Marzo 16, 2012
E-learning crypto
Crypt4you, cursos gratuitos online de criptografía y seguridad de la información.
Crypt4you se presenta como un nuevo formato de formación en la nube, gratuita, online y colaborativa.
Sitio Web: http://www.crypt4you.com
Crypt4you es un proyecto de innovación educativa sin ánimo de lucro que nace en la Red Temática Criptored, en la Universidad Politécnica de Madrid, España. Los autores de los cursos serán preferiblemente investigadores y profesores universitarios miembros de Criptored.
Una de las características distintivas de Crypt4you es la publicación y entrega de lecciones a manera de fascículos todos los días 1 y 15 de cada mes. El primer curso que lleva por título El algoritmo RSA, del profesor
Dr. Jorge Ramió, y está compuesto por 10 lecciones que se publicarán desde el 15 de marzo al 1 de agosto de 2012.
Las lecciones contemplan un conjunto de ejercicios y prácticas, propuestos y resueltos y un test final de evaluación personal; con la última lección de cada curso se publicará un examen final. Otra característica de este
nuevo formato de formación e-learning es el enfoque colaborativo, en tanto se pide a los alumnos que sigan estos cursos su participación activa a través de las redes sociales facebook y twitter de Crypt4you, resolviendo
dudas y aportando conocimiento.
De la mano del Dr. Jorge Ramió y del Dr. Alfonso Muñoz, quienes ya nos presentaron hace año y medio el proyecto de Enciclopedia de la Seguridad de la Información Intypedia y cuya última lección se publicará en abril de
2012.
Octubre 22, 2011
Las empresas no se toman la seguridad informática en serio, afirman hackers y expertos
"Hay dos tipos de empresas: las que saben que han sufrido una intrusión y las que no", aseveró el hacker Pau Oliva en la convención de seguridad informática NoConName, celebrada este fin de semana en Barcelona. Hackers y consultores discutieron sobre la desidia de las empresas, entre ellas muchas PyMES, que ponen en peligro no sólo sus redes sinó la privacidad de sus clientes.
La veterana convención NoConName, a la que asistieron 350 personas según la organización, se cerró con la mesa redonda "¿Se toman las grandes empresas la seguridad en serio?". Frente a frente, dos conocidos hackers, Pau Oliva y Albert Puigsech, haciendo preguntas incómodas a dos consultores de corporaciones, Miguel Ángel Hervella y Enric Llaudet. Al final, todos coincidieron en que "muchas empresas no lo están haciendo bien", en palabras de Hervella.
Sigue en: http://ww2.grn.es/merce/2011/Noconname2011.html
VirusTotal aporta nuevos datos a la investigación de uno de los mayores "hacks" de la historia
Al menos uno de los atacantes hablaba chino y el objetivo no era sólo la empresa de seguridad informática RSA: dos organizaciones relacionadas con la seguridad nacional de Estados Unidos estaban también en el punto de mira. La curiosidad de un analista de virus finlandés y del malagueño Bernardo Quintero, fundador del servicio VirusTotal, ha sacado a la luz nuevos datos que dan un giro a esta ya de por sí novelesca historia.
Primero fue un culebrón de ciberespías que robaron secretos militares de Estados Unidos. Ahora se parece a un folletín de Agatha Christie, donde todos los asesinados mandaron una nota al mismo sitio: VirusTotal, un servicio de la empresa española Hispasec Sistemas, que analiza gratuitamente ficheros sospechosos de tener virus. Con siete años de vida, desde expertos hasta simples internautas le mandan diariamente 200.000 archivos.
Sigue en: http://ww2.grn.es/merce/2011/virustotalRSA.html
"Vivimos una guerra fría de ciberespionaje entre naciones"
La compañía israelí RSA, referente mundial en seguridad informática, se convertía recientemente en actor secundario de lo que parece una novela ciberpunk: tropas virtuales de élite entraron en su red corporativa y robaron código que usaron para espiar a sus clientes, fabricantes de armamento del ejército de los Estados Unidos. Uri Rivner, representante de RSA, propone defenderse poniendo patas arriba las doctrinas de seguridad cibernética de los últimos 15 años.
La RSA dio a conocer el ataque en marzo. Los asaltantes buscaban información sobre su producto estrella, SecureID, que usan 40 millones de personas. Es un aparato que genera contraseñas para que trabajadores del exterior puedan entrar en la red corporativa. Los delincuentes robaron el código que las genera, haciéndose de golpe con la llave de las redes de cientos de grandes empresas. En abril, dos contratistas del ejército de EEUU, Lockheed Martin y L-3, denunciaban intrusiones relacionadas con esto.
Uri Rivner, Director de Nuevas Tecnologias del Área de Protección de Identidades de RSA, asegura que "estamos en una nueva guerra fría, con naciones que se espían las unas a las otras". Es fácil deducirlo cuando, dice, "vemos cada vez más ataques que buscan la propiedad intelectual de las corporaciones, de los militares y de la infraestructura crítica".
Escrito en 16/06/201
Sigue en http://ww2.grn.es/merce/2011/EspiasRSA.html
Un investigador español descubre un grave fallo en Facebook
Enésimo agujero de seguridad en Facebook: los enlaces no son lo que parecen y pincharlos puede llenarnos el ordenador de virus. Lo ha descubierto el barcelonés Vicente Aguilera, director del Departamento de Auditoría de la empresa Internet Security Auditors. A pesar de ser un peligroso agujero, Facebook lo ha ninguneado. "Como siempre", asegura Aguilera.
Escrito en 26/07/2011
Sigue en http://ww2.grn.es/merce/2011/ISAfacebook.html
Abril 01, 2011
'Si vis pacem', define ciberguerra
Los gobiernos exageran sobre la ciberguerra, para usarla como excusa en su afán de control del ciberespacio. Este fue el hilo conductor de la charla del respetado experto en seguridad informática Bruce Schneier, en la "Black Hat Europa". Barcelona ha acogido esta convención, considerada entre la élite de los encuentros mundiales de hackers. La conferencia del norteamericano Schneier fue la estrella de la "Black Hat", que según la organización ha reunido a 500 personas.
"A pesar de todo el ruido que hacen los medios, aún no se ha visto ningún ejemplo claro de ciberguerra", aseguró Schneier, quien recordó ciberataques como los de 2007 contra Estonia, en los que jamás quedó claro si era un país el atacante o un adolescente con tiempo libre. Además, aseguró: "No existe una definición de qué es ciberguerra, de cómo és, cómo empieza o cómo acaba".
Schneier explicó haber participado en mesas redondas sobre este tópico, junto a jefes de la Agencia de Seguridad Nacional norteamericana y altos cargos de aquel país, quienes "exageraban usando como ejemplo ataques de los que jamás se supo el autor". Aún así, remarcó que cada vez se están viendo más tácticas que sólo un país podría llevar a cabo, como el espionaje al Dalai Lama y a disidentes chinos por parte de China, o virus contra centrales nucleares iraquíes, creados posiblemente en Israel y EEUU.
Febrero 09, 2011
Las claves por defecto de los routers de Movistar y Jazztel, al descubierto
Muy interesante la investigación de Sergio de los Santos, hacía tiempo que algo sobre sek no me hacía vibrar:
Aclaraciones oficiales sobre el filtrado del algoritmo de claves WPA de Movistar y Jazztel (I)
http://www.hispasec.com/unaaldia/4491
Por cierto que lo probamos ayer en casa y funciona. No hace mucha gracia, no.
Interesante cómo se manejó el disclosure del tema. Y de los Santos dice que aún tiene más info que contar. Lo seguiremos con gusto :)
Enero 27, 2011
Lección 4 de intypedia: Introducción a la seguridad en redes telemáticas
Se encuentra disponible en el servidor Web de intypedia la cuarta lección
de la Enciclopedia de la Seguridad de la Información con el título
"Introducción a la seguridad en redes telemáticas" del autor Dr. Justo
Carracedo Gallardo, Catedrático de la Universidad Politécnica de Madrid.
El vídeo con una duración de 15:12 minutos está constituido por 4 escenas
o capítulos:
1. Redes telemáticas. Definiciones.
2. Riesgos y protecciones en las redes telemáticas.
3. Conociendo a tu enemigo.
4. Protegiendo la red.
En la lección se hace una introducción a la redes telemáticas y los
conceptos asociados a la seguridad de las mismas, analizando las
vulnerabilidades y presentando las medidas básicas necesarias para su
protección.
http://www.intypedia.com
Diciembre 16, 2010
Lección 3: Sistemas de cifra con clave pública
Se encuentra disponible en el servidor Web de intypedia
http://www.intypedia.com la tercera lección de la Enciclopedia de la
Seguridad de la Información con el título "Sistemas de cifra con clave
pública".
Un vídeo de 11.32 minutos del autor Dr. Gonzalo Álvarez Marañón,
investigador del Consejo Superior de Investigaciones Científicas CSIC en
Madrid, España, que cuenta con tres capítulos o escenas:
1. El problema de la distribución de la clave.
2. La criptografía de clave pública.
3. El problema de la confianza.
Octubre 26, 2010
Interesante y entendedor análisis de Stuxnet en una-al-día
(...) "El punto débil (siempre desde el punto de vista de Stuxnet y sus
creadores) ha sido solo uno: ¿por qué un gusano que se autorreplica
indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas
objetivo? Esto ha facilitado su difusión, sin duda, pero también que
escape del círculo cerrado que se supone eran sus objetivos primarios
y, por tanto, que sea conocido, reconocido y detectado por las casas
antivirus. No había ninguna necesidad de salir de los entornos SCADA,
puesto que su "payload" solo era válido contra estas infraestructuras;
en una máquina de usuario, resulta relativamente "inocuo"" (...).
Octubre 21, 2010
Vengo de la NoConName
He estado esta mañana en la NoConName y muy bien, como siempre, sintiéndome en familia. Nico, el organizador, estaba muy guapo con traje y corbata y su padre siempre a su lado codo con codo, que ya les gustaría a muchos que su padre les acompañara en sus aventuras :)
Según el padre de Nico, por la NoConName habrán pasado 280 personas, que no está mal. El sitio era excelente, el auditorio, una pasada, a ver si el año que viene, que dice que posiblemente repetirán, repiten también sitio.
Hemos llegado un poco antes de que empezase la charla de Pancake, que ha sido mano de santo para que Bet durmiese una siestita. Ya le he dicho que cuando la niña no se duerma le invitaré a casa a hablar de Radare ;)
He estado poco rato y he visto a poca gente, pero sé que estaban todos los que algún día contaron y aún cuentan. En un par de horas me he topado con gurús que hacía la tira no veía. ¡Lo bien que van estas cosas para seguir en contacto! ¡Te añorábamos NoConName!
Por cierto que el principal tema de conversación en los pasillos era la crisis. Parece ser que está mal la cosa, con gente que tiene que cerrar y los que quedan, aguantando el tipo en un mundo sin dinero para investigación ni seguridad. Ánimos, que quien resista ganará.
Aunque vete a saber, también el tema de conversación ha sido la de cantamañanas que han entrado en un campo en el que antes eran cuatro. Armados con mucho impulso y unas excelentes relaciones públicas, esos lamers se están quedando los pocos contratos disponibles, montando chanchullos entre ellos y dejando a los pioneros de lado. Es la irrupción de las corbatas del viejo mundo en el nuevo, donde desearían imponer su estilo de siempre. Veremos si lo consiguen. Veremos. De momento, les observamos y confiamos en que la red, como siempre, ponga a cada cual en su sitio :)
De lo que no he oído hablar es del gigante Oracle, que se está convirtiendo en un auténtico ogro, peor que Microsoft dicen algunos. Ha matado OpenOffice, peligra Java y tiembla ya hace días MySQL. Quizás he estado demasiado poco rato... seguro... Es que las charlas eran tan técnicas que no entendía nada 0:) (es mentira :)
Octubre 18, 2010
La NoConName ya está aquí
Por fin veo que ya han publicado la parrilla de conferencias con horarios de la NoConName, que se celebra este miércoles y jueves en Barcelona. Aquí podéis ver toda la información: http://noconname.org/congreso.html
Se hará en el CosmoCaixa, aquí veréis cómo llegar: http://noconname.org/
¿Qué tal está de aparcamiento la zona? ¿Alguien lo sabe?
Octubre 07, 2010
La Guardia Civil también se apunta a las redes sociales
"Nos gustaría tener un millón de amigos en Facebook", afirma Juan Salom, comandante del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil. Ya rondan los 6.000, cuando hace apenas un mes que han abierto ventanilla en esta red social. El mismo éxito han cosechado en Twitter, con 900 seguidores en dos semanas, y en Tuenti, donde estrenaban cuenta el 18 de septiembre.
El propio Juan Salom supervisa y añade contenido a estos sitios, junto con agentes de su grupo, el primero de la Guardia Civil que usa las redes sociales para captar la colaboración ciudadana: "Internet es inmensa, ¿por dónde deberíamos patrullar? Pero si la gente que ve las cosas nos las cuenta, nuestro trabajo es más fácil", explica Salom.
Sigue en: http://ww2.grn.es/merce/2010/guardiacivilsocial.html
Septiembre 29, 2010
Avatares explicando seguridad informática
El incansable Jorge Ramió, de la Universidad Politécnica de Madrid (UPM) y creador de Criptored, acaba de sacarse otro as de la manga: Intypedia, una enciclopedia a base de vídeos educativos sobre seguridad de la información.
Los temas tratados en los vídeos, con una duración entre 10 y 15 minutos y que estarán en versión española e inglesa, serán presentados por dos avatares, Alicia y Bernardo en la versión española y Alice y Bob en la versión inglesa. Cada vídeo contará con una documentación anexa, que podrá descargarse gratuitamente desde el servidor Web de intypedia, consistente en el guión de la lección presentada por los avatares, las diapositivas de apoyo a la lección y un conjunto de ejercicios para autoevaluación.
En la fase inicial del proyecto que alcanza hasta el 31 de diciembre de 2010, se subirán cuatro vídeos con las cuatro primeras lecciones sobre temas básicos de la seguridad, además del vídeo de presentación.
1. Vídeo intypedia000: Presentación del proyecto intypedia. Autor D. Jorge Ramió Aguirre, Profesor de la Universidad Politécnica de Madrid. Director del proyecto.
2. Vídeo intypedia001: Historia de la criptografía y su desarrollo en Europa. Autor D. Arturo Ribagorda Garnacho, Profesor de la Universidad Carlos III de Madrid.
3. Vídeo intypedia002: Sistemas de cifra con clave secreta. Autor D. Fausto Montoya Vitini, Investigador del Consejo Superior de Investigaciones Científicas CSIC.
4. Vídeo intypedia003: Sistemas de cifra con clave pública. Autor D. Gonzalo Álvarez Marañón, Investigador del Consejo Superior de Investigaciones Científicas CSIC.
5. Vídeo intypedia004: Seguridad en redes y en Internet. Autor D. Justo Carracedo Gallardo, Profesor de la Universidad Politécnica de Madrid.
En el lanzamiento de este proyecto colaboran entre otros los portales Hispasec, Kriptópolis, VirusProt y los blogs Un informático en el lado del mal, Security By Default, Port 666, rs-labs, Linux y Libertad.
Abril 01, 2010
A esos de la Black Hat los han bien enredado
Estaba mirando, vía el boletín de Elhacker.net, el programa de la conferencia Black Hat en Barcelona, a ver si me venían ganas de pasarme un rato, cuando se me ha ocurrido ir a la sección de alojamiento y cuál ha sido mi sorpresa al leer la descripción que hacen del hotel del congreso, el Rey Juan Carlos I. Una descripción bastante alejada de la realidad que paso a detallar para quien venga a Barna y no lo conoza:
Dice: "Hotel Rey Juan Carlos I has the ideal central Barcelona hotel location"
En realidad: Este hotel no tiene nada de céntrico. Está en el quinto pìno, en un extremo de Barcelona, no el centro, allí donde la Diagonal deja de ser una avenida y se convierte en entrada a la autopista.La única parada de metro que pilla cerca es Zona Universitaria, que es la última parada de la línea verde. Ir en taxi desde el centro cuesta una pasta. No hay tiendas, no hay restaurantes, sólo facultades.
Dice: "Hotel Rey Juan Carlos I is located near Barcelona’s most famous shopping districts. Plaça Catalunya and Passeig de Gràcia"
En realidad: Plaça Catalunya queda a 13 paradas en metro. Passeig de Gràcia, a 14. De cerca, nada.
Marzo 22, 2010
Los descubridores de fallos informáticos cotizan al alza
Como en una película del Oeste, Google ha prometido recompensas de 370 euros por cazar no a forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar importantes sumas a quien encuentre estos agujeros, llamados "bugs" en la jerga informática, es cada vez más habitual y ha creado un mercado en el que participan los mejores programadores del planeta.
Rubén Santamarta es el "cazabugs" más conocido de España. Es de León, tiene 27 años y entró en este mundo a los 24: "Cuando empecé no sabía que había empresas que pagaban por ello, lo que me llamaba la atención era el reto de buscar fallos en sistemas", explica. Hoy asegura vivir de esto: "Con encontrar un par de "bugs" al año en programas conocidos ya no tienes que preocuparte".
Sigue en: http://ww2.grn.es/merce/2010/cazabugs.html e incluye una entrevista a Cuartango
Lo que las botnets esconden
escrito en 22/06/09 - actualizado en 02/10
Una "botnet" se crea infectando ordenadores sin que sus propietarios lo sepan. Cada máquina reclutada por el virus se pone en contacto sigilosamente con el criminal a la espera de sus órdenes. Y así es como los investigadores han descubierto una forma de espiar estas redes: hacerse pasar por ordenadores infectados que acceden a ellas. Si hay suerte, incluso consiguen hablar con quienes las controlan.
Así conocimos a Moudi y Arz, dos genios del lado oscuro de la red. Nos citan para hablar por Messenger pero, antes, debemos llamar a un número de teléfono internacional y responder algunas preguntas que les demostrarán nuestra identidad. Después de la llamada y ya más confiados, explican que tienen 21 años y viven en Líbano. Se conocieron en un remoto chat y, un día, Arz propuso a Moudi trabajar juntos.
Desde entonces se dedican a las "botnets" y el cibercrimen. Ellos lo llaman su forma de divertirse: "Tengo bajo control estable miles de ordenadores, pero la mayoría ni los uso, los asalté para demostrar mi poder", explica Arz, quien a lo largo de la charla negará cobrar por ello: "La policía no puede hacerme nada si no lo hago por dinero y, además, no tienen idea de lo que tengo".
Marzo 01, 2010
¿Sueñan los crackers con ordenadores cuánticos?
El jueves quince de Abril de 2010, ISSA organiza en colaboración del
Consejo Superior de Investigaciones Científicas la segunda edición de
las Conferencias ISSA de Seguridad. La conferencia se celebrará en el
edificio del Instituto de Física Aplicada del CSIC.
