Sitio de Kaspersky hackeado, base de datos de expuesta por 11 días

¡Sorpresa! Si bien hoy en día los ataques de alto perfil son moneda corriente en el Internetz, no es todos los días que una firma como Kaspersky recibe un memo de un hacker informando que su base de datos ha sido comprometida… durante 11 días.

Ciertamente, nada bueno o que ninguna compañía en absoluto necesita en su historial, menos aún una entidad encargada de la seguridad de otras tantas compañías.

“Esto no debería haber sucedido” (cierto!), comentó Roel Schouwenberg, investigador senior en Kaspersky, ahora a cargo de las investigaciones forenses pertinentes. Los daños estimados a la fecha consisten en unas 2500 direcciones de correo electrónico (pertenecientes al libro de clientes de la compañía) y 25.000 códigos de activación del producto expuestos en el intervalo de esos 11 días.

Una entrada en el sitio Hackersblog.org incluye capturas del hacker inyectando código SQL para acceder a la base de datos de la compañía a través del sitio de soporte técnico de la división norteamericana, presuntamente creado por terceros y nunca evaluado apropiadamente en términos de seguridad. De acuerdo a los datos de Kaspersky, el sitio se puso en-línea el pasado día 28 de enero, haciéndose público apenas un día después de eso.

Kaspersky ha dejado todo en las manos de David Litchfield de Next Generation Security Software, un experto en seguridad especializado en ataques por inyección de SQL, quien ahora llevará a cabo una auditoría de seguridad y análisis de riesgos del sitio web de la compañía. Una vez concluida, los resultados de la investigación estarán disponibles al público general a través del sitio web de Kaspersky.

http://www.cybernauta.com/2009-02-10/1755/sitio-de-kaspersky-hackeado-base-de-datos-de-expuesta-por-11-dias/

¿Qué nos espera en 2009 en materia de seguridad informática?

¿Crees estar seguro mientras no abras un documento adjunto a un correo electrónico de un remitente desconocido y no visites sitios web sospechosos? Piénsalo de nuevo. Las actuales amenazas no sólo se propagan vía e-mail, libros de visitas y tablones de anuncios, sino también a través de las redes sociales. Los usuarios de estos sitios web lo vivieron a principios del 2008 con la aparición de Net-Worm.Win32.Koobface, diseñado para atacar a los usuarios de MySpace y Facebook a través de las listas de contactos "amigas". "Una vez que los piratas informáticos han accedido a una cuenta de usuario pueden robar información personal de sus amigos online o hackear sus cuentas con facilidad, multiplicando, por consiguiente, el daño", afirma Magnus Kalkuhl. ¿Por qué los usuarios de redes sociales son una presa tan fácil para los cibercriminales? La respuesta es sencilla: "Por un lado, los usuarios se relajan y confían en estos sitios web, lo que les lleva a bajar la guardia; y, por otro, las vulnerabilidades de estos sitios se dejan a menudo abiertas durante un periodo de tiempo significativo, lo que facilita que los hackers se aprovechen de las lagunas de seguridad".

De los e-mails a los links

Un hecho interesante es que el viejo método de propagar códigos maliciosos vía e-mail desaparecerá casi por completo en 2009. Sin embargo, la mayoría de las amenazas todavía serán distribuidas a través de Internet. "Hoy en día, las amenazas se extienden por medio de los enlaces: cuando el usuario hace clic en ellos, el malware se descarga en su equipo", explica Kalkuhl. "El programa malicioso puede entonces poner en marcha sus trucos, tales como saltarse o descifrar las claves de acceso, robar la identidad de usuario o descargar más malware. Como estos enlaces pueden ser enrutados a través de varios servidores, el usuario es redireccionado de un equipo a otro sin ser consciente de ello. Estos "relevos virtuales" requieren esfuerzos adicionales por parte de los fabricantes de antivirus cuando se trata de identificar nuevo malware, por lo que tenemos la certeza de que estos métodos se utilizarán con mayor frecuencia el próximo año".

