security

Forensic Challenge 2010

Challenge 1 - pcap attack trace - (provided by Tillmann Werner from the Giraffe Chapter) is to investigate a network attack. Send submissions (please use the MS word submission template or the Open Office submission template) forensicchallenge2010@honeynet.org no later then 17:00 EST, Monday, February 1st 2010. Results will be released on Monday, February 15th 2010. Small prizes will be awarded to the top three submissions.

Skill Level: Intermediate

The Challenge:
A network trace with attack data is provided. (Note that the IP address of the victim has been changed to hide the true location.) Analyze and answer the following questions:

1. Which systems (i.e. IP addresses) are involved? (2pts)
2. What can you find out about the attacking host (e.g., where is it located)? (2pts)
3. How many TCP sessions are contained in the dump file? (2pts)
4. How long did it take to perform the attack? (2pts)
5. Which operating system was targeted by the attack? And which service? Which vulnerability? (6pts)
6. Can you sketch an overview of the general actions performed by the attacker? (6pts)
7. What specific vulnerability was attacked? (2pts)
8. What actions does the shellcode perform? Pls list the shellcode. (8pts)
9. Do you think a Honeypot was used to pose as a vulnerable victim? Why? (6pts)
10. Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge) (2pts)
11. Do you think this is a manual or an automated attack? Why? (2pts)

Download:
attack-trace.pcap_.gz Sha1: 0f5ddab19034b2656ec316875b527d9bff1f035f

Existe un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome. Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un "mime type" del tipo "text/xml", "text/atom-xml" o "text/rss-xml" con JavaScript incrustado. Estos navegadores lo procesarían sin motivo.

El sistema de análisis de contenido de un navegador web debería comprobar qué tipo de datos son los que va a mostrar y activar o desactivar ciertas funcionalidades dependiendo del tipo; por ejemplo, no tendría sentido que un navegador ejecutara código JavaScript si accede a un fichero cuyo "mime type" en el servidor es "image/jpeg", puesto que en teoría, no debería existir ningún tipo de código JavaScript en un fichero de ese formato.

Google ya ha solucionado esta vulnerabilidad y ha publicado un parche para su versión 3 que se puede aplicar desde el propio Chrome.

En este momento Opera no ha actualizado ni notificado oficialmente esta vulnerabilidad en su sitio oficial, pero al parecer su equipo de desarrollo y seguridad están trabajando para solucionar este problema.

Prueba de concepto: http://securethoughts.com/2009/09/exploiting-chrome-and-operas-inbuilt-atomrss-reader-with-script-execution-and-more/

Advisory de Chrome: http://googlechromereleases.blogspot.com/2009/09/stable-channel-update.html

Sitio de Advisories de Opera: http://www.opera.com/support/kb/advisory/page1/

Fuente: Hispasec

No es nuevo, se ha dicho infinidad de ocasiones 'la mayoría de ataques mas severos contra una organización se producen desde dentro', lo que los americanos llaman 'the insiders'.

Valgan los siguientes y recientes ejemplos de ello:

• Abdirahman Ismail Abdi que se ganaba la vida como auditor en la compañía 'California Water Services' tuvo la brillante idea de auto transferirse 9 millones de dolares a cuentas de las que era titular en Qatar. Después de eso, embarcó a su familia destino Frankfurt e intentó marcharse destino Londres, finalmente y después de tener a la policía tras sus pies, huyo a Canadá (que típico).
• Wilbur Fondren que ejercía labores de dirección de la organización militar PACOM fue acusado de conspiración por vender datos clasificados a un agente Chino.
• Terry Childs, sysadmin de la ciudad de San Francisco, tuvo la ingeniosa ocurrencia de resetear la contraseña de los switches y routers que administraba y se negó a decir cual era la nueva contraseña sin una contraprestación económica.

Es una constante, la historia de la informática esta plagada de casos similares a estos, alguien en quien se deposita una confianza y se le otorgan privilegios especiales dándole acceso a aspectos críticos, decide que puede sacar partido de ello.

Nota Original

La técnica del fuzzing consiste en realizar diferentes test de software capaces de generar y enviar datos secuenciales o aleatorios a una aplicación, con el objeto de detectar defectos o vulnerabilidades. El fuzzing sirve para encontrar vulnerabilidades del tipo: format string, integer overflow, buffer overflow, format string…

Para detectar vulnerabilidades en aplicaciones con técnicas de fuzzing podemos utilizar Fusil una biblioteca escrita en Python que sirve para crear programas de funzzing. Fusil se basa en una arquitectura de sistema multi-agente, tiene muchos tipos de pruebas para detectar fallos de programas: testear el código de salida de proceso, el stdout del reloj, el syslog de procesos, duración de sesión, uso de la CPU…

Fusil posee módulos para realizar técnicas de fuzzing de:

- Aplicaciones:
fusil-clamav: ClamAV antivirus.
fusil-firefox: Firefox.
fusil-imagemagick: Image Magick.
fusil-mplayer: Mplayer.
fusil-ogg123: Ogg/Vorbis.
fusil-vlc: VLC.

- Librerias:
fusil-gettext: Librería Gettext .
fusil-gstreamer: Librería Gstreamer .
fusil-libc-printf: Librería función printf().
fusil-poppler: Librería poppler.

- Lenguajes programación: fusil-php: Aplicaciones en PHP.
fusil-python: Aplicaciones en Python.

Otros:
fusil-wizzard: Comandos de Linux.
fusil-zzuf: Sockets de red.

Sitio del Proyecto

What is DEFT Linux? DEFT (acronym for Digital Evidence & Forensic Toolkit) is a Xubuntu Linux-based Computer Forensics live CD. It is designed to meet police, investigators, system administrator and Computer Forensics specialist’s needs.

DEFT v4.2 is ready and you can download from mirrors!

What’s new:

• DEFT Extra 1.0 (Gui, Forensics tools for Microsoft Windows and mutch more)
• DEFT Linux v4.2 stable

Download

* #1 Information Security Crime Investigator/Forensics Expert
* #2 System, Network, and/or Web Penetration Tester
* #3 Forensic Analyst
* #4 Incident Responder
* #5 Security Architect
* #6 Malware Analyst
* #7 Network Security Engineer
* #8 Security Analyst
* #9 Computer Crime Investigator
* #10 CISO/ISO or Director of Security
* #11 Application Penetration Tester
* #12 Security Operations Center Analyst
* #13 Prosecutor Specializing in Information Security Crime
* #14 Technical Director and Deputy CISO
* #15 Intrusion Analyst
* #16 Vulnerability Researcher/ Exploit Developer
* #17 Security Auditor
* #18 Security-savvy Software Developer
* #19 Security Maven in an Application Developer Organization
* #20 Disaster Recovery/Business Continuity Analyst/Manager

Tillmann & Felix de Giraffe Honeynet Chapter nos envian una animación de como se veria el Conficker.C y sus relaciones funcionales. Las esferas amarillas son funciones en el interior del Conficker, los loops verdes son funciones importados de Dlls y lo rojo son saltos en otras funciones.

