Crece el número de sitios vulnerados

Según ha publicado Kaspersky Lab más del 60% de los sitios que ellos mismos han monitorizado (entre 100.000 y 300.000 webs de 2006 a 2009) han sido vulnerados más de una vez por atacantes para alojar malware durante el año 2009.  Según este estudio los sitios infectados han aumentado en 100 veces con respecto a hace solo tres años. De uno de cada 20.000 en 2006 a uno de cada 150 en 2009.

Phishtank, un repositorio de páginas que alojan phishing y lugar habitual donde encontrar webs vulnerables, también ha visto cómo han aumentado el número de incidentes. Recibió en octubre de 2009 más de 23.000 avisos. En el mismo mes de 2006 se reportaron alrededor de 7.000.

Para conseguir acceso a las páginas, los atacantes usan técnicas que también aprovechan de forma automatizada malware como Gumblar. Aunque la industria busca métodos para evitar que el usuario visite páginas infectadas o peligrosas desarrollando herramientas como Google Safe Browsing o la barra de herramientas de Netcraft, el número no para de crecer.

En ocasiones hemos encontrado sitios vulnerados por varios grupos de atacantes y con diferentes shells alojadas (una shell es un método habitual que utiliza un atacante para controlar una página web), accesibles desde semanas o meses atrás. El descuido o la falta de conocimiento sobre cómo actuar ante estas situaciones son los errores que se cometen con mayor frecuencia.

Es muy importante que cuando se nos comunica que un sitio web del que se es responsable ha sido vulnerado, se intente investigar sobre cómo se ha producido el incidente y arreglar el fallo lo antes posible. De lo contrario es muy probable que la página vuelva a ser atacada. Es necesario revisar la existencia de shells, etiquetas iframe usadas para atacar a los visitantes, malware, etc. Es necesario detectarlos y eliminarlos. Si se da el caso, es recomendable pedir la ayuda a la compañía de hosting para la investigación, puesto que dispondrán de más datos.  Es imprescindible además, que tras haber sufrido un ataque, se cambien las contraseñas que se usan en el servidor.

KASPERSKY REPORT

fuente: hispasec.com

Diccionarios para ataque por fuerza bruta

Si alguna vez has realizado un ataque de fuerza bruta, sabrás que la clave del éxito cuando realizas un ataque de este estilo es la cantidad de claves que tengan tus diccionarios, que estén en el idioma del sistemavictima y que incluyan palabras que se utilizan normalmente en ese país.

Aqui dejo un listado de diccionarios recopilado, listos para ser utilizados en tu herramienta preferida para realizar ataque de fuerza bruta:

• Dictionary (variadas palabras en inglés)(15 mb)(5′062.977 palabras)
• Diccionario Actores de cine (58 Kb)(18.966 palabras)
• Diccionario Grupos de rock (66 kb)(11.705 palabras)
• Diccionario palabras latín (165 KB)(77.107 palabras)
• Diccionario Números (2 Kb)(514 palabras)
• Diccionario Palabras comunes (18 Kb)(5.563 palabras)
• Diccionario Passwords comunes (3 Kb)(820 palabras)
• Diccionario Español (240 Kb)(86.190 palabras)
• The HateList (562 Mb)(Muchas XD)(Mirror HTTP Sec-Track)

fuente: dragonjar.org

Sec-Track.com… Proyecto Colaborativo de Entrenamiento en Seguridad Informática

¿Qué es Sec-Track?

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y el desarrollo de laboratorios  de entrenamiento e investigación sobre Seguridad Informática. Estos recursos son distribuidos por  medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.

Sec-Track ofrece también un amplio repertorio de instrucciones para la implementación de entornos de virtualización, con la finalidad de que cada interesado en implementar uno de los laboratorios y/o entornos disponibles pueda hacerlo simplemente siguiendo dichas instrucciones.
Sec-Track pone a disposición la documentación base para el desarrollo de entornos virtualizados por parte de los usuarios inscritos. Estos serán publicados en Sec-Track y cualquier persona, organización o entidad podrá descargarlos y tratar de cumplir con los objetivos propuestos por sus desarrolladores o proponer nuevas metas.

Otro de los objetivos de Sec-Track es ofrecer un espacio colaborativo en el cual, las diferentes comunidades, grupos de investigación, empresas y usuarios puedan publicar sus propios entornos de entrenamiento, retos y pruebas, wargames, CTF, Crackmes en cualquiera de las diferentes temáticas, con la finalidad de que las demás comunidades puedan descargarlos e implementarlos para buscar una solución al mismo, pero aun más importante generar la respectiva documentación de dicho proceso.

