Archive for October, 2007

Hace falta un CSIRT en la nación peruana

Monday, October 29th, 2007

Un mensaje no solicitado llegó a nuestros buzones para indicarnos de una modalidad de fraude, que se viene dando en el Perú, y probablemente en otros lados. Sin embargo, el mismo no provenía de ninguna lista oficial (opt-in), ni siquiera de la División de Investigación de Delitos de Alta Tecnología de la Policía Nacional del Perú (DIVINDAT).

Ajeno a cualquier legislación local, en el lenguaje de Internet, esto es una claro mensaje de SPAM, que sin importar la aparente buena intención (además de la indirecta publicitaria) sólo puede confundir a los más neófitos usuarios de la red al respecto de quién es la autoridad para comunicar estos avisos (que deberían ser opt-in).

Si hubiera un CSIRT con suficiente autoridad y reconocimiento del gobierno peruano, podría aclarar esta situación e incluso ponerle orden para evitar nuevos demanes, que sólo ponen en más riesgo a la ciudadanía, pues podría empezar a aparecer más y más mensajes de estos.

Importante: Este es el segundo mensaje con intención de salvaguarda -no oficial y en modalidad de SPAM- que hemos observado en Perú, el primero en ser visto fue con una clara intención criminal, éste segundo encambio con una intención más publicitaria. Ambos no guardan aparente relación.

Hace falta un CSIRT peruano con autoridad y reconocimiento del gobierno, las instituciones educativas, militares o policiales.

Posted in Knowledge | No Comments »

Anuncio a usuarios del portal JaCkSecurity

Thursday, October 25th, 2007

Con motivo del advenimiento del mes más importante de la seguridad
informática, JaCkSecurity está organizando una importante ronda de charlas
sabatinas:

Sábado, 03 noviembre, 10 AM - 12 PM
1) ¿Cuál es el verdadero modelo de amenaza de seguridad?
Expositor: Javier Romero
La ignorancia del modelo real de amenaza ha sido explotada tremendamente por la industria de la seguridad para vendernos decenas de tecnologías efímeras, que a la corta no han servido para protegernos eficientemente de casi ninguno de los verdaderos problemas de seguridad que sufre la infraestructura de la tecnología de la información actual.

Sábado, 10 noviembre, 10 AM - 12 PM

2) ¿En qué, cuándo y cómo se invierte en seguridad?
Expositor: Javier Romero
No toda la industria de servicios y tecnología de la seguridad es mala, hay que saber cuáles son las soluciones “backbone”, cuándo requerirlas, y cómo hacer que su despliegue sea beneficioso para la compañía.

3) Wardriving Perú: Riesgos ocultos
Expositor: Jimmy Villanueva, DCWE
Casi nadie desconoce hoy en día lo que la gente común hace con las puntos de acceso inalámbricos desprotegidos. Sin embargo, muy pocas personas se han preguntado qué es lo que una mente malévola puede hacer con esas puertas que dicen: ¡hackéame!. Desde una perspectiva “pentesting”, Jimmy le mostrará algunos de esos riesgos ocultos.

Sábado, 17 noviembre, 10 AM - 12 PM

4) Análisis de eventos notables de la seguridad en el 2007
Panelistas:
Aldo Romero CISSP, Martin Valdivia CISA CNA y Wiston Lewis SSP-GHD SSP-CNSA
Los editores del JaCkNews discutirán con el público cuáles fueron aquellos eventos más transcendentales que impactaron el mundo de la seguridad en el 2007 en el país y en el mundo. Esta será una rápida forma de ponerse al corriente de las noticias relevantes y lo que piensan nuestros dignos editores del JaCkNews.

Lugar:
Hotel San Isidro Inn
Av. Juan Pezet 1765, San Isidro, Lima 27, Perú
http://www.sanisidroinn.com.pe/

Costo:
Sin costo, sólo para usuarios del portal
Si no es usuario, hágase uno, vía:
http://www.jacksecurity.com/registro.php

Inscripción:
Una vez que es usuario del portal, remitir un mensaje con el ASUNTO: “Confirmo mi participación”

Cupo:
Limitado.

========================================================
== Siéntase libre de copiar éste mail a otros colegas ==
========================================================

Posted in Events | No Comments »

Compromiso tácito de la seguridad

Monday, October 22nd, 2007

En la editorial del JaCkNews Nro. 39, se escribió:

A la hora de una emergencia de seguridad, no importa mucho cuán ajena sea el alcance de la función de seguridad que usted cubre como empleado o como outsourcing, usted sólo tiene dos opciones: apoyar o ser indolente. Si opta por lo segundo, piense cómo se sentiría si ante un asalto, usted recurre a una delegación policial y le dicen que no es su jurisdicción. Los hechos detrás de los juegos ICE en Las Vegas dejan entender claramente que el compromiso tácito podrá saltar por encima de cualquier preconcepción o definición de funciones, por ejemplo, cuando se sufren ataques condicionados por aplicaciones defectuosas que usted no diseñó. Analice bien, cuál es el vocación y compromiso tácito de la empresa o persona que piensa contratar para su seguridad.