HP blog
www1

SUMO Linux is a bootable DVD from Sun Tzu Data which contains a compilation of the best Information Security distributions:

- Backtrack 3
- Helix 2.0
- Samurai Linuxv - DBAN
- DVL

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

SOURCE: SUMOLinux.com

Download (BitTorrent): http://thepiratebay.org/torrent/4527605/SUMO_Linux

CYBERLAWS 2010 | Call for Contributions

CALL FOR PAPERS, TUTORIALS, PANELS

CYBERLAWS 2010, The First International Conference on Technical and Legal Aspects of the e-Society, under the Digital World 2010 umbrella

St. Maarten, Netherlands Antilles, February 10-15, 2010

General page: http://www.iaria.org/conferences2010/CYBERLAWS10.html

Call for Papers: http://www.iaria.org/conferences2010/CfPCYBERLAWS10.html

Submission (full papers) deadline: September 10, 2009

Sponsored by IARIA, www.iaria.org

Extended versions of selected papers will be published in IARIA Journals: http://www.iariajournals.org

Selected extended versions of presented papers will be invited for publication in - The International Journal of Private Law (www.inderscience.com/ijpl ) [Available at Ingenta, listed in Cabell, A-ranking] - The Journal of International Commercial Law and Technology ( www.jiclt.com) [Available at EBSCOHOST, v-lex. lex-opus, Google scholar]

Please note the Poster Forum and the Work in Progress track.

The topics suggested by the conference can be discussed in term of concepts, state of the art, research, standards, implementations, running experiments, applications, and technical and social case studies. Authors are invited to submit complete unpublished contributions, which are not under review in any other conference or journal in the following, but not limited to, topic areas.

All tracks/topics are open to contributions on the Technical, Legal, Social, and Corporate aspects and their interactions, in terms of Regular papers, Posters, Work in Progress, Technical/position/lessons learned presentations, Demos, Tutorials, and Panels.

Before submission, please check and conform with the Editorial rules: http://www.iaria.org/editorialrules.html

ACCESSIBILITY: Digital Divide, e-Democracy and e-Government

Digital Divide and Accessibility: Loss of autonomy; Access barriers of age, race, wealth; Problems caused by lack of accessibility; Development of accessibility standards; Legislation related to accessibility

e-Democracy and e-Government: Open and Free access; Free postings; Freedom of speech; Freedom of expression on the Internet; Anywhere access; Legal versus illegal; e-Trust; e-Voting and Internet voting; e-Garbage collection of private records; e-Transparency; e-Government and e-Democracy for e-Citizens

PRIVACY: e-Anonymity and e-Identity

Privacy: Human rights; Privacy versus Security versus Convenience (ease of use); Legitimate purposes; e-Citizen behavior; Right to privacy; Legitimate purposes; e-Citizen behavior; Search engine behavior and policies; Regulating search engines;

e-Anonymity and e-Identity: Anonymity; Pseudonimity; Multiple identities; Multiple locations; Wrong by eliminating accountability; Anonymity and social identity; Identity change; Multiple identities; Identity substitution; Securing identity

FRAUD: WEB x.0 Impersonation, e-Harassment, e-Threats, e-Loss

WEB x.0 Impersonation, and e-Harassment and e-Threats: Social malware; Spam; Bullying; Stalkers; Blogs; Anonymous emails; Hoaxes; e-Rumor email lists; Newsgroup article; Web pages; Pamphlets; Computer hacking; Spam; Carding; Botnets; Phishing; Worms; Virii; Network dynamics attacks; On-line using various data sets; FaceBook; Twitter; YouTube; @anything.com; Corporate e-Hassle; Individual e-Hassle; Role and responsibility substitution, Social networking

e-Loss: Personal damage; Economic damage; Promoting the damage by acting against it; e-Loss evaluation

PROTECTION: e-Fraud Prevention, e-Law, e-Punishment, e-International relations

e-Fraud Prevention: Technology and cyberlaws; Security enforcement; Trust referrals; Cryptography; Education; Law enforcement; Re-active and Pro-active actions; e-Law education

Technical countermeasures: Detection of abusive traffic; Tools for interception and repression; Deep packet inspection; Communications interception; Communications wiretapping and records

e-Law: National laws protecting the anonymity; Responsibility for email messages; Lobbying for forbidding anonymity on the Internet; Lawfully regulate anonymity on the Internet; Prevent retaliation; Internet governance; Formal legislation; Soft laws; e-Trust national regulatory aspects

e-Punishment: Lawful interception; Propagation traces; Banning; Content blocking; Long-term exchange records; Security pitfalls of e-Democracy; e-Trust national enforcement laws; e-Trust cross-digital police; Court warrant; Legal countermeasures

e-International relations: Conflict of laws; Extra-jurisdictional net (intellectual property, criminal enforcement); Lobbying for forbidding anonymity on the Internet; Lawfully regulate anonymity on the Internet; Prevent retaliation; Internet governance; Treaties and Conventions, e-Trust international regulatory context.

CYBERLAWS Advisory Chairs Lasse Berntzen, Vestfold University College - Tnsberg , Norway Petre Dini, Concordia University, Canada / Cisco Systems, Inc., USA Sylvia Kierkegaard, IAITL-International Association of IT Lawyers, Denmark Mark Perry, University of Western Ontario/Faculty of Law/ Faculty of Science - London , Canada

Committee members: http://www.iaria.org/conferences2010/ComCYBERLAWS10.html

Fue liberado el nuevo KYE sobre Conficker

The Honeynet Project is excited to announce the release of Know Your Enemy: Containing Conficker. In this paper we present several potential methods to contain Conficker. The approaches presented take advantage of the way Conficker patches infected systems, which can be used to remotelydetect a compromised system. Furthermore, we demonstrate various methods to detect and remove Conficker locally and a potential vaccination tool is presented. Finally, the domain name generation mechanism for all three Conficker variants is discussed in detail and anoverview of the potential for upcoming domain collisions in version .C is provided. Tools for all the ideas presented are freely available for download including source code. This paper was authored by Tillmann Werner and Felix Leder.

In addition, as a result of this paper and the hard work of Dan Kaminsky, most vulnerability scanning tools (including Nmap) should now have a plugin or signatures that allow you to remotely detect infected Conficker systems on your networks. Finally, we would like to recognize and thank the tremendous help and input of the Conficker Working Group.

Como sabrán en menos de 48 hs se activará una nueva variante del Conficker. Recién salido del horno, Tillman y Felix del Giraffe Honeynet Chapter publican una herramienta para detectar hosts infectados con el Conficker [1], cabe señalar que este scanner sera integrado en varios scanner famosos como el nmap ó Nessus. También nos envian firmas para el Snort basadas en el shellcode del virus.

y

Mas información en:

https://www.honeynet.org/node/388
https://www.honeynet.org/node/389
http://www.doxpara.com/?p=1285
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Nos envian desde Hispasec...

La universidad de Toronto ha publicado un interesante documento de investigación sobre "GhostNet", una botnet concebida para un objetivo muy concreto: el espionaje. No estamos ante una botnet con un crecimiento exponencial y centrado en la adquisición de más nodos para aumentar su poder, en este caso los objetivos eran tratados de forma muy personalizada y atendiendo a su importancia. Mientras una botnet puede oscilar entre los 30.000 y más de 100.000 bots, el número de máquinas infectadas en "GhostNet" es de solo 1.295, una población casi insignificante.

Esta investigación fue efectuada por el "Information Warfare Monitor", alianza del think tank de seguridad canadiense "DevSec Group", la universidad de Cambridge y "Citizen Lab", a raíz de las acusaciones al gobierno chino por ciberespionaje al gobierno tibetano.

Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos y redes en las distintas oficinas que el gobierno en el exilio del Tibet posee distribuidas en diferentes países. En el análisis de la información obtenida hallaron los interfaces de varios servidores de control y se percataron de que lo que tenían delante era solo la punta del iceberg. Entre los nodos que componen "GhostNet" se hallaban ordenadores de los ministerios, embajadas y cancillerías de países como Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc. Hasta un total de 103 países fueron contabilizados, aunque solo el 30% del total de nodos fue marcado como objetivos de alto valor.

