Correos electrónicos de la Agencia Nuclear filtrados

noviembre 30, 2012 § Deja un comentario

La International Atomic Energy Agency confirmó que uno de sus servidores antiguos fue violado por atacantes y se filtraron más de 100 direcciones de correo electrónico pertenecientes a expertos del organismo.

Hay una investigación en curso para determinar si algún otro tipo de información ha sido comprometida.

Técnicos del OIEA y sus equipos de seguridad continúan analizando la situación para asegurarse que no haya más información vulnerable. Los autores se autodenominan “Parastoo”, que significa “tragarse el pájaro”, en farsi. Los atacantes también declararon a través de Pastebin que las personas dueñas de esos correos electrónicos deben firmar una petición “exigiendo una investigación abierta en las actividades del OIEA en Dimona, en referencia a la instalación nuclear israelí.

Dado que el OIEA es una organización internacional encargada de poner fin a la proliferación de las armas nucleares, Parastoo compartió su creencia de que “Israel posee un arsenal nuclear práctico, atado a un cuerpo militar cada vez mayor”. El grupo de hackers cree que el OIEA debería volver a investigar los países arsenal nuclear práctico.

El grupo amenazó con publicar los detalles personales sobre los titulares de las direcciones de correo electrónico filtrados si no se hacía lo solicitado.

Cristian de la Redacción de Segu-Info

Anuncios

La cooperación, clave para la ciberseguridad de Europa

noviembre 30, 2012 § 1 comentario

La agencia de ciberseguridad europea, ENISA, apunta la necesidad de una cibercolaboración más estrecha entre países y la ayuda como factores clave para luchar contra el cibercrimen y hacer frente a las consecuencias para ciudadanos, gobiernos y empresas.

La colaboración entre los distintos países para luchar contra el cibercrimen se erige como aspecto fundamental a la hora de mantener a usuarios, gobiernos y empresas seguros frente a las amenazas que supone. Ésta es una de las principales conclusiones que se extrae del evento de alto nivel organizado por la Agencia de Ciberseguridad Europea, ENISA, celebrada en Bruselas y que ha reunido a figuras de primer nivel del Parlamento Europeo, la Comisión Europea y la industria informática.

Tal y como apuntaba la vicepresidenta de la Comisión Europea Neelie Kroes, “la clave para una ciberseguridad sólida es compartir responsabilidades. Ése es el objetivo fundamental de esta reunión y de ENISA, y es un reto más importante que nunca a medida que el papel de Internet en nuestra economía y nuestra sociedad sigue creciendo rápidamente”.

Las palabras de Kroes cobran especial relevancia atendiendo al hecho de que ENISA se encuentra en pleno proceso de renovación y revisión de sus competencias de trabajo y estableciendo un nuevo Reglamento que están completando el Parlamento Europeo y el Consejo de Ministros de la CE con la mirada puesta en responder mejor a las necesidades en materia de ciberseguridad en el marco la Unión Europea.

Asimismo, en esta reunión también se trataron algunas de las ultimas acciones llevadas a cabo por ENISA en el establecimiento de relaciones de cooperación entre diferentes cibercomunidades como la asistencia ofrecida a los CERT (Computer Emergency Response Team) y la creación de nuevos equipos en países como Chipre, Irlanda, Malta y Rumanía, la mayor colaboración en la Comisión, los Estados miembros y ahora también con el sector privado en pruebas de ciberseguridad, o la realización de la primera prueba de ciberseguridad de ámbito europeo en la que tomó parte el sector privado (Cyber Europe 2012).

Otro de los aspectos tratados en esta reunión fue la necesidad de establecer normas comunes en materia de ciberseguridad, para permitir que el sector europeo de las Tecnologías de la Información pueda competir en el mercado global de forma más eficaz. En la actualidad, otros mercados, particularmente el estadounidense, van por delante de Europa en lo que se refiere a normas comunes reconocidas.

Fuente: CSO España

Venden exploit 0-day para secuestrar cuentas de Yahoo!

noviembre 30, 2012 § Deja un comentario

Un egipcio puso a la venta, por sólo $700 dólares, una vulnerabilidad de día cero para el correo electrónico de Yahoo!, lo que permite que un ciberdelincuente aproveche un Cross-site-scripting (XSS) para robar las cookies y secuestrar las cuentas.

Por lo general, un atacante envía un enlace malicioso en un correo electrónico, el script se ejecuta cuando el receptor hace clic en el link, lo que permite el acceso a las cookies y otra información sensible.

“Después de que la víctima hace clic en el enlace, será redirigido a la página de email otra vez. Y, posteriormente, se le puede dirigir a cualquier lugar que se quiera”, dijo el hacker autodenominado TheHell Hunter en el video de demostración. Allí asegura en el video que el costo que da tiene una muy buena oferta, pues este tipo de vulnerabilidades son vendidas hasta en el doble.

