Entradas

Mostrando entradas de mayo, 2013

Romper contraseñas de 16 caracteres

Imagen
En marzo, Nate Anderson, subdirector de Ars Technica y subdirector y novato auto-admitido del descifrado de contraseñas, descargó una lista de más de 16.449 contraseñas y a las pocas horas, descifró casi la mitad de ellos. La moraleja de la historia: si un reportero con una formación cero en el arte de descifrado de contraseñas puede lograr tales resultados, imaginen lo que los atacantes más experimentados pueden hacer. Se sabe que las contraseñas débiles son terriblemente insegura pero lo ¿qué pasaría si se lograra descifrar cualquier contraseña de hasta 16 caracteres? Para conocer la respuesta se consultó a tres expertos de craqueo de contraseñas para atacar a la misma lista Anderson y el grupo de hackers ha conseguido descifrar más de 14.800 contraseñas supuestamente aleatorias de la lista de 16.449 Hash MD5 (sin salt), utilizando el Cracking de contraseñas con GPU. Mientras que la tasa de éxito de 47% de Anderson fue impresionante, fue minúsculo en comparación con lo que hici

Tecnologías que impulsan la transformación del centro de datos

Imagen
La informática móvil y otras tendencias han cambiado radicalmente la forma en trabajan las empresas, lo cual requiere que los centros de datos encuentren nuevas formas de satisfacer las demandas de cómputo. La computación en nube, el almacenamiento flash, las redes definidas por software (SDN), la virtualización y las nuevas herramientas de gestión de centros de datos, ayudarán a los administradores de estos centros a entregan los datos que necesitan sus clientes o usuarios finales. Esas tecnologías también darán lugar a la modernización del centro de datos. La computación en nube mejora el acceso a los datos La computación en nube representa la tecnología más transformadora para centros de datos, ya que ofrece una forma de proporcionar acceso a los datos desde cualquier tipo de dispositivo conectado a internet. Cada vez son más los servicios, ya sean aplicaciones o negocio como un servicio, que migran a la nube, lo que resulta en una re-arquitectura de los centros de dat

No todos los mensajes de Skype son cifrados Leer más: Segu-Info: No todos los mensajes de Skype son cifrados

Esto no debería ser ninguna noticia pero si piensas que los mensajes que envías a través de Skype están cifrados de extremo a extremo, estas equivocado. Skype analiza periódicamente el contenido de los mensajes enviados en busca de signos de fraude, y directivos de la empresa pueden registrar los resultados de forma indefinida, según ha confirmado Ars Technica. Esto sólo puede ocurrir si Microsoft puede convertir los mensajes a "formato legible". Con la ayuda del investigador independiente Ashkan Soltani, Ars utilizó Skype para enviar cuatro enlaces web que se crearon exclusivamente para efectos de prueba. En dos de ellos nunca se hizo clic en, pero en los otros dos, uno con un enlace HTTP y el otro con HTTPS se accedió a una IP perteneciente a Microsoft: 65.52.100.214 - - [16/May/2013 11:30:10] "HEAD /index.html?test_never_clicked HTTP/1.1" 200 -' Los resultados fueron similares pero no idénticos a los publicados la semana pasada por The H Security: demu

Cielo nublado en el panorama de TI para América Latina

Imagen
Como en todos los ciclos de implementación de nuevas tecnologías, el cómputo de nube tuvo que pasar por una etapa de evaluación. Durante algunos años escuchamos hablar mucho al respecto, desde las definiciones hasta los usos prácticos, sin embargo, pocos se animaban a implementarla dentro de su esquema de negocios. Al menos, hasta ahora. De acuerdo con la encuesta de Prioridades de TI 2013 de TechTarget, los usuarios de América Latina ya están trabajando en proyectos de cómputo de nube, o planean hacerlo este año. Casi un cuarto de los encuestados (24.8%) se inclinó por proyectos de nube privada, mientras que 23.8% aprovechará los servicios de nube de proveedores externos. Ambos porcentajes suman casi un 50% de respuestas orientadas hacia la implementación de iniciativas de nube este año, por encima de otros rubros como el cumplimiento, movilidad, big data y consolidación de la infraestructura de TI. Lo anterior se refleja directamente en el presupuesto que las compañías asignará

