Source Conference.

Publicado por Section9 on lunes, 7 de noviembre de 2011
/ Comments: (0)
Hola a todos!



Está vez no cruzamos el atlantico y nos quedamos en casa! el día 16 y 17 estaremos en la Source Conference, que se celebra en Barcelona, nuestro compañero Manu Quintans, dara una charla sobre Crimeware, todos los que estéis interesados en asistir os podemos proporcionar un 50% de descuento en la conferencia, aquí os dejamos el índice de la charla:

- Un poco de Historia
- Infraestructura enumerando máquinas, dominios, etc…
- Dibujo de la organización, responsabilidades, rangos, AS, etc...
- Donde compran ellos su infraestructura (es realmente offshore??)
- ¿Que cuesta ser malo? Poco dinero (Kids Don't do it!)
- Donde venden y compran servicios.
- Servicios más relevantes que ofrecen, trafico, vps, vpn, marketplaces, mulas, etc..
- Tendencias de crimeware
- Análisis de los crimewares encontrados más relevantes y conocidos.
- Análisis de los crimewares más raros y privados encontrados.
- Como contactar con ellos si quieres ser un chico malo? (Don't do it!)
- Como repercute y que perdidas económicas provoca un ISP de este tipo.

Nos vemos en la Source!

Saludos.

Marc Brush Security Evangelist - Section9 Security

DC19

Publicado por Section9 on jueves, 25 de agosto de 2011
/ Comments: (0) 
Como otro año más parte del equipo de Section9 Security se ha desplazado a las Vegas, con el fin de asistir a la Defcon 19.  La Defcon es uno de los acontecimientos más conocidos a nivel internacional. Por sus instalaciones se pasean todo tipo de eminencias en el campo de la seguridad Informática, así como muchos adeptos que no se quieren perder nada de lo ocurre en él. 
En la concentración se pueden encontrar varios tipos de eventos, múltiples charlas de temas totalmente variados y para todo tipo de público. Un concurso de Capture The Flag (CTF) dónde equipos de todo el mundo se baten en un duelo de ataque/defensa, además de otros retos de hacking menores para los asistentes. 


Incluso hay la Defcon Kids, el evento para los más pequeños. Este año una chica de tan solo 10 años comentó varias deficiencias en múltiples programas de Android que permitían manipular el comportamiento mediante una simple modificación del reloj del sistema.


Otro aspecto interesante de este evento es el Budge o entrada, habitualmente se trata de elementos electrónicos con algún tipo de funcionalidad curiosa que despierta el interés de los asistentes, sin embargo, este año la organización sorprendió con unos Budge algo más sencillos que los últimos años. No contenían nada de electrónica ni tenían ningún tipo de usabilidad lúdica.En el siguiente enlace se puede apreciar el aspecto de uno de estos Badges. En este caso se trata de un visitante habitual, catalogado como 'HUMAN':
Cada una de estas piezas contenía una pequeña muesca en el lateral. En la imagen se observa esta muesca en -45º (tomando el anclaje como punto de referencia). El símbolo que se encuentra en medio se observaba también en varios elementos de la Defcon, como los carteles publicitarios o el cuaderno que facilitaban junto con la entrada. La idea era solucionar un rompecabezas que requería una cierta interacción social y obtener conclusiones en base a las muescas, números y simbolos.
CHARLAS
La cantidad de charlas era tan extensa que no hay espacio para hablar de todas ellas. Los temas eran sumamente variados desde cómo destripar sistemas de hardware, búsqueda de información en la red y la nube, e incluso nuevas vulnerabilidades aparecidas en los últimos meses.
Se puede obtener un listado completo de las charlas y speakers que conformaron la Defcon en el siguiente enlace
También podeis descargar las charlas y DVD's haciendo click aquí
WORKSHOP

La Defcon ofrece un sinfín de talleres prácticas que ayudan a familiarizarse con las herramientas y procedimientos utilizados por los profesionales de la seguridad en todos los ámbitos. Al igual que las charlas, los Workshops cubren un abanico infinito de campos y niveles de complejidad.

La temática pasaba de aspectos tan extravagantes como Hacking de coches, a temas más usuales como Explotación de inyecciones SQL o Hacking de móviles. Todos ellos llevados con gran dinamismo y haciendo pasar un rato muy interesante a todos los asistentes. Un gusto haber podido disfrutar de ellos.

