.
Este código malicioso está escrito en Java, y por ello puede ser multiplataforma. Al descargarse e instalarse, almacena todo el código que requiere en un directorio oculto en la carpeta del usuario, y para establecer comunicación con la botnet, utiliza métodos de cifrado bastante fuertes.
Los investigadores de Symantec también dieron con que el malware cuenta con vulnerabilidades, lo cual puede ser aprovechado por otros atacantes, fuera de la botnet, para insertar archivos en las máquinas que han sido infectadas, por lo cual al estar infectada la máquina, no sólo se suma a la botnet sino que se hace vulnerable a otro tipo de ataques, pues la vulnerabilidad es de tipo "traversal" [como directory traversal], dando la posibilidad de acceder a los archivos de la máquina con la posibilidad de ejecutar código arbitrariamente, escribir en los directorios y eliminar archivos. También descubrieron que el malware no sigue funcionando en sistemas Linux después de reiniciar.
El malware por ahora sólo ha llegado a miles de infecciones y no a cientos de miles. Pero ha de ser considerado pues de aumentar la cantidad de infecciones, la botnet crecerá exponencialmente, y no será fácil controlarla ya que se le puede indicar al bot que haga ataques DoS y hasta publicar en las cuentas de Facebook de los usuarios infectados, y estas instrucciones las recibe a través de IRC [Internet Relay Chat].
A pesar de que principalmente se ha esparcido por Facebook, se ha detectado que se la logrado dispersar por diversas redes sociales, como son Twitter y Myspace.
Jee Morparia, empleado de Symantec ha clasificado el funcionamiento del malware en los siguientes componentes:
- Library - Las biblotecas necesitadas por el malware [recordemos que el malware sigue siendo un software] para ejecutarse en Mac OSX, Linux AMD 64, Linux x86 y Windows x86.
- Main - El archivo .jar que controla la ejecución.
- Instalación/Actualización - Mecanismo de instalación y actualización del malware.
- IRC - Permite las conexiones remotas IRC para recibir instrucciones.
- Key logging - Registro.
- Crypt - Mecanismo para descifrar la información que recibe.
- Facebook - Permite que el malware haga uso de la cuenta de Facebook de la víctima para enviar nuevos enlaces a través de publicaciones para la descarga del malware.
Referencias:
TheRegister
Intego
Symantec
Symantec [continuación]
DoS FUSE | Ubuntu vulnerable
Aplica a las siguientes versiones de Ubuntu:
- Ubuntu 8.04
- Ubuntu 9.10
- Ubuntu 10.04
- Ubuntu 10.10
Ubuntu 8.04 - fuse-utils 2.7.2-1ubuntu2.2
Ubuntu 9.10 - fuse-utils 2.7.4-1.1ubuntu4.4
Ubuntu 10.04 - fuse-utils 2.8.1-1.1ubuntu2.2
Ubuntu 10.10 - fuse-utils 2.8.4-1ubuntu1.1
De igual forma se necesita actualizar:
Ubuntu 8.04 - mount 2.13.1-5ubuntu3.1
Ubuntu 9.10 - mount 2.16-1ubuntu5.1
Ubuntu 10.04- mount 2.17.2-0ubuntu1.10.04.1
Ubuntu 10.10 - mount 2.17.2-0ubuntu1.10.10.1
Es importante actualizar la herramienta, de lo contrario un atacante de forma local puede desmontar sistemas de archivo sin que se registre dicha modificaciones en mtab, provocando una denegación de servicio. De igual forma la actualización de mount para que FUSE pueda utilizar todas sus opciones de forma correta.
Se le conoce con como el CVE-2010-3879
Referencia:
Ubuntu
Thursday, January 20, 2011
Hack-and-sec.org @ X25 | Perimeter Security
Hack-and-sec.org estará presente en las segundas conferencias de hacking ético, X25 V2.0. Se estará presentando con el taller:
Perimeter security: Breaking the wall to the endpoint and Bypassing perimeter security
Es sabido que muchas empresas optan por implementar diversos métodos, técnicas y herramientas para proteger la entrada a sus servidores y evitar que su información sea revelada. Es por eso que una de las medidas principales que se toma es la seguridad perimetral.
La seguridad perimetral en el ámbito de la computación hace referencia a los dispositivos que ponen una barrera más para el acceso a los servicios. La biometría es un ejemplo de barrera físico-electrónica que puede fungir como parte de un perímetro.
Romper un perímetro en muchas ocasiones no es suficiente para poder traspasar la seguridad. Es sólo un paso "seguro" dado sobre la nieve, siendo que hay que recorrerla toda sin hundirse, con posibilidad de hundirse sobre ese primer paso. Esto es aprovechado por administradores, consultores y expertos en segurida informática para resolver el problema sin que afecte directamente la integridad de la información.
En dado caso de lograr una infiltración, se necesita después realizar una búsqueda por parte del atacante para llegar a los destinos finales, a sabiendas que pueden existir más perímetros y poner en riesgo el ser descubierto.
