jueves, 31 de diciembre de 2015

Compendio 2015

Este 2015 para mi ha sido épico, pues he tenido experiencias en el ámbito de seguridad que me han permitido progresar, manteniendo un crecimiento continuo en el aprendizaje que este mundo tecnológico con lleva.

Y aunque no todo esta plasmado en este blog, como muchas de las historias que tu tendrás, y que son para única y exclusivamente para ti, algunas otras que solo amigos cercanos las conocen y desde luego las aventuras que si pueden ser publicadas. 

Pero no quiero extenderme, así que te dejo parte de lo aprendido durante este 2015; ente ello  tenemos que publicar documentos personales, a razón de ayudar a una persona, puede ocasionar que un tercera persona se aproveche de ello para realizar un robo de identidad, tampoco es buena idea, dejar tu hoja de vida en cualquier sitio, puede que ese sitio sea vulnerable y ademas de dar tu hoja de vida, termines dando tu contraseña. 

Desde luego, algo que enmarco mucho este 2015 en Guatemala fue el caso de la linea, donde espiaron a funcionarios de gobierno, aunque me falto concluir una parte de ese episodio enfocado al proceso forense realizado en la investigación, prometo ocuparme de ello para este 2016. Algo que ya habíamos tratado anteriormente es el ataque de fuerza bruta, sin embargo lo enfocamos con una herramienta que colge en el blog llamada FBCBD.

También el punto de lo eticamente ilegal, donde se enfatiza la diferencia entre lo ético y legal en el mundo de la seguridad informática, no hay que olvidar la herramienta que te deje para  que puedas cifrar o descifrar texto puede ser útil en en muchas ocasiones.

En cuanto las métricas de los objetivos impuestos a principio de año, he cumplido la gran mayoría, si bien algunos no logre cumplirlos en su totalidad, estoy bastante satisfecho con los resultados. Y desde luego ya tengo fijados nuevos objetivos y metas para el 2016. También debo agregar la agradable experiencia de compartir una conferencia en ANPROFOR, donde ademas de compartir conocimientos, aprendí algunos nuevos.

Como no tengo mas que agregar, únicamente les deseo unas felices fiestas y un  prospero año 2016.
P.D. Por hoy, deja el ordenador un momento y comparte en familia.
Saludos.
Lexer Pars.




jueves, 24 de diciembre de 2015

Noche buena y navidad

Tengo tiempo de no estar posteando en el blog, por cuestiones de tiempo, sin embargo, no me he apartado del camino de la seguridad informática, he aprendido muchas cosas, poco a poco compartiré.

Por el día de hoy y navidad, espero descansar debidamente, para continuar con los gajes del oficio. Prometo empezar a postear mas seguido de nuevo. Y pues nada, espero que pasen una muy feliz noche buena y gustosa navidad, al lado de toda la familia y dejen que el ordenador descanse por un par de horas.

   Imagen 1: Árbol de navidad muy al estilo informático.

Saludos.
Lexer Pars.

viernes, 11 de diciembre de 2015

CDT una herramienta para cifrar/descifrar texto

En muchas ocasiones, nos vemos en la necesidad de tener mensajes, no legibles a personas no autorizadas.
Así como enviar mensajes, manteniendo la confidencialidad de la información. Hace tiempo que tengo una herramienta que se encarga de esta tarea y decidí darle algunos cuantos retoques y colgarla en el blog, para que puedas utilizarla si te apetece.

Imagen 1: Cifrado/Descifrado de texto.

Imagen 2: Cifrado/Descifrado de texto.




Video 1: Funcionamiento de la herramienta CDT.

Con esta herramienta podrás cifrar tus mensajes y descifrar, siempre y cuando poseas la clave de descifrado. La clave es definida únicamente en valores numéricos. Espero te sea de utilidad.

Saludos.
Lexer Pars.


jueves, 5 de noviembre de 2015

Espían a funcionarios del gobierno de Guatemala (III de IV)

En la investigación presentada por CICIG, se obtuvo evidencia de los actos ilícitos que realizaba "la linea". Esto comprende escuchas telefónicas, correos electrónicos, documentos electrónicos y físicos. Que desde luego mucha información fue escenario de análisis forense, que veremos mas adelante.

Las técnicas utilizadas para recopilar las evidencias pueden ser varias y dependiendo de la situación se puede implementar una u otra técnica.   

Escuchas telefónicas

Muchas empresas a día de hoy utilizan el servicio de VoIP, para comunicarse internamente en la organización, existen diversas configuraciones y servicios para implementarlo, como asociarlo a un PBX, de tu proveedor de ISP. Sin embargo, si al momento de implantar este servicio, no se utilizan medidas para protegerlo y hacerlo seguro, estaremos expuestos ante ataques de hacking VoIP.

   Imagen 1: Diagrama básico servicio VoIP.

El diagrama básico de red de la imagen 1, establece un servidor VoIP, y varias estaciones de trabajo con Soft Phone y Hard Phone, donde todo el trafico fluye a través de la red. Uno de los protocolos mas utilizados en VoIP es SIP(Session Initiation Protocol), que es un protocolo de inicio de sesiones, encargado de controlar el inicio, modificación y finalizaciones de sesiones de usuario interactivas donde intervienen elementos multimedia.

Ademas entran en juego protocolos como RTP (Real Time Transport Protocol) el cual es utilizado para intercambiar contenido multimedia como lo es audio/video  y SDP que es el encargado de la negociación de las capacidad multimedias de los involucrados.

