Publican correos de #Cuevana que probarían el lucro del sitio

marzo 31, 2012 § Deja un comentario

En las últimas horas se ha hecho conocido un conjunto de (supuestos) correos (robados) que involucra al sitio argentino Cuevana y unos de sus creadores Tomas Escobar e intenta dejar en claro que el objetivo del sitio siempre fue comercial y se lucraba a través de campañas publicitarias en el sitio.

Si bien el archivo de 47 MB con todos los correos ya no se encuentra activo, el resumen publicado de Pastebin deja en claro la intención de pulverizar las palabras Tomas Escobar, al tacharlo de mentiroso, por siempre haber afirmado que Cuevana no manejaba publicidad desde 2009, que no tenía objetivos comerciales y que incluso daba pérdidas.

Por otro lado esos correos también involucran a otras empresas que pautaban la publicidad con el sitio y que pedían confidencialidad para manejar dichas campañas. Es curioso como, por dinero, las mismas empresas que se rasgan las vestiduras hablando de piratería sean las mismas que mantienen a los sitios sospechados de delinquir.

Consultado por mí, Tomas Escobar no ha expresado ninguna opinión.

Actualización: una persona anónima nos ha enviado una captura de pantalla de la casilla de correo mencionada y la misma ya circula por Twitter.

Actualización: como decía al comenzar el artículo y recordaba alguien los comentarios, la filtración de los correos es un robo porque en Argentina, el acceso indebido a un correo electrónico se encuentra regulado en el primer párrafo del Artículo 153 de nuestro Código Penal: Será reprimido con prisión de 15 (quince) días a 6 (seis) meses el que abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido”. Más allá de lo curioso de la situación y de lo que representa, conviene recordarlo.

Cristian de la Redacción de Segu-Info

La contraseña de un iPhone o un dispositivo Android se puede crackear en apenas dos minutos

marzo 31, 2012 § Deja un comentario

La seguridad del iPhone y dispositivos Android ha sido puesta de nueva en entredicho al conocerse que el acceso a un teléfono bloqueado por contraseña no entraña demasiadas complicaciones si se posee el software adecuado.

La mayoría de iPhones y terminales gobernados por Android tienen configurada una contraseña de cuatro dígitos con el fin de evitar que usuarios no autorizados puedan hacerse con su control, pero desde la revista Forbes han demostrado que los expertos en seguridad de agencias como la CIA o Europol pueden traspasar sin problemas ese elemento de bloqueo.

Según parece, podrían acceder a esos smartphones en apenas dos minutos con el empleo de XRY, un programa especial de la empresa sueca Micro Systemation que localiza agujeros de seguridad en el software de los teléfonos iPhone y Android.

Hablamos de una herramienta que está presente en algunos organismos policiales y de seguridad en el ejército de Estados Unidos y se emplea para acceder a los dispositivos de criminales sospechosos.

Para dificultar la labor de los hackers y ladrones si un teléfono acaba en las manos equivocadas, se recomienda a los usuarios que fijen contraseñas con cifras superiores a los cuatro dígitos.

Fuente: The Inquirer

Sexting: Riegos y consejos para evitarlos

marzo 31, 2012 § Deja un comentario

En su mayoría, estas imágenes son producidas por el propio remitente, Suelen ser muy íntimas, con grabación de sonidos, fotos o videos en actitudes sexuales, desnudos o semidesnudos, que tiene como destino una pareja sexual o amorosa; también las envían un  amigo  como un simple juego. Las principales causas para producir y/o transmitir sexting son: noviazgo, coqueteo, lucimiento, impulsividad, presión de amigos, venganza, intimidación, chantaje. Las personas han usado siempre los medios de comunicación para enviar contenidos sexuales (eróticos o pornográficos), pero con las NTIC (Nuevas tecnologías de la información y la comunicación.) surge un grave peligro: la difusión masiva e incontrolada de esas imágenes.

Según una investigación publicada por UNICEF en el 2011, los jóvenes se sienten más cómodos compartiendo información íntima sexualizada en la Red que fuera de ella. La ruptura con una pareja es una causa de sexting sin autorización y en otros casos se realiza por el interés en experimentar o por llamar la atención.

