Categoría : retwitt

Inicio/Archivo por Categoría retwitt

Comité Internacional de Ciberseguridad de la OEA se reunió en Colombia

Por: Alexander Díaz García Para: Ethical Hacking Consultores
Juez Segundo de Control de Garantías Constitucionales
Autor de la Ley de Delitos Informático en Colombia
Especialista en Nuevas Tecnologías del Derecho y Protección de Datos
nuevastecnologiasyprotecciondedatos.blogspot.com

A través del Ingeniero Oscar Arias, Director del CERT-Colombia, recibí invitación para participar en la Mesa de Trabajo de Legislación en la Misión Nacional de Asistencia Técnica en Seguridad Cibernética, con la participación de los principales protagonistas de ciberseguridad de los países de: Canadá, Reino Unido, Korea del Sur, Estonia, Uruguay, España, Estados Unidos, República Dominicana, Israel, Argentina, Universidad de Oxford y Consejo de Europa, junto con varios funcionarios de la OEA, representantes del Comité Interamericano contra el Terrorismo (CICTE).

Mi narrativa va a estar circunscrita a aspectos generales, toda vez, que a todos los que participamos en el evento, nos hicieron firmar acuerdos estrictos de confidencialidad.

El evento se dio la pasada semana del lunes 31 de marzo del presente, en el Hotel Tequendama en el centro de Bogotá, donde nos organizaron en cuatro mesas de trabajo:

  • Generación de capacidades de Ciberseguridad y Ciberdefensa.
  • Establecimiento y mejora de los marcos legales en Ciberseguridad  (de la que hice parte)
  • Cooperación Internacional 
  • Fortalecimiento de las Capacidades Institucionales de Ciberseguridad y Ciberdefensa.

La apertura del evento, que estuvo a cargo del Ministro de Defensa de Colombia Juan Carlos Pinzón, e intervinieron en varios discursos el Ministro de las TIC, Diego Molano Vega, el Viceministro de Política Criminal y Justicia Restaurativa Miguel Sammper Strouss y Neil Klopfenstein Secretario Ejecutivo del Comité Interamericano contra el Terrorismo (CICTE) de la OEA.

El objetivo del encuentro, según especificó el Ministro Colombiano de Defensa, Juan Carlos Pinzón, es generar herramientas para combatir desde las instituciones públicas, pero también privadas, la “ciberguerra” que atenta contra la seguridad de los gobiernos y de sus ciudadanos, a este discurso se unieron también la señora Viceministra María Isabel Mejía, la Directora de Seguridad Pública e Infraestructura del Ministerio de Defensa Juliana García Vargas y el Director del COLCERT Oscar Arias.

Una vez iniciadas las sesiones de trabajo, me correspondió como autor de la Ley (1273 de 2009) de Delitos Informáticos de Colombia y Juez de Control de Garantías Constitucionales, la mesa de “Establecimiento y mejora de los marcos legales en Ciberseguridad”, cuyas conclusiones (que de momento, lamentablemente no son públicas), fueron discutidas con la mesa de Cooperación Internacional, del que se extrajo un solo documento, el que sale como “Recomendaciones de Estrategia Nacional en Ciberseguridad” para el Señor Presidente.

Hicimos recorridos a las diferentes entidades en Colombia, encargadas de la Ciberseguridad e investigación de los Ciberdelitos, en donde se nos enseñó montaje de completos y excelentes equipos para el ejercicio de contrarrestar estas conductas y de recaudar la evidencia electrónica, que a través de este formato, se realiza para la consumación de muchas conductas informáticas y electrónicas en Colombia.

Finalmente, Belisario Contreras, gerente del proyecto del Programa de Seguridad Cibernética de la OEA, resaltó que Colombia fue el primer país en Latinoamérica en tener una Política en Ciberseguridad y Ciberdefensa.

“Es importante recordar la política de ciberseguridad y ciberdefensa creada a través del CONPES 3701 y que se adoptó en junio de 2011, lo que marca a Colombia como el primer país latinoamericano en tener una política en esta materia”.

Pronto el Gobierno de Colombia, hará pública las conclusiones que la comisión integrada por expertos colombianos y extranjeros, logramos concienciar sobre la realidad del Ciberdelito en el campo de Ciberseguridad del país.

Heartbleed – Grave fallo de Seguridad descubierto en OpenSSL

Después del conocido fallo de seguridad ms08-067 Netapi, del cual a la fecha seguimos encontrando varios servidores vulnerables en las auditorías que realizamos, esta semana se ha publicado una falla de seguridad en la tecnología de encriptación web OpenSSL que ha puesto en peligro la seguridad de datos confidenciales y altamente sensibles de millones de portales en Internet debido al bug que se ha denominado “Heartbleed”, el cual se ha calificado como el mayor fallo de seguridad descubierto en los últimos años.

Que es el Bug Heartbleed?

El bug Heartbleed que ya fue asignado con el BugID CVE-2014-0160, es una vulnerabilidad bastante seria que se ha encontrado en una librería del conocido Software criptográfico OpenSSL, el cual permite a un atacante de forma remota, obtener pequeños bloques de memoria (hasta 64kb) del servidor atacado, logrando acceder a información secreta y confidencial que fue dividida en 4 categorias:

  1. Material de la llave primaria
  2. Material de la llave secundaria
  3. Contenido protegido
  4. Datos colaterales

Mayor información sobre este bug, aunque esta en ingles lo puedes encontrar en heartbleed.com

De acuerdo con http://www.openssl.org/news/openssl-1.0.1-notes.html la extensión heartbeat fue introducida en marzo del 2012 con la liberación de la versión 1.0.1 de OpenSSL. Esto implica que la vulnerabilidad ha estado latente alrededor de 2 años.

Verifica si eres vulnerable:

Puedes hacerlo desde http://filippo.io/Heartbleed/ solo necesitas poner tu URL y te dirá si eres o no vulnerable.
Este es un script en Python para probarlo desde la línea de comandos http://s3.jspenguin.org/ssltest.py Si deseas testear múltiples sitios web, puedes usar una versión modificada con una salida fácilmente parseable.
Si usas Chrome puedes instalar el plugin Chromebleed checker que te avisa y alerta cuando visites un sitio vulnerable.

Heartbleed-test

Que puedo hacer si soy vulnerable?

Recomendamos realices los siguientes pasos:

  1. Actualiza tu versión de OpenSSL a 1.0.1g o superior
  2. Regenera tu llave primaria
  3. Solicita y remplaza el certificado SSL

Algún exploit para pentesters?

La vulnerabilidad es tan fuerte que ya salieron los primeros exploits que arpovechan esta falla de seguridad, los puedes descargar de los siguientes enlaces.

OpenSSL vulnerable to CVE-2014-0160, get cookies and user sessions
OpenSSL TLS Heartbeat Extension – Memory Disclosure
OpenSSL 1.0.1f TLS Heartbeat Extension – Memory Disclosure (Multiple SSL/TLS versions)

Lo mejor es que están en Python, así que puedes agregarlos a tu arsenal de Metasploit. Aca les dejo una captura de la información que puede extraerse de un objetivo.

heartbleed-example

Diviertete y envíanos tus consultas a info@ehacking.com.bo o a nuestro formulario de contacto.

Revelan gran fallo de seguridad en iOS 7

El investigador Tarjei Mandt de la compañía Azimuth Security reveló en la Conferencia CanSecWest la semana pasada que algunos atacantes pueden explotar fácilmente un fallo de seguridad en iOS 7. La falla se deriva de un parche previo que publicó Apple para solucionar otro hueco en iOS 6, relacionado con el cifrado del kernel del sistema.

ios-7-wallpaper“El kernel es el nivel más básico de funcionamiento del sistema operativo y se encarga de controlar funciones como la seguridad, gestión de archivos y recursos. En lo que a seguridad se refiere, iOS 7 es mucho peor que iOS 6.”