Algunos elementos que intervienen en el protocolo SIP durante una sesión de una llamada son:

  • Agente de usuario
  • Agente de direcciones
  • Servidor proxy
  • Servidor de registro
  • Servidor de localización
Para interceptar las llamadas se puede realizar un ataque MITM , se puede utilizar wireshack, para estos fines. Basta con capturar el trafico, filtrando por el protocolo SIP, dentro de las cabeceras SIP podemos encontrar mensajes SIP para las sesiones como:


  • INVITE. Tipo Request. Para establecer una sesión entre agentes de usuario. contiene información sobreu suario origen y destino y tipo de datos (audio, video). contiene mucha más información. 
  • ACK. Para la confirmación de un establecimiento de sesión. Un mensaje ACK puede ser, como vemos más abajo, un código 200 Ok de éxito.
  • OPTION. Un Request o solicitud de información de capacidades
  • BYE. Se usa para la liberación o terminación de una sesión establecida. BYE puede ser emitido tanto por el usuario que genera una llamada o el que la recibe.
  • CANCEL. Cancela una petición pendiente sin influir en la sesión o llamada establecida y acpetada.
  • REGISTER. Es usado por un user agente o agente usuario para el registro de dirección SIP e IP o dirección de contacto. Relacionado con la ubicación de los usuarios.
Te dejo una demo de la captura de llamadas, que realice en la conferencia ANPROFOR, junto al archivo para que puedas realizar las practicas. Cabe mencionar que adicional a las llamadas podrías interceptar los mensajes de textos.


Video 1: Interceptar llamadas con wireshack.

La anterior es solo una forma de como se puede interceptar las llamadas. Otra forma, puede ser infectando el teléfono inteligente, con el cual, ademas de grabar las llamadas, podrías leer mensajes de texto, correo electrónico, acceder ficheros, etc.  Para esto, puedes apoyarte de Kali Linux msfvenom y tendrías que tener acceso físico para instalar el malware, desde luego, un ataque de ingeniería social, podría ser efectivo. Te dejo una demo, para que puedas practicarla. 

Video 2: Infectar Android.

Otra forma de lograr interceptar llamadas, es mediante la utilización de una torre falsa GSM, el ataque consiste de nuevo en MITM, esto se debe a que un móvil, siempre busca conectarse a la torre mas cercana de los alrededores, aunque tiene una limitación que es el alcance. Esto fue expuesto en la Defcon 18 por Chris Paget,


Video 3: Defcon 18, interceptar llamadas.

Dentro de las formas que CICIG capturo la llamadas de los funcionarios, prevalece mediante las llamadas utilizando VOIP, pero estas otras formas podrían utilizarse en una investigación si asi se desea.  

Saludos.
Lexer Pars.

Espían a funcionarios del gobierno de Guatemala (IV de IV)

domingo, 25 de octubre de 2015

Eticamente ilega

Cuando se habla de la seguridad informática y sale a flote el termino hacking, entran en juego muchos factores, de los cuales cabe destacar dos, la ética y lo legal.

El hacking puede practicarse si trabajas en una empresa de consultorias de seguridad  o tienes algún contrato que te respalde toda actividad realizada contra la infraestructura de una organización. Sin embargo, hay una gran parte de hackers, que realizan estas actividades sin contrato alguno, utilizándolo como un pasatiempo, para afinar habilidades y destrezas, entre otros.

Imagen 1: Balanza entre la Ética y lo legal.

Hoy en día practicar el hacking sin un contrato se ha vuelto como una balanza, donde la parte legal, tiene mucho mas peso que la parte ética. En la legislación Guatemalteca, el código penal establece que acceder a un sistema, sin autorización por parte del dueño o la empresa, es un delito. Pero si accedes, con el hecho de aprender, entretenerte y reportar las fallas, ha sido un comportamiento ético.
Por tanto realizaste un acceso eticamente ilegal a la infraestructura de una organización.

Desde luego, también hay hackers, en busca de beneficios, como económicos, bases de datos, licencias, software, etc., donde desde luego, no hay un factor ético de por medio.        

Reportar una falla o problemas de seguridad a una empresa, cuando practicas el hacking sin ningún contrato, puede ser muy gratificante para ambas partes, siempre y cuando la organización tenga un nivel de madurez en el tema. Ya que en algunos caso, podrían accionar en tu contra.

Por ello, siempre ten en mente, que cuando practiques el hacking, y no tengas un respaldo por parte de la organización, que garantice su consentimiento, y desees reportar las fallas, habrás atacado a una organización eticamente ilegal y podrías ganarte buenos problemas, así que, toma nota, antes de reporta, infórmate sobre el grado de madurez de una organización, para afrontar estas situaciones.

Saludos.
Lexer Pars.        

jueves, 3 de septiembre de 2015

Ataque de fuerza bruta contra bases de datos

Hace unos días, he estado desarrollando una herramienta para realizar ataques de fuerza bruta con diccionario, contra bases de datos, de momento el ataque esta únicamente dirigido contra el motor de MySql.

La herramienta esta disponible para Windows y no depende de ningún cliente MySql instalado en el ordenador para funcionar, ya que incorpora librerías para establecer una conexión directa. 

Imagen 1: Heramienta FBCBD.

Puedes elegir entre 3 modos de ataque de diccionario:
  • Dirigido contra el usuario.
  • Dirigido contra la contraseña.
  • Dirigido contra el nombre de la base de datos.
Sin duda el hecho que este dirigida solo para Mysql, es una tremenda limitación al querer auditar otras bases de datos contra ataques de fuerza fruta, utilizando diccionarios. Espero ampliar mas motores de bases de datos pronto y que ampliar las funcionalidades de esta herramienta. 

