Un Estudiante Del Lado Del Mal

Financiamiento

noreply@blogger.com (The_Raptor) — Fri, 03 Apr 2009 01:07:14 PDT

Si quereis ayudar a crecer a este blog pasaros por este:

Como Ganar Dinero Gracias A PayPal

Cp666Group, La mayor coleccion de Troyanos de Internet

noreply@blogger.com (The_Raptor) — Wed, 11 Mar 2009 09:35:01 PDT

Que es Cp666Group¿?

Es una comunidad de usuarios de diversas nacionalidades que comparten una misma aficcion, la seguridad informatica o hacking.

Una de sus principales cualidades es una que ya tenian en el pasado y que resurgio hace poco, una coleccion de troyanos(Actualmente 715 y en aumento)

Tambien hay que destacar su foro con gran contenido, entre los que encontramos manuales y programas echos por los propios usuarios.

Cada cierto tiempo se crean WarGames en la que todos los users que tengan ganas de aprender pueden participar.

En la actualida tienen varios proyectos en marcha, entre los que se encuentrar el CP666Rat, ya conocido antes por ser un troyano totalmente indetectable que ahora vuelve a cobrar forma. Por otro lado tambien tienen el Devotionex que es un troyano creado en Java(Creo que es el unico en este lenguaje)posibilitando que sea multiplataforma.

Links:
Web
Foro

Sistemas de localización por GPS: ¿Funcionalidad o pérdida de privacidad ?

noreply@blogger.com (The_Raptor) — Tue, 10 Mar 2009 04:24:35 PDT

Navegando por internet me encntre esta noticia:

Dentro del mundo de la seguridad física, y aprovechando las diferentes capacidades que nos brinda la tecnología GPS (hasta que dejen de permitirnos la utilización gratuita de los satélites y haya que pagar por ellos), quiero mencionar ciertas aplicaciones que pueden ser muy interesantes.

El mínimo común múltiplo de dichas aplicaciones incluyen la utilización de un dispositivo de localización GPS con una tarjeta SIM y conectividad GPRS, UMTS o HSDPA Dicho equipo es capaz de enviar vía tarjeta SIM, hacia un servidor web determinado y de forma periódica, las coordenadas detectadas por el chip GPS interno. ¿Utilidades que puede tener este invento? Desde control de flotas de vehículos (camiones/furgonetas de reparto, gestión óptima de taxis,...), así como monitorización/localización de personas mayores, niños, mascotas, colectivos de ganado,... (sí, ya sé positivamente que mezclar personas que presentan ciertas debilidades físicas o mentales y animales, a modo de ejemplos no es del todo adecuado), marcado de según qué tipo de objetos para su control (véase el caso de introducir un dispositivo en un alijo de drogas/armas y hacer su seguimiento en un momento dado para desmantelar una banda organizada),.... y todo ello en tiempo real.

Evidentemente, el conocer las coordenadas de localización provistas por el dispositivo, es mucho más útil si además se facilita la superposición de las mismas sobre un mapa, que permita identificar con una calle/cruce de una ciudad a la que podamos acudir con el séptimo de caballería. Por ello, hay multitud de empresas que ofrecen el servicio (tras autenticación mediante usuario/contraseña) de superponer las coordenadas enviadas por el dispositivo sobre una cartografía entendible (generalmente se utiliza Google Maps). Entre otras podemos destacar, como servicios comerciales (o casi comerciales, puesto que permiten funcionalizades libres): www.locatormap.eu, Sanav, Grupo Detector (venden el dispositivo por unos 700 euros con instalación incluida de forma oculta en el coche más un mantenimiento anual de 150 euros más o menos),...

En cuanto a proyectos libres (aquellos que permiten la instalación propia de un servidor de aplicaciones o web y base de datos a los que enviar las coordenadas los dispositivos) podemos destacar: OpenGTS/OpenDMTP... Ambos, aparte de ser compatibles con los dispositivos GC101M y GC101FA, proveen de una aplicación que se puede instalar en una PDA con GPS (en versiones C++ y java). De momento sólo está soportada/probada en la PDA HP hw6945????? aunque tengo en mi To Do probarla en mi antigua Qtek 9100 con una antena GPS bluetooth desde hace un tiempo :-$

Llegados a este punto, lo que me gustaría plantear, tal cual reza el título de este artículo es: ¿Cómo de protegida se encuentra la información de coordenadas por parte de las empresas que proveen de este servicio? ¿Hasta qué punto la autenticación que proveen mediante usuario/contraseña es fácilmente comprometible? La realidad es que dicha información podría ser objeto de compra por multitud de empresas que quieran recopilar datos sobre la rutina diaria de determinado tipo de personas a fin de ofrecerles publicidad más certera, mafias que deseen conocer recorridos y horarios para desvalijar casas vacías, etc,...

¿Quién nos asegura que nuestros datos de navegación (de vehículo) mantendrán unos niveles adecuados de seguridad a fin de mantener nuestra privacidad? En general las organizaciones que ofrecen estos servicios de tracking suelen hacerlo de una forma gratuita (o con una versión gratis y una de pago más funcional) por lo que (sin haberme leído los términos de su licencia de uso) se puede intuir que los datos que ahí se almacenan son parte de su propiedad para poderlos vender, o utilizar a su voluntad.

Fuente

La pregunta seria, esto es un principio de un "Gran Hermano"¿?

Twitter propenso a ataques por fuerza bruta

noreply@blogger.com (The_Raptor) — Tue, 10 Mar 2009 04:15:53 PDT

Días atrás publicamos algo sobre los ataques de los que fueron víctima Twitter y sus usuarios, recapitulando, muchos se vieron afectados por mensajes directos que tenían como objetivo el robo de la información acceso a dicho sistema y seguido por diferencia de dos días de una intrusión a 30 cuentas pertenecientes a celebridades y cadenas de noticias.
Esto último fue lo que más alarmo a los usuarios, ya que fue posible debido a una debilidad del sistema utilizado por los empleados de Twitter, del cual nos enteramos ahora vía Wired que el individuo detrás de estas intrusiones logro hacerlo aprovechando un error en Twitter que no es ni más ni menos que no controlar el tiempo entre intento e intento de acceso, y con ayuda de algunas herramientas que uno puede encontrar con solo realizar una búsqueda en Internet, perpetro un ataque de fuerza bruta logrando así acceder al anterior mencionado sistema de administración de la web.

