31 marzo 2011

Samsung instala Keyloggers en ordenadores portátiles

¿Recordáis el affaire Sony y su rootkit? parece que la historia se repite, esta vez desde Samsung. Por lo visto, el fabricante Coreano de tecnología ha sido pillado 'con las manos en la masa' instalando software de tipo keylogger en sus ordenadores portátiles.

La historia es la siguiente, un empleado de NetSec (empresa dedicada a la seguridad informática) adquiere un nuevo equipo del fabricante Coreano, una vez adquirido decide hacerle una pequeña revisión en busca de malware y ¡sorpresa! encuentra un keylogger llamado StarLogger en su equipo nuevo.

Para descartar que el 'regalo' se lo hubiesen introducido en la tienda donde compró el primer equipo, decidió comprar un segundo equipo Samsung en otro establecimiento. Realizó la búsqueda y ... Anda ! resulta que el otro equipo estaba igualmente infectado.

Con estos datos decide ponerse en contacto con el servicio técnico de Samsung, en primera instancia le dicen que eso no es posible, que ellos únicamente hacen el hardware y que será cosa 'de Microsoft'.

Finalmente consigue hablar con un supervisor técnico que ... le confirma que sí, ellos instalan ese software 'Para analizar el comportamiento de los usuarios' y que 'no debe temer por ello'

Es comprensible la cara de WTF! que se le debió quedar cuando obtuvo esa respuesta. Casi igual que la cara que se les quedó a la gente de Panda cuando encontraron malware en el software que les proporcionó VodaFone

Pocas excusas admisibles hay en todo esto, y ya no solo por la bizarra imagen de un montón de Coreanos en un sótano 'disfrutando' de un montón de conversaciones 'hot'. El problema es que ese keylogger también captura datos de accesos bancarios y al igual que el rootkit de Sony, seguro que puede ser utilizado por terceras personas para obtener bastante información.

Solo le veo una explicación plausible a todo esto: Que Samsung esté implantando un servicio Cloud de 'gestión y monitorización de parejas sospechosas' en cuyo caso si empiezo a verle la gracia a todo esto.

La historia original en inglés aquí

UPDATE: 'Samsungtomorrow' niega la existencia de dicho Keylogger y F-Secure dice no haber hallado evidencias en sus pruebas (aunque no especifica si las pruebas se hicieron en equipos adquiridos en la misma zona geográfica) No queda claro porqué el servicio técnico de Samsung si confirmó la existencia 
Leer más...

30 marzo 2011

Photoshop para Hackers y otros animales de la fauna

No todo en el mundo del auditor es programar scripts en python, meter comillas en formularios web o fuzzear aplicaciones. Un buen trabajo de auditoría acaba con un buen informe de resultados.

Una de las características más importantes en toda auditoría es documentar y evidenciar los hallazgos de la manera más clara posible. De esta forma, si por ejemplo mediante una vulnerabilidad en un servicio se obtiene el fichero de contraseñas, ese fichero ha de ser mostrado en el documento, para que no haya duda del éxito de la explotación.

Las evidencias pueden obtenerse de muchas formas y fuentes distintas, como logs de aplicaciones, salidas de comandos, imágenes o vídeos. Reflejar correctamente todos los datos, pasos y evidencias será la clave final para distinguir entre un buen trabajo de uno mediocre. Incluso independientemente de los resultados.

En el caso de los análisis forenses y periciales esto es aún más importante, ya que el informe será leído e interpretado por personas completamente ajenas al mundo de la tecnología que tomarán decisiones según lo que comprendan.

Por este motivo desde hace unos años es posible encontrar  libros especializados que detallan como mostrar evidencias de una forma inteligible y acorde a la audiencia, como son el caso de "Photoshop CS3 for Forensics Professionals: A Complete Digital Imaging Course for Investigators", "Adobe Photoshop Forensics" o "Forensic Photoshop".

Los analistas forenses y auditores que hacen tests de intrusión son capaces de hacer ingeniería inversa sobre un malware extraído de un volcado de memoria o explotar un 0day, pero no de usar Photoshop. Tal vez sea porque ninguno de ellos, especialistas en seguridad, está dispuesto a usar software de Adobe :-)

A muy grandes rasgos y sin tratar de resumir el contenido de estos libros, unos consejos para que las imágenes que se muestran en los informes sean mejor:
  • Eliminar toda la información irrelevante: las imagenes (y vídeos o audios), han de incluir únicamente lo que sea de interés, eliminando todo aquello que no aporte, pueda confundir o de más información de la que deseamos. Recuerdo haber visto un informe en el que mostraban un navegador con un tema rosa digno de la Barbie. Además de cuatro ventanas de Messenger en la barra de tareas. 
  • Resaltar lo importante: utilizando recuadros, subrayando, aplicando zoom u oscurenciendo el resto de lo mostrado.
  • Ocultar contenido confidencial: si se muestra un listado de contraseñas, tarjetas de crédito, datos personales, etcétera., no suele ser necesario mostrar el contenido entero. Siempre que no se solicite lo contrario, se debería tapar parcialmente la información. 
  • Usar correctamente los colores: pensando que el documento puede ser impreso en blanco y negro e incluso comprobando como quedaría con esos colores.
  • Añadir anotaciones y descripciones: cada imagen tiene que ir acompañada de un pie que la identifique y unas líneas que la expliquen. En ocasiones se pueden añadir adicionalmente información.
Generalmente todas estos cambios se pueden hacer con cualquier software de edición, incluido el Paint de Windows, el Paint.Net y por supuesto con Photoshop, pero existen un par de aplicaciones pensadas para la modificación de capturas que facilitarán la tarea.

Greenshots: herramienta open source para windows que permite capturar y editar el contenido.



SnagIt: es un producto comercial de la compañía Techsmith, es realmente potente y práctica aunque solo funciona en entornos Windows y Mac y tiene un coste de 50$.


Leer más...

29 marzo 2011

Rooted CON 2011 Día 3

Perdonad la demora con este post, pero hemos preferido esperar a la liberación de algunas informaciones antes de publicarlo, ¡vamos con el día 3!



--------------------------------
David Pérez + José Pico - Un ataque práctico contra comunicaciones móviles
Comenzaba el último día de Rooted CON 2011, y que mejor forma que con "espectáculo". Se vaticinaba algo grande, ya sólo por la preparación de David y José, desde primerísimas horas de la mañana, de sus "aparatos" que formarían parte de su charla "Un ataque práctico contra comunicaciones móviles": una jaula de Faraday, routers, móviles, iPads...

