Usan smartphones para leer datos de tarjetas de crédito (en inglés)

(Tomado de lossofprivacy.com)

http://www.cbc.ca/player/News/Canada/Manitoba/ID/2381552432/

Many new credit and debit cards come with chips that allow customers to tap the card to make a purchase. These chips, used in many retail outlets from Tim Hortons to high-end computer shops, are read by payment machines and are supposed to be a safe and convenient way to pay for goods.

Using a Samsung Galaxy SIII — one of the most popular smartphones available in Canada — and a free app downloaded from the Google Play store, CBC was able to read information such as a card number, expiry date and cardholder name simply by holding the smartphone over a debit or credit card.

And it could be done through wallets, pockets and purses.

The app used the near field communication (NFC) antenna built into the Galaxy SIII phone, a feature available on many phones running Google’s Android operating system. The antenna is normally used to allow two phones to talk to each other.

While the apps can’t read CVV information, this isn’t always necessary in order to make a purchase. Many stores have a $25 or $50 limit before you even need to sign for your purchases. Most stores don’t ask for your CVV when you are there in person. Stores such as Staples, type in the last four digits of your credit card number when they ask for the card. The most common place for CVV information is when purchasing something online. Given the fact that the vast majority of retailers don’t ever ask to look at the card, cloning a card for several small purchases can be done without it even needing to look legitimate.

Análisis de estadísticas de red como herramienta de detección de incidentes

(Tomado de securityartwork.es)

Las estadísticas de red, o network flows, son datos recopilados del tráfico de una red que básicamente suele consistir en registros de cada una de las conexiones. Pueden ser IP origen y destino, protocolo, número de paquetes enviados/recibidos, tiempo de conexión, etc. Esta información se almacena en base de datos para sacar estadísticas, muy útiles para los administradores de red, y también como vamos a explicar hoy, para la gestión de incidentes.

Usualmente estos datos pueden exportarse directamente de la electrónica de red, en formato sFlow o NetFlow, este último formato propietario de Cisco. Algunas aplicaciones usuales para manejar estos datos suelen ser SiLK o Argus.

 

¿Qué ventajas tiene un gestor de estadísticas de red?

  • Recopila información sobre el tráfico, sin tener que capturar ni esnifar.
  • No importa si el tráfico va cifrado.
  • Es fácil de implementar.
  • Actúa como histórico para usarlo de consulta.
  • Es un excelente complemento para un IDS o IPS.

Con esta información, es posible detectar incidentes que se hayan producido si sabemos qué buscar y cómo buscarlo. Por poner un ejemplo, se podría hacer un timeline bastante preciso de una intrusión o verificar después de la contención de una infección que ésta ha sido efectiva. Veamos algunas técnicas para buscar posibles incidentes:

  • Filtrado: Se pueden acotar los datos a una IP concreta que previamente hemos detectado como sospechosa. De este modo se puede tener un registro detallado de su actividad, y deducir si sus acciones han sido maliciosas. También podría filtrarse por una franja horaria o un puerto concreto que sabemos opera algún malware determinado.
  • Tráfico normal vs tráfico anómalo: identificando cual es el tráfico normal en una red, se puede identificar de forma sutil el tráfico anómalo y potencialmente malicioso a toda actividad que se salga del patrón habitual. Tráfico entrante hacia un puerto no identificado puede traducirse a un posible backdoor en un servidor. Así también sería posible detectar algún indicio de ataque dirigido.
  • “Dirty Values”: En análisis forense es habitual disponer una lista de valores predefinida a buscar. Como aquí no se tiene el contenido del tráfico, los patrones a buscar serían, por ejemplo, listados de direcciones IP maliciosas, como las disponibles en abuse.ch o Shadowserver.
  • Patrones de actividad: los incidentes de seguridad suelen identificarse por un comportamiento muy concreto. Conociendo el patrón que siguen, se puede detectar. Si la tarea se automatiza y se parametriza de acuerdo al entorno de la organización, se tendría una poderosa herramienta de detección de incidentes.