Cabe aclarar que la herramienta puedes utilizarla para auditar bases de datos locales o remotas, siempre estableciendo los parámetros necesarios. En el caso que realices un ataque de fuerza bruta contra el usuario, debes rellenar cada campo a excepción de usuario, de igual forma un ataque de diccionario contra la contraseña, deberás llenar cada campo a excepción del campo con el cual se realizara el ataque.

 Ataque de fuerza bruta FBCBD



Cualquier sugerencia o bug que encuentres, es bienvenido para que lo reportes. Y nada, que disfrutes de la herramientas, pues a mi ya me ha sacado de ciertos apuros, en los últimos días.
Puedes descargarlo del siguiente enlace: https://goo.gl/T4l4Kh

Saludos.
Lexer Pars.
   

miércoles, 2 de septiembre de 2015

Hackers atacan una compañía de ciberespionaje para probar sus vínculos con gobiernos represivos

Una compañía que provee programas informáticos de vigilancia y espionaje a autoridades y gobiernos ha sufrido un ataque informático que expuso sus negocios con países criticados por sus violaciones de derechos humanos y duras restricciones a la libertad de sus internautas.

Los atacantes publicaron la información robada a la compañía Hacking Team desde su propia cuenta de Twitter, que también estaba comprometida. La información incluía la lista de clientes de la compañía, entre los que se encontraban los gobiernos de países como Sudán, Arabia Saudita y Etiopía, que sufren duras y frecuentes críticas por sus políticas de espionaje a disidentes políticos, activistas y periodistas. Esto puso a Hacking Team en la mira de organizaciones de defensa de Derechos Humanos y privacidad en Internet.

La compañía había negado sus conexiones con estos países, por lo que los atacantes publicaron un inmenso fichero de 400 GB de información acompañado de un mensaje que decía: “Como no tenemos nada que esconder, estamos publicando todos nuestros correos electrónicos, ficheros y códigos fuente”.

No se conocen los métodos exactos que usaron los atacantes para irrumpir en los sistemas de la compañía, pero se sabe que en algunas ocasiones aprovecharon el bajo nivel de seguridad de sus contraseñas, que hasta llegaron a ser variantes de la palabra “password” (“contraseña” en inglés). Esta es una falla común entre los internautas, pero una sorpresa en una compañía dedicada a la tecnología.

“Los informes iniciales… validan nuestras investigaciones que mostraban el uso (de programas de espionaje) por parte de regímenes represivos como el de Etiopía y Sudán”, dijo Citizen Lab, que había denunciado las actividades de Hacking Team antes de las filtraciones. “Esos informes muestran la falta de transparencia y responsabilidad en el mercado de software de intrusión. Creemos que una mejor comprensión de este mercado es esencial para conseguir que Internet sea libre y seguro”.


Lexer Pars.
Saludos.

martes, 1 de septiembre de 2015

Investigadores espían a hackers que atacan los sistemas de monitorización de las gasolineras

Un equipo de investigadores ha tendido una trampa a los hackers para estudiar su comportamiento ante los sistemas vulnerables de monitorización de gasolineras.

El estudio de Kyle Wilhoit y Stephen Hilt, investigadores de TrendMicro, estuvo elaborado a partir de una publicación de Rapid7 que había encontrado 5.800 surtidores de gasolina que no contaban con ninguna protección, ni siquiera una contraseña. Los investigadores también tomaron en cuenta un artículo de The Register que informaba sobre un ataque de hackers de Anonymous que habían irrumpido en el sistema de monitorización de una gasolinera para borrar el identificador de la bomba del surtidor y reemplazarlo con el slogan “Somos Legión”.

Tomando esta problemática como punto de partida, Wilhoit y Hilt abordaron el tema construyendo sistemas de monitorización de gasolineras falsos que llamaron “GasPots”, que mantuvieron activos durante 6 meses. Los sistemas estaban alojados en servidores en Estados Unidos, el Reino Unido, Alemania, Jordania, Brasil, Rusia y los Emiratos Árabes Unidos, y funcionaban como trampas para ver cómo se comportaban los hackers que lograban irrumpir en ellos y recibir ataques virtuales de forma segura.

Durante este periodo, los sistemas más afectados fueron los de los Estados Unidos. La mayoría de los atacantes se limitaron a ubicar y explorar los sistemas. Pero el GasPot recibió nueve ataques en los que los intrusos cambiaron el nombre del surtidor para mostrar su propia firma en mensajes como “H4CK3D by IDC-TEAM” y “AHAAD WAS HERE”. Sólo una vez, un sistema de los Estados Unidos recibió un ataque DDoS que duró dos días y fue realizado por los hackers de la Syrian Electronic Army.

Pero, aunque los atacantes que se involucraron en este experimento no realizaron ataques peligrosos, los sistemas de las gasolineras tienen vulnerabilidades que permiten tomar el control de los tanques de tal forma que podrían causar desastres físicos, poniendo en riesgo la vida de la gente y la infraestructura que los rodea.

Por ejemplo, los atacantes podrían falsificar los niveles de gasolina para que parezca que los tanques están vacíos, lo que podría dejar inoperantes gasolineras que están en condiciones de ofrecer sus servicios a la comunidad. Los hackers también podrían cambiar los nombres de los tipos de combustible para confundir a los usuarios y hacer que, por ejemplo, llenen sus tanques de diésel en vez de gasolina sin plomo.

O podrían compartir información falsa sobre sobrecalentamientos y sobrecargas, lo que podría causar fugas peligrosas como la que en 2009 causó una explosión en Puerto Rico después de una falla en el sistema de monitorización.

Wilhoit y Hilt presentaron los resultados de su investigación en la conferencia DefCon, y compartieron el informe completo aquí.


