Categoría : Bases de Datos

Inicio/Archivo por Categoría Bases de Datos

La compañía Acer sufrió el robo de 34.500 números de tarjetas de crédito de sus usuarios

En los primeros años en los que se internet se estaba popularizando entre los usuarios y los sistemas de seguridad no eran tan fiables como los actuales, con navegar un poco por internet encontrabas un gran número de aplicaciones que nos permitían generar números de tarjetas de crédito, para poder así acceder a los servicios que requerían una suscripción de pago, modelo de suscripción que cayó por su propio peso aunque en los últimos años parece que está volviendo nuevamente a estar de moda, sobre todo en los medios de comunicación, donde los periódicos tradicionales están cambiado la forma de acceder a su información.

Personalmente nunca me atreví a intentar probar si funcionaban o no, y después de la película Juegos de Guerra nunca se sabía… A lo que voy es que las tarjetas de crédito están a la orden del día y es uno de los tesoros más preciados por todos los amigos de lo ajeno. La compañía Acer ha anunciado que ha sufrido un ataque informático en el que los hackers han conseguido acceder a la información más importante que la compañía tiene de sus clientes: las tarjetas de crédito. Pero para hacerlo realmente mal, la compañía almacenada en la misma base de datos el vencimiento y los dígitos de seguridad que se muestran en la parte trasera. Tengo entendido que esa información no la pueden almacenar las empresas, pero eso es otro tema.

Al parecer los datos sustraídos afectan a los usuarios de Estados Unidos, Canadá y Puerto Rico, usuarios que hayan realizado alguna operación de económica con la compañía entre el 12 de mayo de 2015 y el 28 de abril de 2016. El número total de afectados supera los 34.500 y la compañía se está poniendo en contacto personalmente con todos ellos para que anulen las tarjetas lo más pronto posible. De momento no se sabe nada acerca de este ataque, tan solo que la compañía ha informado casi dos meses tarde desde que sucedió el ataque, algo que no verán con buenos ojos los clientes de la compañía.

Fuenteactualidad gadget

¿Cómo logró el FBI desbloquear el iPhone del atacante de San Bernardino y de paso frustrar a Apple?

Tomó varias semanas, órdenes judiciales, contrademandas, pero finalmente el Buró Federal de Investigación de Estados Unidos (FBI, según sus siglas en inglés) logró penetrar el iPhone del atacante de San Bernardino.

“Hemos logrado acceder exitosamente a la información guardada en el iPhone de (Syed) Farook”, señaló el Departamento de Justicia de EE.UU. en la petición en la que pide terminar con el proceso legal que había iniciado contra Apple.

“Ya no requerimos la ayuda de Apple”, aseguró el escrito.

Así puso fin a la pelea de seis semanas desde que el FBI le pidiera a Apple desarrollar una “llave maestra” o “superclave” para acceder a la información contenida en el iPhone de Farook, quien junto a su mujer mató a 14 personas en un tiroteo en San Bernardino, California.

Apple se negó, argumentando que eso vulneraba la privacidad de sus usuarios, ya que una llave maestra puede utilizarse en cualquier dispositivo.

Pero la acción, lejos de finalizar el debate, le echó leña, haciendo surgir una serie de preguntas sobre las herramientas utilizadas y el futuro de la privacidad de los datos contenidos en dispositivos móviles.

¿Cómo accedió el FBI a la información?

iPhone

Hay varias teorías sobre cómo el FBI logró quebrantar la seguridad del iPhone.

Hasta el momento, no se saben los detalles técnicos. Y es poco probable que se sepan oficialmente. No hay nada que obligue al FBI a revelar su fórmula.

Lo que se sabe es que lo hizo a través de una “tercera parte”. Es decir, una compañía externa.

En lo que coinciden analistas y miembros de la industria es en que es prácticamente imposible que otra compañía haya podido proveer la llave maestra o “superclave” para vulnerar el sistema de seguridad iOS de Apple.

“Que hayan logrado desencriptar y encriptar (el sistema operativo) es posible pero lo menos probable”, le comenta a BBC Mundo David Gibson, vicepresidente de Estrategia y Desarrollo de Mercados de Varonis.

Lo más probable, según el experto, es que haya sido un “ataque de software”.

Esto a través de una empresa de desbloqueo de información, o lo que en la industria se denomina Análisis Forense de teléfonos celulares.

No es lo mismo que el común “desbloqueo” de un iPhone que puede realizar una empresa telefónica o un proveedor “pirata”. Ese desbloqueo lo que hace es volver el iPhone a su estado original, es decir, borrando toda la información existente.