Las máquinas eran infectadas por un troyano denominado "gh0st RAT" capaz de obtener un control completo del huésped, entre otras posibilidades, apagar y encender dispositivos como cámaras o micrófonos y capturar audio y vídeo. La ingeniería social empleada en el ataque daba a entender que previamente se estudiaba a la víctima aprovechándose de la información capturada a otros infectados y usándola como parte de un engaño donde tanto el asunto como el remitente de un correo electrónico eran conocidos por el receptor.

Mas información ACÁ

Chapter XVIII: Introduction, Classification and Implementation of Honeypots

This chapter discusses the basic aspects of Honeypots, how they are implemented in modern computer networks, as well as their practical uses and implementation in educational environments. This chapter covers the most important points regarding the characteristics of Honeypots and Honeynets. The implementation of Honeypots provides an answer to a common question posted by the field of information security and forensics: How to dissect the elements that make up an attack against a computer system. The chapter summarizes the different features and capabilities of Honeypots once they are set up in a production environment.

Pueden hacer el pedido directamente en IGI-Global con un descuento de Pre-Publicación o directamente en Amazon sin descuento

Oops, ya tenia un poco olvidado mi blog mucho trabajo e infinidad de cosas por hacer me quemaban el chip y no le daba bola al blog... pero de nuevo acá estoy.

Estuve 3 semanas en México pasando las fiestas con mi familia y amigos, ya me hacian falta unas vacaciones... las disfrute muchisimo, aunque creo que me faltaron mas días; en esas 3 semanas no pude recuperar los meses que estuve viviendo fuera de mi ciudad. Ya acercandose la hora de regresar empece la busqueda de vuelos, con la idea presente en que no lo encontraria a menos de $1,000 usd por la temporada y por los costos que en los últimos meses hemos visto todos... por suerte encontre un vuelo en aprox $600 usd (un solo viaje), el único detalle es que la conexión del vuelo sería en Nueva York... no me importo y lo compre, fué lo mas barato que encontre. Y bueno.. fueran muchas horas de viaje hasta Buenos Aires pero llegue! (gracias a la Tía Meche por su hospitalidad en la Gran Manzana)

De regreso al laburo, chequeando pendientes... cambiandome de apartamento, en fin... los últimos dias han estado un poquitín pesado, pero ahi la llevo... ya se va poniendo todo a la normalidad.

Ayer me avisaron que mi artículo para un libro sponsoreado por la Academia de la Fuerza Aerea de USA será publicado en Abril 2009, ahora esta en la fase de pre-prensa. Esto me pone muy feliz ya que será mi primera publicaciñon formal que tengo. El libro se llamará "Cyber Security and Global Information Assurance: Threat Analysis and Response Solutions", el brochure pueden verlo ACÁ y el sitio del libro http://tinyurl.com/baemfs. Mi capítulo hablo sobre Honeypots y Honeynets.

Una empresa finlandesa llamada Outpost 24 dice haber descubierto un fallo en el Internet Protocol (IP) que puede provocar una denegación de servicio en todo dispositivo que lo use. Teniendo en cuenta que es la base sobre la que se sustenta toda Internet, es equivalente a decir que se puede provocar la caída de cualquier aparato con comunicación en la Red. Es la tercera "gran alerta" del año. ¿Necesita Internet una puesta a punto?

En realidad ni siquiera se podría llamar "denegación de servicio" tal y como lo conocemos hoy en día. Más bien se trataría de una especie de (mítico) "ping de la muerte" en el que, con muy poco tráfico (10 paquetes por segundo) se podría llegar a colapsar cualquier dispositivo que implemente la especificación del protocolo base. Al parecer se trataría de uno de los mayores problemas detectados en la Red que la volvería insostenible de forma relativamente sencilla.

No se han ofrecido por tanto muchos más detalles. Parece que el problema surgió durante el escaneo de varios millones de sitios en Internet. Alguno de estos tests (realizados con la herramienta Unicornscan) hacía que los sistemas dejaran de responder, y tras una investigación se concluyó que existía un problema en todas las implementaciones de la pila TCP/IP. Aunque afecta de distinta manera, se supone que todas son vulnerables y que todavía no han encontrado ningún dispositivo que no puedan bloquear.

Los investigadores han conocido este problema desde 2005. Según dicen, no han podido encontrar por el momento una solución válida, pero tampoco quieren difundir los detalles por el peligro que supondría el conocimiento público. Advierten que, incluso con IPv6 el problema podría ser incluso más grave.

Darán más detalles sobre el problema el 17 de octubre, durante una conferencia en Helsinki. Afirman tener una herramienta llamada sockstress capaz de "tumbar" cualquier dispositivo. Aunque la información es confusa (y habría que tomarla con cautela mientras no se tengan detalles), parece que el problema está directamente relacionado con la técnica de las "SYN cookies". Se utilizan precisamente para evitar que un atacante pueda realizar una inundación de paquetes SYN. Básicamente se "recuerda" con esta cookie a quien ha realizado la conexión y se evita que se falsee la dirección y se perpetre el conocido ataque (abriendo conexiones a medio realizar que consumen memoria y agotando los recursos del dispositivo).

Es la tercera gran vulnerabilidad del año que pone en peligro a toda la Red. En primer lugar fue Kaminsky con su problema DNS. El 8 de julio todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS. Kaminsky había descubierto meses antes un fallo que permitía falsificar cualquier IP asociada a un dominio. Poco después en agosto, durante la Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet, cuando Tony Kapela y Alex Pilosov demostraron una nueva técnica que permite interceptar el tráfico de Internet a una escala global. Cualquiera con un router BGP podría interceptar el tráfico de cualquier gran nodo y devolverlo (modificado o no) de forma transparente.

Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los tres casos se trata de un problema de diseño de un protocolo creado muchos años antes. En los tres casos parece haber una demostración empírica de un problema conocido pero cuyas posibilidades o puesta en práctica se suponía imposible hasta la fecha... Incluso el hecho de revelar detalles en una conferencia posterior con la que se crea una gran expectación. Como le ocurrió a Kamisky, es posible que todos los detalles del problema salgan a la luz antes de lo esperado si algún investigador decide juntar todas las pistas ofrecidas por Outpost 24. Es más que posible que aunque los detalles fueran conocidos desde hace 3 años, haya sido precisamente lo ocurrido con el fallo DNS y con BGP lo que haya animado a los investigadores a darle publicidad precisamente ahora. Kaminsky demostró que se puede realizar una actualización masiva y coordinada entre todos los grandes fabricantes y mantener en secreto los detalles de un grave problema (siempre que no se divulgue su existencia).

Nos encontramos posiblemente también ante una nueva era en la Red en la que, a través de estos graves errores puestos sobre la mesa, estamos cuestionando su sostenibilidad tal y como la conocemos. Usamos protocolos diseñados, cuando menos, hace 20 y 30 años. Los ingenieros estaban mucho más sorprendidos por el hecho de que la Red simplemente funcionase que preocupados por la seguridad. Hacer que un trozo concreto de información digital concreta llegase de un punto a otro del planeta era algo demasiado fantástico como para complicarlo previniendo si alguien la iba a podía modificar, alterar u obtener de forma ilegítima. Posteriormente, sobre estos débiles pilares, se ha construido algo muchísimo más complejo y unido millones de personas y dispositivos con muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido parcheando sobre la marcha un monstruo gigante con pies de barro que, a la vista de estos tres recientes acontecimientos (y de otras preocupaciones de largo recorrido, como el malware ganando la batalla a los antivirus), necesita una clara revisión y puesta a punto.

