Mostrando entradas con la etiqueta noticias. Mostrar todas las entradas
Mostrando entradas con la etiqueta noticias. Mostrar todas las entradas

29 febrero 2012

Miembros de anonymous que publicaron datos de los GEO son detenidos.

Una breve línea para hacernos eco de la noticia que saltó ayer en algunos periódicos nacionales. Tal y como indica la imagen, se han detenido a cuatro miembros de anonymous en una operación internacional. Según parece, uno de ellos era ya conocido por la policia y profesional del sector de la seguridad de la información.

Leer más...

26 julio 2011

¡Nominaciones Pwnie Awards 2011!


Vuelven los premios más divertidos del mundo del hacking y la seguridad. ¿Que qué se premia? Se premia el FAIL, la pericia o el ridículo dentro de la comunidad de la seguridad.

Además de ser unos premios bastante peculiares, son un pequeño resumen de lo mejor de todo el año, especialmente en la comunidad del exploiting.

Este año hay de todo y para todos, y es que la tarta está muy repartida.

Mención especial para Sony, que no ha dejado hueco para más participantes en la categoría "Pwnie for Most Epic FAIL", y es que ocupa ella sola todo el espacio disponible.

El 3 de Agosto en Las Vegas, en BlackHat USA, se celebrará la ceremonia que determinará los vencedores de cada categoría.

Este año las categorías son las siguientes:

- Pwnie for Best Server-Side Bug
- Pwnie for Best Client-Side Bug
- Pwnie for Best Privilege Escalation Bug
- Pwnie for Most Innovative Research
- Pwnie for Lamest Vendor Response
- Pwnie for Best Song
- Pwnie for Most Epic FAIL
- Pwnie for Lifetime Achievement
- Pwnie for Epic Ownage

Y las nominaciones para cada categoría:

Pwnie for Best Server-Side Bug

Premio para la persona que haya descubierto el fallo más sofisticado e interesante tecnicamente en el lado del servidor.

- ASP.NET Framework Padding Oracle
- Microsoft FTP server heap overflow
- ISC dhclient metacharacter injection
- BSD-derived IPComp encapsulation stack overflow
- Exim remote code execution flaw

Pwnie for Best Client-Side Bug

Igual que la categoría anterior, pero en el lado del cliente.

- FreeType vulnerability in iOS
- Google Chrome sandbox bypass
- Java mismatched codebase arbitrary code execution
- Blackberry Pwn2Own exploit
- Android web market XSS

Pwnie for Best Privilege Escalation Bug

Seguimos con el mejor fallo que permita escalada de privilegios.

- Privilege escalation in CSRSS
- Linux kernel set_fs kernel memory overwrite
- Linux $ORIGIN privilege escalation

Pwnie for Most Innovative Research

Persona que haya publicado la investigación, paper, presentación, hilo en lista de correo o herramienta más innovadora e interesante.

- Stackjacking
- Understanding and Exploiting Flash ActionScript Vulnerabilities
- Black Box Auditing Adobe Shockwave
- Securing the Kernel via Static Binary Rewriting and Program Shepherding
- Understanding the LFH heap

Lamest Vendor Response

La peor respuesta por parte del vendedor.

- Remotely exploitable stack overflow in OpenSSH on Novell NetWare
- Magix Music Maker 16 stack overflow
- RSA SecurID token compromise

Pwnie for Best Song

¿Qué ceremonia de entrega de premios no tiene premio para la mejor canción?

- Eatin' Cookies
- Hacker Hacker
- 0-day
- The Light It Up Contest
- Mastering Success And Failure
- Help Yourself To My Flaws
- LIGATT Rap
- gli anni
- #antisec
- My Digital Self

Pwnie for Most Epic FAIL

Parece que aquí hay premio seguro.

