domingo, 25 de diciembre de 2011
Feliz Navidad a Todos
12:48 | 
Publicado por
Tony Orozco |
Buenas tardes a todos.
Esta entrada es para desearles a todos mis seguidores una Feliz Navidad, que la paz, amor y magia de esta epoca los ilumine no solo en estas fechas sino por siempre.
Asi mismo tambien les informo que despues de un receso de poco mas de 6 meses debido a mis obligaciones laborales y estudiantiles vuelvo a la actividad, muchas gracias por su comprension y espera.
Etiquetas:
jueves, 23 de junio de 2011
Hackean la web de la CIA
El grupo LulzSec se atribuyó el ataque que dejó fuera de línea al sitio de la famosa Central de Inteligencia.
El grupo de Hackers LulzSec o Lulz Security, ya había cobrado renombre por haber atacado las páginas web de Sony, Nintendo, la del canal FOX e incluso en dos ocasiones a la del Senado de los Estados Unidos. Pero ahora, estos piratas informáticos, han dado un gran golpe de efecto al atacar con eficacia nada menos que a la Agencia Central de Inteligencia (CIA), el organismo de inteligencia más importante del mundo.
Anoche, la página de la entidad quedó fuera de línea por algunas horas mediante un ataque de Denegación de Servicio (DDoS). La web sólo era accesible por momentos hasta que fue restablecida en el término de unas horas. Al parecer las dimensiones de la intrusión se limitaron a eso y ningún dato sensible fue extraído de la web. Todo hace pensar que se trata de un acto más que nada de alarde o promoción.
El grupo LulzSec, cuyo gracioso logo es el arquetipo de un hombre rico con monóculo y un vaso de vino, no tardó mucho en colocar en su cuenta de Twitter un aviso sobre su acción. “Tango Down – cia.gov – for the lulz “ decía la cuenta de Twitter íntitulada “el bote lulz”. En un breve repaso de esa cuenta se puede observar como el colectivo hacker hace mofa de sus actividades y por lo general hace uso del sarcasmo y del humor. Por lo menos su lema actual lo deja entrever “Riéndose de su seguridad desde 2011″.
Por su parte, desde la CIA no se habrán reído mucho con el ataque sufrido, y es probable que no se lo tomen muy a la broma. Sus autoridades todavía no han hecho declaraciones públicas al respecto.
Algunos analistas locales calificaron al ataque de “serio”, sólo porque la CIA se ocupa de asuntos sensibles para la seguridad nacional, otros llegaron a afirmar que “los chicos de Lulz han cometido el error más grande de sus vidas”, dando a entender que nadie se mofa de la CIA y queda impune.
Lo que todavía no está del todo claro es que motivo al ataque, algunos creen que se trato de un acto en solidaridad con el fundador de Wikileaks, Julian Assange, otros que simplemente se están divirtiendo.
jueves, 21 de abril de 2011
Buscar al astronauta Yuri Gagarin en Google arroja resultados maliciosos
Investigadores de seguridad advierten que buscar fotografías del pionero espacial ruso Yuri Gagarin en las imágenes de Google puede conducir a páginas de estafa o con cargas maliciosas.
Al parecer, los criminales cibernéticos han participado en la denominada campaña Black Hat SEO desde el 12 de abril, cuando el mundo celebró la noche de Yuri para conmemorar la exploración del espacio.
La mencionada celebración se realizó para conmemorar que el 12 de abril de 1961, Gagarin se convirtió en el primer humano en realizar un viaje al espacio exterior a bordo de la nave espacial Vostok 1.
El interés en el evento de conmemoración fue retomado por Google, reemplazando su logo con un doodle diseñado especialmente para la ocasión.
Mucha gente buscó información y fotografías de Yuri Gagarin y como es usual, los cibercriminales nunca pierden la oportunidad de sacar provecho de un tema que atrae mucho interés público. Cristopher Boyd, investigador de amenazas senior de la división de software de seguridad de GFI, señala que siguen en curso los intentos por envenenar los resultados de imágenes de Google al buscar a Yuri Gagarin. “El número uno de los resultados de búsqueda de imágenes en Google para Yuri está utilizando el señuelo de una imagen bastante agradable alojada en Imagebucket para redirigirlos del sitio thetouristquide(punto)com a varios sitios maliciosos de antivirus.