La investigación realizada por Luz María Velázquez Reyes, del Instituto de la Educación del Estado de México, arrojó las siguientes cifras:

  • 80% habían visto imágenes de personas semidesnudas o desnudas en las redes sociales.
  • 20% se tomó fotografías o videos sexualmente sugestivos.
  • 20% recibió invitaciones para retratarse en poses eróticas o pornográficas.
  • El 45% compartió material erótico recibido por teléfonos celulares.
  • 10% lo ha publicado en sus perfiles o lo ha enviado a sus contactos.
  • 60% recibió imágenes o videos con estas características.
  • En el 25% de los casos, los jóvenes los comparten con su pareja, y el 10 por ciento, con personas cercanas.
  • El 55% de los encuestados conoce a alguien que guarda fotografías o videos de novias.

Una encuesta efectuada a más de 10.000 estudiantes mexicanos entre 12 y 16 años mostró que casi el 8% de estos jóvenes reconocen haber enviado imágenes suyas desnudos o semidesnudos a conocidos o extraños. El 36,7% de los encuestados dijo conocer a alguien que ha enviado o reenviado imágenes de ese tipo, y el 10,2% reconoció haber enviado mensajes de e-mail o de SMS con insinuaciones sexuales (sexting textual). El estudio de Connect Safely determina que los destinatarios más frecuentes son de las imágines son: alguien que les gusta (21%); el novio o novia (20%); el ex novio/a (19%); amigos en general (18%); su mejor amigo/a (14%); desconocidos (11%); compañeros de clase (4%).


Autoridades de diversos países expresaron preocupación por la difusión de este fenómeno que está provocando nuevas tipologías del delito vinculadas con pornografía infantil, como el intercambio de imágenes por dinero. El 25% de las imágenes de pornografía infantil que se detectan en EUA, son originadas mediante el sexting.

Practicar el sexting tiene riesgos en el ámbito psicológico, legal y en la integridad física de quienes participan. Dado que la gran mayoría de los practicantes son menores de edad, los padres y los docentes deben buscar caminos de prevención. Los principales riesgos son:

  • Exposición a pederastas, acosadores o chantajistas: peligro de que las imágenes sean usadas para una extorsión por parte de los destinatarios o terceras personas que tengan acceso a las mismas.
  • Responsabilidad penal: la imagen de cada persona está protegida legalmente, quienes las difundan podrán ser acusados de pornografía infantil y derivar consecuencias legales. En el que caso que las difundan menores de edad, sus padres podrán ser involucrados legalmente.
  • Riesgos psicológicos: la persona cuya imagen sea distribuida puede ser sujeto de humillación pública y acoso y sufrir graves trastornos por ello, como depresión, ansiedad, pérdida de autoestima, aislamiento, incluso llegar al suicidio.
  • Difusión ilícita de las imágenes y/o uso de las mismas en webs ilegales de pornografía y prostitución: estas webs recogen fotos de ex parejas, generalmente desnudas, que se generan en el sexting o en situaciones privadas de pareja.

Consejos para jóvenes (y adultos)

  • Piensa antes de enviar. Lo que publicas online o sale de tu propio celular es  irrecuperable, escapa para siempre de tu control y puede llegar a cualquiera en cualquier momento. Hoy deseas mostrar algo, que mañana tal vez quieras ocultar. El destinatario de tu imagen puede no ser tu amigo mañana. Cada vez hay más webs que se dedican a recopilar y difundir estas imágenes: tu desnudo podría acabar en uno de ellos.
  • Desnudez de menores de edad, delito de pornografía infantil. La pornografía infantil es un delito cuando se crea, se posee o se distribuye, protagonizada por menores de 18 años. Si te llegan este tipo de imágenes, bórralas de inmediato. Si crees que su difusión está dañando a alguien, ponlo en conocimiento de una persona adulta.
  • La imagen es un dato personal cuyo uso está protegido por la Ley. La imagen de alguien no se puede utilizar sin el consentimiento de la persona implicada. Si se difunde una imagen sin consentimiento y tú la posees, puede comprometerte.
  • Recibir o tomar una imagen de una persona no te da derecho a distribuirla. El hecho de contar con una imagen (fotografía o vídeo) en tu celular no significa que tengas derecho a hacer con ella lo que quieras. Son cosas diferentes. Incluso si te dieron permiso para tomar la imagen, no significa que la puedas enviar a terceros.
  • La Ley actúa siempre, también para los menores, con Internet y los móviles. Aunque todos lo hagan, seas menor de esas o creas que no pueden identificarte, eres responsable. Las Leyes te protegen a ti en todos los ámbitos, pero también a los demás y te pedirán cuentas si no respetas las reglas.
  • Evita participar con tu acción, tu risa o tu omisión. Cuando el sexting deriva en humillación y acoso colectivo, la víctima sufre un daño enorme, un sufrimiento extremo. Si lo promueves y lo jaleas, eres responsable. Si te callas, tu silencio ayuda a quien acosa y hiere a la víctima.