- Sony (Fail0verflow y GeoHot)
- Sony (Sony Online Entertainment (SOE) fail)
- Sony (LulzSec)
- Sony (PSN)
- Sony (Despedido su equipo de seguridad de redes)

Pwnie for Epic 0wnage

- Anonymous for hacking HBGary Federal
- LulzSec for hacking everyone
- Bradley Manning and Wikileaks
- Stuxnet

Podéis consultar toda la información y los divertidos comentarios de cada una de las vulnerabilidades en la web del concurso.

Referencias
Leer más...

18 julio 2011

Si Gmail hace poco introducía medidas para luchar contra la suplantación de direcciones de email, ahora Microsoft ha anunciado una nueva función muy curiosa para usuarios de Hotmail que debería ayudar a luchar contra spammers y fraudes vía email.

Seguro que todos hemos recibido alguna vez un email de un amigo que no teníamos muy claro si era verídico o, por el contrario, había sido enviado por alguien que ha obtenido el control sobre su cuenta.

En muchas ocasiones ocurre lo segundo, bien porque usaba una contraseña débil, bien porque usaba la misma contraseña en múltiples servicios y han comprometido su cuenta en alguno de ellos, o bien porque no le importaba mucho la seguridad de su ordenador.

Por ejemplo, fue sonado un caso de hace unos años, cuando una cuenta de Hotmail de Jack Straw, político del Reino Unido, fue comprometida y envió cientos de emails intentando engañar a sus contactos.

La nueva característica de Hotmail está diseñada para hacer más rápida y fácil la restauración de la cuenta para su dueño.

Cuando un usuario reciba un email de un contacto que indique que la cuenta ha sido comprometida, podrá reportar directamente a Hotmail que la cuenta de su contacto ha sido pirateada.


Además, si se marca un mensaje como basura, también permite reportar que la cuenta parece haber sido comprometida.


Con esta acción, se avisa a Hotmail de que tiene que tomar acciones sobre esa cuenta, al menos para determinar si ha sido comprometida, y en este caso tomar medidas.

Puede pasar que el email llegue desde otro servicio como Gmail o Yahoo!, en ese caso Hotmail promete que enviará el aviso al otro proveedor.

Todo ésto se combina con el sistema de detección que tiene Microsoft aparte, y que intenta detectar comportamientos extraños en las cuentas. Esta información y el reporte se combinan para verificar que, efectivamente, el reporte es verídico. La acción de los usuarios puede ser importante ya que pueden dar una respuesta más rápida que el sistema automático.

Según Microsoft la funcionalidad lleva habilitada sólo durante unas pocas semanas, y ya ha ayudado a identificar y recuperar cientas de cuentas comprometidas.

Además de curiosa, parece una buena idea, siempre que Hotmail tome las medidas adecuadas sobre la cuenta, y siempre verificando que la intrusión se ha realizado y tus amigos no te están gastando una pequeña "broma".
Leer más...

18 diciembre 2010

Kaminsky hackea el Daltonismo

En una ocasión, alguien me comentaba que, leyendo los típicos papers donde alguien expone una nueva técnica de hacking o algunos 'hackeos memorables' se planteaba si toda esa gente de enorme talento en el mundo informático podrían hacer lo mismo en otros campos como la medicina.

Concluía que, probablemente todos esos ninjas del IDA, TCP/IP etc probablemente serian capaces de curar un montón de enfermedades.

He recordado esa conversación cuando ha caído en mis manos una noticia que me ha sorprendido mucho. La noticia tiene que ver con el gran Dan Kaminsky al que todos conocemos por sus hallazgos en materia de seguridad como por ejemplo el affaire del DNS.

Por lo visto Dan tiene un amigo que padece Daltonismo, esa enfermedad que impide procesar correctamente los colores, y cuenta que, un día viendo Star Trek, quedo sorprendido por como su amigo era incapaz de percibir que uno de los personajes tenia la piel verde.