Para los que no sepan, la idea básica de un ataque de fuerza bruta es intentar todas las combinaciones posibles de usuario + clave hasta encontrar la que nos permita el acceso. Este tipo de ataque debería haber sido tenido en cuenta a la hora del desarrollo inicial, no estamos hablando de una nueva técnica extremadamente compleja de reproducir, es una de los métodos de intrusión más comunes y simples de realizar. Aquí está el video publicado por el atacante en donde demuestra tener acceso administrativo a Twitter.

Fuente

¿Aprende Conficker más rápido que los internautas?

noreply@blogger.com (The_Raptor) — Fri, 06 Mar 2009 00:53:31 PST

Enésima versión de Conficker (en este caso llamada B++ por algunas
casas) que salta a los sistemas (y a los medios). Se trata del azote
vírico del año, en un paralelismo sorprendente en muchos aspectos con lo
que se dio en llamar el "Storm worm" y que se convirtió en la pesadilla
de todo 2007 y parte de 2008. Los niveles de infección de Conficker
siguen al alza, quedando ya lejos aquella primera versión que solo
aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido
nada? ¿Puede presentarse otro malware de manual y evolucionar
exactamente de la misma forma que uno que ya sufrimos hace dos años?

Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de
sus servicios (corregido en octubre, en el boletín MS08-067), al más
puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas
bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue
hasta que enriqueció su estrategia de infección, cuando realmente los
medios se fijaron en él. Desde diciembre, comienza a copiarse a las
unidades mapeadas en el sistema y, sobre todo, en los dispositivos
extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque
automático para poder ejecutarse en la siguiente víctima. Con este doble
enfoque, consigue dar el salto desde las redes internas desprotegidas
(donde aparentemente tiene más posibilidades de propagarse) hacia
cualquier otro sistema externo, y esparcirse así en redes en principio
"a salvo" gracias al cortafuegos (su verdadero enemigo). Su relativo
éxito anima a medios y casas antivirus a lanzar una alerta "palpable",
de las que hacía años que no se emitían, como cuando se alertaba sobre
virus concretos de propagación masiva.

Sobre esta base de infección y "cuota de mercado", Conficker comienza a
evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el
Conficker mute con nuevas versiones, sino que se ha convertido en un
complejo sistema multi-modular que se ayuda de servidores comprometidos
o no y una flexibilidad que permite que sus métodos de infección mejoren
cada poco tiempo. Conficker evoluciona así desde un gusano tradicional
hacia un complejo sistema perfectamente orquestado, cambiante y eficaz.
Del primer Conficker apenas queda el nombre. Conficker es ahora una gran
familia.

Si miramos atrás, "Storm Worm" o "Storm Virus" se popularizó a finales
de 2006 como malware de rápida distribución que infectó a millones de
sistemas Windows. Al principio, se propagaba de la forma más "burda"
posible: un ejecutable a través de spam. Esta técnica, que se creía
superada, provocó que muchos usuarios lo ejecutasen y quedasen
infectados. Como Conficker, triunfó a pesar de usar técnicas de
infección muy poco novedosas. Como con Conficker, los medios se fijaron
en él precisamente por su simplicidad, por suponer un virus reconocible
por los usuarios medios y poder usarlo de cabeza de turco como años
atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con
una infraestructura de sistemas que crecía cada día, Storm Worm sentó
las bases de un ejército de equipos infectados. Como Conficker, los
atacantes comenzaron a mejorar su propio código, y de qué manera. A los
pocos meses se propagaba a través de técnicas mucho más sofisticadas.
Las máquinas infectadas se usaron para enviar spam (en cantidades
industriales) en campañas espaciadas en el tiempo, cada una más
virulenta que la anterior, que no hacían más que realimentar el número
de sistemas infectados... Y Storm Worm se convirtió en una pesadilla de
decenas de archivos que mutaban y cambiaban cada minuto, muchos datos
robados, poco ratio de detección, e infinidad de basura en la bandeja de
entrada.

¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un
año como número uno en infecciones? ¿Es que no hemos aprendido nada?

¿Existen programas sin fallos de seguridad?

noreply@blogger.com (The_Raptor) — Mon, 09 Mar 2009 04:05:25 PDT

Ante esa pregunta, a muchos se nos viene a la cabeza automáticamente
el servidor de correo qmail y el servidor DNS djbdns, ambos de código
abierto. En realidad, si existiese algo parecido, probablemente serían
estos dos programas. Su autor D. J. Bernstein ofreció hace más de diez
años 500 dólares a quien encontrara un fallo de seguridad en qmail y
1.000 a quien lo encontrara en djbdns. El día 3 de marzo Bernstein
reconocía una pequeña vulnerabilidad en su servidor DNS y ha premiado
con 1000 dólares a Matthew Dempsky.

D. J. Bernstein programó a mediados de los noventa, qmail y djbdns
con la seguridad siempre en mente. Precisamente, estaba harto de
vulnerabilidades en sus homónimos Sendmail y BIND, dos pesos pesados de
Internet que sufrían de enormes agujeros de seguridad cada muy poco
tiempo por aquel entonces. Como alternativa, creó estos servidores
siguiendo unas premisas muy sencillas en las que se premiaba por encima
de todo la seguridad y simplicidad. Estaba tan seguro de su trabajo que
ofreció una recompensa económica a quien encontrara fallos en su
software. Hoy en día es habitual que premien económicamente a los que
encuentran fallos de seguridad, pero por entonces, era una especie de
osadía. Para Bernstein se convirtió en su garantía de seguridad. Nunca
se pensó que pasarían tantos años hasta que alguien pudiese hacerse con
el premio.

Matthew Dempsky se ha llevado 1.000 dólares por encontrar un pequeño
fallo de seguridad en djbdns. Bajo circunstancias bastante atípicas, un
atacante podría controlar entradas de caché almacenadas para un domino.
Dempsky demuestra así que, por pequeño que sea, es posible encontrar
problemas de seguridad en cualquier programa. Más que los 1.000 dólares
que se ha embolsado (hoy en día pagan mucho más por descubrir cualquier
otro fallo, probablemente más sencillo de encontrar en otros programas)
se lleva la satisfacción de haber sido el primero en romper la garantía
de seguridad de Bernstein.