Más info en http://insecure.org/stf/tcp-dos-attack-explained.html

El británico Gary Mckinnon, primer ciudadano extraditado por delitos informáticos - Está acusado de robar archivos y dañar sistemas protegidos en 2001 y 2002 - El Tribunal de Luxemburgo deniega su última apelación.

No ha habido piedad con Gary McKinnon, el hacker del Pentágono, para evitar su extradición a Estados Unidos. "Los ordenadores militares no se tocan" parece ser el mensaje que el Reino Unido y la UE quieren dar a sus ciudadanos. McKinnon está acusado del "mayor ataque informático militar de todos los tiempos".

A estas horas McKinnon hace las maletas, si no está viajando a EE UU, donde le juzgarán por acceder a ordenadores del servicio secreto, el ejército y la NASA, robar archivos, dañar sistemas protegidos, causar interferencias en equipos de navegacion marítima y dejar inoperativa la red militar de Washington, causando unos daños de 700.000 dólares. Ni los tribunales ni el Gobierno británicos han atendido las apelaciones de McKinnon para evitar su extradición. El 28 de agosto, agotaba su última baza cuando el Tribunal de Derechos Humanos de Estrasburgo denegaba también la petición y lo convertía en el primer hacker extraditado a EE UU.

continua...

Red Hat acaba de confirmar que varios de sus servidores resultaron comprometidos por un atacante la semana pasada. El intruso logró firmar varios paquetes de OpenSSH para diversas versiones de Red Hat Entreprise Linux. Los paquetes afectados ya han sido sustituidos [1], pero Red Hat provee a sus usuarios de un script [2] para permitirles comprobar si disponen de una versión comprometida. La empresa sin embargo insiste en que quienes actualizan sus sistemas vía Red Hat Network no tienen en ningún caso de qué preocuparse.

Esas máquinas son las culpables de los millones de correos basura y el malware que se distribuye a diario. La Argentina ocupa el puesto 13 en cuanto a computadoras bajo el control de ciberdelincuentes.

Según un informe sobre la situación del spam realizado por Commtouch y PandaLabs, durante el segundo trimestre del año se detectó una media de diez millones de computadoras zombies (máquinas infectadas por “bots” y controladas remotamente por el ciberdelincuente) enviando spam y correos electrónicos con malware cada día.

Durante el segundo trimestre de 2008, Turquía se ha convertido en el país con mayor número de computadoras zombies del mundo (un 11% del total), seguido de cerca por Brasil (8,4%) y Rusia (7,4%). Los Estados Unidos, que en el primer trimestre contaban con un 5% del total de zombies, han caído hasta la novena plaza, representando sólo el 4,3% del total.

La Argentina, en tanto, se ubica en la posición 13, por detrás de España y Chile.

Este gran número de “zombies” continúa siendo el principal causante de la avalancha de spam vivida por usuarios y empresas. Entre abril y junio el 74% del correo recibido en los buzones de correo era spam.

“Esto no supone sólo una molestia para los usuarios, que tienen que eliminar todo estos correos, sino que, en el caso de las empresas, puede suponer además una importante pérdida de productividad y consumo de recursos, es decir, pérdida de dinero”, explica Luis Corrons, director técnico de PandaLabs, que añade: “Nucleus Research, una consultora independiente, cifró en u$s712 el costo por cada empleado que tras recibir un email lo eliminaba inmediatamente, sin ni siquiera abrirlo”.

source

Un nuevo estudio de la Universidad de Michigan ha encontrado que mas del 75% de los websites bancarios no precisamente lo mejor en cuanto a seguridad se refiere. El estudio estuvo compuesto de 214 sitios web de instituciones financieras, y se enfoco en fallas de diseño y practicas de seguridad impropias. Ninguna de estas fallas representa cuestiones de seguridad catastróficas, sin embargo muchas ayudan a un acceso mucho más fácil a las contraseñas y los nombres de usuarios, que son una llamada atractiva para cualquier atacante.

Las fallas estudiadas comprendían lo siguiente:

Sistema de ingreso inseguro

Casi la mitad de los bancos examinados tenían un sistema de ingreso “seguro” en paginas web inseguras, las cuales no utilizaban SSL como protocolo de comunicaciones. El no usar SSL, dice el estudio, permite la posibilidad de un ataque que pueda facilitar la intercepcion de los detalles de ingreso a las cuentas del usuario si este ingresaba mediante conexiones inalambricas (man in the middle). El estudio también dice que la mayoría de los bancos aseguran las partes internas del sitio, pero muchos dejan la pagina de login sin seguridad.

Colocando información de contacto en paginas inseguras

La mayor falla de muchas entidades (55% fallaron según la prueba). Un ataque similar al anterior podría simplemente dar al atacante la posibilidad de cambiar los números telefónicos listados en la pagina de información de contactos, redirigiendo a los clientes a un call center listo para capturar su nombre de usuario y contraseña.

Redirigiendo a las afueras del banco sin una advertencia

Cuando los usuarios son dirigidos a servicios terceros (como por ejemplo, sitios de pago de recibos), el banco no les advierte de dicho cambio. Un usuario puede no saber si lo que esta observando es confiable o no.

Usar números de seguridad social o direcciones e-mail como ID de usuario

Este tipo de cosas son fáciles de adivinar o de encontrar, especialmente las direcciones de correo. Los bancos deberían permitir a los usuarios crear un nombre de usuario personalizado, así como tener una política de passwords débiles, pero el 28% de los bancos que se revisaron no lo tenían.

Enviando al correo información clasificada de manera insegura

Cosas como reset de contraseñas y estados financieros deberían ser enviados de manera segura: Passwords, por ejemplo, jamas deberían ser enviados como texto plano, sin embargo el 31% de los bancos fallaron dicha prueba.

El estudio completo (10 paginas, PDF) pueden ser leidos. Los sitios especificos que fallaron varias pruebas no son revelados. Tambien hay que notar que el estudio fue realizado en el 2006 (los resultados son publicados hasta ahora) asi que muchas de las cosas pueden haber cambiado desde el analisis original.

source

La Argentina es uno de los mayores productores de esos correos.

Basta con abrir la casilla de correo de un usuario de cualquier red social para que el problema se haga notorio: los spammers aprovechan los sistemas de avisos de Facebook, LinkedIn, Sonico o Hi5 para enviar su correo publicitario de una manera que no resulta ilegal pero sí sumamente tediosa. La Argentina está entre los primeros 12 países productores de estos mails según un informe de consultores de Sophos. También está en auge el phishing dirigido.

Sophos ha publicado su último informe sobre las tendencias de spam. La investigación ha revelado un preocupante incremento de correos electrónicos que viajan a través de Internet entre Abril – Junio de 2008, y cómo los spammers están ahora utilizando Facebook y teléfonos móviles para extender sus mensajes.

En junio de 2008, el estudio demuestra que el nivel de correos basura se ha elevado hasta un 96,5% en mensajes corporativos, frente al 92,3% registrado durante el primer trimestre del año, lo que supone que las empresas se enfrentan al hecho de que tan sólo 1 correo de 28, es legítimo.

Nota Completa

Parece broma, pero no: una cafetera que se vende en EE.UU. con conexión a Internet dispone de una vulnerabilidad que puede ser aprovechada por un atacante remoto para modificar los parámetros con los que uno se hace el café. De hecho, este fallo de seguridad puede ser aprovechado para ganar acceso a máquinas Windows XP que estén conectadas a la cafetera. Parece que ya no hay nada que se les resista a los hackers.

