Filtran más de 1TB de bases de datos; CIA y MIT entre los afectados

El grupo de hackers TeamGhostShell liberó más de un terabyte de información que supuestamente contiene miles de bases de datos de organizaciones públicas y privadas.

Entre los afectados se encuentra la CIA, el MIT y diversos grupos financieros de Wall Street. Además de los gobiernos de Estados Unidos, China y Japón, aseguraron los hackers.

De acuerdo con un comunicado liberado por grupo, son más de 100 las organizaciones afectadas por la operación Project Hell Fire, que comenzó a principios de año.

Los hackers señalaron que sus principales objetivos fueron empresas proveedoras de gobierno, en especial las que trabajan con los ejércitos y cuerpos de seguridad.

En el documento los responsables de los embates no aclararon las áreas a las que pertenece la información, ni las fechas durante las que se realizó el robo de datos.

La filtración en números
El grupo indicó que entre los documentos filtrados se encuentran disponibles más de seis mil millones de bases de datos con información sobre desarrollos tecnológicos del gobierno japonés y chino.

Los enlaces publicados por los hackers incluyen más de 105,000 millones de datos relacionados con el mercado cambiario estadounidense y tres puertos de acceso para los servidores del Departamento de Seguridad Nacional de los Estados Unidos, afirmaron.

Lo cibercriminales indicaron que como parte de la operación obtuvieron más de un millon de nombres, claves de acceso y contraseñas bancarias de usuarios estadounidenses.

En el boletín, distribuido a través de Twitter, los hackers aclaran que sólo divulgarán una parte de la información en su poder. Sin embargo, explicaron que el resto será entregada a quien lo solicite.

En el documento los hackers amenazaron con continuar con los ataques y sentenciaron que para finales de año pondrán en marcha un par de operaciones en conjunto con Anonymous.




Fuente: B:Secure
Fuente: Blackploit

[Exploit MSF + Vídeo] Vulnerabilidad 0day Java 7 Applet Remote Code Execution

Hace unos días Blackploit anunciaban que se había descubierto una grave vulnerabilidad en Java para la que aun no existe parche,pues bueno, hoy con más tiempo les quiero dejar con el Módulo para Metasploit del cual ya pueden gozar actualizando MSF, que aprovecha el fallo para obtener una sesión Meterpreter que ha sido probado con éxito en los siguientes entornos:

Mozilla Firefox en Ubuntu Linux 10.04
Internet Explorer / Mozilla Firefox / Chrome en Windows XP
Internet Explorer / Mozilla Firefox en Windows Vista
Internet Explorer / Mozilla Firefox en Windows 7
Safari en OS X 10.7.4

Aquí les dejo el vídeo demostrativo:

Fuente: Blackploit

Grave vulnerabilidad sin parche en Java

Hace algunos días se dio a conocer una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público. Es el peor escenario posible.

Todavía no se sabe mucho sobre la vulnerabilidad, puesto que no ha dado tiempo a realizar un estudio exhaustivo, pero lo divulgado por ahora nos sitúa en el peor escenario posible.

FireEye descubría un servidor con un .jar que aprovechaba una vulnerabilidad. Por tanto, alguien la conoce y está aprovechando el fallo. A través de un dominio de tercer nivel dinámico (aa24.net) y un servidor de correo web de una compañía china (que probablemente haya sido atacada), se está (todavía) distribuyendo malware gracias a ese fallo en Java.


A través de un índice en la carpeta "meeting" del servidor, muy ofuscado con Javascript, el malware que se está distribuyendo es este:
https://www.virustotal.com/file/09d10ae0f763e91982e1c276aad0b26a575840ad986b8f53553a4ea0a948200f/analysis/
y
https://www.virustotal.com/file/8c9483b6b29a7f75054a9520bafbfcec145e9bc4cac17494d61308dc71beadc0/analysis/


El problema afecta a la última versión de Java en su rama 7, hasta su "update 6". No afecta a la rama 6, que todavía se mantiene pero que se encuentra en periodo de "extinción". Funciona sobre los principales navegadores e incluso con EMET activo.


A pesar de que los investigadores que lo descubrieron no ofrecieron detalles, un tercero ha publicado una prueba de concepto para explotar el fallo, con lo que se abría la puerta a que cualquiera pudiera explotarla.

El código es sencillo, limpio, funcional y fiable. Compilar y lanzar. Poco después, se ha introducido como módulo en Metasploit.

Esto licencia a que cualquier atacante pueda comenzar a distribuir su propio malware (muy probablemente durante los próximos días se pueda ver en Blackhole, el kit de explotación de moda entre los atacantes). Si, como ya hemos mencionado en más de una ocasión, una máquina virtual de Java no actualizada es lo que más aprovechan los creadores de malware para distribuir sus muestras, esta vulnerabilidad permite "abrir el mercado" también entre los actualizados.




