Así es! estan leyendo bien…

No, esto no es una simulacion!!!

Si… hackearon a ebay españa, en realidad 3 de sus dominios: ebayanuncios.es , ebaycoches.es , ebaypisos.es

El daño en el que ha incurrido ebay es mas que todo de imagen corporativa ya que de todas formas su credibilidad y confiabilidad se ve puesta en juego. Por parte de la empresa no han habido manifestaciones publicas acerca de perdida de datos de la información de sus clientes, pero tampoco creo que saldrian a la calle a gritarlo…

La vulnerabilidad con la que han realizado el hackeo y con la que han logrado insertar una imagen, muy graciosa en realidad, es CROSS SITE SCRIPTING, tambien conocida como XSS.

¿Que es Cross Site Scripting?

Fuente: Wikipedia

Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de “scripting“, como VBScript o JavaScript, en el contexto de otro sitio web.

El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Esta vulnerabilidad puede estar presente de forma directa (también llamada persistente) o indirecta (también llamada reflejada).

• Directa (Persistente): este tipo de XSS comúnmente filtrado, y consiste en invadir código HTML peligroso en sitios que así lo permiten; incluyendo así etiquetas como lo son <script> o <iframe>.

• Indirecta (Reflejada): este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

Mas informacion acerca de XSS: http://es.wikipedia.org/wiki/Cross-site_scripting

Recordemos que este tipo de vulnerabilidades se encuentran presentes en miles de sitios web.

La razón principal por lo que se cae en este tipo de errores es por no seguir las buenas practicas de programación y por no hacer las debidas pruebas de vulnerabilidad al website.

Esperamos el post sea de su agrado.

enHacke

Una vez ejecutada el gusano crea entre siete y nueve copias de si mismo dependiendo de la variante en areas críticas del sistema Windows.

Win32.Worm.Zimuse.A es un peligroso código malicioso. A diferencia del gusano, Win32.Worm.Zimuse. A puede llevar a perder data porque sobreescribe los primeros  50 KB del Master Boot Record que es una zona importante del disco duro.

Para ejecutarse en cada inicio de Windows, el gusano establece el siguiente registro:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun]“Dump”=”%programfiles%DumpDump.exe

Esto también crea dos archivos, nombrados:

%system%driversMstart.sys and %system%driversMseu.sys

Desde las versiones de 64-bits de Windows Vista y Windows 7 se requiere drivers firmados digitalmente,e l gusano no podría instalarse.

Desafortunadamente, en estos escenarios, el gusano hará casi imposible que los usuarios sepan que fueron víctimas de esta amenaza. Si un cierto número de días pasan desde la infección (40 idas para la variable A y 20 dias para la variente B), la computadora recibe un mensaje de error en el cual se menciona que un problema  ha ocurrido debido a un contenido malicioso de un paquete desde una IP. Luego se pide al usuario recuperar el sistema presionando OK. Después de este mensaje, el siguiente reinicio causa que el disco duro de la computadora  se dañe comprometiendo el sector de booteo.

A continuación les dejamos un video que describe el ataque de este malware:

Fuentes como security focus (http://www.securityfocus.com/bid/37331/info) afirman que existe un exploit que toma ventaja de esta vulnerabilidad y permite ejecutar codigo arbitrario. Mas preocupante aun, es que ya diversas fuentes indican que este exploit esta siendo usado en forma activa.

Como bien sabemos este tipo de exploits es utilizado por grupos de hackers maliciosos y por mafias para su propio beneficio economico, ya que pueden tomar control de las maquinas y sustraer informacion sensible.

El ataque sucede de la siguiente manera:

- Atacante inyecta codigo malicioso en un pdf de interes general

- Atacante distribuye el archivo PDF por varios medios (spam, paginas, redes p2p)

- Victima recibe PDF por alguno de los medios

- Victima abre PDF, lee el contenido (mientras tanto en 2do plano y en forma oculta se ejecuta codigo malicioso)

- Atacante obtiene acceso a la maquina de la victima, tomando informacion sensible y util para sus fines

A continuación algunas recomendaciones para poder prevenir ser victimas de este tipo de ataques:

- Tener cuidado al recibir archivos pdf de personas desconocidas o fuentes sospechosas
- Si trabaja continuamente con este tipo de archivos, podría intentar deshabilitar Javascript en su programa de Adobe Acrobat Reader. Para realizar este cambio vaya al menu EDIT, luego a PREFERENCIAS y en la parte de JAVASCRIPT, quite el check de “Habilitar Acrobat Javascript”

Esperamos haber sido de ayuda.