Saludos.
Lexer Pars.

lunes, 31 de agosto de 2015

Investigadores logran desenmascarar a los usuarios de Tor

Un grupo de investigadores de seguridad ha hallado la forma de vulnerar la seguridad de la red Tor, el sistema más popular para mantener el anonimato en la red, en un ataque que permite identificar a sus usuarios.

Investigaciones realizadas por el Instituto Tecnológico de Massachusetts (MIT) y el Instituto de Investigaciones Informáticas de Qatar (QCRI) revelaron la vulnerabilidad, que expone las identidades y ubicaciones de los usuarios que intentan ocultar sus actividades usando la red Tor.

Los expertos publicarán sus descubrimientos en el Simposio de seguridad Usenix, donde harán una demostración sobre cómo un usuario externo puede detectar la ubicación de un servidor escondido o la fuente de información que recibe un usuario de Tor al analizar los patrones del tráfico de los datos cifrados que pasan a través de un solo ordenador en la red cooperativa Tor.

Existen opiniones muy divididas sobre el apoyo que se le debe brindar a esta red para mantener su seguridad: por un lado, hay quienes creen que la red Tor facilita el cibercrimen, ya que los hackers y delincuentes virtuales suelen utilizarla para ocultar sus actividades maliciosas. Pero, por otro, hay quienes tratan de proteger la red Tor porque la consideran una herramienta clave para mantener la privacidad y, por ende, la seguridad de activistas y periodistas en regiones con un alto nivel de vigilancia y censura virtual.

Los investigadores del MIT y QCRI han tomado la segunda postura y desarrollaron una solución para el problema y están viendo la posibilidad de incluirla en las próximas versiones de Tor para que los usuarios puedan seguir operando en la red de forma anónima.

“Hoy en día, el anonimato es una parte muy importante de la libertad de expresión”, opinó Albert Kwon, estudiante de Ingeniería Eléctrica y Ciencias Informáticas del MIT y uno de los autores de la investigación. “El Grupo de Trabajo de Ingeniería de Internet (IETF) está tratando de desarrollar un estándar para Internet y, como parte de su definición de libertad de expresión, incluyen el anonimato. Si mantienes tu anonimato, puedes decir lo que quieras sobre un gobierno autoritario sin miedo a que te persigan”.


Saludos.
Lexer Pars.

domingo, 30 de agosto de 2015

Impact Team compromete a los ejecutivos de Ashley Madison con una segunda filtración

Los hackers de Impact Team, responsables de las intrusiones y filtraciones de información de los usuarios del sitio para cometer adulterio Ashley Madison han publicado una segunda base de datos con información robada. Pero esta vez, los afectados no son los miembros del sitio, sino los ejecutivos que lo manejan, ya que se han expuesto los correos electrónicos que intercambiaban entre sí y con agentes externos.

Se cree que los atacantes realizaron la segunda filtración como respuesta a las declaraciones de Ashley Madison que ponían en duda la veracidad de la información de los usuarios que había filtrado el grupo. Impact Team puso en circulación una base de datos de 20 GB llena de correos electrónicos, el código fuente del sitio web y sus aplicaciones, acompañada de un mensaje a Noel Biderman, Director Ejecutivo de Avid Media, que decía: “¡Hola, Noel! Ya puedes admitir que los datos son reales”.

Las filtraciones han tenido grandes repercusiones. Los criminales virtuales no tardaron en aparecer con iniciativas para sacar provecho de la situación. Un servidor de correos electrónicos ya ha comenzado a alertar sobre mensajes spam que se están distribuyendo al azar entre sus usuarios para hacerles creer que su información de Ashley Madison ha sido filtrada y convencerlos de que paguen un rescate en bitcoins para mantenerla oculta.

Pero la filtración de datos también está afectando a los miembros del sitio web en un ámbito más oficial: el secretario de defensa de los Estados Unidos ha anunciado que comenzará a buscar a los dueños de algunas de las cuentas que se abrieron utilizando dominios militares “.mil”. Para los militares, el adulterio es una ofensa que merece penalización, por lo que estos usuarios podrían recibir castigos que exceden los del ámbito privado.

Las filtraciones han resultado ser un duro golpe para Avid Life Media y los sitios web que administra. Además de tener que lidiar con los daños a su reputación, ahora debe defenderse contra una demanda en su contra que están presentando los usuarios afectados por haber fallado en su responsabilidad de proteger su información privada.


Saludos.
Lexer Pars.

sábado, 29 de agosto de 2015

Hackers atacan un refrigerador inteligente para robar credenciales de Gmail

Un equipo de hackers ha descubierto un método que permite explotar las vulnerabilidades de un refrigerador inteligente para conseguir las credenciales de acceso a la cuenta de Gmail vinculada con el dispositivo.

El descubrimiento se realizó en el marco de una competición de hacking de Internet de las Cosas organizada en la conferencia DefCon de este año. Un grupo de hackers que representaba a Pen Test Partners realizó la hazaña explotando las conexiones con Google calendar de un refrigerador Samsung modelo RF28HMELBSR. “El refrigerador se conecta a Internet y muestra información del calendario de Gmail en su pantalla”, explicó Ken Munro, investigador de seguridad de Pen Test Partners.

Esto le permite al electrodoméstico mostrar información actualizada sobre las actividades del usuario. “Funciona de forma parecida a cualquier otro dispositivo sincronizado con el calendario de Gmail. El usuario/dueño del calendario realiza actualizaciones a su agenda y esos cambios aparecen en todos los dispositivos que permiten ver el calendario”.

