>Phishing Ministerio Publico Federal (Brasil). Intimación y troyano

enero 31, 2011 § Deja un comentario

>Nos han reportado sobre la llegada de correos phishing que tienen como argumento una (falsa) intimación judicial por compras fraudulentas en una cadena de tiendas muy conocida en Brasil (tiendas Americanas). Se trata de un engaño que apela al miedo como técnica de ingeniería social.

Captura del mensaje de phishing

Este mensaje está compuesto por solamente una imagen http://img822.imageshack.us/img822/8761/int53%5BELIMINADO%5D4.png y un enlace.
Si uno cae en la trampa y hace clic será llevado al sitio del vínculo http://www.hog%5BELIMINADO%5D.no/tekstfiler/2011/Poder-Judiciario/Intimacoes/?Intimacao-2011.941.525.1552.DOC y redirigido a otro sitio que fue abusado por los delincuentes como se ve abajo.

Captura de la redirección

Ese ultimo abusado de Venezuela descarga en la PC del usuario un troyano Intimacao-2011.941.525.1552.exe que fue escrito en Visual Basic.

Captura de la descarga

El sitio http://www.ins[ELIMINADO].com.ve puede ser recorrido y visualizar los archivos creados por los delincuentes.

Vista del sitio abusado se puede listar directorio
Desde Segu-Info hemos denunciado la imagen alojada en el conocido servicio imageshack.us y procedieron rápidamente a eliminarla. También informamos al sitio de Venezuela abusado sobre el tema para que lo corrijan.

Como siempre recomendamos, no haga clic en cualquier mensaje que reciba, resista el primer impulso que provocan con estos correos los delincuentes, cuide de no caer en la trampa.

Raúl de la Redacción de Segu-Info

Anuncios

>China bloquea las búsquedas en internet sobre Egipto

enero 31, 2011 § Deja un comentario

>China ha bloqueado la palabra Egipto en las búsquedas de microblogs que realizan los portales más populares del país, como Sina.com o Sohu.com. Así, se evita el acceso desde el país a las informaciones sobre la revuelta egipcia.

Los medios estatales han informado de las protestas contra el gobierno de Hosni Mubarak, incluso del corte de internet. Según el Gobierno chino, internet es libre, aunque el Gobierno bloquea el acceso a numerosas redes sociales como Twitter, Flickr, Facebook y Youtube, en los que se pueden encontrar testimonios de las protestas.

El Gobierno chino ha advertido a sus ciudadanos que estén en Egipto a que salgan del país o busquen asistencia y ha pedido a los turistas que reconsideren sus planes de viaje.

The Global Times, el diario del Partido Comunista chino, asegura en un comentario que la democracia no es compatible con las condiciones en Egipto o Túnez, y que las “revoluciones de colores” no alcanzan una democracia real, sino que esta se concreta en logros sociales.

Fuente: El Periódico

>Las vacaciones: trabajo remoto trabajo en casa

enero 31, 2011 § Deja un comentario

>En los últimos días hemos recibido decenas de denuncias sobre correos electrónicos que ofrecen trabajo desde el hogar para estas vacaciones.

Este tipo de engaños (scam) si bien son sumamente normales, la alta tasa de denuncias recibidas, nos hace confirmar que las vacaciones en el continente americano es el momento ideal para que se multipliquen ya que de este modo la cantidad de víctimas también crecerá.

Algunos de los asuntos que mencionan los correos son (errores incluidos):

  • trabajo remoto, los salarios de 500usd a 1500usd por semana.
  • los vacaciones. trabajo remoto trabajo en casa.
  • trabajo remoto.
  • Nuevas vacaciones para usted.
  • remoto trabajo para usted. 500usd por 5 dias.
  • Vacaciones de sitio de correo.
  • Si necesita ingresos adicionals.

Uno de los correos es el siguiente (errores incluidos):

Buenos días!