A raíz de eso el bueno de Dan se puso a pensar como podía afrontar esa limitación y 'bypasearla', después de 14 meses trabajando en el tema, Kaminsky dio con una solución muy creativa: Una aplicación para Iphone / Android que, empleando técnicas de 'realidad aumentada', permite procesar a través de la cámara del móvil una imagen y cambiar los colores problemáticos (verde-rojo) de forma que un daltonico sea capaz de 'ver' las diferencias. Impresionante ¿verdad?

La aplicación ya está disponible públicamente en los respectivos markets y se planean versiones para Symbian, RIM y Windows

Un enorme aplauso para Dan !
Leer más...

07 diciembre 2009

Casi 8 apuntes sobre la noticia de Bitlocker y su seguridad


Mediante una noticia en meneame.net titulada: "Crackean la seguridad de Bitlocker (cifrado del disco duro) de Windows 7", llego a la entrada original con el mismo título en MuyWindows.com, donde aseguran que el sistema de cifrado BitLocker utilizado en Windows 7 ha sido "crackeado" (que yo entiendo que quieren decir "roto") por una herramienta de recuperación de contraseñas llamada "Passware Kit Forensic 9.5" de la compañía Passware.

De esta noticia quisiera hacer algunas aclaraciones, que creo se han de tener en cuenta antes de recomendar a nuestros primos que dejen de usarlo:
  1. Si no han cambiado un "jnz" por un "nop" o similar, mejor evitar el termino crackear. ¡Gracias!
  2. Bitlocker es un sistema utilizado desde Windows Vista (también el 2008) y el problema no solo afectaría a Windows 7.
  3. La utilidad para "crackear" Bitlocker de Passware, no corresponde únicamente a su aplicación "Kit Forensic", sino que además se podría adquirir bajo el producto Passware Kit Enterprise.
  4. La noticia también debería contemplar el mismo problema en el cifrado de PGP, por lo menos es lo que dice la nota de Passware.
  5. El cifrado no está crackeado (ni roto), únicamente es una implantación de un ataque conocido (Febrero del 2008) y que ha afectado a muchas otras aplicaciones de cifrado bautizado como Princeton Attack. Este mismo ataque afecta a dm-crypt de Linux, TrueCrypt o FileVault, por nombrar unos cuantos. 
  6. La implantación tampoco es la primera vez que se hace:  http://data-at-rest.com/2009/07/13/bitlocker-attack-coldboot-warmboot-any-boot-key-expension-revealer/print/
  7. Para que tenga éxito este ataque es necesario tener acceso físico al sistema y volcar su memoria RAM de la que posteriormente será extraída su contraseña.
  8. Me encantaría llegar a 10 pero creo que estas 8 son suficientes!

Referencias:

Leer más...

14 febrero 2009

El informe del CIS

Desde el fabuloso blog de WonkaPistas se revela el estudio del CIS con la estimación de voto antes de que este sea emitido oficialmente.

Para realizar este hallazgo el autor predijo una URL en base a un patrón común. En la web del CIS la información se localiza mediante un identificador numérico consecutivo. De esta forma la primera noticia sería del tipo "Documentacion_1.htm", la segunda "Documentacion_2.htm" y así sucesivamente. Estos archivos una vez comprendida la lógica de la aplicación son sencillamente deducibles

De esta forma, los encargados de gestionar el contenido en el CIS, decidieron almacenar la información para publicarla posteriormente. Lo que significa que pese a que existía un archivo "Documentacion_2782.htm", no había ningún enlace a esta página que hiciera posible su acceso si no es por la propia deducción comentada anteriormente.

Bien, y ahora empieza la polémica ya que la directora del CIS, Belén Barreiro, atribuye esta acción a "un asalto informático" tal y como se puede leer en Libertad Digital. Donde se burlan por la descripción de este hallazgo, al igual que ocurre en otros blogs de gran relevancia.

El Web Application Security Consortium define en su clasificación de riesgos el "Predictable Resource Location" como la técnica de ataque que consiste en descubrir contenido o funcionalidades ocultas. ¿Os encaja en lo ocurrido?