Cinco estrategias para modernizar las instalaciones de su centro de datos

Imagen
Un viejo centro de datos tal vez ya no sea capaz de satisfacer las demandas de energía, refrigeración y estructura que exige el avance tecnológico, pero pocas empresas tienen el tiempo o el capital para construir nuevas instalaciones. Afortunadamente, las organizaciones pueden extender la vida útil de su centro de datos mediante la renovación de las instalaciones, haciendo cambios que cuestan poco o nada. Actualizar el centro de datos permite a una empresa adoptar nuevas normas y mejorar la infraestructura existente para introducir nuevas tecnologías con un mejor rendimiento y una mayor eficiencia. Hay cinco soluciones de centros de datos y cambios de diseño que pueden extender la vida útil de una instalación que envejece. Eleve la temperatura de funcionamiento de su centro de datos La temperatura de trabajo del centro de datos siempre ha estado sujeta a mitos y leyendas, pero la investigación e iniciativas de organizaciones de la industria, tales como la Sociedad Americana

Elevación de privilegios en teléfonos LG Optimus G

Imagen
Se ha descubierto una vulnerabilidad en el software de algunos smartphones de LG que podría permitir la ejecución de comandos con privilegios de system en el teléfono. La vulnerabilidad se ha encontrado en un teléfono LG Optimus G E973 con sistema operativo Android 4.1.2. El fallo se debe a un error al procesar la configuración del teléfono en el menú oculto del software de LG. Se ha publicado una prueba de concepto para aprovechar la vulnerabilidad, son los siguientes pasos: Se puede desplegar el menú oculto de LG marcando en el teléfono el número "3845#*XXX#", siendo XXX el modelo del teléfono LG. Se debe seleccionar la opción "WLAN test" del menú, después la opción "Wi-Fi Ping Test/User Command", y a continuación seleccionar la opción "User Command". A continuación se puede borrar el comando que aparece (tcpdump) y luego escribir el comando shell que se desea ejecutar en el teléfono y presionar "CANCEL" para c

OWASP Mantra - Security Framework | El navegador WEB para los #Pentester de Aplicaciones WEB

Imagen
En este artículo, os voy a hablar de OWASP Mantra - Security Framework, cuyo proyecto consiste en desarrollar una navegador WEB especialmente diseñado para el Analisis de Seguridad WEB. ¿Qué es MANTRA? Mantra es un navegador especialmente diseñador para el análisis de seguridad WEB. Este navegador WEB esta desarrollado sobre la base de los principales navegadores, existiendo una versión en fase BETA sobre el motor de Firefox, y una versión en desarrollo (ALFA) sobre Google Chrome. Mantra es un proyecto que tiene surge de la necesidad de dar continuidad a FireCAT. Si recordáis, fue un proyecto que pretendía reunir en un único catalogo todas aquellas extensiones (add-ons) desarrolladas para el navegador de Mozilla Firefox orientadas a la seguridad, en especial las dedicadas al análisis / auditoria de aplicaciones WEB. Cuando se instalaba el catalogo en el Mozilla Firefox, éste se convertía en FireCAT proporcionando al navegador WEB capacidades y funcionalidades para la rea

Malware, vulnerabilidades y videojuegos: un repaso de cara a la nueva generación

Imagen
Con la presentación de la nueva XBOX One el pasado martes se completa el elenco de consolas que se van a disputar la llamada nueva generación, obviando el siempre presente PC, que sigue su evolución a su ritmo. Es esta una generación en la que dos de las tres mayores compañías del mundillo (Sony y Microsoft) apuestan por una arquitectura muy similar a la de cualquier PC de gama alta actual y que, en el hardware, tan solo se diferencian en detalles menores, como la velocidad de la RAM o del procesador. Otra cosa es el sistema operativo que montarán cada una de ellas, siendo Microsoft la que ha apostado por hasta tres S.O. para gestionar las funciones de juego, las funciones multimedia de visualización de contenidos y uno que hace de capa intermedia entre los dos anteriores. Lo que sí parece claro es que Windows 8 podría hacer acto de presencia en una versión preparada específicamente para la consola de Microsoft, algo que, teóricamente, también podría ocasionar que se aprovechasen vu