Los programas de antivirus falsos, también conocidos como scareware o rogueware, son aplicaciones maliciosas que asustan a los usuarios para pagar una licencia falsa de antivirusa fin de solucionar supuestas infecciones en el equipo.
La estafa comienza en páginas maliciosas, como la mencionada por Boyd, que son diseñadas para tener la apariencia de Windows Explorer e imitar las estafas de antivirus.
El antivirus falso distribuido en este caso es llamado AntiSpy 2011 y es actualmente detectado por 18 de 40 motores de antivirus en Virus Total.
Se ha advertido a la gente de ignorar páginas que ofrecen descargas de archivos sin haberlas solicitado. Sin embargo, si un archivo llega a ser descargado, es muy recomendable analizarlo con servicios como Virus Total, con la finalidad de saber si se trata de un software malicioso o no.
domingo, 10 de abril de 2011
Hackear Facebook por un SMS
La curiosidad de muchos usuarios por conseguir la contraseña de alguna persona, es algo que los atacantes suelen aprovechar a su favor, ya que así suelen llamar la atención de las víctimas. A causa de esto, en muchos casos las personas terminan convirtiéndose en victimas de servicios fraudulentos o sufren el robo de información sensible.
Hoy nuevamente queremos compartir con ustedes un nuevo caso de scam, que fue reportado por un usuario a nuestro Laboratorio, y que se encuentra activo en la red.
Para comenzar, la página ofrece el supuesto servicio de “Hackear Facebook”. Este servicio indica que es posible conseguir cualquier contraseña de la persona que uno desee, de la red social Facebook. Dicha página también contiene detalles (para ser más creíble), tales como el icono favicon de Facebook en la barra de dirección, como así también aparece un reloj haciendo una cuenta regresiva, el cual una vez que este finaliza el servicio prestado supuestamente dejará de estar disponible.
Sin embargo, este supuesto servicio de robo de contraseñas no es gratis: para poder obtener la contraseña se tiene que hacer un pago vía SMS.El proceso consiste en enviar dos mensajes de textos con los datos que nos proporciona la página, el cual depende del país donde se encuentra residiendo la víctima.
Este falso servicio se encuentra alojado en un servidor de hosting de Alemania, al cual ya se envió la información correspondiente solicitando la baja de este sitio fraudulento, que se encuentra estafando a diferentes victimas de distintos países, como se pudo observar en la primera captura.
Una vez más, vemos que las victimas más curiosas y distraídas son las que caen en estos tipos de fraudes online, como así también es importante destacar que todos estos tipos de servicios son todos falsos, que buscan tentar a las víctimas para obtener un beneficio económico. Por ello es recomendable para el usuario contar con buenas prácticas para navegar en Internet para evitar estos tipos de fraudes.
Ataques a RSA y certificados fraudulentos de Comodo
En las últimas dos semanas hemos estado siguiendo con atención dos incidencias en materia de seguridad informática que afectaban a dos de las compañías más ilustres en este campo.
Primero fue RSA quien anunció que habían sido víctimas de un ataque dirigido contra ellos y que los atacantes habían conseguido extraer información confidencial que afecta a uno de los productos más destacados de la compañía como son los SecurID. Este tipo de dispositivos generan un número de seis cifras que expira al poco tiempo y que, combinado con un PIN personal de cada usuario, proporciona una autenticación segura. Según parece, la información robada permitiría averiguar cómo generan estos dispositivos estos números de seis cifras, por lo que la mitad de este esquema de seguridad se habría visto comprometida.
Este hecho puede considerarse de una gravedad relativamente alta debido a que, entre los clientes más destacados de la compañía RSA se encuentran multitud de grandes empresas y gobiernos, incluido el de los Estados Unidos. Aun es pronto para evaluar las posibles consecuencias que el robo de esta información pudiera tener, en parte debido a que el PIN secreto de cada usuario debería ser eso mismo, secreto, y no ser revelado bajo ningún concepto. No obstante tampoco debemos descartar ataques dirigidos a usuarios específicos muy bien elaborados y que proporcionasen esa mitad faltante de la clave de autenticación.