¿Cómo puedo participar en Sec-Track?

Todos son bienvenidos a Sec-Track (Y).

Sec-Track pone a disposición una serie de recursos para la implementación de laboratorios de entrenamiento en seguridad (entornos, retos, wargames, pruebas, CTF, documentación, etc) cada usuario puede descargar y poner a prueba sus conocimientos o adquirirlos siguiendo los video tutoriales y documentación publicada.

Los usuarios más avanzados pueden proponer nuevas formas de cumplir dichos objetivos, nuevos retos o mejorar los ya existentes.

¿Cuáles son las temáticas que abarca Sec-Track?

Sec-Track tratará de cubrir cada una de las temáticas relacionadas con la seguridad informática. Por ahora ofrece los siguientes campos de acción:

* Test de Penetración
* Análisis de Malware
* Criptografía
* Aseguramiento (Hardening)
* Ingeniería Inversa
* Informática Forense
* Gobierno IT

Video introductorio al proyecto >>

Más información >>

Web Oficial del Proyecto Colaborativo Sec-Track

fuente: dragonjar.org

Google confirma ataque de phishing contra Gmail

A primera hora del martes, la BBC informó de que tanto Gmail como Yahoo Mail habían sido el objetivo de un scam de robo de identidad a gran escala, siendo quizá el mismo que había obtenido entre 10.000 y 20.000 contraseñas para dichos servicios así como para Windows Live Hotmail de Microsoft, Comcast, Earthlink y otros.

En respuesta a las preguntas realizadas por Computerworld EE.UU., un representante de Google confirmó: “recientemente hemos tenido noticia de un esquema de phishing por el que los hackers han obtenido acceso a las credenciales de usuario para las cuentas de correo basado en web, incluyendo entre ellas una pequeña cantidad de cuentas Gmail. Tan pronto como fuimos conscientes del ataque, hemos forzado el reincido de las contraseñas sobre las cuentas afectadas. Seguiremos forzando el reincido de contraseñas sobre cuentas adicionales en el caso de que veamos evidencias de que sea preciso.”

Al igual que ocurrió el pasado lunes en el caso de Microsoft, Google ha negado que Gmail haya sido hackeado y que se hayan podido robar los nombres de usuario y contraseñas de Gmail debido a un descuido por su parte. Según el representante de Google, “no se ha tratado de un problema de seguridad de Google, sino de un esquema de phishing”.

Google ha indicado a sus usuarios de Gmail que cambien sus contraseñas en el caso de que tengan sospechas de que sus cuentas hayan podido verse comprometidas.

En cualquier caso tanto Google como Microsoft no han alertado de forma directa a sus usuarios del posible peligro enviándoles mensajes a sus cuentas de Gmail o Hotmail, respectivamente, o bien publicando un aviso sobre dichos servicios.

fuente: idg.es

Cuidado en donde compras tus entradas…puedes ser invadido por SPAM

La técnica utilizada para promocionar el concierto de Madonna pasa factura: La AEPD multa a Tick Tack Ticket por animar a los usuarios a facilitar direcciones de emails de amigos para participar y enviar publicidad.

La Agencia Española de Protección de Datos (AEPD) ha multado a Tick Tack Ticket, una empresa que vende entradas para espectáculos, por enviar emails sin consentimiento a unas 40.000 direcciones.

Como informábamos hace un año, la compañía fue denunciada por la asociación de consumidores FACUA por una promoción que vulneraba los derechos de los usuarios. A través de su página web anunciaba que regalaba dos entradas VIP para el concierto de Madonna a cambio de introducir la dirección de correo electrónico y la de todos los contactos que el usuario tuviese. Como explicaba la promoción, podía ganar “la persona que más veces reenvíe esta información así que… ¡Avisa a cuantos más mejor!”.

La AEPD ha multado con 30.001 euros a Tick Tack Ticket, alegando que estas prácticas “son una modalidad de spam”. “A falta de consentimiento previo, expreso, e informado, constituyen técnicas de captación de datos y de envío de publicidad fraudulentas, que se disfrazan utilizando a los propios consumidores”.

fuente: itespresso.es

Curso Completo de Metasploit Framework

Offensive-security los creadores backtrack, han liberado totalmente gratis, un manual super completo para trabajar con el Metasploit Framework y asi poder dominar las tecnicas para desarrollar y ejecutar exploits.

METASPLOIT UNLEASHED

fuente: dragonjar.com

Malvertising…la nueva era de la publicidad maliciosa

El uso de técnicas de “malvertising” para aumentar el ratio de infecciones en las campañas de propagación de malware está en auge.

