Autor de SpyEye extraditado a EE.UU.
mayo 5, 2013 § Dejar un comentario
Hamza Bendelladj, también conocido como “Bx1″, se enfrenta a 23 cargos en Atlanta, Georgia. El argelino vinculado a la creación del troyano SpyEye, diseñado para robar información personal y financiera, fue extraditado de Tailandia a Estados Unidos para enfrentar cargos sobre robo de cuentas y dinero a clientes de 200 bancos e instituciones financieras, por un monto de U$S100 millones en los últimos cinco años. Hay una segunda persona acusada pero que no ha sido identificada.
Según un informe publicado el año pasado por las empresas de seguridad de McAfee, alrededor de una docena de grupos de delincuencia han estado utilizando variantes de Zeus y SpyEye, para automatizar el proceso de robo de dinero de cuentas bancarias. Los fondos robados son transferidos a tarjetas de débito de prepago o a cuentas controladas por muleros, lo que permite a las mulas para retirar el dinero y enviarlo a los delincuentes.
De acuerdo con documentos de la corte, entre 2009 y 2011, Bendelladj y otros desarrollaron, comercializaron y vendieron varias versiones y componentes del troyano SpyEze. Bendelladj anunciaba el malware en los foros de cibercrimen y uno de los C&C se encontraba en servidores de Atlanta.
Si es declarado culpable, Bendelladj enfrenta hasta 30 años de prisión por conspiración para cometer fraude bancario, y hasta cinco años por conspiración para cometer fraude informático. El hombre también puede recibir una multa de hasta U$S14 millones.
Cristian de la Redacción de Segu-Info
Backup doméstico seguro con Linux, cifrado y ZFS
mayo 5, 2013 § Dejar un comentario
El objetivo de este artículo es describir uno de mis sistemas de backup (tengo varios). Físicamente reside a varios cientos de kilómetros de mi residencia habitual, así que debe ser algo que no necesite una atención constante, ni una presencia física. En este artículo vamos a ver cómo montar un sistema de backup doméstico con las siguientes características:
- Funciona sobre Linux virtualizado. La máquina anfitriona es un Windows 8. Se trata de un ordenador empleado de forma rutinaria por una persona ajena a mí. Por supuesto, se puede montar sobre un Linux nativo, claro. De hecho mi idea futura es que esa máquina corra Linux, y ejecute Windows 8 virtualizado, para disfrute de su propietario. Hice un primer intento de ir por esa vía, pero el Secure Boot de la máquina fue un problema y no pude dedicarle más tiempo.
- Usaremos ZFS así que dispondremos de redundancia, compresión al vuelo, verificación de datos extremo a extremo, snapshots, etc.
- Los discos duros empleados para el backup están cifrados. La clave de acceso no se almacena en ese ordenador.
- Uno de los discos duros se almacena en otro lugar.
- Los discos duros se van alternando, para “gastarlos” todos por igual.
- Si el disco duro actual empieza a dar errores, podemos conectar la réplica y recuperar la información.
Fuente: Blog de Jesus Cea
Asegurar tu red WiFi para que no te graben con tu webcam
mayo 4, 2013 § Dejar un comentario
Esta semana, con la noticia del pedófilo que espiaba a sus vecinos por la webcam se ha creado mucho ruido mediático en televisiones, radios y medios de comunicación. La noticia ha sido que se colaba en las redes WiFi de su vecino, tomaba el control del equipo de la víctima y les infectaba con un troyano para activar la webcam y grabarles en su casa, lo que a muchos les parecía de ciencia ficción. Esto es porque no están al día y no conocen casos como el del técnico de Mac que espiaba a sus clientes por la webcam, que los ladrones de tecnología caen en estas grabaciones y no saben que hasta a los espías les cazan de esta forma, así que quería escribir un poco sobre esto.
Defenderse contra la grabación en WebCam
Respecto al tema del software R.A.T. (Remote Administration Tool) que te graba con la webcam, ya es muy conocido, y las recomendaciones son cuidar de tu sistema operativo. En uno de los libros que más se han vendido de nuestra colección, Sergio de los Santos (@ssantosv) se pasa más de 250 páginas hablando de cómo obtener la Máxima Seguridad en Windows sin necesidad de utilizar un antimalware – el cual es archirecomendable para saber más de seguridad -, pero para resumir todo en una pequeña lista yo os propondría.