Usuario

Los usuarios de iPhone se han mostrado contrarios a que se cree una “llave maestra” o “superclave” que le permita al FBI acceso a sus dispositivos.

Lo que hacen las empresas de Análisis Forense es “desbloquear” el aparato precisamente para recuperar la información contenida en él.

Según Jerónimo García, director de la consultora en servicios informáticos Sidertia Solutions, la manera más lógica sería es que hayan usado un “exploit” (herramienta de software diseñada para aprovecharse de una falla en un sistema informático) que explote una vulnerabilidad en el gestor de arranque de IOS, iBoot, encargado de cargar el modo de recuperación.

Así, “se podría tomar el control del mismo y por tanto poder evitar la limitación de la contraseña”, le asegura el director a BBC Mundo.

Otra posible forma de desbloquearlo sin perder la información es clonar una “imagen” del teléfono, es decir, una copia física del dispositivo para probar contraseñas incluso cuando se sobrepasa el límite de intentos.

“Obtienes una imagen lógica y vas rastreando con ella”.

Así, al bloquearse el teléfono luego de 10 intentos, se puede “continuar el ataque con alguna de las copias de la imagen”.

¿Quién desafió a Apple y ayudó al FBI?

El FBI no quiso identificar la “tercera parte” que logró acceder a la información y, según lo que le dijo su oficina central de Comunicaciones a BBC Mundo, tampoco lo hará.

Pero todos los ojos están puestos en Cellebrite, una compañía de origen israelí con oficinas en distintas partes del mundo, entre ellas EE.UU., luego de que el periódico israelí Yedioth Ahronoth revelara el miércoles pasado el supuesto vínculo.

Cellebrite le confirmó a la BBC que trabajan con el FBI, pero no quiso dar detalles.

Contrato

El 21 de marzo el FBI realizó un contrato de compra con Cellebrite por US$15.000 (Ver foto) por un “Software de información tecnológica”

Sin embargo, según los detalles este tendría relación con la “renovación del software UFED para siete máquinas” en Chicago.

BBC Mundo intentó obtener más detalles del contrato, sin embargo hasta el cierre de este artículo el FBI no contestó el requerimiento.

El mismo 21 de marzo el FBI aseguró que trabajaba con una“parte externa”, que había desarrollado una forma de quebrantar la seguridad del iPhone de San Bernardino.

¿Se abrió una caja de Pandora?

La pregunta hoy, aseguran los expertos, no es quién lo hizo, sino si esta es o no una solución definitiva que zanje salomónicamente conflictos como el que ocurrió entre Apple y el FBI, entre el derecho a la privacidad de los datos y la seguridad nacional.

FBI

Joel Bollo, director ejecutivo de una de las principales compañías de análisis forense de datos, el principal desafío ahora es crear una opción intermedia, que no sea una llave maestra, pero que permita a las autoridades en casos fundamentados acceder a la información.

“Hoy es Apple, pero podría ser cualquier otro”, le dice a BBC Mundo Joel Bollo, director ejecutivo de la compañía sueca de análisis forense de datos MSAB, una de las principales competidoras de Cellebrite.

“El principal tema ahora es cómo mantener nuestros teléfonos seguros, prevenir la vigilancia masiva y al mismo tiempo cumplir con los requerimientos necesarios para mantener el bien común”, explica Bollo, quien se autodenomina enemigo de la cibervigilancia masiva.

“Tenemos muchos clientes. El FBI es uno de ellos”, explica su director ejecutivo al ser consultado.

La empresa creó un sistema denominado Tecnología de Acceso a Control Forense (FACT, según sus siglas en inglés) que puede ser utilizado en futuros casos como el del iPhone de San Bernardino.

El sistema se vende como una tercera vía para los casos donde, como en San Bernardino, los organismos de inteligencia y seguridad nacional requieran acceso a la información sin tener que crear una “llave maestra” que vulnere la seguridad y la privacidad del resto de los usuarios.

El método utiliza pares distintos de claves para encriptar y desencriptar información. Es decir, además de contar físicamente con el dispositivo hay que tener dos pares de llaves -o claves-: uno generado por la agencia gubernamental que requiere la información y otra por la empresa que hace el dispositivo.

Farook y su esposa

El FBI argumenta que la información del iPhone de Farook es fundamental para rastrear sus vínculos.

La clave utilizada para cada caso específico que requiera la ley se puede configurar para un número finito (normalmente de 1 a 5) de usos, luego de los cuales queda inválida.

Además, sólo con ambos pares de claves se pueden extraer los datos desde el dispositivo móvil.

¿Se sabrá algún día cómo obtuvo el FBI la información?