Un mensaje en la lista de correo de SecurityFocus ha servido para demostrar que hasta las cafeteras son susceptibles de sufrir ataques de hackers en la actualidad. La Jura Impressa F90 es una cafetera de alta gama (1.800 dólares) que dispone de conexión a Internet y que permite configurarla y personalizarla, y si hay algún problema los ingenieros de soporte de la empresa pueden arreglarla a distancia.

Sin embargo, esas mismas prestaciones también posibilitan el ataque de hackers, y según los datos de ese mensaje de las listas de correo de SF un acceso remoto podría por ejemplo cambiar el tipo de café que uno se hace, cambiar la cantidad de agua que se pone en cada vaso, o incluso romperla estableciendo parámetros de servicio que no son compatibles.

De hecho, el atacante remoto podría incluso acceder a máquinas XP que estén funcionando a nivel de usuario conectadas a la cafetera gracias a la vulnerabilidad, así que el problema es mucho más serio de lo que podría pensarse.

El pasado martes 13 de mayo de 2008, se anunció un grave fallo de seguridad que afectaba a todas las claves criptográficas RSA y DSA generadas en sistemas Linux Debian mediante OpenSSL en los últimos dos años. Esto significa que están afectados todos los certificados y claves públicas de multitud de servicios, como por ejemplo, OpenSSH, OpenSSL, telnetd-SSL, ftpd-SSL, OpenVPN y muchos más. El fallo consiste básicamente en que las claves generadas son predecibles, debido a una falta de aleatoriedad que limita el espacio de las claves al número de proceso (32.768 combinaciones).

En román paladino, lo que quiere decir todo esto, entre otras cosas, es que pueden verse comprometidas (atacadas, vulneradas) muchísimas máquinas en Internet, ya que los atacantes podrían acceder como root (superusuario del sistema) o como cualquier otro usuario a todas aquellas máquinas que permitan acceso remoto al sistema mediante claves o certificados (sin usar contraseñas), siempre que esas claves hayan sido generadas en un sistema Linux Debian mediante openSSL (que, con seguridad, son muchísimas). Asimismo, pueden falsearse firmas electrónicas y pueden descifrarse ficheros encriptados que hayan utilizado este tipo de claves comprometidas.

No es mi intención tratar en este post los detalles técnicos de dicho fallo, pero si el lector desea profundizar en ello, puede hacerlo en los siguientes enlaces: aviso en la página de debian, full-disclosure: seclist.org y anuncio en metasploit. En cualquier caso, después de analizar la información publicada, es indudable que estamos ante uno de los fallos de seguridad más graves de los útimos años. El objetivo de este post es hacer una reflexión sobre las políticas de full-disclosure o divulgación completa y detallada de las vulnerabilidades.

Para los que no lo sepan, una política full-disclosure es aquella en la que, una vez detectado o identificado un problema de seguridad, se deben facilitar y revelar todos los hechos y detalles del problema. De hecho, lo que suelen hacer normalmente quienes detectan el problema, es avisar al responsable del software para que solucione el problema y después facilitar toda la información a "todo el mundo". La razón de esta política es obvia; si no se publica "a bombo y platillo" un fallo de seguridad, los afectados no sabrán que lo padecen y no tomarán las medidas oportunas para solucionarlo. Estarán en manos del desarrollador del software, que podrá tardar más o menos en corrgirlo, si es que lo hace. La contrapartida de esta polítca es que, al publicar todos los detalles, mucha gente podía utilizar dicho conocimiento del problema para aprovecharse de aquellos sistemas vulnerables que aún no han sido corregidos. Difícil dilema pero, sin duda, yo me inclino por defender la política de full-disclosure.

Pensemos en el caso del grave fallo de seguridad de OpenSSL. Si no se hubiese aplicado una politica de full-disclosure, en el mejor de los casos, los desarrolladores del software habrían publicado una actualización, normalmente con escasa o nula información del fallo corregido. Al no ser conscientes los usuarios de la existencia del fallo, no serían conscientes del peligro al que se exponen y por tanto, no podrían calibrar la importancia y el impacto del problema en sus sistemas. Del otro modo, es posible que tarden mucho más de lo debido en corregir el problema, pero aunque lo hagan, no serían conscientes de que todas las claves generadas en los últimos dos años son vulnerables, así que, en general, seguirían padeciendo enormes riesgos de seguridad.

Podría establecerse un paralelismo con lo que ocurre en un accidente químico, biológico o nuclear. Si inmediatamente después del accidente se facilita toda la información posible, mucha gente tomará las decisiones correctas y minimizará los riesgos, otros entrarán en pánico y cometerán errores. Lo importante es que la mayoría se enterará a tiempo del problema y dependerá de si mismo para salvarse, mientras que si no se facilita la información, por mucho que se intente solucionar el problema, mucha gente padecerá las consecuencias ya que desconocen lo que pueden y lo que no pueden hacer.

En definitiva, una política de full-disclosure, aunque tiene puntos negativos (daños colaterales), generalmente es mejor que una política de no-información ya que ésta última deja expuesto a todo el mundo al problema que tarde o temprano será descubierto y explotado por alguien contra una mayoría desconocedora del asunto y no preparada para afrontarlo.

Via Slashdot me entero de un simpático exploit para Windows Vista que deja sorprendido por su simpleza. Se trata de conseguir acceso de administrador a un sistema Windows sin necesidad de conocer el nombre o la clave de ningún usuario.

Para conseguirlo, parece ser que simplemente hay que renombrar la aplicación 'cmd.exe', la consola de Windows de toda la vida, a 'Utilman.exe', el Utility Manager (previo guardado de seguridad del 'Utilman.exe', claro ). Todo ello puede hacerse de manera totalmente trivial desde la consola de cualquier distribución live de Linux o ¿por qué no? de FreeBSD. Aquí está el vídeo con la demostración.

Así como la Red sigue esparciendo bits por los rincones del planeta, acrecentando su volumen de tráfico y los puntos de acceso, también mantiene su exposición constante a la curiosidad de quienes intentan explorar más allá de lo permitido, en gran medida, buscando algún rédito económico.

En este sentido, la compañía Websense dio a conocer su predicción anual con las amenazas a la seguridad informática más destacadas que pudieran sucederse en 2008.

Estos pronósticos se basan en la información que reúne la firma a partir del chequeo semanal de más de 600 millones de sitios y 350 millones de correos electrónicos, en busca de códigos maliciosos y amenazas.

Aquí, las predicciones para 2008:

1. Asunto: Juegos Olímpicos La trascendencia de un enveto de tal envergadura será motivo ideal para explotar ataques maliciosos, intentos de fraude y robo de identidades, a partir de los sitios, mensajes y noticias vinculadas a la competencia que se llevarán a cabo en Beijing.

2. Invasión de spam en los espacios de participación Aumentará el uso de mensajes indeseados en foros, blogs y sitios de noticias con comentarios, para poder conectar al usuario con páginas maliciosos. Esta técnica además permite a los sitios malignos obtener un mejor posicionamiento en los buscadores, incrementando su posibilidad de acceso.

3. Uso de links débiles para lanzar ataques Con la Web 2.0, la combinación de los sistemas de publicidad online, las aplicaciones híbridas (mash-ups) y las redes sociales, incrementó la aparición de links débiles , o sitios y contenidos vulnerables. Estos enlaces se explotarán para tener como objetivo a las mayorías de Internet.

