Ataque de fuerza bruta contra usuarios de GitHub

noviembre 21, 2013 § Deja un comentario

Un número sin especificar -aunque se presume elevado- de usuarios del conocido repositorio de software GitHub, ha sido víctima en las últimas fechas de un ataque de fuerza bruta por el que se han comprometido las contraseñas más débiles, informan en el blog oficial del servicio.

Las contraseñas de las cuentas vulneradas han sido reseteadas y las autorizaciones revocadas, indican los responsables de GitHub, que han informado por correo electrónico a los usuarios afectados, quienes deberán crear una nueva contraseña obligatoriamente antes de volver a identificarse en el sitio. Y no podrá volver a ser una frase débil, porque ya no está permitido.

Por precaución, se han reseteado también las contraseñas a usuarios con contraseñas no necesariamente débiles, y advierten al resto a controlar la actividad en sus cuentas y los intentos de ingreso fallidos, información que se puede ver en el historial de seguridad del usuario y que sirve de prueba de un intento de ingreso fallido y fraudulento.

Además de revisar el historial de seguridad y crear una contraseña fuerte, se recomienza activar la verificación en dos pasos, función que GitHub estrenó hace poco más de dos meses y que ha demostrado ser efectiva en otros servicios, especialmente ante ataques de este tipo.

Lo que no deja de ser curioso en este caso es que incluso usuarios que se supone avanzados como son los desarrolladores que pueblan GitHub, se caiga también en el error de las contraseñas débiles.

Fuente: Muy Seguridad

Anuncios

94% de las conexiones a un sitio son de atacantes

noviembre 17, 2013 § Deja un comentario

Intrusos y ciberdelincuentes intentan detectar vulnerabilidades en sitios web para acceder a la cuenta de administrador.

Según investigación realizada por la empresa de seguridad informática Incapsula entre 1000 sitios web analizados durante un periodo de 3 meses, sólo 20.376 intentos de inicio de sesión (login) fueron exitosos, de un total de 1,4 millones.

La mayoría de los intentos de conexión fueron realizados por herramientas automatizadas y robots, y no por individuos.

El material analizado por Incapsula indica que el 94 por ciento de todos los intentos de inicio de sesiones; es decir 15 de cada 16, corresponde a tales herramientas, que recorren Internet en búsqueda de páginas inseguras, intentando detectar vulnerabilidades o agujeros de seguridad que les permitan ingresar a los sitios y hacerse del control de éstos.

En la mayoría de los casos se trata de intrusiones de tipo “fuerza bruta”; es decir, programas que digitan un gran número de nombres de usuario y combinaciones de contraseñas, esperando así obtener acceso al servicio.

Sólo el 2,8% de los intentos infructuosos de conexión son atribuibles a error humano; es decir, realizados por personas que probablemente habían olvidado la contraseña, o escrito el código erróneo.

Fuente: DiarioTI

Nuevo fallo del tipo “Master Key” afecta a Android 4.4 y anteriores

noviembre 6, 2013 § Deja un comentario

A principios de julio de este año, fue publicado un fallo en la verificación de firmas de Android que permitía evitar la comprobación de firma.

BlueBox, la empresa que descubrió el fallo, anunció que daría detalles en la BlackHat 2013. Pero poco después del comunicado la comunidad se interesó por el asunto y prácticamente le quitaron el caramelo de las manos publicando pruebas de concepto en las cuales se demostraba la manera de aprovechar el fallo, llamado “Master Key”; debido a que gracias a él permite, incluir código arbitrario en cualquier APK firmado por un desarrollador sin alterar la firma.

Días después, el grupo chino Android Security Squad publicó un nuevo ataque parecido a “Master Key”, pero en el que se podía inyectar código compilado arbitrario en el archivo “classes.dex” de otra aplicación. Para ello se aprovechaba un espacio entre la cabecera y los datos y nuevamente sin alterar la firma del paquete. Aunque este error se limitaba a archivos “classes.dex” inferiores a 64K.

Jay Freeman, más conocido por su trabajo al frente de Cydia (gestor de aplicaciones para sistemas iOS con jailbreak), ha publicado un nuevo método del tipo “Master Key” aprovechando un fallo en la última versión de Android, la 4.4.