Programa:
- 18:00:Seguridad en los Entornos Industriales e Infraestucturas
Críticas - Samuel Linares (Intermark Tecnologías) -
www.infosecman.com/
- 19:00:Metrics, Risk Management & DLP - Rob Kloots, (CSF b.v.) -
nl.linkedin.com/in/kloots
- 20:00 Descanso
- 20:00 ¿Sueñan los crackers con ordenadores cuánticos? - Gonzalo
Alvarez (CSIC) - elartedepresentar.com/
Recomendamos inscribirse, dado que las plazas son limitadas, para lo
que se requiere nombre de pila y dirección de correo.
http://www.issa-spain.org/?s=9
Localización:
El Instituto está en la Calle Serrano, 144.
Se pueden consultar medios de transporte en
http://www.ifa.csic.es/Contacto.aspx
Los detalles completos actualizados están en:
http://www.issa-spain.org/?s=6&t=1
Febrero 23, 2010
Conferencia FIST Barcelona - Edición Fiberparty
Buenos días,
le informamos que la próxima edición de las Conferencias de seguridad FIST se celebrarán el próximo 26 de Febrero en Barcelona, con las siguientes charlas:
18:00 Presentacion de las conferencias, por Edge-security
18:05 Windows post-exploitation and pass-the-hash, por José Selvi
19:00 TBA, por Vicente Aguilera, IsecAuditors
20:00 Security Quiz, por Edge-Security
20:20 Seguridad en Bluetooth - To blue or not to blue: That is tue question, Raúl Siles
Para más información e inscripciones
http://www.fistconference.org/?s=8&id=19
Febrero 11, 2010
Los enlaces cortos esconden peligros de seguridad
Los enlaces que acortan direcciones web largas, muy usados en Twitter, Facebook o Messenger, pueden llevar a ataques de "phishing", gusanos, robos de "cookies" y otros problemas de seguridad informática que están aumentando desde mediados del año pasado. Estos enlaces no muestran a dónde dirigen al navegante, por lo que pincharlos es iniciar un viaje a ciegas, avisan los expertos.
Sigue en: http://ww2.grn.es/merce/2010/cortos.html
Enero 22, 2010
Las empresas gravitan entre la desconfianza y una fe irresponsable hacia el cloud computing, según Cisco
El Informe Anual de Seguridad 2009 de la empresa Cisco asegura que "muchas organizaciones son aún reticentes al "cloud computing", ya que no les gusta tener que renunciar al control de sus procesos y datos". Por contra, otras le muestran una confianza ciega que raya la irresponsabilidad, ya que "pecan de poca diligencia a la hora de seleccionar a sus proveedores de hosting y evaluar la seguridad de los datos".
Sigue en: http://ww2.grn.es/merce/2009/cisco.html
Diciembre 21, 2009
El ejército español se apunta a la guerra cibernética
El juego es muy parecido a "Captura la bandera", veterana competición que se disputa en muchos encuentros de hackers. Consiste en asaltar los ordenadores enemigos, mientras se defienden los propios, dentro de una red creada expresamente para el juego. La diferencia radica en que aquí los contendientes no son hackers al uso, sino soldados y oficiales con el uniforme de las fuerzas armadas españolas.
Diciembre 09, 2009
CriptoRed cumple 10 años
La Red Temática Iberoamericana CriptoRed cumple 10 años con más de millón
y medio de documentos servidos.
El 1 de diciembre de 1999 hacía su aparición en Internet una red temática,
algo muy poco común en aquellos años, dedicada a la criptografía y la
seguridad de la información con el nombre CriptoRed.
En diciembre de 2009 y después de 10 años de existencia, esta comunidad
virtual decana de las redes temáticas, que ha servido más de millón y
medio de documentos en la red y que aglutina en la actualidad a más de 800
miembros, profesionales y expertos en esta temática provenientes 214
universidades y 300 empresas de 30 países, puede mostrar, entre otros, los
siguientes datos que la convierten en un referente mundial:
Decenas de miles de enlaces en Google
(http://www.google.es/search?hl=es&source=hp&q=criptored&meta=&aq=f&oq=),
en Yahoo!
(http://es.search.yahoo.com/search?rd=r1&p=criptored&toggle=1&cop=mss&ei=UTF-8&fr=yfp-t-705)
y en Bing (http://www.bing.com/search?q=criptored&form=QBLH&filt=all).
Destacada entre los primeros lugares de redes temáticas en el buscador
Google (http://www.google.es/search?hl=es&q=red+tematica&meta=&aq=f&oq=).
Organizadora de 5 Congresos Internacionales de Seguridad Informática CIBSI
(http://www.google.es/search?hl=es&q=CIBSI&meta=&aq=f&oq=), en el año 2002
en Morelia (México), 2003 en México DF (México), 2005 en Valparaíso
(Chile), 2007 en Mar del Plata (Argentina), 2009 en Montevideo (Uruguay) y
el próximo en 2011 a celebrarse en Bucaramanga (Colombia).
Una media de más de 1.000 accesos diarios, más de un 1 GB de información
servida diariamente y cerca de 18.000 documentos descargados mensualmente
según demuestran sus estadísticas públicas
(http://www.criptored.upm.es/paginas/estadisticas.htm).
A partir de este décimo aniversario, la red comenzará a cambiar el aspecto
de su servidor Web, cambiará su logo, actualizará e incluirá nuevas
secciones y planificará nuevos eventos, en especial gracias a la
colaboración económica que recibe de la Universidad Politécnica de Madrid
y empresas como GMV que patrocinan los congresos CIBSI y otras actividades de esta red.
Madrid, diciembre de 2009
Jorge Ramió
Coordinador de CriptoRed
Diciembre 01, 2009
Nou bloc de seguretat informàtica en català
T'escric aquest correu només perquè estiguis informada d'un
nou bloc sobre seguretat informàtica exclusivament en català i dedicat
especialment a la gent "del carrer", intentant explicar els temes tècnics
amb un llenguatge el màxim de planer possible i afegint enllaços de
viquièdia quan es tracti de vocabulari difícil.
Si t'interessa, l'adreça és:
Noviembre 26, 2009
Retransmisión del DISI 2009
Lunes 30 de noviembre: transmisión del DISI 2009 por videostreaming
Como en ediciones previas del Día Internacional de la Seguridad de la
Información, DISI 2009 se transmitirá en directo a través de
videostreaming por medio del Gabinete de Tele-Educación GATE de la
Universidad Politécnica de Madrid en la url:
mms://amon.gate.upm.es/campus-sur
El horario de transmisión será desde las 08:45 hasta las 15:15 horas del
lunes 30 de noviembre de 2009.
Posteriormente se subirán los vídeos (ya editados) de cada sesión en el
Canal YouTube de la UPM donde se encuentran otras grabaciones de eventos
que ha realizado la Cátedra UPM Applus+ (DISI 2008 y Seminario Seguridad
Redes Sociales):
http://www.youtube.com/user/UPM#g/u
Como se puede comprobar en la página Web de la Cátedra UPM Applus+ de
Seguridad y Desarrollo de la Sociedad de la Información que lo organiza,
de 09:30 a 10:30 horas se realizará la conferencia inaugural "Randomized
Hashing: Secure Digital Signatures without Collision Resistance" a cargo
del Dr. Hugo Krawczyk de IBM Research, Estados Unidos.
De 10:30 a 12:00 horas se celebrará el coloquio "Tendencias en Malware"
con la participación de D. José Bidot, Director de Segurmática (Cuba), D.
Ero Carrera, Chief Research Officer - Collaborative Security Virus Total
(España) y D. Emilio Castellote, Director de Marketing de Panda Security
(España), moderado por D. Justo Carracedo, Catedrático de la EUITT.
De 12:45 a 14:45 horas, el segundo coloquio "Mitos y Realidades en
Hacking" cuenta con la participación de D. Luis Guillermo Castañeda,
Director de Servicios Profesionales de Rusoft (México), D. Chema Alonso,
Consultor de Seguridad de Informática64 (España), D. Alejandro Ramos,
Manager de TigerTeam SIA (España) y D. Fermín Serna, Security Software
Engineer MSRC Microsoft (España), moderado por D. Daniel Calzada, Profesor
de la EUI.
La Guardia Civil imputa a un menor de edad el ataque informático a más de 75.000 ordenadores
Un botmaster de 16 años y autodidacta -claro, a esa edad qué quieres-... nostamal... Estarán contentos en elhacker.net :) Y yo que me fuí una vez a entrevistar a unos botmasters al ass del mundo, y los tenía aquí mismo...
La Guardia Civil, en el marco de la operación “CANDELARIA”, desarrollada en Cataluña, han imputado a un menor de edad, residente en Tenerife, como presunto autor de un delito de Daños en Sistemas Informáticos, al haber “infectado” miles de ordenadores ubicados en distintos países, con el objetivo de dominarlos y lanzar ataques masivos a determinadas páginas web, como reto personal para demostrar la vulnerabilidad de esos portales.
Las investigaciones se iniciaron tras recibir una denuncia del Administrador de la página web www.elhacker.net en la que manifestaba que su página había quedado anulada durante varios días como consecuencia de un incremento masivo de visitas, muy por encima de lo habitual, y seguramente provocadas con esta intención, lo que se conoce como ataque DDos (Distributed Denial of Service).
De las investigaciones practicadas, se dedujo que una persona que utilizaba en la red el nick “n3ptun0”, había desarrollado un “virus” aprovechándose de los fallos de seguridad en el protocolo UDP (uno de los canales de información en la red), para infectar los PCs. De esta manera, conseguía dominar los ordenadores de los internautas y así iniciar, cuando él lo decidiese, visitas masivas a las páginas elegidas.
Además de la web cuyo Administrador interpuso la denuncia, la Guardia Civil, pudo constatar ataques en los que se estaba llevando a cabo el mismo procedimiento a otras paginas, fundamentalmente a foros y servidores dedicados al juego denominado San Andreas..
Infección de los ordenadores (Zombies):
El menor colgaba un vídeo en youtube con frases atractivas para captar la atención del internauta, de esta forma conseguía que el usuario se descargarse el contenido y automáticamente resultaba infectado. Este virus tenía la peculiaridad de poder propagarse por conducto de programas tan extendidos como Messenger, Fotolog, etc. Una vez infectados con el virus, el menor pasaba a dominar los PCs a su antojo con la intención de realizar visitas a la misma vez, a las páginas que quería atacar, colapsando los servidores de las mismas.
Un ejemplo de ello, fue la página www.elhacker.net, que sufrió en pocos minutos más de doce millones de visitas simultáneas, cuando el promedio ordinario oscilaba en unas cien mil.
Mediante esta operación había conseguido controlar más de 75.000 ordenadores
El presunto autor de estos ataques, un menor de 16 años -que carecía de cualquier instrucción académica en esta especialidad, venía desarrollando sus conocimientos desde los 13 años, de modo absolutamente individual y autodidacta..
El menor fue puesto a disposición de la Fiscalía de Menores de Santa Cruz de Tenerife.
http://www.guardiacivil.org/prensa/notas/win_noticia.jsp?idnoticia=2724
Noviembre 16, 2009
Conferencias Iberic Web Application Security de OWASP
IBWAS09 se celebrará en Madrid, los días 10 y 11 de diciembre, en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación, Universidad Politécnica de Madrid.
Se ha confirmado ya la asistencia de:
- Bruce Schneier. Chief Security Technology Officer of BT
- Jorge Martin. Inspector Jefe de la B.I.T. Cuerpo Nacional de Policía.
- David Rook. Security Analyst for Realex Payments
- Justin Clarke. co-founder and Director at Gotham Digital Science
- Dinis Cruz. Chief OWASP Evangelist and a Security Consultant
- Luis Corrons. PANDA. Iinternational Technical Support Team
- Marc Chisinevski. Project lead for the OWASP Logging Project
-Simon Roses. Microsoft ACE Team
-Dave Harper. EMEA Services Director for Fortify Software
Noviembre 12, 2009
De cómo abrir un carro con un mp3
Imagine un carrito de supermercado que se bloquea y desbloquea mediante una sencilla clave que viaja por radiofrecuencia. Esta frecuencia es "oíble" por las tarjetas de sonido de los ordenadores, que pueden grabarla, convertirla en un tono para móviles en MP3 y ponerla a disposición de todo el mundo por Internet. Este fue uno de los inquietantes experimentos que se vieron en la conferencia SOURCE, celebrada recientemente en Barcelona.
Philippe Langlois, fundador del primer ISP de Francia y viejo experto en seguridad, explicó que esta prueba, realizada con los carritos de un supermercado francés, puede extrapolarse a cualquier sistema de seguridad con radiofrecuencia, siempre que esta pueda ser "oída" por la tarjeta de un ordenador, incluídos los sensores ultrasónicos para abrir coches o garajes.
Lo peligroso del experimento no es sólo que se pueda romper fácilmente la protección, sino que lo democratiza: con el código descubierto, Langlois creó dos canciones, "lock.mp3" y "unlock.mp3", para bloquear y desbloquear los carritos. Estas canciones se compartieron por Internet como tonos para móviles, de forma que cualquiera podía descargarlas, acercar su móvil a la antena del carrito, hacer sonar la canción adecuada y conseguir la acción deseada.
Destacó también en SOURCE otro experimento, que presentó Brian Honan, editor europeo del boletín "NewsBites" del SANS Institute. Honan explicó que una periodista irlandesa le retó a robar su identidad, a partir sólo de los datos públicos que de ella hubiese en Internet. Uniendo los retazos de información que encontró en Google, LinkedIn, Flickr, Facebook o Twitter, Honan descubrió los nombres de sus padres, su fecha de nacimiento e incluso su dirección física, que figuraba en su "Lista de Deseos" de Amazon.
Sigue en: http://ww2.grn.es/merce/2009/source.html
Octubre 29, 2009
Una-al-día nos regala su libro de la historia reciente de la seguridad informática
El boletín de Hispasec Una-al-día cumple 11 años y, para celebrarlo, dicen:
Hoy vamos a regalar en formato PDF el libro que publicamos el año
pasado. Además, lo hemos complementado, ampliado y corregido. Ahora
abarca desde 1998 hasta 2009. Durante todo un año se ha podido comprar
solo en papel. Nuestra idea no era hacer negocio con él, sino que fue
concebido como un detalle para todos los seguidores de una-al-día que
querían conservar un recuerdo físico del décimo aniversario. Ahora,
pasado un año, todo el que lo desee puede descargarlo desde esta URL:
http://www.hispasec.com/uad/index_html
Octubre 14, 2009
Inscripciones abiertas (gratis) para el DISI 2009
El Día Internacional de la Seguridad de la Información en su cuarta edición, se celebrará el lunes 30 de noviembre de 2009 desde las 09:00 hasta las 15:00 horas en el Salón de Actos del Campus Sur de la UPM, Universidad Politécnica de Madrid, en España, contando en esta ocasión con la destacada presencia del Dr. Hugo Krawczyk de IBM Research Estados Unidos, investigador de reconocido prestigio internacional quien nos presentará la conferencia de título “Randomized Hashing: Secure Digital Signatures without Collision Resistance”, si bien la charla se hará en español, idioma que conoce perfectamente el Dr. Krawczyk.
DISI 2009 contará también con dos Coloquios en los que, tras una breve presentación e introducción al tema realizada por el invitado internacional, se procederá al debate entre el público y los invitados a la mesa. Es decir, se huye de la tradicional Mesa Redonda en la que tras el turno de intervenciones de cada uno de sus miembros, siempre queda un escaso tiempo para preguntas por parte del público.
El primer coloquio estará dedicado a las “Tendencias en el Malware” con la participación de D. José Bidot, Director de Segurmática de Cuba; D. Ero Carrera, Chief Research Officer - Collaborative Security Virus Total de España y D. Emilio Castellote, Director de Marketing de Panda Security de España, con una duración de 90 minutos.
El segundo coloquio se centrará en “Mitos y Realidades en Hacking” con la participación de D. Luis Guillermo Castañeda, Director de Servicios Profesionales de Rusoft de México, D. Chema Alonso, Consultor de Seguridad de Informática64 de España; D. Alejandro Ramos, Director de TigerTeam SIA de España y D. Fermín Serna, Security Software Engineer MSRC Microsoft de España, con una duración de 120 minutos.
Al igual que en las citas anteriores y como viene siendo habitual en todas las actividades de la Cátedra UPM Applus+, la asistencia al evento es totalmente gratuita. No obstante, se requiere (y se recomienda encarecidamente por motivos logísticos dado que el programa contempla un cóctel ofrecido por la cátedra) hacer la preinscripción en la plataforma Moodle del servidor Web de la cátedra http://www.capsdesi.upm.es, sitio donde podrá encontrar también toda la información relativa a DISI 2009.
Octubre 09, 2009
Un librito de seguridad informática que deberían (y les sería fácil) leer desde mamá hasta el director general
Gonzalo Álvarez Marañón es uno de esos viejales (por veteranos, no por su edad) de la seguridad informática que tanto me gustan. Gente de confianza y blanca. Mi primer contacto con él fue en los años 90, cuando editaba en solitario y desde el CSIC, donde sigue, el boletín Criptonomicón y la web del mismo nombre, de tanta calidad que hoy en día muchos de sus artículos siguen sirviendo. Cuando el boletín acabó le perdí la pista, sé que organizó los retos de hacking Boinas Negras y después le he ido viendo muy intermitentemente por diversos eventos donde ha dado charlas sobre seguridad siempre geniales, no en vano aplica en ellas las enseñanzas que ofrece gratuitamente en su blog El arte de presentar.
Total, que Gonzalo acaba de sacar un libro sobre seguridad informática para usuarios domésticos que es una maravilla, por su sencillez y por cómo abarca en unas escasas 100 páginas todo lo que debe saberse de básico.
El libro se llama "Cómo protegernos de los peligros de Internet" y el temario puede consultarse en la web. Como digo, está escrito de una forma muy sencilla, por ejemplo, cómo explica qué es un cortafuegos: "El cine de Hollywood nos ha enseñado que durante la Edad Media se protegían las poblaciones mediante un alto muro de piedra, con un único punto de entrada custodiado por guardias armados". Y todo así, como lo de comparar las actualizaciones de software a los parches que le ponía su madre en los pantalones.
Si yo tuviese una empresa de 10, 100 o 1.000 empleados, les regalaría el libro en Navidades. Posiblemente haría más por mi seguridad informática que todos los antivirus del mundo. O a esos abuelos que cuando voy a darles charlas se declaran aterrorizados con tanto peligro que tiene la red. Como dice Gonzalo en la presentación: "El miedo jamás debería hacernos renunciar a Internet".
Por último, destaco las personas a quienes agradece la ayuda para el libro, para que veáis que hay calité: "A Igor Campillo Santos y a Luis Miguel Rocha Costa; a Jaime Pérez del Val, Agustín Martín Muñoz y Amalia Orúe López, del CSIC; a Vicente Aceituno Canal, de SIA; a Bernardo Quintero Ramírez, de Hispasec; al Teniente Coronel Roberto Plà, del Escuadrón de Vigilancia Aérea (EVA) número 4; a Chema Alonso Cebrián, de Informática64; a David Carrasco López, héroe certificado...".
"Cómo protejernos de los peligros de Internet". Gonzalo Álvarez Marañón. Los libros de la Catarata, 2009. CSIC.