Solo un minuto necesita Ud. para leer este correo, y descubre una buena oportunidad de cobrar dinero extra. Ademas, Ud no tendra que dejar su principal puesto de trabajo.

Nuestra empresa ha extendido su actividad en Chile, Argentina, Columbia y Portugal y estamos buscando a los ciudadanos de estos paises que pueden dedicar unas horas al dia para trabajar con nosotros, realizando los traspasos bancarios para nuestros clientes.

Si le interesa saber más sobre la posibilidad de cobrar gancias merecidas por su trabajo le pedimos enviar sus dados de contacto al siguiente correo:

i n f o @ h i r i n g – [ELIMINADO] . c o m [Por favor, borra los espacios antes de enviar el correo]

1. Nombre, apellido;
2. Edad;
3. País de residencia;
4. Teléfonos de contacto. (el numero de telefono en el formato enternacional)

Al recibir su correo electrónico con sus dados nuestros funcionarios inmediatamente se ponen en contacto con Ud. para darle toda la información interesada y todas las detalles sobre trabajo.

Esperamos a la cooperación productiva.

En el caso si no le interesa la información antedicha le pedimos perdón y le reclamamos ignorarla.

La “empresa” que se menciona en el correo es un sitio registrado en Rusia el pasado 18 de enero. Los registros MX utilizados para enviar sus correos lamentablemente son administrados por Google (que hasta el momento no ha bloqueado el dominio) .

Con ese dato de la creación de la empresa queda claro que no puede ser una empresa confiable y por ese motivo nunca se debe responder este tipo de correos: nada es gratis en Internet.

Actualización 13:30 hs: en uno de los casos analizados por Segu-Info en una empresa, los correos se recibieron en 244 direcciones de las cuales sólo 47 eran válidas y el resto inventadas, recortadas o formadas por parte de otras direcciones. El periodo de envío fue, desde 11AM del viernes 28 hasta las 4:50AM de hoy 31 de enero.

Actualización 14:00 hs: los encabezados de los correos analizados hacen referencia a Linkedin. Si alguien conoce el motivo o la forma en que ese encabezado fue construido o la ruta que siguió el correo por favor deje un comentario (clic para agrandar):

Cristian de la Redacción de Segu-Info

>Vacíos y alternativas legales en Bolivia

enero 31, 2011 § Deja un comentario

>En Bolivia no existe una norma legal específica que permita sancionar los delitos informáticos que vulneren los derechos, la integridad y seguridad de otras personas por internet. De los 15 delitos informáticos reconocidos por las Naciones Unidas, Bolivia sólo reconoce dos.

Ante el vacío legal surgen algunas alternativas respaldadas a través de diversos artículos en la Constitución Política del Estado (CPE), el Código Penal Boliviano, el Código Niño Niña y Adolescente, la Ley de Telecomunicaciones y la Convención de Derechos Humanos.

LA CONSTITUCIÓN

El Estado, a través de la Constitución Política del Estado (CPE) reconoce el derecho a la privacidad, intimidad, honra, honor, propia imagen y dignidad. (Art. 21, 2). Los daños son respaldados por el Art. 15 que señala “Toda persona tiene derecho a la vida y a la integridad física, psicológica y sexual. Nadie será torturado, ni sufrirá tratos crueles, inhumanos, degradantes o humillantes”. El mismo artículo dice que todas las personas, en particular las mujeres, tienen derecho a no sufrir violencia física, sexual o psicológica, tanto en la familia como en la sociedad.

El artículo 1 de los Derechos Humanos expone que todos los seres humanos nacen libres e iguales en dignidad y derechos y dotados como están de razón y conciencia, deben comportarse fraternalmente los unos con los otros. “Al agredir, tanto con imágenes y palabras degradantes y humillantes, las personas ya están vulnerando este derecho”, explica la abogada, María del Carmen Rojas.

Determinados contenidos como la pornografía infantil, difusión de contenidos violentos y racistas son considerados nocivos, más aún si este tipo de contenido es difundido a millones de personas, entre éstos niños en Bolivia y el mundo, según la explicación de la exfiscal y ahora asesora jurídica de la Alcaldía de Cercado, Cynthia Escóbar.

La Declaración de Derechos Humanos en su artículo 3 protege el derecho a la vida, a la libertad y a la seguridad de la persona. Los daños psicológicos muchas veces suelen ser más graves y duraderos que los físicos, la dificultad es que no existen peritos especializados que precisen los daños para establecer las sanciones. Sin embargo, el comandante departamental de la Policía, Hernán Trujillo, informa que una de las actividades próximas será la capacitación de personas de investigación en temas informáticos.

RACISMO

Sólo basta poner en el buscador de páginas sociales como Facebook, la frase “odio a”, o “yo también creo que” junto al nombre de alguna alta autoridad, club deportivo, cantante o ciudadano, para que salgan miles de perfiles públicos donde cientos de personas se suscriben para expresar, odio, rechazo, racismo y violencia con insultos degradantes y humillantes.

Entre muchos, encontramos el perfil público “No a los bolitas ocupas” donde el creador del grupo identificado como Lalo Meka, el 11 de diciembre de 2010 introduce un mensaje de rechazo a los inmigrantes bolivianos que ocuparon el parque bonaerense: “Ya nos ocupan las guardias de todos los hospitales, las verduras vienen cada vez con más gusanos, hay que abrir las ventanillas de los colectivos cada vez que suben ustedes, y encima ahora quieren ocupar nuestros espacios verdes !? Vuelvan al altiplano!! vuelvan a su país bolas de fraile!!. No te digo chup…, porque me la vas a podrir…”, expresa textualmente el mensaje.

Los usuarios tienen la opción de “denunciar esta página”, la misma que llega directamente a los administradores de la página social, quienes luego de hacer una verificación eliminan inmediatamente la foto, el mensaje o el perfil, explica el ingeniero en sistemas, Mike Guerra.

Específicamente para casos como este, de racismo, Bolivia cuenta con la ley antirracismo. El reto es que peritos informáticos puedan dar con los propietarios de dicho perfil en cualquier parte del mundo.

Para Escobar, la única posibilidad de controlar estas desventajas es controlar el servicio de Internet mediante una norma específica que regule a los proveedores de servicios y a todos los usuarios que alimentan estos sitios.

Para la abogada, Internet es una red libre, que ningún Gobierno ni institución gubernamental tiene injerencia sobre el material que ingresa en la red. Esta situación le permite afirmar que es la primera vez en la historia de la humanidad que se presenta un medio de comunicación sin restricciones y totalmente democrático.

“En cuanto a la regulación del fenómeno Internet, surgen nuevas expectativas, una de ellas vendría a ser la culminación del derecho a la libre expresión, y la otra, el acceso a la información, ya que los internautas, protegidos por la libertad de expresión y al saber que la red no está regulada ni gobernada por nadie tienen acceso y publican todo tipo de información”, señala Escobar.

PAÍSES VECINOS

A diferencia de Bolivia, existen importantes avances en Argentina y Chile, que ya cuentan con la Ley de Protección a los Datos Personales, y la Ley de Protección de la Vida Privada, respectivamente.

La Ley 25.326 de Protección de Datos Personales de Argentina hace referencia al consentimiento para el tratamiento de los datos personales cuando el titular no diera su consentimiento. Esta norma contempla todos los aspectos referidos al almacenamiento, modificación y supresión de datos de carácter personal.

La legislación chilena (Ley 19.628) establece las obligaciones para los responsables de las bases o registros; asimismo, establece y regula los derechos de los titulares de los datos y sanciona las infracciones.

En Bolivia la Fundación Redes trabaja en la elaboración de un proyecto de ley para sancionar estos delitos a cargo de su presidente ejecutivo, Eduardo Rojas (eduardo@fundacionredes.org).

