Epsilon: Mayor robo de datos online de la historia

La empresa Online Epsilon sufrió lo que los expertos consideran como uno de los mayores ataques informáticos hasta la fecha. Epsilon es una empresa que ofrece servicios de Marketing Online que gestiona aproximadamente 400,000 millones de anuncios y ofertas por email al año, esta ha sufrido el ataque de un hacker que habría logrado robar archivos de información privada de sus consumidores.

La verdad es que a pesar de la magnitud de este ciberataque, la evidencia apunta a que el cibercriminal no llegó a acceder a los números de tarjeta de crédito, passwords o números de seguridad social. Actualmente la policia esta tratando de esclarecer las causas de este atentado, mientras la empresa Epsilon no ha proporcionado datos concretos sobre las empresas afectadas. (¡Hola RSA!)

También se dice que entre los afectados podría encontrarse la cadena hotelera Marriot y Kroger, que es la segunda cadena de supermercados de Estados Unidos.

Algunas compañias que trabajan con Epsilon, como es el caso de importantes entidades financieras como: Bancorp & Citigroup, JPMorgan Chase, Bestu Buy, TiVo, Kroger, las farmacias Walgreen, Barclays Bank, la firma de tarjetas de crédito Capital One Financial, ya han avisado a sus clientes del incidente para prevenirles de posibles ataques de Phishing, con el fin de obtener datos de sus cuentas corrientes.

“Nuestros proveedor de correo electrónico, Epsilon, nos ha informado que un individuo o individuos tuvieron acceso de forma no autorizada a información limitada sobre usted”, aseguró HSN, operador de e-commerce, en un correo enviado el domingo a sus clientes.

• Los nombres y correos electrónicos de clientes de Citigroup y de otras grandes compañías estadounidenses fueron expuestos en una gigantesca violación de datos, después de que un pirata informático se coló en la empresa de marketing online Epsilon.
  
• Los nombres y contactos electrónicos de algunos estudiantes afiliados al College Board -que representa a unas 5 mil 900 facultades, universidades y colegios- también estaban potencialmente comprometidos.

• Epsilon contactó durante el fin de semana a sus clientes para advertirles que parte de su información electrónica podría haber sido expuesta.
• No parecía que se hubiera expuesto información financiera como tarjetas de crédito o números de seguridad social, según los comunicados de las compañías y correos electrónicos enviados a clientes.
• La firma, con más de 2.500 clientes, envía más de 40 mil millones de anuncios y ofertas por correo electrónico cada año, normalmente para gente que se registra en una página de una compañía o da su dirección de e-mail mientras compra.

“Esta información incluía su nombre y dirección de correo electrónico y no incluía ninguna información financiera o sensible. Consideramos que era importante notificarle este incidente lo antes posible”, añadió.

Fuente | Reuters, Segu-Info, hacking.mx

abril 5th, 2011

[Posted with iBlogger from my iPhone]

De la C, la E y la H

CEH. Certified Ethical Hacker. Tomé el curso recientemente. Los que ya lo han tomado, sabrán que se trata de que uno entienda en general las técnicas usadas por “los malos” para penetrar sistemas/redes y poder así lograr sus fines.

La idea es que si no sabes las técnicas de ataque, difícilmente sabrás cómo defenderte.  En el curso te dan un “overview” de las fases del hackeo que básicamente son: Reconocimiento, Escaneo, Obtención de accesos (a nivel sistema y/o red), Mantenimiento del acceso y el Borrado de huellas.

Para cada una de las fases te dicen de qué se trata y qué herramientas (aplicaciones) usan “los malos” para completar esa fase. Recordemos que la diferencia entre un hacker y un profesional de seguridad es la intención y los objetivos perseguidos; las herramientas y técnicas son las mismas pero unos las usan para atacar y otros las prueban (sin daño) para entenderlas y poder defenderse.

El curso tiene una duración de 5 días donde se introduce al asistente en el mundo del hackeo, se muestran técnicas y herramientas usando no sólo PowerPoint sino también laboratorios en ambientes controlados para hacer prácticas.

Ahora bien, algunas opiniones respecto al curso:

+ Mil y un herramientas. Lo cierto es que la cantidad de herramientas que el curso pretende que “veas” es considerable y si sigues tal cual lo que indica el curso no acabas de dominar ni una sola. Tal vez esa es la intención, pero caramba, en unas cuantas semanas apenas y recordarás el nombre de los cientos de programas que se pretenden ejecutar y conocer.

