FireCAT 1.4 released
Esta disponible la versión 1.4 de FireCAT (Firefox Catalog of Auditing exTension)
Changes for version 1.4
Information Gathering (Enumeration and Fingerprinting)
- Passive Recon: PassiveRecon allows Information Security professionals the ability to perform "packetless" discovery of target resources utilizing publicly available information (Thanks to Kev Orrey)
Security Auditing:
- Selenium IDE : Selenium is a test tool for web applications. Selenium tests run directly in a browser, just like real users do
- RESTTest : Construct custom HTTP requests to directly test requests against a server. RESTTest uses the XmlHttpRequest object and allows you to simulate XHR to quickly prototype requests and test security problems. Designed specifically for working with REST sources, supporting all HTTP methods
- Acunetix Firefox plugin: Read here a good review by Kev Orrey. Extension submitted by Kev Orrey from VulnerabilityAssessment
IT Security Related Added Milw0rm Exploits Search (Thanks to Kev Orrey)
Fixed HashMDTool link Fixed OSVB extension link Fixed US Homeland Security Threat link.
Descarga:
- FireCAT 1.4 Source (Zip - 4.6 kb)
- FireCAT 1.4 Browsable HTML (Zip - 37.2 kb)
- FireCAT 1.4 pdf (PDF - 186.3 kb)
- FireCAT version 1.3 released (Firefox Catalog of Auditing exTensions)
lunes 19 de mayo de 2008
Detenidos en España cinco de los 'hackers' más activos del mundo, dos de ellos menores
- Firmaban sus ataques con los seudónimos 'ka0x, an0de, xarnuz y Piker'
- Dos de ellos son hermanos y otros dos tienen sólo 16 años
- Vivían en Sabadell, Burgos, Málaga y Valencia y se coordinaban a través de Internet
- Habían atacado más de 21.000 páginas y ocupaban el 5º puesto en un ránking mundial
DANIEL G. LIFONA
MADRID.- Algunos de ellos se hacían llamar 'ka0x, an0de, xarnuz y Piker', y en dos años habían atacado más de 21.000 páginas web, entre ellas la de Izquierda Unida justo antes de las elecciones generales del 9 de marzo.
En una entrevista concedida hace dos meses a elmundo.es se definieron como "amantes de la informática y la seguridad web", pero ahora han sido detenidos por la Brigada española de Investigación Tecnológica como autores de un delito de daños informáticos.
Los cinco jóvenes, dos de ellos de 16 años, pertenecían a uno de los grupos de 'hackers' más activos de la Red, 'D.O.M. Team 2008', que ostentaba el quinto puesto en el ránking mundial de ataques informáticos según 'Zone-H', una página web que mantiene una base de datos de sabotajes a sitios de Internet.
Habían atacado la web de Jazztel, la Compañía Nacional de Teléfonos de Venezuela, un dominio de la NASA y otros sitios gubernamentales de EEUU, Latinoamérica y Asia. En su última acción, el pasado 30 de abril, accedieron a la página de Esquerra Unida de Buñol, y dos días antes protagonizaron uno de sus mayores ataques masivos. En un solo día penetraron en cerca de 800 sitios.
En la mayoría de los casos sustituían los contenidos de las webs atacadas por mensajes reivindicativos y de ciberprotesta, e incluían imágenes de simbología anarquista. Como la frase en inglés que insertaron el 24 de febrero en la página web de Jazztel: "Fuck Bush". O la que escribieron en la web de IU bajo una foto retocada de Zapatero y Rajoy: "Tenemos algo en común, le dijo un presidente a un embustero...".
En libertad con cargos
Los detenidos, que proceden de las provincias de Barcelona, Burgos, Málaga y Valencia, no se conocían personalmente, salvo dos de ellos que, según ha podido saber elmundo.es, son hermanos y viven en Sabadell. Otros dos, los arrestados en Málaga y Burgos, sólo tienen 16 años. Los cinco fueron puestos en libertad con cargos tras prestar declaración ante el juez y se enfrentan a penas de entre 1 y 3 años de cárcel.
Los 'hackers' coordinaban sus acciones a través de Internet y mantenían contactos con otros miembros del grupo en el extranjero, principalmente en Latinoamérica. En los cuatro registros practicados fueron intervenidos 20 equipos informáticos y diversa documentación que está siendo analizada. La operación, que ha sido coordinada por el Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica de la Policía Nacional, ha contado con la colaboración de agentes de la Brigada Provincial de Policía Judicial de Burgos, Málaga, Valencia y Sabadell.