Todos los ojos puestos en los smartphones

Los teléfonos inteligentes, como el iPhone, son gadgets de plena actualidad y, por tanto, objetivos muy atractivos para los cibercriminales. Ciertamente, la amenaza a los smartphones es relativamente limitada, pero el año que viene por estas fechas esta afirmación ya no será válida. Además del iPhone, Google está entrando en este mercado con Android. Parece que 2009 va a ser el año del Smartphone; en la actual Sociedad de la Información, ¿qué podría ser mejor que tener acceso a Internet las 24 horas del día, los siete días de la semana, allá donde vayas y a un precio asequible? Los teléfonos móviles siguen la misma trayectoria en su evolución que los PCs, que en un periodo de 10 años han pasado de disponer de una conectividad módem cara y poco manejable a contar con un acceso a Internet de alta velocidad y a un precio fijo. Los teléfonos móviles también serán atrapados en botnets, tal y como sucedió con los PCs. Kalkuhl cree que "aunque es probable que el malware para móviles aún sea limitado en alcance y volumen en 2009, en 2010 la situación será mucho más seria, y en un periodo de cinco años, como mucho, el malware para móviles se habrá convertido, tristemente, en parte de nuestra vida cotidiana".

¿Cuál será la respuesta al incontenible número de programas maliciosos en 2009?

El volumen de código malicioso y el número de sus variantes ha estallado. Las estadísticas demuestran el crecimiento de las amenazas: a principios de 2008, Kaspersky Lab utilizaba en torno a 500.000 firmas para detectar malware; en las próximas semanas, esta cifra aumentará a 1.500.000, lo que significa que el número se ha triplicado en menos de un año. Y esta tendencia será incluso más amenazadora en 2009.

Los cibercriminales utilizan esta cantidad masiva de malware para desafiar a la industria de la seguridad y sus métodos de detección tradicionales. Además de la detección por firmas, la basada en los patrones de comportamiento y las soluciones en tiempo real son factores clave en la guerra contra el cibercrimen. Esto significa que los programas maliciosos pueden ser identificados tan sólo unos minutos después de su aparición, por ejemplo, a través de Kaspersky Security Network, el equivalente a lo que los fabricantes denominan "seguridad en la nube". Las nuevas tecnologías, como HIPS (Host Intrusion Prevention System), disponibles desde este año, serán optimizadas para combatir incluso el malware totalmente desconocido sin necesidad de las firmas. Los cibercriminales tendrán que encontrar nuevas formas de explotar unas ventanas de oportunidad cada vez menores.

No lea este post

El último viernes, los usuarios de la popular red social Twitter fueron víctimas de un ingenioso ataque de Ingeniería Social.

Para resumirlo, lo que pasó fue una persona divirtiéndose a costa del resto. Explicado por el autor en su blog: “Algo divertido fue lo que probé ayer con mis seguidores de Twitter… ¡El Twitter-Jacking! O mejor dicho, cómo escribir en el Twitter de otra persona, ¡lo que tu quieras!“.

Básicamente la técnica consistió en colocar una entrada en Twitter con el siguiente texto: “Don’t Click: http://tinyurl.com/[eliminado]“ (en castellano, “No haga clic: http://tinyurl.com/[eliminado]“). Utilizando la técnica de Clickjacking, el autor publicó una entrada en su cuenta y, si el usuario (uno de sus seguidores) hacía clic en el enlace, automáticamente se publicaba en la cuenta de la víctima una entrada promocionando el blog personal del autor.

Es decir que cada usuario ahora tenía una nueva entrada promocionado el enlace, por lo que el mismo se propagagó como pólvora en pocos minutos. En la imagen se puede observar cuánta gente no resistió la tentación del enlace “No haga clic“:

El texto que se insertaba automáticamente promocionaba el sitio web del autor: “Busque en www.korben.info! @ Korben gracias!” (originalmente en francés). Cabe aclarar que la vulnerabilidad ya fue solucionada por Twitter para que no se repita esta situación, al menos de esta forma.

Para suerte de todas las víctimas, los fines de quien propagó la idea no eran dañinos para el usuario o su privacidad, pero esta misma técnica puede ser utilizada con acciones maliciosas y peligrosas para los usuarios.

Como le diría un padre a su hijo, “no es no“. Si un link dice “no haga clic aquí” puede deberse a dos motivos: a que el enlace es peligroso y la persona que lo escribió realmente no quiere que uno entre o, que quien lo escribió realmente desea tentar al usuario. En cualquiera de los dos casos, es recomendable no hacer clic en estos enlaces.