Primera charla por parte de @taddong, "un ataque practic... on Twitpic

Si sois seguidores del blog de Taddong, todos sabréis ya lo demostrado en anteriores ocasiones por estos chicos sobre sus investigaciones sobre las comunicaciones móviles. En esta charla centraron todo en las conexiones de datos, por ser uno de los principales usos de los dispositivos móviles hoy en día. Siempre se nos ha dicho (y hemos recomendado) que por seguridad, lo más adecuado sería utilizar conexiones de datos, como son GPRS o 3G, en vez de WiFi, por sus diversas inseguridades y por la cantidad de herramientas de "botón gordo" que últimamente se publican tanto para realizar ataques através de este tipo de comunicaciones. Pues imaginaos si ahora decimos que con un presupuesto de alrededor de 10.000 dólares, "cualquiera" pudiese interceptar nuestras comunicaciones de datos, y lo peor de todo...sin darnos ni cuenta.

Se plantearon (y posteriormente demostraron) ataques realizados mediante una estación base falsa (BTS), un PC y el desarrollo OpenBSC, capaz de crear una red GSM mínima pero suficiente. A esto, añadimos los componentes dedicados a la parte GPRS, mediante OsmoSGSN y OpenGGSN. Con todo preparado, simplemente es necesario comenzar a emitir con nuestra estación falsa y todo el software ejecutándose, para que la víctima se conecte a nuestra estación dejando la que se encontraba utilizando anteriormente.

La que se puede liar con este equipo #rooted2011  on Twitpic

Pero se nos prometió que iríamos a por las redes 3G/UMTS...¿cómo se consigue? Simplemente sería necesario inhibir las frecuencias UMTS que se encuentren alrededor (por ejemplo mediante un jammer, que se puede encontrar hasta en DealExtreme...), y con esto conseguiríamos que, en vez de que la víctima siga conectada a la red 3G, lo sacaríamos de dicha red, y a la hora de requerir conexión de datos, inmediatamente se iniciaría en nuestra red de datos, aún siendo GPRS. Casi todo el mundo tiene configurado que en caso de pérdida de red 3G (algo muy habitual en nuestro entorno, ya que la cobertura por aquí no es que sea muy buena...), directamente se conecte a la red 2G para continuar con las comunicaciones de datos.

La charla contó con varias demostraciones de todo lo comentado, incluyendo ataques de man-in-the-middle, mediante el cual era posible interceptar conexiones realizadas por un cliente, como puede ser hacia su aplicación de banca online, y redirigirle a nuestra versión especial de la aplicación...¡y también en HTTPS! Además, también pudimos asistir a como se pudo comprometer un aparato de vigilancia, cuya gestión se realizaba mediante un número de teléfono móvil....pero recordemos que TODAS las comunicaciones móviles ¡ya nos pertenecían previamente!







Joxean Koret - Database Security Paradise
Joxean Koret fue uno de los ponentes más valorados de la pasada Rooted CON 2010 con su ponencia sobre vulnerabilidades en Oracle Financials. Esta vez, con su charla "Database Security Paradise", no se centraría únicamente en un fabricante/motor de base de datos, si no que daría un buen y gran repaso a varios motores, así como algún que otro cliente.
@matalaz sacándole las cosquillas a casi todas las bases de ... on Twitpic

Joxean nos comentó con todo lujo de detalles (y aun así, sobrando bastante tiempo de sus 50 minutos asignados en un principio) vulnerabilidades locales en software de base de datos como Unidata e Ingres, en el cliente de MySQL (permitiendonos la posibilidad de crear un servidor de base de datos "fake" que, una vez un cliente se conectase con este software vulnerable, nos permitiría atacarle a él), IBM DB2, Oracle (no podía faltar...), Informix. Después, pasaría a vulnerabilidades remotas, en varios mencionados anteriormente también, aunque en algunos casos existió más dificultad en encontrar vulnerabilidades.

Turno de preguntas a @matalaz, impresionante charla recopilat... on Twitpic
Lo mejor de la charla sin duda fue sobretodo el mensaje que quiso tansmitir Joxean: No tenemos que tener miedo a estos "monstruos", tanto por fabricante como por el software. No importa que lleve muchos años en el mercado, no importa que el fabricante sea auditado, o que cuente con equipos de seguridad. Hay que animarse a buscar vulnerabilidades, ya que al final, nos podremos llevar muchas sorpresas.






Vins Villaplana - Seguridad en capa de enlace
Era el turno de bajar puestos en el modelo OSI, y centrarnos en la capa de enlace. La introducción, además de explicar esta capa, contenía diferentes "vicios" o "manias" de muchos administradores, que suponen una mala configuración y a largo plazo, podrían darnos algún que otro problema, sobretodo en infraestructuras y redes tan complejas como de según que compañías.

Le toca el turno a Vins Villaplana con la charla Seguridad en... on Twitpic

A continuación se repasaron multitud de protocolos de este nivel, y de cada uno de ellos, nos presentó sus inconvenientes por su utilización, posibles ataques y como no, soluciones que poder llevar a cabo para mitigar dichos ataques. En la charla se incluyeron los protocolos ARP, VTP, STP, DHCP, DTP, CDP, etc.

En las slides de la charla, que encontraréis incrustadas a continuación, os daréis cuenta que es un repaso excelente y completo de esta capa de enlace, además de un montón de referencias como anexo.






Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit
Llegaba la última charla antes del descanso para la comida, y subía Gabriel González al escenario, con una charla sobre PKCS11 y una técnica que presentaría por primera vez (y en la que ha estado trabajando durante los últimos meses) en Rooted CON 2011. La ponencia se titulaba "Man-In-Remote: PKCS11 for fun and non-profit", o como indica en el subtítulo: "Otros usos de PKCS11 y el DNIelectrónico"... Y vaya usos...

@GabrielGonzalez con su charla " Man-In-Remote: PKCS11 f... on Twitpic

Tras la presentación del DNie y algo más sobre su funcionamiento interno (casualmente como WelcomePack de RootedCON2011 se había incluido un lector de DNIe por parte de Inteco), llegaba la hora de la verdad. Tras comentar como surgió el término "Man-in-Remote", Gabriel González presentó un método por el cual utilizar remotamente un dispositivo PKCS#11 como, en este caso, el DNI Electrónico, permitiendo suplantar la identidad del usuario propietario de dicho dispositivo, con unas cuantas líneas de código y un poco de ingeniería social.