Los temas que abaracará son:
- Seguridad perimetral
- Dispositivos removibles y desmontables
- Acceso [Control de accesos]
- Herramientas
- Endpoint
Consulta aquí la página de talleres de X25: Talleres X25
Frogster bajo presión | Hacker roba información
Un nuevo caso de secuestro información se ha presentado, en esta ocasión un hacker presume haber robado información 3.5 millones de cuentas de Frogster, que dice publicará en caso de que no se cumplan su demandas. Lo que el hacker solicita es que ciertas formas de operación de Frogster sean cambiadas. Además de ello publicó 2,100 usuarios y contraseñas, que según Mike Kiefer [Administrador de la comunidad Runes of Magic] eran cuentas no actualizadas del año 2007, y que ya habían reportado el incidente a la Oficina de Estado Alemana de Investigación Criminal. Además, informaron haber tomado nuevas medidas de seguridad.
El hacker anónimo bajo el pseudónimo Augustus87 en Runes of Magic, publicó sus demandas, bajo advertencia de publicar 1,000 cuentas con contraseña cada día; después de ello, todos sus posts fueron removidos; en Kotaku.com se ha publicado una captura de uno de los posts removidos. De igual forma, advirtió publicarán la colección de 3.5 millones de cuentas si no se cumplen sus peticiones en 2 semanas, afirmando que 500 mil han sido verificadas, esto a través de un video en Youtube.com; en donde informan haber afectado también a juegos en línea como Bounty Bay Online y Tera.
El ataque [análisis]
Por la información que están brindado, se debió a alguna vulnerabilidad en los servidores UNIX, y el acceso que se tuvo fue a la base de datos con algún usuario de dicho servidor. Quizás podría haber sido a través de una inyección de código SQL. Aclaro que esto no es una afirmación es tan sólo algo posible, ya que Frogster no ha publicado detalles con respecto a lo sucedido.
Observación
En el video de Youtube.com se aprecia que el ataque fue realizado por parte del grupo Anonymous, que se popularizaron en los últimos meses por Operation Payback, Operation Leakspin y Operation Paperstorm, han dado de plazo dos semanas a partir del 13 de Enero del 2011. Sólo con el tiempo se conocerá la veracidad de las advertencias.
Referencias:
Gamasutra
Runes of Magic
Youtube.com
Kotaku.com
Wednesday, January 19, 2011
Release de SP1 Windows 7 | Not yet
Microsoft Corporation tras cerrar el año, en los meses de Octubre a Diciembre con varias vulnerabilidades detectadas y corregidas, dejó el compromiso de liberar el Service Pack 1 la primer mitad de este año. Y como era de esperarse, ya se está a la expectativa de su salida.
Actualmente Microsoft tiene un candidato a liberación disponible [Release Candidate-RC], que permiten tener los equipos actualizados. Especifican que dicho RC se adecua mejor para profesionales de tecnologías de la información, desarrolladores y alguno que otro entusiaste que quiera realizar pruebas del funcionamiento del SP.
Cabe destacar que Microsot liberará el SP1 a las empresas manufactureras en el periodo que mencionó el año pasado, pero aún no se ha dicho en cuánto tiempo estará disponible a los usuarios.
Corrieron rumores acerca de la liberación del SP1 a los fabricantes de equipamiento original [Original Equipment Manufacturers - OEMs]. El rumor comenzó en los blogs de technet de Rusia el día 13 de Enero del 2010. Se publicó después una actualización sobre el artículo advirtiendo que Microsoft no ha liberado el SP1 aún. Así que la expectativa continúa
Referencias:
Zdnet.co.uk
Technet.com
CNET News
Microsoft
SISCTI 36 | Conferencias internacionales de tecnología
El próximo mes de Marzo se llevará a cabo el Simposium Internacional de Sistemas Computacionales y Tecnologías de Información [SISCTI] en su XXXVI [trigésimo sexta] edición, que se caracteriza por ser organizada por estudiantes de Tecnologías de la Información del Instituto Tecnológico y de Estudios Superiores de Monterrey, conocido más como Tecnológico de Monterrey.
El SISCTI36 hasta ahora ha confirmado cuatro conferencias:
- John Resig [Creador de jQuery|Desarrollador para Mozilla Corporation]
Mobile JavaScript and jQuery Mobile
- Luis Magdalena [Director General de European Centre for Soft Computing]
Soft computing: la “inteligencia natural” de las máquinas
- Johan Oskarsson [Ingeniero de Software en Twitter]
Big Data: Innovation and Opportunities
- Collin Mulliner [Universitaet Berlin y Deutsche Telekom Laboratories]
Attacking SMS
Además de las conferencias se realizarán concursos que van desde la ciencia ficción hasta proyectos académico-empresariales [Gamers,Robótica,Emprendimiento,etc], talleres en diferentes temas de tecnología desde programación hasta diseño, y foros estudiantiles en donde se podrán compartir temas en común.
El evento estará saturado de información sobre tecnología, no sólo para aquellos que están inmersos en este mundo, sino también para aquellos que comienzan a interesarse y quieren expandir su visión y conocer el estado del arte de las tecnologías de la información.
