En un artículo que publica en la revista Foreign Affairs, el alto cargo del Pentágono señala que un “código malicioso, colocado en el ordenador por una agencia de inteligencia extranjera, descargó su programa en una red administrada por el Mando Central militar de EEUU“.

El Mando Central, que tiene su sede en Tampa (Florida), supervisa las operaciones militares desde el Mar Rojo al Golfo y el sur de Asia hasta Pakistán.

La intrusión se hizo mediante el uso de un simple ‘pen drive’, o ‘memoria flash’, insertada en un ordenador portátil.

“Ese código se propagó, sin que fuera detectado, en sistemas que manejan material secreto y no secreto y estableció un acceso desde el cual se pudo transferir información a servidores bajo control extranjero”, escribió Lynn.

El funcionario describió la infiltración como “la peor pesadilla de un administrador de red: un programa que opera en silencio y se dedica a entregar los planes de operaciones a un adversario desconocido”.

Según el artículo, las 15.000 redes y los 7 millones de ordenadores, discos de memoria y servidores del Pentágono reciben cada día miles de ataques, y a diferencia de lo que ocurría durante la Guerra Fría, en el presente es difícil la identificación del atacante.

En su artículo Lynn da nuevos detalles acerca de la estrategia cibernética del Pentágono, incluido el desarrollo de nuevos métodos para descubrir a los intrusos en la Red.

El artículo de Lynn es el primero que divulga, oficialmente, detalles sobre el incidente en 2008. Ya en ese año un artículo del diario Los Angeles Times, que citaba a funcionarios del Pentágono no identificados, indicó que el ataque podría haberse originado en Rusia.

Via delitosinformaticos.com.ar

La detención del internauta violador, apodado “Freddy”, fue realizada por detectives de la División Delitos Contra la Salud de la Superintendencia de Investigaciones Federales, tras establecer que el abuso ocurrió en hace cuatro meses en la casa del detenido, en Olivera al 100, informaron fuentes policiales.

El caso se descubrió tras la denuncia efectuada por la madre de la víctima en la comisaría 40a. después de que su hija, llorando, le contara lo sucedido, dos días después de que ocurriera.

En ese momento intervino el Juzgado Nacional en lo Criminal de Instrucción 21 a cargo de Mauricio Zamudio, ante la secretaría 165, que caratuló la causa como “violación de menor de edad” y encomendó la investigación a la División de Delitos Contra La Salud de la Policía Federal.

Los investigadores iniciaron las averiguaciones y se embarcaron en pacientes tareas técnicas con las correspondientes diligencias para obtener los contactos en la red social, como así también los registros telefónicos del acusado.

Fue así que los pesquisas constataron que el acusado captó a la víctima a través de Facebook, y se hizo pasar por un joven estudiante y aficionado a la cocina internacional.

Indagando costumbres, edad y gustos de su futura víctima, Freddy logró de a poco capturar el interés de la adolescente para luego convenir un encuentro que en realidad era una trampa.

Según fuentes del caso el internauta comenzó charlando sobre la actualidad musical y luego incursionó en recetas de cocina, tema que más dominaba, y fue sugiriendo a la chica que aprendiera recetas para elaborar una gran variedad de platos internacionales económicos, de fácil realización.

Luego de varias comunicaciones por Facebook, Freddy propuso a la chica un encuentro en el centro comercial de Villa Devoto para entregarle unas carpetas con recetarios. Seguidamente, le propuso ir a su departamento a pocas cuadras del lugar, para practicar en la cocina. Una vez en el lugar, se abalanzó sobre la joven y la sometió sexualmente.

El acusado fue trasladado a la alcaldía de la Superintendencia de Investigaciones de Villa Lugano desde donde fue puesto a Disposición del juzgado interventor.

Fuente: Ambito

www.segu-info.com.ar

WPA2 es actualmente la forma de encriptación y autentificación más sofisticada y fuerte de todas las implementadas, estandarizadas y utilizadas hoy en día.

Esta vulnerabilidad permite, básicamente, a cualquiera con acceso autorizado a la red Wi-Fi, a través del aire desencriptar y robar información confidencial de cualquier otro que se encuentre conectado a la misma red inalámbrica, inyectar tráfico malicioso a la red y comprometer otros dispositivos autorizados, todo esto usando software de código abierto, específicamente MadWiFi, gratis para cualquiera a través de Internet.

Kaustubh Phanse, investigador de AirTight afirma que no hay nada que se pueda hacer, al menos nada estándar que no sea crear una revisión del protocolo, para solucionar o “parchar” la vulnerabilidad “Hole 196″ y la describe como “una vulnerabilidad ‘Zero Day’ que crea una ventana de oportunidad para la explotación”.