Pero los hackers aprovecharon esta sincronización con las cuentas de Gmail para tratar de conseguir información personal adicional de los usuarios desde el refrigerador. Es así como descubrieron que, si bien las comunicaciones del aparato tienen implementado un cifrado SSL, no lo valida como es debido, lo que abre la posibilidad de realizar ataques intermediarios o “man-in-the-middle”.

“A pesar del cifrado SSL, el refrigerador tiene problemas validando el certificado. Por lo tanto, los hackers que logran acceder a la red en la que se encuentra el refrigerador (por ejemplo, a través de un ataque de des-autentificación y de puntos de acceso falso de Wi-Fi) pueden realizar un ataque intermediario entre el refrigerador y el cliente del calendario para robar las credenciales de acceso a Google de, por ejemplo, sus vecinos”.

Pen Test Partners ha publicado un artículo en inglés en el que detalla el proceso por el que tuvo que pasar hasta encontrar la forma de explotar la vulnerabilidad del refrigerador.

Samsung ha publicado declaraciones diciendo que está al tanto de la situación y está buscando soluciones. “En Samsung, comprendemos que nuestro éxito depende de la confianza de nuestros clientes hacia nosotros y los productos y servicios que ofrecemos. Estamos investigando este asunto lo más rápido posible. La protección de la privacidad de nuestros consumidores es nuestra prioridad, y trabajamos cada día para salvaguardar a nuestros valiosos usuarios de Samsung”.


Saludos.
Lexer Pars.

viernes, 28 de agosto de 2015

Espían a funcionarios del gobierno de Guatemala (II de IV)

Desde que CICIG y MP presentaron evidencias contra funcionarios del Gobierno en el caso de defraudación aduanera, los ciudadanos han despertado y algo que llama mucho la atención es como las redes sociales han sido uno de los puntos fuertes para que las personas se organicen y desde luego la información pueda ser mucho mas accesible. Cosa que tiempos atrás quedabas tras las noticias en periódicos y televisores, donde la información tenia un flujo mucho mas lento.      

El espionaje que sea realizado ha conllevado un conjunto de técnicas de hacking e informática forense para recopilar la evidencia, sometiendo esta a una cadena de custodia, y analizando para presentarla ante los tribunales competentes. 

No mucha información técnica que indique exactamente que medios informáticos fueron afectados, que permitan dar un enfoque preciso de los ataques realizados, sin embargo, te daré una idea de cuales pudieron haber sido las técnicas utilizadas, a lo largo de las publicaciones.

  • Escuchas telefónicas: Estas pueden lograrse utilizando diversas técnicas, dependiendo del dispositivo a atacar. Un teléfono inteligente, se pueden interceptar llamadas utilizando antenas falsas de telefonía, también utilizando un malware en el dispositivo permite capturar las llamadas telefónicas, otro dispositivo puede ser una planta telefónica con VOIP, en la cual puede interceptarse capturando el trafico de la red, otro caso es un teléfono residencial en el cual se puede utilizar un micrófono espía para capturar las llamadas.  
  • Correos electrónicos: La captura de esta información puede realizarse utilizando diversas técnicas como el phishing, ingeniería social, malware con el fin de robar las credenciales.
  • Otro tema importante es la recopilación de evidencias y como utilizar la informática forense para obtener la información. recuperar y determinar si ha sido alterada en algún momento.     

Saludos.
Lexer Pars.





Espían a funcionarios del gobierno de Guatemala (IV de IV)

miércoles, 26 de agosto de 2015

Espían a funcionarios del gobierno de Guatemala (I de IV)

Desde el pasado mes de Abril, han salido a luz las investigaciones que CICIG (Comisión Internacional Contra la Impunidad en Guatemala)  y el MP han realizado desde Mayo de 2014, dicha investigación tomo forma trascurridos 8 meses desde su inicio, para la cual se han interceptado mas de 66,000 llamadas telefónicas y 6000 correos electrónicos.  

Escucha telefónica 1  que involucra al Presidente Otto Perez Molina a la Linea. 

Escucha telefónica 2  que involucra al Presidente Otto Perez Molina a la Linea. 

Escucha telefónica 3  que involucra a la Ex-vicepresidenta Roxana Baldetti  a la Linea. 


Toda esta investigación dejo al descubierto una estructura criminal denominada la linea, la cual se dedicaban al contrabando en aduanas de este país. La estructura fue evolucionando en el transcurso dela investigación.

Imagen 1: Etapa 1 de la estructura la linea.


Imagen 2: Etapa 2 de la estructura la linea.

Imagen 3: Etapa 3 de la estructura la linea.

Imagen 4: Etapa 4 de la estructura la linea.

Saludos.
Lexer Pars.

  

domingo, 7 de junio de 2015

Sentencian al dueño de Silk Road a pasar el resto de su vida en prisión

Ross Ulbricht, fundador del mercado negro virtual Silk Road, ha sido sentenciado a dos cadenas perpetuas consecutivas sin posibilidad de libertad condicional por haber creado y dirigido uno de los mayores sitios web de intercambio de servicios criminales del mundo.

El estadounidense de 31 años enfrentaba cinco cargos, dos de los cuales podían resultar en cadenas perpetuas. La sentencia mínima para los crímenes de Ulbricht era de 20 años en prisión, pero los fiscales no la consideraban suficiente y lucharon por aumentarla.

Se acusa a Ulbricht de haber creado un “imperio de las drogas” en Internet. Su sitio servía para intercambiar todo tipo de servicios ilegales, desde narcóticos hasta sicarios. Es más, el propio Ulbricht todavía tiene un juicio pendiente en Maryland porque se lo acusa de haber contratado sicarios mediante el sitio web para matar a seis personas que trataron de extorsionarlo.