En ausencia de un parche eficaz, no existe una forma sencilla de mitigar el problema. Lo más recomendable es deshabilitar Java del navegador. No se sabe cuándo solucionará Oracle el problema. Su ciclo cuatrimestral de actualizaciones, sugiere que hasta el 16 de octubre puede que no parcheen el gravísimo problema. Desde luego, Oracle no suele publicar parches fuera de ciclo. En contadas ocasiones lo ha hecho con su base de datos, su producto estrella. Pero menos aún con Java desde que le pertenece.

En abril de 2010 Tavis Ormandy y Rubén Santamarta descubrieron un grave fallo de seguridad en JRE. A Ormandy le dijeron desde Oracle que no lo consideraban tan grave como para publicar nada antes del periodo establecido. Una semana después, publicaban un parche fuera de ciclo (Java 6 Update 20), que no acreditaba la corrección de la vulnerabilidad. Tuvieron que comprobar que, simplemente, el fallo dejaba de darse, pero no había confirmación oficial.

Fuente: http://unaaldia.hispasec.com
Fuente: Blackploit

DVD de la DEFCON 20

Hace ya casi un mes que se celebro el evento de hacking DEFCON y ha sido liberado el DVD de edición  20 que se celebro en la Vegas. El DVD contiene muchísimo material, entre ellos las presentaciones de las exposiciones, fotos varias, Ebooks, Videos, Herramientas, extras y mucho más, les dejo aquí el listado de directorios y archivos que trae el DVD:


Descarga DVD DEFCON 20

Pruebas técnicas en entrevistas de trabajo, ¿vale todo?

Está claro que, en los tiempos que corren, triunfar en una entrevista de trabajo es algo difícil, cada día hay mas 'competencia' en el mercado laboral y debido al aumento de oferta, el nivel exigido sube y sube.

Todos hemos visto la típica oferta de trabajo en la que piden toda clase de certificaciones -algunas veces hasta inventadas- que van acompañadas de unos sueldos bastante poco competitivos, pero de lo que hoy me gustaría hablar es de las cada vez mas habituales pruebas técnicas que acompañan las entrevistas.

Recientemente una persona me contaba que, en una entrevista para un puesto de auditor, le habían pasado una suerte de cuestionario en el que le preguntaban, entre otras cosas, lo siguiente:

- Cita el flag de Nmap para realizar un escaneo 'X-mas'

- Cita los flags de SQLMap para listar tablas y columnas de una aplicación vulnerable

Me contaba esta persona que el resto de preguntas eran del mismo estilo, mas de memoria que de conocimiento y según me las iba formulando, admito que en muchas ocasiones me quedé en blanco, conocía todas las herramientas pero nunca me había parado a memorizar los flags.

Siempre he pensado que en cualquier situación 'normal' tener Google de mi lado y los help de la herramienta eran mas que suficientes para recordarme como funcionaba.

Esa conversación me llevó a pensar en las entrevistas para programadores, de esas en las que sientan al candidato frente a un Eclipse, Vi o similar y le dicen 'haga usted tal aplicación'

Y caí en la cuenta de que incluso librerías como 'CAPICOM', que he usado intensivamente en estos últimos 5 o 6 años, en aplicaciones públicas como SSLCop, Brute12 o CertDump y otros varios proyectos laborales, en realidad no es que sepa al dedillo sus métodos, sino que tengo en mi HD un montón de ejemplos que voy reciclando cuando los necesito y lo que me falta, lo investigo ad-hoc para esa eventualidad.

Evidentemente, en una entrevista de trabajo con un Eclipse delante y un 'añada usted un certificado al store de Windows' (algo que he hecho cien veces) tendría que tomarme un largo tiempo para intentar recordar el código que ya había realizado.

Lo que me lleva a preguntarme si ese tipo de entrevistas de trabajo sirven para algo mas allá de intentar localizar personas que gocen de una memoria privilegiada por encima de un conocimiento técnico real.

Yo entiendo que para un puesto de auditor, una pregunta indispensable podría ser 'como haría vd un inventario de servicios en una red' y en ese punto, que el candidato se explaye con herramientas y metodologías, sin entrar a tan bajo nivel.

O incluso, como ya he visto en otras ocasiones, que se le de al candidato una URL / IP para que audite desde su casa y luego entregue un informe al respecto, lo que sin duda sería bastante más aproximado a una actividad laboral normal, y permitiría ver al candidato no solo su conocimiento técnico, sino también su creatividad y capacidad de adaptación

No soy experto en RRHH y probablemente alguien que si lo sea pueda darme un montón de argumentos convincentes de por que una entrevista de trabajo tipo examen sirve para elegir un buen candidato, pero yo, creo que existen mejores métodos. 

Fuente: SecurityByDefault