El malvertising (de malware + advertising ) consiste en la utilización de una infraestructura en apariencia legal para realizar campañas de despliegue de malware. Los principales vectores de infección pueden ir desde la vulneración directa del servidor de publicidad (Real Media 2007 ) , pasando por contratar el servicio de manera “legítima” e incluir código malicioso en el propio anuncio a distribuir (MySpace 2006 ) hasta la técnica más genérica que consiste en vulnerar sitios web “destino” para inyectar código que facilite la propagación del malware.

Como en todo negocio, la industria del malware tiene muy en cuenta el factor económico, es decir, la valoración de los recursos invertidos en relación con el supuesto beneficio que se obtendrá. En este sentido, parece que estas campañas de malvertising cumplen los requisitos deseados: una mínima inversión puede llegar a un elevadísimo ratio de infección .

Las contramedidas para este tipo de fraudes, serán diferentes teniendo en cuenta nuestra posición en la “cadena” : como usuarios podemos aplicar cierta medidas preventivas ( principalmente sentido común , usar el navegador Firefox con complementos como Noscript, StopAutoplay, Ad-block, FlashBlock ,etc.) , como responsables de contenidos deberíamos llevar a cabo una serie de comprobaciones sobre nuestro proveedor de publicidad (comprobar su reputación en el mercado, las medidas que adoptan para evitar este tipo de ataques, si nos ofrece la posibilidad de utilizar filtros específicos para incluir sólo aquella publicidad que nos interese, creación de listas de proveedores de confianza ) .

El grupo que debería asumir parte importante de responsabilidad es el de los responsables de distribución que como encargados de la gestión y despliegue de la publicidad, son los que en primera instancia deberían tomar ciertas medidas : comprobar las referencias de los supuestos anunciantes, su credibilidad, el producto final, analizar las tecnologías empleadas con herramientas como Adoptools , etc.

Aqui dejo unos links de organizaciones que se encargan de informar al usuario sobre como navegar por internet lo mas seguro posible evitando cualquier tipo de tecnica que pueda afectarnos.

ANTI MALVERTISING.ORG

STAY SAVE ONLINE.ORG

TOP TIP TO KEEP YOU SAVE ONLINE

fuente: blog.s21sec.com

Defcon 17, presentaciones de lo que fue la convecion de este año.

Todo persona que le guste la seguridad informática conoce una de las más viejas convenciones de hackers de todo el mundo, la DEFCON, para todos aquellos que no pudimos asistir, ahora ya es posible descargar las presentaciones y charlas que se presentaron en su edición del año pasado.

Que DEFCON permitan descargar este tipo de información es my buena noticia para los amantes de la seguridad informática, puesto que además de las presentaciones podemos descargar también el código fuente que han utilizado. Sin duda, unos artículos que no pueden faltar en nuestras bibliotecas personales.

Según comentan dentro de poco estarán disponibles también los videos de las charlas, habrá que estar atento, pero mientras tanto para los que no conozcan DEFCON o quieran saber un poco más sobre está convención de hackers podéis ver este Documental sobre DEFCON.

Descargar las presentaciones y el código fuente desde su página DEFCON 17 Archive.

fuente: websecurity.es

Los hackers miran hacia los cajeros

Los expertos piden a los bancos que examinen la seguridad de la infraestructura de los cajeros automáticos.

La empresa europea de seguridad ENISA ha presentado un informe que ha despertado la preocupación respecto a la escala de amenazas a la que se enfrentan los bancos. La investigación ATM Crime [PDF] pone de manifiesto que durante el año pasado hubo un incremento del 149% en el ataque a los cajeros automáticos, incluidos 10.302 de los llamados incidentes de ‘skimming’, o clonado de tarjetas de crédito para lo que en ocasiones se utilizan cajeros falsos que utilizan Bluetooth para transmitir los detalles de la tarjeta a un portátil cercano.

Pero lo más preocupante es que los hackers se están centrando en atacar las redes utilizadas por los bancos para conectar esos cajeros con los sistemas , o en los sistemas operativos y el hardware utilizado por el propio cajero automático para instalar un software capaz de recopilar los datos de las tarjetas.

Otra táctica que Enisa ha revelado es la que llevan a cabo los hackers para entrar en las base de datos de los cajeros para obtener los datos de las tarjetas. Si fuera necesario los criminales alteran el PIN de las tarjetas que están planeando utilizar para después vendérselas a otros ladrones.

Desde la empresa de seguridad afirman que los cajeros son cada vez más atractivos porque ofrecen cada vez más servicios. Además, ahora son más fáciles de hackear por los criminales. La razón es que antes los cajeros utilizaban sistemas operativos y hardware propietario, mientras que ahora se utilizan sistemas operativos y protocolos de red estándar quer son menos difíciles de replicar para los hackers.