La charla fue muy entretenida, preséntandonos además un escenario con un banco (48Banks) y dos viejos conocidos de la comunidad de comentaristas del blog de 48Bits, Amián y La Nuri ().



Seguidamente, se realizó una demo mediante un caso real de uso del DNIe, como es con la Seguridad Social. Enorme trabajo el de Gabriel, desde SecurityByDefault le damos la enhorabuena.

Man in remote Live Demo #rooted2011   on Twitpic

Mientras os recomendamos echar un vistazo a la presentación mientras se liberan los videos del congreso, ¡que seguro que están al caer!







RootedForge: Luciano Bello, GSIC Coruña, Batchdrake, Inguma
La iniciativa RootedForge, presentada por primera vez en la Keynote de este congreso (antes únicamente aparecerían las letras "RF" en la agenda) consiste en la posibilidad, por parte de cualquiera de los asistentes de esta edición del 2011, a preparar durante jueves y viernes una pequeña presentación de proyectos relacionados de alguna forma con la seguridad informática. 

Debido a la gran cantidad de perfiles e inquietudes de todos los asistentes a Rooted CON (a unos les gusta programar, otros tienen mil ideas en la cabeza pero por falta de "manos" no pueden llevarlas a cabo, otros simplemente quieren aprender lo más rápido posible un tema en concreto...), se trata de un lugar y momento perfecto para intentar hacer llegar a la gente un proyecto propio (comenzado o apunto de) y pedir ayuda, y quien sabe...para la siguiente edición del 2012 poder formar una charla referente a dicho proyecto tras un año de trabajo.

Se presentaron 4 solicitudes, que describiremos brevemente:
  • Luciano Bello, descubridor del fallo del "generador aleatorio de números" en openssl de 2008, nos presentó un prototipo que pretende detectar comportamientos anómalos pero dejando a un lado el análisis a un bajo nivel. Todo ello se realizaría mediante un estudio del tráfico para a continuación representarlo en forma de autómata. Esta técnica, utilizada en otros ámbitos, se conoce con biosurveillance.
Comienza #RootedForge con @microluciano!  on Twitpic

  • Diego Ferreiro es uno de los organizadores de las Jornadas de Seguridad de A Coruña, GSIC, de las que os hablamos en este enlace, y en este tiempo asignado nos presentó junto con otros miembros (como por ejemplo, Miguel Gesteiro, organizador del concurso h4ckc0nt3st que se celebra durante dichas jornadas), lo que se pretende con la edición del 2012. De momento, ya cuentan con una sala mayor, con capacidad para aproximadamente 1500 personas. Prometieron más charlas y más talleres, ¡por lo que seguiremos al tanto!
Diego, uno de los organizadores de la gsic, en #rootedforge d... on Twitpic

  • Gonzalo, también conocido como Batchdrake del grupo Painsec, nos propuso la creación de un kernel...si si....¡un kernel! Pero sobretodo quiso dejar claro que el objetivo no es la de tener algo funcional a corto plazo, ni venderlo, ni conseguir que cualquier distribución lo tenga...Gonzalo aclaró que lo único que quiere es utilizar este proyecto como aprendizaje, tanto para él como el resto de contribuidores, de poder meterte en temas que quizás antes no te propondrías. Programar por programar y old-old school hacking en estado puro. Obviamente, es un proyecto en el que cuanta más gente mejor, y no es algo simple, por lo que Gonzalo también animó a la gente a unirse a él en esta andadura, de la que esperamos tener más noticias pronto. Nos quedamos con su última frase, referente a la finalidad de esta "bizarrada" como la definía él mismo: "Aprender creando"
Batchdrake, de Painsec en #RootedForge  on Twitpic

  • Hugo Teso, uno de los componentes de 48Bits, nos presentó (aunque muchos ya la conocíamos) Inguma, un toolkit para la búsqueda de vulnerabilidades y realización de tests de intrusión. El proyecto fue iniciado por Joxean Koret, pero tras varios años, fue continuado por el propio Hugo, contando además con David Martinez (Ender), y más desarrolladores como son Javier Sánchez y Sofian Brabez. ¡Equipazo de lujo! Tras la presentación y un pequeño repaso a todas sus funcionalidades, Hugo animó a la gente a colaborar con el proyecto. Podréis colaborar y conocer más esta nueva época de Inguma visitando http://inguma-framework.org/projects/inguma

#RootedForge Es el turno de hugo teso  con su inguma! @hteso on Twitpic

Hernan Ochoa - WCE Internals
Personalmente, una de las ponencias más esperadas, y no defraudó. Hernan Ochoa, ponente que ya hemos podido ver en congresos como Blackhat, Defcon o Ekoparty, es el creador del Pass-The-Hash toolkit y de WCE (Windows Credentials Editor) en 2010.



El gran @hernano en el escenario, con su charla "WCE Int... on Twitpic


WCE es una herramienta que permite la obtención de sesiones de inicio (logon) y la edición de credenciales de Windows asociadas (por ejemplo, hashes LM/NT). Con ello, se podrían realizar ataques de tipo pass-the-hash además obtener dichos hashes de la memoria, debido a que siguen presentes por culpa de conexiones de escritorio remotas, inicios de sesión interactivos u otros servicios. Imaginemos una intrusión en un sistema, y mediante cualquier exploit de Windows, conseguimos hacernos Administrador del sistema. El siguiente paso sería la obtención de las credenciales...pero únicamente conseguimos los hashes como tal. Tenemos dos opciones:
  1. Crackeo de contraseñas, que puede convertirse en una tarea ardua, costosa, y que implica tener una buena infraestructura o buenos amigos que dispongan de maquinas.
  2. Obtención de hashes, y mediante ellos, la autenticación en diferentes sistemas con la técnica pass-the-hash. No siempre necesitamos crackear, y no siempre tenemos que dar por finalizadas las pruebas por haber conseguido Administrador (como ya recordó José Selvi en su ponencia). La post-explotación es necesaria, y mediante esta herramienta junto con las técnicas necesarias, podemos llegar mucho más allá de la máquina objetivo.
#rooted2011 Características del WCE (Windows Credentials Edi... on Twitpic
En esta charla, Hernan nos mostró los entresijos de la herramienta, con una excelente explicación (en sus palabras, con todo lo mostrado, ¡podríamos incluso programarla nosotros mismos!) de como se recuperan los hashes y por qué, dandonos un excelente repaso a todo el proceso de autenticación de Windows. En exclusiva para Rooted CON, liberó la versión 1.1 de la herramienta WCE, que puso a disposición de todo el mundo (y que tras el congreso, ha sido muy nombrada en multitud de lugares)


#rooted2011 Demo de wce1.1  on Twitpic

La gran novedad de WCE 1.1, que además explicó detalladamente en la ponencia, es que en esta ocasión, la recuperación de hashes no implicaría la inyección de código, siendo en este caso un proceso mucho más "limpio" y transparente. Ponencia de 10/10, tanto por contenido como por lo buen comunicador que es Hernan.