+Leyes de EUA. El curso toca el tema de leyes, pero centrado en EUA. Afortunadamente fue breve, ya que en lo particular confieso que me aburren las leyes y en todo caso el material debería de “tropicalizarse” para incluir leyes de otros países.

+Herramientas desactualizadas. No todas las herramientas incluidas en el material del curso fueron “del 2010” o recientes. No puedo decir un porcentaje, pero por ejemplo el libro incluye Smurf que fue un ataque de finales de los noventa, el POD (Ping of Death) que explotaba una debilidad de la pila TCP/IP en varios sistemas existentes en 1996 (al menos esa es la fecha del aviso del CERT). También el material incluye el NetBus que algunos de mis compañeros en la Universidad llegaron a usar para gastarle bromas a otros estudiantes (estoy hablando de 1998-1999). Parecía un desfile retro de viejos ataques que llegué a ver o escuchar cuando estaba estudiando la ingeniería.  Algunas otras herramientas son viejitas pero vigentes, como por ejemplo nmap. Conclusión: está bien ver algunos ejemplos pasados de viejos ataques como que para saber “lo que existió”, pero vaya, yo sí le daría una actualizada al material del curso para ponerlo más 2010 y menos noventero (verdad, “wardialing”?).

+Instructor. Qué tanto te guste el curso y qué tanto te hayan quedado ganas de que pudo haber sido un poco mejor depende (en mi opinión) en gran medida del instructor. En mi caso el curso me gustó, David (Twitter @codigoverde) le dio un giro interesante y supo mantener mi atención con técnicas vigentes y herramientas usadas por “los malos” en el 2010 y aún así manteniendo el balance con los puntos importantes del material del curso. Sí se despegó -lo suficiente- del PowerPoint y de lo que decía el “manual” que se tenía que ver en cuestión de herramientas, y gracias al Dios Todopoderoso que lo hizo. Asimismo vimos herramientas a una profundidad adecuada. Es decir, la dinámica impuesta por mi instructor fue determinante para que el curso en general valiera bastante la pena y he de confesar que superó mis expectativas.

+ ¿Ya soy pentester si curso el CEH? En mi opinión, no. Tampoco si te certificas. Si a mí me viene un fulanito a decir que puede hacer un pentest a mi empresa porque tomó el curso y posteriormente se certificó CEH sin más credenciales y/o justificaciones, le diría que no gracias y seguiría buscando. Sólo tomar el curso y/o certificarte no te hace pentester, o al menos uno que haga un buen trabajo. Recordemos que un buen pentester domina a profundidad las técnicas y herramientas de hackeo para que con tu aval, lleve a cabo pruebas de hackeo controladas que muestren tus debilidades para que mejores. En mi opinión, el curso CEH es introductorio y (si aún no las tienes) tendrás que adquirir los conocimientos y técnicas -a profundidad- por otros medios.

+ Certificación vs Utilidad. ¿Quieres tomar el curso para certificarte CEH o para aplicar lo aprendido en tu trabajo? ¿Yo? Para las dos cosas. Aunque sinceramente me interesa más lo aprendido en esos 5 días. Hay varias cosas que me latería incorporar en lo que hago porque aumentará el valor de mi trabajo. ¿Me faltará tiempo para hacerlo? Tal vez, pero habrá que buscarlo  e incorporar técnicas de ahorro de tiempo, no?

¿Vale la pena el curso? Yo pienso que sí, opino que vas a aprender y de paso (estudiando) te certificas. Pero insisto de  nueva cuenta en que el instructor hace La diferencia.

En fin, ahora empezaré a buscar tiempos para estudiar y hacer el examen de certificación. Ya que lo haga les estaré contando de cómo me fue y cómo es el examen. Mientras tanto, nos vemos en Twitter: @FaustoCepeda

 Fuente | Hacking-mx

[Posted with iBlogger from my iPhone]

6 Easy Steps To Increase Your Privacy On Facebook

Organizing all of your Facebook friends into separate lists can help save you time and enhance the privacy of your posts and profile information.


You can set up friend lists for family, close friends, college pals, coworkers, industry friends, exes, and, well, whatever else you like. Then you will able to selectively share information using your Facebook account.

