Inyección masiva de iframes a sitios de e-commerce

julio 31, 2011 § Deja un comentario

Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando. De esta forma, los visitantes de todos los sitios afectados podían infectarse con malware por el solo hecho de visitar un sitio web de confianza.
A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe:

Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:

Los dominios donde se alojan los exploit se encuentran en Rusia y son bloqueadas por nuestro software de seguridad. Analizando los sitios donde se encontraba presente este iframe, pudimos encontrar que estos son sensibles a inyecciones de SQL.

Contenido completo en fuente original ESET Latinoamérica

Estados Unidos contra China: la ciberguerra fría

julio 31, 2011 § Deja un comentario

Ni se orientan los misiles ni se levantan muros, pero lo cierto es que Estados Unidos se encuentra enfrascada en una nueva Guerra Fría contra los comunistas. Sin embargo, a diferencia de la protagonizada por Reagan y Gorbachov, este enfrentamiento es mucho más sutil, más sofisticado incluso, pero no por ello menos evidente: se trata de la ciberguerra. Antes se apuntaban las cabezas nucleares contra el enemigo; hoy se obtienen sus códigos de desarme para inutilizarlas.

En esta ocasión el enemigo del Tío Sam es China. Pese a que las relaciones institucionales y comerciales entre ambos países puedan parecer excelentes, existe una gran preocupación en el gobierno norteamericano por causa de los ataques informáticos, procedentes de China, que vienen sufriendo en los últimos años. El 8 de abril de 2010 el 15% del tráfico de Internet, a nivel mundial, fue redirigido a servidores propiedad de China Telecom, una compañía de propiedad estatal. La información permaneció bloqueada en susmáquinas durante 18 minutos.

Contenido completo en fuente original Cotizalia

La evolución del "antivirus" de Mac OS X

julio 30, 2011 § Deja un comentario

Richard Gaywood ha escrito un artículo muy interesante sobre cómo ha evolucionado el fichero de firmas del “antivirus” integrado en Mac OS X durante los últimas semanas. Vamos a intentar sacar conclusiones de él.

xProtect se introdujo en septiembre de 2009. Se trata de un rudimentario sistema “antivirus”. Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas. Según nuestros registros, la evolución de las firmas ha sido la siguiente:

  • Septiembre 2009: OSX.RSPlug.A, OSX.Iservice
  • Junio 2010: OSX.HellRTS
  • Marzo 2011: OSX.OpinionSpy
  • Mayo-junio 2011: OSX.MacDefender.A, OSX.MacDefender.B, OSX.MacDefender.CDE, OSX.MacDefender.F, OSX.MacDefender.G, OSX.MacDefender.HI, OSX.MacDefender.J, OSX.MacDefender.K, OSX.MacDefender.L, OSX.MacDefender.M, OSX.MacDefender.N, OSX.MacDefender.O

Lo que ha hecho Richard Gaywood es recopilar en un gráfico la evolución de esas gráficas desde mayo de 2011, con este resultado.

Del gráfico se desprende que Apple tuvo que trabajar duro durante la explosión de MacDefender, emitiendo nuevas firmas casi a diario, puesto que los atacantes creaban variantes rápidamente y conseguían eludir xProtect. Se detectan dos bajadas en el número de firmas. Esto es porque en Apple encontraron una forma de detectar más variantes con menos firmas, no porque se “eliminaran” y bajase el nivel de protección. Desde el 18 de junio, no se ha actualizado el fichero de firmas. En ese momento se detectan 15 variantes de MacDefender con 12 firmas diferentes, más las firmas para el resto de malware más “antiguo”.

En nuestra base de datos de VirusTotal, se detecta también una importante bajada estos días de muestras detectadas como MacDefender, con lo que se puede decir que ha vuelto a la “calma” tras la oleada sufrida en mayo y junio. Parece que los atacantes han lanzado una campaña concreta durante unos meses y la ofensiva ha terminado. Teniendo en cuenta los recursos invertidos, ha supuesto una de las campañas más agresivas contra Mac.

La pregunta es por qué la han dado por terminada una campaña que puso en jaque a Apple (y sobre todo, a su departamento de ayuda telefónica). ¿Quizás los atacantes no han conseguido su objetivo? ¿Ha supuesto una apuesta en recursos que no han terminado de compensar con las ganancias?¿Cambiarán su estrategia? Estaremos atentos.

Fuente: Hispasec

"Mira este impactante video: Su hermano la viola y la maltrata" (más basura en #FB)

julio 30, 2011 § 19 comentarios

Otro impactante video (spam) que se promociona por Facebook a través del muro de los usuarios demasiado curiosos, morbosos e incapaces de mantenerse alejados por 5 segundos del clic del mouse.

¿Qué busca una persona que hace clic en un enlace como ese? ¿busca ver a una chica violada por su hermano? ¿tan enfermos estamos los seres humanos?

Al margen de la enfermedad social que han desatado las redes sociales, técnicamente, al hacer clic sobre el enlace se ingresa a sitio http://nomegusta%5BELIMINADO%5D.es, donde se ve la siguiente página:

Como puede verse sobre el final, el objetivo del engaño es redirigir al usuario a un sitio de promociones en donde se solicita el número de móvil, como ya habíamos analizando en otros engaños similares anteriores.