Con las técnicas descritas, a modo de ejemplo vamos a enumerar varios casos de incidentes y sus comportamientos habituales:

Botnets / Malware:

  • Incremento de peticiones DNS, mucho más de lo usual, o más que los demás hosts. Típico para el malware que usa fast-flux.
  • Tráfico SMTP, RPC, SMB o IRC inusual.
  • Tráfico de 1 origen y N destinos.

Escaneos

  • Tráfico de 1 origen y N destinos y excesivos paquetes SYN sin contestar.

DDOS

  • Tráfico de N orígenes y 1 destino y excesivos paquetes SYN sin contestar.

Fuga de datos / Servidor comprometido

  • Mucho tráfico saliente hacia una única IP.
  • Tráfico en horario poco habitual.

Cómo te hackean en Starbucks (en inglés)

“O, qué pueden darte aparte de un espresso” (Tomado de mashable.com)

For those who frequently use the free public Wi-Fi in coffee shops such as Starbucks and Dunkin’ Donuts, you’re likely already aware of how easy it is for hackers to steal your personal and financial information over the shared network.But what you may not realize is how cybercriminals could gain access to sensitive data in other ways that might not be on your radar.

According to ThreatMetrix, a provider of cybercrime prevention solutions, some hackers even leave malicious USB drives on tables for curious customers to plug into their devices. This allows them to retrieve personal information and even social network passwords. Although this may seem unlikely, ThreatMetrix says the scenario actually occurs.

 

Cybercriminals can also use video cameras on a mobile device to capture what you’re doing nearby. This means if you are entering your credit card or email login information into a smartphone, you could be recorded doing so. Creepy, right?

More sophisticated techniques include network scanners, which detect open ports on a device connected to the network, and “hotspot honeypots” which intercept a user’s Internet connection and give full access to that network.

Here’s a look at what to keep your eyes peeled for when cozying into a coffee shop near you. Note: Click to enlarge the infographic.

Starbucks Infographic

Image courtesy of Flickr, marcopako

Este es el email con el phishing que permitió acceder a la cuenta de AP que tuiteó el falso atentado a Obama

(Tomado de theinquirer.es)

Publicado el 24 de abril de 2013 por Antonio Rentero

La cuenta de Twitter de la agencia de noticias Associated Press sufrió ayer una intrusión que permitió que se publicase (sin el consentimiento de AP, evidentemente) un tuit en el que se informaba de un ataque a la Casa Blanca en el que habría resultado herido el presidente Obama. Hoy conocemos cómo se produjo esa intrusión que tomó el control sobre la difusión a través de Twitter de la falsa información.

 

El revuelo organizado del que te hemos dado buena cuenta aquí en The Inquirer llegó a afectar a la cotización de la Bolsa en Wall Street, requirió que un portavoz de la Casa Blanca desmintiese la información y todo se debió a un correo electrónico que contenía un enlace malicioso que permitió un acceso no autorizado a los equipos informáticos de la agencia de noticias.

A partir de ahí el desastre estaba servido y aunque pudo atajarse a tiempo los más de dos millones de seguidores de la cuenta en Twitter de AP recibieron la falsa noticia de las explosiones y la difusión en Internet fue inmediata. El autodenominado Ejército Electrónico Sirio reclamó la autoría de este acceso así como el intento de algo similar contra otros influyentes medos de pernsa como la BBC, la CBS o la agencia de noticias Reuters.

La pista para explicar cómo pudieron acceder estaría en el correo electrónico que reproducimos a continuación y que recibió uno de los empleados de AP, pulsando sobre el enlace que presuntamente dirigía a una importante información publicada por el Washington Post pero que en realidad ocultaba la vía de acceso al equipo y desde ahí al parecer no costó demasiado llegar a una sesión abierta de la cuenta en Twitter.