El número de incidentes en cajeros automáticos en Europa creció un 6% el año pasado alcanzando los 400.000 casos, muchos de las cuales se localizaron en aeropuertos y gasolineras. El setenta y dos por ciento de los casos de fraude en cajeros automáticos europeos se localizan en sólo cinco países: Reino Unido, España, Alemania, Francia e Italia.

Los robos en cajeros automáticos y las agresiones físicas también han sufrido un aumento de un 32% en los últimos 12 meses a partir de los ataques físicos contra la integridad del cajero.

ENISA ha elaborado su lista de reglas de oro para ofrecer la máxima protección con el mínimo esfuerzo.

Elección de un cajero automático

1. No utilizar los cajeros automáticos que contengan algún tipo de señalización adicional o de advertencias
2. Trate de usar los cajeros automáticos situados dentro de las entidades bancarias
3. No utilizar los cajeros automáticos independientes o fuera de las oficinas bancarias.

Entorno físico

4. Utilice cajeros automáticos que estén a la vista y bien iluminados
5. Tenga cuidado con los extraños y compruebe que se encuentran a una distancia razonable

La realización de operaciones en los cajeros

6. Preste especial atención a la parte delantera de la máquina para observar si han sido manipulados
7. Preste atención al lector de tarjetas para ver si hay signos de algún dispositivo adicional
8. Mire cuidadosamente si nota alguna diferencia o algo inusual en el teclado de marcación
9. Compruebe que hay cámaras
10. Proteja su PIN tapando el teclado durante la marcación
11. Informe de inmediato cuando el cajero no le devuelva su tarjeta

Comprobaciones

13. Examine con frecuencia su extracto del banco
14. Informe inmediatamente cualquier actividad sospechosa

fuente: itespresso.es / blog.s21sec.com

Estafa a la Agencia Tributaria

Es posible que reciba un correo similar a este en el que le advierte que tiene un máximo de 3 días para realizar los trámites correspondientes a una “supuesta” devolución fiscal. Este, como otros muchos correos de este tipo, son intentos de fraude donde los estafadores intentan recabar sus datos bancarios.

La Agencia Tributaria (AEAT) ya ha advertido de este fraude a través de Internet con el que se pretende recabar datos bancarios de ciudadanos, suplantando la identidad del organismo tributario. El fraude ya ha sido denunciado, y el acceso a la web fraudulenta ya ha sido bloqueado.

El navegador ya nos advierte que este sitio puede ser una falsificación, pero si hacemos caso omiso de la advertencia, vemos que el acceso ha sido realmente eliminado:

• • $ GET -e http://mail.oceanic-fruits.com Content-Type: text/plain Client-Date: Thu, 03 Sep 2009 09:29:50 GMT Client-Warning: Internal response 500 Can’t connect to mail.oceanic-fruits.com:80 (connect: Conexión rechazada)

El correo enviado bajo la dirección impuestos@aeat.es anuncia al destinatario un reembolso de impuestos inexistente y, para ello, le remite a una web en la que debe aportar datos de sus cuentas bancarias.

La Agencia Tributaria ha alertado de que “nunca solicita información confidencial, ni números de cuenta, ni números de tarjeta de los contribuyentes mediante correo electrónico”.

Este tipo de fraude, que consiste en el envío de email, suplantando la autoría de los mismos, con el fin de conseguir información privada, números de cuentas corrientes y contraseñas de las personas a los que va dirigido se ha hecho muy común en los últimos años, sobre todo en el mundo de la banca online.

fuente: blog.s21sec.com

Estados Unidos acusa a cinco europeos de una operación de cibercrimen

Los fiscales de Nueva York (Estados Unidos) han acusado a cinco hombres de Europa del Este de participar en una amplia operación de fraude con tarjetas de crédito realizada por Internet que les habría aportado ganancias por valor de 4 millones de dólares, todos ellos robados de unas 95.000 tarjetas.

El sumario de esta acusación cierra la tercera fase de una investigación llevada a cabo por las agencias policiales estadounidenses, de la República Checa, de Grecia y de Ucrania, y que se ha prolongado durante más de cuatro años. En el proceso han resultado acusados un total de 17 personas.

Los detalles del caso aportan nuevas evidencias sobre la existencia de una sofisticada economía online clandestina, en la que cada miembro de un determinado grupo de ciberdelincuentes se especializa en aspectos específicos de las operaciones de fraude creando así una cadena completa de actividad criminal. Por ejemplo, los hackers son los encargados de robar los números de las tarjetas de crédito, pero después la venden a un intermediario especializado en convertir las cuentas a que corresponden en efectivo y mercancías utilizando diversos métodos de blanqueamiento de dinero.