Además de tener cuidado con los clics que realizan por la web, los usuarios pueden leer los métodos de prevención que publicó ESET Latinoamérica cuando se descubrió la amenaza del Clickjacking, en Octubre del año pasado.

http://blogs.eset-la.com/laboratorio/2009/02/15/no_lea_este_post/

Symantec Report on the Underground Economy

Este es un reporte de Symantec sobre la economia subterranea, esta muy interesante aqui pongo el link para el pdf

Gusano Conficker

Algunas redes dentro de la UNAM, empiezan a sufrir problemas debido al gusano: “Conficker”

Gusano Conficker

Conficker, también conocido como Downadup, ha saltado a los medios generalistas activando alarmas. La combinación de ciertas técnicas le ha permitido conseguir un buen número de infecciones. Pero no más que los cientos de miles de ejemplares de malware 2.0 que infectan hoy en día a la mayoría de los sistemas Windows.

Descripción

El pasado 23 de octubre Microsoft Corp., liberó una actualización de seguridad de emergencia (MS-067). Dicha actualización soluciona una vulnerabilidad que ha sido clasificada como crítica y que podría permitir a los atacantes tomar control total del sistema afectado. Además, UNAM-CERT ha recibido reportes que muestran la propagación de software malicioso (Win32/Conficker.A, Win32/IRCbot.BH) que está explotando exitosamente la vulnerabilidad. La vulnerabilidad se encuentra en el servicio Server de Microsoft y podría explotarse enviando solicitudes maliciosas de RPC por lo que es importante que los usuarios actualicen sus sistemas operativos Windows.

Para mayores informes sobre la vulnerabilidad visite el siguiente boletín:
o Vulnerabilidad en el servicio Server de Microsoft podría permitir la ejecución remota de código

¿Qué hace el gusano Conficker?

* Adivina contraseñas de las redes compartidas. Esto le ha permitido eludir cortafuegos en redes internas.
* Se copia y ejecuta a través de memorias USB y dispositivos extraíbles.
* Aprovecha vulnerabilidades. Conficker comenzó aprovechando una vulnerabilidad muy peligrosa que permitía ejecución de código sin intervención del usuario.
* Ingeniería social: El gusano aprovecha la autoejecución pero de una forma muy astuta. Disfrazándose como una de las opciones que aparecen en el menú de Windows cuando se inserta un dispositivo extraíble. Un usuario despistado creerá que está intentando explorar el dispositivo cuando en realidad ha ejecutado el ejemplar.
* Descarga componentes (tanto archivos de configuración como otros ejecutables) desde servidores web, convirtiéndose así en toda una infraestructura y no en un gusano autocontenido tradicional.

Sistemas Afectados

o Microsoft Windows 2000
o Microsoft Windows XP
o Microsoft Windows Server 2003
o Microsoft Windows Vista
o Microsoft Windows Server 2008

Recomendaciones

1. No abrir correos electrónicos de remitentes desconocidos.
2. No abrir correos electrónicos de remitentes conocidos que expresen en el “Asunto o Subject” temas que no hemos compartido con ellos, (Los gusanos y virus se sirven de correos válidos para esparcirse).
3. Evitar al máximo insertar memorias flash (USB) de terceros, dentro de nuestras computadoras.
4. No aceptar archivos, ya sean estos imágenes, archivos comprimidos, videos, música, etcétera, que sean transferidos por mensajeros instantáneos cuando no los hemos solicitado.
5. Evitar instalar y descargar software a través de las redes P2P, ya que son el medio ideal de distribución del software malicioso.
6. No almacenar ninguna contraseña en nuestro sistema. Es el caso del Internet Explorer o cualquier otro navegador que permite almacenar las contraseñas.
7. Evitar al máximo navegar por sitios inseguros o páginas peligrosas, regularmente son aquellas donde se descarga software gratuito, música, pornografía, sitios de hackers, entre otros.

Páginas referentes:
· http://www.cert.org.mx/nota/?vulne=5676
· http://www.hispasec.com/unaaldia/3740
· http://www.theregister.co.uk/2009/01/23/conficker_worm/

Facebook desde la perspectiva de los hackers

Humans have a natural tendency to trust each other. If one human being can provide another human with "something sufficient" then trust is earned. That "something sufficient" can be a face to face meeting but it doesn't always need to be. Roughly 90% of the people that we've targeted and successfully exploited during our social attacks trusted us because they thought we worked for the same company as them.

The setup...

Facebook allows its users to search for other users by keyword. Many facebook users include their place of employment in their profile. Some companies even have facebook groups that only employees or contractors are allowed to become members of. So step one is to perform reconnaissance against those facebook using employees.

Continue reading...

