28 de ene. de 2015

"Vocero" de Anonymous sentenciado [actualizado]

Barrett Lancaster Brown (33), periodista que sirvió como vocero oficioso para del grupo Anonymous, fue condenado el jueves a más de cinco años en prisión después de declararse culpable de cargos federales.

Brown fue condenado por el juez federal del Distrito Norte de Texas a 63 meses en una prisión federal y a pagar una restitución de U$S890.250. En abril de 2014, Brown se declaró culpable de tres delitos separados que esencialmente resuelven las tres acusaciones penales pendientes en su contra.

De conformidad con los acuerdos de culpabilidad, Brown se declaró culpable del delito grave de amenazar a un agente especial del FBI en un comercio interestatal. También se declaró culpable del delito grave de ser cómplice de acceso no autorizado a una computadora protegida y del delito menor de interferir con la ejecución de una orden de registro y de complicidad con otra persona en la interferencia con la ejecución de una orden de registro.

Contexto histórico de la sentencia

Según BoingBoing, Brown es un veterano periodista y activista que ha escrito para Vanity Fair, the Onion y The Guardian. Derivado de su asociación con los miembros del colectivo Anonymous y su propio sitio web conocido como "Project PM", Brown ha sido objeto de una polémica caza de brujas por parte del gobierno y el FBI durante más de dos años debido a que investigaba sombría acciones de contratistas como Booz Allen.

El FBI persiguió implacablemente a Brown por su relación con Jeremy Hammond, quien el año pasado se declaró culpable de atacar Stratfor, cuyos correos electrónicos fueron objeto de un vínculo notorio. Es importante tener en cuenta que el FBI nunca acusó a Brown de hacking. Para más información sobre esto, se puede leer al experto Biella Coleman: "Barrett Brown no es un hacker, pero que está siendo castigado como tal".

Sin embargo, el FBI finalmente lo acusa de obstrucción de la justicia, de amenazar a un agente del FBI y también incluye un cargo de "tráfico de información robada" porque simplemente compartió un hipervínculo que contenía información de interés periodístico, en otras palabras, el tipo de enlace que los periodistas comparten entre sí, todo el tiempo.

Así que en lugar de ser sentenciados por sólo sus crímenes, Brown tiene que cumplir por lo menos un año más en la cárcel porque el juez aceptó el argumento de compartir un hipervínculo, como explica en detalle aquí su abogado defensor.
@adolfofioranell de la Redacción de Segu-Info

Cientos de libros sobre tecnología Microsoft para descarga

Microsoft ha puesto ha disposición cientos de libros en formato electrónico y para descarga de forma gratuita. El contenido cubre muchas tecnologías de la empresa, como Azure, ASP.NET, Visual Studio, System Center, Windows, Web Development, Office, SQL Server, SharePoint Server, tutoriales, información paso a paso, guías y referencias.
Todos los e-books son libres.

  • Para ver los libros, haga clic aquí.
  • Para ver los documentos para las tecnologías de Microsoft, haga clic aquí.
  • Para ver contenido comunitario para las tecnologías de Microsoft, haga clic aquí.
  • Para aprender cómo instalar un libro electrónico, haga clic aquí.
  • Para saber sobre la publicación de nuevos libros electrónicos gratis haga clic aquí.
  • Para saber sobre la publicación de nuevos papers, haga clic aquí.
Fuente: Technet

Ghiro: herramienta forense para el análisis masivo de imágenes

En muchos casos los investigadores forenses necesitan procesar imágenes digitales como evidencia. En un análisis forense en el que se manejan muchas imágenes es difícil manejar tanta información al menos que se utilice una herramienta que facilite el trabajo.

Ghiro es una herramienta capaz de soportar gigas de imágenes, extraer y organizar la información y mostrarla en un informe en un formato agradable.
Todas las tareas están totalmente automatizadas, sólo tienes que cargar las imágenes y dejar que Ghiro haga el trabajo.
Además Ghiro es un entorno multiusuario, que permite diferentes permisos que se pueden asignar a cada usuario. Cada caso permite agrupar imágenes por tema, y elegir lo que cada usuario pueda ver según el esquema de permisos.

