Port 666: SekWorld Archivos

Porque yo lo valgo |

Mayo 06, 2008

¿Eres un zombi?

En el tiempo que usted tarde en leer estas líneas, pongamos diez minutos, cuatro ordenadores se convertirán en "zombies" sólo en España: un virus los infectará sin que sus propietarios lo sepan y los pondrá bajo el control de los ciberdelincuentes. No importará que tengan antivirus o la séptima maravilla de la seguridad informática, el secuestro de ordenadores mueve tanto dinero que las mafias se las ingenian de mil maneras para anular toda posibilidad de defensa.

(...)

DECÁLOGO ANTI-ZOMBIES

1. El sistema operativo Windows es el más atacado, por lo que hay que extremar las precauciones en caso de usarlo, instalando las actualizaciones periódicas de seguridad a rajatabla. Otra opción es pasarse a los sistemas operativos minoritarios, como MacOS X y Linux, por ahora casi inmunes a los virus.

Sigue en: http://ww2.grn.es/merce/2008/zombies.html

Mercè a las 05:32 PM | Enlace | Comentarios 0 | Referencias 0

Abril 23, 2008

Virus y forajidos campan a sus anchas en la Web 2.0

La Web 2.0, con sus tecnologías dinámicas y bulliciosas comunidades, ha convertido el antaño tranquilo territorio de la web en un Salvaje Oeste. A medida que llegaban los colonos, lo hacían también los criminales, instalando mil trampas para cazar los ordenadores de los incautos. Caer en ellas es tan sencillo como visitar un sitio con un navegador o sistema operativo que tengan algún fallo de seguridad, no necesariamente conocido.

El gráfico muestra la evolución de las amenazas web desde 2005 hasta 2007, según Trend Micro: "Se ha registrado un incremento del 1560% en tan solo dos años. Trend Micro & AVTest localizaron alrededor de 5 millones de casos de malware en 2007".

Sigue en: http://ww2.grn.es/merce/2008/atacsweb.html

Mercè a las 10:29 AM | Enlace | Comentarios 1 | Referencias 0

Abril 17, 2008

Un blog sobre inseguridad informática

Su autor, anónimo y experto forense, me invita a echarle un vistazo y pienso que, seguro, puede interesar a alguien:

Inseguridad informática

Mercè a las 12:33 PM | Enlace | Comentarios 1 | Referencias 0

Abril 10, 2008

Telefónica reduce drásticamente sus emisiones de correo basura

Telefónica de España ha reducido en un 97,14% el volumen de correo electrónico que sus clientes mandan al ciberespacio, la mayoría mensajes basura procedentes de ordenadores contaminados por virus. La compañía ha aplicado una férrea política de monitorización de los ordenadores infectados así como el uso, junto con otros proveedores, del protocolo Sender Policy Framework (SPF).

Según el servicio independiente SenderBase, a principios del año pasado Telefónica era el segundo proveedor del mundo que mandaba más correo electrónico, con volúmenes de 350 millones de mensajes al día. El mes pasado, emitió una media de 10 millones diarios. Su principal bestia negra, la red de Telefónica Transmisión de Datos, que aparecía en todas las listas "anti-spam", está reduciendo su tráfico a un ritmo del 70% mensual.

Sigue en: http://ww2.grn.es/merce/2008/spamtelefonica.html

Mercè a las 09:31 AM | Enlace | Comentarios 4 | Referencias 0

Los spammers asaltan el correo gratuito

Los grandes proveedores de correo gratuito eran, hasta ahora, poco sospechosos de mandar correo basura. Su protección eran los CAPTCHAs: números y letras que sólo un humano puede descifrar cuando crea una nueva cuenta, evitando así que lo hagan robots que enviarían "spam". Pero, según diversas empresas de seguridad, los CAPTCHAs de Hotmail, Yahoo! Mail y Gmail han sido vulnerados.

Sigue en: http://ww2.grn.es/merce/2008/captchasbroken.html

Actualización 11-04-08. Bernardo Quintero, de Hispasec, me manda esta interesante información complementaria:

No se si Justin Mason lo aclara, pero detrás de la "granja de
resolvedores" hay una técnica interesante. En realidad la granja está
formada por personas anónimas de toda internet, que no saben que
están resolviendo CAPTCHAs para uso fraudulento.

Funciona de la siguiente forma:

1) el servidor de los "malos" va a la página web del CAPTCHA (por
ejemplo google), coge ese reto de forma automática y lo presenta
en una página de contenido pornográfico creada por los "malos"

2) la página web de contenido pornográfico pide que los visitantes
resuelvan ese CAPTCHA para poder acceder al contenido (una foto,
etc..), los usuarios resuelven el CAPTCHA de forma manual y obtienen
el contenido, a su vez la solución manual es enviada al servidor de
los "malos"

3) desde el servidor de los "malos" ya pueden utilizar la solución
manual para pasar el CAPTCHA

En una estrategia "hombre-en-medio" aplicada a los CAPTCHAs

Mercè a las 09:25 AM | Enlace | Comentarios 2 | Referencias 0

Abril 01, 2008

Entrevista Rubén Santamarta - Versión "long-play"

A sus 25 años, Rubén Santamarta es un buen ejemplo del alto nivel español en seguridad informática. Cumple todos los tópicos: autodidacta porque se aburría en la universidad, a los 10 años entró el primer ordenador en su casa y a los 19 ya era un experto en descubrir vulnerabilidades en programas. Hoy importantes empresas como iDefense y ZDI le pagan por ello.

(...)

Santamarta sabe que en su trabajo "hay que ser ético". El mercado negro de códigos maliciosos que atacan estos agujeros es goloso: "Me han ofrecido más de 20.000 dólares para cosas normalitas y, para otras, más del triple. Las empresas legales pagan una décima parte de lo que las mafias ofrecen. En una ocasión, ni siquiera pusieron límite. Por supuesto, ni me digno en contestarles".

Versión completa de la entrevista en http://ww2.grn.es/merce/2008/rubensantamarta.html

Mercè a las 10:33 AM | Enlace | Comentarios 0 | Referencias 0

10 años de inseguridad informática

(...) El futuro no pinta mejor, según el esCERT: "Después del crimen organizado, el terrorismo y la guerra pasarán también al mundo virtual". Los sistemas de defensa evolucionarán a la par, aseguran, "desarrollando agentes que se infiltran silenciosamente en los ordenadores y elementos de gestión de las redes para detectar los ataques y protegerse desde el principio".

En este escenario habrá nuevos actores, explican en esCERT: "Los ciber-militares o ciber-policias que actuarán atacando abiertamente la red, para proteger a otros que están siendo atacados injustamente o para prevenir ataques a servicios críticos". Y nuevos objetos a defender: "Los dispositivos móviles y las consolas de videojuegos con acceso a la red".

Todo el reportaje en: http://ww2.grn.es/merce/2008/10inseguridad.html

Mercè a las 10:29 AM | Enlace | Comentarios 0 | Referencias 0

Marzo 31, 2008

Un medidor de la seguridad de las contraseñas

Vía Lifehacker he llegado al Password Meter. Está interesante. He probado mis contraseñas y, curiosamente, alguna que creía fuerte no lo era. El Password Meter hace sus mediciones a partir de diversos parámetros y no es suficiente con poner muchos caracteres, mayúscula, minúscula, números y signos. Si repites un par de letras, por ejemplo, ya está el password kaput. Y alguno que no tenía más de 7 caracteres ha resultado ser el más fuerte.