4. Los sitios comprometidos superarán a los sitios maliciosos La atacantes continuarán utilizando los sitios vulnerables como puntos de lanzamiento de sus acciones maliciosas, en lugar de generar sitios para tales fines.

5. Ataques en plataforma web Los hackers tomarán ventaja del incremento en la adquisición de Macs e iPhones como nuevos medios para atacar a través de aplicativos web. Con esto, podrán detectar los sistema operativo en uso y envíar un código específico para ese sistema, en lugar de enviar ataques sólo basados en exploradores de Internet.

6. Alerta para la Web 2.0 Los sitios donde las personas comparten intereses y perfiles ofrecerán a los hackers víctimas potenciales dentro de cierto grupo de edad, economía o gente con hábitos de compra en particular.

7. Conversión de JavaScript para evadir antivirus Serán más comunes las técnicas de evasión que usan policonversión de JavaScript (polyscript), que significa que una página Web con un código único recibe un sitio malicioso por cada visita del usuario. Al cambiar el código en cada visita, las tecnologías de escaneo de seguridad basadas en reconocimiento de firmas tiene dificultades en detectar páginas como maliciosas, y los hackers pueden extender el tiempo de evasión de detección de sus sitios.

8. Los métodos de encubrimiento serán más sofisticados Aumentará la cripto-virología y la sofisticación en el encubrimiento de información, entre otros el uso de estenografía, introducción de datos en protocolos de normas y potencialmente en archivos de comunicación. Los conjuntos de herramientas disponibles en la Web serán usados para introducir información de propiedad y robar datos.

9. La justicia contra los hackers A través de la cooperación global de autoridades, en 2008 podría ocurrir el mayor arresto y acción contra grupos de hackers.

10. Combinación e incremento de prácticas fraudulentas con uso de VoIP ( vishing ) y spam de voz El vishing o la práctica de uso de ingeniería social y voz sobre IP (VoIP) para obtener información personal o financiera y el spam de voz se combinarán y aumentarán. Los usuarios recibirán llamadas automatizadas en líneas LAN con spam para engañarlos para que proporcionen su información a través del teléfono.

Ya estamos casi a medio año, creen que algunas de estas predicciones se han cumplido? Las demás… secederan? Saludos

Durante los años 90, los virus computacionales básicamente te borraban archivos o ejecutaban alguna travesura en tu computadora. Los que vivían en el submundo de las redes, (éramos) eran jóvenes que se dedicaban a escribir esos códigos, con el simple propósito de perpetuar la cultura de la época.

Pero hoy, escribir virus y gusanos para Internet, es un negocio muy lucrativo. El reciente reporte entregado por Symantec, revela además la economía del mercado negro en Internet. En otras palabras, la disponibilidad de la información privada de personas, y el valor por contacto asignado.

Por ejemplo, la información más cotizada son las cuentas de banco, que se transan entre US$10 a US$1.000 cada uno, luego las tarjetas de crédito, que, a mi sorpresa, sólo se transan entre US$0,40 a US$20. En tercer lugar, la identidad de una persona (nombre, seguro social o rut, etc…) se piratea entre US$1 a US$15. El submundo también tiene en su menú cuentas de eBay que se transan entre US$1 a US$8.

Ahora, si quieres desarrollar tu propio fraude en línea, puedes contratar el servicio del más sucio villano, quién por US$25 y una mensualidad de entre US$10 a US$200 te dejará listo y andando para que defraudes a tus amigos como todo un estafador Nigeriano profesional.

FUENTE

El Proyecto Honeynet se complace en anunciar que esta disponible para su descarga la version beta 1.3 de Honeywall, el mensaje a continuacion...

---

The Honeywall CDROM is a bootable CD that installs onto a hard drive and comes with all the tools and functionality for you to implement data capture, control, and analysis.

For more information, see: https://projects.honeynet.org/honeywall/ wiki or contact honeywall@public.honeynet.org

Tengo varias dias en Costa Rica y los chicos del Honeynet Costa Rica me dieron un trip al Volcan Irazú cerca de San Jose (Muchas gracias!). Los paisajes aca son bellisimos, todo verdee, el clima esta excelenteeeee!! El volcan Irazu esta enormee, me dijeron que la ultima actividad fue en los años 60 en donde nadie esperaba hace estuviera activo. Hasta la fecha ya no ha tenido actividad, y es uno de los lugares turisticos en donde sin duda alguna se tiene que visitar aca en CR.

A solo unos dias de que empiece el Workshop Anual del Proyecto Honeynet, ya nos encontramos en Costa Rica algunos miembros de Honeynet Proyect. Entre ellos estamos Einar Oftedal y Tor Inge Skaar de Norwegian Honeynet Project, Andre Gregio de Brazilian Honeynet Project Chapter, Jose Bogarin y Alonso Bogarin de Costa Rica Honeynet Project, Lance Spitzner que es el fundador del Proyecto Honeynet, y un servidor de Mexican Honeynet Project Chapter. Mañana martes y miercoles llegaran los demas 25 miembros de los demas Chapters, desafortunadamente 2 miembros cancelaron por cuestiones de trabajo. Será interesante estar 32 geeks de todo el mundo reunidosss

A solo unos cuantos dias de ir al Workshop Anual del Proyecto Honeynet que se llevará a cabo en San José, Costa Rica del 4 al 9 de Diciembre. Somos 34 asistentes los ya confirmados para el evento, de los cuales solo conozco a 2.. jajaja sera una muy buena oportunidad de charlar, intercambiar, escuchar y aprender de los demas miembros de la Alianza de Investigacion Honeynet.

Habra charlas chidas y podremos compartir las investigaciones que tenemos con los demas miembros, y mejor lo mas bonito es que todos vamos en el mismo canal: Honeypots & Honeynets. esperen noticias..!!

Pura Vidaaa!!!

Recientemente en la revista Sputnik (no. 92) colabore con el artículo sobre Antivirus, con comentarios de J. Chiquete, V. Amozurrutia de Checkpoint y un servidor. Realmente el articulo esta muy bueno jejeje a los que les queda cerca un Sanborns comprenla. El pdf del articulo esta AQUI.

Tercera Edición de una conferencia independiente de seguridad informática y novedades tecnológicas que se celebra en Buenos Aires, Argentina, con un enfoque eminentemente técnico y práctico. Kernel hacking, OpenBSD remote exploits, contenido práctico en cada charla, wardriving, Hacker vs. sysadmin contest, wargames, un aftercon y una fiesta final serán algunos de los condimentos que tendrá este evento único en Latinoamérica.

Una conferencia de nivel internacional con speakers extranjeros y locales, invitados de Latinoamérica y el mundo. Con excelencia en la elección de temas a tratar, debates y participación directa del publico. Las actividades post-conferencia dan un valor agregado a este evento, invitando a todos sus asistentes a interactuar en un plano personal en desafíos de Lockpicking, o a recorrer la ciudad haciendo wardriving en una kombi.

Este es el perfil de una conferencia de seguridad informática diferente, en donde lo comercial queda a un lado y finalmente la tecnología, la información y la diversión son los protagonistas.

Para mas información pueden visitar la página del evento: http://www.ekoparty.com.ar

Un dia antes del Congreso de Telemática la Plataforma SELF se lanzo en paralelo con Europa, India y America Látina, aqui en Ciudad Victoria le correspondio a Bea Busaniche de Fundacion ViaLibre hacer la presentación. El proyecto SELF (Science, Education and Learning in Freedom), financiado por la Unión Europea, es un proyecto internacional que planea proveer una plataforma para, colaborativamente, compartir y crear materiales libres para educación y capacitación en Software Libre y Estándares Abiertos.