La investigación se inició a principios de marzo, tras la denuncia del proveedor de servicios que alojaba la página web de IU. Su servidor fue atacado y quedaron inutilizados 15 portales ubicados en el mismo. Como consecuencia, a pocos días de las elecciones generales, la página web quedó inaccesible y su contenido fue sustituido por una caricatura de Zapatero y Rajoy firmada por los 'hackers'.
La dirección de IU se ha puesto en contacto con los responsables de la Brigada de Investigación Tecnológica para transmitirles su felicitación por las detenciones, reconociendo la dificultad de estas investigaciones en las que los delincuentes son expertos conocedores de la seguridad y laxitud de los sistemas informáticos.
Los autores del ataque, que autodenominaban a su grupo como un laboratorio de investigación en seguridad informática, eran cinco jóvenes estudiantes, dos de ellos menores de edad. Uno de los responsables había publicado artículos relacionados con técnicas de 'hacking' en foros de seguridad informática conocidos mundialmente e incluso diseñaba sus propios 'exploits' y 'troyanos' (programas maliciosos que explotan fallos de seguridad y vulnerabilidades de los sistemas).
En la comunidad 'hacker' existe la idea bastante extendida de que los 'deface' son hechos no sólo inofensivos, sino que contribuyen al mantenimiento de la seguridad en la Red. Mediante estos ataques alertan a los administradores de la existencia de vulnerabilidades en sus espacios web. Sin embargo, en muchas ocasiones estas acciones provocan costosos daños y pérdidas económicas.
Las técnicas utilizadas en este tipo de intrusiones exigen en muchos casos conseguir privilegios de administrador en la máquina. Para conseguirlos se utilizan 'exploits' y 'rootkits' que a menudo tienen efectos secundarios irreversibles sobre el sistema operativo de los servidores. En el caso de IU los atacantes 'secuestraron' totalmente el servidor modificando incluso la contraseña de administración del mismo. Fue necesario reinstalar totalmente el software y restaurar una copia de seguridad para restablecerlo a su estado anterior.
Una actuación policial coincide con la celebración del Día Internacional de Internet cuyo objetivo es promover la importancia de las Tecnologías de la Información y la Comunicación en una sociedad global. Unas nuevas tecnologías que nos abren las puertas a la información sin fronteras, introducen nuevas técnicas de comercio, otras formas de interrelacionarse, de jugar o aprender; pero la Red puede ser también una vía de actuación para los delincuentes. La Brigada de Investigación Tecnológica rastrea la red en busca de esos ciberdelincuentes y con el objetivo de construir una Internet segura para todos.
Via mundo.es
Link relacionado:
- Detienen en España a cinco de los hackers más activos de la Web
Hackers atacan la Web de CNN
Mas información...
¿Qué debes hacer si han hackeado tu sitio web?
Sitio temporalmente fuera de servicio
*Pon el sitio fuera de servicio temporalmente, al menos hasta que sepas que has arreglado las cosas.
*Si no puedes ponerlo fuera de servicio temporalmente, haz que devuelva un código de estado 503 para evitar que se indexe.
*En las Herramientas para webmasters, utiliza la herramienta de solicitud de eliminación de URL para eliminar cualquier página hackeada o URL de los resultados de búsqueda que se hayan podido añadir. Esto evitará que se muestren páginas hackeadas a los usuarios.
Evaluación de los daños
* Es una buena idea saber qué buscaba el hacker.o ¿Buscaba información delicada? o ¿Quería hacerse con el control del sitio con otros propósitos?
* Busca cualquier archivo que se haya cargado o modificado en tu servidor web.
* Busca cualquier actividad sospechosa en los registros de tu servidor, como por ejemplo, intentos fallidos de inicio de sesión, historial de comandos (especialmente como raíz), cuentas de usuario desconocidas, etc.
* Determina el alcance del problema. ¿Tienes otros sitios que también puedan verse afectados?
Recuperación
* Lo mejor que puedes hacer aquí es una reinstalación completa del sistema operativo, realizada desde una fuente de confianza. Es la única manera de estar totalmente seguros de que se ha eliminado todo lo que el hacker haya podido hacer.
* Tras la reinstalación, utiliza la última copia de seguridad para recuperar tu sitio. Asegúrate de que la copia de seguridad esté limpia y libre de contenido hackeado.
* Instala las últimas versiones de parches de software. Esto incluye cosas como por ejemplo plataformas de weblogs, sistemas de gestión de contenido o cualquier otro tipo de software de terceros instalado.