Mercè a las 02:00 PM | Enlace | Comentarios 6 | Referencias 0

Marzo 25, 2008

VI Foro de seguridad RedIRIS en BCN

Foro monográfico sobre seguridad web, el tema del momento. Este jueves y viernes en la Universitat de Barcelona. Ya ha acabado el plazo de registro pero a lo mejor a alguien le interesa el programa:

Jueves 27 de Marzo

09:15-09:45 Registro y entrega de documentación

09:45-10:00 Inauguración y presentación del Foro
Miquel Huguet, Director del CESCA
Tomás de Miguel, Director de RedIRIS

10:00-11:00 Evolución histórica de los servicios Web
Javier Puche, IES Villablanca, CAM

11:00-11:30 Pausa Café

11:30-13:00 Principales vulnerabilidades en aplicaciones Web
Christian Martorella, Edge-security

13:00-14:00 Malware, Malware y más Malware. Cómo me puedo proteger? "Dijo el cliente web"
Marc Vilanova, Consultor de Seguridad TIC Independiente

14:00-16:00 Pausa Comida

16:00-17:00 Seguridad en entornos Apache y PHP
Sergio Castillo, UAB

17:00-18:00 Quién se ha comido mi dato?
Luis Herreros Sánchez, SATEC

18:00-19:00 Restricción y evidencia en infraestructuras web 2.0
Miguel Suárez Albares, Symantec Iberia
Alfredo Reino, Symantec Iberia

Viernes 28 de Marzo

09:00-10:30 OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza
Vicente Aguilera, OWASP

10:30-11:30 Protegiendo nuestros servicios web
Cándido Rodríguez, RedIRIS

11:30-12:00 Pausa café

12:00-13:30 Seguridad en aplicaciones Web: un enfoque práctico en el entorno universitario (UCLM)
Raúl Siles, GSE, Consultor independiente de seguridad
Evangelino Valverde, UCLM

Mercè a las 04:01 PM | Enlace | Comentarios 0 | Referencias 0

Febrero 27, 2008

Los routers domésticos se convierten en objetivo criminal

Primero fueron los servidores corporativos, después los ordenadores domésticos y, ahora, los "routers" ADSL presentes en cada vez más hogares. Los creadores de código malicioso han descubierto en estos aparatos un nuevo objetivo a atacar. El hecho de que sean pequeños ordenadores, que estén siempre encendidos y poco protegidos los convierte en piezas fáciles y atractivas.

Las pasadas Navidades, en México, se vivió lo que algunos expertos en seguridad temían: el primer caso real de modificación masiva de la configuración de "routers" domésticos, para usarlos en estafas de "phishing". Aunque no hay datos de su alcance, se cree que fue muy rentable para los criminales, que lo han repetido en diversas oleadas. La empresa Symantec afirma en su blog corporativo: "Ahora que se ha realizado por primera vez este ataque, habrá otros".

Sigue en: http://ww2.grn.es/merce/2008/routers.html

Mercè a las 11:42 AM | Enlace | Comentarios 1 | Referencias 0

Febrero 21, 2008

"En dos años desaparecerán las botnets"

David Perry es un viejo zorro en la lucha contra los virus informáticos. Ha pasado por las más importantes empresas del sector y hoy es Director Mundial de Formación de Trend Micro. Músico y hacker, se enorgullece a partes iguales de ser amigo de Paul McCartney y de tener 25 ordenadores en casa. Hoy Trend Micro es noticia por un litigio de patentes con la empresa de "software" libre Barracuda. Pero Perry no quiere hablar de ello:

-Esto es una cuestión corporativa. Yo soy un "geek".

(...)

-¿El antivirus del futuro es tratarnos como a idiotas?

-Es que tenemos que proteger de cada vez más cosas: correo basura, gusanos, ataques por web, troyanos, "zombies", virus publicitarios, programas espía. Por suerte, nuestras metodologías son cada vez mejores. En los próximos dos años acabaremos con las "botnets".

-¿Cómo?

-Haciéndoles cada vez más difícil el negocio. Pero aparecerá otra cosa. ¿Recuerdas los virus de arranque? ¿Y los de macro? Los eliminamos, pero siempre ha habido algo después. El problema no es la tecnología sino los seres humanos, que se vuelven locos y se convierten en criminales.

-A veces me da la impresión, cuando escribo sobre tal "botnet" o virus, de estar narrando fantasías porque no los veo con mis ojos.

-Esto es parte del problema, que son invisibles. Vivimos en un mundo lleno de datos. El 90% del dinero mundial está en ordenadores, en el aire. Por eso los criminales van a Internet a robarlo, que es donde está. La gente debería entender que un virus no es magia, que es tan real como este dinero. Lo que pasa es que ahora estamos viviendo la brecha entre una nueva tecnología y el misterio que evoca. Pasó también con los coches o con la electricidad.

-¿Internet debería ser como una lavadora, que no vemos como algo mágico?

-Exacto. Si muestras una lavadora a alguien que no ha visto nunca ninguna, no sólo le parecerá mágica sino que la usará para lavar como en el río, frotando la ropa contra la tapa y enjuagándola en el agua del cubo. Eso hacemos nosotros ahora. Debemos ayudar a la gente a entender el misterio de la tecnología para que sepa usarla.

-¿Hay que educar también a los informáticos para que no se conviertan en criminales?

-Sí. Los hackers no trabajan para las mafias porque no les motiva el dinero y tienen una ética. Pero está surgiendo una nueva generación que no conoce esta ética. Quieren ser cibercriminales porque "mola", porque da mucho dinero.

La entrevista completa en: http://ww2.grn.es/merce/2008/davidperry.html

Mercè a las 04:16 PM | Enlace | Comentarios 0 | Referencias 0

Febrero 19, 2008

Jornada en Barcelona de la Open Web Application Security Project Foundation

Quería informarte de un nuevo evento (y ya van tres!) que
organizamos desde el capítulo español de la OWASP (Open Web
Application Security Project) Foundation.

La asistencia al evento es gratuita.

Te facilito la información sobre la jornada que se organiza en
Barcelona:

FECHA:
Viernes 14 de Marzo, 2008

AGENDA:
16:30h Registro

17:00h Bienvenida y presentaciones
Vicente Aguilera Diaz, OWASP Spain Chapter Leader.

17:05h "Herramientas de análisis estático de seguridad del código:
estado del arte "
Luís Rodriguez Berzosa, Responsable del laboratorio software.
Application Lifecycle Solutions
En esta ponencia se examina la situación actual de la clase de
herramientas de análisis estático de seguridad, que sin ejecutar el
código del software, tratan de identificar las vulnerabilidades
explotables en las aplicaciones y servicios web. Se determina el
estado del arte de las herramientas académicas y de código abierto,
la oferta de OWASP en este dominio, los límites de esta tecnología,
y se proponen algunas ideas para mejorar la difusión y la cobertura
desde OWASP.

18:00h "Ataques a las políticas de seguridad por contexto"
Iñaki López/Daniel Cabezas, Responsables del Laboratorio de
Seguridad Avanzada. Ernst & Young
Se presentará una aproximación a cómo inferir información acerca de
redes o websites objetivos, sus relaciones y políticas de seguridad
en base a información recabada públicamente. Incluirá demostración
práctica.

18:55h Coffee-break

19:10h "La seguridad multinivel en servidores web"
Luis Calero, Director Técnico. Pentest Consultores
La ponencia versará sobre la aplicación práctica de la seguridad
multinivel -MLS- así como de las distintas tecnologías de control de
accesos existentes: -DAC, MAC, DBAC, RBAC, RSBAC- en la securización
de servidores web.

20:05h "Amenazas e incidentes de seguridad en entornos Web: realidad
o ficción"
Raúl Siles, Consultor de seguridad independiente. raulsiles.com
Los entornos Web son uno de los objetivos principales en los ataques
directos a organizaciones, y también actúan como medio de ataque
sobre sus visitantes. La ponencia analiza amenazas, ataques e
incidentes de seguridad reales que se están llevando a cabo en la
actualidad sobre entornos Web corporativos, y sobre nuevos
objetivos, las aplicaciones Web de los dispositivos embebidos.

21:00h Despedida/Entrega de certificados de asistencia(*).

LUGAR:
IL3 - Institute for LifeLong Learning (Universitat de Barcelona)
C/ Ciutat de Granada, 131
08018 - BARCELONA

Patrocina: Internet Security Auditors, S.L.