Julio 28, 2009
La seguridad de las infraestructuras españolas es "mejorable"
"La seguridad de nuestras infraestructuras críticas se puede mejorar ostensiblemente", asegura Juan Santana, director ejecutivo de Panda Security y presidente del recién creado Consejo Nacional Consultivo sobre Ciberseguridad (CNCCS). El Senado ha encargado al CNCCS la confección de una Plan Estratégico de Ciberseguridad donde se contemplará la protección de estas infraestructuras.
La prioridad de este plan, explica Santana, es la creación de la figura de un "ciberzar" de la seguridad, "que dependa directamente de presidencia del Gobierno y que tenga el criterio, la autoridad y el presupuesto para poder desarrollarlo". Parte de sus competencias serán "desarrollar aquellos programas específicos que no existan y facilitar la colaboración entre cuerpos de seguridad de diferentes países".
El CNCCS agrupa a cuatro empresas de seguridad españolas: Panda, Hispasec, Secuware y S21Sec. Todas han trabajado en la securización de las infraestructuras críticas españolas y su impresión es, según Santana, que "queda mucho trabajo por recorrer". Pone como ejemplo "centrales nucleares donde utilizan "software" de Microsoft, cuando la licencia desconseja su uso, o redes de vías férreas que se pueden hackear con un teléfono móvil".
Sigue en: http://ww2.grn.es/merce/2009/planciberseguridad.html
Julio 21, 2009
Cracking de passwords en Gmail
Vicente Aguilera ha descubierto otra vulnerabilidad grave en Gmail. Google la niega.
=============================================
INTERNET SECURITY AUDITORS ALERT 2009-NNN
- Original release date: July 7th, 2009
- Last revised: July 17th, 2009
- Discovered by: Vicente Aguilera Diaz
- Severity: 4.5/10 (CVSS Base Score)
=============================================
I. VULNERABILITY
-------------------------
Gmail vulnerable to automated password cracking.
II. BACKGROUND
-------------------------
Gmail is Google's free webmail service. It comes with built-in Google
search technology and over 7,300 megabytes of storage (and growing
every day). You can keep all your important messages, files and
pictures forever, use search to quickly and easily find anything
you're looking for, and make sense of it all with a new way of viewing
messages as part of conversations.
III. DESCRIPTION
-------------------------
An existing abuse of functionality in the "Check for mail using POP3"
capability permits automated attacks to the password data of the
accounts of the Gmail users evading the security measures adopted by
Google.
Gmail implements a great number of security controls and, most of them
are not revealed until an attack is conducted or a malicious use of
the account is done. For example:
- Use of catpcha for avoiding automated processes (e.g., in the users
authentication or in the new users sign up).
- Temporary IP locking in case of detecting unusual application
activities (e.g., multiple new account creation requests)
- Temporary account locking in case of detecting unusual use of the
user account (e.g., when doing multiple consecutive request to the
same resource).
- Detection of concurrent access to the account from different
geolocated IP addresses added to the number of these accesses.
- Etc.
Anyway, is it possible to abuse the "Check for mail using POP3"
capability to do attacks to the passwords of the users in an automated
way, evading all referred security restrictions and controls and doing
a transparent and not noticeable attack to the user that its account
is being password cracked as:
- There's no need for required action from the victim.
- There's no modification in the password of the victim.
- There's no locking in the victim account.
- There's no security notification to the victim.
The vulnerability is aggravated due Gmail allows weak passwords to be
used by the users. So, Gmail accepts password using only one character
(e.g. "aaaaaaaa") or dictionary words (e.g. "pentagon" or "computer").
The abuse of this functionality permits an attacker to do thousands of
authentication requests during a day over one user account, so if the
user is using a weak password is a matter of time to guess to have
access to the mail account.
IV. PROOF OF CONCEPT
-------------------------
As only requirement, the attacker needs a real Gmail account, but
that's not a real limitation as service is for free.
After being authenticated, the attacker access to the option "Accounts
and import". From this tab access to "Add POP3 mail account". To add a
new account the attacker news to fill:
-User name: will be the victim email address, including "@gmail.com"
(e.g. victim@gmail.com).
-Password: will be the password related to the previously informed user.
-POP3 server and port: could be simply "pop.gmail.com" and the 995 port.
When asking for the new email account to be added some different
scenarios can happen:
1. The application returns the message "The server has denied the
POP3 access to this username and password". This possibility happens
when the username do not exists or the password is incorrect.
2. The application returns the message "Now you can recover the
messages of this account". This other possibility happens when the
authentication has succeeded. So, the attacker informed correctly the
password to this user.
3. The application returns the message "You have reached the maximum
number of accounts allowed". This situation appears after adding more
than 5 email accounts or after doing 100 requests (successfully or
not) for adding a new account. Is important to notice that, after the
100 attempts, the user must wait for 2 hours.
Using this, an attacker is able to do 100 attempts of authentication
each 2 hours (so 1.200 attempts each day).
Is very important to retain that those requests do not require any
kind of catpcha and can be done automatically knowing only the key
parameters of the request:
-ik: alphanumeric id associated to the user and transmitted through
GET request.
-GMAIL_AT: is an alphanumeric value associated to the user and
transmitted in the cookie. It is only known after authentication and
starts with characters "xn3j3".
-GX: alphanumeric value associated to the user and transmitted in
the cookie. It is only known after authentication.
-ui: numeric value. Can be fixed to value "2" (default value) and is
transmitted via GET.
-view: string value. Can be fixed to string "ma" (default value) and
is transmitted via GET.
-map: numeric value. Can be fixed to value "2" (default value) and
is transmitted via POST.
-ma_email: email address of the account to be added. Would match to
the victim email address and is transmitted via POST.
-mapc: boolean value. Can be fixed to value "true" (default value)
and is transmitted via POST.
-mapp: numeric value. Can be fixed to value "1" (default value) and
is transmitted via POST.
-mabb: this parameter can be nul (default value) and is transmitted
via POST.
-at: is the alphanumeric value associated to the user that must
match with be value of the variable GMAIL_AT previously explained.
This value is transmitted via POST.
-ma_user: email address of the account from which the new email
address wanted be added. Is the attacker email address and is
transmitted via POST.
-ma_pwd: password to be used for the victim account. Is transmitted
via POST.
-ma_host: IP address of the POP3 server. Can be fixed to value
"pop.gmail.com" and is transmitted via POST.
-ma_host_sel: IP address of the POP3 server. Can be fixed to value
"pop.gmail.com" and is transmitted via POST.
-ma_port: is the value of the port of the POP3 server. Can be fixed
to value "995" (defalt value) and is transmitted via POST.
-ma_ssl: can be fixed to string "on" (default value) and is
transmitted via POST.
-ma_lbl: is the name of the label that will be used for labelling
incoming emails. Can be fixed to the victim email address (default
value) and is transmitted via POST.
Summarizing, the POST request for the authentication attack would be
like this:
POST http://mail.google.com/mail/?ui=2&ik=
Cookie: GX=
map=2&ma_email=
To bypass the limitation of 1.200 requests per day it is only
necessary to have different Gmail accounts. Each new account means 100
new possible requests. If the attacker wants to do a request each
second, means 7.200 attempts each two hours, the only need is to have
72 accounts. This would mean 86.400 request/day. More requests only
need more accounts.
As the Gmail account creation is a manual process as it needs to pass
the captcha. Another limitation is that Google only permits the
creation of 10 new accounts creation per day from the same IP address,
but using proxies or Tor network would bypass this limitation. Anyway,
although the creation of N accounts, those could be used anytime for
password cracking accounts.
V. BUSINESS IMPACT
-------------------------
Capability of unlimited password cracking Gmail user accounts.
Selective DoS on users of the Gmail service (changing user password).
VI. SYSTEMS AFFECTED
-------------------------
Gmail service.
VII. SOLUTION
-------------------------
Implement better and homogeneous anti password cracking controls.
No solution addopted by vendor.
So, use strong passwords.
VIII. REFERENCES
-------------------------
http://mail.google.com
http://www.isecauditors.com
IX. CREDITS
-------------------------
This vulnerability has been discovered
by Vicente Aguilera Diaz (vaguilera (at) isecauditors (dot) com).
X. REVISION HISTORY
-------------------------
July 07, 2009: Initial release.
July 13, 2009: Minor revision.
July 17, 2009: Last update.
XI. DISCLOSURE TIMELINE
-------------------------
July 05, 2009: Discovered by Internet Security Auditors.
July 13, 2009: Gmail security team contacted.
July 15, 2009: Request for confirmation of reception and analysis.
July 17, 2009: Answer from Google telling 100 attemp control limit is
enough robust, although the advisory poc shows how to
evade this weak security control.
Publication of the advisory in the lists.
XII. LEGAL NOTICES
-------------------------
The information contained within this advisory is supplied "as-is"
with no warranties or guarantees of fitness of use or otherwise.
Internet Security Auditors accepts no responsibility for any damage
caused by the use or misuse of this information.
Junio 02, 2009
CAPDESI 3 - SET 37
La Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, adscrita a la Escuela Universitaria de Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de Madrid (coje aire), cumple 3 años. En su página web hay vídeos y docs sobre seguridad generados en ese tiempo.
SET saca su ezine 37, firmado casi íntegramente por blackngel.
Mayo 28, 2009
La seguridad en Internet va de mal en peor
"Hay millones de delitos informáticos que no se denuncian y los que sí, sólo el 9% acaban en detenciones", afirmó la investigadora Erin Kenneally en la reunión anual del Anti Phishing Working Group (APWG), celebrada la semana pasada en Barcelona. Y eso no es nada según el asesor de las Naciones Unidas, Raoul Chiesa: "Por suerte los terroristas aún no saben atacar las infraestructuras críticas, que están desprotegidas en todo el mundo".
El pesimismo y las descripciones apocalípticas sobre la inseguridad en Internet dominaron la reunión del APWG, que congregó a expertos internacionales de la industria, las universidades y las fuerzas de la ley. Una representante del Federal Bureau of Investigation (FBI), Donna Peterson, aseguró: "Estamos desbordados, hay demasiada información por investigar y no podemos ir a más velocidad. Han robado mi propia identidad tres veces en el pasado año".
Sigue en: http://ww2.grn.es/merce/2009/apwg.html
Abril 30, 2009
Jornadas técnicas del Grupo de Operadores Red Españoles en Madrid
ESNOG España Network Operators Group /Grupo de Operadores de Red Españoles celebrará su tercera reunión el próximo 11 de mayo de 2009 en las instalaciones de la ETSIT de Madrid.
La inscripción y asistencia al evento tienen carácter gratuito y se puede formalizar directamente a través del formulario de inscripción disponible en la web del ESNOG.
"Que pasará si no pasamos a IPv6"
Geoff Huston APNIC
"Experiencias con ASN 32bits en el mundo real"
Eduardo Collado Acens Technologies
Conficker: Apadrina un gusano
Marcos Sanz DENIC
Juniper Open Systems new developments
Javier Avilés Juniper Networks
Actualidad en RIPE
Vesna Manojlovic RIPE NCC
Mesa Redonda "Data Retention/Legal Interception"
Moderada por Carles Fragoso Cesca
"Análisis preliminar de DITL"
George Michaelson APNIC
Conferencia ISSA de Seguridad Madrid
El viernes ocho de Mayo de 2009, la asociación de profesionales de
seguridad ISSA organiza en colaboración del Consejo Superior de
Investigaciones Científicas la primera edición de las Conferencias
ISSA de Seguridad. La conferencia se celebrará en el edificio del
Instituto de Física Aplicada del CSIC (Calle Serrano, 144).
Programa:
- 18:00 Apertura a cargo de Gonzalo Álvarez Marañón (CSIC)
- 18:05 “Seguridad de Servicios Web de Código Abierto” - Victor Manuel
Fernandez (OpenSolaris)
- 19:10 “Retos para la Seguridad de Cloud Computing” - Oscar Delgado (CSIC)
- 20:00 Descanso
- 20:15 “Métricas y Madurez de Procesos de Seguridad” - Vicente Aceituno, (ISSA)
- 21:00 Despedida
Dado que el aforo está limitado a 80 plazas recomendamos inscribirse
suscribiéndose a la lista de Eventos ISSA enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com
************************************
Blog de ISSA España: http://www.issa-spain.org/
(soy una fan de Gonzalo Álvarez Marañón. Todo lo que haga Gonzalo Álvarez Marañón seguro que está bien. Larga vida al más que veterano Gonzalo Álvarez Marañón :)
Abril 20, 2009
V OWASP Spain Chapter Meeting
Cuándo: 15 de mayo
Dónde: Barcelona (Ateneu Barcelonès)
Qué: http://www.owasp.org/index.php/Spain
15:00h-15:30h
Registro
15:30h-15:35h
Bienvenida y presentación del evento.
Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA.
OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.
15:35h-16:30h
Sintonizar la función de seguridad con el negocio.
Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad.
Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM.
Miembro del consejo asesor de SANS Institute.
16:30h-17:25h
LDAP Injection & Blind LDAP Injection.
Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas.
Chema Alonso. Microsoft MVP Windows Security.
Consultor de Seguridad. Informatica64.
17:25h-18:00h
Coffe-break
18:00h-18:55h
Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica.
En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior.
Jorge Martín, Inspector. Jefe del grupo de Seguridad Lógica.
Brigada de Investigación Tecnológica. Cuerpo Nacional de Policía.
18:55h-19:50h
Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP.
Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web.
Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young.
Daniel Muñiz Marchante. Consultor. Ernst & Young
19:50h-20:25h
Mesa redonda.
Se abrirá un debate sobre alguna temática relacionada con la seguridad y las aplicaciones web, entre los distintos ponentes y los invitados:
Francesc Rovirosa i Raduà. G.O d'Integració Tecnològica. Universitat Oberta de Catalunya (UOC)
Gabriel Martí. Vocal de la Junta Directiva General. Responsable de los servicios ATInet. (ATI).
20:25h-20:30h
Despedida y cierre del evento.
Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA.
OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.
Seguridad en redes sociales - Seminario en Madrid
El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de
Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de
Madrid, España, el seminario "Seguridad en redes sociales: ¿están nuestros
datos protegidos?"
http://www.capsdesi.upm.es/
Las conferencias planificadas son las siguientes:
- "Los menores y las nuevas tecnologías", de D. Arturo Canalda.
- "Las redes sociales como nuevo entorno de confianza", de D. Ícaro Moyano.
- "Redes sociales: nueva frontera para la privacidad de los digital
babies", de D. Emilio Aced.
- "Diagnóstico sobre la seguridad de la información y privacidad en las
redes sociales online", de D. Pablo Pérez.
La asistencia es gratuita, si bien se requiere y recomienda una
inscripción previa.
IMPORTANTE PARA OTRAS CIUDADES Y PAÍSES DE HABLA HISPANA: Se informa que
el seminario se transmitirá por videostreaming a través de los servicios
del Gabinete de Tele-educación de la UPM GATE. Recuerde que para esta
opción no es necesario inscribirse.
Abril 17, 2009
Un gusano convierte a Twitter en gruyere
Un virus que se replicaba solo, llamado "gusano" en la jerga informática, atacó el popular sitio Twitter este fin de semana. El gusano no provocó ningún daño, excepto la infección de un número indeterminado de cuentas que se pusieron a mandar solas mensajes de promoción de un sitio de la competencia. El autor de la gamberrada tiene 17 años.
El ataque empezó la madrugada del sábado, cuando cuatro cuentas de Twitter mandaron mensajes invitando a visitar el sitio de microblogging StalkDaily.com, competencia de Twitter. Quien pinchó en el enlace, en el nombre de la persona que lo enviaba o en su foto vio como su propia cuenta se infectaba y empezaba a mandar mensajes parecidos a sus contactos, sin poder evitarlo.
A partir de aquí y hasta el domingo se sucedieron tres olas más de gusanos que usaban el mismo método de infección, con diferentes tipos de mensajes: a última hora del sábado, avisos en los que aparecía el apodo del autor de la broma, Mikeyy. Durante el domingo, otros que conminaban a Twitter a contratar a Mikeyy y, por último, mensajes que aseguraban falsamente que quienes pinchasen un enlace serían desinfectados.
Twitter sólo ha reconocido la existencia de unas 200 cuentas afectadas que generaron más de 100.000 mensajes, aunque los análisis de los especialistas hacen pensar en un ataque más fuerte. Según F-Secure, sólo el enlace que ofrecía la falsa desinfección fue pinchado 18.000 veces, 500 entre las 5.08 y las 5.58 de la madrugada del domingo.
Marzo 23, 2009
Seguridad en redes sociales - Seminario gratuito
El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de
Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de
Madrid, el seminario "Seguridad en redes sociales: ¿están nuestros datos
protegidos?"
La asistencia es gratuita, si bien se requiere y recomienda una
inscripción previa.
Las conferencias planificadas son las siguientes:
- "Los menores y las nuevas tecnologías", de D. Arturo Canalda.
- "Las redes sociales como nuevo entorno de confianza", de D. Ícaro Moyano.
- "Redes sociales: nueva frontera para la privacidad de los digital
babies", de D. Emilio Aced.
- "Diagnóstico sobre la seguridad de la información y privacidad en las
redes sociales online", de D. Pablo Pérez.
Además, se contará con un Coloquio de una hora y media de duración, donde
los asistentes podrán realizar sus preguntas a un grupo de expertos así
como debatir sobre esta temática.
Marzo 17, 2009
CIA, NSA Adopting Web 2.0 Strategies
Interesante artículo. Traduzco rápido:
Mientras la comunidad de inteligencia de los Estados Unidos ha sacado mucha publicidad por su sitio al estilo wikipedia Intellipedia, otras agencias como la CIA y la NSA están pensando en cómo usar otros sitios y herramientas sociales.
Intellipedia ha sido un éxito, con 830.000 páginas es la joya de la corona de la comunidad de inteligencia.
Los empleados de la agencia de inteligencia intercambian unos 5 millones de mensajes instantáneos al día vía Jabber y Sametime (de IBM). Un buscador basado en Google ha indexado 92 millones de documentos y soporta 2 millones de búsquedas cada mes. Un nuevo sitio permite a los empleados intercambiar y analizar fotos y vídeos.
Lo próximo será la búsqueda semántica con la habilidad de analizar sentimientos y hacer sumarios de documentos.
Aquí el artículo: http://www.informationweek.com/news/internet/web2.0/showArticle.jhtml?articleID=215801627
Y añado yo: con la info que sacan sólo de Facebook deben estar trabajando a tope esa pobre gente.
Marzo 09, 2009
Conferencias FIST en Madrid el 12 de marzo
Estimado/a amigo/a:
El jueves 12 de marzo de 2009 se celebrará en la Sala 3004 de la Escuela
Universitaria de Ingeniería Técnica de Telecomunicación de la Universidad
Politécnica de Madrid, España, la convocatoria correspondiente a marzo de
2009 de las Conferencias FIST
PROGRAMA:
18:00 - 18:10 Inauguración:
D. Jorge Ramió, Director de la Cátedra UPM Applus+
D. Vicente Aceituno, Presidente de ISSA España
18:10 - 19:00: Conferencia "La jungla de las redes WiFi"
D. Alejandro Martín (Informatica64)
19:00 - 20:00: Conferencia "Seguridad en Windows Mobile"
D. Alberto Moreno (AMT
20:00 - 21:00: Conferencia "Network Access Control"
D. David Carrasco (Héroes Certificados)
La inscripción a estas conferencias es gratuita. Recuerde que se requiere
una preinscripción que puede realizar desde este enlace:
http://www.fistconference.org/?s=9
Encontrará aquí un enlace sobre Cómo llegar al Campus Sur de la UPM. No
hay problema de aparcamiento.