* Cambia las contraseñas.
Recuperación de la presencia en línea
* Vuelve a poner tu sitio en línea.
* Si eres un usuario de las Herramientas para webmasters, inicia sesión en tu cuenta.
Respuestas a otras preguntas que puede que te hagas:
P: ¿Es mejor tener mi sitio temporalmente fuera de servicio o usar robots.txt para evitar que se indexe? R: Ponerlo temporalmente fuera de servicio es la mejor manera de hacerlo. Esto evita que se muestre malware o badware a los usuarios y evita que los hackers sigan abusando del sistema.
Recursos adicionales que puedes encontrar útiles:
* Si Google ha marcado tu sitio como malware, te avisaremos cuando visites las Herramientas para webmasters
* No te olvides del Grupo de asistencia para webmasters de Google. Está lleno de usuarios expertos, y también de Googlers. Para ver un buen ejemplo sobre el tema, lee este mensaje. También está el grupo de Stop Badware.
* Matt Cutts escribió en su blog consejos para proteger tu instalación de Wordpress ("Three tips to protect your WordPress installation", texto en inglés), y también tiene comentarios muy buenos.
Fuente: Googleamericalatinablog
martes 22 de abril de 2008
Responsables de Microsoft han prometido no tomar represalias contra los ‘hackers éticos’
Es un movimiento importante a la hora de revelar información sobre la seguridad de sitios web de todo el mundo. Las conferencias de seguridad ToorCon que se están celebrando en Seattle están sirviendo para dar más libertad de movimiento a los expertos en seguridad que investigan vulnerabilidades en todo tipo de servicios web.
Normalmente dichos investigadores - considerados como ‘hackers éticos’ - pueden meterse en un problema muy grave si tratan de reproducir esos errores en los servicios ‘reales’, y deben probarlos en pequeños prototipos en servidores propios.
Sin embargo, Microsoft ha afirmado que aquellos descubrimientos en materia de seguridad que se encuentren respecto a sus servicios deben ser comunicados sin miedo por parte de sus responsables, ya que no habrá posibles demandas o represalias legales por publicar información sensible.
Una de las responsables de seguridad de Microsoft confirmó dichas intenciones en una de las conferencias del evento: “No odiemos al descubridor de la vulnerabilidad. Odiemos a la vulnerabilidad. No queremos para nada desanimar a gente que está tratando de ayudarnos haciendo que se sientan en peligro porque vayamos a ir a por ello [si descubren algo]”.
The Register
Via theinquirer.es
lunes 21 de abril de 2008
viernes 11 de abril de 2008
Primer Congreso Nacional de Hacking Ético (Colombia)
El programa de Tecnología en Redes de Computadores y Seguridad Informática de la Corporación Universitaria Minuto de Dios – UNIMINUTO – organiza por primera vez en Colombia este congreso de carácter informático, computacional y de relevancia socio cultural.
El desarrollo temático del congreso está a cargo de los siguientes ponentes:
WEB SERVICES: CONCEPTOS E INSEGURIDAD
La evolución de las plataformas tecnológicas exige de las organizaciones revisar y analizar las condiciones y características de la seguridad de la información. Eneste sentido, los paradigmas de seguridad han venido cambiando conforme los desarrollos tecnológicos y de negocio así lo han exigido. En este contexto, estacharla busca presentar y analizar los retos emergentes de las aplicaciones orientadas a servicios y cómo nuevamente se exige a los especialista de seguridad dela información repensar la seguridad ahora en un contexto abierto y de amplia interacción, donde la inseguridad tiene un nuevo espacio para crecer y madurar. Jeimy J. Cano, Ph.D, CFE
"HACKING WITHIN NAILS" (HACKEANDO CON LA UÑAS) .
REDES INALÁMBRICAS: “LO QUE SABEN LOS HACKERS Y UD. NO” En las grandes ciudades proliferan las Redes Inalámbricas. La movilidad y facilidad de instalación atraen masivamente a nuevos usuarios. Pero la tecnología WIFI, presenta problemas de seguridad que se suman al desconocimiento de la mayoría de usuarios. Estudios demuestran que más del 60% de las redes están totalmente desprotegidas o con seguridad muy débil. Por ello, se requieren muchos menos conocimientos para hackear una red inalámbrica que para hackear una red cableada. En la conferencia se analizarán los siguientes temas:
- Nociones básicas de la tecnología wifi
- Puntos débiles de las Redes Inalámbricas
- Lo que saben los Hackers y Ud. no
- Recomendaciones para mejorar la seguridad de su red inalámbrica
Ing. Eduardo Tabacman
El mundo de la inseguridad informática ha despertado a un nuevo frente de acción que viene generando grandes desafíos en los ambientes tecnológicos modernos "las ciencias antiforenses", esta charla tiene como propósito mostrar los nuevos retos a los que se encuentran tanto la seguridad de la información como las ciencias forenses, y con ello afrontar el nuevo panorama de evasión al cual nos estamos enfrentando. Ing. Andrés Ricardo Almanza Junco.