For starters, you’ll be able to post messages that are viewable only to the lists you designate. What’s more, you’ll be able to adjust your privacy settings so that your profile details are accessible only to your chosen friend lists.

Six Really Easy Steps

Follow these six simple steps to create a friend list on Facebook. You can create up to 100 friend lists and each list can contain up to 1,000 friends. If you like, friends can appear on multiple lists.

1. On your Facebook homepage, click on the friends icon  in the navigation bar running down the left column.
2. At the top right of the page, click on the icon with the pencil that reads “Edit Friends.”
3. At the top right of the page, click on the icon with the plus sign that reads “Create A List.”
4. A box will appear that reads “Create New List.” In the text box below this, that reads, “Enter A Name,” type in the name of the friend list you want to make, for example, “Industry”.
5. You will see all of your friends appear in this box. Click on the names of the people you would like to add to the list you just made. Once you select a name, a check box will appear and the name and photo of the person you selected will be highlighted in blue. As you view all of your friends using the scroll bar at right, you can toggle at the top left of the box between “All” (which shows your entire friend network) and “Selected” (which shows the friends you have chosen to be to part of the list).
6. Click on the link labeled “Create List” to save the changes you made

Modifying Friend Lists

At any time, you can change the name of the list or change the people on the list by selecting the “Edit” link that appears to the right of the list name.
To view, add or delete friend lists, go to your friends page and click on the “Edit Friends” button. Your friend lists will appear in the column at left. Click on each list to modify or delete it.

Limiting Who Sees What

When you post a status update, you can make it visible only to a selected friend list. To do this, after you type your message into the status update box, click on the lock icon. Scroll down and select “Customize.” Click on the drop-down menu under “Make This Visible To.” Select “Specific People.” Type in the name of the list you want to be able to see the status update.

To limit the people who can view your profile information to a friend list, click on “Account” at the top right of your screen.
Click on “Privacy Settings.” Then click on “Customize Settings” at the bottom left of the main text box.

For each option listed at left you can select from the drop-down menu at right “Customize.” Then, where you see “Make This Visible To”, click the drop-down menu and select “Specific People.” Type in the name of the selected friend list that you want to be able to view your profile.

Keep in mind that Facebook may continue to change its friend list interface in future. In the meantime, we suggest you forward this post to people you know who don’t have any lists set up yet — this might help get them started.

Posted by Julie D. Andrews on April 26th, 2011 1:00 PM

[Posted with iBlogger from my iPhone]

Consejos para Navegar Seguro

Me encontré con una lista de consejos del nic para navegar seguro en Internet donde varios de ellos lejos de ayudarme me hicieron quedar con cara de “what?”. Analicemos algunos de ellos con la intención de criticarlos constructivamente.

Respecto a las contraseñas nos dicen: “Se recomienda hacer uso de contraseñas largas, con diferentes letras, números y símbolos que al mismo tiempo sean fáciles de recordar”. Por “largas” creo que podemos decir que 8 caracteres puede ser suficiente (el nic no lo especifica). Sin mencionar que cuando tenemos 10, 15 ó 20 sitios a los que entramos seguido, acordarnos de “n” contraseñas complejas, diferentes pero fáciles de recordar es algo que pocos hacemos y que el nic no toma en cuenta. Lo que yo hago es usar LastPass que me ayuda a “recordar” estos passwords; así podemos cumplir con eso de que sean diferentes para cada sitio y complejas (y sin necesidad de tenerlas en la mente).

De los sitios nos dicen: “Evitar sitios de origen dudoso. Es importante pensar dos veces antes de hacer click en uno de estos anuncios, pues pueden ser causa de virus o spam”. En su consejo no nos dicen qué es un “sitio de origen dudoso” y nos recomiendan que pensemos dos veces antes de hacer click en “uno de estos anuncios”. Es ambiguo y no del todo cierto: hoy en día hasta sitios legítimos pueden contener contenido malicioso en frames, por ejemplo. No sé cómo definir un “sitio de origen dudoso”, ya que hay unos que ciertamente intuimos que lo pueden ser (por ejemplo pornográficos) pero otros ni idea (como el malware que apareció en el sitio del New York Times). Yo uso NoScript en los sitios que visito para dejar de pensar en si es dudoso o no; puede ser una verdadera lata pero hace su trabajo…pruébenlo y me dicen qué les pareció.