3 razones porque los empleados no siguen las reglas de seguridad

Un estudio reciente encontró que los empleados continúan ignorando las políticas de seguridad. (sorpresa, sorpresa). He aquí un recordatorio de que lo que a menudo falta en las organizaciones tientan a los trabajadores a caminar por el lado equivocado de la ley de seguridad.

De acuerdo con un estudio de la firma de seguridad RSA, la mayoría de los trabajadores consultados dijo que siente que necesita eludir las políticas corporativas de seguridad para poder realizar su trabajo.

El estudio señala que mientras muchas compañías están preocupadas por las amenazas maliciosas internas, el peligro real residen el la vasta cantidad de aparentemente inocentes rompe-reglas que hay diariamente por parte de empleados bien intencionados.

Le preguntamos a Frank Kenney, un analista de Gartner dedicado al desarrollo de aplicaciones e integración, algunos pensamientos sobre las principales razones de porque la gente no adhiere a las políticas corporativas de seguridad, y que necesitan para integrarse con las reglas.

No conocen las reglas

El estudio de RSA halló que la mayoría de los encuestados decía estar familiarizado con las políticas de seguridad de su organización. Pero las políticas no siempre son blanco sobre negro, según Kenney. Muchas compañías podrían estar enviando mensajes contradictorios a los empleados.

"Si trabajo para una compañía en la cual no se puede usar Gmail, pero tengo acceso a Gmail, la compañía no me está dando una mejor forma de enviar grandes archivos, y no han bloqueado Gmail, voy a usar Gmail," dice Kenney.

El punto de Kenney es que si una corporación va a insistir que los empleados no usen ciertas aplicaciones o visiten ciertos sitios Web, necesitan hacer algo más que ponerlo en el manual de la compañía. Lo encargados de seguridad necesitan asegurarse que los empleados estén al tanto poniendo los puntos en claro en cuanto los contratan, y también enviando material para refrescar los temas. También, poner las herramientas necesarias en su lugar de modo que no haya violaciones, remarca Kenney. Si uno no quiere empleados usando Gmail, tómese la molestia de bloquear el sitio.

Si conocen las reglas, nadie las está haciendo cumplir

Incluso si las reglas están establecidas, y sabe que todo el mundo las conoce, ¿que impedirá que los empleados las transgredan si no hay repercusión de esas acciones?

"Si uno se pasa una luz roja, sabe que hay posibilidades que la policía lo detenga," dice Kenney. "Pero con todas las reglas de seguridad, los empleados saben que nunca serán reprendidos por ir contra la política de la compañía."

RSA dijo que los consultados en el estudio admitieron que acceden al correo del trabajo desde computadoras de acceso publico. Una mayoría también dijo que ha accedido a cuentas de correo del trabajo a través de redes publicas inalámbricas. Ambas tácticas ponen en riesgo información corporativa sensible. ¿Pero saben sus empleados lo saben?. Y ¿porqué deberían preocuparse si nunca los atrapan? Kenney sugiere educar al personal sobre las implicancias de sus acciones. Y dar un paso más respaldando las políticas tanto con incentivos como con castigos.

"La educación puede funcionar cuando es reforzada con incentivos para hacer las cosas bien. E incluso el castigo por hacer mal las cosas puede ser efectivo."

Algunas ideas para motivar a la gente a seguir las reglas incluyen ofrecer a cualquiera boletos para eventos grupales - o un almuerzo gratis - por cierta cantidad de días sin infracciones. Y a la inversa, si alguien del personal continua ignorando las reglas, "es momento de sentar a esa persona y decirle: voy a tener que reprenderte," dijo Kenney.

Reglas que obstaculizan la productividad

La gente ha estado trabajando con reglas de seguridad desde los albores de las TI para poder hacer su trabajo, dijo Kenney. Ejemplo de los comienzos incluían imprimir documentos sensibles que TI había bloqueado para no descargar o enviar por correo electrónico.

"Uno puede bloquear laptops e impedir que la gente ponga memorias flash para grabarse cosas. Pero ¿sabe lo que van a hacer? Van a imprimir eso y hacer lo que necesiten para ser productivos."

El personal suele ver a TI y la política de seguridad como un estorbo para su productividad. Y en muchas formas es así, dijo Kenney. En su opinión el comportamiento más riesgoso en que se involucran los empleados últimamente es en el uso ya mencionado de servicios Web gratuitos tales como Yahoo, Hotmail o Gmail para enviar documentos de la compañía.

Un informe reciente de Aberdeen encontró que hay demanda de productos de transferencia de archivos administrados/asegurados en varias industrias debido a la necesidad de compartir con seguridad grandes archivos.