DESARROLLO DE HERRAMIENTAS DE HACKING PARA REDES
La posibilidad de implementar diferentes técnicas a partir del desarrollo de herramientas de hacking marca la diferencia en las capacidades de un consultor en seguridad de la información. El conocimiento profundo de los protocolos, complementado con las habilidades programación le permiten adaptarse fácilmente a diferentes entornos y realizar pruebas que no necesariamente sean posibles con las herramientas existentes para realizar análisis de vulnerabilidades. Esta charla pretende mostrar cómo, a partir del análisis de algunas características básicas de TCP/IP, desarrollar herramientas que permitan controlar estas características de tal manera que puedan ser utilizadas bien sea obtener información de un host, evadir un mecanismo de protección o bien encontrar fallas en la implementación de los mismos. Ing. Daniel Torres Falkonert.
EVOLUCIÓN DE LOS LABORATORIOS DE INFORMÁTICA FORENSE: CONCEPTOS Y CASOS
La conferencia ilustrará acerca del proceso de implementación de los laboratorios de Informática Forense en Colombia, la valoración de la evidencia digital en algunos casos llevados a Audiencia de Juicio Oral por parte de la Policía Nacional, problemas presentados, así como las proyecciones que se tienen frente a esta temática. Mayor Freddy Bautista Garcia.
Generalmente se piensa que el "hacking" está orientado únicamente a redes, servidores y aplicativos. Esta charla intenta cambiar esa percepción y crear una conciencia de la vulnerabilidad a la que estamos expuestos todos los días al emplear todo tipo de tecnologías en nuestra vida cotidiana. Todos los días, en todo lugar, nuestras vidas dependen de la tecnología. Alguna vez ha pensado Ud. en qué tan seguro es el sistema de su tarjeta de débito, de crédito, su celular, su pase de Transmilenio, el chip de identificación que le implantaron, etc? Esta conferencia muestra las experiencias y resultados de alguien que si se lo ha preguntado, y lo ha investigado. Se hablará de tecnologías de infrarrojo, bandas magnéticas, bluetooth, RFID, entre otros, con demostraciones en vivo. Martín A. Rubio C.
En la charla se busca explicar los protocolos WEP y WPA, sus fortalezas y debilidades y explicar como el programa Aircrack funciona, mezclando estos conocimientos en la parte práctica para hacer crack de una llave WEP y realizar un ataque de diccionario contra el protocolo WPA. Héctor Giovanni Cruz Forero
Fuente: ACIS.org.co
Web del evento: hacking.uniminuto.edu/
jueves 10 de abril de 2008
La lista de tarifas de los piratas informáticos
Toda la información personal de un usuario puede venderse por 15 dólares.
Las cuentas de eBay se cotizan a entre uno y ocho dólares y las direcciones de correo electrónico, que son utilizadas luego para los envíos masivos de mensajes, pueden costar hasta 10 dólares. Y si de algún modo el pirata logra averiguar la contraseña de una cuenta de correo es posible que llegue a venderla por 30 dólares.
Las estafas que se basan en la construcción de una página de internet fraudulenta que simula ser un sitio de confianza (la página de tu banco, por ejemplo) se cobran por partes. El diseño de la página costaría 25 dólares y el alojamiento en un servidor de internet 50 euros por semana.
Finalmente, la identidad digital de un usuario puede comprarse en internet por entre 10 y 15 dólares.
lunes 11 de febrero de 2008
Reporte 2007: The Web Hacking Incidents Database (WHID)
lunes 17 de diciembre de 2007
ClubHack2007: Presentaciones
Descarga de Presentaciones:
- Analysis of Adversarial Code: The Role of Malware Kits! (PDF)
- Backdoor 2.0: Hacking one's Firefox to steal his web secrets. (PPT)
- Mining Digital Evidence in Microsoft Windows – Answering Who, When, Why and How (PPT)
- The future of automated web application testing (PDF)
- 7 years of Indian IT act - 7 Best Cases (PDF - PPT)
- Faster PwninG Assured: Cracking Crypto with FPGAs (PDF)
- Crazy Toaster: Can Home Devices turn against us?