Esta podría ser un serio ‘exploit’ para corporaciones, gobiernos e instituciones académicas que utilicen 802.1X que crean estar protegidos por las medidas internas y asumiendo que ningún usuario puede obtener información de otro en la misma red. En el proceso no es necesario crackear ninguna clave, pues el malhechor está puertas adentro.

FUENTE

Richard Clarke afirma que la falta de preparación de los Estados Unidos  para la anexión de su sistema informático por parte de terroristas podría conducir a un “Pearl Harbour electrónico”.

En su advertencia, el Sr. Clarke pinta un escenario del día del juicio final en el cual los problemas comenzarían con el colapso de una de las redes informáticas del Pentágono.

Pronto los proveedores de servicios de Internet estarían en crisis. Informes de incendios en  refinerías y grandes explosiones en Filadelfia y Houston. El mal funcionamiento de Plantas químicas liberarían nubes letales de cloro.

Los controladores aéreos informarían de varias colisiones en pleno vuelo, mientras se producen accidentes de tren en el metro de  Nueva York, Washington y Los Ángeles. Más de 150 ciudades de repente caerían. Decenas de miles de estadounidenses morirían en un ataque comparable a una bomba nuclear en su devastación.

Todo esto no tomaría más de 15 minutos y no implicaría  a ni un solo terrorista o soldado poner  pie en los Estados Unidos.

El escenario está en las páginas de su libro, Cyber Guerra: La Nueva Amenaza de Seguridad Nacional, escrito por  Robert Knake.

Y Sr. Clarke ha tenido razón antes.

Como zar en anti-terrorismo bajo el mandato del  Sr. Clinton y el entonces presidente Bush, emitió advertencias de la necesidad de mejorar las defensas contra al-Qaeda, y escribió acerca de su campaña inútil en su libro de 2004 “Contra todos los enemigos”.

Ahora  sostiene que la misma falta de preparación podría exigir un precio trágico.

“El mayor secreto sobre la guerra cibernética podría ser que en el mismo momento en que los EE.UU. se prepara para la guerra cibernética ofensiva,  continúa las políticas que hacen imposible defenderse de forma eficaz contra los ataques cibernéticos”, dice el libro.

En parte, los EE.UU. se ha visto obstaculizado por el éxito imprevisible de Internet y la expansión de las redes informáticas, que ahora se utilizan en casi todos los aspectos de la industria, pero han dado lugar a un grado peligroso de una dependencia excesiva.

La creencia en la Internet como el epítome de rueda libre, del espíritu libre de la libre expresión de América ha hecho la intrusión del gobierno políticamente difícil, dejando al sector privado particularmente vulnerable a los piratas informáticos bien preparados.

Las sucesivas administraciones, incluida la del presidente Barack Obama, no han podido entender  la escala del problema.

Los militares todavía no ha abierto su nueva Cyber centro de mando, en medio de desacuerdos sobre lo que las agencias de papel diferente a jugar.

Mientras los Estados Unidos pueden haber inventado el internet,  por lo menos 30 naciones han creado capacidades ofensivas de guerra cibernética, cuyo objetivo es plantar una variedad de virus y errores en los sistemas militares y financieros de otros estados.

Los autores están convencidos de que en algún momento habrá una ciber-guerra entre dos naciones y están preocupados de que tal conflicto “baje el umbral” a una guerra con bombas y balas.

Irónicamente, los Estados Unidos es actualmente mucho más vulnerable a la ciberguerra que Rusia o China, o incluso Corea del Norte, ya que esos países no sólo han concentrado en sus defensas cibernéticas, sino además  son menos dependientes de Internet.

“Debemos tener la habilidad de apagar nuestra conexión a Internet y aún así ser capaces de seguir funcionando”, dijo el Sr. Knake, un alto miembro del Consejo de Relaciones Exteriores, al Daily Telegraph. “Depender de un sistema tan precario como el internet es un gran error”.

“Es un ecosistema fundamentalmente inseguro que está maduro para el conflicto y da a países con desventajas en materia de armas convencionales una ventaja asimétrica”. Gran Bretaña está  mucho mejor preparada que su aliado gigante al otro lado del Atlántico.

Los EE.UU. ya ha experimentado dos disparos de advertencia importante cibernéticos. Los hackers procedentes de Rusia o China o ambos han plantado con éxito software en la red de electricidad de los EE.UU. que dejó detrás del software que podrían utilizarse para sabotear el sistema en una fecha posterior.

Los coreanos del Norte no puede ser capaz de alimentar a su población, pero en 2009 tuvieron éxito en la reducción de los servidores del Departamento de Seguridad Nacional, el Tesoro de EE.UU. y varios otros departamentos gubernamentales, junto con los proveedores habituales de internet, por las inundaciones de  solicitudes de datos (Ataque DDos) .