Consejos para padres y docentes

  • No niegues el problema y toma medidas. Reconoce que la edad, las hormonas y la tecnología son una combinación de cuidado. Habla con tus hijos/alumnos sobre las implicaciones del sexting para protegerlos. 
  • Informa a tus hijos/alumnos sobre el sexting. Habla sobre sus actividades en Internet y con su celular, para que comprendan que las fotos y mensajes que envían pueden ser usadas por otras personas y los riesgos de que esto sea visto por profesores, vecinos, novios/as, jefes, vecinos y también por pederastas; menciónales el daño que pueden causar si reenvían fotos de sus compañeros o de otras personas. Mantén un diálogo abierto y comenta sobre nuevos casos que conozcas para que ellos lo hablen también con sus compañeros.
  • Intenta saber con quién se comunica. Respetando su intimidad, busca tener un diálogo franco para saber con qué personas están en contacto por Internet y por teléfono celular. Busca conocer a sus amistades y a sus familias.
  • Hazle recomendaciones sobre su presencia en la Red. Habla con ellos sobre lo que ponen como público y lo que mantienen como privado e informalos sobre los problemas de seguridad que surgen en este tipo de comunidades virtuales.
  • Uso eficiente de los medios de comunicación celular e Internet. Habla con ellos sobre el uso del Internet y los celulares. Debes dejarles claro qué es lo que admites que hagan en la Red y con sus móviles.
  • Que cuenten contigo. …Y si algo falla, alguien los molesta o su información acaba donde no debe, que sepan que les ayudarás, y que no teman contarte cualquier problema. Ten cuidado de que no se sientan avergonzados por ti ni humillados.
  • Infórmate sobre riesgos asociados. El ciberacoso, el ciberbullying y el grooming son problemas  asociados o derivados del sexting. Infórmate sobre ellos. Y aconseja a tus hijos que estén al tanto sobre las repercusiones legales de sus actos.

Fuente: Analítica

Fuga de información de tarjetas de Visa y Mastercard

marzo 31, 2012 § Deja un comentario

Visa y MasterCard están investigando si un fallo de seguridad en una de las principales empresas que procesa las transacciones, ha expuesto información confidencial de sus clientes y funcionarios del banco. Este evento puso de relieve una vulnerabilidad importante que podría afectar a millones de titulares de tarjetas de crédito.

La brecha se habría producido en Global Payments, una compañía de Atlanta, que ayuda al procesamiento en las transacciones de Visa y MasterCard. Un ejecutivo estimó que pueden verse comprometidas desde un millones hasta tres millones de cuentas. Eso no quiere decir que todas esas tarjetas fueran utilizadas de manera fraudulenta, pero la información de esas tarjetas de crédito y sus titulares fue expuesta.

Global Payments ha proporcionado muy poca información sobre las infracciones, sobre las cuentas robadas y sobre cualquier otro detalle que podría indicar que clientes podrían haber sido afectados. Cuando se identifique a las víctimas, se les notificará y reemplazarán sus tarjetas de crédito, si es necesario.

Algunos funcionarios dijeron que la violación ocurrió en algún momento entre finales de enero y finales de febrero e incluyó lo que se conoce como pista 1 y pista 2 de datos, lo que incluye detalles como nombres, números de tarjetas, códigos de validación y, en algunos casos, las direcciones de los clientes.

Esta es la segunda brecha de seguridad en Global Payments en los últimos 12 meses, de acuerdo a dos personas informadas sobre las investigaciones. Otro ataque similar fue divulgado por Heartland Payment Systems en 2009, una brecha que se inició en 2007 y dio lugar a la exposición de los datos de 130 millones de tarjetas de crédito. Heartland estima que el incumplimiento le costó U$S 140 millones en multas y honorarios legales.

El posible incumplimiento se informó en el Blog de seguridad de Krebs on Security mientras que un portavoz de Global Payments se negó a comentar sobre otros ataques.

Fuente: Krebs Security, New York Times y WSJ

España: CNIL envía un cuestionario a Google pidiendo respuestas "detalladas" por su nueva política de privacidad

marzo 30, 2012 § Deja un comentario

La autoridad francesa de protección de datos CNIL, en representación de el resto de autoridades europeas en este sector, han remitido un cuestionario a Google en el que solicitan respuestas “detalladas” respecto a su nueva política de privacidad.

En total, el documento cuenta con 69 preguntas divididas en diez apartados que analizan desde la finalidad de la recogida de datos personales por parte de Google hasta la legitimidad de la conexión de datos entre sus distintos servicios.

