Autoraandradex

Inicio/Artículos Publicados por aandradex (Page 2)

Infección de Cajeros ATM con Malware para robar dinero

En el blog de Brian Krebs se hace eco de la noticia de un nuevo ataque que tiene como objetivo los ATM. Las dos personas que hicieron el ataque eran de origen Ucraniano y llegaron a robar hasta 100000 dólares de hasta 7 cajeros automáticos.

Esta es la imagen del equipo incautado:

macau arrests Nuevo ataque a cajeros automáticos II

Equipo incautado

En este nuevo ataque los criminales utilizaron un dispositivo que se conecta a un  ordenador portátil, y se introduce luego en el cajero, en el sitio donde se colocarían las tarjetas. Con este conjunto de herramientas, los hombres fueron capaces de instalar malware capaz de desviar los datos y PIN de tarjetas de los clientes. El dispositivo parece ser una placa de circuito verde rígido que es de aproximadamente cuatro o cinco veces la longitud de una tarjeta de cajero automático.

Esta imagen os resultará muy familiar:

terminator Nuevo ataque a cajeros automáticos II

Si pienso en el ataque me recuerda a esta escena de la película Terminator.

Cuando se introduce la placa  en el cajero automático, el cajero se bloquea y deja una pantalla en negro. Después de retirar el dispositivo, el cajero se reiniciará y el cajero empezará a registrar y grabar todas las tarjetas que se introduzcan en e cajero.

Si os acordáis de la imagen de antes, en la que se mostraba en material incautado, si lo vemos un poco mas de cerca…

macao skimmers Nuevo ataque a cajeros automáticos II

Tarjeta física

Esa lamina verde es lo que se introducía en el cajero para instalar el malware.

Quizás, os podáis preguntar como los malos consiguen atacar los cajeros, saber como funcionan. Aquí tenemos un ejemplo:

atm 300x122 Nuevo ataque a cajeros automáticos II

Los malos son capaces de comprar un ATM por Ebay,por lo que se pueden encargar de saber como funcionan ciertos modelos. Esto y vías de investigación les ayudan a conseguir fallos para luego poder explotarlos.

Visto en: www.dragonjar.org

Ya tiene fecha el Curso de Linux Foundation – Agosto 2014

Tal como habíamos comentado en un Post anterior, la organización Linux Foundation esta entregando de forma gratuita una certificación sobre Linux y la misma estaba abierta sin límite de inscritos pero no teníamos la fecha fija del curso.

Recién la anterior semana me llegó ya la invitación formal del curso junto con la fecha, algunas novedades y un interesante video de invitación al curso hecha por el mismo Linux Torvals.

Primero. La fecha de inicio del curso es el 1 de Agosto del 2014. Así que espero que ya estén inscritos, no importa si ya eres master en Linux, siempre se aprende algo y además un certificado más no molesta en la pared.

Segundo. Les dejo el video de introducción al curso por Linus Torvals.

Continuar leyendo

XSS Game, reclútate en el juego de Google

Te gustaría aprender sobre las vulnerabilidades Cross Site Scripting (XSS) ?

O te gustaría medir tus conocimientos sobre esta vulnerabilidad?

Si respondiste afirmativamente a alguna de estas respuestas, de seguro te interesará participar como recluta en el XSS Game que saco recientemente el equipo de Google.

Puedes acceder desde aquí: https://xss-game.appspot.com/

De momento solo cuenta con 6 niveles los cuales están muy buenos y si tienes buen nivel de observación te darás cuenta que te dejan algunas pistas en cada nivel como “Persistence is key” donde el ataque que hay que utilizar es un XSS persistente.

Espero que aprendan y se diviertan con este game de Google. Les dejo algunos links utilies.

Que es y como funciona XSS

XSS Atacks

Saludos.

Continuar leyendo

Finaliza el Diplomado Experto en Delitos Informáticos e Informática Forense v2

Recién después de dos semanas saco algo de tiempo para escribir esta entrada.