SELF es

1. un repositorio con materiales de educación y capacitación libres sobre Software Libre y estándares abiertos 2. un ambiente de creación colaborativa para nuevos materiales

La presentación se transmitio por videoconferencia via Internet 2 a varias universidades.

Como toda la tarde la tendriamos libre, decidi llevar a Bea a unas cascadas que estan cerca de Victoria llamadas "Juan Capitan"... una de las maravillas naturales (sarcasmo!) de Cd Victoria. Fuimos Carlos, Bea, Jessica y Yo... lastima que no llevamos los trajes de baño, porque el agua estaba de lujo! El dia estaba especial... solecito, cervezas, buena platica.

El Jueves 6, inicio el 1er Congreso Internacional de Telemática en donde a las 3 pm iniciaban las charlas sobre Software Libre, Bea comenzo con su charla Software Libre y Estandares Abiertos, abordo el tema sobre la estandarización de OOXML como norma ISO asi tambien como las 4 libertades del Soiftware Libre, estuvo muuuy interesante la charla

A mi me toco a las 4.30 pm por parte del Proyecto Honeynet México, hubo varios detallitos como la imagen del proyector que no se alcanzaba a ver bien las topologías de Honeynets... pero bueno. Salio todo muy bien, tuve muy buenos comentarios de la charla y es lo que importa.

Muchas gracias a los organizadores del Congreso por la invitación!!

En dias pasados se llevo a cabo el DEFCON 15 en la ciudad del pecado... Las Vegas, NV. Como todos ya saben, el DEFCON es la Convención Masiva de Hackers mas grande del mundo, en donde algunos de los asistentes o la mayoria se han infiltrado ilegalmente en 'muchas' redes y tienen en su haber una que otra orden de aprension, es por eso que se prohibe dentro del evento filmar a personas sin permiso explicito ó grabar multitudes.

Una reportera encubierta de NBC asistio al evento con camaras ocultas con el fin de poder grabar hackers diciendo los crimes que han realizado, para obtener la noticia. Pero... los organizadores se dieron cuenta y dieron el anuncio a un "nuevo" juego, donde se trataba de descubrir al reportero encubierto. Les dejo el video, lo unico que le quedo a la chava fue huir del lugar... lmao!

Fuente: Znet

Hace unas cuantas semanas salio al aire la 3er Revista Bimestral Ciencia UAT, en donde al Proyecto Honeynet Mexico nos dieron la oportunidad de poder publicar un artículo llamado "Aplicaciones Prácticas de los Honeypots en la Protección y Monitoreo de Redes de Información". Me di la tarea de escanear el artículo para que lo vean como quedo.

Pueden descargar el pdf dando click en la imagen. (11 mb)

Tambien el artículo esta acá.

MPack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a quien los visite eligiendo el fallo adecuado según el software que use la víctima. En un servidor centralizado monitoriza a los infectados y elabora estadísticas de éxito.

Via Securityfocus

La version 1.2 de Honeywall ha sido liberada, ahora basado en FC6!! enseguida les paso el correo de Earl.

''The Honeynet Project and Research Alliance are excited to announce the release of Honeywall 1.2. This new version addresses a variety of bugs and adds new features, including

o Based on Fedora Core 6 o Newer version of Snort including VRT Ruleset & automated ruleset updates o Additional options for controlling the level of detail of data captured. o Build environment was updated to make it easier to build an entire roo from SVN (coming soon)

You can learn more at

HW 1.2 Download http://www.honeynet.org/tools/cdrom

HW 1.2 Manual http://www.honeynet.org/tools/cdrom/roo/manual

Bug Reporting https://bugs.honeynet.org (CDROM-roo-1.2)"

Desde hace ya varias semanas el Proyecto Honeynet Mexico estamos colaborando con una firma de Antivirus con su headquarters en China y en forma de agradecimiento me enviaron una tablilla hecha de bamboo con una inscripcion china/ingles de las 36 Estrategias Chinas, escritas por Sun Tzu un militar chino del siglo VI. Estas estrategias hablan generalmente de como poder triunfar en un lucha sin combatir.

"Quien gana un combate es fuerte, quien gana antes de combatir, poderoso. La verdadera maestría es vencer sin combatir. Rendir al enemigo sin luchar es la cima de la perfección." Sun Tzu

Excelente artículo de Bruce Schneier... recomendable!

"La seguridad es una realidad y una sensación al mismo tiempo, y estas dos últimas no son lo mismo.

La realidad de la seguridad es algo matemático, basado en la probabilidad de diferentes tipos de riesgos y de la efectividad de sus contramedidas. Podemos calcular el grado de seguridad que tiene tu casa frente a un robo, basándonos en factores como el índice de criminalidad de la zona y tus costumbres a la hora de cerrar las puertas y ventanas de tu casa. Podemos calcular la probabilidad de que seas asesinado, en la calle por un extraño o en tu casa por un familiar. También podemos calcular la probabilidad de que seas la víctima de un robo de identidad. Dada una cantidad relevante de datos estadísticos de actos criminales no resulta complicado, las compañías de seguros lo hacen continuamente."

continua... Nota completa

Se ha encontrado una vulnerabilidad en Cisco IP Phone 7940 y 7960 que puede ser aprovechada por atacantes para provocar una denegación de servicio.

El fallo se debe a un error en el manejo de ciertos mensajes INVITE del protocolo SIP. Esto puede ser aprovechado para hacer que el dispositivo se reinicie si se envía un mensaje especialmente manipulado con el campo sipURI mal formado.

La vulnerabilidad se ha confirmado en el firmware POS3-07-4-00.

Se recomienda actualizar el firmware a la versión POS8-6-0 o posterior desde: http://www.cisco.com/pcgi-bin/tablebuild.pl/sip-ip-phone7960

Más información:

Cisco IP Phone 7940 and 7960 SIP "INVITE" Request Denial of Service Vulnerability http://www.frsirt.com/english/advisories/2007/1023

El IV Congreso Iberoamericano de Seguridad Informática CIBSI 2007 se celebrará del 26 al 28 noviembre del 2007 en la ciudad de Mar del Plata, Argentina, en esta ocasión organizado por la Universidad Nacional del Centro de la Provincia de Buenos Aires (Argentina) en conjunto con la Universidad Politécnica de Madrid (España).

El Congreso Iberoamericano de Seguridad Informática CIBSI es una iniciativa de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed, una comunidad virtual que aglutina a expertos de 180 universidades y más de 220 empresas de las Tecnologías de la Información, siendo uno de sus objetivos principales promover y desarrollar el área de la Seguridad Informática en Iberoamérica, creando para ello un espacio tecnológico que facilite el intercambio de conocimiento y la formación de redes de colaboración en el ámbito de la investigación.

El Congreso CIBSI 2007 será un marco de alto nivel tecnológico donde expertos y técnicos de más de una docena de países presentarán sus últimos avances de investigación en temas de tanta importancia y actualidad como son la seguridad y protección de redes, fortaleza de algoritmos y protocolos, nuevos avances y desafíos en técnicas acceso e identificación, gestión y auditoría de la seguridad corporativa, planes de contingencia, recuperación y continuidad de negocio, técnicas de hacking y forensia, infraestructuras de clave pública, protección de datos, legislación, negocio y comercio electrónico, por nombrar sólo algunos.

