• Lugar: AUDITORIO MADRE DE DIOS – UTP “Sede principal de UTP” Av. 28 de julio c/n Petit Thouars

• Hora: Jueves, 15 de julio de 2010 18:00

• Ingreso Libre, Los esperamos

El encuentro detallará tendencias actuales en la seguridad de la información en empresas y organizaciones. Expondrá la relevancia del gobierno de la seguridad orientado al cumplimiento de normas internacionales y su justificación por parte de la gerencia IT. Se expondrán temas y protocolos de actuación que afectan de manera directa o indirecta a los departamentos de dirección TIC.

Se realizará un seguimiento de la evolución día a día del delito electrónico y ataques a empresas tanto interno (realizado por personal descontento con la organización) como externo y como afecta a la marcha de empresas.  Se aprenderá a como mitigar riesgos y que soluciones pueden aportar valor IT en términos de seguridad. Los participantes descubrirán paso a paso como se realizó el ataque denominado Aurora que afectó a empresas tan importantes como Google.

Queremos agradecer a nuestro auspicios, por el gran apoyo que están brindando para la realización del evento, el cual estamos seguros será de su agrado.

El evento está siendo auspiciado por:

• Technopark IDi
• Universidad Tecnológica del Perú (UTP) – Facultad de Ingenieria de Telecomunicaciones y Telemática

Recuerden que para mayor información del evento o para inscribirse, pueden entrar a:

MAS INFORMACIÓN DEL EVENTO AQUI

Saludos!

ENHACKE

Según las mejores prácticas del grupo Yankee, las organizaciones deberían realizar la gestión de vulnerabilidades día a día o semanalmente. La gestión de las vulnerabilidades es un ciclo de vida de procesos que consiste en 6 pasos:

1. Descubrir

• Descubrir todos los activos en la red, identificar los detalles del host incluyendo el sistema operativo y servicios abiertos.

2. Priorizar activos

• Administrar tu red por categorías de activos en grupos o unidades de negocio.
• Asignar valor de negocio a los grupos de activos de acuerdo a la criticidad de la operación del negocio.

3. Evaluar

• Determinar una línea base del perfil del riesgo para que se pueda enfocar en eliminar el riesgo basado en la criticidad del activo.
• Identificar las vulnerabilidades de seguridad en un itinerario automatizado.

4. Reporte

• Medir los niveles de riesgo asociados con tus activos de acuerdo a tus políticas de seguridad.
• Tendencias sobre la postura de seguridad en el tiempo.

5. Remediar

• Priorizar y corregir vulnerabilidades por riesgo de negocio.

6. Verificar

• Verificar la eliminación de amenazas a través de las siguientes auditorías.

El encuentro detallará tendencias actuales en la seguridad de la información en empresas y organizaciones. Expondrá la relevancia del gobierno de la seguridad orientado al cumplimiento de normas internacionales y su justificación por parte de la gerencia IT. Se expondrán temas y protocolos de actuación que afectan de manera directa o indirecta a los departamentos de dirección TIC.

Se realizará un seguimiento de la evolución día a día del delito electrónico y ataques a empresas tanto interno (realizado por personal descontentos con la organización) como externo y como afecta a la marcha de empresas.  Se aprenderá a como mitigar riesgos y que soluciones pueden aportar valor IT en términos de seguridad. Los participantes descubrirán paso a paso como se realizó el ataque denominado Aurora que afectó a empresas tan importantes como Google.

Mayor información, Hacer click aquí:  INFORMACIÓN EVENTO DE SEGURIDAD DE LA INFORMACION PARA LOS NEGOCIOS

Cloud Computing o Computación en la nube es un paradigma que permite ofrecer servicios de computación a través de Internet. Según Gartner, dada la exposición de estos servicios, este paradigma está lleno de riesgos de seguridad. Los clientes con mayor criterio harán las preguntas más minuciosas sobre el servicio e inclusive harían una evaluación de seguridad de la protección del servicio mediante un tercero antes de elegir al proveedor, según el informe de Gartner “Assessing the Security Risks of Cloud Computing.”

La computación en la nube tiene “características únicas que requieren una evaluación de riesgos en campos como la integridad, recuperación, y la privacidad de los datos, así como una evaluación de las cuestiones jurídicas en áreas tales como descubrimiento electrónico, cumplimiento normativo y auditoría”, según Gartner. (Comparar productos de seguridad.)