El ataque además resultó efectivo porque al parecer se eligió cuidadosamente a quién se enviaba este email pero también qué nombre se empleaba como remitente de este correo electrónico. El “remitente” era alguien de confianza para el destinatario y este tenía acceso a la cuenta en Twitter de Associated Press. Ganada así la confianza sólo restaba aguardar a que se franquease el acceso a su equipo y desde ahí apoderarse (aunque fuera momentáneamente) de la cuenta de la red social de microblogging y proceder a publicar la noticias del falso percance explosivo presidencial.

Ciberataque deja a 10 millones de holandeses sin firma electrónica

A tomar las debidas precauciones! (Tomado de eluniversal.com.co) Un ciberataque dejó a más de 10 millones de holandeses este miércoles sin firma electrónica oficial, el sistema de identificación electrónica, informó el ministerio del Interior.

El sistema, conocido como DigiD que permite presentar por internet la declaración de la renta, “está inaccesible desde el martes por la noche a causa de un ataque DDOS”, dijo el ministerio en un comunicado.

Muy popular en Holanda, el sistema lo usan 10 de los 16 millones de holandeses, dijo a la AFP un portavoz del ministerio Frank Wassenaar, quien precisó que los datos privados de los usuarios no se han visto afectados.

Este ataque informático tiene la forma de “denegación de servicio” (DDOS) que consiste en el bloqueo del portal debido a la avalancha de solicitudes.

“Es como si sonara una alarma continuamente y la puerta estuviera cerrada”, dice el ministerio: “los ladrones están fuera pero desgraciadamente los visitantes normales también”.

La identificación electrónica permite determinar la identidad de una persona a través de los medios electrónicos. En algunos países, se trata de un carné de identidad electrónico, pero en Holanda, el sistema DigiD está integrado por un identificador y por un código de acceso.

Estas identificaciones oficiales sirven en particular para rellenar la declaración de impuestos por internet, informar a la comuna de un cambio de dirección o solicitar documentos oficiales.

Los servicios policiales especializados en la ciberseguridad han abierto una investigación, según la misma fuente. 

Holanda ha sido escenario de varios ataques DDOS, en particular en algunos bancos, como el ING, cuya plataforma de gestión de cuentas por internet quedó bloqueada durante varias horas a principios de abril. El portal internet de la compañía aérea KLM también ha corrido la misma suerte

Falso positivo en Windows afecta a mil PCs

(Tomado de seguridad.unam.mx)

Una actualización de software para el antivirus Malwarebytes desactivó a miles de PCs antes de que pudiese emitirse una solución esta semana.

http://4.bp.blogspot.com/__AC_qqKWppo/Sl2jBfWnUKI/AAAAAAAAA1Y/sVYpXGWznOw/s400/malware.jpgLa base de datos de Malwarebytes versión v2013.04.15.12 marcó erróneamente algunos de los archivos de sistema del núcleo Windows como maliciosos, lo que resultó en máquinas inestables y, en algunos casos, dejándolas sin posibilidad de arranque. Dichos archivos de sistema de Windows fueron confundidos con el malware Trojan-Downloader-ED.

La firma de antivirus rápidamente sacó una actualización el lunes pasado y señaló las instrucciones para atender a las máquinas afectadas y devolverlas a un estado saludable. A pesar de su pronta respuesta, durante los primeros minutos después de que saliera el problema a la luz pública, miles de usuarios fueron afectados. Tanto consumidores como empresas usuarias de la tecnología de Malwarebytes padecieron el problema.

Marcin Kleczynski, jefe ejecutivo de Malwarebytes, se disculpó por la actualización fallida antes de dar noticia sobre las prometedoras mejoras en su proceso de actualización.

“De ahora en adelante, las actualizaciones del antivirus Malwarebytes serán probadas en un servidor virtual antes de ser lanzadas al mundo”, dijeron, una jugada que, por lo menos, debería identificar los problemas más obvios.