Parece que si realmente se pone empeño y se sabe lo que se está
haciendo, es posible crear un software con muy pocos problemas de
seguridad. Cuando en agosto de 2008 Kaminsky descubre un fallo de
seguridad en la implementación del protocolo DNS que afectó a la inmensa
mayoría de fabricantes y programadores de servidores DNS, djbdns no
necesitó actualización. Bernstein había añadido deliberadamente una
mayor entropía a sus cálculos, e implementó su servidor de forma que no
se vio afectado por este problema casi "universal" mucho antes de que
pillara por sorpresa al resto.

Por desgracia, no abunda el ejemplo. Aunque hay que decir que Bernstein
no suele añadir funcionalidades a sus servidores ni ofrece versiones
nuevas habitualmente. Su código es el que es prácticamente desde que fue
escrito. No es viable trasladar este modelo ni sus circunstancias a
otros programas más complejos o comerciales, donde muchas otras
presiones están por encima de la de crear código a prueba de balas.
Bernstein ha publicado un pequeño parche para solucionar el problema
encontrado por Dempsky y ofrece de nuevo la garantía de seguridad:
pagará con 1.000 dólares a quien encuentre otro fallo en su servidor
DNS.

Qmail sigue imbatido hasta la fecha. El servidor djbdns no deja de ser
uno de los programas más fiables y seguros por este fallo. En realidad,
el hecho de que se haya encontrado una vulnerabilidad en él, demuestra
sobre todo que existe gente como Bernstein verdaderamente buena
programando, que existen investigadores como Dempsky capaces de
encontrar fallos en cualquier código, que no hay software sin
vulnerabilidades... pero sobre todo, que Bernstein es un hombre de
palabra.

Mas Info

Microsoft ofrece 250.000 dólares a quien 'cace' al creador de Downadup

noreply@blogger.com (The_Raptor) — Tue, 03 Mar 2009 03:04:37 PST

El gigante de la informática Microsoft ha prometido 250.000 dólares, o lo que es lo mismo 211.900 euros, a quien logre identificar a los creadores del virus de gran resistencia conocido como 'Conficker' o 'Downadup' y que está provocando grandes quebraderos de cabeza en la compañía.

Un responsable de seguridad de la compañía, George Stathakopoulos, dice que "esperamos que los esfuerzos ayuden a controlar la amenaza que representa Conflicker y hacer que se rindan aquellos que hacen los programas maliciosos".

Por razones de eficiencia, Microsoft lucha contra este virus con la ayuda de algunas empresas especialsitas en la seguridad informática, como es el caso de Symantec, F-Secure, VeriSign y la ICANN, organismo internacional responsable de la promoción de la estabilidad e integridad de Internet.

"El enfoque de Microsoft combina la innovación tecnológica y las alianzas multisectoriales para ayudar a proteger a la gente de los delincuentes", señala Stathakopoulos.

El virus ha infectado a múltiples sistemas informáticos en todo el mundo, también a la Red de la Armada francesa, cuyos funcionarios creen que se introdujo a mediados de enero por una memoria USB infectada.

También puede propagarse por Internet el virus, que una vez instalado resulta particularmente difícil de limpiar y es capaz de robar todas las contraseñas.

Microsoft aseguró haber actualizado su antivirus gratuito para ayudar a combatirlo.

Lo mas buscado en Google - Enero 2009

noreply@blogger.com (The_Raptor) — Fri, 27 Feb 2009 01:15:01 PST

Ya tenemos los primeros resultados del 2009, y como era de esperar Facebook ya es la tercera palabra más buscada en Google (yo ceo que en Junio ya será el 1).

Busquedas España, Enero 2009
Lo mas buscado en Google
1. youtube
2. tuenti
3. facebook
4. hotmail
5. marca
6. juegos
7. videos
8. you
9. yahoo
10. google

Por otro lado parece que el programa de TV Fama está teniendo mucho seguimiento en internet, al igual que lo tuvo como no el sorteo de loteria del niño.

Búsquedas con mayor crecimiento en Google

1. loteria del niño +1400%
2. loteria niño +1350%
3. obama +500%
4. aeat +100%
5. agencia tributaria +70%
6. fama a bailar +60%
7. fama +60%
8. rojadirecta +50%
9. roja directa +50%
10. easyjet +50%

Vulnerabilidad DOS en Firefox

noreply@blogger.com (The_Raptor) — Fri, 27 Feb 2009 01:00:46 PST

Recientemente Security Focus informa de una nueva vulnerabilidad en Firefox.

esta vulnerabilidad permite un ataque DOS remoto. en mi opinion no es una vulnerabilidad de gran riesgo, pero podría llegar a ser molesta.(por ejemplo si logran combinar esta vulnerabilidad con tu página principal, pasarás un buen rato organizando tu firefox.) lo que causa esta vulnerabilidad(la probe personalmente), es el cierre inmediato del navegador, la sesion se puede recuperar.

para explotar esta vulnerabilidad basta con crear una página con el siguiente código

< BODY
onload=”
document.designMode=’on’;//string
document.removeChild(document.firstChild);//object
document.queryCommandState(’BackColor’);

“>

si quieren ver el efecto. hagan click acá(desde firefox claro)

Firefox 3.0.5 y 3.0.6 son vulnerables; otras versiones podrían serlo también. la vulnerabilidad fue recientemente descuvierta (hace como 1 hora la reporto security focus) así que hasta ahora no hay solución.

El SSL no está roto... ¿o sí? (2)

noreply@blogger.com (The_Raptor) — Fri, 27 Feb 2009 00:54:10 PST

Segundo revés del año al SSL. O más específicamente, a la confianza que
tenemos los internautas en el SSL y las páginas seguras. La primera fue
con los hashes de los certificados calculados con MD5, técnica dada a
conocer a finales del año pasado. De nuevo se usaban diferentes métodos
ya conocidos contra el SSL. Lo que Marlinspike ha publicado es una
herramienta destinada a engañar al usuario que lo hace todo mucho más
sencillo.

Marlinspike ya programó sslsniff en 2002, muy usado todavía, que realiza
ataques man-in-the-middle sobre SSL. En su presentación en la Black Hat
realiza una interesante reflexión sobre qué ha ocurrido con el cifrado
SSL en los últimos años.