“No se equivoquen: Ulbricht era un traficante de drogas y criminal que explotó las adicciones de la gente para contribuir a la muerte de al menos seis jóvenes”, dijo el abogado de la fiscalía Preet Bharara. “Ulbricht pasó de esconder su identidad cibercriminal a ser la cara del cibercrimen y, como la sentencia de hoy demuestra, nadie está por encima de la ley”.

Los usuarios y administradores del sitio se mantenían protegidos por la red de anonimato Tor hasta que el FBI logró detectar la ubicación de su servidor y develar la identidad de su administrador con métodos controvertidos, hecho que la defensa trató de usar a su favor para disminuir la sentencia.

Ulbricht había entregado al juez una carta poco antes de que dictara su sentencia, implorándole que no lo obliguase a pasar el resto de su vida en prisión. “Como yo lo veo, la cadena perpetua es más cercana a la de muerte que a una sentencia por un tiempo definido. Ambas te condenan a morir en prisión, sólo que una cadena perpetua toma más tiempo”, escribió Ulbricht. “Tuve mi juventud y sé que deben quitarme mis años adultos pero, por favor, déjenme tener mi vejez”.

“Por favor, déjenme una pequeña luz al final del túnel, una excusa para mantener mi salud, para soñar con mejores días y una oportunidad de redimirme en el mundo libre antes de conocer a mi creador”, pidió al juez.

Pero a pesar de esto, el juez sentenció a Ulbricht a servir cinco sentencias consecutivas: una de 20 años, otra de 15 y dos cadenas perpetuas. El acusado deberá servir todas las sentencias de forma consecutiva y sin la opción de libertad condicional.

La sentencia es todavía mayor a la que pidió la fiscalía. La juez Katherine Forrest describió a Ulbricht como “una persona complicada” que no encajaba en el típico perfil criminal. Aun así, dijo que “no es mejor que ningún otro traficante de drogas”.

La juez dijo que Silk Road “fue un proyecto organizado de toda su vida”. “Querías que sea tu legado. Y lo es”, dijo la juez Forrest al dictar.
Fuente
Lexer Pars.

sábado, 6 de junio de 2015

Te regalo mi curriculum y mi contraseña

Hoy en día encontrar vacantes en empresas para un puesto o encontrar al candidatos para desempeñar un puesto en la empresa se ha tornado mas sencillo que en otros tiempo, cuando no existía el flujo de información y acceso a la información.   

Pero al momento de buscar una vacante o buscar un candidato, toma en cuenta algunos consejos básicos, a no ser que quieras regalarle tu curriculum o contraseña ha algún delincuente.

Si eres de los que están buscando un empleo por sitios de bolsa de empleo, asegúrate de que el sitio cumpla con estándares de seguridad o al menos se haya realizado con un proceso de seguridad y tengas la certeza de que tu información estará protegida.  

Imagen 1: Bolsa de trabajo con inyección SQL.

Ya que si el sitio web no es seguro, cualquier persona tendrá acceso a tu información, teléfono, correo electrónico, tu dirección, estudios, tu numero de identificación persona, entre otros, toma en cuenta que para un ingeniero social, esto es un verdadero manjar, pues se presta para elaborar diversos tipos de vectores de ataques, también pueden utilizar dicha información para extorsionarte, un delincuente sin escrúpulos y con esta información, puede ser una verdadera pesadilla.

Pero bueno acá no termina, siempre siempre, asegúrate de usar contraseñas diferentes, pues muchas veces se utiliza la misma contraseña para todas las cuentas y servicios, y esto exponen en gran manera toda tu información y la información de la empresa si eres un reclutador, y te aseguro que lo he visto en muchas ocasiones, si tienes fortificado tu correo, esta muy bien, pero puede dar inicios para un atacante de como acceder a mas servicios o cuentas que no tengas fortificadas.

Ten mucho en cuenta, si vas a buscar empleo, buscar una empresa conocida, pues muchas veces, los delincuentes inventan empresas fantasmas o roban la identidad de alguna, para obtener información, que sera utilizada o vendida posteriormente. Si es una empresa poco conocida, busca la dirección e indaga mas, pues no vaya ser que sea una empresa fantasma o en el peor de los casos alguien que quiera dañarte y haga que llegues a una dirección donde estaría dicha empresa. Si es una empresa conocida, comunícate a un numero publico de esta, para corroborar que sea dicha empresa y no sea un robo de identidad.          

Saludos.
Lexer Pars.

viernes, 5 de junio de 2015

No publiques documentos de identificación perdidos por otra persona

El documento de identificación es muy importante para realizar muchos tramites y el no llevarlo contigo puede ocasionarte problemas con las autoridades o de otro índole, pero muchas veces por darle poca importancia llegamos a perder el documento. Y cabe destacar que si esto te ocurre, acudas con las autoridades a denunciar este hecho, pues puede que alguien cometa algún crimen y trate de incriminarte o bien robarte tu identidad y sacar dinero, prestamos, y cualquier actividad delictuosa.

El hecho es que hay personas honestas que desean ayudar al prójimo, y cuando encuentran documentos perdidos, publican estos en redes sociales, y dejan expuesta la información, siendo esta rápidamente aprovechada por un delincuente.

       Imagen 1: DPI perdido publicado en facebook.

Este documento puede abrir muchas puertas a un delincuente, desde registrar dominios maliciosos o dedicados al carding o banking, solicitar créditos en nombre de la persona, realizar diversos fraudes por internet. Si te sucede que encuentras un documento de alguien lo mejor es publicar algunos detalles como nombre y ubicación de la persona, pero evitando publicar el documento como tal o bien entregando el documento con la institución emisora del documento.