- Legiment Techniques of IPS/IDS Evasion (PDF)
- Subtle Security flaws: Why you must follow the basic principles of software security (PPT)
- Hacking Web 2.0 Art and Science of Vulnerability Detection (PDF)
- Vulnerabilities in VoIP Products and Services (PDF)
Paraguay: Denuncian manipulación de urnas electrónicas y solicitan nulidad
Los apoderados de la Lista 7 del PLRA denunciaron que en las 9 mesas del distrito electoral de Guarambaré se comprobaron que llamativamente los resultados estaban abultados y no se compadecían con la participación de electores observados durante el desarrollo del acto comicial.
Néstor Stellato Mojoli, apoderado de la Lista 7, señala que ante esta situación realizó un control y verificación de las actas de dicho distrito, observando que las mismas tenían caracteres inusuales y que sin lugar a dudas se estaba en un claro y evidente hecho de nulidad contemplado en el Código Electoral.
“Como sustento de esta aseveración procedí nuevamente a una verificación de los tickets expedidos por la urna electrónica para los apoderados y luego de verificados con los de la Justicia Electoral, prueban que entre supuestos votantes existe una secuencia en segundos, que únicamente pudo haber sido realizado por una misma persona y en complicidad con los tres miembros de mesa”. señala Mojoli.
El político entregó copias de la secuencia de votación en la mesa 9 de Guarambaré, donde se puede apreciar que en algunos casos sólo existen segundos de tiempo entre un votante y otro, lo que consideran como prueba irrefutable de que allí hubo fraude.
Fuente: Digital ABC
miércoles 5 de diciembre de 2007
Jóvenes 'crackers' que se hicieron famosos
LONDRES.- La Policía de Nueva Zelanda estuvo interrogando al joven de 18 años que es el presunto cerebro de una banda de piratería mundial. Tras una investigación conjunta con el FBI, siguieron la pista del joven que presuntamente se infiltró en 1,3 millones de ordenadores y robó millones de dólares de las cuentas bancarias de sus víctimas.
Pero ha habido muchos otros ciberdelincuentes adolescentes que se han convertido en famosos desde el crecimiento de los ciberdelitos de finales de los 80.
Raphael Gray
Un galés de 19 años en paro, que se hizo famoso por haber 'hackeado' la información de la tarjeta de crédito del fundador de Microsoft, Bill Gates, y haberle enviado un paquete de Viagra, en un ataque loco que terminó con el FBI en el pueblo de origen del adolescente, en Clynderwen, al oeste de Gales, en 2001. Sentenciado a tres años de rehabilitación comunitaria por el robo de información de tarjetas de crédito de miles de personas, Gray fue posteriormente empleado de una compañía de 'software' para ordenadores.
Kevin Mitnick
Conocido como el 'terrorista informático', fue uno de los más famosos 'hackers' informáticos, que en su adolescencia pirateó los sistemas de teléfono. Se convirtió en un caso célebre después de que el FBI iniciara una 'caza' para detenerle que duraría tres años. Se introducía en las redes y robaba el 'software' de compañías, incluyendo a Sun Microsystems y Motorola. Después de permanecer cinco años en una cárcel de Estados Unidos en los 90, y ocho años de prohibición de navegar por Internet, Mitnick actualmente viaja por el mundo asesorando a las compañías sobre cómo protegerse del cibercrimen.
Los 'hackers del Pentágono'
Fueron dos adolescentes californianos que en 1998 montaron uno de los mayores ataques piratas sistemáticos de la historia contra los ordenadores del Ejército de Estados Unidos. A los jóvenes se les prohibió poseer o usar un módem, ejercer como consultores informáticos, o tener cualquier contacto con ordenadores fuera de la supervisión de "un profesor, un bibliotecario o un empleado". Los entonces jóvenes de 16 y 17 años, que tenían los nombres en clave de 'Makaveli' y 'TooShort', estuvieron tres años en libertad condicional.