SSL no está roto por la publicación de sslstrip. Está "roto" desde hace
tiempo, desde que el usuario medio al que intenta proteger no entiende
en qué consiste esta tecnología, y desde que los navegadores han
realizado una dudosa implementación del protocolo y en especial, de
la interacción con el usuario.

Durante años, navegadores como Firefox 2.x e Internet Explorer 6.x,
se han limitado a advertir al usuario con lo que Marlinspike llama
"positive feedback", esto es, intentar demostrar que se está en el sitio
correcto por medio de candados, barras doradas, etc. Esto no impresiona
al usuario, que acaba obviando estos símbolos positivos. Pero lo peor es
que es fácilmente imitable por los atacantes. Los diseñadores también
han malacostumbrado a los internautas. En su empeño de parecer seguras,
las páginas incluyen candados incluso en su propio código HTML, sellos
de autenticidad y garantías... inútil a unos ojos que lo han visto mil
veces y mucho más inútil cuando un atacante solo tiene que calcar el
contenido de una web para engañar a un usuario.

Marlinspike concluye que el "negative feedback" para el usuario es mucho
más efectivo. Esto es, advertirle con grandes pantallas (nada de
ventanas emergentes, sino páginas integradas en el navegador) de que
no se está en el sitio correcto. El usuario reacciona mejor ante las
alertas negativas y catastróficas que ante la mera información o
advertencia. Al no entenderlas por completo, terminarán por aceptar
la opción que se le muestre por defecto.

En este sentido, tanto la rama 3 de Firefox como Internet Explorer 7
han mejorado sustancialmente. Acceder a una página con una cadena de
validación de certificados inválida o con el certificado obsoleto,
ahora requiere muchos más clicks por parte del usuario y es más
escandalosamente advertido por los navegadores.

Sin embargo a pesar de todo eso sslstrip está preparado para hacer todo
lo posible por convencer al usuario de que se encuentra en el sitio
correcto. Y lo consigue. Ayuda el diseño de muchas páginas, que permiten
que el usuario introduzca sus datos en un formulario no cifrado que
termina en uno cifrado.

SSL por tanto, sigue siendo de las pocas cosas en las que podemos
confiar en la red. El fallo está en todo lo que lo rodea: usuarios,
diseñadores, protocolos, implementaciones, autoridades certificadoras...
aprovechando pequeños problemas en todos y cada uno de estos actores,
se pueden realizar ataques muy sofisticados. Si las técnicas quedan
reunidas en una herramienta que permite llevarlas a cabo todas a la
vez y sin demasiado esfuerzo, el problema es grave.

SSL goza de buena salud, pero si se comienza a cuestionar su validez, si
siguen apareciendo técnicas que ponen en duda incluso a usuarios
expertos, ya no importará si una página está cifrada o no. Para la
mayoría de los usuarios, no significará nada porque realmente no tendrán
forma de comprobar de forma sencilla que estén en el sitio correcto: "si
pueden engañar a un usuario experto, también podrán conmigo de forma
mucho más sencilla", y se rendirán ante una tecnología que ni conocen
ni tienen por qué entender. Nadie quiere tener que comprobar rutas de
certificación, fechas de certificados, etc, allá donde introduzca sus
contraseñas.

Como solución, lo que Marlinspike propone es que todo el tráfico sea
cifrado. No se debe pretender confiar ciegamente en HTTPs cuando está
asentado sobre HTTP, un protocolo no seguro.

El SSL no está roto... ¿o sí? (1)

noreply@blogger.com (The_Raptor) — Fri, 27 Feb 2009 00:53:23 PST

Moxie Marlinspike protagonizó la semana pasada una conferencia en la
Black Hat en la que demostraba cómo eludir la autenticación y el cifrado
SSL de las páginas supuestamente seguras. El investigador se ha centrado
en una inteligente combinación de técnicas que permiten confundir a los
usuarios (incluso a los avanzados) sobre si están o no en la página
correcta. Ninguna de las técnicas usadas es realmente nueva, pero todas
en conjunto forman una excelente herramienta llamada sslstrip.

Sslstrip combina una buena tanda de técnicas con el único objetivo de
que el usuario realmente no sepa que está en una web falsa o que su
tráfico no está siendo realmente cifrado. Aclarar que el problema no
está en el SSL, sigue siendo lo mejor de lo que disponemos para realizar
conexiones seguras. El fallo está un poco en los navegadores, un mucho
en los usuarios, algo en los certificados, bastante en las redes... pero
no en la tecnología en sí.

Como siempre, teniendo en cuenta el éxito del que gozan técnicas mucho
más sencillas, sslstrip todavía no será usado por atacantes de forma
masiva, sino para ataques muy específicos contra usuarios avanzados. Y
estos son quizás los que deban estar más atentos.

Para ser víctima del sslstrip, la primera condición ineludible es que
la conexión debe estar siendo interceptada. Bien a través de un
envenenamiento de ARP en red interna, bien a través de puntos de acceso
wireless falsos... el caso es que el atacante debe actuar como proxy
en la comunicación, teniendo acceso al tráfico. Esta es una premisa
importante, pero no es extraña. El investigador usó con éxito la red
de anonimato Tor para sus pruebas. Sslstrip hace todo en tiempo real,
básicamente sustituyendo el tráfico cifrado (https) por uno no cifrado
(http), de forma que al usuario se le presenta una página idéntica a
la que necesita, pero sin cifrar y probablemente en otro servidor que
pertenece al atacante. Acude al servidor real para tomar la información
necesaria, pero en vez de devolverla cifrada al usuario, lo hace sin
cifrar. Esta es su funcionalidad básica.

En la mayoría de las ocasiones esto sería suficiente para engañar a
muchos usuarios. Pero obviamente esto llamaría la atención de otros
tantos, que echarían en falta las advertencias que normalmente el
navegador realiza cuando se está sobre una página cifrada (el candado,
la barra dorada, el https, etc). Marlinspike, en su charla en la Black
Hat, dio un buen montón de ideas y métodos para hacer que esto pase
desapercibido incluso para los usuarios más avispados.

Una de ellas es la sustitución de un "favicon" de la página por un
simple candado. El candado real no aparecería pero en los últimos
tiempos se ha abusado tanto de esta imagen que su simple presencia
(aunque no sea en el lugar correcto) da sensación de seguridad a los
usuarios.