El Call For Papers está enfocado hacia el amplio espectro de la seguridad y protección de la información, en particular: Algoritmos y Protocolos Criptográficos, Arquitecturas y Servicios de Seguridad, Auditoría y Forensia Informática, Control de Acceso e Identidad, Fundamentos de la Seguridad, Implantación y Gestión de la Seguridad, Infraestructuras de Clave Pública, Legislación en Seguridad y Delitos, Negocio y Comercio Electrónico, Normativas y Estándares en Seguridad, Planes de Contingencia y Recuperación, Seguridad en Aplicaciones, Seguridad en Redes y en Sistemas, Técnicas y Sistemas de Autenticación, Vulnerabilidades y Criptoanálisis.

Las de fechas interés son: Límite para la recepción de trabajos, 31 de Julio de 2007. Notificación de aceptación de trabajos, 30 de Septiembre de 2007. Límite para envío de versiones finales, 20 de Octubre de 2007. Celebración de CIBSI 2007, 26, 27 y 28 de Noviembre de 2007.

Más información:

CIBSI 2007: 26 al 28 de noviembre de 2007, Mar del Plata, Argentina http://www.cibsi2007.org

En ITSecurity leo un excelente artículo acerca de 99 tips a seguir, para el buen uso del correo electrónico (seguridad y productividad)

(78) Regla número 1: La privacidad real no existe.

(88) No enviar nunca información privada y/o importante sin cifrar.

Artículo completo

Localización: Aeropuerto de MTY

Update: si, que en el aeropuerto de Mty no cuentan con ningun mecanismo de seguridad... y anduve de curioso un raro

Papers and presentations are now being accepted for PAKCON III, Pakistan's Underground Hacking Convention.

WHAT: PAKCON III Call for Papers.

WHEN: Starting Thursday, 13 September, 2006, and closing Saturday, 15 October, 2006.

WHO: If you want to speak at PAKCON, you know who you are.

HOW: If you think you have the galls to speak at PAKCON and have an interesting paper or a short, lightening talk to go along with, piece together the following instructions to express your desire to speak:

e-mail: PAKCON CfP cfp@pakcon.org

Submission ends: Saturday, 13 October, 2005.

Write an abstract, minimum 1-page long, of your paper and send it in. Also mention which type of talk are you going to present: Normal, or Lightening.

File-formats accepted: plain-text, pdf, .lyx, .dvi, doc, abw, html, rtf, sxw, sdw.

Yes! PAKCON is back with a bang. PAKCON is Pakistan's Underground Hacking Convention, happening annually for the past two years in a row. And this year, PAKCON will take place sometime in December, somewhere in Karachi.

Call for papers to be presented at PAKCON III is now officially open.

Requests to present papers at PAKCON have always been accepted liberally. However, certain topics have always been and will still be given preference over certain other topics. By being liberal, we plan to increase the number of speakers who will speak at PAKCON, all the while striving to maintain the quality of papers and talks presented.

For detailed information regarding speakers and accepted papers, point your browsers to PAKCON's official website http://www.pakcon.org. Updated announcements will be posted to newsgroups, security mailing lists and the web site.

Legendary hacker and author Kevin Mitnick has produced a whitepaper in which he details several scenarios in which social engineering exposed significant vulnerabilities that lead to corporate attacks.

People who have read Kevin's books and who like his style of writing will also enjoy the paper. What I find most valuable about this paper is that Mitnick remains neutral in his approach when he outlines his "Best Practices" approach to protection. He does a thorough analysis of various techniques and methodologies for mitigating risk and locking down endpoints, while allowing users enough flexibility to perform their jobs.

People can download the whitepaper in PDF form from HERE

I would recommend it a read for anyone security inclined even if you just download it and save it for a rainy day )

I hope this is of use or enjoyment to someone.

Note: i was victim of social engineering by Etosh in Chetumal Congress, ROFL! was funny... NEVER, NEVER render your presentation before the talk. [pic] lol!

El sistema de llave electrónica de Texas Instruments (presente en millones de vehículos de las marcas Ford, Toyota y Nissan) ha sido craqueado por un equipo de estudiantes de Johns Hopkins University.

El sistema de inmovilización electrónica de vehículos se basa en un chip de identificación por radio frecuencia (RFID) incorporado en la llave autorizada, y sin cuya presencia el coche no arranca. Sin embargo basta acercarse al propietario para extraer los datos de la llave, emplear menos de una hora de tiempo de computación, y tan sólo unos minutos para entrar, proporcionar al coche el código de la llave y ponerlo en marcha...

El sistema de llave electrónica producido por Texas Instruments está considerado como uno de los más seguros, y su chip está incorporado en unos 150 millones de llaves. Sin embargo, el grupo de estudiantes sólo tardó unos tres meses en craquearlo, e incluso contaron con la ayuda involuntaria de Texas Instruments, a la que compraron un kit lector a través de su propio sitio web. El sistema de ataque consistió principalmente en un sistema de prueba-error que se vio facilitado por la escasa longitud (40 bits) de la clave utilizada). Por otro lado -una vez más-, el sistema de cifrado utilizado por Texas Instruments es un sistema propietario, por lo que a la hora de sugerir soluciones, el equipo recomienda la sustitución del mismo por un algoritmo estándar (AES) con una longitud de clave adecuada (128 bits). Sin embargo, adoptar esta solución encarecería notablemente el coste de fabricación del producto, además del consumo eléctrico del dispositivo, por lo que se desconoce su viabilidad. De momento, Texas Instruments no ha discutido que su código haya sido craqueado, si bien dice que se necesita mucho más que eso para robar un coche.

El ataque puede suscitar además dudas sobre la vulnerabilidad de otros muchos esquemas RFID actualmente en uso o bien en fase de desarrollo.

• Fuente: The New York Times (requiere suscripción gratuita)
• Detalles del ataque: Analysis of the Texas Instruments DST RFID

La telefonía por Internet es el futuro. Aporta comodidad, productividad e importantes nuevas funcionalidades, pero todos estos beneficios tienen un precio: es más vulnerable que la telefonía tradicional.

Por esa razón la telefonía por Internet necesita medidas adicionales de seguridad, algunas de las cuales se tratan -muy someramente- en este trabajo.

Lógicamente un documento de siete páginas (y una de ellas dedicada a referencias) no permite profundizar demasiado, pero sí hacerse una idea sobre cuáles son los riesgos y las correspondientes defensas a implementar...

• A Brief Overview of VoIP Security [pdf]

Un artículo en Network World concedía recientemente tal honor (bueno, en realidad no la invención en sí, pero sí la difusión del concepto firewall en la industria) a Shlomo Kramer y a sus colegas de CheckPoint.

Sin embargo otros discrepan, y atribuyen el mérito principal a otra empresa (DEC) y otras personas (Marcus Ranum y Fred Avolio)...

Para quienes se interesen por estas cosas, Cisco tiene su propia versión de esta historia.

El dia 5 de Marzo fué liberada la primer versión de HLBR un IPS (Intrusion Prevention System). Una caracteristica es que funciona en modo bridge y pues no necesita asignarle una dirección IP; y asi es transparente a los intrusos. Filtra paquetes directamente en la capa 2 del modelo OSI. El monitoreo del tráfico se realiza atravéz de acl configurables. El HLBR puede ser usado como puente a honeypots y honeynets.

El lector de huellas dactilares de Microsoft que acaba de ser hackeado por Mikko Kiviharju, un investigador que trabaja para el ejército finlandés.

Dado que la huella dactilar no es cifrada en ningún momento, Kiviharju ha demostrado en Black Hat Europe 2006 que puede ser interceptada por un sniffer y utilizarse para acceder al ordenador y/o al sitio web presuntamente protegido.