Explican el procedimiento utilizado por Snowden para apropiarse de los documentos ultrasecretos

agosto 31, 2013 § Deja un comentario

Edward Snowden ha sido el protagonista de una de las mayores filtraciones de actividades gubernamentales secretas y semi ilícitas en la historia de Estados Unidos. Paralelamente, poco se ha sabido sobre la forma en que pudo hacerse de documentación que, por definición, tiene carácter ultrasecreto.

Citando fuentes anónimas al interior de servicios de inteligencia estadounidenses, el canal de televisión NBC ha revelado parte de la información.

Según trascendió anteriormente, Snowden trabajaba como administrador de sistemas para la empresa Booz Allen Hamilton, contratista de la NSA, para labores de administración de los sistemas informáticos de la agencia.

En esta oportunidad, las fuentes de NBC revelan que Snowden trabajaba desde Hawai mediante un PC Thin Client, que no ejecutaba las operaciones directamente, sino se vinculaba a un servidor central. Dependiendo de la autorización de seguridad del usuario, su PC le proporcionaba acceso limitado a los datos contenidos en el servidor central.

Considerando entonces que Snowden estaba registrado como administrador del sistema, sus privilegios le permitían abrir todos los archivos contenidos en el mismo, sin limitación alguna. Asimismo, tenía acceso directo a la intranet de la NSA, denominada NSAnet. En función de su cargo, Snowden tenía además el privilegio exclusivo de poder copiar archivos entre diversas computadoras, algo que ni siquiera tienen permitido los agentes de la NSA.

De esa forma, el ahora prófugo estadounidense pudo copiar libremente archivos en una memoria USB, sin despertar sospechas entre otros funcionarios de la NSA. El hecho que Snowden tuviera además los conocimientos necesarios como para realizar sus actividades sin dejar huellas electrónicas le convirtieron en un “usuario fantasma”, según las fuentes de NBC.

Otro factor que facilitó la extracción de documentos por parte de Snowden fue que, curiosamente, NSA tiene un sistema de seguridad con una obsolescencia calculada en 10 años. Esto no deja de sorprender, considerando los recursos económicos y técnicos de que dispone una organización como ésta.

“Son muy capaces cuando se trata de tareas sofisticadas, pero sorprendentemente incapaces cuando se trata de las labores más elementales”, declaró una de las fuentes a NBC.

Finalmente, el hecho que Snowden trabajase desde Hawai, lejos de la sede de la NSA en la costa este de Estados Unidos, hizo que nadie pudiera observar físicamente sus actividades. Así, pudo descargar todos los archivos con la información que ahora es del conocimiento público.

Fuente: DiarioTI

Anuncios

Facebook quiere tu cara

agosto 31, 2013 § 2 comentarios

Facebook sabe muchísimo de cada uno de sus usuarios: quiénes son sus amigos, familiares, los sitios a los que va, los productos que adora, los libros que lee o las películas que ve. Se declara abiertamente, forma parte del juego. Ahora quiere reconocer también a cada uno de sus clientes.

En el nuevo documento con las normas de privacidad se explica qué podrá hacer la empresa con las fotos de perfil. Según esta propuesta Facebook podrá analizar la imagen de perfil y usarlo para sugerir etiquetas en otras fotos de la misma persona. La novedad estriba en que la sugerencia de etiquetas hasta ahora solo se hacía basándose en fotos que ya tuvieran la etiqueta pero nunca tomando como modelo la imagen de perfil -la principal de cada miembro, que aparece junto a su nombre en cada una de sus acciones- que no tiene por qué tener una etiqueta.

De este modo, Facebook se reafirma en su interés por el reconocimiento facial. A mediados de junio compró la empresa face.com, por 75 millones de euros. La nueva adquisición se especializa en buscar afinidad entre caras que funcionaba como un complemento del propio Facebook para automatizar el etiquetado de amigos. Hasta ahora se asumía que sugirieran otras fotos similares, pero no que lo vayan a automatizar. En el documento no dejan claro si se podrá desactivar esta opción.