Así, entre las preguntas más destacadas del cuestionario se incluye la petición de “ejemplos de información” que Google obtiene y utiliza para “velar por la protección” de sus usuarios. Asimismo, requiere una enumeración de datos personales que se usen para “mejorar los servicios”.

En esta misma línea, cuestiona al buscador respecto a una frase de su política de privacidad en la que asegura que “es posible que no se eliminen los datos almacenados en sistemas de seguridad cuando el usuario solicite que se eliminen dichos datos”. “¿Esto quiere o no decir que los datos se eliminarán de todos los sistemas de seguridad una vez transcurrido un periodo de tiempo adicional?”, preguntan las autoridades de protección de datos.

Por otro lado, reiteran la necesidad de conocer cómo influirá la nueva política de privacidad en servicios como los ‘posts’ de Google+, las imágenes de Picasa, los vídeos de Youtube o los documentos de Google Docs.


Además, piden a Google que indique los datos personales que utilizan los servicios de publicidad, requiriendo al buscador a aclarar si la combinación de estos datos a través del uso de diferentes servicios sólo se producirá entre “usuarios identificados”.

“¿Puede confirmar que no se combinarán los datos recogidos en Búsqueda, Maps, Youtube y Noticias de los usuarios no autentificados?”, recoge una pregunta del cuestionario. Además, incide en si la desactivación del historial de Youtube impide que google pueda usar los datos en otros servicios.

El cuestionario también solicita al buscador el número de visitantes únicos que han accedido a la web específica para detallar la nueva política de privacidad, así como la confirmación de que todos los usuarios pueden eliminar su perfil de Google.

Google, “Encantado de cooperar”
Protección de Datos apunta en una carta introductoria al cuestionario que Google ya se ha mostrado “encantado de resolver las dudas y cooperar”, por lo que piden respuestas “específicas y detalladas” a cada pregunta.
“Agradecemos su oferta de reunirse con un grupo de trabajo para abordar las preocupaciones de las autoridades de protección de datos. Sin embargo, consideramos que una vista sería algo prematuro en esta fase del proceso y necesitamos recibir respuestas por escrito a nuestro cuestionario antes de reconsiderar esta petición”, señala.

Las autoridades de protección de datos piden recibir las respuestas antes del 5 de abril de este año y se comprometen a no publicarlas “salvo que otorgue su autorización expresa para hacerlo”.

Fuente: Europa Press

Routerpwn para explotar routers caseros

marzo 30, 2012 § Deja un comentario

Routerpwn.com es una aplicación web que facilita la explotación de vulnerabilidades en ruteadores caseros. Es una compilación de exploits locales y remotos en formato listo para correr y programado en Javascript y HTML optimizado para dispositivos móviles.

Un solo archivo para poder descargarlo y acceder sin conexión a internet y está disponible para Android, iPhone/iTouch y BlackBerry.
Puedes cambiar la IP a la cual se atacará dando click en el link que dice [IP] a un lado del exploit.

Para ver más información del exploit como el advisory completo y el autor puedes dar click en el link [+]

Fuente: Routerpwn

Errores de (los administradores) cPanel

marzo 30, 2012 § Deja un comentario

Cualquier página Web presente en Internet tiene detrás un servidor (físico o virtual) y un hosting que le da servicio, conectividad y visibilidad a todo el mundo. Existen múltiples empresas dedicadas a ofrecer sus servicios de alojamiento Web (hosting) donde poder colgar una página Web y posibilitar así que cualquier persona desde el rincón más escondido de Internet pueda visitarla. Al mismo tiempo, todas estas empresas de Web Hosting facilitan la labor de publicar dicha página y administrarla mediante herramientas de gestión basadas en tecnología Web con un interfaz de usuario sencillo, y a la vez potente, que permite cambiar y editar el contenido, las imágenes, el diseño, utilizar CMS (WordPress, Joomla, Drupal, etc.) como, por ejemplo, cPanel, froxlor o Parallels Plesk Panel.

Algunas de estas empresas de hosting Web son muy conocidas como 1and1, Network Solutions, Bluehost, etc. Aparte de las diferentes ofertas y el precio de cada una de ellas, todas disponen de herramientas de administración y paneles de control para la facilitar al usuario las tareas de gestión de la Web. De entre todas esas herramientas, la que está más extendida es cPanel. CPanel apareció por primera vez allá por el año 1996 y, poco a poco, por su potencia, flexibilidad y facilidad de uso se ha ido asentando y actualmente es el programa de gestión Web más utilizado. cPanel proporciona al usuario control absoluto sobre la página Web en función de lo que el administrador de la empresa de hosting determine.