Imagen 2: Publicación de detalles de documentos sin el documento como tal.

Saludos.
Lexer Pars. 

jueves, 4 de junio de 2015

Facebook introduce el cifrado PGP en sus correos electrónicos

Facebook ha adoptado nuevas medidas de seguridad que permiten a sus clientes cifrar los mensajes que reciben de la red social para proteger su información privada de la amenaza de ciberespías.

La compañía anunció que la nueva medida ofrece la opción de activar el cifrado OpenPGP para los perfiles de Facebook y todos los correos electrónicos que se envíen a sus usuarios desde la red social, incluyendo los que solicitan cambios de contraseñas.

“Hoy comenzamos el lanzamiento gradual de una nueva característica experimental que permite que la gente agregue llaves OpenPGP públicas a su perfil; estas llaves pueden usarse para cifrar las notificaciones que Facebook envía a tu cuenta de correos preferida. Los usuarios también pueden compartir las llaves OpenPGP de su perfil, con o sin haber activado las notificaciones cifradas”.

El estándar de cifrado PGP es uno de los más seguros de la actualidad, a pesar de tener 20 años de antigüedad. Los documentos publicados por Edward Snowden demostraron que es uno de los pocos estándares de cifrado que el gobierno no puede romper.

Esta forma de cifrado funciona con dos llaves: una pública y una privada. La pública se puede compartir con otros usuarios y se usa para cifrar los mensajes. La llave privada sólo la conoce el destinatario, y sirve para descifrar los mensajes cifrados con la llave pública.

“Para nosotros es muy importante que aquellos que usan Facebook se sientan seguros y confíen en la seguridad de su conexión con Facebook; es por eso que, por ejemplo, las conexiones a nuestro sitio se realizan mediante HTTPS con HSTS y por eso ofrecemos un sitio onion Tor para quienes quieran disfrutar garantías de seguridad más allá de las de HTTPS”.

A pesar de que esta iniciativa es un gran avance en la seguridad de la red social, uno de sus principales problemas es la dificultad del uso de PGP para los usuarios sin conocimientos técnicos, que puede desmotivar su uso. Para tratar de abordar esta debilidad, Facebook dirige a los interesados a la introducción a PGP de la Electronic Frontier Foundation, con la esperanza de informar a sus clientes sobre las cuestiones más básicas de esta modalidad de cifrado.
Saludos.
Lexer Pars.

lunes, 23 de marzo de 2015

Moderador del foro de Silk Road admite haber participado en los delitos del sitio criminal

Uno de los moderadores del mercado negro virtual Silk Road se ha declarado culpable de todos los cargos que se formularon en su contra, que incluyen lavado de dinero, tráfico de drogas y delitos informáticos, lo que lo pone en riesgo de pasar el resto de su vida en prisión debido a la magnitud de sus crímenes.

El australiano Peter Nasch, de 42 años, trabajaba como auxiliar de adultos con discapacidades hasta que abandonó este empleo para unirse al equipo de moderadores del sitio de tráfico de servicios ilegales Silk Road, motivado por el fácil acceso a drogas que el sitio le ofrecía y con la intención de “establecer contactos sociales”.

Nasch estuvo empleado en el sitio web de Ross Ulbricht por 10 meses, de enero a diciembre de 2013, cuando las autoridades cerraron el sitio. Desde allí, operaba con sobrenombres como "Samesamebutdifferent", "Batman73", "Symmetry" y "Anonymousasshit". Por este tiempo de trabajo, recibió un pago total de 30.000 dólares, que usó para comprar drogas. “Los moderadores del foro eran responsables de, entre otras cosas, controlar la actividad de los foros de discusión relacionados con el sitio, guiar a los usuarios del foro para realizar negocios en Silk Road e informar sobre cualquier problema a los administradores del sitio y Ulbricht”, decían los documentos del juicio.

Nasch dijo que no conocía la identidad del administrador del Silk Road, Ross Ulbricht, que operaba bajo el pseudónimo “Dread Pirate Roberts” y que en febrero fue hallado culpable de haber creado y administrado el sitio web que servía como plataforma para que todo tipo de criminales de alto nivel, incluyendo traficantes de drogas y sicarios, condujeran sus negocios.

El sitio web mantenía el anonimato de sus administradores y usuarios gracias a la red Tor y a que realizaban las transacciones de dinero con bitcoins, la moneda virtual que les ayudaba a mantener en secreto su identidad y ubicación. Después de una intensa investigación que generó discusiones por sus métodos controvertidos, el FBI logró descubrir la ubicación real del servidor de Silk Road y procedió a identificar a los participantes, arrestarlos y cerrar el sitio web.

“Me arrepiento profundamente de mi conducta y de los daños que puede haber causado”, dijo Nasch al momento de presentar su admisión. El acusado no había hecho ningún trato con la fiscalía para declararse culpable, por lo que enfre

Saludos.
Lexer Pars.

sábado, 21 de febrero de 2015

Google construye listas blancas para reforzar VirusTotal

Google está pidiendo ayuda a compañías de informática y seguridad virtual para crear una base de datos de sitios seguros que complemente los servicios de su herramienta VirusTotal, en lo que podría convertirse la más grande lista blanca que se haya creado hasta el momento.

VirusTotal, un producto adquirido por Google en 2012, es un escáner de contenido sospechoso en sitios web y ficheros que tiene la particularidad de que ofrece los resultados de varios productos antivirus a la vez, lo que permite al usuario comparar las opiniones de las diferentes soluciones de seguridad ante la misma amenaza.