Pongamos el extracto completo que nos ofrece el nic para que vean que no ando intencionalmente seleccionando extractos incompletos: “Cuidar datos personales: El mal uso de los datos personales no sólo se remite a lo que el usuario comparte en sus redes sociales, pues también es importante considerar que nunca hay que escribir nombres, apellidos, direcciones, teléfonos o cuentas bancarias en sitios que no sean seguros. Para saber si un sitio es seguro, basta con revisar que el inicio de su dirección incluya una letra s (https://)”.

Me llama la atención la última parte en donde dicen que para saber si un sitio es seguro debemos de revisar que tenga “https” porque me es difícil ligar el tema de “datos personales” con el de TLS (https). Cuando un sitio cambia a https, lo que nos dice es que tiene un certificado válido; pero NO nos dice nada de qué harán con nuestros datos ni del cuidado de los mismos. El “https” crea un canal cifrado entre tú y el sitio, quien quiera que el sitio sea o pretenda ser. Nada más. Pueden intentar https://www.RoboTarjetasDeCredito.com y estarán tranquilos de saber que usa “https” y que aparece un candadito en su navegador, cierto?

Nos dicen: “No ejecutar archivos sospechosos” comentando que al navegar algunos sitios mal-intencionados nos pedirán descargar algún archivo aparentemente necesario. De nueva cuenta, eso de “archivos sospechosos” es ambiguo y poco claro, y por lo tanto poco útil. Sitios legítimos me piden también que descargue algún software (quítenle flash a su navegador y se sorprenderán) y me piden que habilite ActiveX o JavaScript (con NoScript se darán cuenta de esto último). ¿Entonces qué hacemos? Podemos usar un Sandbox, un firewall personal u otros controles (de preferencia preventivos como los ofrecidos) que le permitan al usuario común dejar de decidir si un archivo es “sospechoso”.

En fin, estos fueron algunos de los consejos que llamaron mi atención. La lección –creo- es que no debemos de aventar consejos ambiguos a los usuarios y sí usar nuestro sentido común para revisar bien lo que estamos diciendo; yo mismo he caído en esta trampa al asumir que el usuario a quien me dirijo es un CISSP.

Por otro lado, a algunos no les late poner “marcas” en su blog o artículo, pero las “marcas” pueden apoyar nuestras ideas o consejos. Tal vez se valga decir que no navegues en sitios inseguros y que puedes usar NoScript, por ejemplo. Así si no queda claro lo de “sitios inseguros”, al menos le estás dando un consejo claro y preciso de usar una herramienta. En fin, aquí siempre está el tema de “me pagan para poner marcas” que yo simplemente ignoro.

Si te das un tiempo de leer los consejos del nic, creo que coincidirás conmigo en que su concepto o lo que quisieron transmitir es valioso. Pero la ambigüedad y no ponerse en el lugar del usuario promedio a quien supuestamente van dirigidos los consejos, no fue muy atinado. ¿Tú qué opinas?

Fuente |  Hacking-MX

[Posted with iBlogger from my iPhone]

Conoce OWASP, una excelente iniciativa de Seguridad

Existen métricas para casi todo a nivel de proyectos de desarrollo de software, sin embargo, en temas de seguridad hasta hace unos años era un territorio virgen, no había gran avance en el tema, ya que la seguridad no era tenida en cuenta en los procesos de desarrollo o tal vez no pasaba de un checklist pequeño que revisaba posibles fallas de seguridad presentes en las aplicaciones.

En el año 2001, en Diciembre para ser más exactos, nace la iniciativa de OWASP, Open Web Application Security Project, como un grupo de expertos en temas de desarrollo y seguridad con las intensiones de plantear proyectos que a su vez trabajaran en temas de seguridad de aplicaciones, buenas prácticas para desarrollo seguro, pruebas de seguridad para software entre otros. Hoy en día OWASP cerca de sus primeros 10 años, plantea una organización sin ánimo de lucro conformada por un excelente grupo de profesionales de todo el mundo involucrados en varios proyectos desde la sensibilización hasta lo técnico trabajando en tres frentes (Entender como categorías): Detección, Protección y Ciclo de Vida.