Marisol Salanova - Seguridad informática y cibersexo
Una de las charlas más esperadas, si bien no contenía temática técnica, serviría para descansar de vulnerabilidades, demos, 0days, herramientas y demás por unos minutos.
Tras el mini-descanso, es el turno de @MarisolSalanova y su c... on Twitpic

Marisol en su ponencia nos presentó los avances en términos de privacidad y seguridad con respecto a la pornografía online y cibersexo, diferentes servicios actuales y comparación con lo que existía hace algunos años. Robos de identidad, extorsión, existencia y ausencia de anonimicidad, y como actuar frente a los posibles riesgos a los que se enfrenta el usuario que consume este tipo de servicios de forma online.





Rubén Santamarta - SCADA Trojans: Attacking the Grid
Última charla del congreso, pero no por ello menos importante. Me quedo con una frase que le oí a Rubén en varias ocasiones: "Rooted CON tendrá su propio Stuxnet", y así fue.

Ha llegado la ultima charla de #rooted2011, con @reversemode ... on Twitpic

En esta charla, "SCADA Trojans: Attacking the Grid", se nos presentó una especie de "metodología ficticia" sobre la posibilidad de, siguiendo las informaciones sobre la creación de uno de los troyanos más famosos Stuxnet, crear un troyano SCADA, aprovechando vulnerabilidades de tipo 0day sobre algunos componentes, y como con todo ello, obtener el control de una estación eléctrica.

Tuvimos de todo, teoría sobre como funcionan las estaciones, posibles vectores de ataque, planteamiento básico de un escenario, con país atacante y país victima... Se presentó una vulnerabilidad en un componente de interfaz web de la empresa Advantech, denominado Advantech WebAccess, mediante la cual se podía explotar un servicio RPC remotamente. Aquí encontrareis el exploit a utilizar y el advisory del ICS-Cert sobre esta vulnerabilidad en este enlace. Como ha comentado Ruben posteriormente, el fabricante niega la vulnerabilidad...por lo que todo esto es producto de vuestra imaginación...*vergonzoso*

Seguidamente, se presentaron vulnerabilidades en el diseño de los sistemas RTU de CSE-Semaphore, así como un ataque contra software de EMS mediante estimadores de estado (recordemos lo que es SCADA...). Juntando esto con todo lo comentado anteriormente, seríamos capaces (bueno, el malvado malicioso) de producir algún que otro apagón en alguna que otra estación eléctrica...con lo que eso conlleva. Charla más que interesante, y enorme trabajo de Rubén, que con 3 vulnerabilidades bien estructuradas podría tumbar el sistema eléctrico del país del Reggaeton, Reggaetonia. Rubenhistan WINS!
rooted2011 conclusiones sobre troyanos scada "ficticios&... on Twitpic





--------------------------------

**************************
Seguimiento RootedCON 2011
**************************
**************************
Leer más...

28 marzo 2011

Me inComodo



Ha sido la noticia de la SECmana, la empresa de seguridad Comodo ha protagonizado un sonoro escándalo a través de su linea de negocio de certificados SSL.

La historia, en este punto ya ha sido comentada en otros sitios como Hispasec, pero sirva como breve resumen este:

Uno de sus partners que re-vendía certificados SSL (y que en un esquema PKI sería una RA, Registration Authority) fue comprometido de forma que lanzó peticiones de firmado de certificados SSL sin la correspondiente verificación, dando lugar a la emisión de varios certificados digitales SSL falsos, que a ojos de cualquier navegador serían aceptados como validos.

Los certificados 'rogue' emitidos fueron estos:

Domain:  mail.google.com  
Serial:  047ECBE9FCA55F7BD09EAE36E10CAE1E

Domain:  www.google.com
Serial:  00F5C86AF36162F13A64F54F6DC9587C06

Domain:  login.yahoo.com 
Serial:  00D7558FDAF5F1105BB213282B707729A3

Domain:  login.yahoo.com   
Serial:  392A434F0E07DF1F8AA305DE34E0C229

Domain:  login.yahoo.com    
Serial:  3E75CED46B693021218830AE86A82A71

Domain:  login.skype.com    
Serial:  00E9028B9578E415DC1A710A2B88154447

Domain:  addons.mozilla.org    
Serial:  009239D5348F40D1695A745470E1F23F43

Domain:  login.live.com
Serial:  00B0B7133ED096F9B56FAE91C874BD3AC0

Domain:  global trustee
Serial:  00D8F35F4EB7872B2DAB0692E315382FB0

Como se puede ver en el listado, no eran precisamente certificados de sitios poco conocidos.

El impacto de este ataque implica que, cualquier persona / organismo con capacidad de implementar un ataque MiM sería capaz de 'colar' una web https falsa de Yahoo, Google y otros sin que el navegador protestase.

Para darle un punto mas divertido al asunto, según Comodo la IP que generó este ataque estaba geolocalizada en Irán.

Comodo, en su nota de prensa, intenta ofrecer una falsa sensación de seguridad indicando que no todo está perdido, ya que como esos certificados están revocados, cualquier navegador que al conectarse contra un servidor 'malicioso' https haga la verificación OCSP, (protocolo de verificación de certificados online) dará por no validos los certificados.

¿Y con eso todo solucionado? De entrada, el hecho de que tanto Microsoft como mozilla y otros hayan lanzado un parche especial para bloquear estos certificados, ya empieza a dejar ver que no. 

Internet Explorer 8 y Safari no hacen comprobaciones OCSP por defecto. En el caso de Firefox, sí aparece activada la opción de comprobar la validez del certificado vía OCSP, lamentablemente la opción de que, en caso de que esa conexión falle, el certificado no sea dado por bueno está desmarcada
Si nos situamos en Tools --> Options --> Encryption --> Validation properties, podemos observar que Firefox activa por defecto el verificar el estado de un certificado SSL vía OCSP, pero tiene desmarcada la opción de que, en caso de que esa conexión falle, el certificado no sea dado por bueno


¿Que significa esto? Básicamente que si una persona tiene la capacidad de situarse entre nosotros e internet, obviamente puede bloquear el tráfico contra el servidor OCSP de forma que, si se le presenta a Firefox uno de los certificados falseados, intentará validarlo y al no poder contactar contra el servidor OCSP lo dará por bueno. 