Al escuchar el audio de Paul Asadoorian, note cuál es la actitud del miembro del team azul que sale a entregar sus reportes de actividad, ante los ataques recibidos, y contrástelo con los ataques realizados por el team rojo. Aunque fue sólo un juego, note que los miembros del team azul jamás se quejaron de monitorear la seguridad de una compañía que ellos no diseñaron.

Posted in Knowledge | No Comments »

Seguridad en Bluetooth, serie 2

Monday, October 15th, 2007

En el inicio de esta serie, (véase Seguridad en Bluetooth, serie 1) se mencionaron algunos ataques a los que un equipo celular con características Bluetooth puede estar expuesto, de no seguir ciertas recomendaciones. En esta segunda entrega, profundizaremos más de cerca dichos ataques y que herramientas son empleadas para estos fines.

Para comenzar, citaremos a Blooover II: una herramienta de auditoria creada por el grupo trifinite.org, una organización sin fines de lucro que realiza distintas investigaciones en el campo de dispositivos wireless, con especial énfasis en la seguridad. Blooover II ha sido realizada en Java y puede ser instalada en equipos celulares que contengan ciertas características como MIDP 2.0 y JSR-82 (Bluetooth API), generalmente incluidas por los últimos modelos de Sony Ericsson. A través de Blooover II se puede saber si un equipo Bluetooth remoto es vulnerable “a determinado ataques”, entre ellos BlueBug, BlueSnarf, HeloMoto. Adicionalmente, abre paso a la posibilidad de enviar objetos malformados vía OBEX, un protocolo orientado a la conexión que incluye las funcionalidades de sincronización para directorios telefónicos, calendarios y mensajes, etc.

Pero, así como existe Blooover II para el campo de la auditoria y generación de reportes, también existen herramientas con el objeto de robar información, u –incluso– obtener la administración total del equipo remoto: en las que cabe mencionar a BTinfo. Este último, también conocido como Super Bluetooth Hack, es un programa eslovaco creado en Java que trae entre sus opciones 5 idiomas para el manejo de su interfase. Así, luego de establecer la conexión con el equipo remoto, BTinfo permite (1) la descarga total de la lista de contactos, (2) la descarga de todos los mensajes de texto enviados y recibidos, (3) el control para realizar llamadas desde el equipo remoto, y (4) el acceso total al equipo, para –por ejemplo– modificar la configuración del equipo victima, entre otras opciones.

A pesar de los ejemplos citado, en otros casos no hace falta que el equipo del atacante sea un celular, pues existen programas que pueden ser instalados en una Pocket PC con capacidades de conexión Bluetooth. Así, se puede mencionar a BlueSnarffing: un programa, que a diferencia de BTInfo, no tiene tantas funcionalidades. No obstante, con éste se puede ejecutar comandos AT, así como la descarga total del directorio telefónico y mensajes de texto, pero dependiente del equipo victima al cual se asocia.

De esta forma, se puede apreciar que existe una gran variedad de herramientas –fáciles de encontrar- en algunos casos –hasta- con sus respectivos manuales de uso. Nuevamente, está en el lector que usa la tecnología Bluetooth el tomar las medidas adecuadas para no ser victimas de estos herramientas tan poco benignas. Vea el video relacionado a una de ellas.

Post de Jimmy Villanueva

Video relacionado

Posted in Bluetooth, Knowledge | No Comments »

Zombi SPAM al descubierto

Friday, October 12th, 2007

A pesar del equipamiento de hardware y software de seguridad instalado en muchas compañías y redes domésticas, miles de millones de computadoras vienen siendo explotados.
Todo eso debido a las malas prácticas de seguridad que se vienen desarrollando en el uso de los computadores. Una nueva publicación del portal de JaCkSecurity demostra qué es lo que hacen esas computadoras hackeadas, específicamente en la economía SPAM. Descargue Zombi SPAM al descubierto.

Posted in Knowledge, Spam, Zombis | No Comments »

%41%43%45%20%54%65%61%6d

Tuesday, October 9th, 2007

%41%43%45%20%54%65%61%6d es el nuevo título del blog Hacker@Microsoft, el cual puedes decodificar manualmente o con algo de ayuda:



StepDescriptionNow
Step 0You entered:http://ACE Team/
Step 1Extract username/passwordhttp://ACE Team/
Step 2Remove port (e.g. ":80")http://ACE Team/
Step 3Decode octets (e.g. "%25")http://ACE Team/
Step 4Convert decimal to IPhttp://204.204.204.204/

ACE Team is:
http://204.204.204.204/ .

La ayuda la hallará en http://member.dnsstuff.com/pages/tools.php

Posted in Detección, Knowledge | No Comments »

Working as root is “dangerous”

Thursday, October 4th, 2007

Antes de finalizar una instalación en FreeBSD, el programa de instalación te hace una invitación muy importante:

Adding at least one account for yourself at this stage is suggested since working as the “root” user is dangerous (it is easy to do things which adversely affect the entire system)

Ahora, ya lo sabe. Aún para un sistema basado Unix, la seguridad más elemental depende del usuario, y en este caso del mismo administrador. Una razón más para seguir este consejo.

Posted in Knowledge | No Comments »