Para poder cifrar el kernel, Apple utiliza un generador de números aleatorios que ha sido actualizado en iOS 7 para brindar mejor seguridad. Sin embargo, Mandt asegura que a pesar de que Apple actualizó su generador, las personas con conocimientos sobre el tema e intenciones maliciosas pueden encontrar varias formas de adivinar esos números aleatorios, esto les daría acceso a todo el sistema.

A pesar de haberse escrito y publicado con mucho detalle su descubrimiento, Mandt no reveló de qué forma se puede aprovechar la posible falla de seguridad de iOS 7. De acuerdo al portal CNET, Mandt indica que los ingenieros de Apple se han acercado a él con un gesto de preocupación. De acuerdo al investigador, si no se soluciona, el fallo de seguridad podrían retroceder hasta 10 años las técnicas de seguridad en iOS.

Recientemente Apple ha actualizado iOS 7 y su sistema operativo de computadoras OS X para solucionar un fallo de seguridad distinto, dicho error permitía a terceros espiar tráfico supuestamente cifrado.

Fuente: Yahoo! News

Continuar leyendo

Las Fugas de Información más Grandes del Mundo

Si alguna ves se preguntaron cuales son las estadísticas a nivel mundial por fugas de información, si están haciendo un trabajo sobre protección de datos y fugas de información, o si están investigando sobre estos temas y necesitan documentar datos para respaldar su información, acá les traigo un sitio web que se encarga de hacer esto y nos lo muestra de forma gráfica.

El sitio web Information is Beautiful, nos trae un mapa gráfico sobre las fugas y perdidas de información a nivel mundial de las empresas, instituciones y organismos gubernamentales que fueron comprometidos y de los que muchos fueron noticia en los diarios de todo el mundo como el reciente caso de Target en EE.UU.

info-lost01

Este mapa de fugas de información trae un filtro a través del cual podemos sacar gráficas de las fugas por tipo de información filtrada y por método de fuga de información, con lo que podrán crear gráficas interesantes para sus investigaciones, estadísticas, investigaciones o presentaciones que tengan que armar.

Enlace:  Mapa de Fugas de Información.

Disfruten del mapa.

 

Continuar leyendo

Facebook Hacking Tool – Imprescindible en tu Arsenal de Pentesting

Facebook Hacking Tool es una herramienta desarrollada en Python por un muy buen amigo Chino Ogawa, la cual explota diversas “Features” o “Funcionalidades” de Facebook.com.

Lo de “Funcionalidades” es una palabra que los del grupo de atención en temas de seguridad de Facebook, han decidido usar en vez de vulnerabilidades, ya que cada que reportas una vulnerabilidad ellos te dicen que es una funcionalidad. 😛

Bueno, para empezar, FBHT permite al pentester llevar a cabo ataques de ingeniería social avanzados utilizando la plataforma de Facebook como punto de partida para lograr infectar a las víctimas.

¿Cómo podemos lograr esto?
Existen diferentes formas, entre estas se pueden generar objetos (Comentarios) que simulen dirigir hacia una página determinada con una redirección alterada, mediante la manipulación de parámetros a la hora de generar el mensaje.

fbht01

De esta misma forma la herramienta nos permite enviar mensajes privados a distintos usuarios solamente otorgando el UserId o el Username. También implementa un ataque en el cual podemos publicar en nombre de una aplicación y nos permite controlar el link de redirección del post, lo que nos facilita bastante las tareas de ataques de ingeniería social durante los pentestings:

fbht02

Una de las funcionalidades más interesantes, es el bypass de privacidad de amistades. Suponiendo que un contacto no muestra sus amistades al público en general por privacidad, FBHT te permite ver un gran porcentaje de esas amistades, obteniendo como resultado:

  1. Links de amistades en formato TXT
  2. Links de amistades con avatares en formato HTML
  3. Archivos .dot (Gephi) de grafos para análisis avanzado
  4. Archivos PNG, PDF con el modelo de grafo de la red social de la victima
  5. Archivos PNG, PDF, .DOT de los grafos de las comunidades de la victima

Toda esta información puede llevar a un atacante a realizar ataques de ingeniería social dirigida que aumentarían las chances de éxito sobre sus víctimas.

fbht03

Actualmente se encuentra disponible en las distribuciones “ArchAssault” y “BlackArch” de Linux, distribuciones dedicadas a pentetration testers, sobre las que publicaré mis comentarios una vez que termine de hacer pruebas y comparaciones con Kali.