La mejor opción en estos casos es instalar un add-on como 'Certificate Patrol' que monitoriza cambios en servidores https de forma que si un día el certificado SSL de Gmail es diferente al que había el día de antes, te notificará de tal cambio.

Al hilo de esta noticia no está de mas apuntar unas cuantas reseñas:

Comodo y su laxa política de validación ya ha permitido otro tipo de fraudes

Los certificados SSL 'normales' valen menos que la palabra de un político

Leer más...

27 marzo 2011

Enlaces de la SECmana - 64


Leer más...

26 marzo 2011

Material para formación en seguridad web


Si quieres practicar seguridad web o si tienes pendiente impartir un curso de formación, Marcos de Artsweb.com.ar ha elaborado un material que seguro le es útil a más de uno.

Marcos tiene mucha experiencia en seguridad y es todo un especialista en web. Nosotros hemos tenido la suerte de verlo  participar en el I Wargame de SecurityByDefault, quedando en los primeros puestos de la tabla, pese a participar solo.

Entre los ficheros disponibles se encuentra una presentación con los principales ataques web y su explicación. Para ello se ha basado en la guía OWASP, y ha realizado las pruebas contra la famosa Damn Vulnerable Web App

Además de estos ficheros, esta detallado todo el proceso por cada una de los fallos en un documento tipo write-up. Por si fuera poco, hay vídeos con la demostración de cómo se detectarían. Las vulnerabilidades explicadas son:
  • XSS
  • CSRF 
  • Path Traversal
  • Null Byte
  • OS Commanding
  • Local File Inclusion
  • Remote File Inclusion
  • Information Disclosure
  • SQL Injection/Blind SQL Injection
  • File Upload
Leer más...

25 marzo 2011

Historia de la informática forense

Tras una primera introducción de la  historia forense moderna, continuamos comentando los acontecimientos más relevantes relacionados con la informática forense.

En 1978 Florida reconoce los crímenes de sistemas informáticos en el "Computer Crimes Act", en casos de sabotaje, copyright, modificación de datos y ataques similares.

Nace Copy II PC de Central Point Software en 1981. También es conocida como copy2pc, se usa para la copia exacta de disquetes, que generalmente están protegidos para evitar copias piratas. El producto será posteriormente integrado en las "Pc Tools". La compañía es un éxito y es comprada por Symantec en 1994. 


En 1982 Peter Norton publica UnErase: Norton Utilities 1.0, la primera versión del conjunto de herramientas "Norton Utilities", entre las que destacan UnErase, una aplicación que permite recuperar archivos borrados accidentalmente. Otras aplicaciones también serán útiles desde la perspectiva forense, como FileFix o TimeMark.  Con el éxito de la suite de aplicaciones Peter publica varios libros técnicos, como Inside the I. B. M. Personal Computer: Access to Advanced Features and Programming, del que su octava edición se publicó en 1999, 11 años después de la primera edición.. La compañía será vendida a Symantec en 1990. 



En 1984 el FBI forma el Magnetic Media Program, que más tarde, en 1991, será elComputer Analysis and Response Team (CART).



En 1986 Clifford Stoll colabora en la detección del hacker Markus Hess. En 1988 publica el documento Stalking the Wily Hacker contando lo ocurrido. Este documento es transformado 1989 en el libro El huevo del cuco, anticipando una metodología forense.



En 1987 se crea la High Tech Crime Investigation Association (HTCIA), asociación de Santa Clara que agrupa a profesionales tanto de agencias gubernamentales como compañías privadas para centralizar conocimiento e impartir cursos. John C. Smith detalla la historia de esta organización aún vigente en su página web.

En 1987 nace la compañía AccessData, pionera en el desarrollo de productos orientados a la recuperación de contraseñas y el análisis forense con herramientas como la actual Forensic Toolkit (FTK).

En 1988 se crea la International Association of Computer Investigative Specialists (IACIS), que certificará a profesionales de agencias gubernamentales en el Certified Forensic Computer Examiner (CFCE), una de las certificaciones más prestigiosas en el ámbito forense.


En este mismo año se desarrolla  el programa Seized Computer Evidence Recovery Specialists o SCERS, con el objetivo de formar a profesionales en computer forensics.

El libro "A forensic methodology for countering computer crime", de P. A. Collier y B. J. Spaul acuña en 1992 el término "computer forensics". Otros libros posteriores continuarán desarrollando el termino y la metodología, como: "High-Technology Crime: Investigating Cases Involving Computers" de Kenneth S. Rosenblatt.

En 1995 se funda el International Organization on Computer Evidence (IOCE), con objetivo de ser punto de encuentro entre especialistas en la evidencia electrónica y el intercambio de información.

A partir de 1996 la Interpol organiza los International Forensic Science Symposium, como foro para debatir los avances forenses, uniendo fuerzas y conocimientos.

En agosto de 2001 nace la Digital Forensic Research Workshop (DFRWS), un nuevo grupo de debate y discusión internacional para compartir información.

Leer más...

24 marzo 2011

Reflexión personal: SecurityByDefault y Yo

Hoy quería escribir algo distinto, sin pantallazos, sin imágenes ni líneas de comandos. Tan solo hacer una pequeña reflexión.

A varias personas les sorprende que sea capaz de escribir en este blog, mantener una cuenta en twitter, dar alguna charla o impartir clases en un Master, además de hacer mi trabajo diario y continuar con mi vida.

Desde que nació el blog, el 12 mayo de 2008, hemos escrito cerca de 1.000 entradas. Eso supone unas 200 entradas por editor en tres años. En mi caso concreto, 252. Aproximadamente un post cada 4 días. Consume tiempo y algún sábado he visto ponerse y salir al Sol para terminar algo que había empezado o resolver algún problema divertido de esos que nos encontramos de vez en cuando. 

He sacrificado con mucho gusto días de  vacaciones para poder asistir y organizar con el resto del equipo el wargame del verano pasado en la Campus-Party, para pasarme por la Universidad de Cádiz, de Coruña o la Rey Juan Carlos y en todas las ocasiones ha merecido la pena.

