Archive for Seguridad Informática

enero 30th 2016

Docenas de expertos en ciberseguridad engañados por phishing

Número de lecturas: 460
{lang: 'es-419'}

La RSA Conference se celebra anualmente en San Francisco. Este evento internacional gira entorno a la seguridad informática y congrega a cientos de expertos en la materia. Con todo, la polémica ha salpicado esta edición de 2016 porque decenas de asistentes, supuestamente profesionales de la ciberseguridad, han caído en una trampa para principiantes.

 

Después de completar el registro online para participar en las conferencias, la página web pidió a los invitados que difundieran vía Twitter su asistencia al evento. El mensaje para compartir por la red social tenía un texto predefinido como este: “Voy a la #RSAC 2016 en San Francisco, ¿quién quiere venir conmigo?”.

Normalmente, cuando un usuario quiere compartir algún mensaje vía Twitter debe hacer click en el botón azul con el logotipo y automáticamente se le redirige a la red social para que haga la publicación. En cambio, en la página web de la RSA Conference solicitaban (como se ve en la imagen) el nombre de usuario y la contraseña de los usuarios. En otras palabras: cayeron el phishing.

Recomendaciones y consejos sencillos para evitar un ataque hacker

El phishing tiene como objetivo engañar a la víctima haciéndole creer que está en un sitio web de confianza. Como el usuario no sospecha que está siendo atacado, rellena su nombre de usuario, contraseña, email… los datos que haga falta sin percatarse de la estafa. En realidad, toda esta información confidencial llega directamente a las manos de losciberdelincuentes que luego la emplearán para obtener un beneficio económico.

Protege tu móvil ante malware, virus y otros ataques

En esta ocasión no parece que la RSA Conference tuviese la intención de engañar a sus invitados, pero solicitar y almacenar las credenciales privadas de los usuarios es muy alarmante. Sin embargo, la polémica se centró en las víctimas,supuestos expertos en esta clase de ataques en Internet.

 

“Si te preguntas por qué los productos de infosec son malos, podéis ver todos los asistentes al #RSA2016 que regalaron su contraseña de Twitter”.

El público de Twitter no ha sido indiferente, el escarnio público no se ha hecho esperar. Según el usuario goguenjgoguen “si te preguntas por qué los productos de infosec son malos, podéis ver todos los asistentes al #RSA2016 que regalaron su contraseña de Twitter”.

[Fuente:telegraph]

septiembre 25th 2015

Apple publica una lista de las principales 25 aplicaciones afectadas por el Malware XcodeGhost

Número de lecturas: 215
{lang: 'es-419'}

Apple acaba de publicar una lista de las 25 principales aplicaciones que se han visto afectadas por el Malware XcodeGhost. De una lista inicial de 50 aplicaciones afectadas, Apple ha eliminado unas cuantas de sus servidores y otras ya se encuentra disponible actualizaciones de las aplicaciones que resuelven el problema.
Estamos ante el último gran escándalo de la compañía de la manzana mordida, de la cual tiene culpa en parte (por haberse saltado todos los controles de la App Store) pero no toda ya que estamos ante una jugada muy bien orquestada que realmente no ha aprovechado ningún fallo del sistema operativo.

La lista que ha presentado Apple es la siguiente y en su gran mayoría son aplicaciones del gigante asiático o que se encuentran localizadas en este país:
WeChat

DiDi Taxi

58 Classified – Job, Used Cars, Rent

Gaode Map – Driving and Public Transportation

Railroad 12306

Flush

China Unicom Customer Service (Official Version) (*)

CarrotFantasy 2: Daily Battle (*)

Miraculous Warmth

Call Me MT 2 – Multi-server version

Angry Birds 2 – Yifeng Li’s Favorite (*)

Baidu Music – Music Player with Downloads, Ringtones, Music Videos, Radio & Karaoke

DuoDuo Ringtone

NetEase Music – An Essential for Radio and Song Download

Foreign Harbor – The Hottest Platform for Oversea Shopping (*)

Battle of Freedom (The MOBA mobile game)

One Piece – Embark (Officially Authorized) (*)

Let’s Cook – Receipes

Heroes of Order & Chaos – Multiplayer Online Game*

Dark Dawn – Under the Icing City (the first mobile game sponsored by Fan BingBing) (*)

I Like Being With You (*)

Himalaya FM (Audio Book Community)

CarrotFantasy (*)

Flush HD

Encounter – Local Chatting Tool

La gran mayoría de las aplicaciones aquí listadas ya se encuentran actualizadas. Así que para asegurarse, los usuarios que tengan estas aplicaciones deberían de actualizarlas. Las aplicaciones marcadas con asterisco son aplicaciones que han sido retiradas de la App Store (de momento, hasta que sean actualizadas) y Apple aconseja a los usuarios que tengan dichas aplicaciones instaladas las borren de su dispositivo iOS.
Las dimensiones del ataque
La verdad es que nos encontramos ante una situación curiosa. Estamos ante un ataque a través de estas aplicaciones que conseguía acceder a nuestros datos personales del terminal, contraseñas, datos bancarios, tarjetas de crédito… etc. Y ni siquiera los desarrolladores de las aplicaciones eran conscientes de ello.
¿El problema por el cual se ha generado todo este ataque? Por el tamaño de las herramientas Xcode de Apple. Estamos hablando de más de 3 Gigas y medio de descarga. Esto para un desarrollador en los Estados Unidos puede suponer en torno a los 20-25 minutos de descarga. Mientras que para un desarrollador asiático podía ver como este tiempo de espera se duplicaba o cuadriplicaba al estar mucho más alejados de los servidores.
¿Qué hacían? Búsquedas en motores como Baidu que les daban enlaces a servidores con copia de las herramientas mucho más cerca y que evidentemente llevaba menos tiempo descargar. Aquí llegó el caballo de Troya. Pensando que estaban descargándose la herramienta oficial de Apple en realidad se descargaban un entorno de desarrollo (el llamado XcodeGhost) que era el que introducía los elementos necesarios en el código de la App para que les permitiera después tener acceso al terminal con estas aplicaciones instaladas.