Fuente: Opinion

>En pedofilia no hay patrón – Entrevista a fiscal del Servicio de Criminalidad Informática de Málaga

enero 31, 2011 § Deja un comentario

>Jacobo Fernández-Llebrez Castaño es el fiscal del Servicio de Criminalidad Informática de Málaga desde mediados de 2008. Además de reprimir este tipo de delitos, en los que tiene una especial importancia la persecución del tráfico y distribución de archivos de pornografía infantil, este acusador da charlas a los padres para que éstos eduquen adecuadamente a sus hijos en el uso de las nuevas tecnologías. Con alma de pedagogo y la vehemencia de un fiscal, aplica la humanidad en las investigaciones que dirige, odia el delito y trata de ayudar al delincuente. No en vano, ha sido pionero en la puesta en marcha de terapias para pedófilos. De momento, no le va nada mal en su rol de gurú tecnológico de la Fiscalía.

¿A qué se debe la caída de casos de pornografía infantil a través de la Red, desde los 70 de 2009 a los 62 de 2010?

Hace tiempo nos encontrábamos con las respuestas de algunos acusados que nos decían desconocer que bajarse archivos a través de P2P como pueden ser el Emule o Ares también llevaba consigo una distribución. Entonces es probable que haya gente que, a lo mejor, por curiosidad, pinchaba este tipo de cosas y ahora ya no lo hace. O sea que se está educando un poco a los internautas. Las constantes noticias que saca la prensa contra la pornografía infantil también ayudan a que la gente se conciencie de que hay cosas que son intolerables. Hay menos procedimientos de pornografía por eso. Y también porque casi siempre son los mismos acusados.

Usted ha sido pionero al someter a terapia a estos delincuentes…

Bueno, hemos sido de los primeros, porque no creo que seamos los únicos, que han contemplado una de las medidas que recoge el Código Penal, que es la de condicionar la suspensión de la condena a la realización de un curso de educación sexual. Yo creo que ahora mismo habrá nueve o diez condenados que admitieron los hechos y se conformaron con la pena del ministerio fiscal, y que están sometidos a tratamiento, un tratamiento que realiza Instituciones Penitenciarias con un gran esfuerzo, a través del CIS, en Málaga, y algunos de los propios condenados han colaborado, facilitando su tratamiento privado. Han reconocido que ellos tenían un problema, y entonces ellos mismos se han puesto en contacto con psiquiatras, con psicólogos, etcétera… Ahora mismo no hay resultados, porque la mayoría de las suspensiones de condenas condicionadas a estos tratamientos lo han sido por el máximo legal, que son cinco años, y habrá que ver si después de cinco años de suspensión y de tratamiento con informes cada seis meses a la sala sentenciadora, cómo ha resultado la terapia, cómo ha sido. Yo intuyo que en un 80% de los casos va a ser positivo, reconozco que a lo mejor tenemos un 20% de fracaso, porque la persona que se dedica a bajarse pornografía infantil es una persona bastante quebrada interiormente, y entonces probablemente necesite otro tipo de terapia. En el 80% de los casos vamos a recuperar a este tipo de delincuentes.

¿En qué consiste la terapia?
Bueno son terapias de grupo, muy relacionadas con las que reciben los autores de delitos contra la libertad sexual, aunque tienen sus matices. Tienen reuniones, han de hacer trabajos, sesiones de grupo, muchas entrevistas en las que el psiquiatra sondea la arquitectura interna, de valores, de estas personas, su medio de vida, cómo encauza su ocio…

¿Qué valoración hace de la marcha del Servicio de Criminalidad Informática?
Comenzamos a mediados de 2008 y ha sido muy positivo entiendo yo, porque ha generado una especialización, ha facilitado la resolución de problemas que estos delitos tienen, como dificultades técnicas, la colaboración con otros órganos judiciales. Es frecuente que los instructores soliciten a la Fiscalía ayuda para la investigación de estos delitos, y ello ha generado un cuerpo doctrinal y ayuda a los fiscales, a los magistrados y que la gente conozca nuestro servicio. Hemos recibido muchas denuncias que luego se han ido tramitando por la policía. Y hemos dado muchas charlas en colegios a padres para que controlen lo que hacen sus hijos en internet.