Los fiscales de Nueva York alegan que los acusados han estado implicados en una organización denominada Western Express Cybercrime Group, que roba y después vende los números de las tarjetas a través de foros de Internet denominados sitios de “carding”, donde otros ciberdelincuentes pueden comprarlos. Como parte de la estrategia de este grupo, también se reclutaba gente los productos adquiridos con los números de tarjetas robados vía eBay.

fuente: csospain.es

Alertan de un incremento de delitos informaticos en las cuentas de juegos online

Desde hace muchos años las comunidades de juegos online han venido creciendo de forma constante. Y, por supuesto, los cibercriminales descubrieron hace mucho tiempo que no sólo la industria de los juegos de ordenador era capaz de hacer dinero con juegos como World of Warcraft. Los ataques de malware están fijando su objetivo en los jugadores en red mediante el robo de datos de acceso y su posterior venta.
Según el último informe sobre malware de G Data:

• Los tipos de malware más frecuentes son los troyanos, los “backdoor” y los robos de cuentas en los juegos online. También han aumentado considerablemente los ataques de la familia de gusanos “Autorun”. Las cifras se han quintuplicado en comparación con la primera mitad de 2008 y cuentan ya con 9.689 variantes.

• El 99,3% de todo el malware descubierto en la segunda mitad del año ataca a Windows. El foco sigue siendo el líder del mercado en sistemas operativos, Microsoft.

• Dos programas de software malicioso centrados en las cuentas de juegos se han metido en el top 10 del malware en los seis primeros meses del año 2009.

• Son especialmente populares entre las plataformas de negocio clandestinas, según el análisis de G Data, las cuentas de Steam y World of Warcraft. Hay un largo abanico de precios en función de distintos descuentos y de la capacidad que cada uno tenga para negociar. En este aspecto, las plataformas comerciales clandestinas son similares a las tiendas online legales.

¿Por qué se están convirtiendo los jugadores en objetivo de los cibercriminales?

El robo y la comercialización de cuentas es lucrativo para quienes lo hacen y conlleva un mínimo riesgo asociado. Cuando sucede el robo, es muy difícil que la víctima pueda comenzar un proceso contra el ladrón. Tratándose de juegos de rol, la víctima debe tener claro que es muy difícil perseguir a los ladrones por robo virtual de piezas de oro u otras características en ese tipo de juegos.

Pero los objetivos de los criminales van más allá. Una vez que han infectado el PC con un código malicioso, los criminales instalan más malware, de modo que el PC pasa a estar bajo su entero control y lo pueden conectar como si fuera un ordenador zombi dentro de una red “botnet” (serie organizada de ordenadores zombi que los criminales controlan remotamente para cometer fraudes en Internet). Estos “PCs Zombi” se utilizan con diferentes propósitos, como por ejemplo para enviar spam y ataques DDoS y son alquilados por otros criminales para sus fines. Los PCs de los jugadores online son especialmente demandados por los atacantes por tener altas prestaciones y un potente ancho de banda.

“Las cuentas de juego son bienes muy preciados demandados por los cibercriminales para comerciar con ellos. La venta de datos robados da mucho dinero y conlleva muy poco riesgo para el malhechor. Según nuestra experiencia, existe un potente mercado de plataformas de comercio clandestinas. Los jugadores online subestiman el valor de la seguridad de sus datos de acceso y, desafortunadamente, no suelen contar con soluciones efectivas de seguridad principalmente por si éstas afectan al rendimiento de sus equipos. G Data es consciente de ello y ofrece con sus soluciones de seguridad una óptima protección para los jugadores en red – sin que ello les haga disminuir el rendimiento de sus equipos,” afirma Jorge de Miguel, responsable de G Data en España.

¿Dónde está el mayor peligro al acecho?

• En los sitios web “hackeados”: el malware está ahí. Un PC se infecta cuando ese sitio web es visitado.

• Páginas falsas donde se pide la introducción de datos.

• Los servicios para compartir archivos: el P2P es otro importante foco de malware. G Data examinó en 2008 cerca de 1.000 trampas, parches, wallhacks y add-ons del top 20 de juegos de PC en línea en los que se comparten archivos. El resultado fue escandaloso: más del 65% de los archivos estaba infectado por malware.

fuente: laflecha.net

PenTBox

PenTBox, es una Suite de seguridad orientada a Pentesting y programada en Ruby, licenciada bajo GNU GPL3. Esta Suite es multiplataforma aunque fue pensada para entornos GNU/Linux. Está estructurada en un conjunto de programas que pueden ser ejecutados de forma individual (con independencia de la Suite) lo que permite la integración de nuevos desarrollos que aporte la comunidad de desarrolladores.