(*) El organismo (ISC)2 ha aprobado 1 CPE por cada hora de
asistencia a nuestras conferencias. Los certificados de asistencia
se entregarán a todos aquellos que lo hayan solicitado previamente.

Encontrarás información adicional y actualizada en nuestra Web:
http://www.owasp.org/index.php/Spain

Mercè a las 12:36 PM | Enlace | Comentarios 0 | Referencias 0

Enero 31, 2008

Crónica Jornada de Seguridad en la Universidad Politécnica de Madrid

Una jornada sobre seguridad informática en la Universidad Politécnica de Madrid ha puesto nuevamente sobre la mesa los peligros por el mal uso de la tecnología. Desde los riesgos asociados a inventos tan rompedores que pocos imaginan aún su lado oscuro, como la criptografía cuántica, hasta problemáticas cada día más amenazadoras como los programas maliciosos, antaño llamados virus.

(...)

El riesgo de que esta novedosa tecnología se use con fines perversos no es ninguna utopía, ya ha sucedido con los programas informáticos, como demostró Sergio de los Santos, consultor de seguridad de Hispasec Sistemas: "En el código malicioso, hemos pasado del romanticismo al todo por la pasta, gente organizada que presta especial atención a atacar la banca en línea". Como ejemplo de su creciente poder, mostró fotos de una lujosa fiesta en Praga que reunió a algunos de estos nuevos criminales.

Según de los Santos, "funcionan como una industria, el código que producen es muy bueno y sofisticado, optimizando los recursos para obtener mayores beneficios". Ni los antivirus ni los cortafuegos protegen ya contra estos criminales que "han tomado la web para distribuir sus códigos y también como parte de su infraestructura", refiriéndose a la Rusian Business Network, una empresa de San Petersburgo que vende servicios web para distribución de código maligno y "phishing".

Muestra de la sofisticación de esta industria es la familia de troyanos SinoWall, explicó De los Santos: "Una vez te has infectado, el troyano queda latente, vigilando tus hábitos de navegación. Cuando detecta que has visitado algo interesante, por ejemplo un banco, envía esta información cifrada al criminal, que decide si es un objetivo apetecible y si tiene algún código malicioso específico para él. Si se da el caso, lo instala en tu máquina para que robe tus claves".

Otra muestra de la complejidad de estos troyanos es su funcionamiento modular, de forma que el mismo pueda servir para diversas funciones, al gusto del criminal: enviar correo basura, bombardear redes o infectar otros ordenadores. Además, detectan el navegador que está usando su víctima y descargan troyanos específicos para aprovechar los agujeros de este programa. Fernando Acero, de Hispalinux, añadió: "Si tu ordenador está infectado con un troyano, hará las operaciones que quiera con tu DNI electrónico".

Más en: http://ww2.grn.es/merce/2007/upm.html

Mercè a las 11:15 AM | Enlace | Comentarios 1 | Referencias 0

Entrevista Bruce Schneier

A Bruce Schneier, 44 años, "The Economist" le llama "gurú de la seguridad informática". Asesora a empresas a través de la suya, Counterpane, que recientemente adquirió British Telecom. Algunos de sus muchos "fans" mantienen, con su aquiescencia, el web humorístico "Los hechos de Bruce Schneier", donde entre otros destacan: "Cuando Dios necesita un nuevo certificado seguro, se lo pide a Schneier".

A partir de sus frecuentes viajes para dar charlas, como la que impartió en la II Jornada Internacional del ISMS Forum Spain en Madrid, Bruce Schneier se ha convertido en uno de los mayores críticos de las medidas de seguridad de los aeropuertos del mundo. Después de su paso por el de Barajas, explica: "Nada que objetar. Me ha parecido rápido y fácil, poco que ver con el sinsentido de los aeropuertos americanos".

Sigue en: http://ww2.grn.es/merce/2007/bruceschneier.html

(No es una buena entrevista. En mi descargo decir que es difícil hacer que un señor se concentre en tus preguntas mientras, al mismo tiempo, está firmando libros, leyendo su mail y no tienes más de 20 minutos porque detrás tuyo esperan otr@s entrevistadores. Qué estrés, señor Schneier. Sólo lo dejó todo y me atendió de verdad cuando llevábamos 1/4 de hora bien bueno de tontería y topicazos y quizás cayó en que no estaba ante una periodista muy normal que digamos)

Mercè a las 11:02 AM | Enlace | Comentarios 0 | Referencias 0

Enero 28, 2008

Informe de incidentes 2007 - RedIRIS

Excelente informe de la gente del Computer Emergency Response Team de RedIRIS, fácilmente extrapolable al total de la red: Informe de incidentes de seguridad año 2007

A destacar:

1. Durante el 2007 se atendieron 2949 incidentes reales, lo que supone un 66.32% más (!!!) que durante el año 2006.

Preciosa imagen de la evolución de los incidentes por meses y años,
cual rosa abriéndose al ciberfuturo.

2. El Web se establece definitivamente como el primer vector de ataque para intentar infectar a victimas vulnerables.

3. El número de máquinas ``zombies'' y de redes de bots no hace nada más que aumentar durante este último año, y con ellas los ataques que desde las redes se lanzan.

4. Surge una nueva generación de malware (que algunos han dado por llamar Malware 2.0) , de carácter altamente cambiante y que utiliza técnicas automáticas para ofuscar las variantes y dificultar así la identificación.

5. Tipos de ataques: Los escaneos siguen teniendo gran protagonismo. También es elevado el número de incidentes clasificados como ``Uso no Autorizado'', que corresponden en su mayoría a casos de Phishing albergados en máquinas de ISPs Españoles y de problemas relacionados con inyección de código Web.

6. Spam: En 2006 los niveles de trafico SMTP basura rondaba el 85%. Durante el 2007 estos niveles han llegado a superar el 90% de todas las transacciones SMTP.

7. Si los ataques se han criminalizado, es de esperar que en los próximos años se deba prestar una atención especial a la protección de la infraestructura crítica. La amenaza ahora son los ataques masivos para tomar control de los principales sistemas de misión crítica de un estado como son la banca central, servicios públicos, servicios de emergencia, etc.

Temblad... o estudiad seguridad.

Mercè a las 07:24 PM | Enlace | Comentarios 0 | Referencias 0

Top Ten Web Hacks of 2007 (Official)

Ya han escogido lo que comentaba sobre los mejores web hacks. No sé si los que entienden de esto coincidirán... La lista final:

1. XSS Vulnerabilities in Common Shockwave Flash Files
2. Universal XSS in Adobe’s Acrobat Reader Plugin
3. Firefox’s JAR: Protocol issues
4. Cross-Site Printing (Printer Spamming)
5. Hiding JS in Valid Images
6. Firefoxurl URI Handler Flaw
7. Anti-DNS Pinning ( DNS Rebinding )
8. Google GMail E-mail Hijack Technique
9. PDF XSS Can Compromise Your Machine
10. Port Scan without JavaScript

Honorable Mention:
Microsoft ASP.NET Request Validation Bypass Vulnerability (POC)

Mercè a las 12:26 PM | Enlace | Comentarios 0 | Referencias 0

Enero 25, 2008

Martin Hellman: el abuelo del cifrado moderno

Martin E. Hellman es un simpático profesor semi-jubilado de 62 años que explica, con orgullo friki: "Uso un Mac porque no hay ordenador que funcione mejor". Le pillamos en Madrid, en una jornada de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información. No le han invitado por maquero, no, sino porque inventó, junto con Whitfield Diffie y Ralph Merkle, la criptografía de clave pública. "A ese hombre, deberían darle un Nobel", nos dice por enésima vez el director de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación. Pero, en la rueda de prensa que ofrece el viejo profesor, sólo estamos 3 tristes periodistas. Y es que la criptografía no es "cool". ¿O sí?

(...)

-¿El gobierno norteamericano les presionó para que no trabajasen en esto?