Fuente:
appleesfera.com

septiembre 7th 2015

La información no Pública que Publican algunos sitios de GOB.EC

Número de lecturas: 329
{lang: 'es-419'}

Es bastante interesante lo que se puede hacer con un buscador y unas cuantas malas configuraciones en los servidores web de varias instituciones que usan en su dominio el subfijo GOB.EC.

Con una búsqueda tan simple como “site:gob.ec password” se llegan a obtener resultados como estos:

Entiendo que como está publicado he indexado en un buscador, la información es Pública, es por esto que no cubro los datos que a mi criterio son críticos, pero al parecer para la institución no lo son.
Otros hallazgos importantes son, que parece que hay varios sitios de gobiernos sobretodo descentralizados que les usan para distribuir software pirata y malware. En la imagen siguiente se puede ver que en el sitio carchi.gob.ec hay enlaces para descargar el Antivirus ESET.
  Y carchi.gob.ec no es un caso aislado, esto es algo bastante común como se puede ver en la siguiente imagen.

 

Están los sitios de Babahoyo, Valparaiso, La Esperanza entre otros.

Otra información que publican son logs, que deberían ser confidenciales, aunque parece que algunas instituciones consideran esto información pública.

Un hallazgo más de tantos es que hacen respaldos en los mismos servidores de producción, y como les cambian las extensiones a los archivos se puede descargar el código fuente con dos clics.

En la imagen anterior se puede ver que cambian las extensiones php a phpfecha lo que permite que con un clic derecho se puedan descargar cada uno de los archivos en búsqueda de información crítica. Tal como se muestra en la siguiente imagen.

Una vez más parece que esto es información pública para esa institución, a mi criterio esto se debería tratar como información crítica.

Otro hallazgo es que les usan a los sitios para promocionar pornografía, es bastante preocupante el desinterés de los responsables.

Si en el navegador colocamos lo siguiente “site: gob.ec sex” (puede hacer la prueba) nos encontramos con lo mostrado en la siguiente imagen.
Si quieren sexo y citas vayan a los sitios listados.
Con este artículo simplemente quiero alertar a las personas que administran esos sitios, con unas pocas lineas cambiadas en la configuración de Apache, un htaccess adecuado y SELINUX habilitado pueden ganar mucho.
Toda la información aquí citada es pública y puede ser accedida por cualquier persona con un buscador como la única herramienta, no se han realizado intentos de penetración o actividades similares. 

 

Fuente:

http://blog.moya.ec/

marzo 26th 2015

Exposiciones del Congreso #HACKSI2015

Número de lecturas: 461
{lang: 'es-419'}

Hoy a mi correo me llego un enlace indicandome que estan a disposición del público los videos de la conferencia lo cuál agradezco mucho y me parece espectacular.

En Enero 2015, se llevo a cabo el Primer Congreso Digital de Habla Hispana Sobre Hacking y Seguridad Informática, contó con exposiciones de 5 países, a continuación les brindaremos los videos de las exposiciones del Congreso, para que puedan dar revisión a las mismas y acceder en caso lo deseen a un diploma gratuito. El Certamen fue convocado por el Instituto Nacional de Investigación Forense (Perú) con Personería Jurídica 12504821, el evento se ha desarrollado en las fechas 10 y 11 de Enero del 2015, debe indicarse que la participación de los expertos ha sido ad honorem, por lo cual expresamos un fuerte agradecimiento a cada uno de ellos, que dieron su mejor voluntad en esta nueva iniciativa académica.

ARGENTINA

Expositor: Pedro Matias Cacivio
Tema: “Pensando como un Atacante”

Ver Vídeo en:

YouTube Preview Image YouTube Preview Image YouTube Preview Image
BOLIVIA
Expositor: Ing. Bismark Francachs CastroTema: “La Legislación en Internet Vs. Hacktivismo”Ver vídeo en:

YouTube Preview Image
COLOMBIA
Expositor: Ing. Cesar Villamizar Nuñez
Tema: “Delitos Informáticos y Aspectos Legales en Colombia”Ver exposición aqui

Expositor: Ing. Andrés Felipe Lorza Rodriguez.
Tema: “Encargado de Seguridad Informática ¿y ahora qué hago?”
YouTube Preview Image
ECUADOR
Expositor: Ing. Javier León Cabrera
“Fuentes de evidencias en Sistemas operativos”
Ver vídeo en:
YouTube Preview Image
MÉXICO
Expositor: L.S.C. Salvador Pereyra Amavisca
“Métodos Forense para recuperar información. Analizando la RAM”Ver vídeo en:

YouTube Preview Image
PERÚ
Expositor: Ing.Wilmer Alonso Romero Ampuero
Tema: “Criptografia Caotica”Ver vídeo en:

YouTube Preview Image
El evento se desarrollo 100% Digital  y fue 100% Gratuito.
Nota: Si desean optar por la emisión del diploma gratuito, deberán contactarse por interno al correo sedeforense@hotmail.com, indicando los siguientes datos:
Nombres completos, Numero de documento de identidad, País.
A fin de que puedan recibir un cuestionario al respecto de los temas del congreso. La recepción de solicitudes se recibirán como máximo hasta el día 11 de Abril del 2015
Fuente: