Categorías
Seguridad Weblogs

Movable Type 5.1.1 actualización urgente

movable typeSi una de las medidas de éxito de una comunidad es la velocidad en la que una empresa libera actualizaciones de seguridad, Movable Type parece estar muerto porque recien publican una actualización de seguridad casi 10 días despues que unos hackers lograron entrar en PBS.org y publicar noticias falsas… y sinceramente me da mucha lástima ver que el software que fue uno de los pilares del nacimiento del blogging como algo masivo esté en este estado.

Ah, el reconocimiento oficial: “A remote attacker could create, read or modify the contents in the system” via TechCrunch

Categorías
Seguridad

Hacking: un banco no es responsable del robo a sus clientes

En una sentencia que va a sentar un precedente peligrosísimo un juez de USA acaba de dictaminar que el Ocean Bank de Maine no es responsable por el hackeo a una cuenta de Patco Construction uno de sus clientes. Los hechos son bastante simples de explicar, un hacker instaló un sniffer en una PC de la empresa, en cuanto robaron las claves del banco hicieron 6 transferencias por u$s540.000, el banco vió transferencias raras pero no le prestó atención a las banderas rojas y el cliente cuando recibió un resúmen de cuenta, y el banco en ese momento bloqueó la cuenta y pudo recuperar solo u$s240.000

Ahora, el fallo del juez da una serie de frases que de sentar precedente van a hacer de USA un paraiso hacker:

“el banco no es responsable si el cliente pierde sus contraseñas”
“Aparentemente y viendo las evidencias, los procesos de seguridad de 2009 no son óptimos y podrían haber usando un sistema de transferencias riesgosas en vez de hacer preguntas de seguridad”
“la ley no obliga al banco a tener los mejores sistemas de seguridad disponibles”

Categorías
Seguridad

Sony hackeado nuevamente

Hace una semana dije que Sony no podía frenar los ataques en su contra y que eso estaba logrando dos problemas mas graves que los directos que eran, la pérdida de confianza de sus consumidores y la pérdida de su mundo ideal interconectado para generar ingresos… apenas una semana después y cuando ya hablaban de volver a la normalidad aparece LulSec y libera un torrent mostrando los problemas ENORMES de Sony:

personal information, including passwords, email addresses, home addresses, dates of birth, and all Sony opt-in data associated with their accounts. Among other things, we also compromised all admin details of Sony Pictures (including passwords) along with 75,000 “music codes” and 3.5 million “music coupons”.

Due to a lack of resource on our part (The Lulz Boat needs additional funding!) we were unable to fully copy all of this information, however we have samples for you in our files to prove its authenticity. In theory we could have taken every last bit of information, but it would have taken several more weeks.

Our goal here is not to come across as master hackers, hence what we’re about to reveal: SonyPictures.com was owned by a very simple SQL injection, one of the most primitive and common vulnerabilities, as we should all know by now. From a single injection, we accessed EVERYTHING. Why do you put such faith in a company that allows itself to become open to these simple attacks?

What’s worse is that every bit of data we took wasn’t encrypted. Sony stored over 1,000,000 passwords of its customers in plaintext, which means it’s just a matter of taking it. This is disgraceful and insecure: they were asking for it.

This is an embarrassment to Sony; the SQLi link is provided in our file contents, and we invite anyone with the balls to check for themselves that what we say is true. You may even want to plunder those 3.5 million coupons while you can.

Included in our collection are databases from Sony BMG Belgium & Netherlands. These also contain varied assortments of Sony user and staffer information.

Follow our sexy asses on twitter to hear about our upcoming website. Ciao! ^_^

Y perdón por no haberlo traducido pero ¿alguien tiene idea de lo que significa esto? ¿alguien entiende lo que es para no Sony no poder frenar esto? Ya es inexplicable la idea de que “bueno, quizas descubrieron los huecos y los están explotando” ahora es literalmente “entraron, hicieron lo que quisieron y ahora van a destruir tu reputación online día a día” y junto a esto.. la idea de que porque estás poniendo tus datos en un server de una empresas grande estos están seguros.

Ah, no puse el link al Torrent pero todos lo van a encontrar :S

Categorías
Destacadas Gaming Seguridad

Los dos problemas de Sony y sus hackeos

psn_hack_otra_vez

En un almuerzo hoy con @briascoi surgió el tema del hack a Sony, primero tirando abajo la Playstation Network por casi un mes y poniendo en peligro los datos de 100 millones de usuarios, y luego los episodios de So-Net robando datos de clientes, el phishing en un dominio oficial de Sony Thailandia, el DDoS a Grecia, Indonesia y Canadá… en definitiva, Sony está afrontando una intrusión o hack diferente por semana a sus redes desde hace casi ya dos meses.

Y pese a que su respuesta haya sido poco menos que del manual de buenas prácticas comunicaciones (aceptar el problema, cerrar el acceso total, comunicarse con los potenciales afectados, etc.) esto tiene dos problemas más allá del típico de los usuarios enojados y que son más graves aún:

Categorías
Seguridad Weblogs

WordPress 3.1.3 actualización de seguridad

Si usás WordPress te recomiendo actualizar a la última version, la 3.1.3 que corrige principalmente problemas de seguridad en URLs canónicas, en la subida de archivos multimedia, en el upload de archivos a empresas de hosting descuidadas y hasta incluye protección para clickjacking en nuevos navegadores.

Un detalle de orgullo, además del Microsoft Security Response Center, hay arreglos de seguridad en esta versión hechos desde Perú por Alexander Concha y desde Argentina por Verónica Valeros :)

Categorías
Seguridad

Me hackean y los bombardeo.. como último recurso

“Los Estados tienen un derecho inherente a su auto-defensa que puede ser disparada por actos agresivos en el ciberespacio.” … “Ciertos actos hostiles conducidos en el ciberespacio pueden acarrear acciones bajo los compromisos que tenemos con nuestros socios militares,” … “De ser necesario, los Estados Unidos responderan a esos actos hostiles como a cualquier otra amenaza a nuestro país”

Estados Unidos acaba de presentar su Estrategia Internacional para el Ciberespacio y en la misma equipara oficialmente ataques digitales a los tradicionales y, por consiguiente, su respuesta puede ser tambien equiparable… a las que ya conocemos.

Categorías
Seguridad Weblogs

WordPress.com hackeado

En su blog oficial WordPress reconoció que un hacker logró tener acceso total a algunos de sus servidores pero no dicen exactamente a cuales o que lograron acceder efectivamente… por ejemplo, no se sabe a ciencia cierta si pudieron acceder al código de los blogs o las claves de los usuarios que estan aseguradas con PHPPass

Categorías
Seguridad

Sony vs. Hotz: acuerdo extrajudicial y volvemos a cero

playstation logo Y cuando uno imaginaba que iba a sentarse un precedente por el cual se podían publicar vulnerabilidades de sistemas en forma de papers académicos, George Hotz decidió llegar a un acuerdo extrajudicial con Sony por haber publicado como esquivar la seguridad de la PS3 y, personalmente, me decepciona saber que pese a contar con el apoyo de la comunidad haya decidido arreglar con un gigante.

Categorías
Seguridad

¿Era necesario Firesheep?

A veces me pregunto que pasa con la industria de Internet que necesita de golpes en la nuca para hacer las cosas como deberían hacerse de una vez; hace 6 meses salió Firesheep, una extensión de Firefox que permitía a todo el mundo hacer sidejacking de una forma simple

firesheep y cuentas ajenas

Y aunque la realidad era una simple interfaz gráfica que permitía hacer algo que cualquier script kiddie podía hacer, fue necesario que aparezca esto para que poco a poco Twitter te diera la opción de ingresar con HTTPS por defecto y recién hoy que Foursquare anuncie que todas las conexiones saldrán por HTTPS.

Y acá viene el mensaje cuasi-apocalíptico-paranoico (o simplemente realista) Internet no se volvió totalmente segura de un día para el otro ni tus claves están 100% seguras porque usás HTTPS… pero parece que para ir implementando cosas de seguridad es necesario un golpe de realidad cada poco tiempo.

Categorías
Microsoft Seguridad

Rustock y Waledac: como Microsoft decapitó dos botnets

Skull_skulls Hace un año Microsoft decapitaba una de las botnets más grandes del mundo en esa época, Waledac con casi 1 millón de PCs infectadas era uno de los más grandes distribuidores de spam y malware y hace una semana lograron dejar sin operación a Rustock otra de las más grandes botnets del mundo.

Y necesité leer demasiado de un tema que me parece fascinante porque en cierto sentido Microsoft con su Operación b107 o la de Waledac, hicieron algo que es similar a una decapitación más que a una batalla, no destruyeron la amenaza en si, ni “desinfectaron” las PCs/Mac infectadas a lo largo del mundo sino que cortaron la comunicación con los únicos habilitados para dar órdenes…. y repito, no atraparon ni a los generales (bot masters) ni masacraron soldados (los zombies) con lo que es imposible pensar que la batalla está terminada.

Categorías
Seguridad Web2.0

Flickr crea controles para evitar borrar cuentas

Así como ayer daba opciones para hacer backups de tu cuenta de Flickr porque alguien de customer service había borrado las 4000 fotos de un usuario, incluyendo comentarios, favs, estrellas, etc. que configuran el total de la cuenta del mismo… hoy parece que Flickr no sólo está terminando de recuperar todo el contenido además de las fotos sino que está creando un control par evitar estas cosas

Y lo que está haciendo Flickr es algo bastante común en todo servicio web, al momento de borrar una cuenta, esta va a pasar a un estado de “inactiva” por un par de semanas para que luego, si no hay reclamos o problemas, pase a ser borrada permanentemente… ah, Mirco Wilhelm (al que le habían borrado la cuenta) va a recibir 25 años de cuenta PRO gratis como compensación ;)

Categorías
Seguridad

Cambridge respondiendo por un estudiante

La tesis de un estudiante de Cambridge demostró que el sistema de Chip y PIN de las tarjetas bancarias es inseguro, publicó un paper en Internet, la UK banking trade pidió censurar el trabajo y que se prohiba su publicación…. la respuesta del responsable del laboratorio de seguridad es, simplemente, genial:

En segundo lugar, usted parece pensar que podría censurar la tesis de un estudiante, que es legal y ya es de dominio público, simplemente porque un poderoso interés le resulta inconveniente. Esto muestra un profundo desconocimiento de lo que las universidades son y cómo trabajamos. Cambridge es la Universidad de Erasmus, de Newton, y de Darwin; censurar los escritos que ofenden a los poderosos es ofensivo para nuestros valores más profundos.

Y miren más allá del discurso de la “libertad de expresión” y verán como luego de su publicación en menos de un mes, al menos el Barclay’s arregló una vulnerabilidad que tenía casi un año de reportada pero no probada en cámara y con el respaldo de una institución como Cambridge…. lo que muestra que el white-hat hacking es necesario

El detalle, el profesor aprovecha el post en su blog para invitar a los responsables de seguridad a Financial Cryptography 2011 ;)

Categorías
Apple Destacadas Seguridad

Vulnerado el DRM de la Mac App Store

A 10 días del lanzamiento del Mac App Store, los responsables de Hackulous anunciaron que ya vulneraron el DRM de la tienda y sus aplicaciones y que lo van a lanzar en cuanto la tienda tenga unos cuantos miles de aplicaciones ya disponibles.

mac app store tienda aplicaciones mac

Si uno usó un iPad,un iPod Touch o un iPhone ya sabe que la combinación Hackulous + AppTrackr es casi obligatoria, sea porque uno en serio se cree el “somos un directorio para que puedas probar aplicaciones antes de comprarlas” o porque simplemente aceptes públicamente que no vas a gastar plata en aplicaciones.

Categorías
Internet Seguridad

Problemas en Skype: Supernodos, el punto débil

Excelente artículo de Dan York explicando la arquitectura de Skype y el problema que desde ayer está afectando el servicio y que puede resumirse simple: en cualquier red hay supernodos, atacá los suficientes y la red completa va a ser vulnerable

supernodos red skype

En el caso de Skype estos supernodos, que son PCs distribuídas alrededor de Internet, básicamente manejan los directorios o listas de usuarios y al caer los suficientes, empiezan a darle prioridad al resto haciendo que los usuarios “comunes” no tengan posibilidad de registrarse en la red porque “desaparecieron” de esos directorios.