IX Ciclo de Conferencias UPM TASSI 2012/2013: Temas Avanzados en Seguridad y Sociedad de la Información

Lineas abajo están las exposiciones realizadas este año, por excelentes profesionales en seguridad, para realizar la descarga hacer clic aquí . RESUMEN Primera conferencia, 20 de febrero de 2013. Planes de contingencia Ponente: D. Alfonso Mur. Deloitte Vídeo en Canal YouTube UPM: 1 hora, 21 minutos Presentación en PDF 22 páginas Segunda conferencia, 6 de marzo de 2013. Ciberdefensa Ponente: D. Juan Carlos Batanero. INDRA, AMETIC Vídeo en Canal YouTube UPM: 1 hora, 9 minutos Presentación en PDF 22 páginas Tercera conferencia, 20 de marzo de 2013. Ciberdelincuencia Ponente: D. Oscar de la Cruz. Grupo de Delitos Telemáticos de la Guardia Civil Vídeo en Canal YouTube UPM: 1 hora, 23 minutos Presentación no disponible Cuarta conferencia, 3 de abril de 2013. Gobernando la seguridad hacia los objetivos corporativos Ponente: D. Antonio Ramos. ISACA Madrid, N+1 Intelligence & Research Vídeo en Canal YouTube UPM: 59 minutos Presentación en PDF66 páginas Quint

Wireshark corrige nueve vulnerabilidades

Imagen
Se ha publicado nueve boletines de seguridad para Wireshark que alertan y corrigen otras tantas vulnerabilidades para este software. Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows. Las nueve vulnerabilidades corregidas pueden ser aprovechadas para hacer que el software sufra una denegación de servicio, bien dejando de funcionar, bien consumiendo todos los recursos de la máquina. En escenarios en los que se estén monitorizando ataques de red con Wireshark, estos fallos pueden permitir al potencial atacante neutralizar al software antes de lanzar el ataque real y así pasar desapercibido. Como es habitual, estos fallos se pueden aprovechar por medio de dos vectores: mediante la inyec

Metasploit Forensics: Recovery deleted files (NTFS)

Imagen
Las posibilidades que ofrece Meterpreter a la hora de desarrollar módulos de post-explotación son prácticamente ilimitadas. Véanse a modo de ejemplo los módulos NBDServer.rb y Imager.rb desarrollados por R. Wesley McGrew y presentados en la Defcon 19 bajo el título “Covert Post-Exploitation Forensics With Metasploit“. Dicho módulos permiten hacer una copia byte a byte de volúmenes físicos y unidades lógicas del equipo comprometido a través de la red; o bien montar el sistema de ficheros de dichas unidades en el equipo del atacante como si fuera un simple dispositivo más. No hace falta mencionar las posibilidades desde el punto de vista forense que ofrecen este tipo de módulos. Gran parte de esta flexibilidad para llevar todo tipo de tareas desde una shell con Meterpreter la ofrece la extensión railgun al permitirnos cargar en runtime librerías de Windows y hacer uso de sus funciones. Al tener acceso íntegro a toda la API de Windows, las opciones de post-explotación son prácticamen

“Untangling the web”: sale a la luz el documento de la NSA para aprender a espiar en Internet

Nos aproximamos a un mundo sin secretos, o al menos en el que los conocimientos y la información que un día se mantuvieron ocultos son revelados sin complejos. A continuación te ofrecemos en flamante PDF el manual que utiliza la Agencia Nacional de Seguridad de Estados Unidos para desentrañar toda la información que está disponible en Internet. Son más de 600 páginas que si te las estudias bien ya podrás hacer como Neo en matrix y decir “ya sé espiar en la Red”. Ahora podrás sentirte como un espía de las películas o las series de televisión, de esos que son capaces de desentrañar la Red, pues no otra es la misión de esta voluminosa y útil guía para encontrar en Internet la información que pulula por las casi infinitas páginas y recursos alojados en servidores de todo el mundo. “Untangling the Web: an introduction to Internet research” ha sido desclasificado ahora aunque su fecha original de publicación fue 2007, por lo que es posible que si lo repasas a fondo encuentres algunos c

