Usando su propia página principal, y en un espacio equivalente al 50% de la cabecera de la misma, el banco Scotiabank muestra y alerta el peligro de seguridad a sus usuarios. Hacer click en este aviso, tiene más probabilidades que el promedio de los bancos.
Este blog expresa sus felicitaciones al equipo que gestionó tan ejemplar anuncio.
Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría
“Prever el peligro y evitarlo es actuar con inteligencia; hay que ser muy tonto para no preverlo ni evitarlo.” Proverbios de Salomón, 27:12
nada mal para memorizarlo y recitárselo al jefe, cuando no veas por dónde decirle que sus prácticas inseguras pueden estropearle su carrera y las finanzas de la compañía, o nada mal para cuando tengas que despedirte de esa organización -insegura- y tener que buscarte otra… el resto de ocasiones, podrías mejor tener que guardártelo.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
Al parecer, los spammers han intensificado su deseo de mejorar el éxito de sus spam.
Hoy hemos recibido varios rebotes de diversos servidores (sin anti-spam), con rebotes de falsos correos usando nuestro dominio. La información la hemos analizado -para descartar cualquier implicancia. En el proceso hallamos que los correos spam fueron enviados originalmente desde computadoras (en redes broadband: Ej. DSL) en China, Malasia, Tailandia y otras direcciones IP del APNIC.
Todo parecería indicar que se trataría más bien de PCs zombis en la región oriental del planeta enviando spams que usan el correo origen de las víctimas de spam, en un nivel mayor a lo acostumbrado.
Fuentes amigas, nos indican que esta situación se ha venido dando desde el fin de semana.
Si tiene información, y quiere enviarnos las cabeceras de spams rebotados a su cuenta, escríba a “info[@]jacksecurity.com”, en el subject coloque: “REBOTE de falso spam de mi cuenta”. Esa información puede ser útil para obtener mejores conclusiones de esta anomalía en el spam.
JaCkSecurity
Conocimiento, Conciencia y Consultoría
Estamos presentes en el 2008 Resource Guide de (ISC)2, descárguela.
Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría
We do.
Durante todo el mes de marzo, Zone-H ha estado coleccionando estadística mediante la siguiente poll:
Should Zone-H continue mirroring defacements?
Hasta hoy, estos fueron los resultados:
Yes, it’s useful
628 66%
No, it’s useless
323 34%
Hay 323 personas que opinan que es un trabajo inútil, yo creo todo lo contrario. Aunque este medio es una forma de alimentar el ego y vigor de la “comunidad” de defacers, su data es muy relevante. Por ejemplo, mediante esta se podría perfilar las probabilidades de una amenaza tipo defacement en una empresa, en cualquier lado del mundo. ¿A quién le importaría eso? Le importaría, y mucho, a una compañía (o a su consultor) que tiene imagen en la web, y que genera confianza o dinero mediante ella.
Por otro lado, Zone-H, o su data, puede servir a los investigadores policiales, que buscan conocer cómo piensan o qué piensan alguna pandilla defacer que se pasó de la raya con actos más criminales (si acaso, claro, éste mismo, ya no fuera un crimen en dicha jurisdicción).
Siguiendo la idea anterior, muchos defacers dejan las direcciones de los canales donde chatean, nada mal para comenzar una investigación.
Por supuesto, y como en todo, existen otras ideas menos sanas (e incluso más útiles, aún desde la perspectiva de “defensa”) de qué hacer con esa data.
Vote Ud.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría (more…)
Javier Romero, CTO de JaCkSecurity, estará dictando el curso SEC 503. Acá un video de Mike Poor, actual instructor de SANS para este curso:
La contraseña del artículo anterior será entregada el lunes a los usuarios del portal, vía el boletín JaCkNews.
-Si no es usuario, subscríbase al portal-
Staff
JaCkSecurity
Un colega de la scene, Alberto, nos reportó su breve análisis de un reciente pharming que explota la confianza y fama que tienen los chismes del programa televisivo peruano Magaly TV. Aquí su hallazgo:
-Información entregada-
Lo subi a virustotal y ningun antivirus detecta nada anormal.