Otra de las técnicas es muy vieja ya. Se basa en el uso de caracteres
especiales para hacer pensar al usuario que se encuentra en el dominio
correcto. El atacante no tiene más que comprar un certificado válido
para ese dominio, y de esta forma se evitarían todas las advertencias
del navegador. Solo quien comprobase realmente la cadena de
certificación del certificado estaría a salvo.

También presenta otras técnicas para eludir problemas como las cookies
de seguridad y el manejo de sesiones autenticadas. Su herramienta tiene
soluciones para evitar que el usuario más experimentado note que está
siendo víctima de un robo de sus datos.

Otro de los puntos interesantes de la charla que ofreció Marlinspike,
además de la presentación de la herramienta (que ha hecho pública), son
las reflexiones sobre la seguridad SSL y cómo está implementada en los
navegadores, de lo que hablaremos en la siguiente entrega.

Una simple vulnerabilidad en telnetd de FreeBSD permite elevar privilegios

noreply@blogger.com (The_Raptor) — Fri, 20 Feb 2009 00:53:13 PST

Se ha encontrado un fallo en el servidor telnet de FreeBSD que podría
permitir a un atacante remoto ejecutar código como root. Aunque el
servicio telnet no sea de los más usados hoy en día, se trata de una
grave vulnerabilidad generada por un error del equipo de programación de
FreeBSD. Recuerda a un fallo muy parecido que sufrió Sun Solaris hace
ahora dos años.

FreeBSD es un sistema operativo OpenSource gratuito y de alta calidad,
perteneciente a la familia *BSD, como NetBSD u OpenBSD. Está creado con
la seguridad como prioridad desde un principio, y con su configuración
por defecto, resulta uno de los sistemas operativos más seguros.

El problema encontrado recientemente en el demonio telnet (telnetd)
permite a un atacante realizar un ataque basado en variables de entorno.
Aunque el demonio limpia las variables de entorno antes de permitir una
conexión, cambios recientes en FreeBSD han hecho que esta limpieza no
sirva realmente, sin que se hayan percatado los programadores. Por
tanto, por ejemplo es posible compilar una librería que cambie el valor
de la variable de entorno LD_PRELOAD, y hacer una conexión al demonio
telnet usándola (cargando la librería en la llamada). Como no será
correctamente filtrada, la cargará y el atacante podrá obtener una shell
con privilegios de root (que normalmente ejecuta el demonio telnetd).
Aunque el ataque en esencia permite elevación de privilegios local, si
además tiene la posibilidad de "subir" a través de cualquier medio esa
librería creada a la máquina víctima, el ataque puede realizarse en
remoto.

Telnet no es un servicio muy usado hoy en día, por carecer totalmente
de mecanismos de seguridad integrados. Aunque hace años se usaba para
administrar las máquinas, hoy en día ha quedado relegado por la conexión
cifrada y autenticada SSH. Sin embargo, este es uno de los errores más
"claros" y sencillos de explotar cometidos por FreeBSD en los últimos
años.

Se recomienda seguir los enlaces en el apartado de "más información"
para conocer cómo solucionar el problema.

Recuerda a un error cometido por Sun Solaris en febrero de 2007. Se
dio a conocer una vulnerabilidad en Sun Solaris 10 tan simple como
sorprendente. El fallo permitía el acceso trivial como cualquier
usuario (incluido root) también a través de telnet. Sin necesidad de
conocimientos especiales, sin shellcode ni exploits, el fallo rozaba lo
vergonzosamente simple. La vulnerabilidad fue ya descubierta y corregida
en sistemas UNIX en 1994, aunque se reprodujo por error de nuevo en 2002
hasta que fue "redescubierta" en 2007.

Más información:

FreeBSD-SA-09:05.telnetd Security Advisory
http://security.freebsd.org/advisories/FreeBSD-SA-09:05.telnetd.asc

14/02/2007 Sun Solaris vuelve a sorprender resucitando una
vulnerabilidad "histórica"
http://www.hispasec.com/unaaldia/3035

Aprovechan vulnerabilidad en Internet Explorer 7 a través de documentos Word

noreply@blogger.com (The_Raptor) — Fri, 20 Feb 2009 00:52:12 PST

Algunas casas antivirus advierten de que una de las últimas
vulnerabilidades de Internet Explorer 7 se está aprovechando activamente
por atacantes para infectar sistemas. Lo curioso no es que un fallo (que
se suponía previamente desconocido) esté siendo aprovechado poco después
de hacerse público. La novedad introducida en este caso, es que se está
realizando (ya por segunda vez) el ataque al navegador a través de
documentos en formato Word.

El pasado martes 10 de febrero, en su boletín MS09-002, Microsoft
solucionó dos vulnerabilidades críticas que afectaban sólo a Internet
Explorer 7. Ambas permitían la ejecución de código arbitrario si la
víctima visitase una web especialmente manipulada. Apenas una semana
después de que Microsoft hiciese público el parche, se han detectado los
primeros ataques. Una vez con el parche en su poder, los atacantes
aplican ingeniería inversa para conocer las zonas de código que modifica
la actualización, y averiguar los detalles técnicos concretos de la
vulnerabilidad para así aprovecharla en su beneficio con exploits.

Normalmente este tipo de vulnerabilidades que permiten ejecución de
código en el navegador necesitan que la víctima visite una web
manipulada. En este caso, además de este vector, los atacantes se están
ayudando de un documento Word con un objeto ActiveX incrustado en su
interior. Cuando se interpreta con Word el documento, Internet Explorer
7 visita la web que sí contiene el exploit y se aprovecha la
vulnerabilidad (si la víctima no ha aplicado el parche). Se establece un
paso previo que al parecer puede resultar rentable al atacante: en vez
de inducir a la visita de una página web, se incita al usuario a abrir
un documento que, gracias a su interactividad con el navegador, abrirá
una página web que sí permite infectar al sistema.

La ventaja adicional para los creadores del malware es que esto se
produce de forma transparente al usuario. Pero sólo si se ha sido
descuidado en la configuración de su paquete ofimático. Si se evita la
ejecución de macros en Word, el control ActiveX no se instanciará y no
se descargará nada. Por defecto Microsoft bloquea la ejecución de macros
en Office. Obviamente, la visita directa a la página (sin abrir el
documento) también infectará a la víctima siempre que no esté parcheada
y no haya elevado la seguridad de su navegador para evitar la ejecución
de JavaScript en sitios desconocidos.