Escribir en SecurityByDefault es algo que hago en mi tiempo libre por que me ayuda a ordenar ideas, porque es un reto de autosuperación y sobre todo, por que me gusta. Nadie me obliga, no cobro por ello, ni saco nada más que una sonrisa cuando alguien pone un comentario, la gente que estoy conociendo por el camino y la satisfacción de pensar que lo estoy haciendo lo mejor que puedo.

Dedico prácticamente todo mi tiempo de ocio, que robo y he robado, a otras personas para escribir y contar por aquí mis aventuras, sean o no interesantes. Solo el cine de los jueves y mi fork consiguen desenlazarme de este mundo algunos días de la semana.

Ya son casi 3 años desde que comenzamos con la presentación de Yago, y pese a que apenas me queda tiempo, siempre lo encontraré para publicar. 

SecurityByDefault es mi orgullo, y lo es, gracias a vosotros.
Leer más...

23 marzo 2011

Nmap, esta vez desde la web

Nmap no es sólo un escáner de puertos, es una de las herramientas de seguridad y administración más potentes y populares que existen, y cuenta con una enorme comunidad de usuarios y desarrolladores.

Debido a la popularidad, versatilidad y potencia de la herramienta son varios los proyectos que la han llevado a la Web, haciéndola accesible a través de un navegador de forma remota.

En primer lugar tenemos algunos servicios que permiten escanear nuestra propia dirección IP, muy útiles para saber cómo nos ven desde fuera.

- Nmap Online: Uno de los más populares. Podemos lanzar escaneos predeterminados (Quick y Full) o personalizar uno, dentro de lo que nos permite el portal. Funciona realmente bien y es rápido. Actualmente versión 4.75 de nmap.

- Free Online-Portscanner: Parecido al anterior pero con opciones mucho más reducidas. Sólo un tipo de escaneo sin opción a modificaciones. Actualmente versión 3.77 de nmap.

- Self Audit My Server: Enfocado a trabajar con servidores web. Además de nmap lanza Whois, Nikto y SQLiX para auditar el servicio web. A diferencia de los anteriores, se puede lanzar contra otra IP o dominio que no sea el nuestro. Actualmente versión 5.00 de nmap y 2.03/2.04 de nikto. Podemos ver un ejemplo de escaneo a microsoft.com

Por otro lado tenemos proyectos que proporcionan el software para instalar el servicio en nuestra infraestructura.

- nmap-cgi: Muy completo, despliega un portal para realizar, guardar y administrar nuestros escaneos. Permite cuentas de usuario independientes, separar privilegios, escaneos avanzados de nmap, programar escaneos, etc ...


- Inprotect: Al igual que el anterior despliega una completa infraestructura para realizar y administrar escaneos. Destaca su generador de reportes y la cuidada interfaz.


- nmap-web: Si no nos interesa mucho la interfaz y queremos algo rápido de instalar y usable, nmap-web nos lo proporciona. Las opciones son reducidas y la interfaz es básica, pero cumple su función. Algunos ejemplos (1, 2, 3).
Leer más...

22 marzo 2011

Malditos Spammers

Los spamers están cada día más organizados y la verdad es que hay una verdadera mafia entorno a todo este mundillo. No es ninguna novedad esto que comento, pero la verdad es que es difícil llegar a interceptarlos dado que usan programas que se ‘autoeliminan’ una vez terminada su función.

La forma de trabajo de esta gente suele ser algo así:
  • Infectan equipos con troyanos, awares, virus y demás vainas (por los métodos habituales como fallos en navegadores, aceptación de activex no confiables por usuarios confiados, ejecución de programas que no son lo que parecen, etc).
  • Esos programas roban contraseñas almacenadas en los equipos, entre otras, las de acceso a servidores FTP, en el caso de que tengas una web (¡quién no tiene una web hoy en día!).
  • Teniendo el usuario FTP y el dominio, sólo queda hacer una conexión, subir un script y ejecutarlo vía web.
  • El script comienza a mandar mails a diestro y siniestro a una velocidad increíble.
  • Termina su trabajo y, en la mayoría de los casos, se autodestruye.
¡¡Cuánto daño se puede en tan sólo unos minutos!! La verdad es que los logs del sistema llegan a asustar cuando algo de esto sucede.

Consecuencias:
  • La IP de tu servidor empieza a aparecer en listas de spam, que muchas de ellas tardan 1 mes en borrarte tras enviarles la solicitud (siempre se puede tardar menos si pagas).
  • Los servidores más estrictos (como hotmail) te rechazan todos los correos hasta no estar ‘totalmente limpio’.
  • Tus clientes no pueden mandar correos y comienzan las quejas y problemas.
Soluciones:
  • Desactivar la ejecución de cgis, de perl y de PHP en aquellas cuentas que no sea estrictamente necesario.
  • Por supuesto, una buena configuración del servidor SMTP.
  • Obligar a tus clientes a cambiar las contraseñas cada X tiempo.
Haciendo limpieza en mi equipo me he encontrado con un backup que hice, hará aproximadamente un año, de unos scripts que intercepté en uno de mis servidores dedicados.

Tras abrirlo en una máquina virtual, sin acceso a Internet, podemos ver un menú (en ruso) que ofrece diferentes opciones:


Buscando información en Google acerca de DirectMailer llegamos a la página web del autor (http://www.yellsoft.net) donde venden este software por 200€ (o $240):


Usando el traductor de Google podemos ver que se trata claramente de un software orientado a envío de spam.

El autor lo describe como un software que permite envío anónimo de correos y, capaz de usar todos los recursos del hardware para realizar su fin. Además, una vez instalado, posee una interfaz gráfica para que, hasta el más lerdo pueda usarlo:





200 euros de programa para que luego me lo dejen gratis en mi servidor. ¡¡Qué detalle!!