Apple anunció que hará todo lo posible para que el FBI revele cómo logró acceder a la información.

Sin embargo, lo más probable es que no pase.

“Es difícil que el FBI haga pública la metodología”, explica García, ya que “es muy probable que la utilicen en futuros casos”.

Probablemente, tampoco revelará oficialmente el nombre de la compañía externa.

La ley en EE.UU. permite a las autoridades retener la fuente de información si se les suministra de forma confidencial, y proteger las metodologías de recolección de datos sensibles de inteligencia.

¿Cómo evitar que tu iPhone sea vigilado?

Lo primero que hay que tener claro es que no hay tecnología a prueba de fallos.

Steve Jobs

“Es poco realista pensar que un aparato que guarda información, ya sea un celular inteligente u otro, es infranqueable”, asegura David Gibson, de Varonis Systems. Ni siquiera los de Steve Jobs (en la foto).

“Es poco realista pensar que un aparato que guarda información, ya sea un celular inteligente u otro, es infranqueable”, asegura Gibson.

Sin embargo, que un tercero haya desarrollado una metodología que aproveche una debilidad “abrirá un debate nada agradable para Apple”, asegura García.

Una de las grandes ventajas que Apple explota en términos de marketing es la de la seguridad en privacidad de sus dispositivos.

“Si el FBI ha aprovechado algún fallo en el hardware del dispositivo, el problema para Apple es altamente complejo ya que obligaría al cambio de dispositivo, o a que los usuarios asumieran el riesgo”, comenta García.

“En el caso de que el fallo fuera lógico, si es identificado por Apple, tal y como en otras tantas ocasiones, una nueva versión de iOS solventaría el problema“.

Es lo que hace Apple cada vez que detecta una metodología para desafiar la seguridad de su sistema operativo.

Fuente: BBC

Te Esperamos en el CELAES 2015

Este 15 y 16 de Octubre, Ethical Hacking Consultores participará como Sponsor en el CELAES 2015, donde estaremos haciendo algunas demostraciones en vivo en materia de ciber ataques a canales alternos y cajeros ATM junto con las recomendaciones y soluciones de seguridad necesarias para protegerse de los mismos.

Te invitamos a que nos visites en el Stand No. 58, recojas tu souvenir y te diviertas con nosotros aprendiendo temas nuevos en Seguridad Informática aplicada a la Banca y Entidades Financieras.

A demás estaremos entregando información detallada de todos nuestros servicios, brochures, cartera de clientes con los que trabajamos actualmente, los proyectos innovadores que estamos desarrollando y algunos obsequios geeks.

Flyer CELAES - EHC (1)

 

No olvides recoger tu souvenier en nuestro Stand N° 58.

 

Si desees agendar una reunión con nosotros durante tu estadía en el CELAES 2015, puedes contactarnos a través de los siguientes medios:

www.ehacking.com.bo | info@ehacking.com.bo | T. +507 297-4019 | M. +507 6983-6454

Nos encontramos ubicados en el Edificio Tower Bank Financial Center, Piso 35, Ofc. 26, Calle 50, Ciudad de Panamá, Panamá.

TE ESPERAMOS.

Extorsionistas eligieron como objetivo a los usuarios de Ashley Madison

Personas que engañan a sus parejas siempre están abiertas a la extorsión por las partes implicadas. Pero cuando la información personal de millones de infieles son publicadas en Internet para que cualquier chantajista aproveche la oportunidad de descargar su información privada, como es el caso con el reciente hackeo por la página web de citas online AshleyMadison.com.

El email de un extorsionista para usuarios de AshleyMadison

Según las empresas de seguridad y una revisión de varios correos electrónicos compartidos con este autor, extorsionadores ven como una presa fácil la base de datos de los usuarios de AshleyMadison.

Rick Romero, el director  de tecnología informática de VF IT Services, Romero dijo que ha estado construyendo los filtros de spam para bloquear los intentos de extorsión salientes contra otros usuarios de su servicio de correo electrónico. Aquí se puede ver uno que bloqueó.

Hola,

Por desgracia, sus datos fueron filtrados en el reciente hackeo de Ashley Madison y ahora tengo su información.

Si usted quisiera que impedir que comparta esta información con su pareja, tiene que enviar exactamente 1.0000001 Bitcoins a la siguiente dirección (aproximadamente un Valor de $ 225 USD.):

1B8eH7HR87vbVbMzX4gk9nYyus3KnXs4Ez

Si no envías la cantidad exacta no sabré que eres tú quien pagó.