Una vez infectado, como es habitual, el malware descarga diferentes
componentes y robará información confidencial de la víctima. En
diciembre se dio ya el primer caso de vulnerabilidades en Internet
Explorer 7 aprovechadas a través de documentos Word.

Aunque McAfee habla de que el exploit está "in the wild", en
VirusTotal.com, mientras se redacta este artículo, solo hemos recibido
una muestra que McAfee haya denominado así. Trend Micro, por el
contrario, sugiere que el ataque es todavía limitado. Por firmas (el
sistema de detección que se usa en VirusTotal.com), son los dos únicos
antivirus que detectan el archivo DOC por ahora. En cualquier caso, se
recomienda actualizar el navegador lo antes posible.

Más información:

MS09-002 Exploit in the wild uses MSWord Lure
http://www.avertlabs.com/research/blog/index.php/2009/02/17/ms09-002-exploit-in-the-wild-uses-msword-lure/

Another Exploit Targets IE7 Bug
http://blog.trendmicro.com/another-exploit-targets-ie7-bug/

Cumulative Security Update for Internet Explorer (961260)
http://www.microsoft.com/technet/security/bulletin/MS09-002.mspx

Piratas roban datos de la Administración Federal de Aviación de EEUU

noreply@blogger.com (The_Raptor) — Tue, 17 Feb 2009 03:06:41 PST

La Administración Federal de Aviación de los Estados Unidos (FAA) ha anunciado que sus redes fueron víctimas de la intrusión de un pirata informático, en lo que parece ser el primer ataque de este tipo que sufre esta agencia.

La FAA admitió que este ataque pudo haber puesto los datos de sus empleados en manos de los cibercriminales.

La agencia confirmó que los intrusos lograron ingresar al sistema que almacenaba los datos de su personal, obteniendo acceso a dos de los 48 archivos.

Estos archivos contenían los datos personales de empleados y ex-empleados de la agencia que recibieron algún tipo de pago de la FAA en la primera semana de febrero de 2006.

Entre los datos robados se encontraban los nombres, edades, números de seguridad social e información médica codificada de 45.000 posibles víctimas.

Según un informe de la FAA, el servidor afectado no estaba conectado al sistema operacional de control de tráfico aéreo y, por lo tanto, no se cree que estos sistemas corran ningún peligro.

La agencia no ha clarificado cuándo ocurrió este incidente, cuánto tiempo duró el ataque ni cuándo se descubrió.

Asimismo, aunque la FAA no ha dicho qué pasos exactos está tomando para evitar que el problema se agrave, afirmó que está trabajando en ello.

“La FAA está actuando rápidamente para evitar que ocurran incidentes similares y ha determinado pasos inmediatos a seguir, así como medidas a largo plazo, para proteger mejor la información personal”, dijo la organización.

La FAA está contactando a las víctimas afectadas por el incidente y ha creado una línea telefónica gratuita y un sitio web para proveer información a los afectados y evitar que sean víctimas de fraude de identidad.

Estudio revela cuáles son las contraseñas preferidas por los usuarios estadounidenses

noreply@blogger.com (The_Raptor) — Tue, 17 Feb 2009 03:05:50 PST

Un estudio reciente realizado por Robert Graham, de la empresa Errata Security, ha demostrado que los internautas estadounidenses son más que predecibles al momento de escoger sus contraseñas, facilitando la tarea de los piratas informáticos que buscan acceder a cuentas ajenas.

El estudio analizó 28.000 contraseñas robadas y publicadas en Internet por los criminales que irrumpieron en el popular sitio estadounidense phpbb.com.

Después de analizar y clasificar los datos, se descubrió que el 16% de las contraseñas consisten en nombres propios de personas. Por lo general, los internautas de este grupo utilizan su nombre o el de sus hijos para asegurar sus cuentas.

Asimismo, el 14% de las contraseñas analizadas consisten en combinaciones de caracteres del teclado, como "QWERTY", que hace referencia a la primera fila de letras del teclado inglés.

En esta categoría también se encuentran combinaciones de números como “123”, “1234”, “12345” y “123456”, que además representa el 3% del total de contraseñas.

Otra tendencia es utilizar nombres de películas, grupos musicales o personajes de la cultura popular norteamericana. En este grupo, que representa el 5% del total, se vieron contraseñas como “Starwars”, “Legolas”, “Pokemon”, “Matrix”, “Ironmaiden” y “Blink182”.

Un 4% del total de contraseñas está conformado por variaciones de una misma palabra: “password” (“contraseña” en inglés). En este grupo se ven especímenes como "password1", “passw0rd”, “passwd” y “drowssap”.

También son comunes las contraseñas con palabras como “yes”, “no”, “whatever” (lo que sea) y “I don’t care” (no me importa), entre otras. Las contraseñas que expresan emociones como “iloveyou” (te amo) o “ihateyou” (te odio) también se ven con frecuencia.

Por último, este estudio demuestra que, aunque phpbb no limita la extensión de las contraseñas de sus usuarios, el 35% de las contraseñas analizadas tiene una longitud de 6 caracteres.

Incrementos notorios en el número de máquinas integradas en botnets

noreply@blogger.com (The_Raptor) — Tue, 17 Feb 2009 03:03:24 PST

Comentan en SANS que el número de máquinas zombie integradas en botnets se ha multiplicado por cuatro en los últimos 90 días. Las máquinas zombie son aquellas que pasan a formar parte de una red gobernada (botnet) por usuarios maliciosos (botmasters), sin el conocimiento del propietario de la máquina. La integración suele basarse en la instalación de componentes maliciosos para el control remoto, principalmente a través de malware, lo que permite a los botmasters disponer de miles de máquinas para todo tipo de actividades delictivas y fraudulentas: envío masivo de spam y scams, así como ataques distribuidos de denegación de servicio, como ejemplos más representativos.

Que se hayan cuadruplicado el número de máquinas integradas en estas redes es preocupante. Por sí mismo, es un dato que indica que las máquinas vulnerables han crecido mucho (ya que de otro modo, no estarían integradas en estas redes) y por otro lado indica que los botmasters están, tras un período más o menos estable, donde se habían censado del orden de 150.000 máquinas por bot de media, con picos de 200.000. Durante los últimos 90 días, la cuenta ha ascendido a prácticamente 500.000.