“Estoy vendiendo XSS de Yahoo que roba cookies de correo electrónico y funciona en cualquier navegador. Además no es necesario pasar por alto los filtros XSS de Internet Explorer o Chrome, y esto lo hace porque almacena XSS. Los precios para este exploit rondan de los $1,100 dólares a los $1,500 dólares, mientras yo lo ofrezco por $700 dólares y lo venderé sólo a personas de confianza, no quiero que sea parchado pronto”, comentó el cibercriminal.

El director de seguridad de Yahoo! Ramses Martínez aseguró a KrebsOnSecurity, quienes alertaron a la compañía estadounidense postearon el video en YouTube, que arreglar la vulnerabilidad será fácil, lo complicado es encontrar dónde se encuentra.

Fuente: bSecure

Feliz día de la Seguridad de la Información

noviembre 30, 2012 § 1 comentario

Computer Security Day es un evento anual que se “festeja” en todo el mundo. El proyecto se inició en 1988 para ayudar a crear conciencia sobre los problemas relacionados con la seguridad. El objetivo del Día de la Seguridad Informática es recordar a las personas que deben proteger sus computadoras e información. Oficialmente, el día de la seguridad informática es 30 de noviembre pero algunas organizaciones optan por realizar tareas de concientización durante toda la semana.

Como regalo para este día tan especial para todos los que trabajamos en seguridad, a continuación comparto una colección de imágenes y posters relacionados y que pueden ser utilizados como fondos de escritorio para realizar concientización sobre el tema.

Cristian de la Redacción de Segu-Info

VISA, relato de una estafa consensuada

noviembre 29, 2012 § 15 comentarios

Generalmente no hablo de mi vida personal en este blog, pero en este caso se trata de cómo gracias a la (in)seguridad en los procesos internos de VISA pude ser estafado, y cómo la desidia de la empresa colabora para hacer que un delincuente haga dinero a costa de las víctimas.

Ante todo un contexto general: hace aproximadamente un mes salí a cenar a un reconocido restaurante de Buenos Aires, pagué normalmente con mi tarjeta de crédito VISA XXXX y seguí mi vida. Hace dos días me encontraba de viaje laboral en la ciudad de Quito, Ecuador, y a las 22 hs recibo un correo electrónico informando que se había registrado un nuevo débito automático de la empresa de energía EDESUR, de la que no soy usuario y ante la cual por supuesto nunca he realizado un pago.

Pensando en el uso dado a la tarjeta durante el último mes, averiguo el lugar donde seguramente me copiaron los datos del PAN (número de 16 dígitos del frente de la tarjeta) y CVV2 (3 dígitos verificadores del reverso) o directamente realizaron una clonación, el restaurante del inicio del relato. Con ese conocimiento me pongo en contacto con la persona cotitular de la cuenta (sexo femenino) en Buenos Aires para que haga el reclamo pertinente ante VISA, se anule el débito y dé de baja la tarjeta clonada.

Grande es mi sorpresa cuando la empresa informa que el reclamo no puede realizarse porque quien llamaba, debía ser el titular y en este caso era evidente que no lo era porque “quien se comunicaba era de sexo femenino”. Si bien la persona es cotitular de la cuenta y tiene todos los datos de validación solicitados por VISA para realizar el reclamo, el mismo no puede hacerse ¡porque no llamaba un varón!. O sea, ¿la verificación es la voz de la persona que llama, amen de los datos que la misma tenga sobre la cuenta?

De aquí en adelante todo fueron una serie de hechos desafortunados. Comencemos con las fallas en los procesos:

1. El punto más grave y origen del problema es ¿cómo se dió de alta el débito automático a mi tarjeta de crédito saltando los procesos de verificación de VISA, suponiendo que el delincuente “sólo” tiene el nombre y apellido y los PAN/CCV2 de la tarjeta? Sobre este punto volveremos después.

2. Según pude constatar, el proceso de alta de un débito automático puede realizarse via web (este punto queda descartado porque debe hacerse estando logueado con mi cuenta/usuario/contraseña de VISA, cosa que no ha ocurrido); o por comunicación telefónica con VISA o EDESUR. Evidentemente en ninguno de los dos últimos casos, existe un proceso de verificación adecuada de la persona ya que sino el proceso de alta no podría haberse realizado.

3. El proceso de verificación realizado por el call center de VISA tiene en cuenta la voz y el sexo de quien llama a hacer un reclamo, lo cual inicialmente puede ser válido pero en este caso es secundario. Es decir que si llama María (con los datos de verificación correctos) para reclamar por Juan, el reclamo es ignorado pero si llama Pedro, el reclamo es válido, aunque los datos de verificación entregados sean incorrectos (sobre este punto volveremos después). ¿Qué sucede si el titular no puede llamar por un problema de salud por ejemplo?