Otro punto pendiente de aclarar es cómo usará la empresa los datos personales de cada miembro de la red con los anunciantes. Se limitan a zanjarlo con un “habrá más explicación”. Hasta ahora necesitaban el permiso explícito para poner datos de un usuario en sus anuncios. El pasado lunes tuvieron que enfrentarse a un proceso judicial en el que se les pedían 15 millones de euros (20 millones de dólares), aunque inicialmente eran más de 110 (145 de dólares), por infringir esta norma en sus “historias patrocinadas”, un formato publicitario que se presenta de manera muy similar al contenido generado por el usuario cuyos fines son comerciales.

La demanda colectiva presentada en los juzgados de California argumentaba que los usuarios habían dado a “me gusta” en una página de un producto y después vieron como se publicitaba esa acción sin su consentimiento. Desde el lanzamiento de este formato publicitario, hace 19 meses, Facebook se ha embolsado más de 176 millones de euros (234 millones de dólares) con este soporte.

El año pasado, antes de la implantar cambios, la red social hizo una encuesta que solo sería vinculante si votaba más del 15% de sus usuarios. Por entonces superaba 800 millones de usuarios. Ahora van por 1.100, pero se han ahorrado el maquillaje democrático. Se han quedado en una encuesta para que los que se sienten incómodos con las medidas lo indiquen durante los próximos siete días. En consecuencia, el próximo viernes se harán efectivos los cambios.

Fuente: El País

Prevenir Ataques 0-Day [Infografía]

agosto 31, 2013 § 1 comentario

Las exposiciones desconocidas y las explotaciones de 0-Day son los vectores principales de ataque en los ambientes de red actuales debido principalmente a que tienen la habilidad de evitar la detección de malware tradicional – dificultándole a las organizaciones mantenerse actualizadas con el volumen abrupto de amenazas (click en la imagen para agrandar).

Los criminales lanzan constantemente ataques nuevos distribuyendo miles de nuevas variantes de malware cada día. Las soluciones antivirus tradicionales no son suficientes cuando se trata de lidiar con amenazas desconocidas.

Las organizaciones pueden confiar en que los empleados están conscientes de la seguridad cuando procesan datos corporativos en sus dispositivos personales – y muchos empleados lo están. Pero éstos generalmente se enfocan en laborar más eficientemente y en hacer su trabajo, no en si sus acciones pueden crear un riesgo de seguridad. Gran parte del tiempo no existen malas intenciones por parte del empleado y los datos permanecen en las manos adecuadas.

Fuente: One Digital

Vulnerabilidad en SUDO permite escalamiento de privilegios en Mac OS

agosto 30, 2013 § Deja un comentario

Una vulnerabilidad en el proceso de autenticación de SUDO, reportado en marzo pasado, está ganando popularidad con el lanzamiento de un nuevo módulo de Metasploit que hace realmente fácil explotar dicha vulnerabilidad en Mac OS.

La vulnerabilidad identificada como CVE-2013-1775, consiste en saltar las restricciones de tiempo y mantener los privilegios administrativos, reajustando el reloj del sistema (UNIX Epoch) al 1 de enero de 1970. No se limita a OS X, y también se puede encontrar en 1.8.6p7 y 1.7.10p7.

De acuerdo a un artículo de Dan Goodin en Ars Technica, las versiones OS X 10.7 a 10.8.4 siguen siendo vulnerables.

Es importante destacar que la vulnerabilidad solo puede aprovecharse si el atacante ya tiene acceso a una consola física o remota de la víctima pero HD Moore remarca que “esta vulnerabilidad permite que cualquier usuario del sistema se convertierta en root”.

Nota: el módulo Metasploit fallará silenciosamente si el usuario no es un administrador (sudoer), o si el usuario no ha ejecutado nunca el comando SUDO.

Cristian de la Redacción de Segu-Info

SPLUNK: análisis de eventos en tiempo real

agosto 30, 2013 § 2 comentarios

SPLUNK Es un software para buscar, monitorizar y analizar datos de aplicaciones, sistemas e infraestructura IT. Permite la captura, indexación y correlación en tiempo real, almacenándolo todo en un repositorio donde permite generar un panel o cuadro de mandos en formato gráfico.