-Mientras investigábamos, no. Pero cuando lo publicamos, sí. La comunidad de inteligencia nos estuvo molestando bastante. La National Security Agency (NSA) intentó clasificar nuestro trabajo, argumentando que las investigaciones en ciertas áreas, entre ellas la criptografía, eran "clasificables por defecto". Aunque nosotros no habíamos tenido acceso a información clasificada para nuestras investigaciones, el resultado debía ser clasificado.

-Pues vaya.

-No vinieron directamente a mí para decirme que estaba violando la ley. Una persona envió una carta amenazante a la universidad. La mandó desde la dirección de su casa. También nos envió una copia de la ley, donde ponía que podíamos ir 10 años a la cárcel y pagar 50.000 dólares de multa.

-¿Y qué hicieron?

-La universidad decidió asumir mi defensa. El abogado me dijo que lo veía como un caso de libertad de expresión y así lo defendería. Si nos declaraban culpables, apelaría las veces que hicieran falta pero, si perdíamos todas las apelaciones, dijo: Primero, no podremos ir a prisión por tí y, segundo, no podremos pagar tu fianza porque, si te han declarado culpable, la universidad no puede pagar la fianza de alguien que ha violado la ley.

-¿Hubo juicio?

-No.

-¿La NSA nunca le pidió que trabajase para ellos?

-Antes de inventar la criptografía de clave pública, vino gente de la NSA a ofrecerme trabajo, pero les dije que no porque me gustaba publicar mis investigaciones, no que fuesen clasificadas. En nuestra área, en el momento en que entras en contacto con información clasificada estás vendido. Por eso mi respuesta fue no. En aquellos tiempos, los 70, tenía la imagen de que la NSA eran los malos, Darth Vader, y yo era Luke Skywalker.

-Muy bueno.

-Pero, en los 80, hubo diversos terremotos en mi vida personal y me di cuenta de que mi percepción subjetiva de las cosas no era la verdad absoluta. Uno de estos terremotos fue mi matrimonio: mi esposa es una mujer, desde mi punto de vista tiene algunas ideas locas y esas cosas... Así, este y otros temas me hicieron ver que la forma como yo veía el mundo no tenía porqué ser necesariamente la verdad.

-Cierto.

-En muchas ocasiones, tienes la diatriba: ¿Esto es A o es B? Mi mujer es una especialista en esto, lo que ella llama "La gran y". Lo que parece ser una oposición, muchas veces no lo es. No es A o B sino A y B. ¿Debo publicar mis investigaciones o debo ayudar a proteger a la gente, protegiendo cierta información?

-¿Y la respuesta es?

-El mundo es un sitio peligroso. En nuestros países tenemos libertades que el resto no tiene. No estoy de acuerdo con todo lo que hace mi gobierno, pero le estoy agradecido por algunas cosas, como protegerme, que yo pueda publicar mis investigaciones y, además, pueda quejarme de lo que no me parece bien. Los atentados terroristas como el 11-S o el 11-M son horribles pero, ¿cuántos más han evitado los gobiernos y sus servicios de inteligencia? Así que yo y la universidad hemos tenido relación con gente de la NSA, pero nunca trabajamos para ellos.

Más en: http://ww2.grn.es/merce/2007/hellman.html

(Publicado originalmente en la revista @rroba)

Para Google:
Día Internacional de la Seguridad de la Información
DISI 2007

De nada y gracias, Jorge :)

Mercè a las 12:23 PM | Enlace | Comentarios 0 | Referencias 0

Enero 14, 2008

¿Hacker Safe? Permita que me descojone

Hace ya unos añitos que veo por ahí webs mostrando opulentamente la etiqueta "Hacker Safe". Esto es una certificación de McAfee que cuesta vete a saber cuánto (en la web no he sabido ver el precio en ningún sitio) y que somete al sitio candidato a impresionantes -eso parecen- escaneos, testeos y pruebas.

The HACKER SAFE® certification mark is displayed on over 80,000 web sites worldwide. HACKER SAFE certified sites include some of the largest brands in retail ecommerce; as well as banks, universities, Fortune 500 corporations, state, county and city governments, and non-profit institutions.

No es la primera vez que cae uno de estos sitios tan y tan bien protegidos, pero la anécdota es curiosa para contarla: Geeks.com, una tienda de hardware online que exhibe la citada etiqueta, notificaba recientemente a su clientela que sus datos personales y bancarios podrían haber sido comprometidos por un ataque. McAfee corrió en seguida a explicar que la culpa era de Geeks.com, que ya les habían dicho que tenían algunas cosas inseguras y no les autorizaban a poner lo del "Hacker Safe".

A día de hoy, Geeks.com sigue mostrando de forma bien visible la mágica etiqueta. Y aquí no ha pasado nada.

Mercè a las 01:20 PM | Enlace | Comentarios 3 | Referencias 0

Enero 09, 2008

Por fin un ranking de cosas interesantes: Top 10 Web Hacks del 2007

Los últimos y primeros días del año son dados, por nostalgia supongo, ganas de poner orden en el pasado y guardarlo en el armario quizás, a hacer rankings de cosas. La mayoría salen como salen, pero hete aquí que acabo de pillar un ranking que parece interesante: Top 10 Web Hacks for 2007 (vía Ha.ckers.org)

Atención, no es un ranking de webdefacements: To be clear the “hacks” we’re interested in are the new techniques released over the last year - we’re not talking compromises or “incidents”, but the real research behind it all.

Aún está en proceso de votación así que, si alguien entiende algo de lo que dicen (yo no :), puede pasarse un rato y votar. En los comentarios hay algunos links también interesantes.

Mercè a las 02:21 PM | Enlace | Comentarios 0 | Referencias 0

Noviembre 28, 2007

VISA dice basta a los robos de tarjetas en la red

El comercio electrónico está viviendo una carrera que ríase usted de la adaptación al año 2000. Bancos, tiendas y pasarelas que almacenan datos bancarios deberán cumplir antes de 2008 un nuevo estándar de seguridad, dictado por las principales firmas de tarjetas de pago. En caso contrario, no podrán usar estas plataformas para comercializar sus productos.

La razón de esta medida radica en una práctica común pero peligrosa del comercio electrónico, explica Simon Perry, vicepresidente de Gestión de Seguridad de Computer Associates: "Cuando compras con tarjeta en Internet, la tienda guarda tus datos para que la próxima vez no tenga que pedírtelos y sea más fácil para tí. El problema es que así se crean bases de datos con información de cientos de miles de tarjetas, muy apetecibles para los delincuentes".

Los robos de estas bases de datos han sido una práctica habitual en los últimos años y un secreto a voces que las empresas se han negado a publicitar. Esto cambió en 2005, cuando el estado norteamericano de California aprobó la "Ley de Información de Brechas de Seguridad", que obligaba a notificar a los clientes los robos de información personal.

Con la ley, aumentaron exponencialmente las noticias sobre compromisos de bases de datos y también la desconfianza de los consumidores, explica Simon Perry: "A la gente le preocupa cada vez más la seguridad a la hora de comprar en Internet y esto se ha convertido en un importante problema empresarial que justo ahora las compañías empiezan a reconocer".