Analizando el script con cuidado se puede advertir que está en idioma Finlandes (fi_FI) y por lo tanto los botones mostrados aparecen en ese idioma y, el “Compartir” se transforma en “Jaa”, con lo cual el usuario hace clic:

¿Tan desesperados por ver pornografía están?

Cristian de la Redacción de Segu-Info

Redirección abierta, otra vulnerabilidad en Facebook

julio 30, 2011 § 8 comentarios

Un atacante puede mandar un enlace que parece ser de la red social pero, en realidad, lleva a una página exterior sin avisar.

Enésimo agujero de seguridad en Facebook: los enlaces no son lo que parecen y pincharlos puede llenarnos el ordenador de virus. Lo ha descubierto el barcelonés Vicente Aguilera, director del Departamento de Auditoría de la empresa Internet Security Auditors. A pesar de ser un peligroso agujero, Facebook lo ha ninguneado. “Como siempre”, asegura Aguilera.

Vicente Aguilera es un habitual cazaagujeros del ciberespacio. No es la primera vez que descubre uno en Facebook, pero sí es el más grande. Afecta a los enlaces que se comparten entre amigos, en el muro, en mensajes privados o de grupo: “Un atacante puede mandar un enlace que parece ser de Facebook pero, en realidad, te lleva a una página exterior sin avisarte”, explica Aguilera.

Por ejemplo, un “amigo” puede poner en nuestro muro un enlace que nos lleva a una foto o una aplicación que parecen estar dentro de Facebook. Pero, aunque en la URL veamos la dirección http://www.facebook.com, en realidad nos manda a otro sitio, fuera de la red social. Este sitio puede ser una web donde se nos pidan datos privados (“phishing”) o nos introduzcan un virus en el ordenador

Es lo que se llama una “redirección abierta”: un enlace que parece legítimo, pero nos redirige a un sitio diferente, sin que lo sepamos ni Facebook nos lo notifique. En principio, la red social tiene un mecanismo de seguridad por el que nos avisa si un enlace no confiable nos lleva fuera, pero el fallo descubierto por Aguilera permite saltarse este mecanismo de seguridad.

La reacción de Facebook ha sido “despreciar el riesgo”, explica Aguilera, a quien ya no sorprende que “grandes empresas que tratan datos de millones de usuarios no dan la importancia que se merece a las notificaciones de fallos que les enviamos. En la mayoría de casos no suelen pedirnos más información ni quieren conocer los detalles”.

Aguilera avisó a Facebook este fin de semana, nada más descubrir el fallo, pero la red social le respondió con tres líneas, negándolo. El investigador insistió, dándoles más detalles, hasta que Facebook lo admitió pero, explica: “Dijeron que radica en una funcionalidad que necesitan y, por tanto, prefieren correr el riesgo”. Atónito, Aguilera decidió hacer público el fallo.

Fuente: El País

Curso gratuito de Ethical Hacking

julio 30, 2011 § 1 Comentario

Nuevo curso práctico y gratuito de 2 días de Ethical Hacking brindado por Mkit y al cual se incorporan nuevos temas.

En vez de simplemente ver al profesor demostrando, ustedes podrán realizar las prácticas con su propia computadora a la par del resto del curso. Cuando queden inscriptos al curso se les enviará la información de los pre-requisitos necesarios (máquinas virtuales, herramientas, etc) para poder realizar las prácticas como corresponde.

Temario:

  • Internet hacking:
  • Reconocimiento pasivo y activo
  • Vulnerability Scanning
  • Network Hacking
  • Phishing
  • Man-In-The-Middle
  • Application Hacking:
  • Exploiting
  • SQL Injection y XSS

El curso será el próximo jueves 4 y martes 9 de Agosto de 2011, de 18:30 a 22 hs (GMT-3, hora de Buenos Aires) en la Ciudad de Buenos Aires.
Se dictará en forma presencial y a distancia con cupos limitados por lo que se requiere registro previo.

Cristian de la Redacción de Segu-Info

Facebook muestra el número de teléfono de todos tus contactos sin su permiso

julio 29, 2011 § 6 comentarios

La imagen de la derecha es la agenda de mis contactos en Facebook que tienen teléfono móvil.

Facebook una vez más vuelve a pasarse nuestra privacidad por el arco de sus caprichos. La última fechoría ha sido mostrar públicamente los números de teléfono de todos tus contactos del teléfono móvil sin avisar, por lo que puedes deducir que tu número de teléfono estará disponible para tus contactos. Este hecho es, a mi juicio, gravísimo y tal vez incluso constitutivo de delito, ya que no ha avisado (ni pedido permiso) a los usuarios de que iba a publicar sus números de teléfono.

Habrá muchas personas que tengan su número de teléfono disponible en Facebook porque lo usan de forma profesional, pero si no es tu caso y no quieres que tu número de teléfono esté a disposición de todos tus contactos sigue leyendo.