Contenido completo en fuente original Un Informático del Lado del Mal
AVATAR: un rootkit que promete grandes novedades y con precio de oferta
mayo 4, 2013 § Dejar un comentario
Aparece en el mercado (negro) un nuevo rootkit que según sus creadores “no es detectado por los antivirus ni por los famosos antirootkit GMER o RKU”.
En la carta de presentacion, los creadores aclaran que el rootkit no está a la venta, solo en alquiler y a un precio promocional de lanzamiento y aclaran que todavía no funciona correctamente en sistemas x64, sólo en los sistemas basados en i386.
El tamaño del ejecutable es de 120 Kb sin empaquetar y sus 327.416 líneas de codigo fueron escritas en C++ y ASM.
Tiene varias novedades para los “chicos malos”, por ejemplo trae un SDK para desarrollo llamado ASDK (Avatar Software Development Kit) y una biblioteca ARTL (Avatar Runtime Library) y una WinAPI, es decir, todo el paquete necesario para el desarrollador. El malware basa su supervivencia mediante el uso de exploits basados en Metasploit y 0-Days y no se guarda en disco sino que se carga directamente desde la memoria, lo que le permite saltear UAC y la lista blanca de software firmado de Windows.
Después de cargar correctamente el controlador del rootkit, Avatar ejecuta un algoritmo para infectar a los controladores del sistema con el fin de sobrevivir al reinicio del sistema. Con el fin de realizar su infección, Avatar elige al azar un driver y comprueba su nombre en una lista negra que varía para cada versión de Windows.
También en la presentacion en sociedad de AVATAR recuerdan los “viejos tiempos” donde uno podía mantener una botnet muchísimo tiempo sin ser descubierto y donde las botnets crecian rápidamente al igual que la monetizacion de las mismas. El negocio actual esta muy complicado y los tiempos son difíciles y, en muchos casos estan al borde del rojo financiero. Melancólicamente recuerdan el cierre de botnets de gran alcance como Waledac, Coreflood, Kelihos, Rustock y Conficker… por lo que proponen un metodo novedoso de C&C mediante conexiones cifradas con RSA de 1024 bits lo que hace más difícil la detección. Como novedad, para método de control AVATAR no utiliza los clasicos C&C sino que utiliza un híbrido entre un c&C y Grupos de Yahoo!.
Aclaran que el bajo precio es por la falta de soporte para x64 y por su debut en el mercado y que luego irán acomodando los precios para garantizar que sólo los “profesionales” tengan acceso.
La buena noticia para nosotros, los chicos buenos, es que los antivirus ya comienzan a analizarlo en profundidad y a detectarlo y pronto el todos los antivirus lo harán.
Adolfo de la Redaccion de Segu-Info (@adolfofioranell)
Microsoft culmina la migración de cuentas desde Hotmail
mayo 4, 2013 § Dejar un comentario
400 millones de usuarios ya utilizan el correo electrónico de la plataforma Outlook.com después de que se haya completado con éxito el traslado de más de 150 Petabytes de datos, tal y como asegura Microsoft.
La plataforma Outlook.com ya está plenamente operativa para los 300 millones de antiguos usuarios de Hotmail. Así lo ha anunciado Microsoft, asegurando que en total ya son 400 millones de cuentas gestionadas por el nuevo sistema.
El proceso de migración ha sido todo un reto para sus responsables, tal y como ha declarado Dick Craddock, uno de los máximos responsables del servicio Outlook.com. Todo comenzó el 19 de febrero, cuando dicha plataforma contaba con 60 millones de cuentas. “En ese momento Hotmail seguía siendo uno de los servicios de correo electrónico online más utilizados a nivel mundial. La magnitud del proceso no tiene precedentes en la historia de la informática moderna”.
Como parte de la migración de usuarios también se han transferido de una plataforma a otra la friolera de 150 Petabytes de información almacenada por ellos.