La Suite incluye las siguientes funciones:

• Cracking de los algoritmos hash MD5, SHA1, SHA256 y SHA512 mediante fuerza bruta numérica.
• Creador rápido de Honeypots.
• Generador de contraseñas seguras ante ataques de fuerza bruta y diccionario.
• Generadores de tráfico masivo en la red para probar posibles denegaciones de servicio.
• Escaneo de puertos.
• Otras aplicaciones complementarias

PENTBOX WEBSITE

MAS INFORMACION

fuente: securitybydefault.com

Atacan los servidores de la fundación Apache

El viernes pasado los servidores de la fundación Apache presentaron durante unas cuantas horas una escueta página informando que se encontraban investigando un incidente en sus servidores.

Aclaraban que no se trataba de un exploit que afectase al popular servidor web, producto de la propia fundación, sino de una llave SSH comprometida.

La llave en cuestión permitía el acceso a una cuenta para efectuar copias de respaldo automáticas del sitio web “ApacheCon”, en una máquina situada en un alojamiento externo a la fundación. Dicha máquina fue usada para subir archivos a un servidor de su infraestructura, denominado minotaur.apache.org, con funciones notables, como proveer de cuentas para los “comitters” -cuentas con acceso de escritura a los repositorios de código- y de entrada a los distintos sitios web de la fundación Apache.

Según las primeras investigaciones, fueron creados varios archivos dentro del dominio “www.apache.org”, incluyendo varios scripts CGI, que fueron usados para sincronizar dichos archivos con varios servidores en producción e inyectar procesos en los servicios web funcionales.

Tras detectar los procesos que inyectaron los atacantes procedieron a detener los sistemas afectados, de esta manera, por algunos instantes, no se podía acceder a ninguno de los sitios web de Apache, hasta que se procedió a cambiar los DNS hacia una máquina no afectada para mostrar un mensaje informativo indicando la situación en la que se encontraban.

Después de asegurarse de que la infraestructura que la fundación posee en Europa no estaba afectada -los atacantes llegaron a subir los archivos pero no fueron ejecutados-, usaron las copias de respaldo no comprometidas para restaurar los servicios en lo posible, permaneciendo gran parte de su infraestructura detenida para evaluar los daños causados por los atacantes.

Aunque, según Apache, no tienen conocimiento de usuarios finales afectados, ni de que las descargas fueran afectadas, enfatizan efectuar la verificación de la firma digital de los archivos.

BLOG DE APACHE

fuente: hispasec.com

Un nuevo ataque rompe una Wi-Fi encriptada en un minuto

El ataque funciona sólo en los antiguos sistemas WPA que utilizan el algoritmo TKIP. Los investigadores recomiendan sustituir TKIP por AES que es un sistema más robusto.

Científicos japoneses han desarrollado un método para romper el sistema WPA de cifrado de redes inalámbricas en aproximadamente un minuto.

El ataque permite leer el tráfico encriptado que se envía entre los ordenadores y cierto tipo de routers que utilizan el sistema de cifrado WPA (Wi-Fi Protected Access). El método ha sido desarrollado por Toshihiro Ohigashi de la Universidad de Hiroshima y Masakatu Morii de la Universidad de Kobe, quienes planean ofrecer más detalles en una conferencia técnica organizada para 25 de septiembre en Hiroshima.

El pasado noviembre, investigadores de seguridad mostraron por primera vez cómo se podía romper WPA, pero los japoneses han llevado el ataque a un nuevo nivel, según con Dragos Ruiu, organizador de la conferencia de seguridad PacSec donde se demostró el primer ataque WPA. “Tomaron este tema, que fue bastante teórico y lo han hecho mucho más práctico”, dijo.

Los investigadores japoneses explican su ataque en un documento presentado en el seminario sobre seguridad de la información, celebrado en Kaohsiung, Taiwán, a principios de este mes.

El anterior ataque, fue desarrollado por los investigadores Martin Beck y Erik Tews, que trabajaron en un rango menor de dispositivos WAP y les llevó de 12 a 15 minutos. Ambos ataques sólo funcionan en los sistemas de WPA que utilizan el algoritmo TKIP, pero no funcionan en los nuevos dispositivos WPA 2, ni en los sistemas WPA que utilizan el algoritmo AES, que es más fuerte.