Joseph Mcelroy
Fue un joven de 18 años que en 2004 se libró por poco de la cárcel, después de expandir un pánico nuclear 'hackeando' un centro de investigación de alto secreto de Estados Unidos. Esperando usar el Fermi National Accelerator Laboratory en una Red avanzada de Illinois para descargar y almacenar películas y música de Internet, el entonces joven de 16 años, desencadenó una ralentización del sistema que obligó a los técnicos a pulsar el 'botón del pánico'. Detectives de Scotland Yard siguieron al estudiante hasta su casa del este de Londres, y fue condenado a 200 horas de servicios a la comunidad.
martes 27 de noviembre de 2007
FireCAT version 1.3 released (Firefox Catalog of Auditing exTensions)
Cambios de FireCAT version 1.3 released
- Category Information Gathering (Googling and Spidering).GSI Google Site indexer (GSI Creates Site Maps based on Google queries. Useful for both Penetration Testing and Search Engine Optimization. GSI sends zero packets to the host making it anonymous) (Thanks to Jeff Stewart)
- Category Information Gathering (Data mining)
Who is this person (Highlight any name on a web page and see matching information from Wink, LinkedIn, Wikipedia, Facebook, Google News, Technorati, Yahoo Person Search, Spock, WikiYou, ZoomInfo, IMDB, MySpace and more...)
FaceBook Toolbar (Search Facebook from anywhere The Search Box allows you to easily search Facebook no matter) - Category Information Gathering (Location info)
Router Status (Shows the current status of your router in the status bar and allows you to control it) - Category Security Auditing
XSS-Me (the Exploit-Me tool used to test for reflected Cross-Site Scripting (XSS) vulnerabilities)
SQL Inject-Me (the Exploit-Me tool used to test for SQL Injection vulnerabilities)
FireWatir (Watir is a simple open-source library for automating web browsers. It allows you to write tests that are easy to read and easy to maintain. It is optimized for simplicity and flexibility) - Category Network utilities (Database)
SQLite Manager (Manage any SQLite database on your computer.)
- Special greetings to Jonathan Danylko from dcs-media who suggested us to release a Hacker Guide for FireCAT. Well, it is a wonderful idea and guess what ! We are working on it. Anyway, If you got videos, articles about the extensions highlighted in FireCAT, let us know.
- Thanks for Claus Valca for writing an article about FireCAT.
Articulos relacionado y descarga de las herramientas
. FireCAT (Firefox Catalog of Auditing exTensions)
. FireCAT 1.3 Pdf (PDF - 176.4 kb)
. FireCAT 1.3 .mm source (Zip - 4.3 kb)
. Firecat 1.3 Browsable HTML (Zip - 37 kb)
Via security-database.com
Link relacionado:
Usando Firefox como framework para pen-testing
martes 13 de noviembre de 2007
Un supermercado pierde 10 millones de dólares por un fraude informático
En cuanto se dieron cuenta del fiasco, se congelaron las cuentas, pero al parecer ese dinero será difícil que pueda reponerlo nadie.
Más información aquí.
Un “asesor de seguridad” admite infectar 250.000 ordenadores mediante ataques “botnet”
Según los fiscales, Schiefer y un número no especificado de cómplices instalaron códigos ilegales de ordenadores que actuaban como interceptores de comunicación en páginas web como www.paypal.com y otros similares.
Un 'bot' es un programa que se instala por sí mismo de manera clandestina en un ordenador, para que el 'hacker' pueda controlarlo.
Una 'botnet' es una red de estos ordenadores, que puede causar estragos aprovechando su poder conjunto.
Schiefer también admitió haber defraudado a la compañía de publicidad electrónica Simpel Internet, que lo contrató como asesor, por valor de más de 19.000 dólares (algo menos de 13.000 euros). El acusado instaló su programa de espionaje en unos 150.000 ordenadores de la empresa.
Se espera que Schiefer sea procesado el 3 de diciembre.*.
lunes 12 de noviembre de 2007
Un 'hacker' burla la seguridad informática en la facultad y roba datos de alumnos y profesores
Al parecer, el pirata usó un programa llamado 'esnifer' -que cualquiera puede descargar de la red- y lo ejecutó en el laboratorio de prácticas de la escuela. «Este programa copia todo lo que circula por la red. Una vez en marcha es muy fácil hacerse con las contraseñas que tanto alumnos como profesores usan a diario en nuestra red», explica José Luis. Esas contraseñas son las mismas para acceder al correo electrónico y a los foros de discusión. Así, el pasado lunes 29 de octubre, el 'hacker' entró en el foro haciéndose pasar por otra persona y aprovechó para decir alguna que otra barbaridad. «Pensamos que algún alumno se habría dejado el ordenador encendido y que alguien había aprovechado para gastarle una broma. Pronto descubriríamos que no era así».