Este evento cuenta con la colaboración de la Cátedra UPM Applus+
Febrero 25, 2009
Conferencia FIST en la FiberParty
El día 6 de Marzo a partir de las 18:00hs se celebra una nueva edición de las Conferencias FIST en Barcelona. Este evento se realiza gracias al patrocinio de Edge-Security y esta englobado dentro de Fiberparty 2009.
Las conferencias tienen como objetivo difundir la seguridad informática y compartir el conocimiento y experiencias de los profesionales del sector, permitiendo a los participantes mantenerse actualizados y conocer nuevos temas. El evento pretende ser un punto de encuentro tanto para los profesionales de seguridad como para los que comienzan en este terreno.
Todos aquellos profesionales de la Seguridad Informatica que posean certificaciones como CISA, CISM, CISSP, etc, pueden obtener 3 puntos CPE.
18:00:00 You’re an IT Security person; What are your ethical business obligations?. Jay Libove, CISSP, CIPP, Transcom Worldwide.
19:00:00 A fresh new look into Information Gathering. Christian Martorella, S21sec.
20:00:00 El negocio del Malware. Vicente Diaz, S21sec
Información e inscripciones en: http://www.fistconference.org/?s=8&id=16
Febrero 12, 2009
Un virus ataca a los visitantes de la embajada india en España
"No visiten la web embajadaindia.com", avisan los blogs de diversos expertos en seguridad. Alguien la asaltó hace tres semanas y colocó en ella un programa que introduce un virus en los ordenadores de sus visitantes. La embajada india en España asegura desconocer los hechos y pide que la visiten en su nueva web oficial: www.embassyindia.es.
Esta embajada no es la primera en padecer un ataque de virus. En noviembre del año pasado, el sitio de la embajada brasileña en la India se convertía en un foco de peligrosos programas maliciosos, como los gusanos que roban datos bancarios o los "kits" para convertir un ordenador en "zombie".
Anteriormente han sido víctimas de ataques parecidos la embajada holandesa en Moscú y la embajada siria en Londres. Estos sitios son un objetivo apetecible para los delincuentes, que buscan infectar al mayor número de personas posible, ya que mucha gente acude a ellos para recabar información sobre visados, turismo y otros.
El tipo de ataque es siempre el mismo, muy de moda también en otros sitios de la red: los delincuentes consiguen acceso no autorizado a la web y le inyectan un programa que redirigirá a todos sus visitantes a una máquina remota, desde donde se descargará automáticamente un virus que infectará a los ordenadores con sistema operativo Windows.
Más info en: http://ww2.grn.es/merce/2009/embajadaindia.html
Diciembre 17, 2008
Indefensos en la red
¿Qué hacer cuando alguien manda cartas falsas o mensajes basura en nuestro nombre? ¿A quién acudir ante una estafa electrónica? ¿Y si una operadora nos secuestra la conexión? Muchos internautas desconocen cómo hacer frente a estos abusos y optan por sufrirlos en silencio. La policía recomienda denunciar, pero la naturaleza de la red convierte demasiadas veces en misión imposible el castigo al malhechor.
Rosa Llop es una diseñadora gráfica de Barcelona. En junio, alguien empezó a mandar correo basura desde direcciones falsas que usaban su dominio, rosallop.com. "De viernes a domingo, durante tres meses hasta que se cansaron, llegaban devueltos a mi buzón entre 1.000 y 2.000 mensajes, procedentes de servidores que los rechazaban por ser "spam"", explica.
Consultó algunos foros y descubrió que otras personas habían vivido lo mismo, sin solución: "Era horrible tener que pelearme con toda aquella basura, un abuso que me hacía sentir impotente, además del perjuicio comercial y que mi dominio acabó en todos los filtros "antispam" del planeta", afirma. Desde entonces, usa una cuenta de Gmail.
Noviembre 20, 2008
El servicio español de seguridad más internacional se llama VirusTotal
Nunca había habido tantos virus informáticos ni había sido tan difícil detectarlos. Según el Instituto Nacional de Tecnologías de Comunicación, el 80% de personas que usan el sistema operativo Windows en España tienen algún tipo de virus en su ordenador. Es también en España donde ha nacido una potente herramienta gratuita para combatirlos: VirusTotal, ganadora de dos premios PC World en Estados Unidos.
VirusTotal recibe visitas de Japón, Oriente Medio o Australia, pero nació en Málaga, en junio de 2004. Bernardo Quintero, de la empresa Hispasec Sistemas, tuvo la idea, que pusieron en marcha el malagueño Francisco Santos (30 años) y el madrileño Julio Canto (33 años). Recientemente se han incorporado Alejandro Bermúdez y Emiliano Martínez, 25 y 24 años, ambos de Málaga.
La idea de VirusTotal es sencilla: cuando alguien sospecha de un archivo, lo envía al sitio vía web o correo. 36 programas antivirus de diferentes marcas, que se actualizan cada diez minutos, lo analizan en 30 segundos. El servicio genera un informe que especifica si el archivo contiene virus, de qué tipo y qué antivirus lo han detectado
Noviembre 10, 2008
Próximas conferencias de seguridad en Madrid y Barcelona
ISMS Forum Spain
Este jueves, 13 de noviembre, en la Torre Agbar (Barcelona), expertos de primer nivel analizarán las “Amenazas internas y externas a la Seguridad de la Información hoy”, y cómo afrontarlas desde empresas e instituciones públicas y privadas.
Destacamos la participación de:
- El reconocido experto en ciber terrorismo y ex asesor de la Casa Blanca en
este ámbito, Howard Schmidt.
- Cormac Callanan, consultor del Consejo de Europa en temas de ciber delincuencia.
- Juan Salom, comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil.
Consulta el programa del congreso.
FIST en Madrid
El Viernes 14 de Noviembre de 2008 en el edificio del Instituto de Física Aplicada del CSIC.
Programa:
- 18:00 "Cryptool" - Gonzalo Álvarez Marañón (CSIC)
- 19:10 "Analisis de Riesgos a la ISM3" - Vicente Aceituno (ISM3 Consortium)
- 20:00 Descanso
- 20:10 "Análisis Forense de Memoria RAM" - Juan Garrido, (Informatica64)
- 21:00 Despedida
Para más información:
http://www.fistconference.org/?s=6&t=2
3ª Edición del Día Internacional de la Seguridad de la Información DISI 2008
Fecha del evento: Lunes 1 de diciembre de 2008
Lugar: Salón de Actos del Campus Sur - Universidad Politécnica de Madrid
09:15 - 10:30
Conferencia inaugural: Adventures in Network Security
Dra. Radia Perlman, Sun Microsystems Fellow, Network Protocols and Security Project Principal Investigator (Estados Unidos)
10:30 - 11:45
Conferencia invitada: La Investigación en Seguridad
Dr. Arturo Ribagorda, Director del Grupo Seguridad de la Información y de las Comunicaciones, Universidad Carlos III de Madrid (España)
11:45 - 12:15
Ponencia: Investigación del Cibercrimen
D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil (España)
13:00 - 13:30
Ponencia: Tecnologías Antiforense
D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional (España)
13:30 - 14:00
Ponencia: El Cómputo Forense desde la Iniciativa Privada
D. Andrés Velázquez, Director de Investigaciones Digitales de Mattica (México)
14:00 - 15:00
Mesa Redonda: Forensia Informática y Amenazas del Cibercrimen
D. Juan Salom, D. Manuel Vázquez, D. Andrés Velázquez
Moderador: D. Justo Carracedo
Noviembre 03, 2008
Charlas de la reunión del Grupo de Operadores de Red Españoles
El pasado 16 de octubre el Grupo de Operadores de Red Españoles (ESNOG) celebró su segunda reunión en el Centre de Supercomputació de Catalunya (CESCA) en Barcelona. Este grupo está dirigido a operadores de telecomunicaciones, redes académicas y proveedores de servicios de red. Algunas de las charlas que se ofrecieron están disponibles en la web:
http://www.esnog.net/gore2.html
"Herramientas para analizar tu tráfico de Internet" Fernando García. Tecnocom
"Tecnología de LSPs P2MP y sus aplicaciones" Javier Avilés. Juniper Networks
"Securing a Multicast Network" Michael Behringer. Cisco Systems
"Internet Pirates: Blackholing, hijacking and other nasty tricks"Carlos Fragoso. CESCA
"El gran agujero del DNS" Joao Damas. ISC
"Ataques al TCP" Borja Marcos. Sarenet
"Ethernet - The Next Generation" Fernando Sánchez. Force10
"The Evolution of Spam and its Lessons for Computer Security"Neil Cook. Cloudmark
"Retos de control de la información en un mundo móvil" Simon Dyer. Consultor independiente
Algunas charlas de LaCon
Hoy una-al-día de Hispasec (felices 10 añitos por cierto :), da un enlace a una recopilación de algunas charlas de LaCon 2008, la reunión esa secreta que a partir de haberse realizado dejó totalmente de ser secreta xD
En los días del 19 al 21 del pasado mes de septiembre se celebró en
Torre del Mar, Málaga, una convención sobre seguridad informática
bastante peculiar. Bajo el nombre de LaCon'2008 se reunieron, de forma
privada, más de veinte profesionales venidos de casi todos los puntos de
España, además de algunos participantes foráneos (Italia y Eslovaquia).
Sigue en: http://www.hispasec.com/unaaldia/3662
Las charlas deben ser buenas porque son de aquellas que no entiendo nada, pero me gustaría entenderlo :D
Más info:
LaCon 2009, ¿pública o privada?
Con la resaca de LaCon
lac0n 2008 @ undisclosed
Octubre 27, 2008
Programa de rehabilitación para expertos en seguridad
Paso 1: Créate una cuenta en MySpace. Facebook también sirve. ¿Y por qué no todas las redes sociales? Asegúrate de llenar hasta la extenuación todos los campos del formulario.
Paso 2: Crea una contraseña que sea fácil de recordar y escríbela en un post-it. Dísela a tus amigos por si quieren usar tu cuenta. Mejor aún: cambia todas tus contraseñas por "contraseña".
Paso 3: Descarga todos los gadgets, widgets, películas, juegos que conozcas y ponlos en tu perfil. Aseguráte de especificar todos los detalles sobre tí, incluso los más grotescos. Actualízalos regularmente con todo tipo de información personal que haya cambiado.
Paso 4: Entra en tu nueva cuenta de webmail y envía a todos tus amigos las cosas que te gustan y que no. No olvides mandarlo todo en HTML para que se puedan ver bien las imágenes. Y no temas responder a todos esos mensajes basura. Les ayudarán a saber que no estás interesado.
Paso 5: Descarga todo tipo de herramientas y aplicaciones de escritorio para que puedes conocer valores de acciones en tiempo real, comprar gorritos y saber qué tiempo está haciendo en Islandia en todo momento.
Paso 6: Borra directamente todo esta basura de anti-spyware y anti-malware. Tu ordenador irá más rápido y evitarás tener que estar viendo todo el rato esas ventanas pidiéndote que des tu permiso para hacer cosas.
Paso 7: Enchufa tu portátil directament a Internet. No hay necesidad de usar cortafuegos. Además son muy complicados. O, mejor, vé al bar más cercano y usa su acceso wifi público. Las chicas listas lo hacen, la gente normal lo hace. ¿Tú quieres ser normal, no?
Paso 8: No te preocupes por bloquear tu ordenador cuando vas al baño o a tomar un café. Deja que la policía se preocupe por el crimen. No es tu trabajo.
Paso 9: Abre todos los adjuntos que te llegan por mail. Pueden ser importantes y tú no quieres ser maleducado con las personas que te los mandan, ¿verdad?. Es lo que hace la gente normal.
Paso 10: Finalmente, ponte a pinchar en todos los anuncios que veas. ¡Ellos no darían "ofertas especiales" a cualquiera!
Traducción libre de: Security Expert Rehabilitation
Octubre 20, 2008
Evento OWASP en Barcelona el 21 de noviembre
FECHA:
Viernes 21 de Noviembre de 2008
AGENDA:
15:30h - Registro de asistentes
16:00h - Bienvenida y presentación del evento. Vicente Aguilera Diaz. OWASP
Spain Chapter Leader.
16:10h "w3af: Un framework de test de intrusión web". José Ramón Palanco.
CEO. Hazent Systems.
El proyecto w3af no pretende ser un reemplazo de web pentest manual, sino
unir bajo un mismo framework, todas las técnicas automatizables de obtención
de información, evasión de ids, localización de vulnerabilidades,
explotación de vulnerabilidades, etc. al estilo metasploit (framework con el
que interactúa).
17:10h "Análisis de eco en Aplicaciones Web". Jesús Olmos González. Auditor
Senior. Internet Security Auditors.
Hoy día las vulnerabilidades web son "Well Known" y casi siempre nos
encontraremos filtros que impedirán su explotación. Se comenzará explicando
la problemática en la auditoría de caja negra: el código que no se ve se ha
de deducir a través de diversas pruebas. El objetivo de dichas pruebas es
deducir el código fuente a partir del análisis de los resultados ante
distintas peticiones de entrada. Un atacante analizará los filtros
implementados (por lo que será necesario localizar operativas de la
aplicación que hagan "eco") con el objetivo
de evadirlos y explotar posibles vulnerabilidades que existan en la
aplicación. La presentación describirá distintos tipos de "eco" en
aplicaciones web y como pueden ser detectados y aprovechados para elaborar
posteriores ataques.
18:10h Coffe-break
18:30h - "Microsoft Seguridad IT al descubierto". Simon Roses Femerling. ACE
Security Services. Microsoft.
La seguridad en Microsoft juega un papel fundamental tanto en sus productos
como en sus activos de negocio y por ello desarrolla continuamente la más
avanzada tecnología y mejora sus procesos para proteger a Microsoft y sus
clientes. Esta ponencia pondrá al descubierto cómo Microsoft utiliza el
SDL-IT para proteger sus activos de negocio.
19:30h - "A fresh look into Information Gathering". Christian Martorella.
Responsable de Auditoría. S21sec.
En esta presentación se pretende mostrar las nuevas técnicas y fuentes que
se pueden utilizar a la hora de obtener información pública sobre un
objetivo o entidad. Se hará especial hincapié en información que se puede
obtener a través de la Web.
20:30h Despedida y cierre del evento.
LUGAR:
IL3 - Institute for LifeLong Learning (Universitat de Barcelona)
C/ Ciuta de Granada, 131
08018 - BARCELONA
PATROCINADOR:
Internet Security Auditors
www.isecauditors.com
Más info en: http://www.owasp.org/index.php/Spain
Octubre 07, 2008
Jaque a la clase política
Primero fueron las celebridades y hoy son políticos de renombre las víctimas del vandalismo informático, especialmente si están en campaña electoral. Con pocos días de diferencia han caído la presidenta de Argentina, el primer ministro de Canadá y la candidata a vicepresidenta de Estados Unidos.
En Argentina, un vándalo anónimo manipuló la clave fiscal de la presidenta, Cristina Kirchner, y cambió su condición de "autónoma" a "monotributista". La Administración Federal de Ingresos Públicos lo ha denunciado a la justicia, asegurando que antes que este ha habido miles de intentos, cuyos picos han coincidido con los periodos más polémicos del mandato de Kirchner. El asalto se produjo, según este organismo, "sin forzar los sistemas".
En Canadá, donde están en campaña electoral, asaltantes desconocidos accedieron a la cuenta oficial de correo electrónico del primer ministro, Stephen Harper, y desde allí mandaron dos comunicados a la prensa. En uno de ellos podía leerse: "Mi objetivo es hacer de Canadá el 51 estado de Estados Unidos y destruir el sistema de sanidad canadiense". Y añadía: "Consideramos todo con la palabra 'verde' ofensivo, excepto el todopoderoso dólar estadounidense".
Pero la intrusión más mediática ha sido el secuestro de la cuenta personal de correo de Sarah Palin, candidata republicana a la vicepresidencia de Estados Unidos.
Sigue en: http://ww2.grn.es/merce/2008/palin.html
Octubre 02, 2008
Vanity search spam attack
Los "spammers" han redescubierto un truco para que la gente lea publicidad basura en la web: aprovecharse de su vanidad. Crean un sitio con el nombre de una persona y, cuando esta acude a ver qué se dice de ella, topa con una página llena de anuncios. La empresa de seguridad Beyond Security ha desvelado esta treta.
"Imagine que yo camino detrás de usted y grito su nombre. Se girará. No podrá evitarlo", explica Aviram Jenik, director ejecutivo de Beyond Security, para ilustrar el poder de este engaño, al que llama "Vanity search attack" (ataque a las búsquedas por vanidad). Jenik ha detectado unos pocos casos, experimentos según él de un nuevo sistema que "por su efectividad, podría hacerse muy popular".
El ataque a la vanidad consiste en crear una página web con el nombre de una persona. Los "spammers" pueden sacarlo fácilmente de una web, un foro o, en los casos detectados, de una red social. Después, sólo tienen que sentarse a esperar que la persona descubra la existencia de esta página y la visite, llevada por la curiosidad.
"Mucha gente utiliza servicios como Google Alert, que las avisan por correo o RSS cuando alguien las menciona en una web o blog. Otros realizan regularmente búsquedas en Google con su nombre. Es cuestión de tiempo que descubran la existencia de la página fraudulenta", explica el CEO de Beyond Securiy. Cuando la visiten, estará llena de publicidad basura.
Septiembre 26, 2008
Los ordenadores zombi se quintuplican
Los ordenadores personales infectados con virus y controlados por delincuentes se han quintuplicado en los últimos cuatro meses y siguen subiendo, según informa la fundación Shadowserver. Los expertos no se ponen de acuerdo sobre la razón última de esta explosión, aunque la relacionan con el aumento de virus en la web.
La fundación Shadowserver está formada por voluntarios que monitorizan diversas "botnets" y realizan estadísticas. Las "botnets" son las redes donde los delincuentes agrupan los ordenadores infectados, conocidos como zombis o "bots", que están bajo su control. Los usan para atacar otras redes, mandar "spam" o virus, alojar sitios web fraudulentos y otras actividades que les reporten beneficios económicos.
Según las mediciones de Shadowserver, en junio había 100.000 ordenadores zombi en las "botnets" monitorizadas, mientras que en septiembre rozan los 500.000 y subiendo. En el mismo periodo de tiempo, el número de "botnets" a nivel mundial se ha mantenido relativamente estable, entre las 3.050 en junio y 2.900 en septiembre, lo que sugiere que las mismas se han hecho más grandes.