Pero ese archivo Video_Magaly.exe hace lo sgte
Agrega en el archivo hosts
C:\WINDOWS\system32\drivers\etc\hosts
69.64.39.58 scotiabank.com.pe
69.64.39.58 www.scotiabank.com.pe
69.64.38.211 bbvabancocontinental.com
69.64.38.211 www.bbvabancocontinental.com
69.64.38.211 www.bbvabancocontinental.com.pe
69.64.38.211 bbvabancocontinental.com.pe
69.64.38.254 viabcp.com:
69.64.38.254 www.viabcp.com
69.64.38.254 www.viabcp.com.pe
69.64.38.254 viabcp.com.pe
Y luego abre el sgte url :
www.elgonzi.com/2008/03/video-pelea-de-leysi-suarez-y-la-esposa.html
-FIN de información entregada-
El ejecutable tiene la ícono de un acceso directo a un VMW (Windows Media File), pero como señala Alberto modifica el archivo hosts.
Sin duda una forma de ataque más trabajada de los cibercriminales detrás de la banca peruana, ya que no deja a la víctima con la sin sazón de no ejecutar nada, sino que lo lleva a una web donde puede ver el video provocativo.
Agradecemos la información alcanzada por Alberto.
Importante: Eduque a sus usuarios, los antivirus no pueden ayudarlo (Ranking 0/32 al escribir este post).
JaCkSecurity
Conocimiento, Conciencia y Consultoría
Reporte técnico exhaustivo
En lo albores de mi profesión pensaba que hacer cumplir políticas de seguridad era mucho más sencillo para los militares que para el resto de organizaciones civiles, especialmente cuando un excelente amigo y ex-militar me esbozó su sencilla y severa disciplina, que implantó en su división militar como responsable de la seguridad TI. Pero, no fue hasta adquirir mi primer policy-enforcement que me di cuenta que actuar como militar no funcionaría. Ese policy-enforcement era el más robusto de todos los firewall, uno de tipo proxy-applicatioN.
Si su compañía pretende ser severa y dura con las cosas que quiere que los empleados hagan o dejen de hacer, le profetizamos que no le irá nada bien.
Luego de adquirir una de mis más costosas colegiaturas, el policy-enforcement del que le hablaba arriba, la Internet empezó a ser invadida por un mayor número de killer-apps enfocadas en las comunicaciones humanas, cada una de ellas siguiendo su propio estándar y forma de trabajar. Ello motivó que tuviera que reconfigurar mi elefante de 13 patas, y empezar a degradar su poderío al empezar a usar aquellas opciones alternas al proxy-application.
Para cuando me di cuenta, tenía más líneas de las que jamás me habría imaginado. Esto hizo que la gestión se hiciera inmanejable. Sin importar que no sea un tema de firewalls, es fácil predecir, que le sucederá igual si se asesora mal y comienza a llenar su escritorio de directivas de seguridad bajo el enfoque totalitario.
Por supuesto, no hay mal que dure cien años, ni cuerpo que lo resista, y siendo yo el que tenía al elefante sobre la mantel, era evidente que sólo me quedaban dos opciones o vivía para cuidar al animal o simplemente lo sacrificaba.
Ya se imagina qué fue lo que este administrador hizo. Lo mismo no le debe pasar a usted, así que piense un poco, las personas quienes usan la tecnología necesitan todo menos imposición militar para hacer mejor las cosas. Recuerde que esa tecnología puede permitir hacer cosas inimaginables, y usted nunca sabrá cuándo sus usuarios se convierteron en hackers para evadir sus políticas extremas.
Háblele a su gerente, es mucho mejor si convierte a sus RR.HH. a favor, y no en contra. Si quiere aprender más, contáctenos.