¿Se va por buen camino en la lucha contra este tipo de delincuencia?

Yo creo que sí. Además de sancionar a los culpables, también hay que resocializar al delincuente. Y ésa es una labor nuestra. No sólo defender a la víctima y garantizar sus derechos, sino también procurar que estas personas no cometan este tipo de actos.

¿Qué otras vías se están explorando? Se lo digo porque hace tiempo usted comentó que en Granada, por ejemplo, se privaba al pederasta de internet…

En Granada se aplica eso. Pero no sé si eso es posible y cómo lo han conseguido. Es difícil. Eso entra dentro de la terapia. Durante un tiempo a lo mejor no le dejan entrar en internet. O, si entran, deben presentar un documento sobre los archivos temporales de internet para que los psicólogos los controlen.

¿Cuál es el perfil de estos acusados?

Yo creo que no hay perfil, como no sea el de varón, de más de 30 años. Sí se repite el de varón, sin mucha vida social, con poco estímulo del trabajo, o en paro, algunos sólo se dedican a navegar. En temas de pornografía no hay patrón, porque hemos tenido desde médicos hasta bomberos, policías, casados, solteros. Hay muchos más entre personas sin pareja estable, pero también se da en gente con familia. Éstas, cuando descubren a lo que se dedica su marido, sufren un bombazo.

¿En internet todo deja rastro?

Todo lo que se hace deja rastro y se puede investigar por la policía.

Algunos han alegado que se equivocaron al bajarse un determinado contenido…

Todos los operativos que se hacen por la parte de la policía y de la Guardia Civil tienen en cuenta esa posible objeción. Las personas acusadas no son las que se han bajado una película pensando que se bajaban un film en concreto y era pornografía infantil. Tampoco se acusa a una persona que, en un acto de debilidad, se bajó una cosa con consciencia de lo que hacía. Son gente que se ha bajado cosas en más de una ocasión, durante varios días, y sabiendo clarísimamente por el título de lo que se bajaba y el contenido que lo que ahí había que era pornografía infantil.

¿Hay gente que se aprovecha del anonimato para delinquir?

Los malos malos procuran no dejar rastros. Cada vez es más difícil. La prueba informática es volátil y como no investigues pronto todo lo que supere un año es muy difícil. Hay gente que utiliza suplantaciones de personalidad. Hay que tener cuidado a la hora de aceptar un mensaje de una persona que no conocemos, con la que no hablamos desde hace tiempo. Hay que pensárselo para ver qué informaciones le vamos a dar sobre nosotros. Cuidado con los correos que nos envían y en los que hay enlaces. Lo mismo en la red social, cuidado con las invitaciones. Hay que sondear la red antes, pregunta a tus amigos, porque esa persona va a tener acceso a muchos datos. Lo hemos visto en el caso de Marta del Castillo y en otros. En Facebook, personas a través del Tuenti accedían a los eventos y sabían dónde se encontraba una persona en un día y una hora determinados. Eso no interesa que se conozca. Hay profesionales que no tienen por qué publicar su foto, ni sus apellidos completos, y si lo hacen es mejor activar la pestaña de que sólo te vean tus amigos. Hay disposiciones de seguridad que es necesario conocer. Por defecto todo está en abierto.

Las estafas tecnológicas también están en pleno auge…

Es tal el cúmulo de estafas que ya hay países que no colaboran si la cuantía no es importante. Es una forma de restringir la capacidad de respuesta por parte de la Administración de Justicia. Los afectados en 100 o 200 euros, en cuanto tengamos que salir de España porque la página está fuera o el sujeto esté fuera, eso no se va a poder investigar. El consejo que siempre damos es que nunca se compre a través del correo electrónico, siempre a través de páginas consolidadas, donde haya un servicio de información consolidado, un teléfono al que se pueda llamar, pero nunca a través de un correo. Si uno tiene que comprar música que sea a través de páginas con representante legal, con un teléfono de contacto, nunca a través del correo porque no sabemos quién está detrás.