Terminó el Diplomado de “Experto en Delitos Informáticos e Informática Forense” en su segunda versión en la Universidad Latina de Panamá, del cual expongo mis experiencias a continuación:

En cuanto a los cursantes, tengo que decir que tuve el agrado de conocer a un excelente grupo de profesionales bastante diverso la verdad. El grupo de 25 profesionales, estuvo compuesto por abogados e ingenieros de sistemas en la mayoría por lo que pude abarcar temas más técnicos sin mayor conflicto con la parte judicial y también ahondamos en temas jurídicos durante la participación de nuestro invitado de Lujo el Dr. Alexander Días García que llego de Colombia para la tercer semana del diplomado.

Alexander dictó sus clases todo entusiasta y efusivo como lo conozco, dejando grandes expectativas en los cursantes y despertando muchas inquietudes por temas relacionados a la protección de datos personales, privacidad de la información, el bien jurídico tutelado y los mismo delitos informáticos.

No puedo dejar de mencionar que el grupo de cursantes fue un grupo bastante dinámico y participativo, los abogados del grupo se integraron excelentemente con los ingenieros en las prácticas, laboratorios y en todas las clases, de donde se crearon muy buenas relaciones de amistad y lazos profesionales entre los participantes.

Algo que me llamó la atención también fue la diversidad de empresas e instituciones que se interesaron y enviaron a su personal a nuestra certificación, a quienes agradezco tanto a la institución como al profesional que asistió por depositar su confianza en nuestro programa internacional de certificaciones y menciono a algunas de las que recuerdo:

  • Autoridad del Canal de Panamá
  • Ministerio de la Presidencia – SPI
  • Embajada Norteamericana
  • TELERED
  • BANESCO
  • Global Bank
  • Banco General
  • Grupo Sonitel
  • Sucre, Arias y Reyes
  • Networks
  • SSA Sistemas
  • Green Servers
  • Grupo Adams
  • Business IT Solution
  • PTY Technology
  • GV Tech Inc.

De mi parte lo mejor que pude hacer con este excelente grupo de profesionales fue entregarles la mayor cantidad de tiempo y atención en las clases y fuera de ellas, tratar de cubrir todas las dudas y preguntas realizadas, motivarlos e impulsarlos a incursionar en profundidad en estos temas tan apasionantes y dejarles bastante información práctica, mi conocimiento y predisposición para colaborarles dentro y fuera de clases.

Al final del curso decidimos realizar una cena de confraternización, la cual estuvo muy divertida y amena, nos reunimos en el restaurante Leños y Carbón de El Dorado donde pasé unos momentos muy alegres con todos los que pudieron asistir y bueno faltaron algunos que avisaron que por temas del trabajo o personales no podrían asistir pero también los recordamos en la cena y nos divertimos bastante.

Espero verlos a todos en la próxima reunión del grupo y les deseo el mejor de los éxitos para los que van a dar la prueba de certificación internacional para optar al certificado de Experto en Delitos Informáticos e Informática Forense.

Para los que no pudieron entrar en este grupo, les informo que el 23 de Junio damos inicio a la tercera versión.

Saludos.

Iniciamos la Certificación de Delitos Informáticos e Informática Forense

Anoche dimos inicio a la tan esperada Certificación de Delitos Informáticos e Informática Forense con un selecto grupo de 25 profesionales que conforman el alumnado, el cual se conforma por profesionales del área de sistemas o informática y también por abogados.

Lo interesante de este grupo que fue muy diverso, es que existen representantes de altas esferas del gobierno, una buena cantidad de bancos, los que vienen en representación de sus empresas y los independientes.

La clase se desarrolló de forma bastante dinámica con la participación de los asistentes, tocamos los temas y lineamientos básicos sobre los delitos informáticos y algunos aspectos introductorios a la informática forense.

De entrada pude ver que existe gente con muy buenos conocimientos técnicos, otros con experiencia en trabajos de informática forense y abogados litigantes quienes nos ayudarán a llevar los laboratorios.

A partir de la siguiente clase dividiremos el aula en grupos conformados por abogados e informáticos, donde cada grupo tendrá que analizar desde el punto de vista técnico y legal la evidencia de los casos sobre Delitos Informáticos que se platearán. La idea de este tipo de interacción es enfrentar las visiones informáticas contra las jurídicas para llegar a un consenso que pueda ser aceptado en un proceso judicial y tenga todo el fundamento técnico pericial suficiente para elevar evidencia digital y constituirla en prueba.

Nos vemos la próxima clase.