Cortesía de JaCkBasis
Capitalizando el activo humano de la seguridad
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia, y Consultoría
Interesante anuncio web (Ya existe una forma de satisfacer a esa audiencia que anda ambrienta de delinquir):
hackeo msn yahoo gmail hotmail
Localización: Lima
Fecha: 29-02-2008
Teléfono: 0188193136
Contactar Anunciante
Visitas: 42
Hackeo msn
cada día son mas la gente que dice saber sacar contraseñas de correo , asi que comprendo a quienes no quieran creerme .
mi sistema de trabajo funciona así.
usted me dice la cuenta que quiere hackear ….
yo procedo a realizar el trabajo y en cuanto tengo la contraseña (no mas de 2 días) ,
le doy las pruebas suficientes para recién cobrar , antes no cobramos nada ,
además de vender contraseñas , podemos también darte las conversaciones (anteriores)de MSN entre 2 correos que tu nos indiques. Por un precio adicional podemos darte mas datos como información física del PC . Capturar su computadora y gravar todo cuanto se haga o diga desde su PC.
nuestro servicio es nuevo y no te hacemos perder el tiempo ni tu dinero, solo pagas cuando te mostramos el mail hackeado , para poder contactarnos solo escribe a cleber_leo2@hotmail.com, y cuéntanos tu caso . nosotros nos encargamos de ofrecerte las posibles soluciones y logramos resolverlo ..asta el final ..es un servicio personal ..
el servicio es totalmente confidencial y anónimo , en ningún momento la victima podrá notar que tu estas vigilando su correo , el programa es nuestro (creado por nosotros)y solo necesitas los password de las personas que quieras ver sus
conversaciones.
te invitamos a contactarnos . solo pedimos seas una persona seria y responsable , recuerda que también ayudamos en caso muy delicados (infidelidad , secuestros , suplantación de identidad , engaños , usurpación , etc.)
condiciones .
1 No es un servicio gratuito
2 bajo ninguna condición enviamos ningún tipo de contraseña asta no recibir el pago
3 no cobramos nada por intentar hackear la cuenta
4 no cambiamos el password , te doy el password original
5 el costo es de 50 dólares por cada cuenta y 60 dólares por el programa para ver las conversaciones de msn sin que se den cuenta
6 es totalmente anónimo.
7 no es necesario que la victima visite su correo, nosotros trabajamos en un nivel superior
8 el plazo máximo para los password es de 2 días
9 el único mail de contacto es cleber_leo2@hotmail.com
ayacucho perú 2008
With a non so little space of the IP numbers of IPv4 in the net, sky shall not fall over your head, at least not frequently. But, when it happens, you must know where is the best place to start looking for problems and troubleshootings.
Note: This little reference is for those of you who manage their own ASN (autonomous system number).
Let me describe the scenario “sky is falling”:
When suddenly your web sites and datacenter (merged in a little /24 IP block) are not reached by anybody in the world except your own constituency (the hosts inside your ASN), the problem could be due to prefix inconsistency.
Our friends in TEAM CYMRU have done a wonderful work by monitoring these inconsistencies on the whole net. If you are based on Peru, you can be sure that the source of TEAM CYMRU is trusted, because there is a local ISP which participates with some data.
Here is a big picture of this real problem across the Internet. Look at the numbers: k means kilo, just multiple x1000.
To make a deeper review on this, you go to the this URL, and look for your IP block, which is suffering this picture:
Prefix Origin ASNs ASN Name
8.3.30.0/24 AS14153 EDGECAST-SJO - EdgeCast Networks, Inc.
AS14210 EDGECAST-DCA - EdgeCast Networks, Inc.
AS15133 EDGECAST - EdgeCast Networks, Inc.
In this little example, you can see one IP block (8.3.30.0/24), which has been seen on AS14153, but this is not the right source. This is a problem with prefix inconsistency. The real owner of this IP block is the company Level 3 Communications, Inc., as I saw in the WHOIS.