Sigue en: http://ww2.grn.es/merce/2007/tarjetas.html

Mercè a las 05:29 PM | Enlace | Comentarios 0 | Referencias 0

Octubre 01, 2007

Buffer overflows en Check Point, by Pentest

Por si fuera de tu interés, acabamos de publicar un informe -en inglés- donde
se relata todo el proceso de explotación sobre varios fallos -buffer
overflows- del cortafuegos Check Point. En concreto se ha evaluado la versión
Secure Platform R60 que había sido certificada por la NSA y el NIST con un
nivel EAL4+. En el informe se pone de manifiesto la debilidad de los procesos
de certificación realizados por el gobierno de los EEUU.

http://www.checkpoint.com/press/2006/ealusgov100406.html
http://www.pentest.es/checkpoint_hack.pdf

---> Con franqueza, no entiendo nada, pero el .pdf está super currado, más de 200 páginas, y repleto de cosas como:

[Expert@fw1pentest]# ]# rm -f /var/log/dump/usermode/SDSUtil.* ; /opt/CPsuite-
R60/fw1/bin/SDSUtil -p 123123 123123 `perl -e 'print "B"x4'``perl -e 'print
"12345678"x1029'``perl -e 'print "\x50\x5c\x55\x77ABCD\x9a\xa8\x5d\x77"'`
bash: ]#: command not found
Info; OpenConn; Enable; NA
Error; OpenConn; Enable; Unresolved host name.
sh-2.05b# exit
exit
Segmentation fault (core dumped)

---> y dice esto:

What are the affected products?
It’s difficult to us to tell how many products, versions and platforms should be affected, but
I think that almost any CheckPoint product based on Secure Platform could be vulnerable. That
includes the UTM-1, etc. Also any platform having same binaries as the affected ones could be
vulnerable. So a lot of ChekPoint products should be affected…

Is there any workaround until the vendor releases patches?
Yes. The easy non-intrusive way is to monitor the directory were core dumps are created.
As an example, in the Secure Platform that is: “/var/log/dump/usermode/”. Write a script that
monitors for any change. If you can see files there… bad things are happening to your firewall.

---> Y también dice:

CheckPoint was first contacted on 19-03-07. Since them many other attempts were done
and at last we were redirected to our country –Spain-. We contacted the representative of Check Point at our country and many approaches attempts were made. The feedback was very
poor and after months of waiting we decided to release this work to the community.

Mercè a las 05:09 PM | Enlace | Comentarios 0 | Referencias 0

Julio 24, 2007

Hablan los creadores del MPack

En SecurityFocus publican una interesante entrevista a Dream Coders Team, desarrolladores del MPack.

Una pregunta-respuesta que me ha llamado la atención:

-Do you feel sorry for the people whose machines are infected by an attack?

-Well, I feel that we are just a factory producing ammunition.

Mercè a las 11:01 AM | Enlace | Comentarios 0 | Referencias 0

Julio 11, 2007

Adam Laurie: "Los gobiernos no se toman la tecnología en serio"

Tarjetas de crédito, mandos a distancia, puertas de garaje, sistemas de televisión de hoteles, billetes de avión y de metro. No hay código de seguridad que se resista al británico Adam Laurie, veterano hacker del lado del bien. Su última hazaña ha sido demostrar que los flamantes pasaportes biométricos de Gran Bretaña se pueden clonar.

-Llega tarde.

-Disculpe. Estaba copiando para unos chicos unas tarjetas con chips RFID, esas que la industria dice que es imposible clonar. Una era para entrar en su oficina y la otra, para la máquina de café.

-A usted le gusta "jugar" con todo. ¿Tiene alguna pauta común?

-Investigar la seguridad de las tecnologías que afectan al consumidor.

-¿Cómo consiguió romper la protección del chip de los pasaportes británicos?

-La clave está formada por tres elementos: el número de pasaporte, la fecha de expiración y la fecha de nacimiento. No fue difícil descubrir las fechas. En cuanto al pasaporte, les dan números secuenciales, así que sólo tuve que buscar dentro de un rango. Fácil.

-¡Lo parece!

-Este es el problema. La solución también es fácil: no dar números secuenciales a los pasaportes.

-¿El gobierno ha dicho que lo solucionará?

-A mi no me dicen nada. Nos comunicamos a través de los periódicos.

Sigue en: http://ww2.grn.es/merce/2007/adamlaurie.html

Mercè a las 10:21 AM | Enlace | Comentarios 1 | Referencias 0

José Nazario: "Con una botnet se pueden ganar miles de dólares al día"

José Nazario es una especie de "cazafantasmas": investiga y persigue a las siempre cambiantes redes de ordenadores "zombie" que se esconden en la inmensidad del ciberespacio. Se infiltra en ellas, localiza a los delincuentes que las controlan y los entrega a la policía.

-¿De dónde le vino esta afición?

-Soy bioquímico, especializado en enzimas y sus relaciones en sistemas muy complejos, pero me aburría. Usaba ordenadores para mis cálculos y empecé a fijarme en las redes informáticas. En el 2000 creé una teoría sobre las redes de ordenadores "zombie", a las que llamé "botnets" (redes de robots).

-¿Casi que dio la idea a los criminales?

-No. En 1999 ya había gente creando pequeñas redes. Pensé: imagina que hacen esto contra máquinas Windows, qué pasaría.

-¿Cómo se caza al dueño de una "botnet"?

-A veces me hago pasar por una de las máquinas "zombie". Estudio el código malicioso que le dice dónde debe conectarse para recibir órdenes, normalmente un canal de chat, y voy yo en lugar de la máquina. Cuando estás dentro, dices: "Hola" y suelen sorprenderse mucho.

Sigue en: http://ww2.grn.es/merce/2007/nazario.html

Mercè a las 10:19 AM | Enlace | Comentarios 1 | Referencias 0

Crónica FIRST 2007 - Nadie sabe cómo lidiar con las cada vez más botnets

"Son una industria creciente, cada vez más activas y difíciles de rastrear", denunció el experto en redes de ordenadores "zombie", José Nazario, durante la Conferencia Anual FIRST celebrada en Sevilla. Estas redes, responsables de la mayoría de ataques, fraudes, código malicioso y correo basura, son el reto del momento para los profesionales de la seguridad informática.

Era la primera vez que el Foro internacional de Equipos de Respuesta a Incidentes y Seguridad (FIRST) se reunía en España. Casi 500 personas de 49 países, dedicadas profesionalmente a defender Internet contra la cada vez más inseguridad y, muy especialmente, las redes de "zombies", también llamadas "botnets" (redes de robots).

Un "zombie" es un ordenador infectado por un código malicioso que permite al atacante darle órdenes remotamente, como mandar correo basura o bombardear otros sistemas. Existen redes de miles de "zombies" que son un lucrativo negocio y, según Nazario, quienes las controlan llegan al extremo de "atacarse entre ellos, para secuestrar los "zombies" del otro y pasarlos a su ejército".

La guinda de tal descontrol la ponía recientemente un agresivo bombardeo contra Estonia, desde diversas "botnets", por una disputa política con Rusia. El Equipo de Respuesta a Incidentes (CERT) ruso no estuvo en Sevilla pero sí el ucraniano, que justo está creándose. Su portavoz, Kostiantyn Korsun, explicó a "Ciberpaís" que "hay una alta criminalidad informática en nuestra zona porque no tenemos una legislación adecuada".

Korsun negó que la mafia del este opere en Internet: "Tenemos chicos malos, sí, y hay otros que son de fuera y actúan desde nuestro país, pero no creo que la mafia esté detrás de estos delitos". El problema, aseguró, es la suma de dos factores: "Nuestras escuelas tienen un alto nivel en tecnologías de la información y la gente no tiene dinero".

Sigue en: http://ww2.grn.es/merce/2007/first.html

Mercè a las 10:15 AM | Enlace | Comentarios 0 | Referencias 0

Julio 04, 2007

Joanna Rutkowska: "No podemos proteger a la gente de su estupidez"

A los 14 años escribió su primer virus. A los 27, estudia cómo detenerlos. Joanna Rutkowska es polaca, experta en código malicioso y musa de la comunidad de seguridad informática. La intriga saber si en España todos hacen la siesta: "Yo sí, cuando investigo algo complicado, y al despertar sé cómo resolverlo".

Sigue en: http://ww2.grn.es/merce/2007/joanna.html

Mercè a las 10:35 AM | Enlace | Comentarios 1 | Referencias 0

Junio 22, 2007

Webs que infectan a sus visitantes: "Esto pasa todos los días"

Los expertos en seguridad informática coinciden en que, aunque es preocupante, no es una novedad que miles de páginas web estén provocando que sus visitantes se infecten con todo tipo de virus, troyanos, programas espía y otros. La razón es que ni estos sitios ni quienes los visitan tienen sus respectivos programas actualizados y seguros. Por eso, afirma Francisco Montserrat Coll, del IRIS-CERT, cosas así "pasan todos los días".