Bueno, y ya que han sido tan amables de regalármelo, totalmente gratis, quería compartirlo con vosotros :)



El script principal (dm.cgi) está en Perl y podemos ver varias cosas interesantes:

my %c = (

 ver   => '1.6.8',
 rel   => 'u999999999999',
 path  => $ENV{'SCRIPT_FILENAME'},
 addr  => $ENV{'SERVER_ADDR'},
 name  => $ENV{'SERVER_NAME'},

 mailbase => './upload/mailbase.txt',
 from  => './upload/from.txt',
 replyto  => './upload/replyto.txt',
 subject  => './upload/subject.txt',
 letter  => './upload/letter.txt',
 attach  => './upload/attach.txt',
 proxy  => './upload/proxy.txt',

 dns   => '194.186.45.226',
 threads  => 200,
 timeout  => 5,

 charset  => 'koi',
 mailer  => 'outlook',
 priority => 'normal',

 proxyer  => 10,
 proxycn  => 1,
 proxywr  => 1,
 proxyrd  => 1,
 proxyup  => 30,

 ctime  => 3,
 local  => hostname || 'localhost',

Por un lado, tiene una serie de ficheros TXT de donde coge todos los datos que necesita:
  • mailbase.txt: es el listado de víctimas, es decir, todas las direcciones de mail a las que se va a spamear.
  • from.txt: contiene una o más direcciones de mail que aparecerán como remitente.
  • replyto.txt: donde se quiere recibir respuesta (normalmente coincide con from.txt y es alguna dirección inventada).
  • subject.txt: asunto(s) para los mails (ej: vendo viagra! Me la quitan de las manos, oiga!).
  • letter.txt: contiene la ruta al fichero con el cuerpo del mensaje.
  • attach.txt: yo no tengo ese fichero pero debe tratarse de un listado de adjuntos.
  • proxy.txt: tampoco lo tengo, pero debe ser un listado de proxys para poder spamear aún mejor.
Otra cosa que podemos ver es que usa su propio DNS y que arranca, nada menos, que 200 threads para mandar mails simultáneamente.

En los ficheros HTML que aparecen como cuerpo de mensaje podemos ver algunos mails, que seguro que a más de uno le suenan:

^Viagra BEST Viagra^











Aquí va otro:
***Best sex and love***

Si seguimos analizando el script vemos más cosas curiosas, como la capacidad de falsear la fecha del mail, IPs, etc:

$fakedate = $date if $c{'fakedate'} eq 'no';
 $fromname = $replyname = $toname = '' if $c{'exctname'} eq 'no';

 $header =~ s/%FAKENAME%/$fakename/;
 $header =~ s/%FAKEIP%/$fakeip/;
 $header =~ s/%HOST%/$host/;
 $header =~ s/%DATE%/$date/;
 $header =~ s/%FAKEDATE%/$fakedate/;
 $header =~ s/%MESSAGE_ID%/$messageid/;
 $header =~ s/%X_PRIORITYNUM%/$xprionum/;
 $header =~ s/%X_PRIORITYTXT%/$xpriotxt/;

 $header =~ s/%FROMNAME%/$fromname/;
 $header =~ s/%FROMADDR%/$fromaddr/;
 $header =~ s/%REPLY_TONAME%/$replyname/;
 $header =~ s/%REPLY_TOADDR%/$replyaddr/;
 $header =~ s/%TONAME%/$toname/;
 $header =~ s/%TOADDR%/$toaddr/;
 $header =~ s/%SUBJECT%/$subject/;

 $header =~ s/%BOUNDARY%/$boundary/g;
 $header =~ s/%CONTENT_TYPE%/$contenttype/;
 $header =~ s/%CHARSET%/$charset/;
 $header =~ s/%CONTENT_ENCODING%/$contentenc/;

Convierte en base64 los ficheros adjuntos, para mejorar el envío y obtener una mejor visualización:

if ($message =~ /$file/ && $contenttype eq 'text/html') {

    $newcid .= '_csseditor';
    $message =~ s/$file/cid:$newcid/g;

    $attach .= "Content-ID: <" . $newcid . ">\n";
    $attach .= "Content-transfer-encoding: base64\n"; }

   else {

    $attach .= "Content-transfer-encoding: base64\n";
    $attach .= "Content-Disposition: attachment; filename=";
    $attach .= '"' . $fname . '"' . "\n"; } }

  else {

   $attach .= $ctype . ";\n\t";
   $attach .= 'name="' . $fname . '"' . "\n";
   $attach .= "Content-Transfer-Encoding: base64\n";

   if ($message =~ /$file/ && $contenttype eq 'text/html') {

    $newcid .= '@' . $fakename;
    $message =~ s/$file/cid:$newcid/g;

    $attach .= "Content-ID: <" . $newcid . ">\n"; }

   else {

    $attach .= "Content-Disposition: attachment;\n\t";
    $attach .= 'filename="' . $fname . '"' . "\n"; } }

  $attach .= "\n$files{$file}"; }

Creación aleatoria de IPs y fechas, como dije antes:

sub ip
{
 my @ip; for (1..4) { push (@ip, int rand 256); } @_ = ('a'..'z');
 return (join ('.', @ip), join ('', @_[map { rand @_ } (0..((int rand 6) + 2))]));
}

sub date
{
 my $date = localtime (time - int rand shift);

 $date =~ s/^(\w+)\s+(\w+)\s+(\d+)\s+(\d+:\d+:\d+)\s+(\d+)$/$1, $3 $2 $5 $4/;

 my %month = (Jan=>'01',Feb=>'02',Mar=>'03',Apr=>'04',May=>'05',Jun=>'06',
 Jul=>'07',Aug=>'08',Sep=>'09',Oct=>'10',Nov=>'11',Dec=>'12');

 my $time = $5 . $month{$2} . (sprintf "%02d", $3) . join ('', split (':', $4));

 return ("$date " . &gmtdiff, $time);
}

Todo ello sumado a un buen control de envío, discriminando los que se han conseguido mandar, los incorrectos y los que, no hubo mucha suerte:

my ($mx, $err) = &getmx($domain);
  unless ($mx)
  {
   &chgsta(4=>1);
   &log("<$addr>\x01" . $err);
   &bad($line);
   next;
  }

  if ($mx =~ m!^\d$! && $mx == 1)
  {
   &chgsta(3=>1);
   &log("<$addr>\x01" . $err);
   &unlucky($line);
   next;
  }

  my ($sock, $resp, $proxy);

En la carpeta sys nos encontramos con una colección bien estructurada de ficheros MX, para una mejor resolución de dominios:


La verdad es que merece la pena echarle un ojo a este tipo de programas ya que te das cuenta de cómo se lo curran para vendernos viagra y otros menesteres. Y es por ello que os dejo una copia de los scripts por si queréis analizarlos. Los podéis bajar aquí: spam_scripts.tar.gz

Un saludo.

----------------------------------

Contribución por Pepelux
Leer más...

20 marzo 2011

Enlaces de la SECmana - 63


Leer más...