Para poner una analogía muy básica, por más que Internet es distribuído y nadie podría frenar a un Skynet… tiren abajo solo 10 servers, pero que sean los Root nameserver basados en USA y van a ver la resistencia de la arquitectura de Internet a caídas :)

En definitiva, el mejor consejo, ahora entienden porque VoIP no es TelefoníaIP y cual es la diferencia entre un servicio para consumidores y uno corporativo ;)

Categorías
Internet Redes Sociales Seguridad

Los 10 startups más interesantes financiados por la CIA

Hace un tiempo hable de como la CIA había armado un brazo oficial de VC para financiar startups llamadoInQtel y como, junto a Google habían invertido en Recorded Future ahora en Forbes una nota bastante interesante habla de sus movimientos en Silicon Valley y, entre eso, muestra algunos startups donde el Gobierno de USA y su Central de Inteligencia han invertido:

recordedfuture y hulu

Categorías
Destacadas Seguridad

Como protegerte de Firesheep

Hace apenas 4 días publiqué una nota sobre Firesheep y el add-on ya fué descargado más de 250.000 veces.

No creo en el concepto de seguridad por oscuridad donde se maneja todo en silencio hasta que haya una solución porque los que viven del hacking cononcen estos problemas pero ni al publicarlo creí que iba a despegar así…. y teniendo en cuenta que el concepto de WIFI gratis y sin clave es mucho más común en Argentina que en el resto del mundo, sólo les recomiendo esto: Usen un servicio de VPN.

Categorías
Destacadas Seguridad

Firefox Firesheep: hacker en 15 segundos

firesheep y cuentas ajenas

SI uno es paranoico con la seguridad en hotspots abiertos, llegó la extensión de Firefox que justifica esa paranoia: Firesheep te permite, en pocas palabras, entrar en un hotspot wifi y al abrir una nueva pestaña de tu navegador ver TODAS las sesiones de Facebook, Twitter y Flickr… en otras palabras hackearlas con un click.

Categorías
Apple Destacadas Seguridad

Jailbreakme: El exploit de seguridad del que nadie habla

apple pray wired Hoy aprendimos que podés hacerle un jailbreak a un iPhone con iOS4 desde safari con solo entrar en un sitio y hacer click; lo que me sorprende es que a nadie le haya parecido raro que estes violando la seguridad de un sistema operativo de forma remota… ¿no es eso un exploit?

Según el mismo John Gruber el exploit es un bug es un “PDF font bug” o sea que parece ser culpa de Adobe, pero sinceramente ¿a nadie se le ocurrió la idea de que ese bug derrota completamente la arquitectura de seguridad de un OS y permite un acceso remoto capaz de modificar las entrañas mismas del OS?

En definitiva, Jailbreakme es un problema de seguridad, que por ahora fue usado para algo útil pero si lo usaron con tanta confianza, recen ;)

Categorías
Google Seguridad

Google abandona Windows como sistema operativo

google favicon En algo que parece más una movida para molestar a Microsoft que una cuestión de verdadera seguridad, Google comenzó una directiva para sacar a Windows de las PCs de sus empleados por “motivos de seguridad” dice el Financial Times.

Es interesante que el principal ganador en el escritorio de esta movida sea Mac OS que es su principal competidor en el mercado de smartphones y en otras áreas más sensibles y, por ahora, menos llamativas; al menos 3 empleados me dijeron “somos una empresa de ingenieros así que va a ganar Linux” y yo me permito dudar que Google siga siendo una empresa de Ingenieros y creo que siguen teniendo el ADN de ellos en su estructura pero, definitivamente, es una agencia de publicidad camuflada como buscador… ¿no te gusta la definición? 99% de sus ingresos viene de AdWords+AdSense ;)

Categorías
Seguridad

Prey con geolocalización via WIFI

Prey es un proyecto bastante interesante que sirve, básicamente, para rastrear tu PC/Mac si te la roban; hasta ahora generaba una serie de datos para poder ubicar el equipo robado; aunque antes la información era muy completa ahora agrega, a través la de Google Location API para darte una ubicación a través de las redes WIFI que el equipo tenga a su alcance.

prey computadoras robadas