Mexico: SeDeNa reconoce ataques de hackers a sus bases de datos

diciembre 31, 2009 § Deja un comentario

La Secretaría de la Defensa Nacional reconoció que sus bancos de datos —que contienen algunos de los principales secretos de Estado del país— han sido atacados por hackers y admitió haber adquirido sólo hasta hace poco la tecnología suficiente para blindar adecuadamente sus servidores.
Un informe interno de la Defensa Nacional, obtenido por este diario, revela que ni las redes informáticas de las Fuerzas Armadas han sido inmunes a los ataques cibernéticos reportados por distintas dependencias del gobierno federal a lo largo de los últimos años.

“La Secretaría de la Defensa Nacional cuenta con medios de procesamiento informático que manejan información sensible o crítica para la seguridad del país (pero) actualmente no se cuenta con los mecanismos de seguridad necesarios para la detección y detención de ataques, fallas o vulnerabilidades, así como mecanismos para el seguimiento y análisis de estos incidentes”, se advirtió al alto mando castrense desde mayo de 2008.
El reporte, elaborado por la Dirección General de Informática de la Defensa Nacional, da cuenta cómo, ante las deficiencias detectadas en los sistemas de protección de datos del Ejército y la Fuerza Aérea, se recomendó emprender un programa multimillonario de inversión, con miras a disminuir las vulnerabilidades de algunas de las computadoras más secretas del país.

Así, fue necesario invertir poco más de 26 millones de pesos en la adquisición de un “sistema de protección de información”, equipo empleado para blindar las redes de la Defensa Nacional, que hasta mediados de 2008 estuvieron protegidas por programas de menor eficiencia.
La inversión inició en mayo del año pasado y tras 18 meses de trabajo terminó apenas este diciembre con el entrenamiento de una unidad especialmente dedicada a rastrear a piratas cibernéticos que intenten acceder a información restringida de las Fuerzas Armadas.
En ese sentido, el reporte da cuenta de que a un costo de un millón 800 mil pesos, una empresa privada entrenó a elementos militares en seguridad informática, particularmente para “la administración del programa de detección de intrusos”.

En su edición de ayer, MILENIO dio a conocer
que dependencias como las secretarías de Gobernación y Seguridad Pública, además de la Procuraduría General de la República, admitieron haber sido víctimas de ataques de hackers a lo largo de 2009.
Varios de sus equipos, añadieron las dependencias, han sido infectados con virus informáticos diseñados para extraer datos.

Contenido completo en Milenio

España entre las más afectadas por la infección de equipos

diciembre 30, 2009 § Deja un comentario

Microsoft ha publicado un nuevo Security Intelligence Report, en el que se indica que las infecciones de gusanos en las empresas aumentaron casi un 100% respecto a los seis meses anteriores.

En términos generales el falso software de seguridad, conocido en inglés como “rogue security software” o “scareware” sigue constituyendo la principal amenaza, aunque el número de usuarios afectados se redujo un 20%. Los troyanos de la familia Zlob, una gran amenaza hace dos años, se han reducido de manera drástica “gracias al exhaustivo trabajo de Microsoft para limpiar los ordenadores de los clientes”, puede leerse en el informe de la compañía, que también reconoce la agilidad de los propios clientes a la hora de actualizar el software.

Diez años después de que Melissa apareciera y definiera el envío masivo por email de gusanos como una clase de amenazas maliciosas, las infecciones por gusanos han resurgido en la primera mitad del 2009 para convertirse en la segunda amenaza más permanente para las empresas, afirman el Security Intelligence Report, donde se recoge que las dos familias de gusanos detectadas más relevantes han sido Conficker y Taterf, cutyos destinatarios son los juegos de rol online.

En cuanto a países, el informe de Microsoft revela que España está entre las siete regiones del mundo más afectadas por la infección de equipos debido a amenazas de seguridad.

Autor: Jairo
Fuente: Blog Antivirus

Herramientas para test de penetración redes Wi-Fi.

diciembre 30, 2009 § Deja un comentario

Se trata de una distribución Linux, un servicio de cloud computing yuna herramienta; muy útiles para realizar un test de penetración enredes Wi-Fi.

Una distribución muy interesante es Slitaz Aircrack-ng, aunqueexiste distribuciones para estés fines más completas en herramientas,muy pocas soportan tanto hardware diferente como esta distribución.Pero no solo su compatibilidad es lo que hace de ella una buenadistribución, la inclusión de Aircrack-ng 1.0 y que solo ocupa 54,7 MBle hacen ganar enteros.

Más información y descarga de Slitaz Aircrack-ng:
http://www.aircrack-ng.org/doku.php?id=slitaz

WPA cracking, un servicio de cloud computing al que enviando unacaptura de trafico PCAP el nombre del ESSID de la red, utiliza sus 400procesadores y un diccionario de 136 millones de combinaciones paradescifrar la claves WPA en aproximadamente 20 minutos, por el precio de35 dólares con una opción de usar solo la mitad de procesadores por 17dólares.

Más información de WPA cracking:
http://www.wpacracker.com/

InSSIDer es una herramienta de descubrimiento y medición depotencia de señal de redes Wi-Fi de la talla de NetStumbler pero concompatibilidad para sistemas 64-bit. Además incluye soporte para GPScon capacidad de exportar los datos a Google Earth.

Más información y descarga de InSSIDer.
http://www.metageek.net/products/inssider

Autor: Alvaro Paz
Fuente: Guru de la Informática

Crónica de seguridad en el blog de S21sec 2009

diciembre 30, 2009 § Deja un comentario

Retomando una iniciativa comenzada en fin de año de 2008 me gustaría repasar con vosotros aquellas entradas del blog que más interés me han despertado durante 2009, mes a mes.

  • Mayo: Publicamos una entrada en base a una noticia del Wall Street Journal en la que al parecer espías chinos y rusos habían logrado acceder a la red eléctrica estadounidense. El Team Cymru dió una completa cobertura de estos hechos en un informe en el que se muestran unos focos afectados por escaneos de puertos normalmente utilizados por sistemas SCADA. Esto quiere decir que no hay que bajar la guardia y empezar a utilizar soluciones de seguridad de forma integral al despliegue y operación de infraestructuras críticas. A nivel estatal se esta intentando materializar la iniciativa del CNPIC, que de momento no es más que un concepto etéreo que pretende trasladar al ámbito español iniciativas como las de Estados Unidos. Además, el día 18 el blog de S21sec cumple dos años de vida, y el núcleo de las sondas de nuestro producto WAWY es liberado bajo licencia GPL.
  • Julio: El gobierno chino intenta afianzar su posición a la hora de controlar qué ven sus ciudadanos mediante el uso obligatorio -viene de serie en los equipos- de Green Dam Youth Escort. Teóricamente el 1 de julio es la fecha tope para su implantación generalizada en equipos que se pongan a la venta a partir de entonces. Aunque disfrazado de filtro de contenidos para contenido no apto para menores, el hecho de que dicho software sea controlado por el gobierno chino levanta serias sospechas de que pueda ser usado como un arma de censura. Finalmente el 14 de agosto el ministro de industria y tecnologías de la información informa de que deja de ser obligatorio distribuir el filtro en equipos para uso doméstico o de oficina, pero que lo será para escuelas, cibercafés y otros usos públicos. Por otra parte, viendo la escalada de interés que hay en el Cloud Computing, se hace un análisis de las diferencias entre los diferentes tipos de despliegue desde el punto de vista de la seguridad. S21sec se encuentra atenta a este nuevo paradigma computacional con el fin de detectar nuevos riesgos y colaborar en su mitigado, ya que todavía hay muchas cosas por definir y afianzar.
  • Octubre: Este mes cabe destacar la ampliación de la capacidad de cómputo del supercomputador Cray XT5, también llamado Kraken, posicionandose en el primer puesto de supercomputadores de uso científico. En realidad es una excusa para debatir sobre la capacidad que tendría una botnet si ésta se usara para usos similares. Y claro, gana la botnet. Desde el SOC de S21sec se detecta una oleada de ataques con SPAM dirigido a empresas e instituciones que despierta un poco de alarma al estar muy bien confeccionados. Eso sí, resultan ser un ensamblado primitivo con un enlace HTML incrustado en el correo a un binario -sin explotar vulnerabilidades-, aunque destaca el segmento de “clientes” al que va dirigido. Por último Windows 7 sale al mercado con algún retraso que otro, poniéndose en el punto de mira de muchos analistas de seguridad que buscan comprobar si Microsoft realmente se ha esforzado en mejorar su seguridad.
  • Noviembre: Destacar la entrada en la que se muestra que españa se encuentra en una posición muy alta en cuanto al nivel de infección de máquinas, ocupando el quinto puesto detrás de EEUU, China, Brasil y Reino Unido. A nivel de envío de SPAM España se queda en la séptima posición según un informe de Microsoft elaborado en estas fechas, y a nivel de phishing y código malicioso España ocupa el séptimo puesto. Queda claro que Estados Unidos ocupa el vergonzoso primer puesto, pero lo realmente preocupante es que España se encuentra en un puesto muy alto. Vigilancia Digital estuvo presente en el Primer Taller en Minería de Opinión y Análisis de Sentimiento en donde se habló de un área de conocimiento extremadamente técnica y compleja, pero necesaria para poder hacer que las máquinas “asimilen” el lenguaje natural de los humanos para sacar en base a ello información de valor y responder ante ello. Como es lógico, de momento esta especialización se explota en entornos universitarios, pero resulta sumamente prometedora.
  • Diciembre: Google se decide a sacar un nuevo servicio con unos DNS y esto provoca ríos de bits al respecto. Nosotros también hemos dado nuestra visión, dejando claro que ha de existir una balanza entre las funcionalidades, el coste, la seguridad y la privacidad. De momento Google se permite dar un mayor peso a las tres primeras respecto a la cuarta, pero 2010 promete ser un año interesante en el que quizá los cibernautas tengan algo que decir. Es en este mes cuando S21sec pone en marcha un laboratorio de seguridad en tecnologías SCADA con unos objetivos muy concretos: probar tecnologías propias y de terceros orientadas a añadir una capa de seguridad a los entornos SCADA actuales y futuros.

Como el año pasado, por limitaciones de espacio y por evitar aburrir a los lectores 😉 me he dejado muchas entradas interesantes por poner, por lo que os insto a hacer un repaso y sugerir otras, o incluso noticias relacionadas con la seguridad digital que no se hayan reflejado en el blog y que creáis que merezca la pena mencionar en una crónica formal de 2009.

Autor: Álvaro Ramón
Fuente: Blog S21sec

Descifrando el algoritmo de cifrado de voz A5/1

diciembre 30, 2009 § Deja un comentario

El domingo pasado el ingeniero Karsten Nohl durante su presentación en el Chaos Communication Congress (CCC) en Berlín, comentó que había descifrado y publicado el código que se usa para cifrar la mayor parte de las llamadas de teléfonos móviles y supondría una debilidad en la seguridad en las comunicaciones inalámbricas de todo el mundo.

Hasta la fecha ya se conocíandiversos ataques que permitían romper este cifrado. En 1999 sedetectaron los primeros ataques que permitían descifrar el algoritmo A5y escuchar la comunicación interceptando la clave de sesión (Kc) de 64bits.

Durante una presentaciónen el CCC 2007 se explicó cómo realizar ataques sobre GSM utilizando unprograma llamado GNU Radio y un hardware especializado construido consemiconductores FPGA. Este método tenía ciertas limitaciones ya quesólo podía ser utilizado contra objetivos identificados que seencontraran en un radio relativamente cerca de la ubicación delatacante.

Un año más tarde, durante la Black Hat 2008, David Hulton and Steve Miller presentaronun método de ataque pasivo (no necesitaba inyectar paquetes de datos,como en un ataque activo), que capturaba la señal entre el terminalmóvil y la centralita del operador. Y de forma remota, aprovechando losavances de la computación paralela, obtenía unas listas con lasposibles claves de cifrado.

La semana pasada Karsten Nohl publicó su proyecto A5/1 Cracking,que es una re-implementación del trabajo del 2008 que no fue liberado.Su planteamiento difiere ligeramente en que utilizan hardware comúnpara generar las tablas, como NVIDIA y tarjetas gráficas ATI concapacidad GPGPU para construir una infraestructura distribuida denodos. Cada nodo proporciona la capacidad de cómputo necesaria para lageneración y el almacenamiento en disco de una parte de las rainbowtables. Este verano lanzó un proyectode código abierto para la generación de estas rainbow tables. Todo estoestá disponible en Internet, prefirió no colgarlo en una página web portemor a que aunque este proyecto ha sido realizado con fines académicospudieran emprender acciones legales.