4. Cómo quien debía comunicarse con el call center era el titular (de sexo masculino) y al encontrarme en otro país, intenté comunicarme con VISA de Ecuador pero amablemente me indicaron que el “servicio internacional de 24 hs sólo funcionaba de 8 a 20 hs”. Siendo las 22 hs debía hacer una llamada internacional a Argentina, a costa mía porque tampoco logré comunicarme con el supuesto servicio de cobro revertido.

5. Al estar imposibilitado temporalmente para comunicarme telefónicamente, hice el reclamo a través de correo electrónico a la dirección de fraudes local y a través del formulario web de denuncias de estafas y fraudes. Además envié un twit a la cuenta @visa.
36 hs después el correo fue respondido de forma automática, con preguntas cuyas respuestas estaban originalmente en el correo enviado por mí y, como frutilla del postre, me solicitan los datos de facturación. Si recordamos que había pagado un servicio que no pertenece, ¿de dónde sacaría la factura? O sea, 36 hs para ni siquiera leer el correo y 36 hs de ventana de tiempo adicionales para el delincuente.

5. Sólo para despuntar el vicio, me comunique a través de Skype con VISA Argentina y luego de 15 minutos de espera, pude contar mi problema a la cansada y desinteresada persona que me atendió. Mis solicitudes fueron dos muy simples: quería dar de baja mi tarjeta porque estaba siendo utilizada por un tercero y quería saber cómo era posible que sucediera lo que sucedió. A la primera pregunta la respuesta fue positiva (a fin y al cabo quien llamaba era un varón y quizá era el titular) y a la segunda fue literalmente que lo “desconocía pero era común que sucediera”.

Pero volvamos con el proceso de verificación para dar de baja mi tarjeta de crédito y ya que estamos también, el alta de un débito automático a nombre de un tercero. Para verificar mi identidad, el call center me solicitó mi dirección física (que puede ser fácilmente obtenible en Internet), pero al dársela “cometí un error” y le brindé una dirección incorrecta. Sin otra pregunta (ni siquiera el banco emisor que suele ser una de ellas) y sin percatarse del “error”, me confirmaron que la tarjeta había sido bloqueada y recibiría una nueva en mi casa en 48 a 72 hs.

6. Siguiendo el proceso de “autenticación” anterior, si quien llamaba hubiera sido un tercero, podría haber dado de baja todas mis tarjetas de crédito, afectando seriamente la vida de una persona en el extranjero.
Además, nunca llegó ninguna alerta vía correo electrónico informando que este trámite había sido realizado, por lo cual si hubiera sido un tercero quien realizara el trámite, nunca me habría enterado, hasta intentar usar la tarjeta.

Como resumen y sólo teniendo en cuenta los puntos más importantes de lo ocurrido:

  • cualquiera con tu número de tarjeta puede hacerse pasar por tí ante el servicio de VISA, siempre y cuando sea del mismo sexo;
  • el proceso de verificación de datos es obsoleto ya que cualquiera puede obtener los datos de una persona en Internet (o a través de su resumen de tarjeta, si bien este no fue el caso);
  • amen de lo anterior, el proceso de verificación no es respetado por el call center, ya que incluso brindando información incorrecta es posible realizar reclamos;
  • el servicio internacional de VISA en algunos países no funciona, por lo cual utilizar una tarjeta internacional de VISA es un riesgo para quien viaja.

Curiosamente no me siento robado por el delincuente sino estafado por el servicio que ofrece VISA y su sistema de autenticación.

    Conclusión: si vas a utilizar una tarjeta de crédito VISA, toma en cuenta que cualquiera que la vea alguna vez puede copiar algunos datos de la misma y utilizarlos, simplemente llamando por teléfono. Desde mi punto de vista los procesos internos de VISA son ineficientes y de esta forma colabora y es cómplice necesario de los delincuentes.

    Cristian de la Redacción de Segu-Info

    Impresoras de Samsung y Dell vulnerables

    noviembre 29, 2012 § Deja un comentario

    El Equipo de Respuesta a Incidentes de Seguridad en Cómputo (CERT, por sus siglas en inglés) de Estados Unidos indicó que las impresoras fabricadas por Dell y Samsung poseen una vulnerabilidad que pone en riesgo los códigos y contraseñas a las que tienen acceso.

    De acuerdo con el reporte del CERT, el firmware de las impresoras tiene implementado una comunidad SNMP con permisos de lectura y escritura. El protocolo se encuentra activo aunque haya sido deshabilitado desde la interfaz del administrador.

    En su comunicado el CERT explicó que un cibercriminal puede aprovechar la vulnerabilidad para manipular los equipos a distancia o incluso extraer los códigos de acceso y cambiar la configuración de la impresora.