"Cuando los empleados usan correo electrónico Web como un atajo, las compañías no saben que tipo de propiedad intelectual va a terminar en la nube. Necesitan herramientas para poder transferir archivos sin peligro."

Autor: Joan Goodchild

Fuente: http://www.csoonline.com/article/457575/_Reasons_Why_Employees_Don_t_Follow_Security_Rules

"Capitan Crunch" . El comienzo de un movimiento hacker

John T. Draper . El “Capitan Crunch” con un silbato podía emitir un tono a 2600 Hz, “casualmente”, esa era la frecuencia que la operadora telefónica más “juankeada” de EEUU, la mítica “AT&T”, usaba para advertir de que la línea telefónica estaba preparada para tramitar una llamada. después era posible hacerse pasar por un operador telefónico y realizar llamadas gratuitamente a corta y larga distancia.

Eran llamados “phreakers” o hackers telefónicos . Uno de los padres de la “ingeniera social” el también llamado “la caja azul humana”, Joe Engressia (”Joybubbles”). Joybubbles era un phreaker ciego pero no le hacía falta ver para marcar un teléfono ya que poseía una capacidad auditiva tan alta que podía conmutar llamadas imitando los tonos.

El capitán Crunch programó el primer procesador de textos que incorporó la Apple II para acabar siendo la compañía tan cerrada que es hoy en día.

Video:

http://www.daboblog.com/2009/01/03/%C2%BFconoces-al-capitan-crunch-%C2%BFlas-cajas-azules-%C2%BFlo-de-2600-el-maquero-mas-hacker/

Resultados del reporte anual X-Force de IBM

Saludos,

Pues como cada año, IBM publicó los resultados de su equipo de seguridad, conocido como X-Force, uno más de los reportes periódicos sobre el estado de las vulnerabilidades, ataques y malware en el mundo. Este grupo ha estado en estas actividades desde 1997, y cada año publican su reporte del estado de la seguridad en cómputo, orientado a la actividad maliciosa en Internet (que, como sabemos, representa la mayoría). ¿Las noticias? Buenas y malas, aunque como siempre, hay avances interesantes desde ambos lados de la batalla.

Un punto importante del reporte es que las vulnerabilidades encontradas han cambiando ligeramente su distribución, disminuyendo la cantidad de vulnerabilidades de nivel crítico y bajo, pero aumentando las de nivel medio (considerablemente) y alto:

Crédito: Ars Technica

Esto por supuesto refleja un aumento en el número total de vulnerabilidades, aunque seguramente los equipos de respuesta a incidentes apreciarán ver un declive de las vulnerabilidades críticas (más del 50%). Del número de vulnerabilidades totales, Microsoft, Apple y Sun son responsables de casi el 10%.

Otros nuggets notables de información: el porcentaje de vulnerabilidades descubiertas sin corregir asciende apenas al 19% para el 'top 10' de las compañías, aunque el promedio en general es notablemente superior (53%). Asímismo, las vulnerabilidades más notorias para los usuarios finales, aquellas de Sistema Operativo y navegador de internet, descendieron de forma importante, mientras que las aplicaciones web, cada vez más populares entre particulares y empresas, continúan aportando un porcentaje importante al número de vulnerabilidades conocidas, sumando casi 4,000 vulnerabilidades más en lo que fue el 2008. De hecho, las aplicaciones web representaron al 54.9% (!) de las vulnerabilidades reportadas en el año... así que hay que ponerle más atención a esos SDKs de ActiveX, porque la cosa está pesada...

Por cierto, los controles ActiveX fueron un vector de ataque preferido a lo largo del año, en particular porque algunos controles (que en sí son benignos) tienen vulnerabilidades que pueden ser explotadas por un sitio malicioso sin que el usuario requiera autorizar su ejecución, si el control fue instalado previamente. Esto ha causado una tendencia donde el usuario instala un control "confiable" en un sitio "confiable", solo para sufrir un exploit de éste control al entrar al sitio malicioso.

Finalmente, y a modo de dato curioso, el kernel de Linux reportó más vulnerabilidades en el año (10.9% del total) que Windows Vista y XP combinados - 5.1% y 5.5%, respectivamente. Efectivamente, como dijo Torvalds: con suficientes ojos, los bugs son muy notorios.

En fin... conviene revisarlo por uno mismo. Les dejo links al PDF y al resumen que hicieron en Ars Technica.