Tal y como se puede observar en la página Web de cPanel, entre sus principales características destaca:

  • Facilidad para administrar páginas Web con el administrador de archivos de cPanel.
  • Función cPanel Web para cortar y pegar ficheros desde el equipo local del usuario al servidor de la página Web.
  • Métodos tradicionales de transferencia de archivos tales como FTP, SFTP, FTPS, etc.
  • Facilidad en la creación de cuentas de correo electrónico y FTP adicionales.
  • Gran nivel de estadísticas acerca del uso y la actividad de la página.
  • Posibilidad de hacer copias de seguridad y restaurar backups de la página desde el mismo panel de control.
  • Facilidad para instalar aplicaciones comunes como osCommerce, phpBB, foros, CMS, etc.

Habitualmente, los esfuerzos se centran en hacer que las páginas Web sean lo más seguras posible, controlando los contenidos dinámicos (ASP, PHP, etc.) y la respuesta del servidor ante ataques del tipo Inyección SQL (SQLi), Cross Site Scripting (XSS) y, en general, cualquier otro problema que pueda comprometer la seguridad de la plataforma. Se da por hecho que la herramienta que proporciona la empresa de hosting es segura y cumple con los mínimos necesarios y recomendables para poder operar por Internet con ciertas garantías. Una simple búsqueda por Google demuestra que esto no es del todo cierto:

Captura de pantalla con los resultados de la búsqueda en Google de “hascgi: y

Especialmente interesante es el siguiente listado de cuentas de dominios de Indonesia, por ejemplo, obtenidas con la búsqueda anterior (se trata de un documento en formato Word de Microsoft):

http://www.Google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&ved=0CGYQFjAE&url=http%3A%2F%2Fxa.yimg.com%2Fkq%2Fgroups%2F23114193%2F2086818954%2Fname%2F3%2BIA%2B12.doc&ei=cedyT87EEMOcOsympMAO&usg=AFQjCNG_UTWHyRjZ900irwUHbwF6F00rKA&sig2=tpLPGfaPzVHj_MCPy-qxUA

La potencia del buscador combinado con la caché de Google y acotando dicha búsqueda por países y dominios concretos genera resultados espectaculares y si lo combinas con el buscador Shodan (http://www.shodanhq.com/) buscando “cpanel” se abren un montón de posibilidades como, por ejemplo:

intext:© cPanel, Inc. + site:.es -> para encontrar cPanels de páginas Web españolas, luego hay que añadir el puerto 2082 a la URL y ya se tiene el panel de inicio de sesión de cPanel (http://dominio:2082)

Si se utiliza cPanel para crear un nuevo plan de hosting cuando un usuario se ha dado de alta y quiere hospedar su página Web, los pasos a seguir implican definir el nombre del nuevo paquete, el espacio en megabytes asignado a este nuevo plan, el ancho de banda para el tráfico asignado a dicho plan, etc. Para crear la nueva cuenta de usuario asociada a este plan hay que indicar el nombre de dominio que se quiere alojar, un nombre de usuario, una contraseña, una dirección de correo electrónico de contacto y la cantidad de subdominios, listas de correo y bases de datos, que el usuario podrá crear y gestionar. Al finalizar el proceso, cPanel proporciona un mensaje similar al siguiente:

+===================================+
| New Account Info |
+===================================+
| Domain: hacktimes.com
| Ip: 192.168.0.25 (n)
| HasCgi: y
| UserName: hacktime
| PassWord: contraseña_segura
| CpanelMod: rvlightgreen
| HomeRoot: /home
| Quota: 25 Meg
| NameServer1: ns2.hacktimes.com
| NameServer2: ns1.hacktimes.com
| NameServer3:
| NameServer4:
| Contact Email: hacktimes@hacktimes
+===================================+

wwwacct creation finished
Account Creation Complete!!!

Una vez que se dispone de cuentas de acceso de cPanel, es necesario encontrar el panel de autenticación que suele estar en la misma dirección que el nombre de dominio de la página pero en los puertos TCP 2082 o 2083 si es con SSL.

Como la mayoría de veces, gracias a un descuido de los administradores de sistemas, esta información se ha indexado y Google proporciona resultados sorprendentes donde se obtienen numerosas cuentas de usuario de diferentes empresas de hosting.

Fuente: Hack Times

¿Dónde estoy?

Actualmente estás viendo los archivos para marzo, 2012 en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 116 seguidores