Algunos piensan que en la Red se puede decir lo que se quiera sin temor a consecuencias…
Sí, eso genera un problema jurídico, porque parece que los blogs son muy privados, pero aparecen amenazas, insultos o risas, y es un blog cerrado. Eso genera el problema de si ha habido publicidad o no. Lo típico son contestaciones en los propios periódicos, un insulto oral tiene su gravedad, pero no es comparable con un insulto que queda escrito que luego es muy difícil de borrar. Las personas que realizan comentarios injuriosos o vejatorios tienen que tenerlo en cuenta. Es muy difícil de borrar, porque incluso Google recoge los comentarios.

Fuente: La Opinión de Málaga

>Video de OWASP sobre seguridad en aplicaciones web

enero 30, 2011 § Deja un comentario

>OWASP ha comenzado la serie de videos OWASP Appsec Tutorial sobre seguridad de aplicaciones web. El primer episodio describe todo lo que va a cubrir la serie y lo que se puede esperar en los próximos episodios.


Cristian de la Redacción de Segu-Info

>Enumeracion LDAP

enero 30, 2011 § Deja un comentario

>En esta oportunidad quiero enfocarme en un tema que no siempre aparece en un proyecto de Ethical Hacking, tal es el caso del password cracking. Voy a tocar algo de teoría, definir un probable escenario y dar algunos tips para obtener usuarios válidos dentro de un dominio o un servidor LDAP.

Primero vamos a definir el término “password cracking”, según wikipedia:

El password cracking es un proceso informático que consiste en descifrar la contraseña de determinadas aplicaciones elegidas por el usuario. Se trata del rompimiento o desciframiento de claves (passwords).

Un concepto bastante conocido, sin embargo, muchos se preguntarán para qué sirve en un proyecto de Ethical Hacking. Pues para auditar la robustez (o la falta) de políticas de passwords utilizadas en una organización. Como toda etapa del EH, busca tomar evidencias para emitir una recomendación de mejora. En este caso, por ejemplo, si nos encontramos con el password “123456” en un servicio importante la recomendación es implementar una política de passwords que tenga en cuenta entre otras cosas la longitud, el tiempo de expiración, no utilizar palabras de diccionario, no usar cumpleaños, etc. Un buen recurso de SANS aquí.

También pueden realizar una búsqueda con los términos: “password policy”, “password policy standard” en nuestro amigo google, seguro dará buenos resultados.

Ahora el escenario. Estamos realizando un EH interno y llegamos a la etapa de password cracking. El cliente ya eligió a qué servicios se hará el test, tenemos un servidor de correos y un servicio de intranet. Tenemos a nuestra disposición varios diccionarios de passwords de varios temas y en distintos idiomas. El problema surge: si queremos que el test tenga los resultados esperados, ¿qué diccionario de usuarios utilizar?.

Es aqui donde nos aprovechamos de un recurso muy utilizado en redes basadas en Windows, el Active Directory. El directorio activo es la implementación de Windows de LDAP (Lightweight Directory Access Protocol) que contiene un árbol jerarquizado de objetos categorizados. Permite a los administradores de red realizar tareas como establecer políticas , desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a toda la organización. Para nuestros fines, nos centraremos en sólo un tipo de objeto contenido en el árbol: los usuarios.

En resumen, para crear el diccionario vamos a enumerar los usuarios del directorio activo o del servidor LDAP haciendo consultas al árbol y de esta forma armar una base de datos con los nombres de usuario registrados para lanzar el test de password cracking.

Contenido completo en Open-Sec

¿Dónde estoy?

Actualmente estás viendo los archivos para enero, 2011 en Seguridad Informática.