Principales características

  • Extracción de metadatos: Los metadatos se dividen en varias categorías según el estándar. Los metadatos de la imagen se extraen y se clasifican. Por ejemplo: EXIF, IPTC, XMP.
  • Localización GPS: en los metadatos de cada imagen a veces hay una etiqueta geográfica, información GPS que proporciona la longitud y latitud de donde se tomó la foto. Se lee y la posición se muestra en un mapa.
  • Información MIME: El tipo de imagen MIME se detecta para conocer el tipo de imagen que se está tratando, de forma simple (ejemplo: image/jpeg) y extendida.
  • Análisis del nivel de error: el análisis del nivel de error (ELA) identifica las áreas dentro de una imagen que se encuentran en diferentes niveles de compresión. La imagen completa debe ser de aproximadamente del mismo nivel, si se detecta alguna diferencia, entonces es probable que haya realizado alguna modificación.
  • Extracción de miniaturas (thumbnails): Las miniaturas y sus datos relacionados se extraen de los metadatos de la imagen y se almacenan para su revisión.
  • Consistencia de las miniaturas: a veces, cuando una foto es editada, la imagen original se edita pero la miniatura no. Ghiro detecta las diferencias entre las miniaturas y sus correspondientes imágenes.
  • Motor de firmas: Más de 120 firmas proporcionan evidencia sobre la mayoría de los datos críticos para resaltar los puntos focales y exposiciones comunes.
  • Coincidencia de hashes: supón que estas buscando una imagen y tienes sólo el hash. Puedes proporcionar una lista de hashes y se buscarán todas las imágenes en base a ese/esos hashes.
Fuente: HackPlayers y www.getghiro.org

GHOST bug crítico en Linux, con 14 años de antiguedad (PARCHEA!)

Investigadores de la empresa de seguridad Qualys han descubierto un agujero de seguridad muy importante en la biblioteca de C de GNU Linux (glibc). La vulnerabilidad ya tiene nombre y imagen relacionada: GHOST (proviene de GetHOST), ha sido identificado como CVE-2015-0235 y permite tomar el control de sistemas Linux remotamente, sin conocer datos de autenticación como usuario y contraseña. Aquí se puede ver el video publicado por la empresa.

La gravedad de la vulnerabilidad es comparable Heartbleed, Shellshock y POODLE. Qualys alertó a los principales distribuidores de Linux sobre el agujero de seguridad y la mayoría ya han lanzado las actualizaciones correspondientes. Josh Bressers, manager del equipo de seguridad de Red Hat dijo en una entrevista que "Red Hat fue avisado de esto hace una semana y ya están listas las actualizaciones para Red Hat Enterprise Linux (RHEL) 5, 6 y 7".
The GNU C Library, más conocida como glibc es una implementación de la biblioteca C y forma parte del núcleo de Linux.
Este agujero existe en todos los Linux con glibc-2.2, el cual fue lanzado el 10 de noviembre de 2000. Qualys encontró que el fallo había sido parcheado junto con una corrección menor entre los lanzamientos de glibc-2.17 y glibc-2.18 publicado 21 de mayo de 2013. Sin embargo, esta solución no fue clasificada como un problema de seguridad, y como resultado, muchas distribuciones estables aún tienen el bug. Se ha confirmado que las versiones desde 2.2 a 2.17 son vulnerables.

Las distribuciones susceptibles de ataque incluyen 7 Debian (Wheezy), RHEL 5, 6 y 7, CentOS 6 y 7 y Ubuntu 12.04. Además de la solución de Red Hat, Debian actualmente está reparando sus distribuciones, Ubuntu ha parcheado el bug para 12.04 y 10.04 y, los parches para CentOS están en camino.

La vulnerabilidad puede ser explotada mediante el uso de la función gethostbyname de glibc. Esta función se utiliza en casi todos los Linux cuando una computadora intenta acceder a otro equipo conectado a la red o, más comúnmente, al resolver un nombre de dominio mediante DNS.
Para aprovechar esta vulnerabilidad, un atacante necesita provocar un desbordamiento de búfer mediante el uso de un argumento "hostname" no válido y entonces se permite ejecutar código arbitrario con los permisos del usuario que está ejecutando DNS. En definitiva, una vez que el atacante ha explotado GHOST, es capaz de tomar el control del sistema.

"GHOST plantea un riesgo alto porque hace que sea increíblemente fácil tomar el control de un sistema. Por ejemplo, un atacante podría enviar un simple correo electrónico en un sistema basado en Linux y automáticamente obtener acceso completo a esa máquina", dijo Wolfgang Kandek de Qualys. "Dado el gran número de sistemas basados en glibc, creemos que esto es una vulnerabilidad de severidad alta y debe ser tratada inmediatamente. El mejor curso de acción para mitigar el riesgo es aplicar el parche brindado por el proveedor".

Qualys ha desarrollado una prueba de concepto enviando un comando SMTP inválido al servidor de correo Exim, en el cual simplemente envían un correo electrónico creado especialmente y que permite ejecutar una shell remota en el Linux. Según Qualys, "esto ignora todas las protecciones existentes (como ASLR, PIE y NX) en sistemas de 32 bits y 64 bits".

El consejo es actualizar Linux tan pronto como sea posible y reiniciar después parcheo porque gethostbyname es llamado por muchos procesos fundamentales, como Apache, Cups, Dovecot, Exim, GnuPG, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, y xinetd.

¿Cómo saber si soy vulnerable?

Esto es muy sencillo, simplemente se puede ejecutar un comando que utilice eglibc y observar la versión.
Por ejemplo en Debian/Ubuntu, el comando ldd:
ldd --version

ldd (Ubuntu EGLIBC 2.11.1-0ubuntu7.12) 2.11.1
Copyright (C) 2012 Free Software Foundation, Inc.
En este caso el texto en rojo indica la versión de eglibc utilizada: la 2.11 que es vulnerable.

En Red Hat y CentOS se puede utilizar rpm:
rpm -q glibc

Además, la Universidad de Chicago ha creado un sencillo script, basado en el original, para probar si se es vulnerable. Se puede descargar desde aquí o aquí. Una vez compilado con GCC, el script informa "vulnerable" o "not vulnerable".

Este otro script SH también hace lo propio.

Actualización: Red Hat, Debian, Ubuntu y Novell han publicado los parches respectivos.

Más información:
Fuente: ZDNet

27 de ene. de 2015

Aparece el primer maldrone (infecta drones)

El uso de pequeños vehículos aéreos no tripulados (UAVs por sus siglas en ingñes) comúnmente llamados Drones está transformando la manera de ir a la guerra. Los drones son utilizados para vigilancia, entrega de productos, son equipados con bombas, fueron utilizados para hackear smartphones y la lista sigue.

Recientemente, un investigador de seguridad ha encontrado una puerta trasera en el Parrot AR Drones fabricados por una empresa francesa. El backdoor podría permitir a un atacante secuestrar remotamante el vuelo del helicóptero quadcopter.

El Parrot AR Drone, presentado en la conferencia CES 2010 en Las Vegas, es un cuadricóptero que se puede controlar con el smartphone. Cuenta con dos cámaras incorporadas, es fácil de volar y puede ser controlado sin demasiado peligro de chocarlo.

El investigador de seguridad, Rahul Sasi afirmó haber desarrollado el primer malware tipo backdoor para el sistema Linux del AR Drone y lo ha apodado Maldrone [MALware DRONE], el cual puede utilizarse remotamente para secuestrar aviones, como se muestra en un vídeo demostración.
"Una vez infectando un drone con Maldrone se espera una conexión TCP inversa desde el drone. Una vez que se establece la conexión, podremos interactuar directamente con el software, así como con los controladores/sensores del robot. Nuestra puerta trasera mata el piloto automático y toma el control. Además, el Backdoor es persistente a los reinicios del dispositivo", explica el video.

Según el investigador, Maldrone puede interactuar con los controladores y sensores del robot en silencio y permitir controlar remotamente el drone. Como resultado, Maldrone podría ser utilizado para llevar a cabo vigilancia remota.

Fuente: HackerNews

Retos de hacking y programación

Hackertainment recopila una amplia y valiosa lista de enlaces, muchos de ellos bien conocidos y otros muchos quizás no tanto, y algunos ya publicados en este blog.
La lista os la dejo a continuación, pero si queréis también la puedes descargar desde Github.

General Resources

Capture the Flag

See the Trail of Bits CTF Field Guide and How to Get Started in CTF.

Crackmes

Other

Programming

Code Golf

Contests

Games

Employment-related challenges

Language-specific

Fuente: Cyberhades

F-Secure lanza VPN "Freedome" para Windows (además de iOS/Android)

Freedome Permite a los usuarios volverse invisibles frente a las cookies, el software de rastreo, el espionaje y los cibercriminales. Asimismo, evita los bloqueos por IP mediante 15 ubicaciones virtuales, haciendo posible acceder a contenido limitado por la ubicación geográfica, como por ejemplo, el video en streaming entre otros.

Las agencias de inteligencia y los cibercriminales no son los únicos que están detrás del comportamiento de los usuarios en Internet. Cada vez que una persona navega por la red, se expone a múltiples miradas por parte de los anunciantes y empresas. En este sentido, un estudio de F-Secure Labs analizó las 100 de las páginas webs más visitadas en el mundo y descubrió que más de la mitad registra la actividad de los usuarios.

Sólo el 15% de las URL son accedidas por los seres humanos, el 85% restante son sitios de terceros que acceden de forma oculta a la sesión de navegación del usuario o su comportamiento en la red. Además, más de la mitad de éstos están relacionados con el registro de actividad para construir un perfil del usuario en base a sus hábitos y costumbres. Este tipo de portales son utilizados por millones de webs en el mundo con el objetivo de ofrecer una publicidad y ofertas adecuadas a cada público objetivo. Pero existe una forma de garantizar la privacidad también ahora en las computadoras de escritorio y laptops: Freedome ahora está también disponible para proteger la privacidad y seguridad de las personas en los dispositivos con Windows.

Desde su lanzamiento el año pasado, Freedome ya bloqueó más de 900 millones de intentos de registro de actividad en todo el mundo. Freedome for Windows le da a los usuarios la posibilidad de volverse invisibles frente a las cookies, el software de rastreo, el espionaje, los cibercriminales y permite evitar los bloqueos por IP por sus 15 ubicaciones virtuales. Todo gracias a un botón que activa además la protección contra los portales con código malicioso.

Freedome for Windows también incluye una nueva característica: Private Search, la cual ayuda a los usuarios de las computadoras de escritorio a obtener resultados en sus motores de búsqueda sin que quede registrado su comportamiento. La aplicación disfraza la dirección IP del usuario para que permanezca anónimo, tenga garantizada su privacidad en línea y pueda evitar o acceder a contenido delimitado por su número IP. “F-Secure se encuentra combinando el poder de la búsqueda con la privacidad de Freedome, de esta forma la información de las personas está oculta”, explicó Samu Konttinen, vicepresidente ejecutivo de seguridad al consumidor de F-Secure.

Una buena aplicación para combatir el malware

Freedome cifra los datos de navegación, lo que una conexión segura desde cualquier punto de acceso, público o privado, y bloquea los intentos de registro de actividad del usuario. Todo activado con un simple botón, por lo que posee un diseño amigable para que cualquier tipo de usuario puedan cuidar su información personal. Además, posee una nueva característica para Android, App Security. La cual analiza la reputación basada en la nube de las aplicaciones que se descargan. De esta forma, Freedome bloquea la instalación de programas nocivos que pretenden robar información personal o causar daños al contenido del dispositivo.