Sede: Auditorio Luis Elizondo. Monterrey, NL
Días: 3,4 y 5 de Marzo 2011
Costo: $950 Antes del 5/02/2011 | $1050 Después del 5/02/2011
Referencia:
SISCTI
Monday, January 17, 2011
Ransomware genera USD$30mil \
Users abused
Apenas a finales del año pasado, se estuvo presentando una nueva forma de ataque cuya característica era la estafa directa a usuarios, como por ejemplo, las llamadas por celular y correos electrónicos falsos para solicitar dinero, que afectan directamente a quién los recibe. Pero en esta ocasión, esta estafa una vez realizada va más allá de un simple chantaje.
La navegación por Internet abre una amplia gama de posibilidades para el robo de información personal, además troyanos, gusanos y spywares son ofrecidos de manera sencilla y atractiva ocultos detrás del freeware. Esto no quiere decir que todo freeware contenga código malicioso, sino que es la carnada perfecta utilizada por la comunidad Black Hat para atrapar usuarios que no tienen la precaución de revisar lo que descargan o de proteger sus equipos.
Los crímenes cibernéticos que se cometen hoy en día suelen enfocarse al secuestro de la computadora o de la información de los usuarios, a través de malware que impide al usuario acceder a su información.
Las redes ransomware generaron cerca de USD$30mil [$350mil MXN aprox.] en un sólo mes fue cifrando la información de los usuarios a través de malware que descargaban sin saberlo, y después de ello se le indicaba al usuario que para recuperar su información tenía que enviar un mensaje SMS para recibir un código que reestableciera la información, la agencia SMS cobraba USD$12 [cerca de $150 MXN] por dicho mensaje.
El investigador Nart Villeneuve, de Trend Labs, menciona en el Malware Blog de Trend Labs se realizaron 137 mil descargas de un archivo detectado por Trend Micro conocido como WORM_RIXOBOT.A tan sólo durante el mes de Diciembre del 2010, en mayoría de Rusia, de páginas pornográficas.
En una actualización realizada el día 16 de Enero del 2011, se ha detectado que el archivo WORM_RIXOBOT.A fue renombrado TROJ_RANSOM.QOWA.
De igual forma han identificado dos canales de infección principales, que son a través de aplicaciones de mensajería instantánea y dispositivos extraíbles.
Referencias:
Instituciones pirateadas | Hijacked!!!
El ataque
El ataque consiste en redireccionar a los usuarios a páginas que ellos no esperan. En este caso, redirecciona a búsquedas con extrañas en Google.com. Las búsquedas que aparecen en su mayoría son a sitios de compra falsos, que ofrecen software a precios más bajas, así como son licencias de Microsoft Windows 7. Además de ello, en la búsqueda se muestran puertos no estándar pare realizar la conexión a los sitios listados.
Los sitios que se muestran en la supuesta búsqueda pertenecen a diferentes dominios, pero que son muy parecidos, y Julien Sobrier menciona haber encontrado cerca de 75 dominios diferentes. Aunado a ello, Ryan Cloutier (contribuidor de searchsecurity.com) remarca que lo que hace único a este tipo de ataque o intento de ataque que utiliza los algoritmos de google en contra de la búsqueda del usuario, es que soporta diversos lenguajes
Sobrier indica que los sitios con puertos no estándar son usados para promover asuntos como venta de viagra, y la oferta de VISA para estudiantes en Estados Unidos.
Resultados
Los spammers ya no sólo envían correos, y es algo que hay que tener en cuenta. Aparecen en las redes sociales, durante la navegación, y ahora están apareciendo en las búsquedas que realizan los usuarios. Sitios importantes se ven comprometidos y a la vez se pone en riesgo su reputación, como en la siguiente imagen se muestra, la misma búsqueda en Google.com nos muestra que es un sitio del cual se desconfía.
Referencias:
SearchSecurity.com
CSO Security and Risk
Zscaler.com
"X.25 Ethical Hacking Conferences" 2011
Segundo
"X.25 Ethical Hacking Conferences" 2011
Se llevará a cabo del 21 al 23 de Octubre del 2011, uno de los principales eventos en Latinoamérica y primero en su tipo en México relacionado con el (Hacking Ético).
En su segunda edición se tendrán a mas personalidades del hacking mexicano mostrando nuevas vulnerabilidades y técnicas de hacking.
INSCRIPCIONES ABIERTAS
El "X.25 Ethical Hacking Conferences" permite reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.
Este evento se dividirá en dos etapas: los talleres de especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus útimas investigaciones y experiencias en el área.
FILOSOFIA:
VISION: Ser un congreso reconocido a nivel nacional que impulse y desarrolle la seguridad informática y de igual manera promueva la educación en la misma de una forma ÉTICA y PROFESIONAL.
MISIÓN: Este congreso esta comprometido a promover y fortalecer la seguridad informática en México, con el objetivo de dar a conocer la importancia que tiene forjar una cultura en cuanto a seguridad informática para asegurar un buen acceso, manejo y distribución de la información en el país
VALORES: Liderazgo - Transparencia - Ética - Profesionalismo
Bienvenida
Se da la bienvenida a todos los interesados en la seguridad informática y lo que implique a su vez la inseguridad. Cualquier comentario es bienvenido.
Subscribe to:
Posts (Atom)