Parece que para todo aquel que no se dedica a la seguridad, una vulnerabilidad por ser fácilmente explotable elimina su existencia e incluso su criticidad en vez de aumentarla. De esta forma ocurre que "como es sencillo deducir que el número siguiente a 1 es 2 y lo puede hacer cualquiera", esto no constituye un fallo de seguridad. Error y muy grave. El riesgo es mayor cuanto más alta sea su facilidad de explotación y mayor su impacto. Otro tema completamente distinto, y que no vamos a valorar, es si este acceso forma parte de un acto delictivo o no.

Para finalizar y para todo aquel que tenga una duda, un ejemplo de este mismo problema en otra parte de una web.

Los archivos de estadísticas almacenados en un directorio deducible como sería www.sitio.com/estadisticas/, estas no están disponibles mediante ningún enlace, pero es fácil probar su existencia. Lo mismo ocurriría para una sección de los administradores del sitio bajo la ruta /admin, donde se almacena contenido temporal.

Es tan común este tipo de vulnerabilidades que incluso existen herramientas para detectarlas de forma automática, entre ellas Wikto, Webroot o Webslayer o los geniales productos nacionales DirB y Pipper.
Leer más...

28 enero 2009

¿Como se llama mi perro?

FACUA ha denunciado a Microsoft, Google y Yahoo ante la Agencia de Protección de Datos, ya que consideran insuficiente la pregunta secreta como medida de seguridad para obtener una nueva contraseña, vulnerando la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal

La pregunta secreta es un mecanismo que utiliza un usuario cuando olvida o pierde su contraseña para modificarla siempre y cuando sepa algunos datos personales, como pueden ser el código postal o la fecha de nacimiento y la respuesta a una pregunta "secreta", establecida cuando se da de alta en el servicio. En algunas ocasiones las preguntas están preestablecidas y en otras el sistema nos permite añadir nuestra propia pregunta. Las hay tan triviales, como el nombre de una mascota, de un pariente o de una película favorita.

Hace unos días publicábamos la intrusión que había sufrido David Bisbal en su cuenta de Hotmail. Esto fue posible porque los extorsionadores sabían cuál era la dirección de su correo y averiguaron la respuesta a su pregunta, que teniendo en cuenta su popularidad , sería publicada en alguna de las entrevistas que hay disponibles en la red. Tal y como ocurrió con Sarah Palin.

Es obvio que el problema existe y que la falta de concienciación de los usuarios hace posible el ataque. Incluso en las ocasiones en las que se permite añadir una nueva pregunta, el desconocimiento convierte esta fortaleza en una debilidad, ya que la nueva pregunta es aún mas sencilla que una de las preestablecidas. Por lo tanto, es necesario un cambio en la tecnología para evitar el riesgo.

Por otra parte, imagino que han decido estas tres compañías como muestra, además de por su popularidad, ya que prácticamente todos los servicios online como blogs, contenedores de imágenes, redes sociales, subastas, contenedores de video o cualquier otro, tienen sistemas similares. Además de los ¿2.000? servicios de correo distintos en los que uno se puede dar de alta.
Leer más...

08 noviembre 2008

Medios digitales de seguridad en papel

Dado los tiempos que corren, es tanta la información que leemos diariamente en diversos diarios digitales, blogs, RSS, ficheros PDF, etc,... que finalmente nos olvidamos de procesar información con los mecanismos de comunicación escrita en soporte físico (libros, revistas, periódicos,...) que han usado nuestros antepasados. Los periódicos físicos han pasado a ser el material con el que envolver el bocadillo o compartir el café del bar, más allá de aquellos que lo utilizan cuando van al transporte público.