Freeman examinó un parche incluido en el código liberado de la versión 4.4 de Android y comprobó como existía la posibilidad de inyectar clases compiladas en un archivo “classes.dex” de un tercero. El método es similar al encontrado por el grupo chino, es decir, se basa de nuevo en la inyección de clases dentro de las secciones que componen el archivo comprimido en formato ZIP.

Aunque este fallo podría ser usado por un atacante para inyectar código sin romper la firma de un paquete legítimo, Freeman lo orienta más a la capacidad para realizar un “rooteo” del dispositivo.

Con este tipo de vector son ya tres los fallos encontrados (al menos publicados) que pueden ser usados para la misma finalidad. De nuevo la implementación y manejo de los archivos comprimidos en el proceso de verificación de firmas son la fuente de problemas para el sistema operativo móvil de Google.

Esto último, unido a la desesperante tardanza de algunos operadores en liberar parches para los sistemas de sus clientes, hacen que la ventana de exposición se convierta en un largo e interminable pasillo. Eso siempre y cuando se tenga la suerte de que el sistema siga estando soportado.

Fuente: Hispasec

PHP.net modificado con un script dañino

octubre 24, 2013 § Deja un comentario

El sitio web oficial del lenguaje PHP, php.net, ha sido marcado como dañino por Google ya que contiene malware que puede dañar su sistema

El sitio web incluye un script http://static.php.net/www.php.net/userprefs.js que ha sido marcado como dañino debido a que descarga software malintencionado de 4 dominios, incluyendo cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/ y satnavreviewed.co.uk/. Tres de estos dominios parecen estar funcionando como intermediarios para la distribución de malware.

El JavaScript alterado “userprefs.js” inserta un iframe oculto en la página web, que carga el contenido de un sitio externo.

Actualización: al momento de escribir esto, el script dañino ya ha sido eliminado pero esto no significa que PHP.net haya solucionado las vulnerabilidades en su servidor.

Fuente: HackerNews

Secuestran dominios de Metasploit.com, Rapid7.com y empresas antivirus

octubre 14, 2013 § Deja un comentario

Los palestinos de KDMS Team, los que han desfigurado numerosos dominios de alto perfil en los últimos días a través de envenenamiento de DNS, el pasado viernes secuestraron Metasploit.com, el sitio web dedicado al popular software de prueba de penetración Metasploit y también alteraron el sitio web de Rapid7.

“Hola Metasploit. Después de atacar a whatsapp, avira, alexa, avg y otros sitios estábamos pensando en dejar el hacking y desaparecer de nuevo. Pero dijimos: hay algunos sitios que deben ser hackeados. Vuestro sitio es uno de nuestros objetivos. Por lo tanto, aquí estamos”, escribieron los atacantes en el sitio web alterado.

“Y hay una cosa más. ¿Conocéis a Palestina? Hay un país llamado Palestina en la tierra. Esta región ha sido robada por los sionistas. ¿Lo conoces? El pueblo palestino tiene derecho a vivir en paz, merecen ser liberados”, agregaron.

Los DNS de los sitios de Metasploit y Rapid7 fueron temporalmente dirigidos a la IP 74[.]53[.]46[.]114 y los mirrors de los sitios modificados pueden verse aquí:

HD Moore de Rapid7 confirmó que los sitios web fueron secuestrados vía el registrador de DNS Register.com y un fax enviado a nombre de la empresa. “Esta mañana, la configuración de DNS para Rapid7.com y Metasploit.com fue cambiada por un tercero malintencionado. Hemos tomado medidas para solucionar el problema y en este momento ambos sitios están cerrados. Estamos investigando la situación, pero parece que el dominio fue secuestrado mediante una falsa solicitud de cambio enviada por fax a Register.com.”

Cabe destacar que Register.com pertenece a Web.com, al igual que Network Solutions, el mismo registrador atacado cuando fueron modificados los sitios de AVG, Avira y Whatsapp hace unos días.

Fuente: Softpedia

Venden más de 500 millones de identidades por Internet

octubre 1, 2013 § Deja un comentario

Brian Krebs ha publicado un extenso análisis sobre un servicio online e ilegal que vende datos personales de ciudadanos de EE.UU. y que luego podrían ser utilizados para el robo de identidad. Los datos son reales y han sido robados de por lo menos tres grandes empresas proveedores de datos del país.