¿Quién o qué es responsable de este aumento? Sin duda, los culpables son los amigos de lo ajeno, ya que, aunque todas las máquinas del mundo fueran vulnerables, si no existieran redes de delitos tecnológicos organizadas ni usuarios malintencionados, no pasaría nada. Tampoco pasaría nada (o casi nada) si los usuarios fueran rápidos y diligentes gestionando la seguridad de sus máquinas, pero esto es entrar en un terreno utópico que a nada nos conduce.

Dejando a un lado a los principales responsables, se hace necesario investigar qué productos y/o plataformas han posibilitado, mediante las vulnerabilidades no corregidas y/o no advertidas, que los atacantes saquen tajada. En SANS ejemplifican este punto hablando de los incrementos en ataques de inyección SQL en servidores, pero a buen seguro, hay muchos más problemas de seguridad a los que podemos responsabilizar del aumento de máquinas zombie. La lista es demasiado larga para detallarla al completo, me temo.

Los datos que ha empleado SANS proceden de un estudio de Shadowserver Foundation. En la página de la fundación hay estadísticas y gráficos ampliados.

WordPress 2.7.1: vivan las actualizaciones automáticas

noreply@blogger.com (The_Raptor) — Wed, 11 Feb 2009 03:34:35 PST

La nueva versión de WordPress acaba de aparecer para corregir algunos fallos de diversos componentes del famoso CMS, pero lo que se ha demostrado con esta edición es el hecho de que las actualizaciones automáticas de WordPress funcionan, y lo hacen de forma excepcional.

Acabo de contarlo en mi otro blog, donde ya he experimentado el proceso de actualización automática desde WordPress 2.7 a WordPress 2.7.1. La tarea se ha ejecutado como si se tratase de un plugin más, en apenas unos segundos y sin hacer necesaria el engorroso proceso tradicional de actualización.

Era una de las características más esperadas en el CMS creado por Automattic, y por fin se puede comprobar que la actualización automática de WordPress funciona como muchos esperábamos. Una gran noticia para todos los bloggers que hacen uso de esta fantástica plataforma.

La marina francesa infectada por el gusano Conficker

noreply@blogger.com (The_Raptor) — Wed, 11 Feb 2009 03:31:28 PST

Los cazas de la marina francesa no pudieron descargar sus planes de vuelo después de que las bases de datos se infectaran por el virus Conficker, problema que ya resaltó Microsoft en octubre del año pasado, pero por lo visto, no era importante para la marina gala.

El personal naval francés también recibió instrucciones de no encender sus PCs. Según Jérome Erulin, representante de la marina francesa, hablando sobre el gusano Conficker: “Afectó a los intercambios de información, pero no se ha perdido ningún dato. Es un problema de seguridad que ya habíamos simulado previamente. Cortamos las líneas de comunicación que podrían haber transmitido l virus y el 99% de la red está a salvo. Mientras solucionan el problema, hacen uso del teléfono, fax y correo. Algo que tiene que ser cuanto menos interesante, cuando se trata de un caza, al más puro estilo programa GPS pero por teléfono.

Hablando del origen de la infección, aunque no lo saben con certeza, afirman que podría provenir de un pendrive USB infectado, y es que sin duda, la mayor inseguridad de los sistemas actuales pasa por el fator humano y este tipo de dispositivos con los que tanto la fuga de información y la infección de equipos es cuestión de minutos.

Gmail podría superar a Hotmail este año

noreply@blogger.com (The_Raptor) — Tue, 10 Feb 2009 03:36:17 PST

El servicio de correo electrónico Gmail de Google crece con gran rapidez y podría superar a Hotmail de Microsoft ya durante este año.

Entre septiembre de 2007 y septiembre de 2008, el número de usuarios de Gmail creció en 39%, de 18,8 millones a 26 millones de usuarios.

En caso de mantenerse la tendencia, Gmail habrá superado en volumen a Hotmail durante 2009.

Esto presupone que Hotmail pierda alrededor del 3% de sus usuarios y que Gmail continúe creciendo a un ritmo de 46%.

También amenaza la posición de Yahoo
En el mismo período que Gmail creció fuertemente, Hotmail perdió usuarios. Según datos correspondientes a Estados Unidos, el número de usuarios de Hotmail cayó en 5% en el período, de 45,7 millones a 43.5 millones. Hotmail fue comprado por Microsoft en diciembre de 1997.

Aunque Yahoo continúa ocupando el primer lugar en el segmento del correo electrónico, con 91,9 millones de usuarios en diciembre de 2008, hay razones para que sienta preocupación ante Google. En efecto, si Gmail continúa creciendo al ritmo actual habrá alcanzado a Yahoo Mail en 2011.

Gmail podría superar a Hotmail este año

noreply@blogger.com (The_Raptor) — Tue, 10 Feb 2009 03:36:12 PST

Gmail podría superar a Hotmail este año

noreply@blogger.com (The_Raptor) — Tue, 10 Feb 2009 03:36:02 PST

Comienzan los ataques de malware de San Valentín

noreply@blogger.com (The_Raptor) — Tue, 10 Feb 2009 03:33:51 PST

Waledac.C es un gusano que se propaga a través de correo electrónico utilizando falsas tarjetas de San Valentín.

Son un clásico del malware. Desde hace ya unos años cada San Valentín las empresas de seguridad detectan decenas de ejemplares de malware que intentan infectar los computadores de los usuarios utilizando como cebo San Valentín. El primero en atacar este año ha sido el gusano Waledac.C.

Como suele ser habitual en este tipo de ataques, Waledac.C se distribuye a través de correo electrónico haciéndose pasar por una tarjeta romántica que alguien ha enviado al usuario con motivo del día de San Valentín. Los correos electrónicos van acompañados de un link a través del cual, supuestamente, los usuarios podrán descargar dicha tarjeta. Sin embargo, si pinchan en ese link y aceptan la descarga del archivo al que conduce, en realidad estarán introduciendo en su equipo una descarga del gusano Waledac.C.