Sigue en: http://ww2.grn.es/merce/2008/avalanchazombies.html
PUNTOS DE "COMMAND&CONTROL" DESDE DONDE SE CONTROLAN LAS BOTNETS (según Shadowserver)
Despierta mi curiosidad que haya un par o tres en la península. ¿Será gente de aquí? ¿Servidores controlados desde fuera? .... Me gustaría profesionalmente contactar con uno para entrevistarle.
Septiembre 17, 2008
Conferencia FIST en Barcelona
Le informamos que la próxima edición de las Conferencias de seguridad
FIST se celebrarán el próximo 26 de Septiembre en Barcelona, con las
siguientes charlas:
18:00 Presentacion de las conferencias, por Edge-security
18:05 Ecrime - Las nuevas mafias, por Vicente Diaz, S21sec
19:00 Implicaciones de la filosofia REST en la seguridad Web, por Ramon
Pinuaga, S21sec
20:00 A definir, por Ero Carrera, Zynamics GmbH
Para más información e inscripciones
http://www.fistconference.org/?s=8&id=13
Septiembre 09, 2008
Kaspersky propone exigir un pasaporte para acceder a Internet
Eugene Kaspersky, presidente de la compañía de antivirus que lleva su nombre, afirmó en unas jornadas en San Petersburgo que la implantación de pasaportes para acceder a Internet reduciría drásticamente la delincuencia informática. "No acabaría con todos, pero sí con la mayoría de cibercriminales", adujo Kaspersky, quien propuso también la puesta en marcha inmediata de una Interpol de Internet.
"Daría con gusto mi privacidad a cambio de no tener tanto "spam" y virus", aseguró el presidente de Kasperksy Lab. Su segundo de a bordo, Stanislav Shevchenko, afirmó que, en diez años, será normal la "identificación electrónica de todos los usuarios y recursos de la red, así como el almacenamiento centralizado de los datos de toda Internet, para su monitorización automática en sistemas unificados".
El iPhone abre la puerta a los nuevos virus móviles
Las personas que han "crackeado" sus teléfonos iPhone para que funcionen con cualquier operadora corren un serio peligro, aseguró el experto Alexander Gostev en las jornadas de Kaspersky Lab. La razón es que este cambio "les permite descargar programas no oficiales, que podrían llevar virus, y además en teoría no pueden instalar los parches de Apple, lo que significa que no podemos hacer un antivirus para ellos", explicó.
Quienes no hayan modificado su iPhone están relativamente seguros, según Gostev, porque sólo pueden instalar aplicaciones oficiales de Apple, revisadas por la compañía. Además, el iPhone es invulnerable a los virus tradicionales para móviles, que usan las conexiones Bluetooth y los mensajes MMS para propagarse, ya que no tiene estas funcionalidades.
Pero, aún así, el peligro sigue presente por otras vías, aseguró: "Se ha demostrado que el navegador del iPhone es vulnerable y se le puede ejecutar código al visitar un sitio web". Gostev predijo que en poco tiempo habrá virus específicos para el iPhone y teléfonos similares y que, en diez años, serán tan abundantes como los hoy dirigidos a los PC.
El spam es un negocio legal
Si alguien piensa en los "spammers" como chavales de los bajos fondos informáticos se equivoca, afirma un estudio realizado por Kaspersky Lab en Rusia, el segundo país que manda más correo basura, por detrás de Estados Unidos. El "spam" ruso se envía desde proveedores y empresas totalmente legales y este año alcanzará un volumen de negocio aproximado de 125 millones de euros en aquel país.
Los virus acechan al contenido multimedia
Se acercan cada vez más, sin esconder sus intenciones. Los creadores de código malicioso quieren asaltar uno de los bastiones más activos de Internet, la descarga de contenido multimedia, que aumentaría exponencialmente su poder de infección. Un episodio de los Simpson que no era tal y un nuevo troyano que infecta archivos para Windows Media Player son las novedades de este frente.
Julio 11, 2008
El ciberespionaje industrial creció un 18% en España
No fue difícil para el atacante conocer los gustos de la secretaria del director general: participaba en diversas redes sociales donde aireaba su vida personal, los nombres de sus amigos o aficiones como aquella casi adicción a los zapatos caros. Después de meses de investigación cibernética de los empleados clave de la compañía, el atacante había descubierto su Talón de Aquiles.
Creó un programa troyano a medida para superar los controles de seguridad de la red corporativa. Lo mandó por correo electrónico a la secretaria, dentro de un adjunto en PDF que supuestamente le enviaba una amiga: el catálogo de verano de una marca de calzado. La secretaria lo abrió y el troyano se activó en silencio. A través de él, el atacante tomó el control del ordenador del director general.
El reportaje completo, en http://ww2.grn.es/merce/2008/ciberespionaje.html
Junio 26, 2008
Bajo una lluvia de spam
Malditos spammers, caí en su trampa y ahora me inundan con una lluvia de EuroFarmacia, Viagra y otras basuras. ¿Que cómo caí en su trampa? Pues con esa estrategia de mandarte "newsletters" que parecen de verdad, con información de verdad, copy&pasteada de otros sitios, y webs que parecen también de verdad. Te las mandan diariamente o con una periodicidad regular, como una "newsletter" de verdad, hasta que llega un momento en que dudas si es que alguien te ha apuntado para gastarte una broma o algún "amiguete" listillo ha pasado tu dirección a unos colegas que montaban una "newsletter" porque "seguro que sí, que a Mercè le interesa".
Total, que tu filtro antispam no da abasto y no la filtra (como tanto otro spam) y te cansas de verla cada día y se te ocurre ir a desuscribirte al sitio que te dicen y, zas, avalancha de basura los días y semanas siguientes. Y a esperar, hasta que tu dirección "caduque" según sus baremos, que vete a saber cuándo será.
Eso sí: el delito en la red no es este, oiga, mire usted para otro lado, para el que le diga la industria, que las personas, aquí como en el mundo real, no contamos una m..... ¿O será que es más fácil pillar a un pobre chaval con un tracker que a un spammer? Sí, claro, qué tonta, es eso.
Junio 12, 2008
Crecen los ciberataques por motivos políticos
Manel Medina propone distinguir dos corrientes de activismo cibernético: "Los pacifistas, con acciones controladas "manualmente", y los guerrilleros, con acciones realizadas por comandos autónomos ("bots") potencialmente incontrolables. Estos podrían llamarse "cracktivistas" y usarían "armas de destrucción masiva"".
Pablo Garaizar añade a esta distinción: "Los hacktivistas no pretencen vencer, sino convencer, se centran en la batalla ideológica, su objetivo no es tumbar un servidor sino llegar a las mentes de quienes asisten a sus acciones. El cracktivista utiliza a las personas y sus ordenadores como meros fines para incrementar su poder e imponer sus criterios".
El reportaje completo en: http://ww2.grn.es/merce/2008/cracktivism.html
Junio 04, 2008
Entrevista a Jordi Mallach, de Debian, sobre el "bug"
-No me han gustado nada algunos calificativos de este incidente por parte de
algunos medios (chapuza, ñapa, etc), y por eso quería darte un escrito
suficientemente claro sobre este tema. Lo que defiendo es que la cagada
por parte de Debian es mayúscula, pero no es fruto de que alguien ha
tocado algo que no sabe, ni que Debian va por libre y la caga y tal. Que
hay también muchas cosas a corregir en OpenSSL, y que esto puede pasar
otras veces en otras distribuciones.
La entrevista completa en: http://ww2.grn.es/merce/2008/entrevistadebian.html
Un grave fallo en Debian pone en peligro millones de operaciones y máquinas
Un error ha provocado que, desde septiembre de 2006, las claves de cifrado generadas con la distribución de GNU/Linux Debian se puedan romper fácilmente. Esto deja millones de máquinas abiertas a los intrusos e inutiliza certificados usados en el comercio y la banca electrónicos. El normalmente cauto SANS Internet Storm Center lo ha calificado de "muy, muy, muy serio y escalofriante".
Sigue en: http://ww2.grn.es/merce/2008/debian.html
Mayo 21, 2008
Más blogs de seguridad informática
Security By Default. Es nuevo y, por la talla de sus escritores, promete buenas informaciones. De hecho han empezado fuerte, con un informe sobre la inseguridad de los certificados digitales que emite la FNMT. Que tengáis suerte y buenos vientos :)
48bits. Este es como cuando dices: ¿Pero dónde se ha metido la gente? Y vas y te los encuentras de pronto, un día. Vía serendipity en el Blog de Hispasec.
Mayo 06, 2008
¿Eres un zombi?
En el tiempo que usted tarde en leer estas líneas, pongamos diez minutos, cuatro ordenadores se convertirán en "zombies" sólo en España: un virus los infectará sin que sus propietarios lo sepan y los pondrá bajo el control de los ciberdelincuentes. No importará que tengan antivirus o la séptima maravilla de la seguridad informática, el secuestro de ordenadores mueve tanto dinero que las mafias se las ingenian de mil maneras para anular toda posibilidad de defensa.
(...)
DECÁLOGO ANTI-ZOMBIES
1. El sistema operativo Windows es el más atacado, por lo que hay que extremar las precauciones en caso de usarlo, instalando las actualizaciones periódicas de seguridad a rajatabla. Otra opción es pasarse a los sistemas operativos minoritarios, como MacOS X y Linux, por ahora casi inmunes a los virus.
Abril 23, 2008
Virus y forajidos campan a sus anchas en la Web 2.0
La Web 2.0, con sus tecnologías dinámicas y bulliciosas comunidades, ha convertido el antaño tranquilo territorio de la web en un Salvaje Oeste. A medida que llegaban los colonos, lo hacían también los criminales, instalando mil trampas para cazar los ordenadores de los incautos. Caer en ellas es tan sencillo como visitar un sitio con un navegador o sistema operativo que tengan algún fallo de seguridad, no necesariamente conocido.
El gráfico muestra la evolución de las amenazas web desde 2005 hasta 2007, según Trend Micro: "Se ha registrado un incremento del 1560% en tan solo dos años. Trend Micro & AVTest localizaron alrededor de 5 millones de casos de malware en 2007".
Sigue en: http://ww2.grn.es/merce/2008/atacsweb.html
Abril 17, 2008
Un blog sobre inseguridad informática
Su autor, anónimo y experto forense, me invita a echarle un vistazo y pienso que, seguro, puede interesar a alguien:
Abril 10, 2008
Telefónica reduce drásticamente sus emisiones de correo basura
Telefónica de España ha reducido en un 97,14% el volumen de correo electrónico que sus clientes mandan al ciberespacio, la mayoría mensajes basura procedentes de ordenadores contaminados por virus. La compañía ha aplicado una férrea política de monitorización de los ordenadores infectados así como el uso, junto con otros proveedores, del protocolo Sender Policy Framework (SPF).
Según el servicio independiente SenderBase, a principios del año pasado Telefónica era el segundo proveedor del mundo que mandaba más correo electrónico, con volúmenes de 350 millones de mensajes al día. El mes pasado, emitió una media de 10 millones diarios. Su principal bestia negra, la red de Telefónica Transmisión de Datos, que aparecía en todas las listas "anti-spam", está reduciendo su tráfico a un ritmo del 70% mensual.
Los spammers asaltan el correo gratuito
Los grandes proveedores de correo gratuito eran, hasta ahora, poco sospechosos de mandar correo basura. Su protección eran los CAPTCHAs: números y letras que sólo un humano puede descifrar cuando crea una nueva cuenta, evitando así que lo hagan robots que enviarían "spam". Pero, según diversas empresas de seguridad, los CAPTCHAs de Hotmail, Yahoo! Mail y Gmail han sido vulnerados.
Sigue en: http://ww2.grn.es/merce/2008/captchasbroken.html
Actualización 11-04-08. Bernardo Quintero, de Hispasec, me manda esta interesante información complementaria:
No se si Justin Mason lo aclara, pero detrás de la "granja de
resolvedores" hay una técnica interesante. En realidad la granja está
formada por personas anónimas de toda internet, que no saben que
están resolviendo CAPTCHAs para uso fraudulento.
Funciona de la siguiente forma:
1) el servidor de los "malos" va a la página web del CAPTCHA (por
ejemplo google), coge ese reto de forma automática y lo presenta
en una página de contenido pornográfico creada por los "malos"
2) la página web de contenido pornográfico pide que los visitantes
resuelvan ese CAPTCHA para poder acceder al contenido (una foto,
etc..), los usuarios resuelven el CAPTCHA de forma manual y obtienen
el contenido, a su vez la solución manual es enviada al servidor de
los "malos"
3) desde el servidor de los "malos" ya pueden utilizar la solución
manual para pasar el CAPTCHA
En una estrategia "hombre-en-medio" aplicada a los CAPTCHAs
Abril 01, 2008
Entrevista Rubén Santamarta - Versión "long-play"
A sus 25 años, Rubén Santamarta es un buen ejemplo del alto nivel español en seguridad informática. Cumple todos los tópicos: autodidacta porque se aburría en la universidad, a los 10 años entró el primer ordenador en su casa y a los 19 ya era un experto en descubrir vulnerabilidades en programas. Hoy importantes empresas como iDefense y ZDI le pagan por ello.
(...)
Santamarta sabe que en su trabajo "hay que ser ético". El mercado negro de códigos maliciosos que atacan estos agujeros es goloso: "Me han ofrecido más de 20.000 dólares para cosas normalitas y, para otras, más del triple. Las empresas legales pagan una décima parte de lo que las mafias ofrecen. En una ocasión, ni siquiera pusieron límite. Por supuesto, ni me digno en contestarles".
Versión completa de la entrevista en http://ww2.grn.es/merce/2008/rubensantamarta.html
10 años de inseguridad informática
(...) El futuro no pinta mejor, según el esCERT: "Después del crimen organizado, el terrorismo y la guerra pasarán también al mundo virtual". Los sistemas de defensa evolucionarán a la par, aseguran, "desarrollando agentes que se infiltran silenciosamente en los ordenadores y elementos de gestión de las redes para detectar los ataques y protegerse desde el principio".
En este escenario habrá nuevos actores, explican en esCERT: "Los ciber-militares o ciber-policias que actuarán atacando abiertamente la red, para proteger a otros que están siendo atacados injustamente o para prevenir ataques a servicios críticos". Y nuevos objetos a defender: "Los dispositivos móviles y las consolas de videojuegos con acceso a la red".
Todo el reportaje en: http://ww2.grn.es/merce/2008/10inseguridad.html
Marzo 31, 2008
Un medidor de la seguridad de las contraseñas
Vía Lifehacker he llegado al Password Meter. Está interesante. He probado mis contraseñas y, curiosamente, alguna que creía fuerte no lo era. El Password Meter hace sus mediciones a partir de diversos parámetros y no es suficiente con poner muchos caracteres, mayúscula, minúscula, números y signos. Si repites un par de letras, por ejemplo, ya está el password kaput. Y alguno que no tenía más de 7 caracteres ha resultado ser el más fuerte.
Marzo 25, 2008
VI Foro de seguridad RedIRIS en BCN
Foro monográfico sobre seguridad web, el tema del momento. Este jueves y viernes en la Universitat de Barcelona. Ya ha acabado el plazo de registro pero a lo mejor a alguien le interesa el programa:
Jueves 27 de Marzo
09:15-09:45 Registro y entrega de documentación
09:45-10:00 Inauguración y presentación del Foro
Miquel Huguet, Director del CESCA
Tomás de Miguel, Director de RedIRIS
10:00-11:00 Evolución histórica de los servicios Web
Javier Puche, IES Villablanca, CAM
11:00-11:30 Pausa Café
11:30-13:00 Principales vulnerabilidades en aplicaciones Web
Christian Martorella, Edge-security
13:00-14:00 Malware, Malware y más Malware. Cómo me puedo proteger? "Dijo el cliente web"
Marc Vilanova, Consultor de Seguridad TIC Independiente
14:00-16:00 Pausa Comida
16:00-17:00 Seguridad en entornos Apache y PHP
Sergio Castillo, UAB
17:00-18:00 Quién se ha comido mi dato?
Luis Herreros Sánchez, SATEC
18:00-19:00 Restricción y evidencia en infraestructuras web 2.0
Miguel Suárez Albares, Symantec Iberia
Alfredo Reino, Symantec Iberia
Viernes 28 de Marzo
09:00-10:30 OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza
Vicente Aguilera, OWASP
10:30-11:30 Protegiendo nuestros servicios web
Cándido Rodríguez, RedIRIS
11:30-12:00 Pausa café
12:00-13:30 Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario (UCLM)
Raúl Siles, GSE, Consultor independiente de seguridad
Evangelino Valverde, UCLM
Febrero 27, 2008
Los routers domésticos se convierten en objetivo criminal
Primero fueron los servidores corporativos, después los ordenadores domésticos y, ahora, los "routers" ADSL presentes en cada vez más hogares. Los creadores de código malicioso han descubierto en estos aparatos un nuevo objetivo a atacar. El hecho de que sean pequeños ordenadores, que estén siempre encendidos y poco protegidos los convierte en piezas fáciles y atractivas.
Las pasadas Navidades, en México, se vivió lo que algunos expertos en seguridad temían: el primer caso real de modificación masiva de la configuración de "routers" domésticos, para usarlos en estafas de "phishing". Aunque no hay datos de su alcance, se cree que fue muy rentable para los criminales, que lo han repetido en diversas oleadas. La empresa Symantec afirma en su blog corporativo: "Ahora que se ha realizado por primera vez este ataque, habrá otros".
Febrero 21, 2008
"En dos años desaparecerán las botnets"
David Perry es un viejo zorro en la lucha contra los virus informáticos. Ha pasado por las más importantes empresas del sector y hoy es Director Mundial de Formación de Trend Micro. Músico y hacker, se enorgullece a partes iguales de ser amigo de Paul McCartney y de tener 25 ordenadores en casa. Hoy Trend Micro es noticia por un litigio de patentes con la empresa de "software" libre Barracuda. Pero Perry no quiere hablar de ello:
-Esto es una cuestión corporativa. Yo soy un "geek".
(...)
-¿El antivirus del futuro es tratarnos como a idiotas?
-Es que tenemos que proteger de cada vez más cosas: correo basura, gusanos, ataques por web, troyanos, "zombies", virus publicitarios, programas espía. Por suerte, nuestras metodologías son cada vez mejores. En los próximos dos años acabaremos con las "botnets".
-¿Cómo?
-Haciéndoles cada vez más difícil el negocio. Pero aparecerá otra cosa. ¿Recuerdas los virus de arranque? ¿Y los de macro? Los eliminamos, pero siempre ha habido algo después. El problema no es la tecnología sino los seres humanos, que se vuelven locos y se convierten en criminales.
-A veces me da la impresión, cuando escribo sobre tal "botnet" o virus, de estar narrando fantasías porque no los veo con mis ojos.
-Esto es parte del problema, que son invisibles. Vivimos en un mundo lleno de datos. El 90% del dinero mundial está en ordenadores, en el aire. Por eso los criminales van a Internet a robarlo, que es donde está. La gente debería entender que un virus no es magia, que es tan real como este dinero. Lo que pasa es que ahora estamos viviendo la brecha entre una nueva tecnología y el misterio que evoca. Pasó también con los coches o con la electricidad.