Modificaciones
Al día siguiente se encontraron con una ingrata sorpresa: habían modificado la página web de la ETSII. «Por lo visto, el pirata había conseguido la contraseña de acceso de un alumno que trabaja en la web de la escuela, por lo que pudo tener acceso a la administración de la misma». Cambió la página de inicio y dejó 'simpáticos' mensajes en la portada, tales como: «Esta página se va a dar de baja y va a dejar de funcionar un año»; textos que fueron rápidamente retirados por el equipo de atención web.
La broma continuó: «Entró al ordenador de dos profesores -lamenta Bernier-, consiguió sus claves y robó calificaciones y las soluciones a las prácticas que usan durante todo el curso». Hecho que ha provocado que los profesores hayan perdido un año de trabajo y se vean obligados a invalidar los trabajos entregados hasta ahora.
Según el director del equipo web, las investigaciones están llegando a buen puerto. «Tenemos bastantes indicios para incriminar a un alumno: loggins (son los datos que quedan guardados en el sistema: nombres de usuario, hora de inicio y fin de sesión, etc.) tanto de la Universidad de Granada como en nuestras propias aulas. Casualmente -explica con recelo-, una semana antes de este incidente, pillamos a un alumno usando 'un programa de estos'».
Peligros
El equipo web, así como la misma escuela, advierten de los peligros que supone pillar a un alumno usando este tipo de programas. Y la expulsión es una de las medidas disciplinares que se podrían adoptar. En cualquier caso, 'esnifer' ha traído una grave repercusión para toda la facultad, pues ha quedado en entredicho la fiabilidad de todo el sistema informático de la Universidad de Granada.
Algunos alumnos claman ante un hecho que no hace más que evidenciar que «el sistema operativo del servidor está anticuado y se han saltado la barrera de seguridad con suma facilidad». Alumnos que recuerdan las enormes carencias de las salas de prácticas de las que ya hay videos mofándose subidos a Internet.
En cualquier caso, Bernier no cree que se trate de un 'hacker' experto, «pero sí hubo maldad». Por cierto, ¿saben cómo consiguieron salvar todos los datos y restaurar la web? Con una copia de seguridad. Hagan caso a sus informáticos.
jueves 8 de noviembre de 2007
Ataque a sitio de gobierno revela falta de Conciencia en SEGURIDAD IT
martes 6 de noviembre de 2007
Hackean sitio oficial del Gobierno de Chile
VIA | fayerwayer.com
Fuente: El mercurio On Line
martes 23 de octubre de 2007
¿Qué tan rápido se puede romper una contraseña cifrada?
El sitio de seguridad informática en inglés lockdown.co.uk publicó en enero de este año un artículo con una tabla estimativa del tiempo requerido para romper cualquier tipo de contraseña y del hardware necesario para hacerlo.
Se pueden obtener varias conclusiones bastante importantes, como por ejemplo que las claves que usan solamente números son las más fáciles de romper incluso con un Pentium 100.Al artículo completo está en inglés pero he hecho una traducción al español la cual pueden visitar siguiendo el siguiente enlace http://www.seguridad-informatica.cl/passwds/
miércoles 17 de octubre de 2007
Vulnerabilidad FI (File Inclusion) o Inclusión de Archivos
En casos más desafortunados se puede usar la misma técnica para ejecutar código remotamente en las aplicaciones locales (como por ejemplo un script en php o ASP que ejecute comandos de sistema). Esa variante se conoce como RFI (Remote File Inclusion).
Prueba de Concepto:
http://www.udesarrollo.cl/cursos/carreras.php?sede=C&carrera=1200NC
En este caso vemos que existe un script llamado "carreras.php" donde la variable "carrera" se encarga de llamar la información requerida mediante un código. El problema se presenta porque carrera no está restringiendo sus solicitudes solamente a aquellas permitidas y en consecuencia se pueden mostrar en pantalla archivos con información importante del sistema:
"http://www.udesarrollo.cl/cursos/carreras.php?sede=C&carrera=../../../../../../../../etc/passwd" (Copiar el Link y pegar en el navegador y agregar al final "% y 00")
Al cargar la página se puede leer la siguiente información:
Simplemente hemos reemplazado el 1200NC por ../../../../../../../../etc/passwd con "% y 00".
Esto se puede probar con varios archivos del sistema:
"http://www.udesarrollo.cl/cursos/carreras.php?sede=C&carrera=../../../../../../../../proc/version" (Copiar el Link y pegar en el navegador y agregar al final "% y 00")
Al cargar la página se puede leer la siguiente información:
SOLUCIÓN
1.- Programar detalladamente y tratar de depurar los errores y posibles problemas de seguridad (como LFI, RFI, XSS, SQL Injection, etc). Es responsabilidad de los desarrolladores informarse acerca de las técnicas que utilizan los hackers para vulnerar sus sistemas. En este sitio web les ayudamos a comprender mejor estos métodos de tal manera que conozcan como evitarlos en un futuro.