El algoritmo A5/1, es unalgoritmo de cifrado de voz de clave de 64 bits que permite cifrar ydescifrar las tramas entre el terminal y el operador haciendo uso de laclave de sesión (Kc). Una evolución es el algoritmo A5/3, implementadoen hardware en el terminal. Puede utilizarse con GPRS, en HSCSD y enEDGE y está basado en Kasumi para 3G que asegura la confidencialidad eintegridad, y clave de 128 bits.

Pero A5/3 no es suficiente,teóricamente está roto. Las mismas claves (RAND) son usadas en A5/1 yen A5/3. Y con un ataque semi-activo, como comenta Nohl en su presentación,interceptando una comunicación cifrada y pidiéndole a través de unaestación base falsa que reutilice la clave, si damos con dos RANDiguales tendremos dos claves idénticas.

Ya va siendo hora de que laoperadoras y empresas de telefonía móvil se pongan las pilas paraproteger la privacidad de las llamadas móviles.

[+] Presentación del proyecto
[+] Web oficial del proyecto

Autor: Laura García
Fuente: Security By Default

Top 15: ataques más frecuentes

diciembre 30, 2009 § Deja un comentario

A principios de este año Verizon Business dio a conocer su tan esperado informe anual 2009 Data Breach Investigations Report. Ahora, la compañía amplia su investigación lanzando 2009 Supplemental Data Breach Report, que revela los 15 ataques más frecuentes contra las organizaciones y la forma en la que se desarrollan.

El informe identifica, clasifica y esboza los ataques más comunes. Para cada tipo de ataque, el informe proporciona escenarios reales, señales de alertas, cómo se ha orquestado el ataque, en qué activos se centraron los atacantes, qué industrias son las más afectadas y cuáles son las contramedidas más eficaces.

Además clasifica e identifica un Top 15 de ataques de seguridad por infracciones cometidas y registros comprometidos.

  1. Keyloggers y spyware (19%)
  2. Puerta trasera, comandos de control (18%)
  3. SQL Injection (18%)
  4. Violación de privilegios/acceso del sistema (17%)
  5. Acceso no autorizado a través de credenciales por defecto (16%)
  6. Violación de las políticas de uso (12%)
  7. Acceso no autorizado a través de listas de control de acceso (ACL) mal configuradas (10%)
  8. Sniffers (9%)
  9. Acceso no autorizado a través de credenciales robadas (8%)
  10. Ingeniería social (8%)
  11. Authentication bypass (6%)
  12. Robo físico de activos (6%)
  13. Ataques por fuerza bruta (4%)
  14. RAM scraper (4%)
  15. Phishing (4%)

No podemos detectarlo todo, no podemos prevenirlo todo, pero siempre nos irá mejor si nos preocupamos en tener un buen conjunto de indicadores y controles que nos ayuden a mitigar los riesgos.

¿Se preocupan las organizaciones en mantener un conjunto de indicadores y controles adecuados? ¿Y las redes sociales y la industria 2.0? de las que hemos podido ver como sus registros han sido comprometidos durante este año de manera desmesurada.


Fuente: Security by Default

Facebook: falla de seguridad en FQL permite acceder a información privada

diciembre 30, 2009 § Deja un comentario

Habría una falla de seguridad en la privacidad de los datos que configuran los usuarios de Facebook. Según informa Slavco en su blog, usando el FQL (Facebook Query Language) es posible acceder a datos de usuarios que sólo comparten con sus amigos, sin ser sus amigos. Y eso con usuarios estándar de Facebook y sin necesidad de aplicaciones instaladas.

En una nota describe muy claramente un caso de ejemplo de como personas que no son amigos, pueden obtener mediante FQL información que uno no comparte con ellos.

Luego dice:

Wow esta es una enorme falla de seguridad que nos lleva a esta conclusión: No tengo privacidad de ninguno de los desarrolladores de Facebook(*) que usen FQL!!!
Ellos son capaces de crear sentencias FQL que le proveerán mi información de Facebook si se las arreglan para encontrar/crear el camino descripto en la imagen de arriba. Entonces comprendo que todos los amigos de mis amigos que entiendan FQL pueden ver mis datos protegidos…

Slavco dice que está planteando la falla de seguridad en FQL a la gente de Facebook.

(*) Cualquier usuario de Facebook puede desarrollar con FQL consultas.

Raúl de la Redacción de Segu-info

¿Dónde estoy?

Actualmente estás viendo los archivos para diciembre, 2009 en Seguridad Informática.