Los sistemas de cifrado utilizados por los routers inalámbricos tienen una larga historia de problemas de seguridad. El Wired Equivalent Privacy (WEP), introducido en 1997, estaba roto sólo unos pocos años más tarde y ahora es considerado como completamente inseguro por los expertos en seguridad.

WPA con TKIP “fue desarrollado como una especie de método de cifrado provisional pero la seguridad de las redes Wi-Fi ha evolucionado durante hace varios años”, dijo Kelly Davis-Felner, director de marketing de la Wi-Fi Alliance, el grupo que certifica los dispositivos Wi-Fi. La gente ahora debe utilizar WPA 2, dijo.

Los productos certificados Wi-Fi tienen que soportar WPA 2 desde marzo de 2006. “Ciertamente, hay una buena cantidad de WPA con TKIP en la base instalada a día de hoy, pero no ha habido una alternativa mejor durante mucho tiempo”, dijo Davis-Felner.

Las redes Wi-Fi de las empresas suelen incluir software de seguridad que detectan el tipo de ataque “hombre en medio” descrito por los investigadores japoneses, dijo Robert Graham, CEO de Errata Security. Pero el desarrollo del primer ataque realmente práctico contra WPA debería dar a la gente una razón para eliminar WPA con TKIP, dijo. “No es tan malo como WEP, pero también es ciertamente malo”.

Los usuarios pueden cambiar el cifrado TKIP por AES mediante la interfaz administrativa de muchos routers WPA.

fuente: csospain.es

Un devastador ataque SQL afecta a más 50.000 sites

Los más afectados serán las pequeñas empresas que no cuentan con el personal apropiado y sí con tráfico en sus páginas web.

Más de 50.000 páginas web se han visto afectadas por un ataque de inyección SQL que amenaza con causar el caos entre usuarios inocentes. Al menos eso es lo que se afirma en un nuevo informe de ScanSafe.

La empresa de seguridad dice en un blog que ha sido la primera en detectar el problema, que se inició el pasado viernes. El ataque inserta un ‘iframe’ malicioso en el site que, tras ser visitado por un usuario, empieza a descargar lo que la investigadora de seguridad de ScanSafe, Mary Landesman, describe como “un potente cocktail de troyano con puertas traseras y ladrones de contraseñas”

Actualmente el número de sites afectados alcanza los 57.000 y desde ScanSafe afirman que los más afectados serán las pequeñas empresas que no cuentan con el personal apropiado y sí con tráfico en sus páginas web.

Landesman ha pedido a las empresas que busquen información sobre cómo impedir esos ataques en la web, donde hay incluso herramientas que ayudan a detectar si una página web tiene ‘iframes’ maliciosos.

fuente: itespresso.es

Los datos bancarios robados pierden valor en el mercado negro

Los ciberdelicuentes pueden ser víctimas de su propio éxito, ya que los robos de información masivos provocan una reducción notable de su precio.

Las tarjetas de crédito y otros datos bancarios robados no son tan fáciles de vender en el mercado negro como podía preverse. Este tipo de economía  está siempre ocupada, especialmente en una época de sustracciones masivas como las que sufrieron Heartland Payment Systems y Hannaford Brothers.

Los precios en el mercado negro son más bajos de lo que cabría pensar, según una investigación de Kaspersky Labs. Dmitry Bestuzhev, analista de virus de la compañía, encontró un sitio web donde se proporcionaba material robado. Lo más caro actualmente en él son las tarjetas de crédito alemán, que pueden venderse a 6 dólares la pieza. Por otro lado, las Visas de Estados Unidos pueden encontrarse a 2 dólares la unidad.

“Es complicado dar una cifra exacta sobre los sitios como este que existen. No son muy numerosos debido a su baja rentabilidad en la actualidad. Además, los delincuentes cibernéticos funcionan como un club en el que todos se conocen” explica Bestuzhev.

En cierto modo, las bandas cibernéticas pueden ser víctimas de su propio éxito. Según algunos investigadores, la enorme cantidad de información robada que se vende en el mundo ha empujado hacia abajo los precios.

Sin embargo, habida cuenta de las infracciones a miles de tarjetas, cabe destacar que el malware es el tipo común de robo. Según un estudio de PandaLabs, el 71% del malware que se encuentra al día son troyanos, muchos de los cuales están diseñados para robar datos bancarios y números de tarjetas de crédito.

“Los delincuentes tecnológicos han hecho de la venta de información personal en el mercado negro la base de su negocio”, explica Luis Corrons, director técnico de PandaLabs. Es más, luego está el costo de la pérdida de negocio.