El servicio de Amazon EC2 y Google Apps Engine de Google son ejemplos del cloud computing, que Gartner define como un tipo de computación en la que “todo el conjunto de capacidades TI ampliamente escalables son distribuidos como servicio a clientes externos usando las tecnologías de Internet. “

Los clientes deben exigir transparencia, evitando que los proveedores se niegan a proporcionar información detallada sobre los programas de seguridad. Haga preguntas referentes a las calificaciones de los creadores de las políticas, arquitectos, programadores y operadores, los procesos de control de riesgos y mecanismos técnicos, el nivel de pruebas que se ha hecho para verificar que los servicios y procesos de control están funcionando como se pensaba, y que los proveedores pueden identificar anticipadamente las vulnerabilidades.

Aquí detallamos siete de los temas específicos de seguridad que Gartner recomienda que los clientes deben plantear a los proveedores antes de seleccionar un servicio en la nube.

1. Acceso de usuarios privilegiados.

Gartner afirma que los datos sensibles procesados fuera de la empresa traen consigo un nivel de riesgo inherente, ya que los servicios outsource superan “el control físico, lógico y personal” que los departamentos de TI ejercen sobre los programas in-house. Obtenga la mayor información posible de las personas que gestionan sus datos. “Pida a los proveedores que proporcionen información específica sobre la contratación y supervisión de los administradores que tendrán privilegios sobre su data, y los controles sobre su acceso”.

2. Cumplimiento normas.

Los clientes son en última instancia, responsable de la seguridad y la integridad de sus propios datos, incluso cuando están en manos de un proveedor de servicios. Los proveedores tradicionales de servicios están sujetos a auditorías externas y a certificaciones de seguridad. los proveedores de Cloud Computing que se niegan a someterse a este control dan “señales a los clientes para que sólo soliciten su servicio para  las funciones más triviales”, afirma Gartner.

3. Ubicación de los datos.

Cuando se utiliza la nube, es probable que no se conozca exactamente dónde están sus datos. De hecho, usted ni siquiera sabra en qué país esta almacenada. Gartner aconseja que se debe pedir a los proveedores que se comprometan a almacenar y procesar sus datos en determinadas jurisdicciones, y si van a hacer un compromiso contractual deban someterse a las exigencias locales de privacidad en nombre de sus clientes.

4. Segregación de datos.

Los datos en la nube están en un entorno compartido junto con los datos de otros clientes. La encriptación es eficaz, pero no es una panacea. Gartner sugiere que “averigue lo que se hace para separar los datos en reposo”. El proveedor deberá proporcionar pruebas que los sistemas de cifrado han sido diseñados y probados por especialistas experimentados. “Los problemas de cifrado de datos pueden hacer totalmente inutilizables los datos, e incluso el cifrado normal puede complicar la disponibilidad”, según Gartner.

5. Recuperación.

Incluso si usted no sabe dónde están sus datos, un proveedor debe decirle lo que ocurrirá con sus datos y el servicio en caso de un desastre. “Cualquier oferta que no replique los datos y la infraestructura de aplicaciones en múltiples sitios es vulnerable a un desastre total”, según Gartner. Pregunte a su proveedor si tiene “la capacidad de hacer una restauración completa, y cuánto tiempo va a durar.”

6. Soporte de investigación.

La investigación de actividad inapropiada o ilegal puede ser imposible en cloud computing, advierte Gartner. “Los Servicios de Cloud Computing son especialmente difíciles de investigar, porque los registros y datos de múltiples clientes pueden ser almacenado en el mismo lugar y también se pueden almacenar en un cambiante conjunto de máquinas y centros de datos. Si usted no puede conseguir un contrato para dar soporte a los diferentes tipos de investigación, junto con la evidencia de que el proveedor ya ha manejado con éxito esas actividades, entonces su única suposición es que será imposible hacer investigación y descubrimiento.”

7. La viabilidad a largo plazo.

Según Gartner, debemos asegurarnos que nuestro proveedor de computación en la nube nunca vaya quedar en quiebra, sea adquirida o absorbida por una compañía más grande. Usted debe estar seguro que sus datos deberán estar disponible incluso después de tal evento. “Pedir a los proveedores potenciales cómo te recuperar los datos y si sería en un formato que puede importarse a otra  aplicación.”

Fuente: Gartner

Las botnets son redes de computadoras (net) robots (bots) que obedecen las ordenes de un amo o maestro (botmaster) para realizar acciones maliciosas, las bonets también son conocidas como redes zombis. El numero de computadoras esclavizadas pueden ser miles de máquinas infectadas. Las acciones maliciosas más comunes de las botnes son: Poner indisponible el servicio de una organización victima por ejemplo colapsar su servidor de correo, para marketing por medio de spam y aumentar el ranking de un web site en los buscadores como Google. El funcionamiento de las botnets es el siguente.