Un ataque ha dado acceso a los delincuentes a los números de seguro social, fechas de nacimiento, y otros detalles personales y financieros que puedan poner riesgo las finanzas de las víctimas.

El servicio conocido como SSNDOB (ssndob.ms) utilizó una botnet para obtener acceso secreto a las bases de datos de LexisNexis, Dun & Bradstreet, Kroll Background America, Inc. y Altegrity. Los delincuentes cobran de 50 centavos a 2,50 dólares por registro y de U$S 5 a U$S 15 por la verificación de crédito y antecedentes de los usuarios.
En marzo pasado ya se había descubierto otro servicio exposed.su que usaba datos recogidos por SSNDOB y los vendía a sus clientes. En ese sitio ya aparecían datos de celebridades como Beyonce, Kanye West y Jay Z así como de como la primera dama Michelle Obama, el director de la CIA John Brennan, y el entonces director del FBI, Robert Mueller.

Para tener una idea de la cantidad de datos traficados, sólo la red de LexisNexis proporciona cobertura a más de 500 millones de identidades únicas.

“El C&C de la botnet encontrada en los servidores de LexisNexis muestra la instalación de un pequeño programa no autorizado llamado ‘nbc.exe’ el pasado 10 de abril 2013, lo que sugiere que los intrusos han tenido acceso a las redes internas de la empresa durante al menos cinco meses”. El programa fue diseñado para abrir un canal de comunicación cifrado dentro de los sistemas internos de LexisNexis y que enviaba los datos al C&C en Internet.

Los registros de SSNDOB muestran que más de 1.300 clientes han gastado cientos de miles de dólares para obtener información sobre números de seguro social, cumpleaños, registros de licencia de conducir, obtención de crédito autorizados e informes de antecedentes de más de cuatro millones de estadounidenses.

El sitio web del servicio en ssndob.ms ha sido dado de baja, pero existen otros servicios similares como ssndob.cc y ssndob.biz.

Dun & Bradstreet y Altegrity han dicho que están investigando los ataques pero LexisNexis dijo que no ha encontrado ninguna evidencia del robo de datos. Mientras tanto, analistas de Gartner dijeron que sospechan que este tipo de entidades han estado comprometidas durante años.

Fuente: The Hacker News y Brian Kreb

El Reino Unido arrestó a un adolescente por el ataque a SpamHaus

septiembre 30, 2013 § Deja un comentario

La Unidad Nacional de Crimen Cibernético de Gran Bretaña arrestó “en secreto” a un joven de 16 años residente en Londres bajo la sospecha de estar involucrado en el “mayor ataque cibernético en la historia de internet” contra SpamHaus.

Se ha informado de que hace varios meses fue arrestado este adolescente, cuyo nombre no se ha revelado, como parte de la investigación sobre el mayor ataque distribuido de denegación de servicio (ataque DDoS) de la historia, contra Spamhaus, que fue presuntamente ejecutado por el grupo holandés CyberBunker el 20 de marzo de este año.

Ese día, los servidores de la organización antispam holandesa, que rastrea los envíos de spam por correo electrónico y demás actividades con ‘información basura’, llegó a verse inundado con 300.000 millones de bits por segundo (300Gbps) de datos, un ataque tres veces más grande que el anterior récord de 100 Gbps.

El adolescente pasó a ser sospechoso después de comprobarse que “importantes sumas de dinero” estaban “fluyendo a través de su cuenta bancaria”, informó este jueves el periódico ‘London Evening Standard’.

“El sospechoso fue encontrado con sus sistemas informáticos abiertos y conectado a varios sistemas virtuales y foros”, explicó el diario, citando una nota informativa de la Unidad Nacional de Delitos Cibernéticos.

Según el ‘Evening Standard’, la detención se realizó en abril en la casa del joven en el suroeste de Londres, pero los detalles de la misma se dieron a conocer hace poco al diario.

Fuente: RT

¿Dónde estoy?

Actualmente estás explorando la categoría atacantes en Seguridad Informática.