En la comunicación de seguridad de las tecnologías de la información, es bien sabido que existen multitud de blogs, agregadores o consolidadores de noticias. Muchos de nosotros dedicamos un rato al día a procesar información que viene dada a través de este tipo de websites o listas de correo incluso, a fin de estar más al día de los avances tecnológicos que se van produciendo. Por citar sitios relacionados con seguridad informática que frecuento a menudo (además de www.securitybydefault.com se entiende :-D) podría indicar entre otros: Kriptópolis, Securityfocus, Packetstorm,... amén de diferentes blogs de tecnología y noticias en general: Genbeta, Microsiervos, Abadiadigital, Meneame, Slashdot, Barrapunto,....

La pregunta es: ¿qué sucede con las diferentes publicaciones existentes en formato de Gutemberg? ¿Ya no se leen? ¿Quizá van enfocadas a un público diferente, algo más especializado en seguridad pura?

He querido mencionar entre otros unos cuantas publicaciones conocidas a nivel nacional, así como mi opinión personal sobre los contenidos y calidad general de las mismas. Decir que como profesional del mundo de la seguridad informática española, soy un consumidor activo de este tipo de revistas. Para mí constituyen en general una lectura bastante amena al tratarse de noticias y novedades referentes a empresas, fabricantes, mayoristas e integradores de seguridad, con los que estoy familiarizado de tratar en la mayoría de los casos.

Las más conocidas son las siguientes:

  • Revista SIC: Una de las primeras y más importantes e interesantes en cuanto a calidad, selección y fiabilidad en sus contenidos. Muy buena presentación y distribución. Se te pasan las horas leyéndola asimilando "el estado del arte" de los productos de seguridad actuales, te permite sacar conclusiones sobre las tendencias de los fabricantes, de los primcipales clientes, de sus preocupaciones principales, etc,... Asimismo siempre incluye artículos de opinión bastante interesantes, comparativas, y una sección final de laboratorio de pruebas de productos comerciales diversos avalados por Javier Areitio Bertolín de quien guardo especial recuerdo y aprecio al haber sido mi director de proyecto de fin de carrera.

  • Red & Seguridad: Sin duda una de mis favoritas también. La editorial Borrmart cuenta con un enorme portfolio de publicaciones dirigidas cada una a un sector concreto: Seguridad Lógica, Seguridad física, Apasionados del automóvil, etc,... En este caso, Red & Seguridad, después de su quinto aniversario el año pasado modificó el estilo de la edición por completo para darle un aire más moderno, un enfoque diferente, que como resultado obtiene en el lector una lectura bastante cómoda también. El tamaño de letra es adecuado, los artículos son bastante interesante (aunque mal está que yo lo diga al haber publicado uno en el número 34 de Mayo pasado, pero bueno). Esta revista cuenta con artículos de diversa índole, aunque predominan contenidos con base bastante técnica, se intercalan algunos relativos a las diversas leyes de la información (LOPD, LSSI, etc,...), metodologías de gestión de la información y estándares de calidad (ISOs varias). En definitiva una revista que procuro leer en cuanto me llega.

  • TCN: Esta revista de publicación semanal, edita una vez al mes un suplemento de seguridad que resume bastante bien las principales noticias a nivel internacional incluso. Cubren en una sección especial los ataques o amenazas más candentes de ese mes, parches publicados por Microsoft, etc,... No es tan especializado ni tan largo como las anteriores pero resulta bastante interesante de leer igualmente.

  • E-Security: Reconozco que la lectura de esta publicación la tengo un poco más abandonada, no porque no me guste, al contrario, los números que he podido leer, los he disfrutado igualmente, pero al no estar suscrito no puedo hacerlo como quisiera. La destaco porque es una de las más conocidas también en el sector nacional. De hecho la página web me parece que tiene un aire mucho más moderno que las anteriormente nombradas e incluso permite ojear virtualmente la revista. Yago publicó años atrás varios artículos bastante interesantes en esta revista.
Y vosotros lectores, ¿recomendáis algún otro tipo de publicación en papel que debería añadir a mis lecturas habituales de seguridad?
Leer más...