Tiene 7 días a partir de la recepción de este correo electrónico para enviar el BTC [bitcoins]. Si necesita ayuda para localizar un lugar para comprar BTC, puede empezar aquí…

El individuo que recibió este intento de extorsión (usuario de AshleyMadison) accedió a hablar sobre el ataque con la condición de que solo se usara su primer nombre (Mac), dijo que está “ligeramente preocupado” por los futuros ataques de extorsión, pero no por éste en particular.

“Si me pongo en los zapatos de los extorsionistas, la probabilidad de divulgación de información no va a aumentar sus posibilidades de conseguir el dinero, simplemente no voy a responder.” Dijo Mac.

Mac dice que está más preocupado por los ataques de extorsión dirigidos. Hace unos años, conoció a una mujer a través de AshleyMadison con la cual se conectó tanto física como emocionalmente, la cual está casada y tiene hijos. Mac es padre de varios hijos y ha estado casados ​por más de 10 años, Mac dijo que sus vidas estarían “muy perturbadas” si los extorsionadores cumplen con sus amenazas.

también indico que usó una tarjeta de prepago para pagar su suscripción en AshleyMadison.com, pero que la dirección de facturación de la tarjeta lo vincula a su domicilio.

“Así que ellos tienen mi dirección así como mi nombre y apellido, por lo que sería relativamente fácil para ellos obtener mis registros y averiguar quién soy”, dijo Mac. “Voy a aceptar las consecuencias si esto se revela, pero obviamente prefiero que eso no suceda porque mi esposa y yo estamos muy felices en nuestro matrimonio.”

Por desgracia, los intentos de extorsión como el que ocurrió contra Mac es probable que aumenten, dice Tom Kellerman, jefe de seguridad cibernética de Trend Micro.

Kellerman está convencido de que veremos delincuentes que aprovechan los datos de AshleyMadison para llevar a cabo ataques de spear-phishing dirigidos a la entrega de software malintencionados, como ransomware, un diferente tipo de amenaza de extorsión que bloquea los archivos más preciados de la víctima con una clave de codificación secreta, a menos que la víctima pague un rescate (también en Bitcoins).

“Pronto va a haber una dramática ola de crímenes de este tipo, de extorsiones virtuales, y van a evolucionar en las campañas de spear-phishing que contienen malwares encriptados”, dijo Kellerman. “Los mismos criminales que disfrutan la implementación de ransomware les encantaría usar estos datos.”

Los datos filtrados de AshleyMadison también podrían ser útil para extorsionar a personal militar estadounidense y potencialmente robar secretos del gobierno de Estados Unidos, temen algunos expertos. Unos 15.000 correos electrónicos con terminación en dot-mil (el dominio de nivel superior para los militares de Estados Unidos) fueron incluidos en la filtración de la base de datos de AshleyMadison, y esto tiene a los altos oficiales militares preocupados.

Según The Hill, el secretario de Defensa estadounidense Ash Carter dijo en su rueda de prensa el jueves que el Departamento de Defensa está investigando la fuga.

“Soy consciente de ello, por supuesto que es un problema, porque la conducta es muy importante”, dijo Carter a los periodistas durante la rueda de prensa, informó The Hill. La publicación señala que el adulterio en el ejército es una ofensa enjuiciable en virtud del artículo 134 del Código Uniforme de Justicia Militar. La pena máxima incluye baja deshonrosa, el decomiso de todos los salarios y prestaciones, y el confinamiento por un año, así mismo Carter dijo a los  periodistas que los miembros del servicio encontrados en la página web de adulterio Ashley Madison podrían enfrentar una acción disciplinaria.

Kellerman dijo que los ataques contra el personal militar que usa AshleyMadison bien puede dirigirse a los cónyuges de las personas cuya información se incluye en la base de datos – todo en un intento de perturbar y afectar al cónyuge como una manera de robar la información del verdadero objetivo (el marido o esposa del militar) .

“Algo debe estar ya sucediendo para la Secretaria de Defensa para tener que realizar una conferencia de prensa sobre eso”, dijo Kellerman. “En realidad, podemos ver campañas de spear-phishing contra los cónyuges de las personas que están involucradas en este ataque, que dicen: Oye, tu esposa o esposo estuvo involucrado en este sitio, ¿quieres ver la prueba de eso?

Y la prueba, en este escenario, sería una trampa que despliega un spyware o malware.

Mac, que no es un militar, dice que no se arrepiente de la relación que tenía a través de AshleyMadison; su único lamento es no es encontrar una manera de mantener su domicilio fuera de sus registros en el sitio.

“Me arrepiento de usar mi domicilio y algunos de mis datos personales que AshleyMadison no protegió como deberían haberlo hecho”, dijo. “Pero realmente, estoy triste porque estos hackers sienten que es tan importante forzar la mano de las personas que tienen una perspectiva diferente de la vida.”