Saludos

ENHACKE

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y  contramedidas. Esperamos sea de su agrado.

Play

Cada vez son más las empresas en Latinoamérica (y más preocupante en Perú), que son víctimas de ataques informáticos; desde denegación de servicios, pasando por ataques a servidores web que permiten la modificación de su página web y hasta robo o secuestro de información corporativa.

Está claro que el mercado negro de los hackers maliciosos genera mucho dinero y mueve mucha gente, y que la tendencia a la venta de información corporativa, fraudes bancarios, publicidad ilegal y ataques a pedido se va haciendo cada vez más fuerte.

La tendencia es clara, sin embargo hay ciertos detalles que muchos pueden estar dejando de lado. Y es que todos estos tipos de ataques y conocimientos que usualmente son dirigidos a usuarios y empresas, podrían tener también como objetivo computadoras de instituciones gubernamentales, es decir, podrían tener como fin desestabilizar un Gobierno. Sí, estamos hablando de ataques que podrían comprometer la seguridad de una Nación.

No hace más de un par de semanas que el presidente de Estados Unidos anuncio la creación de un nuevo cargo en la Casa Blanca, este asesor tiene como función coordinar las políticas destinadas a proteger a los Estados Unidos y a su infraestructura informática de ataques de las hipotéticas “ciberguerras” del futuro. Este cargo ha sido tomado con tanta importancia que incluso forma parte del Consejo de Seguridad Nacional de los EEUU.

Este tipo de noticias no son parte de hechos aislados o pura casualidad. Tienen un trasfondo muy importante y es que hoy en día, los sistemas informáticos tienen un rol principal en todas las actividades de una Nación. Si en algún momento alguno de estos sistemas deja de funcionar, muchas actividades son interrumpidas, generando tiempos de respuesta largos y lentos.

Tomemos el caso de los medios (mencionado en el video que podrán ver al final del artículo). Siendo estos la principal fuente de información y comunicación entre el Gobierno y la Nación, de llegar a ser interrumpidos por algún ataque informático, generarían desconcierto, la gente tendría miedo y podría desatar saqueos masivos.

Ahora el caso de las entidades financieras. Si bien nuestro entorno no es el de Estonia (mencionado en el video) y no tenemos solamente 2 bancos, ¿qué pasaría si los principales bancos colapsaran?

Son preguntas y escenarios hipotéticos pero que podrían llegar a ser reales. Actualmente son muchos los países que se encuentran preparando equipos de hackers listos para atacar o defender la infraestructura de TI de las principales instituciones militares y de Gobierno.

En el Perú cada vez se tiene mayor conciencia de los riesgos de una Seguridad Informática mal llevada, pero, ¿es suficiente? Las organizaciones deben preguntarse una vez más si están seguros; si el Firewall, IPS o Sistema de Correlaciones está bien implementado como para detectar amenazas serias y quizás más crítico aun, si su personal está lo suficientemente capacitado como para no caer en ataques de ingeniería social.

Espero este articulo haya sido motivo de reflexión. La seguridad Informática conlleva mucha responsbilidad y es deber de los Oficiales de Seguridad asumirla bien en sus organizaciones. Por otro lado, es deber de los usuarios también estar al tanto de nuevos tipos de engaños o ataques para no caer tan fácilmente en estos.

A continuación les mostramos un documental muy interesante. Es sobre guerras y ataques cibernéticos, realizado por la editora televisiva ODISEA. Para poder verlos necesitara un explorador Internet Explorer 7.x+ o Firefox.

Esperando participar en alguno de sus proyectos.
Muchas gracias por leernos.

enHacke