3.- Utilizar reglas en mod_rewrite para Apache usando el archivo .htaccess para bloquear los intentos de intrusión. Ejemplo:
# de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS,
#etc)RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-\.')
[OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)
(<>%3C%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^
(javacurlwget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)
(libwww-perllibwwwperlsnoopycurlwgetwinhttppythonniktoscanclshttparchiverloaderemailharvestfetchextractgrabminersuckreaperleach)(.*) [NC,OR]
RewriteCond %{REQUEST_URI} ^(/,/;//'/`/%2C/%3C/%3E/%27/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%08%09%0A%0B%0C%0D%0E%0F%2C<>'%3C%3E%26%23%27%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%08%09%0A%0B%0C%0D%0E%0F%2C%3C%3E%27%26%23%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)('-<>,/\\\.a\.c\.t\.d\.p\.i\.e\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<>'%3C%3E%27)(.*) [NC]
4.- Incentivar el uso de ModSecurity para Apache, el cual es un método sumamente efectivo para detectar y prevenir malformaciones en las URL y otros tipos de ataques vía WEB.
PS: Ya avisamos hace unos días y no lo solucionaron. Por eso lo publiqué. Gracias a Viking0 por la info.
Otros sitios vulnerables al mismo problema, los cuales avisamos hace mucho tiempo y aún no lo solucionan (no hay mucho interés):
http://www.talcahuano.co.cl/pagina.php?pg=../../../../../../../../../../../etc/passwd...
Consultas y comentarios complementarios:
a) ¿Cual es la finalidad de enviar el caracter NULL al final del nombre del archivo (al final de la URL)? Además, aunque comparto que es recomendable habilitar safe_mode, creo que la solución correcta y definitiva en estos casos es que el script no sea vulnerable a exploits, la misión del desarrollador es filtrar el dato de entrada en base a sus valores posibles y por ejemplo, en este caso solo admitir caracreres alfabéticos y números.
Rta del autor: El hecho de incluir o no un símbolo NULL al final va a depender de como esté construida la la variable donde se le pasan parámetros. Simplemente se va intentando con cual calza hasta que muestra el archivo. Ocurre también muchas veces que se finaliza la frase con un símbolo de interrogación "?".Yo no soy desarrollador de PHP por lo tanto no soy el más indicado para darte la respuesta técnica precisa de porqué se hace la inclusión del símbolo, pero espero que alguien que sepa más PHP pueda aclararlo detalladamente para que podamos comprender de mejor manera este tipo de solicitudes.
Por otro lado comparto plenamente lo que mencionas respecto a la correcta validación de datos por parte del programador de la aplicación. Son ellos los que tienen la principal responsabilidad en este tipo de asuntos.
Transcribo literalmente lo siguiente desde el libro Hackers en Linux , página 560, capítulo de Servidores Web y contenido dinámico:
Verificar los caracteres que incluye el nombre del archivo
Los crackers pueden muy fácilmene enviar caacteres peligrosos en los datos de los formularios. Un ejemplo claro de carácter peligroso que puede provocar graves problemas es el carácter nulo (\0, representado en las URL como "%" y "00" ). Perl (al contrario que C) admite cadenas que incluyan el carácter nulo. Sin embargo, si una de estas cadenas se pasa en algún momento a alguna función del sistema (una función C) el carácter nulo se interpretará como un fin de cadena. Supongamos el siguiente programa:
$archivo = $ query-> param ('archivo') . '.html';open F, $archivo;
Sin embargo, si un cracker invoca el programa utilizando una cadena que incluya el carácter nulo archivo=%2Fetc%Fpasswd, el valor de $ archivo será /etc/passwd\0.html.
Cuando se le pase a la función open() el archivo /etc/passwd\0.html esta cadena será procesada por una función C que interpretará el carácter nulo como un fin de cadena. Al final, la cadena que verá la función C será: "/etc/passwd"
Y el cracker se hará con una copia del archivo /etc/passwd (lo que se muestra en este ejemplo de la UDD).
NOTA: Puede ver una descripción muy detallada de este problema en un excelente documento titulado "PERL CGI Problems", escrito por Rain Forrest Puppy.
Autor: Paulo Colomés F - Administrador seguridad-informatica.cl
No hay comentarios:
Publicar un comentario