Aprovechando este anuncio, Microsoft ha incorporado nuevas funcionalidades en el servicio, como la opción de utilizar un nuevo interfaz (más cercano a Windows 8), mayor integración con SkyDrive o la posibilidad de enviar mensajes desde otras cuentas de forma transparente para los que reciben dichos correos.
Craddock ha explicado que, a partir de ahora, los usuarios podrán manejar de forma mucho más eficiente los ficheros que están almacenados en SkyDrive para incorporarlos a un correo electrónico.
Fuente: Silicon News
Google Glass se podría usar para espiar
mayo 3, 2013 § Dejar un comentario
Hasta ahora, sólo los desarrolladores y algunos pocos consumidores han tenido la oportunidad de probar el dispositivo, y entre ellos es consultor de tecnología Jay “Saurik” Freeman descubrió que se podría manipular para espiar al usuario y tener acceso físico al dispositivo.
De acuerdo con un post muy largo en la que explicó los detalles técnicos de cómo hacerlo, demostró como una serie de cosas conspiraron para hacer que el dispositivo sea vulnerable y “rooteable”. En resumen, una persona malintencionada puede poner el dispositivo en modo depuración mediante el panel de configuración y luego utilizar el acceso Android Debug Bridge (ADB) y un exploit para conseguir acceso como root.
“Una vez que el atacante tiene root en Glass, tiene control sobre una cámara y el micrófono que se adjunta a la cabeza para poder ver todos y oir todos los movimientos de la persona, intencional o furtivamente. También se puede grabar las contraseñas, PIN y otras cosas similares que el usuario escriba a mano”.
A raíz de la entrada, un ingeniero de Google comentó que intencionalmente dejan el dispositivo desbloqueado por lo que los probadores pueden “jugar” con él, y otro se sintió ofendido por la referencia de Freeman de “rootear” el dispositivo, señalando que “no es rooteo si dejan hacerlo a propósito”.
Para ser justos, esta versión de Glass no es seguramente la que va a terminar en producción y por lo que cualquier posible problema podría ser resuelto de antemano.
Fuente: Net Security
Robo de información militar a EE.UU.
mayo 3, 2013 § Dejar un comentario
QinetiQ, un contratista de defensa británica, sufrió una humillación cuando funcionarios de inteligencia confirmaron que China fue capaz de robarles documentos secretos e información tecnológica de Estados Unidos.
QinetiQ es una de las empresa de tecnología de defensa más importantes del mundo y la que proporciona satélites, aviones no tripulados y servicios de software para las Fuerzas Especiales de Estados Unidos, los cuales son desplegados en Afganistán y Oriente Medio.
Según la reconstrucción de Bloomberg, la fuga de información fue tan extensa que los atacantes externos terminaron casi trabajando dentro de la empresa a través de la instalación de software malicioso de manera permanente. En uno de los ataques, que tuvo lugar en 2009, se tomó control de al menos 151 máquinas en un período de 251 días y se robaron 20 gigabytes de datos, antes de ser bloqueado.
A medida que la Casa Blanca se mueve para hacer frente a China, los responsables políticos se enfrentan a la cuestión de cuánto daño ya se ha hecho. Se calcula que 1,3 millones de páginas de documentos, incluidos los que contienen información militar altamente sensible, fueron robados en el momento.
Al parecer hasta ahora se había dejado fuera de la investigación a otros contratistas del gobierno que estaban siendo atacados desde 2008. Se dice que a través de “incidentes aislados” se pudo llegar a comprometer al menos 13.000 contraseñas de servidores que se utilizaron para ayudar a los atacantes robar grandes cantidades de datos clasificados sobre ingeniería militar.
Los hackers fueron capaces de explotar fallos de seguridad no parcheados para infiltrarse en varias divisiones de la empresa, incluyendo Cyveillance, una unidad de ciberseguridad de la compañía. En 2010, HBGary, la empresa de seguridad atacadada en 2011 por Anonymous, fue contratada por QinetiQ junto a Terremark para investigar los ataques. HBGary identificó casi inmediatamente software malicioso en la mayoría de las computadoras de QinetiQ.
Cristian de la Redacción de Segu-Info