"Hay muchos servidores web que no tienen seguridad", explica Montserrat y sigue: "La tendencia, desde hace mucho tiempo, era hacerles "defacements", lo que significa asaltar el sitio inseguro y cambiar su portada. Después, empezaron a cambiar páginas interiores en vez de la principal. Si al cabo de 15 días los responsables del sitio no se había dado cuenta, significaba que era un servidor descuidado y los criminales lo vendían en el mercado negro".

Sigue en: http://ww2.grn.es/merce/2007/webinfection.html

Mercè a las 07:45 PM | Enlace | Comentarios 0 | Referencias 0

Junio 19, 2007

MPack: ¿Empieza la caza de brujas?

No es mi intención acusar a quienes, seguro, han difundido la información con la mejor voluntad del mundo, pero no deja de ser curioso que justo ahora se publicite un incidente de seguridad, la troyanización (no sé si uso el concepto correcto) de decenas o cientos de miles de páginas web, dando más importancia a la herramienta usada que al incidente.

Mucho ha subido en las últimas horas la popularidad de MPack. En el Washington Post, aparece en el mismísimo título donde, como sabemos por los cursos de ética periodística de CQC, se pone lo más importante de la noticia: Mpack Exploit Tool Slips through Security Holes

Subtítulo en el Computerworld Australia: The large-scale attack is based on the multiexploit hacker kit dubbed 'Mpack'

Websense, los que lo han largado, titulan: Websense® Security Labs™ has received reports of a large scale attack in Europe that is using the MPACK web exploit toolkit.

y remite a los que se lo curraron, Panda Labs, que titulan: MPack uncovered!

Ha habido otras herramientas que han salido en titulares, más allá del mundillo de la seguridad informática, recuerdo ahora el Back Orifice o, recientemente, Jikto, que no estaba en el título pero sí en la primera línea de una noticia de News.com. Seguro que MPack se merece todos los títulos. Pero tal explosión mediática, justo ahora que en diversos países se están haciendo leyes que criminalizan las "herramientas de hacking", suena... delicado...

En fin que, de todo esto, lo más interesante para esta servidora radica en saber si Sergio de los Santos y Marta Torné van a acabar quedando :)

y en visitar mañana Panda Labs porque prometen información sobre cómo se pueden infectar tantos miles de servidores web de una tacada.

ale pues. bona nit & happy disclosure :)

Mercè a las 11:30 PM | Enlace | Comentarios 5 | Referencias 0

Junio 12, 2007

Sobre el asalto a Arsys

No puedo resistirme a poner unas líneas sobre el asalto a Arsys y sucesos posteriores, como la nota de prensa del ISP o el artículo de seguimiento de hoy de "El País".

La primera pregunta que me hice cuando leí la noticia fue: ¿Por qué la han filtrado? ¿Por qué la Guardia Civil filtra una noticia cuando aún no han cogido al "malo", están en plena investigación y no pueden ponerse la medalla? ¿Qué sentido tiene? ¿Qué intención oculta? ¿Quizás querían filtrar algún dato en concreto que hiciese dar un paso en falso a los malos?

Carlos Sánchez Almeida escribe hoy un artículo, La Revelación de San Bernabé, donde se pregunta también el por qué de la filtración, que considera "inoportuna", teniendo en cuenta que se está cocinando una ley precisamente sobre datos personales y su almacenamiento en los ISP. La ley, explica Almeida, obligará a que "todos los datos de tráfico de las comunicaciones electrónicas deberán registrarse y custodiarse durante un plazo de un año, al objeto de que puedan utilizarse por Juzgados y Tribunales para la persecución de delitos"

Si no me equivoco, esto cuadra con la última charla que le oí a Juan Salom, jefe de los ciberguardiaciviles. Salom casi suplicaba esta ley porque, explicó, no hay forma de trabajar con la que tenemos ahora: los ISP están obligados a guardar los datos de tráfico un máximo de x meses, pero no un mínimo. Por tanto, hay ISP que guardan los datos sólo un par de semanas y, cuando les vas a investigar qué hizo un usuario tal día, ya no hay nada.

Visto el contexto, me pregunto: ¿Filtrar esta noticia es una forma de mostrar que hay mucho crimen por combatir y esta ley es necesaria para pillar a los delincuentes?

Pero, si lo que decía la noticia de "El País" es cierto: "Algunos indicios apuntan a que han actuado a través de servidores ubicados en Rusia y EE UU. Ello dificulta el localizarles, porque utilizan servidores anónimos". No entiendo de qué serviría poder acceder a datos de tráfico de ISPs españoles para pillar a gente que ha actuado desde Rusia y proxies anónimos...

La segunda parte del texto de Almeida habla de la enmienda 72, que ha sido rechazada. Esta enmienda a la próxima ley "establecía que dichos datos de tráfico deberían cifrarse y la clave de cifrado debería ser custodiada por el Centro Criptológico Nacional".

Los datos robados en Arsys no eran de tráfico, pero eran datos. Y lo ocurrido es ciertamente un toque de atención hacia el peligro de que las empresas en la red guarden datos personales sin cifrarlos. Creo que la Ley de Protección de Datos tiene algo que decir sobre esto. Pero también el sentido común: ¿cómo es posible que las contraseñas de los usuarios se guarden en claro? Sinceramente, no me lo creo. No me creo que, a estas alturas y con tantos clientes, un ISP cometa un error de parvulario...

Tampoco entiendo a los intrusos, que fue la segunda pregunta que me hice: ¿Por qué han hecho el indio? Nunca he robado una base de datos pero, por lo que he oído, es relativamente fácil. Entras, la descargas y te largas. Nadie tiene por qué enterarse. Entonces, ¿por qué montar el pollo de manipular webs de clientes y que se entere todo dios?

¿Eran simples ladronzuelos? Decía la noticia de "El Pais": "Dada la sofisticación de medios empleada por los piratas, los investigadores están teniendo problemas". Habría que ver qué entienden las fuentes del periodista por "sofisticación" pero, si eres sofisticado, ¿montas tal cristo?. A no ser que quieras montarlo. A no ser que, quizás, el objetivo sea que se sepa. Y si no es por hacktivismo pro enmienda 72, que me huelo que no, ¿será por mandar a la porra la reputación de la empresa?

Paranoica estoy hoy :) Posiblemente eran unos script-kiddies que ni sabían donde estaban ;)

Precisamente el otro día hablaba en el blog de leyes y netiqueta y buscaba ejemplos de ciberdelitos comunes. Aquí tenemos uno que no ha seguido la ética del hacking. ¿Qué hacemos con esto? Pues que se apliquen las leyes. Pero para todos.

Una de las cosas que más me ha llamado la atención del caso Arsys es que, al conocerse la noticia, todo el mundo andaba preguntando el nombre del ISP víctima del asalto. Ya que hablamos de leyes, algunos estados norteamericanos tienen una muy interesante. No sirve para cazar al delincuente, pero sí para que los ciudadanos estén más informados, lo que significa tranquilos o con los datos suficientes para pasar a la acción, sea la que sea. Esta ley obliga a las empresas a informar públicamente de robos y pérdidas de datos de usuarios/clientes. Si tuviésemos esta ley aquí, se habrían evitado muchos sustos, incertidumbre y miedo.

Mercè a las 01:26 PM | Enlace | Comentarios 12 | Referencias 0

Mayo 08, 2007

Empieza a tomar forma la red española de CERTs

En la Internet española se está cavando una potente trinchera contra la ciberdelincuencia. A los dos equipos de respuesta a incidentes informáticos (CERT) que ya existían, se les suman dos más casi al mismo tiempo: la semana pasada se presentaba oficialmente el CERT que velará por la seguridad de las redes gubernamentales y, en breve, lo hará el nuevo CERT para las PyMEs y Ciudadanos. También la Generalitat Valenciana prepara su propio equipo.