-¿Internet debería ser como una lavadora, que no vemos como algo mágico?
-Exacto. Si muestras una lavadora a alguien que no ha visto nunca ninguna, no sólo le parecerá mágica sino que la usará para lavar como en el río, frotando la ropa contra la tapa y enjuagándola en el agua del cubo. Eso hacemos nosotros ahora. Debemos ayudar a la gente a entender el misterio de la tecnología para que sepa usarla.
-¿Hay que educar también a los informáticos para que no se conviertan en criminales?
-Sí. Los hackers no trabajan para las mafias porque no les motiva el dinero y tienen una ética. Pero está surgiendo una nueva generación que no conoce esta ética. Quieren ser cibercriminales porque "mola", porque da mucho dinero.
La entrevista completa en: http://ww2.grn.es/merce/2008/davidperry.html
Febrero 19, 2008
Jornada en Barcelona de la Open Web Application Security Project Foundation
Quería informarte de un nuevo evento (y ya van tres!) que
organizamos desde el capítulo español de la OWASP (Open Web
Application Security Project) Foundation.
La asistencia al evento es gratuita.
Te facilito la información sobre la jornada que se organiza en
Barcelona:
FECHA:
Viernes 14 de Marzo, 2008
AGENDA:
16:30h Registro
17:00h Bienvenida y presentaciones
Vicente Aguilera Diaz, OWASP Spain Chapter Leader.
17:05h "Herramientas de análisis estático de seguridad del código:
estado del arte "
Luís Rodriguez Berzosa, Responsable del laboratorio software.
Application Lifecycle Solutions
En esta ponencia se examina la situación actual de la clase de
herramientas de análisis estático de seguridad, que sin ejecutar el
código del software, tratan de identificar las vulnerabilidades
explotables en las aplicaciones y servicios web. Se determina el
estado del arte de las herramientas académicas y de código abierto,
la oferta de OWASP en este dominio, los límites de esta tecnología,
y se proponen algunas ideas para mejorar la difusión y la cobertura
desde OWASP.
18:00h "Ataques a las políticas de seguridad por contexto"
Iñaki López/Daniel Cabezas, Responsables del Laboratorio de
Seguridad Avanzada. Ernst & Young
Se presentará una aproximación a cómo inferir información acerca de
redes o websites objetivos, sus relaciones y políticas de seguridad
en base a información recabada públicamente. Incluirá demostración
práctica.
18:55h Coffee-break
19:10h "La seguridad multinivel en servidores web"
Luis Calero, Director Técnico. Pentest Consultores
La ponencia versará sobre la aplicación práctica de la seguridad
multinivel -MLS- así como de las distintas tecnologías de control de
accesos existentes: -DAC, MAC, DBAC, RBAC, RSBAC- en la securización
de servidores web.
20:05h "Amenazas e incidentes de seguridad en entornos Web: realidad
o ficción"
Raúl Siles, Consultor de seguridad independiente. raulsiles.com
Los entornos Web son uno de los objetivos principales en los ataques
directos a organizaciones, y también actúan como medio de ataque
sobre sus visitantes. La ponencia analiza amenazas, ataques e
incidentes de seguridad reales que se están llevando a cabo en la
actualidad sobre entornos Web corporativos, y sobre nuevos
objetivos, las aplicaciones Web de los dispositivos embebidos.
21:00h Despedida/Entrega de certificados de asistencia(*).
LUGAR:
IL3 - Institute for LifeLong Learning (Universitat de Barcelona)
C/ Ciutat de Granada, 131
08018 - BARCELONA
Patrocina: Internet Security Auditors, S.L.
(*) El organismo (ISC)2 ha aprobado 1 CPE por cada hora de
asistencia a nuestras conferencias. Los certificados de asistencia
se entregarán a todos aquellos que lo hayan solicitado previamente.
Encontrarás información adicional y actualizada en nuestra Web:
http://www.owasp.org/index.php/Spain
Enero 31, 2008
Crónica Jornada de Seguridad en la Universidad Politécnica de Madrid
Una jornada sobre seguridad informática en la Universidad Politécnica de Madrid ha puesto nuevamente sobre la mesa los peligros por el mal uso de la tecnología. Desde los riesgos asociados a inventos tan rompedores que pocos imaginan aún su lado oscuro, como la criptografía cuántica, hasta problemáticas cada día más amenazadoras como los programas maliciosos, antaño llamados virus.
(...)
El riesgo de que esta novedosa tecnología se use con fines perversos no es ninguna utopía, ya ha sucedido con los programas informáticos, como demostró Sergio de los Santos, consultor de seguridad de Hispasec Sistemas: "En el código malicioso, hemos pasado del romanticismo al todo por la pasta, gente organizada que presta especial atención a atacar la banca en línea". Como ejemplo de su creciente poder, mostró fotos de una lujosa fiesta en Praga que reunió a algunos de estos nuevos criminales.
Según de los Santos, "funcionan como una industria, el código que producen es muy bueno y sofisticado, optimizando los recursos para obtener mayores beneficios". Ni los antivirus ni los cortafuegos protegen ya contra estos criminales que "han tomado la web para distribuir sus códigos y también como parte de su infraestructura", refiriéndose a la Rusian Business Network, una empresa de San Petersburgo que vende servicios web para distribución de código maligno y "phishing".
Muestra de la sofisticación de esta industria es la familia de troyanos SinoWall, explicó De los Santos: "Una vez te has infectado, el troyano queda latente, vigilando tus hábitos de navegación. Cuando detecta que has visitado algo interesante, por ejemplo un banco, envía esta información cifrada al criminal, que decide si es un objetivo apetecible y si tiene algún código malicioso específico para él. Si se da el caso, lo instala en tu máquina para que robe tus claves".
Otra muestra de la complejidad de estos troyanos es su funcionamiento modular, de forma que el mismo pueda servir para diversas funciones, al gusto del criminal: enviar correo basura, bombardear redes o infectar otros ordenadores. Además, detectan el navegador que está usando su víctima y descargan troyanos específicos para aprovechar los agujeros de este programa. Fernando Acero, de Hispalinux, añadió: "Si tu ordenador está infectado con un troyano, hará las operaciones que quiera con tu DNI electrónico".
Entrevista Bruce Schneier
A Bruce Schneier, 44 años, "The Economist" le llama "gurú de la seguridad informática". Asesora a empresas a través de la suya, Counterpane, que recientemente adquirió British Telecom. Algunos de sus muchos "fans" mantienen, con su aquiescencia, el web humorístico "Los hechos de Bruce Schneier", donde entre otros destacan: "Cuando Dios necesita un nuevo certificado seguro, se lo pide a Schneier".
A partir de sus frecuentes viajes para dar charlas, como la que impartió en la II Jornada Internacional del ISMS Forum Spain en Madrid, Bruce Schneier se ha convertido en uno de los mayores críticos de las medidas de seguridad de los aeropuertos del mundo. Después de su paso por el de Barajas, explica: "Nada que objetar. Me ha parecido rápido y fácil, poco que ver con el sinsentido de los aeropuertos americanos".
Sigue en: http://ww2.grn.es/merce/2007/bruceschneier.html
(No es una buena entrevista. En mi descargo decir que es difícil hacer que un señor se concentre en tus preguntas mientras, al mismo tiempo, está firmando libros, leyendo su mail y no tienes más de 20 minutos porque detrás tuyo esperan otr@s entrevistadores. Qué estrés, señor Schneier. Sólo lo dejó todo y me atendió de verdad cuando llevábamos 1/4 de hora bien bueno de tontería y topicazos y quizás cayó en que no estaba ante una periodista muy normal que digamos)
Enero 28, 2008
Informe de incidentes 2007 - RedIRIS
Excelente informe de la gente del Computer Emergency Response Team de RedIRIS, fácilmente extrapolable al total de la red: Informe de incidentes de seguridad año 2007
A destacar:
1. Durante el 2007 se atendieron 2949 incidentes reales, lo que supone un 66.32% más (!!!) que durante el año 2006.
Preciosa imagen de la evolución de los incidentes por meses y años,
cual rosa abriéndose al ciberfuturo.
2. El Web se establece definitivamente como el primer vector de ataque para intentar infectar a victimas vulnerables.
3. El número de máquinas ``zombies'' y de redes de bots no hace nada más que aumentar durante este último año, y con ellas los ataques que desde las redes se lanzan.
4. Surge una nueva generación de malware (que algunos han dado por llamar Malware 2.0) , de carácter altamente cambiante y que utiliza técnicas automáticas para ofuscar las variantes y dificultar así la identificación.
5. Tipos de ataques: Los escaneos siguen teniendo gran protagonismo. También es elevado el número de incidentes clasificados como ``Uso no Autorizado'', que corresponden en su mayoría a casos de Phishing albergados en máquinas de ISPs Españoles y de problemas relacionados con inyección de código Web.
6. Spam: En 2006 los niveles de trafico SMTP basura rondaba el 85%. Durante el 2007 estos niveles han llegado a superar el 90% de todas las transacciones SMTP.
7. Si los ataques se han criminalizado, es de esperar que en los próximos años se deba prestar una atención especial a la protección de la infraestructura crítica. La amenaza ahora son los ataques masivos para tomar control de los principales sistemas de misión crítica de un estado como son la banca central, servicios públicos, servicios de emergencia, etc.
Temblad... o estudiad seguridad.
Top Ten Web Hacks of 2007 (Official)
Ya han escogido lo que comentaba sobre los mejores web hacks. No sé si los que entienden de esto coincidirán... La lista final:
1. XSS Vulnerabilities in Common Shockwave Flash Files
2. Universal XSS in Adobe’s Acrobat Reader Plugin
3. Firefox’s JAR: Protocol issues
4. Cross-Site Printing (Printer Spamming)
5. Hiding JS in Valid Images
6. Firefoxurl URI Handler Flaw
7. Anti-DNS Pinning ( DNS Rebinding )
8. Google GMail E-mail Hijack Technique
9. PDF XSS Can Compromise Your Machine
10. Port Scan without JavaScript
Honorable Mention:
Microsoft ASP.NET Request Validation Bypass Vulnerability (POC)
Enero 25, 2008
Martin Hellman: el abuelo del cifrado moderno
Martin E. Hellman es un simpático profesor semi-jubilado de 62 años que explica, con orgullo friki: "Uso un Mac porque no hay ordenador que funcione mejor". Le pillamos en Madrid, en una jornada de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información. No le han invitado por maquero, no, sino porque inventó, junto con Whitfield Diffie y Ralph Merkle, la criptografía de clave pública. "A ese hombre, deberían darle un Nobel", nos dice por enésima vez el director de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación. Pero, en la rueda de prensa que ofrece el viejo profesor, sólo estamos 3 tristes periodistas. Y es que la criptografía no es "cool". ¿O sí?
(...)
-¿El gobierno norteamericano les presionó para que no trabajasen en esto?
-Mientras investigábamos, no. Pero cuando lo publicamos, sí. La comunidad de inteligencia nos estuvo molestando bastante. La National Security Agency (NSA) intentó clasificar nuestro trabajo, argumentando que las investigaciones en ciertas áreas, entre ellas la criptografía, eran "clasificables por defecto". Aunque nosotros no habíamos tenido acceso a información clasificada para nuestras investigaciones, el resultado debía ser clasificado.
-Pues vaya.
-No vinieron directamente a mí para decirme que estaba violando la ley. Una persona envió una carta amenazante a la universidad. La mandó desde la dirección de su casa. También nos envió una copia de la ley, donde ponía que podíamos ir 10 años a la cárcel y pagar 50.000 dólares de multa.
-¿Y qué hicieron?
-La universidad decidió asumir mi defensa. El abogado me dijo que lo veía como un caso de libertad de expresión y así lo defendería. Si nos declaraban culpables, apelaría las veces que hicieran falta pero, si perdíamos todas las apelaciones, dijo: Primero, no podremos ir a prisión por tí y, segundo, no podremos pagar tu fianza porque, si te han declarado culpable, la universidad no puede pagar la fianza de alguien que ha violado la ley.
-¿Hubo juicio?
-No.
-¿La NSA nunca le pidió que trabajase para ellos?
-Antes de inventar la criptografía de clave pública, vino gente de la NSA a ofrecerme trabajo, pero les dije que no porque me gustaba publicar mis investigaciones, no que fuesen clasificadas. En nuestra área, en el momento en que entras en contacto con información clasificada estás vendido. Por eso mi respuesta fue no. En aquellos tiempos, los 70, tenía la imagen de que la NSA eran los malos, Darth Vader, y yo era Luke Skywalker.
-Muy bueno.
-Pero, en los 80, hubo diversos terremotos en mi vida personal y me di cuenta de que mi percepción subjetiva de las cosas no era la verdad absoluta. Uno de estos terremotos fue mi matrimonio: mi esposa es una mujer, desde mi punto de vista tiene algunas ideas locas y esas cosas... Así, este y otros temas me hicieron ver que la forma como yo veía el mundo no tenía porqué ser necesariamente la verdad.
-Cierto.
-En muchas ocasiones, tienes la diatriba: ¿Esto es A o es B? Mi mujer es una especialista en esto, lo que ella llama "La gran y". Lo que parece ser una oposición, muchas veces no lo es. No es A o B sino A y B. ¿Debo publicar mis investigaciones o debo ayudar a proteger a la gente, protegiendo cierta información?
-¿Y la respuesta es?
-El mundo es un sitio peligroso. En nuestros países tenemos libertades que el resto no tiene. No estoy de acuerdo con todo lo que hace mi gobierno, pero le estoy agradecido por algunas cosas, como protegerme, que yo pueda publicar mis investigaciones y, además, pueda quejarme de lo que no me parece bien. Los atentados terroristas como el 11-S o el 11-M son horribles pero, ¿cuántos más han evitado los gobiernos y sus servicios de inteligencia? Así que yo y la universidad hemos tenido relación con gente de la NSA, pero nunca trabajamos para ellos.
Más en: http://ww2.grn.es/merce/2007/hellman.html
(Publicado originalmente en la revista @rroba)
Para Google:
Día Internacional de la Seguridad de la Información
DISI 2007
De nada y gracias, Jorge :)
Enero 14, 2008
¿Hacker Safe? Permita que me descojone
Hace ya unos añitos que veo por ahí webs mostrando opulentamente la etiqueta "Hacker Safe". Esto es una certificación de McAfee que cuesta vete a saber cuánto (en la web no he sabido ver el precio en ningún sitio) y que somete al sitio candidato a impresionantes -eso parecen- escaneos, testeos y pruebas.
The HACKER SAFE® certification mark is displayed on over 80,000 web sites worldwide. HACKER SAFE certified sites include some of the largest brands in retail ecommerce; as well as banks, universities, Fortune 500 corporations, state, county and city governments, and non-profit institutions.
No es la primera vez que cae uno de estos sitios tan y tan bien protegidos, pero la anécdota es curiosa para contarla: Geeks.com, una tienda de hardware online que exhibe la citada etiqueta, notificaba recientemente a su clientela que sus datos personales y bancarios podrían haber sido comprometidos por un ataque. McAfee corrió en seguida a explicar que la culpa era de Geeks.com, que ya les habían dicho que tenían algunas cosas inseguras y no les autorizaban a poner lo del "Hacker Safe".
A día de hoy, Geeks.com sigue mostrando de forma bien visible la mágica etiqueta. Y aquí no ha pasado nada.
Enero 09, 2008
Por fin un ranking de cosas interesantes: Top 10 Web Hacks del 2007
Los últimos y primeros días del año son dados, por nostalgia supongo, ganas de poner orden en el pasado y guardarlo en el armario quizás, a hacer rankings de cosas. La mayoría salen como salen, pero hete aquí que acabo de pillar un ranking que parece interesante: Top 10 Web Hacks for 2007 (vía Ha.ckers.org)
Atención, no es un ranking de webdefacements: To be clear the “hacks” we’re interested in are the new techniques released over the last year - we’re not talking compromises or “incidents”, but the real research behind it all.
Aún está en proceso de votación así que, si alguien entiende algo de lo que dicen (yo no :), puede pasarse un rato y votar. En los comentarios hay algunos links también interesantes.
Noviembre 28, 2007
VISA dice basta a los robos de tarjetas en la red
El comercio electrónico está viviendo una carrera que ríase usted de la adaptación al año 2000. Bancos, tiendas y pasarelas que almacenan datos bancarios deberán cumplir antes de 2008 un nuevo estándar de seguridad, dictado por las principales firmas de tarjetas de pago. En caso contrario, no podrán usar estas plataformas para comercializar sus productos.
La razón de esta medida radica en una práctica común pero peligrosa del comercio electrónico, explica Simon Perry, vicepresidente de Gestión de Seguridad de Computer Associates: "Cuando compras con tarjeta en Internet, la tienda guarda tus datos para que la próxima vez no tenga que pedírtelos y sea más fácil para tí. El problema es que así se crean bases de datos con información de cientos de miles de tarjetas, muy apetecibles para los delincuentes".
Los robos de estas bases de datos han sido una práctica habitual en los últimos años y un secreto a voces que las empresas se han negado a publicitar. Esto cambió en 2005, cuando el estado norteamericano de California aprobó la "Ley de Información de Brechas de Seguridad", que obligaba a notificar a los clientes los robos de información personal.
Con la ley, aumentaron exponencialmente las noticias sobre compromisos de bases de datos y también la desconfianza de los consumidores, explica Simon Perry: "A la gente le preocupa cada vez más la seguridad a la hora de comprar en Internet y esto se ha convertido en un importante problema empresarial que justo ahora las compañías empiezan a reconocer".
Octubre 01, 2007
Buffer overflows en Check Point, by Pentest
Por si fuera de tu interés, acabamos de publicar un informe -en inglés- donde
se relata todo el proceso de explotación sobre varios fallos -buffer
overflows- del cortafuegos Check Point. En concreto se ha evaluado la versión
Secure Platform R60 que había sido certificada por la NSA y el NIST con un
nivel EAL4+. En el informe se pone de manifiesto la debilidad de los procesos
de certificación realizados por el gobierno de los EEUU.
http://www.checkpoint.com/press/2006/ealusgov100406.html
http://www.pentest.es/checkpoint_hack.pdf
---> Con franqueza, no entiendo nada, pero el .pdf está super currado, más de 200 páginas, y repleto de cosas como:
[Expert@fw1pentest]# ]# rm -f /var/log/dump/usermode/SDSUtil.* ; /opt/CPsuite-
R60/fw1/bin/SDSUtil -p 123123 123123 `perl -e 'print "B"x4'``perl -e 'print
"12345678"x1029'``perl -e 'print "\x50\x5c\x55\x77ABCD\x9a\xa8\x5d\x77"'`
bash: ]#: command not found
Info; OpenConn; Enable; NA
Error; OpenConn; Enable; Unresolved host name.
sh-2.05b# exit
exit
Segmentation fault (core dumped)
---> y dice esto:
What are the affected products?
It’s difficult to us to tell how many products, versions and platforms should be affected, but
I think that almost any CheckPoint product based on Secure Platform could be vulnerable. That
includes the UTM-1, etc. Also any platform having same binaries as the affected ones could be
vulnerable. So a lot of ChekPoint products should be affected…
Is there any workaround until the vendor releases patches?