    El CERT señaló que la vulnerabilidad fue descubierta desde agosto pasado, sin que alguno de los fabricantes haya hecho algo al respecto.

    En tanto, Samsung reconoció la brecha de seguridad y explicó que las impresoras fabricadas después del 31 de octubre no cuentan con dicho defecto. La compañía prometió liberar una actualización para proteger a los equipos afectados.

    Fuente: bSecure

    Correos reclamando deudas vencidas descargan malware

    noviembre 29, 2012 § Deja un comentario

    Nuevamente tomamos conocimiento de una campaña de correos falsos que con un pretexto de cuestiones comerciales intenta conseguir que la víctima descargue supuestos documentos de deudas vencidas.
    El correo dice lo siguiente:

    Asunto: Vencimiento por favor regularizar
    Nos ponemos en contacto con usted en referencia a la factura número 901/12.DOC y 901/13.DOC de fecha 5 de octubre del 2012, por importe de 450 pesos, con vencimiento el día 5 de noviembre
    El motivo de la comunicación es que hasta la fecha no hemos recibido la confirmación del pago de la factura mencionada, por lo que le rogaríamos que efectuara el abono de la misma lo antes posible.
    Puede ver los detalles de las mismas en los siguientes links (formato microsoft word .doc)
    Si tiene cualquier duda al respecto puede ponerse en contacto con el Sr Alejandro Fernandez en el siguiente teléfono 4337-8712
    Sin otro particular, aprovecho para enviarle un cordial saludo.
    Alejandro Fernandez – Departamento de legales

    Y se ve como en esta captura donde se destacan los enlaces que el atacante pretende que la víctima accione:

    En este correo se incluyen varios enlaces como estos:

    En estos se abusa de la vulnerabilidad de redirección abierta de dos sitios web con buena reputación, para redirigir a otros sitios con fallas de seguridad donde los delincuentes han “plantado” el archivo de malware, engañosamente con el nombre Ver_detalles_DOC.zip

    Este archivo es un malware del tipo downloader apenas es detectado por 8 de 43 motores AV según informa VirusTotal.

    Una vez descargado y ejecutado el downloader procederá a su vez a descargar en la PC un malware tipo screen overlay y los hace en este caso desde:

    Este último malware (turbodriver.exe), solo identificado por 12 de 43 motores AV según VirusTotal, se ocupa de registrar y robar información (usuario, contraseña, tarjeta de coordenadas) de acceso a distintos sitios de banca electrónica argentinos:

    • Standard Bank
    • Macro
    • Supervielle
    • Banco Patagonia

    Este malware bancario una de las cosas que hace es presentar formularios falsos en el navegador cuando uno ingresa al sitio web del banco.

    Con estos formularios sobreimpresos (overlay) en la página web del banco, se solicitan datos que el banco no pide, tal como la tarjeta de coordenadas completa. Esta información luego es enviada al delincuente.

    Al investigar los sitios de descarga del malware bancario, se encuentró que en uno de ellos se hallaba aún otro archivo ejecutable (knowbasems.exe) similar, detectado por 12 de 44 motores antivirus según VirusTotal, y que afecta a los bancos:

    • Standard Bank
    • Banco de Tucuman
    • Macro
    • Supervielle

    Este último, de más de un mes de antigüedad, muestra que el dueño del sitio web abusado para su almacenamiento, un sitio web con problemas de seguridad, sigue sin corregir sus problemas y ni siquiera ha escaneado los archivos que tienen en su servidor.

    Origen de los correos:
    Nuevamente comprobamos, como vimos hace dos semanas, que estos correos han sido enviados desde dominios de correo de empresas u organizaciones en los que se ha comprometido de alguna manera el sistema de correo o algunas cuentas de usuarios. Estas son algunas:

    • @cmcserviciossrl.com.ar
    • @hotelastor.com.ar
    • @clubgodoycruz.com.ar
    • @encina.com.ar
    • @delfuturolibros.com.ar
    • @moduace.com.ar

    Esto último sumado y la otras características descriptas de estos correos, le permiten al delincuente superar con facilidad muchos filtros de correo spam, alcanzando así a sus potenciales víctimas.

    Desde Segu-Info hemos hecho las denuncias correspondientes. Comprobamos además que en sectores administrativos de empresas pueden caer fácilmente como víctimas de este tipo de correos engañosos.

    Es importante trabajar en la concientización de las personas y enseñarles algunas directivas básicas, sencillas y sumamente efectivas como lo es la recomendación de no acceder a adjuntos ni enlaces no solicitados en correos, sin importar su origen.

    Muchas gracias Ernesto por la investigación del malware y datos aportados!

    Raúl de la Redacción de Segu-Info

    ¿Dónde estoy?

    Actualmente estás viendo los archivos para noviembre, 2012 en Seguridad Informática.