Los CERTs son una red mundial, la más grande del mundo dedicada a la seguridad informática, que agrupa a unos 200 equipos. La semilla de la subred española la puso el mundo académico con el IRIS-CERT, en RedIRIS, y el esCERT-UPC, en la Universitat Politécnica de Catalunya. Durante doce años han sido los únicos del estado, con frecuentes problemas presupuestarios y un aumento exponencial de ataques.

Ahora, el gobierno entra en la red con la inauguración casi simultánea de dos nuevos equipos: el CCN-CERT del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia, que velará por la seguridad de las administraciones públicas, y el CERT para PYMES y Ciudadanos del Instituto Nacional de Tecnologías de la Comunicación (INTECO), que se presentará este mes de mayo. Más adelante, la Generalitat Valenciana tendrá también su propio equipo.

El CCN-CERT era muy necesario, explica Luis Jiménez, subdirector general adjunto del Centro Criptológico: "Cuando el CERT gubernamental francés preguntaba quién había en España, tenía que ir a los CERTs universitarios. Ellos mismos nos han dicho que echaban de menos un CERT gubernamental español. Ahora nos toca trabajar para ser reconocidos internacionalmente y establecer convenios con otros CERTs gubernamentales"

El ámbito de actuación de este equipo son las administraciones, también las autonómicas y locales que lo deseen, y entre sus misiones destacan velar por la información clasificada y evitar el espionaje. Jiménez asegura: "Cada vez hay más ataques contra la administración, como el reciente "phishing" contra la Agencia Tributaria. También tenemos muchos troyanos, algunos dirigidos a objetivos concretos y procedentes de otros gobiernos y empresas".

El CCN-CERT empezó a gestarse en 2004, a raíz de un Real Decreto. Desde entonces, el Centro Criptológico, con profesionales ámpliamente experimentados en seguridad informática, ha hecho cursos a funcionarios, realizado inspecciones de seguridad y creado herramientas para auditorías, guías de securización de equipos y un organismo de certificación.

A estas funciones se añadirán otras, como análisis de código malicioso o instalación de sensores. Según Jiménez, el CERT gubernamental tendrá potestad para "realizar todas las acciones necesarias para la resolución de incidentes en sistemas clasificados, incluso entrar en los equipos implicados".

Sigue en: http://ww2.grn.es/merce/2007/certs.html

Mercè a las 05:03 PM | Enlace | Comentarios 0 | Referencias 0

Abril 12, 2007

Las grandes corporaciones mandan spam sin saberlo (teóricamente)

No es ningún secreto que Estados Unidos es el país que genera más correo basura del mundo, el 22% según la empresa Sophos. Pero, ¿quién lo manda? El blog "Security Fix" del "Washington Post" se hizo esta pregunta y, después de analizar mensajes durante un mes, ha llegado a la conclusión de que la mayoría proviene de equipos desatendidos de las grandes corporaciones.

"Security Fix" investigó las direcciones Internet Protocol que aparecían como remitentes de los mensajes, para dilucidar qué máquinas los habían enviado. Así, descubrió anuncios para alargar el pene salidos de la red de Dow Jones o correos que animaban a participar en operaciones bursátiles fraudulentas enviados desde ordenadores de la American Electric Power, Hewlett-Packard y ExxonMobil.

Sigue en: http://ww2.grn.es/merce/2007/corporatespam.html

Mercè a las 05:56 PM | Enlace | Comentarios 1 | Referencias 0

Abril 05, 2007

Las caras detrás de las botnets

Hace unos días, en el blog de F-Secure aparecía una interesante foto de tres tíos compungidos:

Son Alexander Petrov, Denis Stepanov e Ivan Maksakov y están siendo juzgados, acusados de extorsionar a empresas británicas y norteamericanas con ataques de denegación de servicio, desde una botnet de tamaño considerable. "El caso implicó a 10 personas en Latvia, que actuaban de muleros, 4 atacantes desde Rusia y 2 desde Kazajastán. (...) La investigación duró más de un año pero, al final, estos tres individuos tuvieron su sentencia: 8 años de prisión cada uno".

Está bien verles las caras. Ver las caras a la gente siempre va bien para saber con quién estás tratando y, muchas veces, desmitificarlo.

Mercè a las 03:50 PM | Enlace | Comentarios 1 | Referencias 0

Los ISP españoles se unen para combatir el spam

Los principales proveedores de acceso a Internet, que dan servicio al 90% de internautas españoles, se han puesto de acuerdo para usar una tecnología que reducirá considerablemente el volumen de correo basura generado en España. El acuerdo, inédito en el mundo, prevé que a finales de año todos usen este estándar.

Telefónica, ONO, Orange o Jazztel son algunos de los 26 proveedores que han dicho basta al correo basura ("spam"), una incomodidad no sólo para los internautas sino también para estas empresas, que deben invertir en cada vez más filtros mientras ven con impotencia cómo crecen los virus que convierten los ordenadores de sus clientes en emisores de "spam".

Según los analistas, el 84% de los mensajes que circulan por las redes españolas son basura, muy por encima de la media europea. España es el quinto emisor mundial de "spam" y el tercero víctima del "phishing": mensajes que simulan proceder de una entidad financiera e instan a los receptores a introducir sus datos bancarios en un formulario falso.

Esta situación llevó hace dos años a la creación del Foro ABUSES, un punto de reunión de los principales proveedores de acceso a Internet (ISP) españoles, coordinado por RedIRIS/RED.ES. Su objetivo es "crear un marco de relaciones de confianza para adoptar medidas técnicas en la lucha contra el correo basura, las estafas y la inseguridad en la red", explica su coordinador, Jesús Sanz de las Heras.

Es la primera vez que los ISP de un país abren un marco permanente de colaboración. De aquí ha surgido otra idea inédita: pactar la implantación conjunta de una tecnología para reducir el correo fraudulento, llamada "Sender Policy Framework" (SPF - "Convenio de remitentes"), que ya utilizan conocidas empresas como Microsoft, Google, Walt Disney, EBay o Youtube.

Sigue en http://ww2.grn.es/merce/2007/spfspain.html

Mercè a las 10:24 AM | Enlace | Comentarios 1 | Referencias 0

Abril 03, 2007

Trampas en la red espían a la delincuencia cibernética

Su misión es tender trampas a los salteadores, diseminando equipos desprotegidos por Internet. Son cientos de profesionales de la seguridad informática de todo el mundo, también España, que participan voluntariamente en el Proyecto HoneyNet. Su éxito ha sido tal que cada vez más empresas usan trampas parecidas para defenderse.

"TotalDark" es un travieso adolescente convencido de que hoy es su día de suerte: husmeando por Internet, ha descubierto un equipo de muy fácil acceso. Indaga en sus entrañas, buscando un botín y calibrando qué usos dará a su recién descubierta Cueva de Ali Babá. "TotalDark" no sabe que ha caído en una trampa y graban sus movimientos, para analizarlos después.

Sigue en: http://ww2.grn.es/merce/2007/honeynet.html

Mercè a las 04:03 PM | Enlace | Comentarios 0 | Referencias 0

Marzo 21, 2007

Captchas: Los ataques de robots "spammers" a sitios web generan ingeniosas contramedidas

¿Le han pedido alguna vez que, para usar un servicio de la red, introduzca las letras y números que aparecen en una imagen? Es un "captcha", una medida de defensa contra los programas robot que llenan los blogs de correo basura, revientan encuestas o crean cuentas gratuitas con fines ilícitos. Sirve para que el servicio sepa que somos humanos y a veces falla porque, precisamente, somos humanos.

"CAPTCHA" son las siglas de "Completely Automated Public Turing test to Tell Computers and Humans Apart" (Prueba de Turing pública y automática para diferenciar a máquinas y humanos) o, como explica Cristian Borghello, director del sitio de seguridad Segu-Info: "Un programa que genera una prueba que los humanos somos capaces de resolver, pero las máquinas no".