Primero, se infectan varias PCs para que obedezcan a un maestro (botmaster). Luego, estas maquinas infectadas envian ataques por orden del botmaster. Por último, el botmaster alquila sus máquinas infectadas en todo el mundo a algun interesado para que realize ataques por cierto tiempo a un objetivo de su preferencia.

Las botnets pueden ser alquiladas por 67 dolares por 24 horas para realizar estas acciones maliciosas. Si fuese solo una hora serían 9 dolares según iDefense VeriSign que analizo 25 ofertas del mercado negro. Este negocio se vuelve cada vez más popular en los foros underground inclusive con banners de publicidad.

En marzo la policia española arrestó a los tres presuntos autores intelectuales de la botnet Mariposa, que se propago sin ser detectado durante seis meses, poniendo en peligro más de 12 millones de PCs en muchas empresas de primera línea y bancos.

Zeus, una de las botnets más conocidas y que tiene 3.5 millones de maquinas esclavas solo en Estados Unidos. Zeus se vende como un kit de herramientas cuesta al rededor de $ 3000 – 4000, y es probable que el malware sea más utilizado por los delincuentes en el fraude financiero, según SecureWork.

Personalizar Zeus con numerosos complementos tiene los siguiente precios: por la creación de redes virtuales para hacerse cargo de un PC infectado ($ 10.000), por una actualización para atacar a Windows 7 o Vista ($ 2.000), por recibir los datos robados en tiempo real por mensajería instantania como Jabber IM ($ 500), y por un módulo para realizar transacciones financieras desde el PC infectado ($ 1.500). Curiosamente, la aplicación Zeus también incluye funciones avanzadas de lucha contra la piratería.

En conclusión, estas redes zombis son rentadas por ciberdelincuentes y mafias organizadas para realizar sus acciones ilegales. Un usuario común y corriente puede ser parte de una zombi, es lo más comun, porque son los más fáciles de infectar porque tiene desconocimiento de como proteger su PC.

Así es! estan leyendo bien…

No, esto no es una simulacion!!!

Si… hackearon a ebay españa, en realidad 3 de sus dominios: ebayanuncios.es , ebaycoches.es , ebaypisos.es

El daño en el que ha incurrido ebay es mas que todo de imagen corporativa ya que de todas formas su credibilidad y confiabilidad se ve puesta en juego. Por parte de la empresa no han habido manifestaciones publicas acerca de perdida de datos de la información de sus clientes, pero tampoco creo que saldrian a la calle a gritarlo…

La vulnerabilidad con la que han realizado el hackeo y con la que han logrado insertar una imagen, muy graciosa en realidad, es CROSS SITE SCRIPTING, tambien conocida como XSS.

¿Que es Cross Site Scripting?

Fuente: Wikipedia

Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de “scripting“, como VBScript o JavaScript, en el contexto de otro sitio web.

El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Esta vulnerabilidad puede estar presente de forma directa (también llamada persistente) o indirecta (también llamada reflejada).

• Directa (Persistente): este tipo de XSS comúnmente filtrado, y consiste en invadir código HTML peligroso en sitios que así lo permiten; incluyendo así etiquetas como lo son <script> o <iframe>.

• Indirecta (Reflejada): este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

Mas informacion acerca de XSS: http://es.wikipedia.org/wiki/Cross-site_scripting

Recordemos que este tipo de vulnerabilidades se encuentran presentes en miles de sitios web.

La razón principal por lo que se cae en este tipo de errores es por no seguir las buenas practicas de programación y por no hacer las debidas pruebas de vulnerabilidad al website.

Esperamos el post sea de su agrado.

enHacke

A inicios de este mes en nuestro país varios de los usuarios de McAfee tuvieron problemas con una actualización del antivirus que detectaba un componente del Windows XP como un falso virus. Después del procedimiento de escaneo del antivirus, el host nos presentaba pantalla azul “blue screen of death”, luego de una o dos horas McAfee alertaba e informaba el procedimiento de recuperación del sistema debido a este problema, sin embargo, en varias organizaciones esto significo pérdida de horas de trabajo. La industria bancaria fue una de las más afectados por este evento.  Aunque no nos detallaron la compensación nos dicen que esta ya ha sido efectiva.

Se trata del primer intento de controlar una red de bots desde Twitter. En todo caso, se ve que algunos aspectos son aún experimentales. Así, el creador no ha protegido sus bots contra la ingeniería inversa ni contra procesos de detección. No obstante, esto no lo hace menos peligroso.