Por esta razón, es importante para las empresas permanecer vigilante. “Desde que se produce el robo de identidades hasta que la entidad afectada se da cuenta pasa un tiempo. De este modo, resulta chocante comprobar que estas empresas no sabían que algo no autorizado circulaba por sus redes”, concluye Luis Corrons.

fuente: eweekeurope.es

Uno de cada cuatro hackers utilizan Opera

Los hackers que utilizan kits de herramientas para llevar a cabo ataques también se defienden de ellos y de otros criminales.

Los kits de herramientas para llevar a cabo ataques contra vulnerabilidades tiene como objetivo los navegadores más utilizando. Esta es una de las razones por las que la empresa de seguridad Purewire afirma que los hackers utilizan el navegador Opera más que el resto de los usuarios.

El navegador Opera tiene una cuota de mercado a nivel mundial del 2%, y el 26% de los hackers identificados por Purewire lo utilizan. Precisamente por su reducida cuota de mercado son pocos los hackers que buscan explotar vulnerabilidades que les ayuden a sus fines maliciosos

Purewire ha obtenido estos datos infiltrándose en los sistemas de los hackers mediante un agujero en el software analítico incluido en un par de herramientas utilizadas por los hackers, incluida una llamada LuckySploit. La táctica de la empresa de seguridad ha tenido éxito en varias ocasiones y ha logrado identificar la dirección IP de 15 hackers y saber el navegador que están utilizando.

fuente: itespresso.es

El hacker de la NASA será extraditado a Estados Unidos

Gary McKinnon ha perdido su último intento de ser juzgado en Inglaterra y en enfrentará a un juicio en Estados Unidos.

A pesar de gran apoyo que Gary McKinnon ha tenido, no sólo por parte de Boris Johnson, alcalde de Londres, sino del Daily Mail y de varios diputados, el Tribunal Superior de Justicia de Inglaterra ha determinado que se le debe extraditar a Estados Unidos.

Según han publicado varios diarios ingleses el tribunal ha afirmado que “la extradición es la respuesta proporcionada a sus ofensas”.

Gary McKinnon, de 43 años, admitió haber hackeado los sistemas informáticos del Pentágono y la Nasa en 2001 y 2001, afirmando que estaba buscando evidencias de vida extraterrestre. La defensa de McKinnon afirma que es probable que las autoridades de Estados Unidos hagan de este hombre un ejemplo imponiéndole la mayor sentencia posible, que podría ser de 60 años en una prisión de máxima seguridad.

Los que apoyan a McKinnon afirman que el enfermo de Asperger sería incapaz de sobrevivir a esta posible sentencia.

ARTICULOS SOBRE GARY

fuente: itespresso.es

Memorias del Black Hat USA 2009

Andrea Barisani, Daniele Bianco
Sniff Keystrokes With Lasers/Voltmeters Side Channel Attacks Using Optical Sampling of Mechanical Energy and Power Line Leakage
[White Paper] [Presentation]

Bill Blunden
Anti-Forensics: The Rootkit Connection
[White Paper] [Presentation]

Michael Brooks, David Aslanian
BitTorrent Hacks
[White Paper]

Datagram
Lockpicking Forensics
[White Paper] [Presentation]

Mark Dowd, Ryan Smith, David Dewey
The Language of Trust: Exploiting Trust Relationships in Active Content
[Video Recording]

Muhaimin Dzulfakar
Advanced MySQL Exploitation
[White Paper] [Presentation]

Egypt
Using Guided Missiles in Drive-by’s: Automatic browser fingerprinting and exploitation with Metasploit
[Presentation]

Chris Gates
Breaking the “Unbreakable” Oracle with Metasploit
[White Paper] [Presentation]

Jeremiah Grossman, Trey Ford
Mo’ Money Mo’ Problems: Making A LOT More Money on the Web the Black Hat Way
[Presentation]

Mikko Hypponen
The Conficker Mystery
[White Paper] [Presentation]

Dan Kaminsky
Something about Network Security
[Video Recording]

Zane Lackey, Luis Miras
Attacking SMS
[Presentation]

Kevin Mahaffey, Anthony Lineberry, John Hering
Is Your Phone Pwned? Auditing, Attacking and Defending Mobile Devices
[White Paper]

Jeongwook Oh
Fight Against 1-day Exploits: Diffing Binaries vs Anti-diffing Binaries
[White Paper] [Presentation]

Peter Silberman, Steve Davis
Metasploit Autopsy: Reconstructing the Crime Scene
[White Paper] [Presentation] [Source]

RESTO DE PRESENTACIONES

fuente: dragonjar.org / blackhat.com