Estos ficheros maliciosos tienen nombres igualmente relacionados con San Valentín y el amor como:

youandme.exe
onlyyou.exe
you.exe
meandyou.exe

Una vez ha infectado un equipo, este gusano utiliza el correo del usuario afectado para enviar spam. Para ello, roba todas las direcciones de correo que el usuario tenga almacenadas en su equipo y les envía un correo electrónico como el anterior, con un asunto relacionado con San Valentín y que, igualmente, conducirá a un descarga de este ejemplar de malware.

“El hecho de que año tras año los ciberdelincuentes utilicen este tipo de técnica indica que, pese a ser conocida, el ratio de infecciones que consiguen con ella es alto, ya que en caso contrario ya la habrían abandonado", indica Luis Corrons, director técnico de PandaLabs.

Malware oculto en una copia pirata de Apple iWork 09 para Mac OS X

noreply@blogger.com (The_Raptor) — Sun, 08 Feb 2009 04:51:30 PST

En Intego han encontrado una copia pirata y troyanizada de iWork 09 circulando por las redes de pares. Lo relevante en este caso es que el software es para el sistema operativo Mac OS X. Los atacantes parecen seguir teniendo cierto interés en este sistema operativo.

Los investigadores han encontrado una copia completa y funcional de iWork 09 para Mac OS X en redes de torrent, pero con un añadido: OSX.Trojan.iServices.A. El troyano se oculta en el paquete iWorkServices.pkg. Se instala en la carpeta de inicio para asegurar su ejecución continuada en el sistema infectado. Según la compañía que lo ha descubierto, (que se dedica a vender software para proteger sistemas Macintosh) 20.000 usuarios ya lo han descargado gratuitamente desde estas redes. El iWork 09 cuesta unos 80 dólares.

El troyano no es muy sofisticado. Notifica a un servidor (perteneciente al atacante) de que un sistema ha sido infectado, lo introduce en su red controlada de bots y, entre otras cosas, está diseñado para provocar denegaciones de servicio distribuidas a servidores web a través de una avalancha de peticiones. Al parecer está programado en un principio para atacar al servidor dollarcardmarketing.com al que ya ha causado serios problemas de disponibilidad.

El malware para Mac va en aumento. En los últimos años en especial, los de la familia DNSChanger que modifican los servidores DNS para que la víctima se dirija a páginas arbitrarias. Lo interesante de este suceso es que el atacante ha buscado una forma relativamente poco usada de difundir el troyano. El iWork pirata está completo, no es un "fake". Durante la instalación (sea original o no) el programa pedirá credenciales de root para poder ejecutarse y ahí es donde el atacante salva un importante escollo: el usuario entenderá que para ahorrarse el pago del software original e instalar el pirata, necesita temporalmente privilegios de administrador.

Aunque las vulnerabilidades para Mac OS X son muchas y muy graves, los atacantes todavía no las están aprovechando en masa para difundir malware en este sistema operativo. Esta técnica la dejan para usuarios de Windows, principalmente. Esto es así porque normalmente, el usuario de Windows trabaja como administrador por defecto (excepto en Vista), y la explotación de vulnerabilidades no requerirá elevación de privilegios. Así, de forma transparente el atacante podrá ejecutar e infectar a sus anchas de una sola vez.

Por el contrario, para las víctimas de Apple se valen normalmente de la ingeniería social para intentar tomar control del sistema. Quizás por el hecho de que habitualmente en Mac se trabaja con usuarios limitados. Si el atacante desea infectar realizando cambios significativos en el sistema, necesita conocer de alguna forma la clave de root o que el usuario se la proporcione, y ahí es donde entran "las malas artes" para hacer creer a la víctima que el malware camuflado las necesita. Si aprovechase vulnerabilidades de programas que se ejecutan bajo cuentas limitadas, la infección significativa del sistema no sería del todo transparente.

En cualquier caso, esta técnica de infección es usada desde hace años contra usuarios Windows con muchísimo éxito, pero la (ir)responsabilidad es exclusiva del usuario, esto no es problema del sistema operativo. Las redes de pares están llenas de programas y archivos troyanizados o de troyanos directamente. Descargar y ejecutar software de dudosa procedencia sin tomar las medidas de seguridad adecuadas, es jugar a la ruleta rusa con el sistema operativo, independientemente del que se utilice y de lo seguro (o no) que se crea que es.

Nos unimos al movimiento doFollow

noreply@blogger.com (The_Raptor) — Sun, 08 Feb 2009 03:41:01 PST

Como el propio nombre del post indica, nos hemos unidos a este movimiento, con mucha fuerza en los blogs en ingles, y que aboga por la eliminación del atributo rel="nofollow" en los enlaces de los comentarios. De esta manera, esperamos además, aumentar el numero de comentarios, bueno, aumentarlo no es la palabra, mas bien seria, empezar a tener comentarios.

Así que ya sabéis, si comentas, ganas un enlace, y si quieres algo mas de información sobre el tema, solo tienes que dirigirte al Directorio de Blogs sin noFollow, donde podrás informarte de como funciona, en que consiste y en como aplicarlo en tu blog.

Backtrack 4 Beta

noreply@blogger.com (The_Raptor) — Sat, 07 Feb 2009 05:22:09 PST

Hay mundo más allá de la Beta de Windows 7: Backtrack, la distribución Linux en que tradicionalmente se entregaba como LiveCD, diseñada con el objetivo de ser una caja de herramientas en las auditorías de seguridad publicará una Beta de su versión 4.

Entre las principales novedades destaca el cambio a “Distribución estándar”, tal y como otras distribuciones podrá ser instalada en el disco duro del equipo. Otro cambio significativo es la migración al sistema Debian de empaquetado y el uso de repositorios Ubuntu, además de los propios de BackTrack. En el blog oficial de Backtrack se pueden ver más novedades, entre ellas:

Soporte para tarjetas pico e10 y e12 (para UMPCs)
Posibilidad de arrancar por red mediante PXE
Versión limitada de la herramienta SAINT Exploit
Versión libre de Maltego
Actualizaciones en los drivers de tarjetas wireless, necesarios para auditorías
Soporte RFID
Nuevas herramientas de seguridad.

Lo bueno de todo esto, es que tal y como está diseñada, entiendo que una Ubuntu tradicional podrá ser "backtrack-izada" utilizando los repositorios de Backtrack

Fuente