De momento les puedo decir que uno de los grandes aportes de estas dos distribuciones es FBHT que ya viene incorporada.

Para los que deseen probarlas por su cuenta, los repositorios GIT los pueden encontrar en:
Windows = github.com/chinoogawa/fbht
Linux = github.com/chinoogawa/fbht-linux

¿Qué tan sencillo es utilizar la herramienta?
Solo se necesita saber ejecutar programas con Python e instalar dependencias ya que no posee un instalador al puro estilo Microsoft. Tanto el menú como los módulos, no son “user friendly” ya que trae una consola negra con letras verdes, pero al no recibir parámetros la herramienta se encarga de guiar al usuario sobre los datos requeridos para realizar el ataque.

fbht04

Date unos minutos para probar y evaluar esta excelente herramienta y déjanos tus comentarios en la web o en nuestra Fanpage de Facebook para colaborar con el autor

Happy Hacking…

fbht05

Mark Zuckerberg llama a Obama para quejarse de la NSA

(CNNMoney) — El fundador de Facebook, Mark Zuckerberg, llamó por teléfono al presidente de Estados Unidos, Barack Obama, para expresarle su frustración sobre los programas de espionaje del gobierno según reporta él mismo en una publicación de Facebook.

mark-zuckerberg-facebook

“Cuando nuestros ingenieros trabajan sin parar para mejorar la seguridad, nos imaginamos que nos estamos protegiendo en contra de los criminales, no de nuestro propio gobierno”, escribió Zuckerberg en esta publicación.

Puede parecer una falsedad de parte del líder de un gigante de tecnología que toma nuestros datos (y los vende al por mayor) alzar la mano contra la vigilancia del gobierno. Pero la queja de Zuckerberg apunta específicamente a la piratería informática.

Su preocupación se basa en un reporte del sitio de internet The Intercept, que reveló que la Agencia Nacional de Seguridad (NSA por sus siglas en inglés) habría utilizado un falso servidor a nombre de Facebook, así como su página principal, para introducir programas dañinos en computadoras de ciudadanos y así acceder a su información.

Este reporte, que se basa en documentos provistos por el exconsultor de la agencia Edward Snowden, establece que el gobierno de EE.UU. tiene como propósito tomar información de redes de internet y telefónicas del extranjero.

Zuckerberg dice que esta táctica es denigrante y va en contra de la política de la empresa de proteger a sus usuarios. El empresario aseguró que Facebook encripta la comunicación de quienes están la red social, usa programas seguros y llama a quienes lo utilizan a tener contraseñas seguras.

“El gobierno de Estados Unidos debe ser el campeón del Internet, no una amenaza”, escribió Zuckerberg. “Ellos necesitan ser mucho más transparentes sobre lo que están haciendo o de otra forma las personas creerán lo peor”.

Zuckerberg afirmó que llamó al presidente Barack Obama para expresar su frustración. Pero no espera que exista un cambio rápido en la situación.

“Desafortunadamente parece que tomará un largo tiempo para que exista una verdadera reforma”, concluyó.

En septiembre de 2013 Facebook se unió a Yahoo, Google, Twitter y Microsoft para presentar su primer reporte de transparencia gubernamental en el que se detalló la cantidad de peticiones de información que dio al gobierno de EEUU. sobre su actividad en países en todo el mundo.

Oficiales de la Casa Blanca confirmaron que Obama y Zuckerberg se comunicaron, pero no divulgaron los detalles sobre la conversación. La administración negó en un comunicado los supuestos reportes sobre la NSA que fueron divulgados en The Intercept.