19 marzo 2011

Flora y fauna de una sala de reuniones

Para cualquier persona que haya tenido que ir a contar algo (generalmente sobre un producto, servicio o similar) probablemente se haya dado cuenta que, por lo general, en una sala de reuniones te puedes encontrar perfiles de lo mas variopinto y que muchas veces toca lidiar con mucha mano izquierda ante algunos personajes que, si no los ves venir, pueden arruinar cualquier exposición.

A modo de mini guía voy a categorizar a estos personajes, como se comportan y como detectarlos a tiempo.

El Arquimedes: Este personajillo es realmente problemático ya que si consigue arrebatarte la atención probablemente consiga minar cualquier exposición a base de emplear 'lógica simplista' que, puede calar en el resto de asistentes si no tienen un perfil técnico. Es un tipo de persona bastante insegura que busca la reafirmación a base de atacar todo.

Les llamo 'Arquimedes' por su capacidad de formular teorías que en primera instancia suenan inapelables pero a las que les falta explicar ciertos 'detallitos' para que puedan realizarse (recordemos la frase 'darme un punto de apoyo y moveré el mundo'). Es gente capaz de decir cosas como:
'No creo que Snort sea un buen IDS, cualquiera con acceso a la máquina podría matar el proceso e inutilizarlo' (frase literal) o 'Me opongo al uso de tecnología Wifi, aun usando WPA-2 con autenticación vía certificados, la red wifi sigue siendo accesible desde el exterior'

Son cosas que, de primeras, suenan lógicas aunque faltaría por detallar como se supone que van a acceder a un sistema no expuesto a Internet y ganar root (en el caso del IDS) o como se supone que un intruso va a crackear certificados de 2048 bits.

Si en este punto estás tentado a poner un comentario nombrando un antiguo bug de Snort o diciendo algo como 'hombre si alguien encuentra una vulnerabilidad en el punto de acceso ...' Tienes madera de Arquimedes y te diré:

--> Es cierto que ha habido bugs remotos para Snort, tan cierto como que ya están parcheados e igualmente cierto que, en el hipotético caso que alguien encuentre otro, lo realmente importante es acortar la ventana de tiempo en la que eres vulnerable

--> Un punto de acceso puede tener un fallo o no tenerlo, es algo que no se puede prever, no obstante te remito al punto anterior: lo importante es tener definido un plan de contingencia para afrontar el posible problema y hacer que tu solución sea fiable y útil el 99% del tiempo

El Cerril: Estos personajes tienen diferentes formas de ser, en unas ocasiones pueden ser 'fanboys' y decir cosas como 'Si no funciona en Linux no lo quiero' aunque estés hablando de un sistema de correlación de eventos o simplemente gente que se resiste a cambiar sus hábitos y que jamas aceptarán cosas como 'Cloud Computing' simplemente porque están acostumbrados a un determinado paradigma. Si este personaje resulta ser el 'jefe' o la persona que ha de tomar la decisión final, mejor asumir que has perdido el tiempo, despedirte amablemente y no pensar demasiado en ello.

La ratita presumida: Estos personajes llegan a ser entrañables si no fuera por la enorme cantidad de tiempo que hacen perder. Generalmente promueven reuniones en las que en vez de conocer lo que puedes ofrecerles tu, se ensimisman hablando de sus propias soluciones, formas en las que hacen las cosas, etc. Vas a contarles algo relacionado con un producto NAC y terminan contándote como fulanito con un script en Perl ya tiene solucionado ese problema -sic-. Con esta gente no está todo perdido a veces con una buena dosis de jabón e interés paternalista se puede captar su atención y que se materialice en algo.
Leer más...

18 marzo 2011

Intrusión en la compañía RSA y robo de información. Teorías.

La noticia ha saltado a los medios, y estamos seguros que será la comidilla en los descansos para el café en la Blackat Europe 2011 que se está celebrando en estos momentos en Barcelona: La compañía de seguridad RSA ha comunicado que han sufrido un ataque de seguridad con posterior robo de información referente a sus productos de autenticación SecurID.

El comunicado, por parte del mismo CEO de RSA Arthur W. Coviello en el blog de la compañía, se trata de una carta abierta a todos sus clientes, en los que informa del descubrimiento de dicho ataque, definiéndolo como un APT (Advanced Persistent Threat, o amenaza avanzada persistente) en toda regla, término de moda sobretodo tras los sucesos ocurridos el año pasado con el caso del hackeo a Google. Se engloban los ataques sofísticados, casi siempre teniendo que recurrir a 0days y cuyo objetivo principal es el robo de información.

No sabemos más detalles del ataque, Coviello ya ha anunciado que el caso está en manos del Gobierno, y estamos seguros que durante los próximos días iremos sabiendo más y más...o eso esperamos por lo menos.

¿Qué pudo pasar? ¿Habrá sido de nuevo un ataque de ingeniería social como ocurrió con todo lo referente a HBGary y Rootkit.com? ¿Se habrá comprometido a algún trabajador, y su equipo estaba lleno de información suculenta, o tenía acceso a la red interna? No estamos seguros, pero yo personalmente voto a una cadena de acontecimientos, que si RSA no informa sobre los tiempos, podría cuadrar. Aquí va una teoría, que podría cuadrar:

1) En Febrero de este año, tuvo lugar la RSA Conference, congreso de seguridad de mucho prestigio y organizado por RSA. Obviamente, en dicho congreso debería haber algún que otro trabajador de dicha empresa.

2) "Quizás", alguno de dichos trabajadores no tendría su portátil lo suficientemente configurado y asegurado, o por un momento lo dejó en algún sitio, susceptible a un ataque físico. O "quizás", en alguno de los stands que tuviese la propia compañía, se encontraban sistemas que luego se enchufarían en su red.

3) Alguien pudo plantar un regalo en alguno de estos sistemas, algún malware, quizás durante alguna de las múltiples fiestas que se celebraron, alguien aprovechó el momento y comprometió alguno de los sistemas.

4) La RSA Conference pasó, todo volvió a su ciclo normal, y el ataque al volver a casa se hizo efectivo, dejando la puerta abierta a los malos para disfrutar de una red tan jugosa desde su propia casa.

¿Podría ser no? Para desmontar esta teoría, únicamente deberíamos conocer cuando pudo ocurrir dicho ataque, o si hay indicios de algún tipo de infección en alguno de los equipos de algún empleado.

Esperaremos ansiosos más información al respecto del ataque, y sobretodo, el alcance real y que podría suponer para sus productos.

Y tú, ¿te lanzas con alguna posible teoría?
.

Leer más...