Se puede realizar una prueba gratuita de Freedome por 14 días en cualquier dispositivo: Android, iOS, laptops y computadoras de escritorio con Windows. Para adquirir la aplicación para alguno de estos dispositivos, visite f-secure.com/freedome, donde además se podrán encontrar suscripciones anuales para uno, tres o cinco dispositivos. Freedome también está disponible en Google Play y Apple App Store, donde las suscripciones están limitadas a una plataforma, pero válida para todos los dispositivos conectados bajo la misma cuenta de usuario. App Security está disponible por el momento solamente para los usuarios Android.

Fuente: DiarioTI y F-Secure

26 de ene. de 2015

Google publica Chrome 40 y corrige 62 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 40. Se publica la versión 40.0.2214.91 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 62 nuevas vulnerabilidades.

Según el aviso de Google se ha actualizado la información de diálogo para Chrome app en Windows y Linux un nuevo reloj delante/detrás de los mensajes de error.

La actualización incluye la corrección de 62 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 62 vulnerabilidades, solo se facilita información de 26 de ellas (17 de gravedad alta y las 9 restantes de importancia media).

Las vulnerabilidades descritas están relacionadas con corrupción de memoria en ICU, V8 y en Fuentes. También se solucionan vulnerabilidades por uso después de liberar memoria en IndexDB, WebAudio, DOM, FFmpeg, Speech y Views. Una vulnerabilidad de salto de la política de mismo origen en V8. Por último otras vulnerabilidades están relacionadas con valores sin inicializar (en ICU y Fuentes) y lecturas fueras de límites (en la interfaz de usuario, Skia, PDFium y Fuentes). Los CVE asignados van del CVE-2014-7923 al CVE-2014-7948.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1205). Así como múltiples vulnerabilidades en V8 en la rama de 3.30 (actualmente 3.30.33.15).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 88.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Fuente: Hispasec

¿Es Google Project Zero (i)rresponsable publicando 0days y exploits de Windows y OS X?

El año pasado, concretamente durante el mes de Julio, se anunció el nacimiento de Google Project Zero, una iniciativa de seguridad de Google para auditar en busca de vulnerabilidades en aplicaciones de otros fabricantes, incluyendo en esta lista software libre y software de código cerrado. El año pasado fue especialmente vertiginoso en términos de seguridad informática, todavía convulso por las revelaciones de todos los hackeos provenientes de la NSA, la aparición de fallos como Heartbleed, ShellShock, Poodle o el resto de bugs en software criptográfico, hicieron que las inversiones en seguridad empezaran a crecer.

Google montó su equipo en busca de fallos en el software que ellos utilizan que, dicho sea de paso, pensando en una compañía del tamaño de Google es algo así como decir casi todo el software importante del planeta. En sus filas hay hackers de gran nivel y reconocimiento internacional, con varios Pwnie Awards entre ellos, e incluso GeoHot ha pasado a formar parte de este equipo que se dedica a buscar vulnerabilidades.

La polémica viene con este grupo ha venido por otro lado, no con la búsqueda de los bugs, sino con la "medida de responsabilidad" que han añadido a la publicación de sus descubrimientos, en 0days de Windows y de OS X recientemente.

Contenido completo en fuente original El Lado del Mal

Nuevo OpenSSL v1.0.2

El proyecto OpenSSL ha lanzado su segunda versión de la serie de OpenSSL 1.0, la versión 1.0.2 que es compatible con la serie 1.0.0 y 1.0.1 ABI.

Las principales novedades de esta nueva versión incluyen el soporte de la Suite B (RFC 6460) por parte de TLS 1.2 y DTLS 1.2, soporte para DTLS 1.2, soporte para otros sistemas operativos y tecnologías y otros cambios menores.

Fuente: OpenSSL