Level 3 Communications, Inc. LVLT-ORG-8-8 (NET-8-0-0-0-1)
8.0.0.0 - 8.255.255.255
EdgeCast Networks, Inc. LVLT-EDGEC-1-8-3-30 (NET-8-3-30-0-1)
8.3.30.0 - 8.3.30.255
Although, this post is not exclusively a security topic, my suspiciouness alerts me when something like this occurs, I used to think the worst about the ASN which issued my little IP block. I am not out of my right mind, this evil idea happened just a few weeks ago, with Pakistan and YouTube network. Then, it become a security problem, without any doubt.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia, y Consultoria
En fechas pasadas, varios usuarios y visitantes del portal nos han hecho saber su interés por participar del examen CISSP. Esta vez, para quienes realmente están en pos de la certificación CISSP, y piensan inscribirse al próximo examen del 31 de mayo 2008 (actualmente auspiciado por JaCkSecurity en convenio con (ISC)2), se les invita a escribirnos a info(@)jacksecurity.com a la brevedad. Tenemos una propuesta de su interés.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
Comúnmente las compañías más neófitas suelen confiar su defensa a una sola tecnología, a un solo fabricante, o hasta un solo equipo, únicamente con el argumento de la centralización de amenazas, la facilidad de administración y el ahorro de coste. Si bien, el argumento es totalmente válido y en la práctica sumamente útil, es necesario saber qué se está perdiendo a cambio de esos beneficios, y el posible riesgo al que se está exponiendo la organizaciòn.
En el pasado, cuando las tecnologías unificadoras no existían, los consultores de seguridad se prestaron un viejo concepto de estrategia militar llamado defense in-depth. Por defense in-depth se entendía al despliegue de los muchos o pocos recursos a varios flancos de defensa “posible”, como si se tratase de varios muros o capas protegiendo la torre de la doncella.
Ese aparentemente pasivo, complejo y veterano concepto, ha servido de mucho en la seguridad informática, la auditoria, la computación forense, y especialmente a la sobrevivencia operativa contra los constantes descuidos, debilidades y exploits que los especialistas y los sistemas no dejarán de generar por varias décadas (y quizás por toda la existencia).
Si su infraestructura de seguridad no tiene un esquema de defense in-depth, luego no pretenda culpar al fabricante del equipo en el único frente de batalla, cuando algo en este salga mal. El mayor responsable de la escasa o desventajosa resilencia, es aquel que confió la estrategia de defensa en la focalización de recursos en un sólo frente (defensa inelástica).
En una infraestructura defense in-depth, si un frente cae, los demás salen a relucir, los demás cobran valor. Esto es más cierto aún en el presente, cuando hablar de perímetros podría sonar de absurdo para algunos científicos de la materia. Piense en defense in-depth como una forma de disminuir de seguir manteniendo la seguridad después de la seguridad, es decir, seguridad a pesar de pérdidas.
Piense en qué puede darle todavía un poco de paz y seguridad a los encargados de la defensa del gobierno de los EE.UU. si Huawei, empresa fundada por un ex-militar chino, tiene éxito en su segundo intento de adquirir la compañía 3com, compañía propietaria de la riqueza más selecta de exploits y firmas de ataque alojados en la división TippingPoint, sino sólo la confianza de que el potencial enemigo no ha tomado todos sus frentes. Por el contrario, piense qué pasaría si todas las bases y agencias militares y gubernamentales hubieren homologado a TippingPoint como el único producto IPS válido (por hablar de IPS). Cuánto le costaría al gobierno de los EE.UU. el remover esa tecnología y adquirir una nueva, esta vez sin cometer el mismo error.
Si bien la historia predice que Huawei no tendrá éxito, como le pasó a CheckPoint con Snort, el riesgo sigue siendo válido. ¿Cuántos otros riesgos no se ve alguien expuesto, cuando deja todo vigilado por el mismo equipo? Es bueno no despreciar los viejos conceptos, y si aún la necesidad los sobrepasase, es mejor no olvidarlos, para saber al riesgo (responsable) al que se está introduciendo toda la organización.
Cortesía de JaCkHaCk-Consultoría
Diseñando la seguridad del negocio
JaCkSecurity
Sophos team wrote and asked for ideas about old worms.
Idea Nro. 1:
People are still using pirate copies of antivirus, these AV never are updated. They believe that they are secure, but their AVs do not work.
Idea Nro. 2:
Newest, negligent and newbies security labs or honeynet proyects are badly configured, they absorb and spread the malware they capture.
“Just, a virusurviability matter”
Staff
JaCkSecurity
