jueves, 24 de noviembre de 2016

Malware que hace que los cajeros escupan dinero. Sueño lúbrico.

El sueño lúbrico de todo "antisistema" o como se deberían llamar en realidad "persona con algo de criterio" se vio cumplido hace pocas fechas. 

Los cajeros escupieron pasta de los cajeros sin mediación física por parte de los causantes. Un ataque coordinado por parte de unos desalmados lo consiguió mediante una incursión remota en los centros de información de algunos bancos. 

El ataque se llamó touchless jackpotting (botín sin contacto, para los de la Lonce).

Se calcula que en un solo golpe chorizaron 400.000 dólares en varios países europeos entre los que se encuentra España. 

A la riada de pastuki que brotaban de los cajeros acudía presto alguno de los desaprensivos delincuentes a recoger el botín.

Desde este humilde blog suponemos que estos ciberdelincuentes tienen 100 años del perdón, por aquello de: "quien roba a un ladrón...".

Texto fusilado de BBC.com.

viernes, 11 de noviembre de 2016

De la conferencia.

Una de las cosas que me llamó la atención de la conferencia, además de lo comentado en la anterior entrada, fue lo referente al SQL Injection (SQLi). 
SQL es un lenguaje normalizado y estructurado de consultas a bases de datos. Esto quiere decir, que en casi todas las consultas a distintos tipos de bases de datos, se usan las mismas sentencias. SQLi se aprovecha de éso para generar consultas a la base de datos y que le devuelvan datos que puedan ser de interés para el atacante, como pueden ser usuarios y contraseñas.
SQLi es un bug bastante viejo pero todavía existen páginas web o CMS (Sistema de Gestión de Contenidos) con esta vulnerabilidad.
Conferencia sobre seguridad informática.

Muy positivo el hecho de iniciativas como esta conferencia sobre seguridad informática, debería haber más. Esta conferencia en concreto, no me lo pareció tanto. Y no tanto por el contenido como por el continente. El contenido era general y con un anecdotario a la altura de las circunstancias pero el continente, refiriéndome al conferenciante en este caso, se me antojó poco adecuado para el entorno. El nivel oratorio no estuvo a la altura de las circunstancias académicas que se le presuponía al acto. El hecho de llevar veinte años en la programación, como nos recordó, no garantiza el nivel necesario para tales menesteres. Las patadas al diccionario que propinó, no son propias de un conferenciante que se precie, siempre en relación al hecho del lugar donde interactuó. 
Deberíamos exigirnos un poco más cuando nos dirigimos a un foro presuntamente académico.

martes, 8 de noviembre de 2016

Una botnet de Mirai deja sin internet un país entero.

Hace semanas, un ataque DDoS contra Dyn —un importante proveedor de DNS, recordemos que hay 13 en el mundo del cual descienden, cual estructura arbórea, todos los demás— tumbó el acceso a innumerables páginas web en Estados Unidos. Esta semana se han producido varios ataques similares que han conseguido dejar sin Internet a un país entero.

Estos ataques se realizaron mediante Mirai, un malware (toolkit) de código fuente libre capaz de coordinar millones de dispositivos de escasa seguridad, como ciertas cámaras IP, para lanzar un ataque de denegación de servicio contra cualquier objetivo. En este caso, una red conocida como Botnet #14 envió una oleada de ataques a Liberia, un pequeño país africano de apenas 4 millones de habitantes en el que sólo existen dos ISPs que dan acceso a todo el país (sólo un 6% se puede permitir el servicio).

La conexión a la red llega al país a través de un único cable submarino de fibra óptica que, por cierto, es el mismo cable que usan 20 países africanos. 

Lo más triste del caso es que no se enteró ni el Tato. Tiene más repercusión mundial que nos quedemos sin Whatsapp durante media hora en el primer mundo, que un colapso total de Internet en un país africano.


Efectivamente, Liberia es lo rojo, yo tampoco lo tenía claro.


Información fusilada de ComputerHoy, Genbeta, Gizmodo y Wikipedia.


jueves, 3 de noviembre de 2016



«Heartbleed»: el fallo de seguridad más espectacular que Internet haya visto jamás.

El bug llamado Heartbleed afecta al código de OpenSSL, el protocolo de seguridad clave de muchos servidores de la Web.

Permite a un atacante extraer desde el exterior información directamente de la memoria de los servidores web supuestamente seguros; datos que incluyen cuentas, contraseña e incluso los certificados o «claves maestras» que se emplean para garantizar su identidad y la confidencialidad de las comunicaciones.

El fallo ya está parcheado y las grandes empresas y especialmente los proveedores de hosting ya lo han arreglado en sus servidores web. Pero nadie puede asegurar que en estos dos años alguien no se haya "aprovechado" de él.

El colmo de los colmos ha sido la información publicada por Bloomberg en la que se asegura que la NSA estuvo explotando el bug para recopilar información de toda Internet durante estos dos años. En otras palabras: permitieron que un gravísimo problema de seguridad quedara «suelto» afectando a millones de usuarios y empresas mientras lo aprovechaban para aspirar las intimidades de la red al completo, amparándose en el clásico mensaje de «os hemos espiado, pero ha sido por vuestro bien». Como no podía ser de otra forma, la NSA lo ha negado oficialmente – algo que ya es poco creíble.



Los PIN de seguridad más corrientes o cómo «hackear» en modo vago.
Nunca se sabe cuándo vas a tener que utilizar estos conocimientos, pero el saber no ocupa lugar: ¿cuáles son los PIN secretos más habituales en tarjetas de crédito y probablemente en cajas de seguridad, candados, teléfonos y similares?.
Según un estudio de DataGenetics -que examinaron 3,4 millones de números robados de tarjetas de crédito- los más «predecibles» o que más gente usa son:
  • 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222...
y los más impredecibles o poco habituales por otro lado:
  • 8068, 8093, 9629, 6835, 7637, 0738, 8398, 6793...
En la ristra de los menos predecibles suele haber pocos o ningún dígito repetido y tampoco aparecen fechas ni números a primera vista reconocibles. No es probable que de la noche a la mañana se vuelvan «populares» así que, en cierto modo, se pueden considerar una opción más segura que los que son casi triviales de adivinar.
Por otro lado, más del 10 por ciento de las tarjetas están protegidas por el número 1234: o visto de otro modo, alguien que robe diez tarjetas de crédito a personas distintas es muy probable que pueda sacar dinero de alguna ellas, simplemente «probando». El 1111 lo utilizan el 6 por ciento y el 0000 casi el 2 por ciento.

sábado, 15 de octubre de 2016

Vulnerabilidades 0-day.

Hace unas semanas hablamos en clase sobre las vulnerabilidades 0-day. El pasado martes 11 de octubre Microsoft lanzó las actualizaciones mensuales para sus sistemas y productos. En esta ocasión incluye 10 boletines de seguridad que solucionan cinco vulnerabilidades de tipo Zero Day, 0-day o Día Cero que en la actualidad están siendo utilizadas para atacar los equipos.

Una vulnerabilidad 0-day es un tipo de vulnerabilidad para la cual no se crearon parches o revisiones y que se emplea para llevar a cabo un ataque. El nombre 0-day (día cero) se debe a que aún no existe ninguna revisión para mitigar el aprovechamiento de la vulnerabilidad. 


Casi todos los parches, curiosamente, son para productos de Microsoft como Internet Explorer, el navegador Edge y para el subproducto ofimático Office.