En el siguiente enlace se puede encontrar el listado completo de Workshops realizados en la última edición del congreso:

CAPTURE THE FLAG
El Capture the Flag (CTF) de la Defcon, es uno de los más importantes a nivel internacional. Ha cambiado muchodesde que se organizaba bajo el mando de Kenshoto. Actualmente sus organizadores son DDtek, que fueron ganadores de ediciones pasadas bajo el nombre "Sk33l 0f r00ts".
Es costumbre que los organizadores den sorpresas año tras año para dificultar la tarea a los equipos participantes del concurso, este año se ha migrado la infraestructura a IPv6 en lugar de la antecesora IPv4. Esto ocasionó que muchos grupos tuvieran que adaptar todas sus infraestructuras a este nuevo protocolo, así como las herramientas ya que los servidores tenían deshabitado el soporte para IPv4.
El resultado final puede observarse en la web oficial de los organizadores ddtek.
1. European Nopsled Team
2. Routards 
3. Hates Irony 
4. IV 
5. int3pids 
6. lollersk8ers 
7. Plaid Parliament of Pwning
8. PLUS@Postech
9. Shellphish
A. ACME Pharm
B. VelociROPtors
C. sutegoma2

Pese a que este año int3pids no hayan sido los ganadores, desde aquí queremos felicitarlos por su clasificación en este dificilísimo CTF, seguro que el proximo no se les resiste el primer puesto.
Se rumorea y se comenta que algunos equipos pudieron acceder a todos los servidores como administradores y obtener así multitud de puntos. Desde la organización no se ha hecho mención a nada de esto… será verdad?
Marc Brush
Security Evangelist - Section9 Security







































Fraude en 140 carácteres









Publicado por
Section9
on lunes, 6 de junio de 2011








 /
          Comments: (0)
          






La continua evolución del cibercrimen hace que los criminales busquen nuevas formas de comercializar los datos robados. Las redes sociales no son una excepción, y también son utilizadas para publicitar blackmarkets, tiendas virtuales dónde se venden datos robados: credenciales de banca online, datos de tarjetas de crédito, bandas magnéticas, etc. 











Los criminales se han apuntado a la moda del twitter y no es difícil encontrar twits con palabras como cvv, track o cc, signo inequívoco de fraude electrónico.  Normalmente nos redirigen a un website dónde nos explican el tipo de datos que comercializan y su coste.






En la mayoría de ellos el coste va asociado a variables como el país de origen de los datos, el saldo de la cuenta corriente asociada o el tipo de datos.  Lo que resulta más curioso es que disponen de políticas de venta tan curiosas como la de reemplazo:



I have a replacement policy for bad Info. All my info are inspected before sale”



o la selección de personal:



“I'm looking for people who can work together”



Y es que también utilizan twitter para predicar  las bondades de “make money online” y captar nuevos comerciales.






Helena Pranczk
IT Security Architect - Section9 Security









  







































Más de contraseñas.









Publicado por
Section9
on miércoles, 11 de mayo de 2011








 /
          Comments: (0)
          






Siguiendo la misma línea que en el anterior post, vamos hablar de contraseñas y de cómo almacenarlas de manera “segura” y offline, sí, sí, off-line.



A pesar de que siempre hacemos hincapié en que no se deben almacenar las contraseñas en un papel,  hoy nos vamos a saltar esa regla y vamos a enseñaros como podemos tener todas nuestras contraseñas apuntadas en una tarjeta y de manera que tan solo nosotros podamos entender ante miradas ajenas.



Para ello utilizaremos una herramienta online llamada http://www.passwordcard.org/



PasswordCard es una herramienta que permite generar una tarjeta del tamaño de una tarjeta de crédito que vosotros mismos podréis guardar en vuestra cartera. Dicha herramienta nos deja escoger contraseñas muy seguras para todos o gran parte de nuestros servicios Web, ¡y sin tener que recordarlas!



Bien, y ¿cómo funciona PasswordCard,?