Yes. The easy non-intrusive way is to monitor the directory were core dumps are created.
As an example, in the Secure Platform that is: “/var/log/dump/usermode/”. Write a script that
monitors for any change. If you can see files there… bad things are happening to your firewall.
---> Y también dice:
CheckPoint was first contacted on 19-03-07. Since them many other attempts were done
and at last we were redirected to our country –Spain-. We contacted the representative of Check Point at our country and many approaches attempts were made. The feedback was very
poor and after months of waiting we decided to release this work to the community.
Julio 24, 2007
Hablan los creadores del MPack
En SecurityFocus publican una interesante entrevista a Dream Coders Team, desarrolladores del MPack.
Una pregunta-respuesta que me ha llamado la atención:
-Do you feel sorry for the people whose machines are infected by an attack?
-Well, I feel that we are just a factory producing ammunition.
Julio 11, 2007
Adam Laurie: "Los gobiernos no se toman la tecnología en serio"
Tarjetas de crédito, mandos a distancia, puertas de garaje, sistemas de televisión de hoteles, billetes de avión y de metro. No hay código de seguridad que se resista al británico Adam Laurie, veterano hacker del lado del bien. Su última hazaña ha sido demostrar que los flamantes pasaportes biométricos de Gran Bretaña se pueden clonar.
-Llega tarde.
-Disculpe. Estaba copiando para unos chicos unas tarjetas con chips RFID, esas que la industria dice que es imposible clonar. Una era para entrar en su oficina y la otra, para la máquina de café.
-A usted le gusta "jugar" con todo. ¿Tiene alguna pauta común?
-Investigar la seguridad de las tecnologías que afectan al consumidor.
-¿Cómo consiguió romper la protección del chip de los pasaportes británicos?
-La clave está formada por tres elementos: el número de pasaporte, la fecha de expiración y la fecha de nacimiento. No fue difícil descubrir las fechas. En cuanto al pasaporte, les dan números secuenciales, así que sólo tuve que buscar dentro de un rango. Fácil.
-¡Lo parece!
-Este es el problema. La solución también es fácil: no dar números secuenciales a los pasaportes.
-¿El gobierno ha dicho que lo solucionará?
-A mi no me dicen nada. Nos comunicamos a través de los periódicos.
José Nazario: "Con una botnet se pueden ganar miles de dólares al día"
José Nazario es una especie de "cazafantasmas": investiga y persigue a las siempre cambiantes redes de ordenadores "zombie" que se esconden en la inmensidad del ciberespacio. Se infiltra en ellas, localiza a los delincuentes que las controlan y los entrega a la policía.
-¿De dónde le vino esta afición?
-Soy bioquímico, especializado en enzimas y sus relaciones en sistemas muy complejos, pero me aburría. Usaba ordenadores para mis cálculos y empecé a fijarme en las redes informáticas. En el 2000 creé una teoría sobre las redes de ordenadores "zombie", a las que llamé "botnets" (redes de robots).
-¿Casi que dio la idea a los criminales?
-No. En 1999 ya había gente creando pequeñas redes. Pensé: imagina que hacen esto contra máquinas Windows, qué pasaría.
-¿Cómo se caza al dueño de una "botnet"?
-A veces me hago pasar por una de las máquinas "zombie". Estudio el código malicioso que le dice dónde debe conectarse para recibir órdenes, normalmente un canal de chat, y voy yo en lugar de la máquina. Cuando estás dentro, dices: "Hola" y suelen sorprenderse mucho.
Crónica FIRST 2007 - Nadie sabe cómo lidiar con las cada vez más botnets
"Son una industria creciente, cada vez más activas y difíciles de rastrear", denunció el experto en redes de ordenadores "zombie", José Nazario, durante la Conferencia Anual FIRST celebrada en Sevilla. Estas redes, responsables de la mayoría de ataques, fraudes, código malicioso y correo basura, son el reto del momento para los profesionales de la seguridad informática.
Era la primera vez que el Foro internacional de Equipos de Respuesta a Incidentes y Seguridad (FIRST) se reunía en España. Casi 500 personas de 49 países, dedicadas profesionalmente a defender Internet contra la cada vez más inseguridad y, muy especialmente, las redes de "zombies", también llamadas "botnets" (redes de robots).
Un "zombie" es un ordenador infectado por un código malicioso que permite al atacante darle órdenes remotamente, como mandar correo basura o bombardear otros sistemas. Existen redes de miles de "zombies" que son un lucrativo negocio y, según Nazario, quienes las controlan llegan al extremo de "atacarse entre ellos, para secuestrar los "zombies" del otro y pasarlos a su ejército".
La guinda de tal descontrol la ponía recientemente un agresivo bombardeo contra Estonia, desde diversas "botnets", por una disputa política con Rusia. El Equipo de Respuesta a Incidentes (CERT) ruso no estuvo en Sevilla pero sí el ucraniano, que justo está creándose. Su portavoz, Kostiantyn Korsun, explicó a "Ciberpaís" que "hay una alta criminalidad informática en nuestra zona porque no tenemos una legislación adecuada".
Korsun negó que la mafia del este opere en Internet: "Tenemos chicos malos, sí, y hay otros que son de fuera y actúan desde nuestro país, pero no creo que la mafia esté detrás de estos delitos". El problema, aseguró, es la suma de dos factores: "Nuestras escuelas tienen un alto nivel en tecnologías de la información y la gente no tiene dinero".
Sigue en: http://ww2.grn.es/merce/2007/first.html
Julio 04, 2007
Joanna Rutkowska: "No podemos proteger a la gente de su estupidez"
A los 14 años escribió su primer virus. A los 27, estudia cómo detenerlos. Joanna Rutkowska es polaca, experta en código malicioso y musa de la comunidad de seguridad informática. La intriga saber si en España todos hacen la siesta: "Yo sí, cuando investigo algo complicado, y al despertar sé cómo resolverlo".
Sigue en: http://ww2.grn.es/merce/2007/joanna.html
Junio 22, 2007
Webs que infectan a sus visitantes: "Esto pasa todos los días"
Los expertos en seguridad informática coinciden en que, aunque es preocupante, no es una novedad que miles de páginas web estén provocando que sus visitantes se infecten con todo tipo de virus, troyanos, programas espía y otros. La razón es que ni estos sitios ni quienes los visitan tienen sus respectivos programas actualizados y seguros. Por eso, afirma Francisco Montserrat Coll, del IRIS-CERT, cosas así "pasan todos los días".
"Hay muchos servidores web que no tienen seguridad", explica Montserrat y sigue: "La tendencia, desde hace mucho tiempo, era hacerles "defacements", lo que significa asaltar el sitio inseguro y cambiar su portada. Después, empezaron a cambiar páginas interiores en vez de la principal. Si al cabo de 15 días los responsables del sitio no se había dado cuenta, significaba que era un servidor descuidado y los criminales lo vendían en el mercado negro".
Junio 19, 2007
MPack: ¿Empieza la caza de brujas?
No es mi intención acusar a quienes, seguro, han difundido la información con la mejor voluntad del mundo, pero no deja de ser curioso que justo ahora se publicite un incidente de seguridad, la troyanización (no sé si uso el concepto correcto) de decenas o cientos de miles de páginas web, dando más importancia a la herramienta usada que al incidente.
Mucho ha subido en las últimas horas la popularidad de MPack. En el Washington Post, aparece en el mismísimo título donde, como sabemos por los cursos de ética periodística de CQC, se pone lo más importante de la noticia: Mpack Exploit Tool Slips through Security Holes
Subtítulo en el Computerworld Australia: The large-scale attack is based on the multiexploit hacker kit dubbed 'Mpack'
Websense, los que lo han largado, titulan: Websense® Security Labs™ has received reports of a large scale attack in Europe that is using the MPACK web exploit toolkit.
y remite a los que se lo curraron, Panda Labs, que titulan: MPack uncovered!
Ha habido otras herramientas que han salido en titulares, más allá del mundillo de la seguridad informática, recuerdo ahora el Back Orifice o, recientemente, Jikto, que no estaba en el título pero sí en la primera línea de una noticia de News.com. Seguro que MPack se merece todos los títulos. Pero tal explosión mediática, justo ahora que en diversos países se están haciendo leyes que criminalizan las "herramientas de hacking", suena... delicado...
En fin que, de todo esto, lo más interesante para esta servidora radica en saber si Sergio de los Santos y Marta Torné van a acabar quedando :)
y en visitar mañana Panda Labs porque prometen información sobre cómo se pueden infectar tantos miles de servidores web de una tacada.
ale pues. bona nit & happy disclosure :)
Junio 12, 2007
Sobre el asalto a Arsys
No puedo resistirme a poner unas líneas sobre el asalto a Arsys y sucesos posteriores, como la nota de prensa del ISP o el artículo de seguimiento de hoy de "El País".
La primera pregunta que me hice cuando leí la noticia fue: ¿Por qué la han filtrado? ¿Por qué la Guardia Civil filtra una noticia cuando aún no han cogido al "malo", están en plena investigación y no pueden ponerse la medalla? ¿Qué sentido tiene? ¿Qué intención oculta? ¿Quizás querían filtrar algún dato en concreto que hiciese dar un paso en falso a los malos?
Carlos Sánchez Almeida escribe hoy un artículo, La Revelación de San Bernabé, donde se pregunta también el por qué de la filtración, que considera "inoportuna", teniendo en cuenta que se está cocinando una ley precisamente sobre datos personales y su almacenamiento en los ISP. La ley, explica Almeida, obligará a que "todos los datos de tráfico de las comunicaciones electrónicas deberán registrarse y custodiarse durante un plazo de un año, al objeto de que puedan utilizarse por Juzgados y Tribunales para la persecución de delitos"
Si no me equivoco, esto cuadra con la última charla que le oí a Juan Salom, jefe de los ciberguardiaciviles. Salom casi suplicaba esta ley porque, explicó, no hay forma de trabajar con la que tenemos ahora: los ISP están obligados a guardar los datos de tráfico un máximo de x meses, pero no un mínimo. Por tanto, hay ISP que guardan los datos sólo un par de semanas y, cuando les vas a investigar qué hizo un usuario tal día, ya no hay nada.
Visto el contexto, me pregunto: ¿Filtrar esta noticia es una forma de mostrar que hay mucho crimen por combatir y esta ley es necesaria para pillar a los delincuentes?
Pero, si lo que decía la noticia de "El País" es cierto: "Algunos indicios apuntan a que han actuado a través de servidores ubicados en Rusia y EE UU. Ello dificulta el localizarles, porque utilizan servidores anónimos". No entiendo de qué serviría poder acceder a datos de tráfico de ISPs españoles para pillar a gente que ha actuado desde Rusia y proxies anónimos...
La segunda parte del texto de Almeida habla de la enmienda 72, que ha sido rechazada. Esta enmienda a la próxima ley "establecía que dichos datos de tráfico deberían cifrarse y la clave de cifrado debería ser custodiada por el Centro Criptológico Nacional".
Los datos robados en Arsys no eran de tráfico, pero eran datos. Y lo ocurrido es ciertamente un toque de atención hacia el peligro de que las empresas en la red guarden datos personales sin cifrarlos. Creo que la Ley de Protección de Datos tiene algo que decir sobre esto. Pero también el sentido común: ¿cómo es posible que las contraseñas de los usuarios se guarden en claro? Sinceramente, no me lo creo. No me creo que, a estas alturas y con tantos clientes, un ISP cometa un error de parvulario...
Tampoco entiendo a los intrusos, que fue la segunda pregunta que me hice: ¿Por qué han hecho el indio? Nunca he robado una base de datos pero, por lo que he oído, es relativamente fácil. Entras, la descargas y te largas. Nadie tiene por qué enterarse. Entonces, ¿por qué montar el pollo de manipular webs de clientes y que se entere todo dios?
¿Eran simples ladronzuelos? Decía la noticia de "El Pais": "Dada la sofisticación de medios empleada por los piratas, los investigadores están teniendo problemas". Habría que ver qué entienden las fuentes del periodista por "sofisticación" pero, si eres sofisticado, ¿montas tal cristo?. A no ser que quieras montarlo. A no ser que, quizás, el objetivo sea que se sepa. Y si no es por hacktivismo pro enmienda 72, que me huelo que no, ¿será por mandar a la porra la reputación de la empresa?
Paranoica estoy hoy :) Posiblemente eran unos script-kiddies que ni sabían donde estaban ;)
Precisamente el otro día hablaba en el blog de leyes y netiqueta y buscaba ejemplos de ciberdelitos comunes. Aquí tenemos uno que no ha seguido la ética del hacking. ¿Qué hacemos con esto? Pues que se apliquen las leyes. Pero para todos.
Una de las cosas que más me ha llamado la atención del caso Arsys es que, al conocerse la noticia, todo el mundo andaba preguntando el nombre del ISP víctima del asalto. Ya que hablamos de leyes, algunos estados norteamericanos tienen una muy interesante. No sirve para cazar al delincuente, pero sí para que los ciudadanos estén más informados, lo que significa tranquilos o con los datos suficientes para pasar a la acción, sea la que sea. Esta ley obliga a las empresas a informar públicamente de robos y pérdidas de datos de usuarios/clientes. Si tuviésemos esta ley aquí, se habrían evitado muchos sustos, incertidumbre y miedo.
Mayo 08, 2007
Empieza a tomar forma la red española de CERTs
En la Internet española se está cavando una potente trinchera contra la ciberdelincuencia. A los dos equipos de respuesta a incidentes informáticos (CERT) que ya existían, se les suman dos más casi al mismo tiempo: la semana pasada se presentaba oficialmente el CERT que velará por la seguridad de las redes gubernamentales y, en breve, lo hará el nuevo CERT para las PyMEs y Ciudadanos. También la Generalitat Valenciana prepara su propio equipo.
Los CERTs son una red mundial, la más grande del mundo dedicada a la seguridad informática, que agrupa a unos 200 equipos. La semilla de la subred española la puso el mundo académico con el IRIS-CERT, en RedIRIS, y el esCERT-UPC, en la Universitat Politécnica de Catalunya. Durante doce años han sido los únicos del estado, con frecuentes problemas presupuestarios y un aumento exponencial de ataques.
Ahora, el gobierno entra en la red con la inauguración casi simultánea de dos nuevos equipos: el CCN-CERT del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia, que velará por la seguridad de las administraciones públicas, y el CERT para PYMES y Ciudadanos del Instituto Nacional de Tecnologías de la Comunicación (INTECO), que se presentará este mes de mayo. Más adelante, la Generalitat Valenciana tendrá también su propio equipo.
El CCN-CERT era muy necesario, explica Luis Jiménez, subdirector general adjunto del Centro Criptológico: "Cuando el CERT gubernamental francés preguntaba quién había en España, tenía que ir a los CERTs universitarios. Ellos mismos nos han dicho que echaban de menos un CERT gubernamental español. Ahora nos toca trabajar para ser reconocidos internacionalmente y establecer convenios con otros CERTs gubernamentales"
El ámbito de actuación de este equipo son las administraciones, también las autonómicas y locales que lo deseen, y entre sus misiones destacan velar por la información clasificada y evitar el espionaje. Jiménez asegura: "Cada vez hay más ataques contra la administración, como el reciente "phishing" contra la Agencia Tributaria. También tenemos muchos troyanos, algunos dirigidos a objetivos concretos y procedentes de otros gobiernos y empresas".
El CCN-CERT empezó a gestarse en 2004, a raíz de un Real Decreto. Desde entonces, el Centro Criptológico, con profesionales ámpliamente experimentados en seguridad informática, ha hecho cursos a funcionarios, realizado inspecciones de seguridad y creado herramientas para auditorías, guías de securización de equipos y un organismo de certificación.
A estas funciones se añadirán otras, como análisis de código malicioso o instalación de sensores. Según Jiménez, el CERT gubernamental tendrá potestad para "realizar todas las acciones necesarias para la resolución de incidentes en sistemas clasificados, incluso entrar en los equipos implicados".
Sigue en: http://ww2.grn.es/merce/2007/certs.html
Abril 12, 2007
Las grandes corporaciones mandan spam sin saberlo (teóricamente)
No es ningún secreto que Estados Unidos es el país que genera más correo basura del mundo, el 22% según la empresa Sophos. Pero, ¿quién lo manda? El blog "Security Fix" del "Washington Post" se hizo esta pregunta y, después de analizar mensajes durante un mes, ha llegado a la conclusión de que la mayoría proviene de equipos desatendidos de las grandes corporaciones.
"Security Fix" investigó las direcciones Internet Protocol que aparecían como remitentes de los mensajes, para dilucidar qué máquinas los habían enviado. Así, descubrió anuncios para alargar el pene salidos de la red de Dow Jones o correos que animaban a participar en operaciones bursátiles fraudulentas enviados desde ordenadores de la American Electric Power, Hewlett-Packard y ExxonMobil.
Abril 05, 2007
Las caras detrás de las botnets
Hace unos días, en el blog de F-Secure aparecía una interesante foto de tres tíos compungidos:
Son Alexander Petrov, Denis Stepanov e Ivan Maksakov y están siendo juzgados, acusados de extorsionar a empresas británicas y norteamericanas con ataques de denegación de servicio, desde una botnet de tamaño considerable. "El caso implicó a 10 personas en Latvia, que actuaban de muleros, 4 atacantes desde Rusia y 2 desde Kazajastán. (...) La investigación duró más de un año pero, al final, estos tres individuos tuvieron su sentencia: 8 años de prisión cada uno".
Está bien verles las caras. Ver las caras a la gente siempre va bien para saber con quién estás tratando y, muchas veces, desmitificarlo.
La foto es copyright 2006 Kommersant / photo.kommersant.ru
Los ISP españoles se unen para combatir el spam
Los principales proveedores de acceso a Internet, que dan servicio al 90% de internautas españoles, se han puesto de acuerdo para usar una tecnología que reducirá considerablemente el volumen de correo basura generado en España. El acuerdo, inédito en el mundo, prevé que a finales de año todos usen este estándar.
Telefónica, ONO, Orange o Jazztel son algunos de los 26 proveedores que han dicho basta al correo basura ("spam"), una incomodidad no sólo para los internautas sino también para estas empresas, que deben invertir en cada vez más filtros mientras ven con impotencia cómo crecen los virus que convierten los ordenadores de sus clientes en emisores de "spam".
Según los analistas, el 84% de los mensajes que circulan por las redes españolas son basura, muy por encima de la media europea. España es el quinto emisor mundial de "spam" y el tercero víctima del "phishing": mensajes que simulan proceder de una entidad financiera e instan a los receptores a introducir sus datos bancarios en un formulario falso.
Esta situación llevó hace dos años a la creación del Foro ABUSES, un punto de reunión de los principales proveedores de acceso a Internet (ISP) españoles, coordinado por RedIRIS/RED.ES. Su objetivo es "crear un marco de relaciones de confianza para adoptar medidas técnicas en la lucha contra el correo basura, las estafas y la inseguridad en la red", explica su coordinador, Jesús Sanz de las Heras.