“La NSA no pone como blanco a ningún usuario global de servicios de Internet sin tener la autoridad legal apropiada. Los reportes sobre la explotación de información en computadoras son completamente falsos”.

Esta semana Edward Snowden dijo que la comunidad tecnológica debería unirse para desarrollar herramientas y estándares que ayuden a la protección contra el espionaje masivo de las agencias de inteligencia, además señaló al gobierno de EE.UU. por “dañar su propia seguridad”.

Facebook también ha sido señalado por la falta de transparencia en la forma en la que recolecta la información de sus usuarios y genera dinero con ella para poder determinar qué tipo de publicidad aparecerá en tu perfil de la red social.

Fuente: Jose Pagliery, CNNMoney.

Continuar leyendo

Aclaraciones básicas sobre el delito informático.

El derecho penal es la rama mas violenta del derecho, puesto que el fin que persigue no es mas que el de castigar al sujeto que haya infringido la norma. Se vale de la coacción psicológica para que los ciudadanos no infrinjan la norma, si el sujeto llega a infringir la norma, este es perseguido por el Estado, y recluido en un centro penitenciario, para que no vuelva a delinquir, se reforme y no asuste a la sociedad.

Los códigos en general reconocen derechos propios de las personas, pero el código penal, no los declara, solo los defiende, es por ello que cuando hablamos de materia penal no hablamos de derechos, sino de delitos.

Es complicado hablar sobre delitos informáticos, cuando el derecho declarado no esta bien definido para ese Estado, es decir, “la información” no tiene el reconocimiento adecuado en la normativa, el Estado no le otorga la importancia que si le dan algunos particulares, entonces si el Estado no le da importancia tampoco se le puede atribuir una tutela correcta y junto a ello la pena pertinente.

Los delitos se ordenan por títulos, cada titulo representa el bien jurídico que tutelan, entonces cuando hablamos de delitos informáticos, lo que se pretende sancionar, son los actos en deterioro de la información, (pero se incluye también el deterioro del medio informático)

Universidad de Santiago de Compostela en España: se define como todo acto ilícito penal que ha sido llevado a cabo a través de medios informáticos y que esta ligado a los bienes jurídicos relacionados con las tecnologías de la información o que tiene como fin estos bienes.

Cristina Vallejo: son aquellas conductas que ponen en peligro o lesionan la integridad, confidencialidad y/o disponibilidad de los datos y sistemas informáticos, y ello sin perjuicio de que, ademas, puedan suponer una puesta en peligro y lesión de bienes jurídicos distintos.

Es muy común asociar los delitos informáticos a todos los ilícitos cometidos por medios electrónicos, esto ocurre puesto que cuando se tipificaron los delitos informáticos la única forma de cometerlos era por medio de un hardware y en contra de otro equipo electrónico, sin embargo hoy en día se puede hablar de ilícitos informáticos sin medios electrónicos (ingeniera social) por lo que no es correcto realizar esta asociación de termino- acto.

Sanchez Almeida indica que no necesariamente es delito informático aquel que tiene como “cuerpo del delito” un ordenador, puesto que en tal caso caeríamos en el ridículo de hablar de delito informático cuando se le da un martillazo a un monitor

Delito informático es solo aquel acto que se encuentra descrito en el código penal.

Cuando se realizan delitos de injurias o calumnias por redes sociales, el ciudadano de a pie, llega a pensar que estos son delitos informáticos, cuando no son mas que delitos convencionales que utilizan otro medio para ejecutarse.

No son los medios los que definen a los delitos, sino el bien que se pretende proteger.

La violencia digital, surge como una forma de nombrar los daños causados a la intimidad e integridad psicológica, todo esto por medio de componentes virtuales.

No existen criterios unificados sobre lo que es el delito informático, se habla de  y piratería como delincuencia informática, mientras que otros autores no concuerdan con la misma idea.

Es necesario ir junto al estilo del arte, e identificarse con algún autor, solo de esta manera se podrá hablar de lo que si es un delito informático y de lo que no lo es.