A nivel corporativo, el requerimiento de implementar estándares como PCI (a nivel de transacciones de pago a través de medios electrónicos), hablan de la necesidad de implementar controles y ataques orientados al uso de OWASP, esto ofrece un marco de confianza y respaldo al trabajo en este gran proyecto.

Dentro de los frentes mencionados anteriormente, se encuentran proyectos que aportan sustancialmente a los equipos de desarrollo al hablar de código seguro, veamos algunos de ellos:

Proyecto Top Ten

Este proyecto consiste en la investigación y el respectivo análisis de las vulnerabilidades más presentadas a nivel de aplicaciones, una clasificación por criticidad, el tratamiento y presentación de soluciones para implementar. Se genera un documento anualmente y busca generar un estado del arte en temas de seguridad de aplicaciones, útil para evaluar y tomar medidas reactivas a posibles fallos de seguridad.

Proyecto Application Security Verification Standard (ASVS)

A través de este proyecto se propone un estándar o marco de referencia a través del cual se deben implementar los análisis de seguridad a aplicaciones web. Empleando el estándar como marco de referencia es posible el desarrollo de pruebas de seguridad y validación que las vulnerabilidades propuestas a través del Top Ten no se encuentren en las aplicaciones web analizadas además de otros tipos de análisis contra otros tipos de ataques.

Proyecto WebScarab

Se trata del proyecto en torno a un framework a través del cual se pueden analizar aplicaciones que se comunican a través de los protocolos HTTP y HTTPS. Su funcionamiento es similar al de un sistemas proxy de interceptación, permitiendo observar, editar y reenviar solicitudes creadas a nivel del navegador antes de ser enviadas al servidor. Su potencial es muy grande ya que cumple una función similar a aplicaciones como Tamper Data, permitiendo realizar ataques de Cross-Site Request Forgery (CSRF).

Proyecto Secure Coding Practices

Por medio de un documento que aborda las buenas prácticas para desarrollo seguro, un equipo de investigación dentro del proyecto OWASP, propone lineamientos, recomendaciones y referencias para aplicar en procesos de desarrollo de software totalmente adaptable al proceso llevado a cabo dentro del ciclo de vida del software a construir o en proceso.

Proyecto Enterprise Security API (ESAPI)

Por medio de Top Ten se identificaron las vulnerabilidades que se encuentran presentes con mayor frecuencia en proyectos de software. Por medio de herramientas como WebScarab se hace explotación de estas vulnerabilidades. Haciendo revisión de las buenas prácticas de desarrollo de software seguro se cuentan con lineamientos para involucrar buenas prácticas al proceso de codificación. Ahora es necesario implementar controles para evitar que el software desarrollado sea vulnerable a ataques conocidos. Es aquí cuando podemos hablar del proyecto Enterprise Security API, mejor conocido como ESAPI.

Un grupo de expertos en seguridad y desarrollo, ha puesto a disposición de todos una API para canocalización y sanitización (no recibir o enviar información que contenga caracteres o información que se pueda traducir en ataques) de entradas y salidas de información desde y hacia nuestras aplicaciones, ofreciendo controles estandarizados para las vulnerabilidades presentadas en el OWASP Top Ten.

ESAPI se encuentra disponible para lenguajes como PHP, JAVA, Python, .NET, ASP, Ruby, entre otros, además de ofrecer documentación para su implementación a través del uso de patrones de software.

El uso de ESAPI como API de control de ataques ofrece múltiples beneficios a equipos de desarrollo:

• Facilidades de implementación en diversos lenguajes y tecnologías
• Capacidad de transformación de acuerdo a las necesidades cambiantes del área de seguridad y especialización de ataques, similar a la frase: “No reinventar la rueda, sólo optimizarla“
• Ofrecer calidad en los procesos de desarrollo a través de el cumplimiento de buenas prácticas y estandarización de codificación.

Para finalizar esta revisión del proyecto OWASP, una invitación a participar en los capítulos locales en cada país o formar uno, de la misma forma, acercarse a este tipo de proyectos que similares a proyectos de software libre, aportan en gran medida a procesos de mejoramiento continuo y estandarización, algo necesario en el mundo empresarial actual y asociado a ese tema que tanto nos apasiona, la seguridad de la información.