“Hoy en día, los vendedores de antivirus deben ser más proactivos, lo que implica desarrollar firmas genéricas y alertas heurísticas que muchas veces causan detecciones falsas al tratar de armar una base de datos más segura”, explicó Emiliano Martínez, ingeniero informático de VirusTotal. El proyecto Trusted Source tiene el propósito de reducir los falsos positivos y mostrar resultados más confiables a los usuarios.

Este proyecto, que será un complemento de VirusTotal, se está llevando a cabo con la ayuda de empresas de seguridad que están aportando con sus listas blancas para ampliar la base de datos del sitio. “La meta en esta primera etapa es que los desarrolladores de programas más grandes compartan los ficheros de su catálogo de programas”, explicó Martínez.

La primera gran compañía en responder fue Microsoft, que en sólo una semana ayudó a corregir más de 6.000 falsos positivos. La base de datos se sigue construyendo con prioridad a las compañías más grandes y reconocidas y una exclusión obvia y explícita a los desarrolladores de programas publicitarios y maliciosos.

Saludos.
Lexer Pars.

domingo, 4 de enero de 2015

Anonymous filtra 30 millones de contraseñas de servicios web como Amazon y PSN

Piratas virtuales afiliados al grupo Anonymous han publicado una base de datos de 30.000 contraseñas y credenciales de acceso a sitios web y servicios en Internet como parte de una operación de diversión navideña.

La cuenta "Anonymous Globo" en Twitter anunció la magnitud de las filtraciones y dijo que "lo habían hecho por los 'lulz'", es decir, por pura diversión. El grupo LulzSec anunció las filtraciones desde su cuenta de Twitter navideña "LulzXmas" y enumeró a las víctimas de los ataques: Amazon, Hulu Plus, VPNCyberGhost, UbiSoft, VCC, Brazzers, UFC TV, PSN, (EA) Games, XBL Gamers, Twitch TV, Dell y Walmart.

Los atacantes publicaron las credenciales de acceso necesarias para acceder a esas cuentas y, por si esto fuera poco, también filtraron algunos números de tarjetas de crédito de usuarios de estas compañías, acompañados de sus códigos de seguridad y fechas de expiración.

No se sabe cómo consiguieron la información ni se ha confirmado si son datos actuales u obsoletos. Aun así, los expertos aconsejan a todos los usuarios de estas cuentas que cambien sus contraseñas, eviten repetirlas en otros servicios web y estén atentos a su movimiento de cuentas para detectar fraudes bancarios.

Los hackers no se limitaron a atacar a los clientes de las compañías; también actuaron en contra de los hackers del grupo Guardians of Peace, que atacaron las redes de Sony Pictures y la convencieron de cancelar el lanzamiento de la película "Una loca entrevista" en cines a cambio de mantener en secreto la información privada de la compañía. En respuesta a ello, los hackers de Anonymous compartieron enlaces a sitios donde se podía conseguir la conflictiva película.

Saludos.
Lexer Pars.

jueves, 1 de enero de 2015

Iniciando el 2015

Espero que ya estés lleno de energías para empezar este 2015 y que te hayas fijado tus metas para iniciar con buen pie. Yo por mi parte ya tengo fijado todo y tengo al máximo las energías para empezar de lleno con las metas que me he impuesto.

Quiero dejarte un resumen de las amenazas del 2014 en cuanto a malware, espero lo disfrutes que esta muy interesante.



Cifras del año

  • Según los datos de KSN, en 2014 los productos de Kaspersky Lab bloquearon 6 167 233 068 ataques maliciosos en los equipos y dispositivos móviles de los usuarios.
  • Se han bloqueado 3 693 936 intentos de infectar equipos Mac OS X.
  • Se han neutralizado 1 363 549 ataques contra dispositivos Android.
  • Las soluciones de Kaspersky Lab han neutralizado 1 432 660 467 ataques lanzados desde recursos de Internet ubicados en diferentes países del mundo.
  • Para lanzar ataques mediante Internet los delincuentes usaron 9 766 119 hosts únicos.
  • El 44% de los ataques bloqueados por nuestros productos se lanzó desde recursos web ubicados en EE.UU. y Alemania.
  • Durante el año, 38,3% de los ordenadores conectados a Internet ha sufrido por lo menos un ataque web.
  • En 1 910 520 equipos de los usuarios se neutralizaron intentos de ejecutar software bancario.
  • Nuestro antivirus web detectó 123 054 503 objetos maliciosos únicos (scripts, exploits, ficheros ejecutables, etc.).
  • En los equipos de los usuarios nuestro antivirus de ficheros detectó 1 849 949 programas maliciosos y potencialmente indeseables.


Amenazas para dispositivos móviles

Durante el periodo de la estadística se descubrieron:

  • 4 643 582 paquetes de instalación maliciosos
  • 295 539 nuevos programas maliciosos para dispositivos móviles
  • 12 100 nuevos troyanos bancarios móviles.

Desde noviembre de 2013 a finales de octubre de 2014 Kaspersky Lab neutralizó 1 363 549 ataques únicos. En el periodo similar de 2012-2013 neutralizó 335 000 ataques únicos. De esta manera, el número de ataques contra dispositivos Android se ha cuadruplicado.

A lo largo del año, el 19% de los usuarios de Android se topó por lo menos una vez con amenazas para dispositivos móviles, prácticamente uno de cada cinco.

En el 53% de los Android-ataques se usaron troyanos móviles destinados al robo de dinero (troyanos SMS y troyanos bancarios).

Geografía de las amenazas móviles

Se han detectado ataques de software móvil malicioso en más de 200 países del mundo. 

Saludos.
Lexer Pars.