Splunk dispone de dos versiones una de comercial (Enterprise License) diseñada para empresas, y una gratuita “Free License” para uso personal. La versión freeware está limitada a 500 MB de datos al día, y carece de algunas de las funcionalidades de la versión licenciada Enterprise.

Es un producto con el cual se puede solucionar la gestión y presentación de un volumen muy grande de datos utilizando un gestor ‘Big data’ como es Splunk. Se puede crear un ‘timeline’ y realizar minería de datos con objeto de realizar un análisis forense.

Contenido completo en fuente original Conexión Inversa:

Hackean Dropbox y muestran cómo acceder a los datos de los usuarios

agosto 30, 2013 § 1 comentario

La autenticación de doble factor que Dropbox implementó hace casi un año ha demostrado no ser tan segura como se pensaba. A primeros de julio se detectaba una vulnerabilidad crítica que permitía que un hacker superara esa autenticación que lo que hace es crear una segunda capa de seguridad.

Y hace unos días, durante la celebración de USENIX 2013, un congreso de seguridad que se ha celebrado en Washington, dos investigadores rompieron la seguridad de Dropbox interceptando datos SSL de los servidores y evitando la autenticación de doble factor del proveedor de almacenamiento en la nube y publicaron este trabajo en un documento [PDF].

Según los investigadores las técnicas que han utilizado para lograrlo son tan genéricas que creen que podrán ayudar en los futuros desarrollos de software.

“Dropbox es un servicio de almacenamiento de archivos basado en la nube utilizado por más de 100 millones de usuarios. A pesar de su enorme popularidad creemos que Dropbox como plataforma no ha sido analizada suficientemente desde un punto de vista de seguridad”, dicen los investigadores, que también comentan que ciertos análisis sobre la seguridad de Dropbox han sido “duramente censurados”.

El servicio de almacenamiento online ha respondido a los investigadores diciendo que aprecian las contribuciones de estos investigadores y de cualquiera que mantenga Dropbox a salvo. También puntualizan que para que el trabajo de los investigadores tuviera éxito, primero se tendría que comprometer completamente el ordenador del usuario, según un comunicado remitido a ComputerWorld.

Por el momento, lo que está a disposición de cualquiera es el proceso detallado de los investigadores, que incluye técnicas de inyección SQL e interceptación de datos SSL.

Fuente: ChannelBiz

Twitter compra Tendrr, para analizar los gustos televisivos

agosto 30, 2013 § Deja un comentario

Tendrr permite a Twitter conocer más sobre el intercambio de información sobre programas de televisión de los usuarios y sobre las opiniones respecto a estos.

Twitter, en su interés por construir su propio servicio de televisión, ha comprado Tendrr, que cuenta con herramientas destinadas a analizar las preferencias de los cibernautas sobre los programas de televisión. Hasta ahora, este servicio competía con la oferta de análisis que tiene la red social.

Esta compra de Tendrr se une a otras iniciativas de la compañía que muestran que Twitter tiene cierto interés en conoces los gustos televisivos de sus usuarios y se une a otra importante adquisición realizada por la red de microblogging a comienzos de este año, la de Bluefin Labs, la que ha sido su mayor adquisición y que destaca porque mide el grado de reciprocidad entre el usuario y los programas de televisión o la publicidad en la TV.

Otra adquisición que podría entrar en los planes de la empresa de conseguir más presencia en los medios, se realizó en mayo, con la firma de análisis de datos Lucky Sort, un servicio de visualización y navegación que permite a los usuarios conocer las noticias y tendencias de los medios sociales de forma visual.

El software desarrollado por Trendrr permite analizar los intercambios sobre programas de televisión o publicidad que se realiza en las redes sociales, además de ofrecer un punto de vista sobre la percepción de esos programas por parte del público.

Por otro lado, la pasada semana, Twitter anunciaba la contratación de la hasta ahora directora de comercialización de anuncios para televisión y ocio en Google, Jennifer Prince, al frente del área de “Entertaiment Sales”, para encargarse de formar un equipo de trabajo que deberá buscar cómo vender la marca de Twitter espacios televisivos, así como en algunos videojuegos.

Fuente: SiliconNews

¿Dónde estoy?

Actualmente estás viendo los archivos para agosto, 2013 en Seguridad Informática.