Fuente | Hacking-MX

[Posted with iBlogger from my iPhone]

Seguridad VS Usabilidad: Mejor educar

No es extraño para los usuarios de sistemas informáticos, especialmente los que manejan información que puede llegar a considerarse como privada o confidencial, cuenten con sistemas de autenticación más complejos, temas como doble validación (algo que se sabe y algo que se tiene) e incluso autenticación de tres factores (algo que se sabe, algo que se tiene y algo que se es).

Haciendo una retrospectiva a las razones de implementación de estos controles es necesario hablar de uno de los primeros controles y que a pesar del tiempo se niega a desaparecer, y que bueno que no lo haga. Con esto me refiero a los famosos sistemas “Captcha” o de validación de “humanidad”, por denominarlo de una forma más nemónica.

A través de sistemas de reconocimiento de símbolos, operaciones matemáticas e incluso, respuesta a preguntas, se busca determinar que quien llena un formulario o un sistema de registro de datos, sea un humano y no un robot o aplicación diseñada para generar spam. Sin embargo, el sistema de captcha ha tenido que evolucionar dado que las técnicas de sobrepaso de sus controles es fácilmente vulnerada por atacantes que a través de técnicas de análisis de imágenes, detección de bordes, e incluso bases de datos de captchas, traspasan estos controles. A pesar de ello, aún el clásico captcha de operaciones aritméticas escritas en letras resulta muy compleja de superar.

Pasamos ahora a otros controles más rigurosos, tales como los implementados a nivel de portales de banca o sistemas financieros. Debido a los constantes intentos de fraudes y de robo de información perpetrados contra estos sistemas de información, se habla de múltiples controles tales como teclados virtuales (para evadir posibles keyloggers), preguntas de seguridad (algo que se sabe), uso de tokens (algo que se tiene), además de bloqueos de sesión por tiempos cortos de inactividad, ofuscación d entre otros controles.

Desde estas perspectivas, los controles implementados harían en teoría este tipo de sistemas muy difíciles de vulnerar para posibles atacantes. Desafortunadamente, en la medida que se implementan más controles para dificultar las actividades delictivas a atacantes, se aumenta la dificultad de acceso para los usuarios.

La situación antes mencionada se traduce para el usuario en traumatismos para el manejo de cuentas de acceso a plataformas, exigencia de información que no resulta de fácil recordación, requerimientos técnicos a nivel de navegadores u otros componentes de software. Esto crea apatía hacia el uso de la tecnología que se traduce en difusión de comentarios que pueden afectar la imagen o reputación de una organización.

No es un mito o mentira el hablar de que a mayores controles de seguridad la usabilidad y accesibilidad se ve afectada a nivel de aplicaciones y sistemas de información. Tampoco es una mentira que actualmente nos encontramos en un estado de explotación tecnológica en el cual la clásica frase de “policías y ladrones” se traslada al mundo virtual, donde es más fácil delinquir al igual que esconderse.

Entonces ante lo anterior,

¿Qué se puede hacer por parte de quienes trabajamos en seguridad para hacer que los usuarios de estas tecnologías, entre los que nos incluimos también, encuentren en estos controles seguridad en vez de trabas o molestias en su acceso a la información?

A partir de la experiencia en temas de soporte, tratamiento y asesoramiento de usuarios y otros aspectos relacionados he encontrado y creo que más de una persona estará de acuerdo, la solución es crear conciencia, explicar los peligros existentes, si, es necesario primero crear una sensación de peligro por que existe y es real, los robos de datos de tarjetas de crédito no es un mito, el robo de cuentas de usuario de correo electrónico o redes sociales es una realidad que crece día a día por más que se implementen controles.

Es por ello que la labor de educar en la seguridad de la información permitirá a nuestros usuarios y a nosotros mismos, entender que estas medidas de seguridad buscan protegernos y al mismo tiempo, proteger nuestra información y activos, además de ofrecer una sensación de tranquilidad de saber que existen controles y mecanismos que hacen la tarea de delinquir más difícil a posibles atacantes o ladrones.

En conclusión, ante todo lo anterior, hacer de la educación en seguridad de la información una herramienta poderosa para hacer nuestro trabajo más sencillo pero más allá de eso, hacer la vida de las personas que emplean los sistemas, portales y aplicativos en general, más segura.

Fuente | Hacking-MX

[Posted with iBlogger from my iPhone]