Su funcionamiento es sencillo La tarjeta tiene una combinación única de letras y dígitos generados aleatoriamente. Las filas tienen colores diferentes, y las columnas símbolos distintos. Todo lo que tenemos que hacer es recordar una combinación de un símbolo y un color, y entonces leer las letras  correspondientes a esa combinación, fácil, ¿no?









Pero esto de escribir contraseñas en un papel... ¿es seguro?
Una cadena es tan fuerte como su eslabón más débil. Es mucho más seguro escoger contraseñas robustas y ponerlas por escrito que recordar contraseñas simples y fáciles de adivinar.



Bien, entonces vamos hacer una prueba, tan solo debéis conectaros a http://www.passwordcard.org/en. Desde aquí podéis generar tantas tarjetas como necesitéis.
Una vez generada la tarjeta, la podemos imprimir y llevarla siempre con nosotros. Como buena recomendación de seguridad, ésta va ligada también a un recovery plan.



¿Recovery Plan? ¡Sí claro! Imaginemos por un momento que perdemos la PasswordCard, bien desde la misma página de http://www.passwordcard.org/en podemos recuperarla, lo único que debemos hacer es apuntarnos el numero de referencia de la tarjeta y de esta manera podremos recuperarla en caso de pérdida.



Os dejamos el código QR para que podáis descargar la aplicación en vuestro terminal Android.









O sí lo preferís en vuestro terminal iPhone.









Helena Pranczk
IT Security Architect - Section9 Security



















































Una de contraseñas









Publicado por
Section9
on jueves, 7 de abril de 2011








 /
          Comments: (0)
          






Es difícil de creer, pero alrededor de un 30% de los sitios mantienen las contraseñas de sus usuarios en en plano. De manera que sí un intruso penetra en su sistema, se encontraría con la grata sorpresa de que tienen las contraseñas del sistema en texto plano y el resto os lo podéis imaginar...






Como sabemos, muchas personas tienden a utilizar la misma contraseña para distintos servicios. Si en un website hay una fuga de datos, a continuación, esa contraseña puede hacer que un usuario malicioso pueda llegar al buzón de correo, twitter, facebook, webbanking etc... del usuario afectado.



Recientemente ha surgido una nueva incitativa llamada Plain Text Offenders donde quieren hacer frente a esos desarrolladores que no hacen uso de las mejores las prácticas de seguridad. Este recurso publica a diario los sitios que pueden almacenar las contraseñas en texto plano.



Desde Plain Text Offenders nos animan a enviar cualquier tipo de website que realice este tipo prácticas y ponen a nuestra disposición un pequeño formulario donde podemos enviar las capturas de pantalla del website.




De hecho, si un servicio te envía un correo electrónico con tu contraseña, no significa necesariamente que los guarde en el claro. Pero, en primer lugar, la transferencia de información confidencial, en texto plano a través de una red abierta y sin cifrar no es una práctica recomendable.



En segundo lugar, si el servicio envía las contraseñas en el correo en texto plano, esto significa que en algún lugar de los servidores también están almacenadas en texto plano, al menos temporalmente.También es posible que existan copias de seguridad o archivo zip donde se almacenan los datos permanentemente. 



También os recomendamos que visitéis Passwordfail donde recogen una lista de websites donde almacenan sus contraseñas en plano. Desde Passwordfail, los usuarios de Chrome podrán disfrutar de una extensión encargada de avisar a los usuarios si están visitando websites donde almacenan sus contraseñas en plano.



Aprovechamos este post para recomendar una utilidad que nos ayudara a gestionar de una manera más eficaz nuestras contraseñas.



KeePass es un completo administrador de contraseñas para Windows, Linux y MacosX totalmente gratuito y muy fácil de usar. Está herramienta se encarga de almacenar todas las contraseñas como si de una base de datos se tratase, el mismo te permite relacionar cada contraseña con su web o servicio, acceder a datos de acceso, realizar búsquedas, crear grupos, etc. 



Estas contraseñas quedaran encriptadas bajo un único password para que nadie pueda acceder a la base de datos.



Muy sencillo, rápido y seguro, bueno hemos dicho seguro? de momento sí.



Saludos





Marc Brush

Security Evangelist - Section9 Security



































































print "Hello, World!"









Publicado por
Section9









 /
          Comments: (0)
          









print "Hello, World!"