¿Cómo se hace para corregir esto? Hay que ingresar a la red social a través del smartphone. Allí hay un ítem que, en el caso de los BlackBerry se denomina “aplicación contactos de BlackBerry” o ingresar aquí. Esa es la opción que está seleccionada por defecto cuando se abre Facebook por primera vez y es la que no tiene que estar seleccionada para impedir la transferencia de datos personales.

Allí aclara que “al activar esta característica se enviarán periódicamente copias de tus contactos del dispositivo BlackBerry a Facebook Inc para vincularlos y conectarlos con tus amigos de Facebook. Las fotografías de perfil e información sobre ti y tus amigos de la red social también se enviarán periódicamente desde tu Facebook a tu lista de contactos y calendario de BlackBerry. Aceptas que el acceso a estos datos dejará de estar sujeto a tu configuración de privacidad y la de tus amigos de Facebook una vez que se almacenen en tu dispositivo BlackBerry”.

Pero la historia no termina cuando se deselecciona ese ítem. Además, se debe ingresar a la red social desde una PC y en el mismo lugar donde se ve la agenda que se duplicó del smartphone en la parte derecha dice “si desea eliminar los contactos móviles que se importaron desde su teléfono, tendrá que deshabilitar las funciones de su teléfono móvil y visitar “esta página”. Ahí se da la opción de eliminar la información personal.

Cuando se realiza esto, desde Facebook se envía un mail confirmando la acción, que aclara que “tal como habías solicitado, tus contactos importados se han eliminado. Por favor ten en cuenta: si alguno de sus amigos escoge compartir su correo electrónico o su número de teléfono con amigos en Facebook, aún verás su información de contacto en la libreta de teléfonos”.

Esta situación se da en todos los smartphones, tanto BlackBerry como iPhone y demás dispositivos que permitan la conexión a la red social.

Actualización: otra cosa que se puede hacer es mantener el teléfono oculto y sólo mostrarlo a quien se desee, de la siguiente manera:

a.- Llleva de nuevo el cursor a la esquina superior derecha, y haz click en ‘Cuenta’.
b.- A continuación haz click en ‘Configuración de la privacidad’.
b.- Abajo del todo, en ‘Información de contacto’ selecciona la opción deseada (Todos, Amigos de amigos, Sólo amigos, o personalizar).

Fuente: Scriptorious, DiarioUno y MasFB

El regreso del troyano "Convite"

julio 29, 2011 § Deja un comentario

Quizás es el troyano más conocido en América Latina por su sobrenombre “Convite” que hace referencia a una supuesta invitación a comenzar una nueva relación virtual (en portugués) y que en realidad descarga un troyano del tipo Downloader.

En las últimas horas nos han reportado varios casos sobre el regreso de Convite a través de un correo electrónico con la siguiente apariencia:

A través de la utilización de un acortador de URL, es obvio la descarga lleva a un archivo ejecutable Book_image_profile.cpl detectado por varios antivirus y que es una de las miles de variantes de Banload, un troyano del tipo Downloader que una vez infectado el usuario descarga otros tipos de malware al sistema.

Cristian de la Redacción de Segu-Info

Video "Vivir Sin Nombre" sobre robo de identidad

julio 29, 2011 § Deja un comentario

Informe especial sobre el robo de identidad en la República Argentina

Fuente: Identidad Robada

Corea del Sur: roban en un ciberataque los datos de 35 millones de usuarios

julio 29, 2011 § Deja un comentario

Los datos personales de 35 millones de internautas han sido filtrados tras un ciberataque ocurrido esta semana contra dos populares páginas web surcoreanas.

La operadora de los dos portales, SK Communications, ha indicado que los hackers han tenido acceso a nombres, números de teléfono móvil y direcciones de correo electrónico, y también a contraseñas y números de la seguridad social encriptados.

Las páginas atacadas son el tercer mayor portal web surcoreano, Nate, que actualmente tiene unos 33 millones de usuarios, y la red social Cyworld, con unos 25 millones de cuentas y conocida “como el Facebook de Corea del Sur”.

Según la Policía surcoreana, este podría ser el mayor robo de datos en la historia del país, después del que se produjo en 2008 contra una unidad local surcoreana de eBay que afectó a varios millones de usuarios.

SK Communications descubrió el pasado martes que ambas páginas habían sido atacadas por un código malicioso que al parecer provenía de una dirección IP ubicada en China, según fuentes de la compañía consultadas por la agencia local Yonhap.

Sin embargo, la operadora no ha podido establecer cuándo se sustrajo la información ni quién es el responsable de la agresión.

Un representante de la compañía indicó al JooAng Daily que tanto las contraseñas como los números de la seguridad social están encriptados con la última tecnología de protección de datos.

Un equipo especializado en ciberterrorismo de la Agencia Nacional de Policía visitará la sede que aloja la base de datos de la compañía en Seúl para investigar los detalles de lo sucedido.

Por su parte, SK Communications ha creado mensajes que aparecen al acceder a ambas páginas para notificar el ataque a los usuarios y que éstos puedan certificar si sus datos han sido robados.

Fuente: 20 Minutos

¿Dónde estoy?

Actualmente estás viendo los archivos para julio, 2011 en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 106 seguidores