Pero RSA no se encuentra sola en este tipo de incidencias puesto que, pocos días después, se descubría como un atacante desde una IP iraní había conseguido emitir una serie de certificados fraudulentos sin el consentimiento de la empresa certificadora, en este caso, Comodo. Este atacante luego procedió a emitir certificados fraudulentos de páginas reconocidas y con un elevado número de visitas como puedan ser www.google.com o login.live.com.
Al descubrirse estos certificados, varios navegadores como Google Chrome y Firefox empezaron a revocarlos y, poco después, los siguió Microsoft. De esta forma se evitaba que pudiesen ser usados de forma fraudulenta, suplantando páginas legítimas, y que los usuarios confiasen en su contenido. Al ver que el certificado emitido era reconocido como válido, el usuario no tendría ningún motivo para sospechar del peligro, pudiendo el atacante observar toda la información que el usuario envía a esa web, aun estando esta cifrada.
Estos dos incidentes en compañías de seguridad de reputada fama y experiencia contrastada nos sirven para demostrar que nadie está a salvo de los ciberdelincuentes. Con respecto al impacto que puedan tener estas incidencias sobre el usuario común, es difícil que la mayoría de nosotros usemos el tipo de dispositivo comprometido de la RSA, por lo que su alcance se limita a las grandes empresas y gobiernos que los usan y los secretos que estos guardan. Seguiremos informando en el caso de que se produzcan novedades en estos asuntos.
martes, 29 de marzo de 2011
Atacan el sitio web de MySQL a través de una inyección SQL
El sitio web de MySQL ha sido objeto de un ataque a través de una vulnerabilidad de inyección ciega de código SQL. Se trata de un fallo en el código de la aplicación web y no de la base de datos.
MySQL es una popular base de datos de código abierto. MySQL es propiedad de Oracle tras la compra de SUN, su antigua propietaria.
El ataque se atribuye a TinKode y Ne0h del grupo Rumano Slacker.Ro. Los datos extraídos han sido publicados en el sitio pastebin.com; algo que viene siendo habitual en este tipo de "hazañas".
Además del sitio principal los atacantes replicaron el ataque en las versiones localizadas de MySQL.com. En concreto las versiones francesa, alemana, italiana y japonesa.
Los datos expuestos se corresponden con las credenciales de los usuarios del servidor MySQL y el volcado de la base de datos principal del sitio. Entre las credenciales pueden observarse nombres de usuario, contraseñas hasheadas, correos y direcciones.
Algunos de los hashes han sido además publicados en texto claro ya que eran tan sencillos que posiblemente a los atacantes les llevo escaso tiempo encontrar su correspondencia utilizando fuerza bruta con tablas Rainbow. Sorprende (o no) observar contraseñas tan débiles como un simple número de 4 cifras para la cuenta de administrador.
Se da la circunstancia que el sitio de MySQL contenía ya una vulnerabilidad de cross-site scripting activa. Dicha vulnerabilidad se hizo pública a través de twitter el pasado mes de enero y aún sigue sin
ser solucionada.
Más información:
MySQL.com Hacked by TinKode & Ne0hMySQL.com Hacked by TinKode & Ne0h - Pastebin.com
MySQL.com Vulnerable To Blind SQL Injection VulnerabilityFull Disclosure: MySQL.com Vulnerable To Blind SQL Injection Vulnerability
Actualización de samba para Debian Linux
Debian ha publicado una actualización de samba que soluciona una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio.
Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.
La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET. Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.
El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719. Se recomienda actualizar los paquetes samba.
Más información:
DSA 2175-1 samba security update[SECURITY] [DSA 2175-1] samba security update
Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.
La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET. Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.
El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719. Se recomienda actualizar los paquetes samba.
Más información:
DSA 2175-1 samba security update[SECURITY] [DSA 2175-1] samba security update
Suscribirse a:
Entradas (Atom)
About Me
- Tony Orozco
- Mmmm, pues bien soy honesto a veces demasiado, sencillo, sincero, amo la vida y la vivo a cada instante y al limite