Un aspecto interesante es que hay una cuenta de usuario de Twitter (@korrupt) asociada por defecto a la herramienta y que podría enviar comandos a todos los ordenadores zombies controlados desde la misma. Sin embargo, no presenta de momento ninguna actividad.

“Es cierto que para los ciberdelincuentes controlar una red de bots desde una cuenta de Twitter presenta algunas desventajas. Por ejemplo, si la cuenta es anulada por Twitter, la red se queda sin usuario desde el que recibir órdenes. Pero, por otro lado, también tiene sus ventajas: con una simple frase en Twitter publicada desde un teléfono móvil, los ciberdelincuentes podrían lanzar un ataque de denegación de servicio en toda regla”, explica Raúl García, Responsable de Marketing de BitDefender en España.

La nueva red de bots interrogará constantemente el perfil de Twitter especificado para recibir órdenes. Para evitar confusiones, los comandos soportados tienen que comenzar de alguna de las siguientes maneras:

1.  El comando .VISIT acepta dos parámetros separados por un asterisco, tipo: .VISIT*URL*1 o .VISIT*URL*0. Este comando haría al bot visitar la web especificada en el comando. El parámetro numérico dice al bot si debe visitar la página en una ventana visible (1) o invisible (0).

2.  El comando .SAY sólo toma un parámetro e inicia el motor Microsoft Text-To-Speech para leer el parámetro específico, por ejemplo: SAY*Something to say

Hasta aquí, el bot parece ser más o menos inofensivo, pero la introducción de los siguientes comandos lo hace realmente peligroso:

3.  El comando .DOWNLOAD toma una URL como primer parámetro y un 0 o un 1 como segundo. DOWNLOAD*URL/somefile.exe*0 o .DOWNLOAD*URL/somefile.exe*1. La URL dice la bot desde que web tiene que descargarse un archivo mientras que el parámetro numérico le dice si éste debe ejecutarse o no cuando haya sido descargado del todo.

4. El comando .DDOS*IP*PORT permite lanzar un ataque de inundación UDP (User Datagram Protocol) contra la IP indicada en el puerto especificado (contra un ordenador, router o servidor)

5.  .STOP asegura que los ordenadores controlados detienen las acciones repetitivas como visitar web de recursos o atacar una IP para causar un problema de denegación de servicio.

6.  El comando .REMOVEALL sirve para ordenar a los bots que se desconecten de la cuenta de Twitter y permanezcan inactivos hasta el próximo reinicio. Este comando prácticamente elimina el tráfico entre el bot y la web, así, hace menos invisible la infección y dificulta la detección del bot.

Los bots que permiten el control de los ordenadores a través de esta herramienta han sido detectados por BitDefender como Trojan.TweetBot.A. BitDefender cuenta con una herramienta específica para eliminar esta amenaza disponible en http://www.malwarecity.com/files/Anti-TweetBot-EN.rar.

Fuente:

http://www.atodochip.com

http://www.pcworld.com.mx

]]> http://www.enhacke.com/2010/05/18/primera-botnet-controlada-desde-twitter/feed/ 0 http://www.enhacke.com/2010/05/01/manualvideo-como-instalar-ninjasec/ http://www.enhacke.com/2010/05/01/manualvideo-como-instalar-ninjasec/#comments Sat, 01 May 2010 05:57:37 +0000 Editor http://www.enhacke.com/?p=1029 Saludos!

Seguimos con un nuevo video acerca de NINJASEC con el objetivo de fomentar un uso consciente de las tecnologias y mejorar los conocimientos acerca de la Seguridad Informatica.

Ya en el ultimo post habiamos publicado como iniciar NINJASEC (desde maquina virtual o quemando un cd) : COMO EJECUTAR NINJASEC

Bueno, para hoy estare presentando un nuevo escenario (descrito a continuacion)

He descargado NINJASEC.ISO , y lo probe tal como mostraron en el post anterior. La verdad que la distribucion me ha gustado mucho asi que quisiera que mi informacion o cambios en las configuraciones en este sistema, no se pierdan cada vez que apague mi maquina virtual (esto sucede porque al correr desde el archivo de imagen ISO, simplemente lo carga en memoria RAM y lo ejecuta desde ahi —> por eso no guarda nada, recuerden que la informacion de la memoria RAM es volatil).

Ok, como decia, no quiero que se me pierda la instalacion y estoy considerando la idea de instalar NINJASEC en la maquina virtual que he creado para tambien dejar de usar el archivo ISO y que cargue como un sistema nativo en mi computadora virtual.

Pues para esto tengo que seguir los pasos del siguiente video!! espero les guste!!

Recuerden agregarnos a la pagina de facebook para noticias de videos, promociones y novedades.

www.facebook.com/enhacke