Los datos AshleyMadison se filtraron en varios sitios, pero los datos en sí no son fácilmente investigables por personas que no están familiarizadas con archivos database. Sin embargo,  han aparecido varios sitios, que permiten que cualquiera pueda buscar con cualquier dirección de correo electrónico y averiguar si esa dirección tenía una cuenta en AshleyMadison.com. Es cierto, AshleyMadison.com no siempre verifica las direcciones de correo electrónico, pero algunos de estos servicios de búsqueda en AshleyMadison indicarían si la dirección de correo electrónico asociada también tiene un registro de pago en otros lugares – algo que podría ser muy útil para los extorsionadores.

Fuente: krebsonsecurity

Framework Open Source para el análisis de seguridad de Big Data

Ahora que estamos trabajando a fondo con el desarrollo de soluciones Big Data en la empresa, me encontré con una noticia interesante de CISCO en ingles que me tome el tiempo de traducirla y agregarle algunos detalles que me parecieron importantes la momento de hablar sobre Big Data. Creo que esta nueva herramienta (Framework) ayudará bastante en el desarrollo de soluciones Big Data bajo un esquema de full integración y seguridad.

Los atacantes técnicamente avanzados a menudo dejan atrás la evidencia basada en pistas sobre sus actividades, pero el descubrimiento de ellos por lo general involucra la filtración a través de montañas de logs y telemetría. La aplicación del análisis de Big Data a este problema se ha convertido en una necesidad.

Cisco acaba de sacar su propio OpenSOC Framework para el análisis de seguridad de Big Data.

El Framework OpenSOC ayuda a las organizaciones para hacer a Big Data parte de su estrategia técnica de seguridad, proporcionando una plataforma para la aplicación de detección de incidentes y análisis forense de anomalías sobre el problema de pérdida de datos y otros asuntos.

opensoc

OpenSOC integra elementos del ecosistema Hadoop como Storm, Kafka y Elasticsearch, ofreciendo las siguientes capacidades:

– Indexación completa de captura de paquetes
– Almacenamiento
– Enriquecimiento de datos
– Procesamiento de streaming
– Procesamiento por lotes
– Búsqueda en tiempo real
– Agregación de telemetría.

El hecho de que todos estos datos se proporcionan a través de una plataforma centralizada permite a los analistas de seguridad, detectar los problemas de forma temprana y reaccionar con rapidez. El énfasis está en la entrega de datos que se ejecuta, en tiempo real y todo en un solo lugar para que los analistas no tengan que consultar numerosos informes, fuentes externas y perder un tiempo valioso yendo por datos no estructurados.

Como una solución de código abierto, OpenSOC abre las puertas para que cualquier organización para crear una herramienta de detección de incidentes específicos a sus necesidades.

bigdata2

El marco es altamente extensible, cualquier organización puede personalizar su proceso de investigación de incidentes. También cuenta con los bloques de construcción fundamentales para escalar horizontalmente la cantidad de datos que recopila, almacena y analiza en base a las necesidades de la red.

Para mayor información acerca de la herramienta, tomar el código y ver cómo puedes contribuir con ella, echa un vistazo al Proyecto Oficial y su página de GitHub.

Hexorbase Excelente herramienta de auditoria y administración de múltiples bases de datos

HexorBase es una aplicación de base de datos diseñada para la administración y la auditoria de varios servidores de bases de datos de forma simultánea desde una ubicación centralizada, es capaz de realizar consultas SQL y ataques de fuerza bruta contra servidores de bases de datos (MySQL, SQLite, Microsoft SQL Server, Oracle y PostgreSQL).

Esta poderosa herramienta permite enrutamiento de paquetes a través de proxies e incluso permite pivotear a través de Metasploit para comunicarse con servidores de forma remota que están ocultos dentro de las subredes locales. Sin duda alguna una muy buena opción a la hora de realizar un Pentesting.

HexorBase01

HexorBase ya viene instalada en Kali Linux pero si deseas hacer tu propia instalación en el sistema operativo de tu preferencia, trabaja muy bien en Linux como en Windows bajo los siguientes requisitos:

  • python
  • python-qt4
  • cx_Oracle
  • python-mysqldb
  • python-psycopg2
  • python-pymssql
  • python-qscintilla2

Para instalarla solo hay que descargarse el .deb desde:

https://code.google.com/p/hexorbase/downloads/list

Y ejecutar:

root@host:~# dpkg -i hexorbase_1.0_all.deb

HexorBase03

Cualquier consulta pueden dejar sus comentarios.