Un robo a bancos a través de internet logra hurtar 45 millones de dólares

Se trata de uno de los mayores robos bancarios de la historia con el que lograron retirar dinero de cajeros en 27 países. Nueva York / Boston. (Reuters) - En uno de los mayores robos bancarios de la historia, una red global de ciberdelincuentes hurtó 45 millones de dólares (unos 34 millones de euros) de dos bancos de Oriente Próximos al vulnerar la seguridad de unas empresas de procesamiento de tarjetas de crédito y retirar dinero de cajeros automáticos en 27 países, dijeron el jueves fiscales de Estados Unidos. El Departamento de Justicia de Estados Unidos acusó a ocho hombres de supuestamente formar una célula de la organización con sede en Nueva York, y dijeron que siete de ellos han sido arrestados. El octavo, supuestamente el líder de la célula, habría sido asesinado en República Dominicana el 27 de abril. Se cree que los cabecillas de la red están fuera de Estados Unidos, pero los fiscales rehusaron dar más detalles, citando a la investigación en progreso. Lo que está claro

Descubren un programa malicioso capaz de desactivar antivirus

Imagen
Se llama “Beta Bot” y utiliza técnicas de ingeniería social para ganarse la confianza de los usuarios y conseguir privilegios de administrador, según denuncia G Data. No nos cansamos de decir que los ataques cibernéticos se especializan y complican cada vez más, y sus autores no dejan de demostrarlo. La última prueba de esta tendencia hacia la sofisticación es Beta Bot, un programa malicioso comercializado en el mercado negro por 500 euros que ofrece a quien lo compre la posibilidad de desactivar software antivirus, además de otro tipo de acciones más habituales como robar datos o emprender campañas de denegación de servicio. De hecho, según se jactan sus responsables y advierte G Data, Beta Bot está diseñado para atacar y vencer a 30 programas de seguridad diferentes y para reconocer hasta 10 idiomas, incluido el español. ¿Cómo? Básicamente, recurriendo a técnicas de ingeniería social con las que engañar a los usuarios y acabar ejecutando código maligno en sus ordenadores,

Los backdoors móviles ya superan a los troyanos SMS

Imagen
Los programas backdoor creados para móviles han superado a los troyanos SMS que se usaban tradicionalmente, según revelan los análisis sobre las amenazas móviles realizados por los expertos de Kaspersky Lab. Mientras que los cibercriminales usan troyanos SMS para enviar mensajes Premium desde los móviles de las víctimas (desviando dinero de sus cuentas), los programas backdoor le dan a los cibercriminales bastantes más oportunidades de delinquir a través del acceso ilegal a los smartphones y tablets. Este acceso permite a los cibercriminales descargar más malware en el teléfono o robar información personal incluyendo imágenes o videos, así como datos de contactos, números de teléfono, direcciones de email o coordenadas GPS. El número de virus individuales para smartphones ha crecido un 38% desde que la compañía publicara sus cifras a principios del año. El examen de los tipos de malware revela que los programas backdoor han superado a los SMS troyanos por primera vez, con 22.871

OEA: Latinoamérica poco preparada ante cibercrimen

Imagen
Colombia es el único país latinoamericano que tiene un plan nacional contra el cibercrimen, un delito en alza del cual no hay cifras fiables en la región a pesar de que su perjuicio económico puede ser superior al narcotráfico, según un estudio divulgado este viernes. (AFP) El estudio encargado por la Organización de Estados Americanos (OEA) indicó que la mayoría de gobiernos de América Latina y el Caribe detectó en 2012 un alza en general de los delitos cibernéticos, de entre un 8% y un 40%, pero esa tendencia es imposible de apreciar en su magnitud por la falta de capacidad de las autoridades. "Medir de forma precisa, en términos cuantitativos, el impacto económico y las pérdidas que causó la piratería en las Américas y el Caribe es simplemente imposible. La cifra es extremadamente alta, posiblemente mayor que cualquier otra forma de crimen, incluido el narcotráfico", según el estudio, elaborado por la firma especializada TrendMicro. Aunque en la región ya se han prod