Malwarebytes es mejor conocido por su software de escaneo de seguridad de distribución gratuita, pero se ramificó en septiembre pasado orientando su enfoque en empresas a través de una versión mejorada de su tecnología antivirus.

Los falsos positivos que involucran actualizaciones de las firmas del antivirus son un problema perenne que ha afectado a casi todos los proveedores de antivirus en un momento u otro. Las consecuencias son aún más problemáticas cuando confunden a los archivos del sistema operativo Windows como una amenaza potencial y se les pone en cuarentena, como sucedió en este último caso con Malwarebytes.

Ocho consejos para poner en marcha un plan de respuesta a incidentes

(Tomado de csospain.es)

Como la seguridad al cien por cien no existe y solo es cuestión de tiempo que se produzca algún incidente de seguridad, Sophos propone a las empresas contar con un plan de respuesta a accidentes, ofreciendo una serie de consejos para su elaboración.

Son pocas las organizaciones que disponen de un plan de respuesta a incidentes de seguridad. Según James Lyne, analista de Sophos, “cuando se produce un incidente, es más común observar a la gente corriendo frenética e improvisando planes de acción, una falta de preparación que puede conducir al desastre, llevando a tomar malas decisiones bajo presión”. Para evitarlo, la compañía da una serie de consejos para desarrollar e implantar un plan de respuesta a incidentes.

El primer consejo, y el más obvio, es elaborar un plan de respuesta a incidentes, pero sorprende el gran número de organizaciones que ni siquiera se lo han planteado. Este plan no tiene que tener una gran extensión, pero tiene que ponerse por escrito y distribuirse convenientemente para que todos sepan cómo actuar llegado el momento. Sophos aconseja asimismo predefinir el equipo de respuesta a incidentes y asegurarse de que se aborda desde múltiples disciplinas, ya que, para Lyne, “un buen equipo de respuesta a incidentes no sólo debe consistir en los responsables de TI o de seguridad, aunque, sin duda, tienen que ser un núcleo fuerte, sino que también debe incluir responsables de relaciones públicas, recursos humanos y equipo legal”. Hay que asegurarse de que cada miembro del equipo es informado sobre su participación y expectativas.

También es importante definir el enfoque del plan: ver y esperar a ver cómo actúa el atacante, o contener el ataque y recuperar los sistemas, algo que se necesita hacer por adelantado y que requiere de una buena preparación, apoyo ejecutivo y un equipo de expertos para manejar el riesgo. “La mayoría de las organizaciones se centran en contener el daño y recuperar los sistemas”, comenta el analista de Sophos.

Otro consejo consiste en predistribuir tarjetas de llamadas, ya que otro error muy común es depender de la infraestructura de comunicaciones normal en caso de incidente. Es importante definir asimismo cómo se van a capturar los datos a restaurar, así como las pruebas del incidente una vez producido, algo que suele fallar a menudo debido a la tendencia a precipitarse. “¿Pondrá a funcionar Volatility para capturar memoria? ¿Apagará la máquina y tomará una imagen del disco para capturar tanto como pueda antes de que el ataque lo elimine? Decida qué ruta a seguir en cada caso y prepare un conjunto de herramientas adecuado”, aconseja James Lyne.

Es necesario asimismo asegurarse de que la respuesta a incidentes enlaza con la política de uso aceptable de la organización y el programa de concienciación sobre seguridad. En particular, los administradores del sistema y los propietarios de aplicaciones y de datos deben saber cómo contactar con los responsables de la organización si detectan algo inusual, para así poder actuar rápidamente. También hay que saber cómo informar de un incidente ante la ley, sobre todo en los casos en que el servidor web haya sido hackeado para robar datos confidenciales de clientes.

Finalmente, como en todo, la práctica hace la perfección, por lo que es recomendable realizar simulacros.