Sigue en: http://ww2.grn.es/merce/2007/captcha.html

Mercè a las 08:12 PM | Enlace | Comentarios 1 | Referencias 0

Marzo 02, 2007

Elhacker.net sufre un DDoS desde hace un mes

Hoy, en el boletín de elhacker.net, me ha saltado el corazón de imaginar lo que debe ser esto:

*- elhacker.net sufre un DDoS durante 1 mes

Desde el viernes 26 de enero ni la web ni el foro han funcionado correctamente por el masivo ataque, con una botnet, de una banda de argentinos que no tienen nada mejor que hacer.

No queremos decir nombres para no dar publicidad a "criminales" que no se lo merecen.

Lanzando durante más de 4 semanas un DDoS hacia elhacker.net de hasta 18 mb por segundo de Syn Flood el foro y la web han permacido off-line.

Calculamos que unos 40.000 zombies (máquinas infectadas) han atacado el foro.

Lamentamos profundamente las drásticas medidas que se van a tomar contra las personas que han DoSeado el foro.

Esperamos volver a la normalidad lo antes posible, así que pedimos paciencia y comprensión dada la magnitud del ataque.

elhacker.net volverá, el problema es que no podemos decir una fecha concreta.

Estamos trabajando para volver lo antes posible. Que nadie dude que esto es "temporal" y que el foro y la web volverán a funcionar con absoluta normalidad.

Agradecemos a los miembros del foro por sus ánimos y apoyo.

Disculpad las molestias.

Mercè a las 06:33 PM | Enlace | Comentarios 5 | Referencias 0

Febrero 20, 2007

Más sobre in-seguridad informática

El doctor Jeimy Cano ha publicado un nuevo artículo, donde desglosa su teoría -que explicó en el 1r Congreso Iberoamericano de Seguridad y Desarrollo de la Sociedad de la Información, organizado por la Cátedra UPM Applus+, en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de Madrid (¿así está bien citado, señor Ramio? o:)- sobre la importancia de tener en cuenta la inseguridad, en seguridad informática. Que no hay yin sin yang, vamos.

Día a día las listas de seguridad informática más visibles a nivel internacional (entre otras bugtraq, X-force, ntbugtraq, SANS Alert) publican una y otra vez las fallas más representativas de las aplicaciones y sus pruebas de concepto, reiterando que la inseguridad es una compañera de viaje permanente para los responsables de la seguridad informática en las organizaciones.

Esta constante lucha contra el "lado oscuro de la fuerza", la inseguridad (CANO 2004), reta constantemente tanto a proveedores como usuarios para descubrir aquellas relaciones (algunas invisibles) donde se esconde esa falla o vulnerabilidad que pronto será objeto de un incidente. Por tanto, existen elementos tangibles y reales que nos dicen que la seguridad de la información, concepto intangible, requiere de la inseguridad para tener sentido y desarrollar mejores estrategias y prácticas para incrementar los niveles de seguridad.

En consecuencia, la seguridad total o 100% no es posible, pues no existe ningún elemento que no esté expuesto a situaciones no controladas o inesperadas, que alteren su funcionamiento bien sea de manera positiva o negativa...

Sigue en: http://www.virusprot.com/computaci%F3n-anti-forense.htm

Mercè a las 12:44 PM | Enlace | Comentarios 0 | Referencias 0

Febrero 18, 2007

¿Alguien ha visto al asesino?

"Por favor, ayúdenos a resolver el asesinato del doctor David Cornbleet en Chicago. Ofrecemos 25.000 dólares a quien identifique a la persona que le asaltó y que pueden ver en este vídeo". Así reza una página web colgada en MySpace, que muestra la grabación de una cámara de seguridad donde aparece el presunto asesino.

Sigue en: http://ww2.grn.es/merce/2007/sebusca.html

Mercè a las 04:02 PM | Enlace | Comentarios 0 | Referencias 0

La industria antivirus llama a la policía

Una de las más respetadas compañías antivirus, Kaspersky Lab, ha hecho un llamamiento para que las fuerzas de la ley colaboren en su lucha. Natalya y Eugene Kaspersky afirmaron la semana pasada que la industria antivirus está desbordada: "Nuestros programas no pueden parar todos los ataques ni hacer milagros".

Sigue en: http://ww2.grn.es/merce/2007/llamapoli.html

Mercè a las 04:01 PM | Enlace | Comentarios 0 | Referencias 0

Febrero 15, 2007

Los virus, al abordaje de los teléfonos móviles

Todas las previsiones coinciden en alertar contra las cada vez más amenazas de seguridad para los teléfonos móviles y PDAs. Junto a los robos de aparatos, destaca el rápido avance del código malicioso: se ha pasado de 27 virus conocidos en 2004 a 334, en 2006. Y la tendencia es al alza. Según la consultora Juniper, los antivirus para móviles serán moneda corriente en 2008 y en 2011 generarán beneficios de más de cinco mil millones de dólares.

Sigue en: http://ww2.grn.es/merce/2007/virusmobils.html

Mercè a las 12:39 PM | Enlace | Comentarios 2 | Referencias 0

Febrero 05, 2007

Un temporal de troyanos convierte 400.000 ordenadores en "zombies"

No se veía un bombardeo vírico tan agresivo desde 2005. Pero no es un virus, ni un gusano, aunque lo llamen "Gusano de la Tormenta". Es un programa que instala un troyano en los ordenadores con sistema operativo Windows y los transforma en "zombies". Según la empresa de seguridad Comendo, en sólo un fin de semana infectó 400.000 equipos.

Sigue en: http://ww2.grn.es/merce/2007/stormworm.html

Mercè a las 06:10 PM | Enlace | Comentarios 0 | Referencias 0

Enero 27, 2007

Los troyanos sustituyen al phishing en el robo de datos bancarios

Las mafias que roban cuentas de banca en línea cambian de estrategia, aseguran los expertos. Están dejando de mandar mensajes masivos que simulan proceder de bancos, conocidos como "phishing", y suben las infecciones por los llamados "troyanos bancarios", más efectivos y selectivos, que entran en ordenadores con sistema operativo Windows al visitar un sitio web.

Acaban los tiempos de los ataques masivos a discreción. Los nuevos ladrones de datos bancarios son unos bichos silenciosos que, donde ponen el ojo, ponen la bala. Viajan por las redes P2P, foros, mensajes de correo y mensajería instantánea, ofreciendo enlaces o archivos adjuntos que muestran imágenes pornográficas, el vídeo de Daniella Cicarelli en la playa o la ejecución de Saddam Hussein.

Sigue en: http://ww2.grn.es/merce/2007/bancarios.html

Mercè a las 08:21 PM | Enlace | Comentarios 0 | Referencias 0

Enero 21, 2007

Los ordenadores "zombie" invaden España

Son la epidemia de Internet. Y estamos a la cabeza. Diversos estudios sitúan a España entre los cinco más afectados a nivel mundial por la plaga de los ordenadores "zombie": equipos infectados por virus, sin que lo sepan sus propietarios, que las mafias criminales usan a distancia para enviar correo basura.

http://ww2.grn.es/merce/2007/zombie.html

Mercè a las 12:41 AM | Enlace | Comentarios 0 | Referencias 0

Enero 13, 2007

Cuidado con los .pdf

Los círculos técnicos de Internet andan revolucionados por importantes fallos descubiertos en el popular "plugin" del programa Adobe Acrobat, que permite abrir documentos .pdf con el navegador. Mediante estos fallos, un atacante podría introducir código malicioso, por ejemplo virus. Lo mismo sucede sin usar el navegador, simplemente abriendo el .pdf con nuestro lector habitual.

http://ww2.grn.es/merce/2007/pdf.html

Mercè a las 01:55 PM | Enlace | Comentarios 0 | Referencias 0

Cómpreme usted este virus

Una cuenta ajena de PayPal, por 5 euros. La numeración de una tarjeta de crédito con PIN incluído, 380 euros. Un virus troyano, 1.300. Son las sugerentes ofertas del mercado negro de la delincuencia informática, descubiertas por un equipo de investigadores de la empresa Trend Micro.

http://ww2.grn.es/merce/2007/supermercado.html

Mercè a las 01:52 PM | Enlace |