Es la primera vez que los ISP de un país abren un marco permanente de colaboración. De aquí ha surgido otra idea inédita: pactar la implantación conjunta de una tecnología para reducir el correo fraudulento, llamada "Sender Policy Framework" (SPF - "Convenio de remitentes"), que ya utilizan conocidas empresas como Microsoft, Google, Walt Disney, EBay o Youtube.
Sigue en http://ww2.grn.es/merce/2007/spfspain.html
Abril 03, 2007
Trampas en la red espían a la delincuencia cibernética
Su misión es tender trampas a los salteadores, diseminando equipos desprotegidos por Internet. Son cientos de profesionales de la seguridad informática de todo el mundo, también España, que participan voluntariamente en el Proyecto HoneyNet. Su éxito ha sido tal que cada vez más empresas usan trampas parecidas para defenderse.
"TotalDark" es un travieso adolescente convencido de que hoy es su día de suerte: husmeando por Internet, ha descubierto un equipo de muy fácil acceso. Indaga en sus entrañas, buscando un botín y calibrando qué usos dará a su recién descubierta Cueva de Ali Babá. "TotalDark" no sabe que ha caído en una trampa y graban sus movimientos, para analizarlos después.
Marzo 21, 2007
Captchas: Los ataques de robots "spammers" a sitios web generan ingeniosas contramedidas
¿Le han pedido alguna vez que, para usar un servicio de la red, introduzca las letras y números que aparecen en una imagen? Es un "captcha", una medida de defensa contra los programas robot que llenan los blogs de correo basura, revientan encuestas o crean cuentas gratuitas con fines ilícitos. Sirve para que el servicio sepa que somos humanos y a veces falla porque, precisamente, somos humanos.
"CAPTCHA" son las siglas de "Completely Automated Public Turing test to Tell Computers and Humans Apart" (Prueba de Turing pública y automática para diferenciar a máquinas y humanos) o, como explica Cristian Borghello, director del sitio de seguridad Segu-Info: "Un programa que genera una prueba que los humanos somos capaces de resolver, pero las máquinas no".
Marzo 02, 2007
Elhacker.net sufre un DDoS desde hace un mes
Hoy, en el boletín de elhacker.net, me ha saltado el corazón de imaginar lo que debe ser esto:
*- elhacker.net sufre un DDoS durante 1 mes
Desde el viernes 26 de enero ni la web ni el foro han funcionado correctamente por el masivo ataque, con una botnet, de una banda de argentinos que no tienen nada mejor que hacer.
No queremos decir nombres para no dar publicidad a "criminales" que no se lo merecen.
Lanzando durante más de 4 semanas un DDoS hacia elhacker.net de hasta 18 mb por segundo de Syn Flood el foro y la web han permacido off-line.
Calculamos que unos 40.000 zombies (máquinas infectadas) han atacado el foro.
Lamentamos profundamente las drásticas medidas que se van a tomar contra las personas que han DoSeado el foro.
Esperamos volver a la normalidad lo antes posible, así que pedimos paciencia y comprensión dada la magnitud del ataque.
elhacker.net volverá, el problema es que no podemos decir una fecha concreta.
Estamos trabajando para volver lo antes posible. Que nadie dude que esto es "temporal" y que el foro y la web volverán a funcionar con absoluta normalidad.
Agradecemos a los miembros del foro por sus ánimos y apoyo.
Disculpad las molestias.
Febrero 20, 2007
Más sobre in-seguridad informática
El doctor Jeimy Cano ha publicado un nuevo artículo, donde desglosa su teoría -que explicó en el 1r Congreso Iberoamericano de Seguridad y Desarrollo de la Sociedad de la Información, organizado por la Cátedra UPM Applus+, en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de Madrid (¿así está bien citado, señor Ramio? o:)- sobre la importancia de tener en cuenta la inseguridad, en seguridad informática. Que no hay yin sin yang, vamos.
Día a día las listas de seguridad informática más visibles a nivel internacional (entre otras bugtraq, X-force, ntbugtraq, SANS Alert) publican una y otra vez las fallas más representativas de las aplicaciones y sus pruebas de concepto, reiterando que la inseguridad es una compañera de viaje permanente para los responsables de la seguridad informática en las organizaciones.
Esta constante lucha contra el "lado oscuro de la fuerza", la inseguridad (CANO 2004), reta constantemente tanto a proveedores como usuarios para descubrir aquellas relaciones (algunas invisibles) donde se esconde esa falla o vulnerabilidad que pronto será objeto de un incidente. Por tanto, existen elementos tangibles y reales que nos dicen que la seguridad de la información, concepto intangible, requiere de la inseguridad para tener sentido y desarrollar mejores estrategias y prácticas para incrementar los niveles de seguridad.
En consecuencia, la seguridad total o 100% no es posible, pues no existe ningún elemento que no esté expuesto a situaciones no controladas o inesperadas, que alteren su funcionamiento bien sea de manera positiva o negativa...
Sigue en: http://www.virusprot.com/computaci%F3n-anti-forense.htm
Febrero 18, 2007
¿Alguien ha visto al asesino?
"Por favor, ayúdenos a resolver el asesinato del doctor David Cornbleet en Chicago. Ofrecemos 25.000 dólares a quien identifique a la persona que le asaltó y que pueden ver en este vídeo". Así reza una página web colgada en MySpace, que muestra la grabación de una cámara de seguridad donde aparece el presunto asesino.
La industria antivirus llama a la policía
Una de las más respetadas compañías antivirus, Kaspersky Lab, ha hecho un llamamiento para que las fuerzas de la ley colaboren en su lucha. Natalya y Eugene Kaspersky afirmaron la semana pasada que la industria antivirus está desbordada: "Nuestros programas no pueden parar todos los ataques ni hacer milagros".
Febrero 15, 2007
Los virus, al abordaje de los teléfonos móviles
Todas las previsiones coinciden en alertar contra las cada vez más amenazas de seguridad para los teléfonos móviles y PDAs. Junto a los robos de aparatos, destaca el rápido avance del código malicioso: se ha pasado de 27 virus conocidos en 2004 a 334, en 2006. Y la tendencia es al alza. Según la consultora Juniper, los antivirus para móviles serán moneda corriente en 2008 y en 2011 generarán beneficios de más de cinco mil millones de dólares.
Febrero 05, 2007
Un temporal de troyanos convierte 400.000 ordenadores en "zombies"
No se veía un bombardeo vírico tan agresivo desde 2005. Pero no es un virus, ni un gusano, aunque lo llamen "Gusano de la Tormenta". Es un programa que instala un troyano en los ordenadores con sistema operativo Windows y los transforma en "zombies". Según la empresa de seguridad Comendo, en sólo un fin de semana infectó 400.000 equipos.
Sigue en: http://ww2.grn.es/merce/2007/stormworm.html
Enero 27, 2007
Los troyanos sustituyen al phishing en el robo de datos bancarios
Las mafias que roban cuentas de banca en línea cambian de estrategia, aseguran los expertos. Están dejando de mandar mensajes masivos que simulan proceder de bancos, conocidos como "phishing", y suben las infecciones por los llamados "troyanos bancarios", más efectivos y selectivos, que entran en ordenadores con sistema operativo Windows al visitar un sitio web.
Acaban los tiempos de los ataques masivos a discreción. Los nuevos ladrones de datos bancarios son unos bichos silenciosos que, donde ponen el ojo, ponen la bala. Viajan por las redes P2P, foros, mensajes de correo y mensajería instantánea, ofreciendo enlaces o archivos adjuntos que muestran imágenes pornográficas, el vídeo de Daniella Cicarelli en la playa o la ejecución de Saddam Hussein.
Enero 21, 2007
Los ordenadores "zombie" invaden España
Son la epidemia de Internet. Y estamos a la cabeza. Diversos estudios sitúan a España entre los cinco más afectados a nivel mundial por la plaga de los ordenadores "zombie": equipos infectados por virus, sin que lo sepan sus propietarios, que las mafias criminales usan a distancia para enviar correo basura.
http://ww2.grn.es/merce/2007/zombie.html
Enero 13, 2007
Cuidado con los .pdf
Los círculos técnicos de Internet andan revolucionados por importantes fallos descubiertos en el popular "plugin" del programa Adobe Acrobat, que permite abrir documentos .pdf con el navegador. Mediante estos fallos, un atacante podría introducir código malicioso, por ejemplo virus. Lo mismo sucede sin usar el navegador, simplemente abriendo el .pdf con nuestro lector habitual.
http://ww2.grn.es/merce/2007/pdf.html
Cómpreme usted este virus
Una cuenta ajena de PayPal, por 5 euros. La numeración de una tarjeta de crédito con PIN incluído, 380 euros. Un virus troyano, 1.300. Son las sugerentes ofertas del mercado negro de la delincuencia informática, descubiertas por un equipo de investigadores de la empresa Trend Micro.
http://ww2.grn.es/merce/2007/supermercado.html
Enero 07, 2007
Aumentarán los ataques informáticos contra gobiernos, dice SANS
Más ciberataques de gobiernos y terroristas contra otros gobiernos, más virus para los teléfonos móviles, más robos de dispositivos portátiles... Son las amenazas inminentes que destaca el instituto norteamericano SANS, en su análisis "Las diez tendencias de seguridad más importantes para el próximo año".
http://ww2.grn.es/merce/2006/prediccions.html
Diciembre 14, 2006
Un magistrado del Supremo pide más cursos de Internet para jueces y fiscales
"Internet es un mundo de absoluta impunidad", denunció el magistrado del Tribunal Supremo, José Manuel Maza, en el primer Congreso Iberoamericano de Seguridad y Desarrollo de la Sociedad de la Información, celebrado en Madrid. Lo confirmaron algunos de los primeras espadas en el cada vez más amplio frente de la inseguridad tecnológica.
Sigue en: http://ww2.grn.es/merce/2006/congresosek.html
Diciembre 06, 2006
El aumento de "zombies" convierte a España en quinto emisor mundial de "spam"
La pandemia de correo basura ha llegado a niveles nunca vistos, hasta el 91% en Estados Unidos, a causa de los virus que convierten los ordenadores en lanzadoras de "spam". España ya es el quinto emisor mundial de correo basura y subiendo.
Según la red de sensores de la empresa Sophos, España es responsable del 5,8% del correo basura mundial, por detrás de Estados Unidos, China, Corea del Sur y Francia. Pero, mientras los tres primeros están reduciendo sus niveles de emisión, España los ha doblado en menos de un año.
El proveedor que manda más correo electrónico del mundo es Telefónica España, según el servicio SenderBase, con un volumen diario estimado de 350 millones de mensajes. "Un alto porcentaje es basura, generada por las direcciones IP comprometidas de ADSL residenciales", dice Jesús Sanz de las Heras, de RedIRIS.
Sigue en http://ww2.grn.es/merce/2006/spamup.html
Noviembre 27, 2006
Cuando los votos se hacen bits, un virus puede decidir quién gana
¿Podría un equipo de doce hackers cambiar el rumbo de unas elecciones? La respuesta es sí, según un estudio del Brennan Center sobre votación electrónica. Cuando las papeletas se transforman en bits, los riesgos de la seguridad informática, como intrusos, virus y troyanos, entran en el juego democrático.
Noviembre 01, 2006
Estoesunaestafachina
Compradores y vendedores de eBay España se están tomando la justicia por su mano ante la irrupción, en el popular sitio de subastas, de un grupo de timadores procedente de China. Diariamente se ponen a la venta miles de productos fraudulentos y hay cientos de estafados, según los usuarios, que se han organizado para combatirlos, con la aquiescencia de eBay.
http://ww2.grn.es/merce/2006/ebayestafa.html
Esta aquiescencia no está clara pues, después de la publicación de este artículo, eBay ha suspendido 4 cuentas de una persona que participa en la campaña de los "revientapujas".
Octubre 30, 2006
"Claro que hay hackers en el ejército español"
Aquí está Mercè, tocándole las bolas a Echelon. Jeje. Es broma.
Hicimos esta y otras fotos momentos antes de que el militar-hacker Roberto Plà me concediese una de las entrevistas más interesantes -para mí- que he hecho en la vida. Estuvimos hablando 3 horas y aún estoy dudando si liberar la transcripción íntegra. Por el momento, ahí va esta versión, que publicó en su número de octubre la revista @rroba.
Gracias, Roberto, por esta información. Seguro que para tí no es nada, cosa pública y sabida. Yo me sentí como quien entra en la cueva de Ali Babá... o en un servidor militar.
Octubre 24, 2006
Cuidado con los datos olvidados en ordenadores y móviles desechados
La policía alemana quedó en evidencia el año pasado al subastar diversos ordenadores incautados a criminales. Habían formateado los discos duros antes de ponerlos en venta, pero sus compradores descubrieron con sorpresa que contenían fotos pedófilas y propaganda nazi.
http://ww2.grn.es/merce/2006/datosviejos.html
Septiembre 25, 2006
La criminalidad informática se traslada a la web
El correo electrónico está perdiendo fuelle como medio de transmisión de virus y robo de información personal. Los criminales lo siguen usando, pero mezclan cada vez más técnicas y apuestan fuerte por la web. Primero fueron las páginas fraudulentas del "phishing" y, ahora, el aumento sin precedentes de infecciones por virus al visitar un sitio web.
http://ww2.grn.es/merce/2006/secweb.html
Septiembre 22, 2006
¿Son buenas tus contraseñas?
El nombre de su mascota o de su amante son las contraseñas que más utiliza la gente en los servicios de Internet. Olvidar esta palabra o que alguien la descubra y la cambie por otra dará lugar al temible "Acceso Denegado. No ha dado la contraseña correcta y no podrá acceder a ese servicio". Es posible que un día vivas esta situación, si tu contraseña no es segura o no está bien construida para acordarte de ella.
Es como si nos hubiesen regalado un Jaguar, sin las instrucciones para manejarlo. Cada día nacen nuevos servicios en Internet donde se nos pide que inventemos una palabra de paso, si queremos volver a acceder a ellos. Para una población no acostumbrada a la seguridad informática, este momento provoca sudores fríos y estrujamientos de seso: ¿Cuál escoger? Mañana, cuando nos demos de alta de un nuevo servicio, otra vez el maldito ritual. ¡Y no vale olvidar ninguna!
http://ww2.grn.es/merce/2006/passwords.html
Un virus se cuela por las pasarelas Internet-SMS de Movistar y Vodafone
"Eliles-A", un gusano masivo posiblemente creado por españoles, ha estado enviando mensajes SMS a clientes de Movistar y Vodafone en las últimas semanas, según la empresa McAfee, que lo detectó el 25 de agosto. Los mensajes instaban a los clientes de estas operadoras a descargar un antivirus gratuito, que en realidad era un virus.
Julio 21, 2006
El gobierno reúne sus servicios de seguridad informática en un centro
Este artículo tiene su historia, que demuestra que la curiosidad siempre es buena compañera: un día, recibí uno de los regulares avisos de empresas antivirus, sobre los 10 virus más detectados aquel mes a nivel mundial. Esta vez, no sé por qué, no lo borré automáticamente sinó que le eché un vistazo y ví que ponía al Mytob como número uno.
Tampoco sé por qué, por curiosidad, se me ocurrió ir a mirar al Centro de Alerta Antivirus, a ver qué virus estaba en primer lugar en sus estadísticas españolas. Ví que era el Netsky. Entonces, pensé: ¿a ver cuál ha sido el primero en todo el año?, y pedí las estadísticas de los últimos 365 días. Y era el Netsky.
Y volví a pensar: qué raro, en un año y siempre el mismo el primero. ¿Por qué? ¿Es que no hay más virus por ahí? ¿Y por qué Netsky y no Mytob, como en las estadísticas mundiales? Y me olí que allí había un artículo.
Lo comenté al Ciberpaís y me autorizaron a investigarlo en su nombre. Entonces, hablé con Bernardo Quintero, que entiende de esto, y le expuse mis preguntas. Sorprendentemente para mi, me respondió algo que no sabía: que el sistema de estadísticas en la mayoría de empresas e instituciones a nivel planetario se ha quedado obsoleto. Vaya vaya, esto era noticia :)
Paralelamente, contacté con el Centro de Alerta Antivirus, para que me diesen su versión a mis preguntas iniciales y, de paso, añadí una nueva pregunta, inspirada en lo que me había contado Bernardo. ¿Sabían ellos que su sistema de estadísticas era obsoleto? Y sí, resultó que lo sabían y, además, llegué en buen momento porque me contaron otras cosas que explico en el artículo.
De esta forma, lo que empezó como una curiosidad acabó con un artículo que reúne tres exclusivas: un nuevo CERT en España, el cambio del sistema de estadísticas del Centro de Alerta Antivirus y de qué va el Inteco.
El gobierno reúne sus servicios de seguridad informática en un solo centro
Julio 15, 2006
El "phishing" se extiende al teléfono
Acabo de colgar en mi web la versión copyleft de
El "phishing" se extiende al teléfono.
Junio 25, 2006
Los consejos de seguridad de Mitnick
Ya está aquí ya llegó la versión original y copyleft de
Los consejos de seguridad informática del hacker más famoso del mundo y una pequeña biografía
Para el tendero de la esquina no son triviales.
Junio 02, 2006
El spam influye en el sistema financiero
Esto lo saqué de Hispasec. Larga vida a Hispasec, que da ideas a esta humilde freelance :)
Un estudio afirma que el spam influye en el mercado financiero
Mayo 02, 2006
¿En cuánto tiempo rompes un password?
Interesante página esa: Password Recovery Speeds, vía Rootsecure.
Con un Pentium 100, se tardan menos de 10 segundos en romper una contraseña de 6 números. Es curioso que la mayoría de servicios de Internet no piden más de 6 caracteres para las contraseñas...
Si los 6 caracteres son letras en mayúscula y minúscula, con un Pentim 100 tardas como mucho 5 horas y media. Si en vez de un Pentium 100 usas una red distribuida de ordenadores, que hoy en día cualquier hacker dice que la tiene, tarda 19 segundos.
Si se lo vas a poner difícil y mezclas números y letras en mayúscula y minúscula, para un password de 6 caracteres se tardan 16 horas. Si además le pones símbolos, como ( / ? , serán 9 días con un Pentium 100 (siempre con un buen programa crackeador).
Si el programa que usas es chunguillo, en este último caso puedes estar hasta 22.875 años para un password de 6 caracteres y posteriores.
Imagino el fin del mundo, la civilización se va a la porra 20 veces y queda un simple ordenador en pie, que milagrosamente está conectado a la única fuente de energía que aún funciona. Llegan visitantes del espacio, lo descubren y ven que el animalito está aún chucu chucu, procesando, para descubrir que ******** significa B33r&Mug.
No entiendo mucho de passwords y crackeadores de passwords, pero por aquí van los tiros más o menos :) Lo que significa: asume siempre que un password no sirve para nada. Estás desnud@ en el ciberespacio.
Actualización 22/10/08: Se han cerrado los comentarios de este post.
Abril 28, 2006
Novedades virus
He colgado en mi web un artículo sobre Virus que secuestran documentos + Virus para Windows y Linux.