Lo más espectacular sería la saturación del los servidores  del Pentágono donde militares dependen de las comunicaciones de logística en un conflicto armado.

Via chemtrailsevilla.wordpress.com

Provee un sistema de control de acceso obligatorio (MAC) en lugar del control de acceso discrecional (DAC) usado normalmente en los sistemas Linux.

Veamos algo de la teoría base:

1. Criterios de evaluación de un sistema de cómputo confiable

El Trusted Computer System Evaluation Criteria es un estandar acuñado por el Departamento de defensa estadounidense que les indican los requerimientos básicos para evaluar la efectividad de la seguridad incluída en un sistema de cómputo.

El tambien llamado libro naranja, publicado en 1983, describe cuatro niveles de seguridad: A, B, C y D, siendo A el nivel más alto y D el más bajo.

Nivel D: Mínima protección

Los sistemas que no pasan las pruebas de seguridad

Nivel C: Protección discrecional

• C1: Protección de seguridad discrecional

  • Identificación y autentificación.
  • Separación de usuarios y datos.
  • Un control de acceso discrecional (DAC) capaz de hacer cumplir las limitaciones de acceso sobre una base individual.

• C2: Protección de control de acceso

  • Un DAC más finamente integrado.
  • Responsabilidad individual a través de procesos de inicio de sesión.
  • Auditorías.
  • Reutilización de objetos.
  • Aislamiento de recursos.
  • Requerida documentación del sistema y manuales de usuario.

Nivel C: Protección obligatoria

• B1: Protección de seguridad etiquetada

  • Declaración informal del modelo de politica de seguridad.
  • Etiquetas de sensibilidad de datos.
  • Un control de acceso obligatorio (MAC) sobre sujetos y objetos selectos.
  • Capacidad de etiquetas de exportación.
  • Todos los defectos descubiertos deben eliminarse o mitigarse.
  • Especificaciones de diseño y de verificación

• B2: Protección estructurada

  • Modelo de politicas de seguridad claramente definido y documentado formalmente.
  • El cumplimiento de los DAC y MAC deben extenderse a todos los sujetos y objetos.
  • Los canales de almacenamiento secretos son analizados por ocurrencias y ancho de banda
  • Estructurado cuidadosamente dentro de elementos con protección crítica y no crítica.
  • El diseño y la implementación permite unas pruebas y revisiones más comprensivas.
  • Los mecanismos de autentificación son reforzados.
  • La gestión de instalaciones de confianza es ofrecida por el administrador.
  • Son impuestos controles estrictos de gestion

• B3: Dominios seguros

  • Satisface los requerimientos del monitor de referencia.
  • Estructurado para excluir código no escencial a la aplicación de politicas de seguridad.
  • Sistemas importantes diseñados para minimizar la complejidad.
  • Definido el rol de administrador de seguridad.
  • Auditar eventos relevantes de seguridad.
  • Detección, notificación y respuesta a intrusos automatizada.
  • Procedimientos para recuperar sistemas seguros.
  • Los tiempos de los canales encubiertos son analizados en ocurrencia y ancho de banda.

Nivel A: Protección verificada

• A1: Diseño verificado

  • Funcionalidades identicas a B3
  • El diseño formal y las técnicas de verificación incluyen un nivel máximo especificado.
  • Administración formal y distribución de procedimientos

• Más allá de A1

  • La arquitectura del sistema demuestra que los requerimientos de auto-protección y la íntegridad de los monitores de referencia se han aplicado en la computación base de confianza (CBC).
  • Las pruebas de seguridad generan automáticamente casos de prueba desde la especificación formal más alta o más baja
  • La especificación formal y la verificación es donde la CBC es verificada desde el código fuente, usando metodos formales de verificaciones donde sea factible.
  • El entorno de diseño de confianza es donde la CBC es diseñada en un instalación de confianza con sólamente personal de confianza.

Recursos

SELinux from scratch http://www.ibm.com/developerworks/linux/library/l-selinux.html

Via http://www.confusion.com.mx

La Informática forense es una ciencia relativamente nueva y no existen estándares aceptados. Existen proyectos que están en desarrollo como el C4PDF (Código de Prácticas para Digital Forensics), de Roger Carhuatocto, el Open Source Computer Forensics Manual, de Matías Bevilacqua Trabado y las Training Standards and Knowledge Skills and Abilities de la International Organization on Computer Evidence.

Informática forense

Actualmente la tecnología esta avanzando a pasos agigantados, y con ella la forma en que todos operamos. Ahora toda la información es almacenada en los ordenadores de manera automática, a diferencia de épocas anteriores en donde la información se almacenaba de manera manual y en papel. Esto conlleva cierto tipo de ventajas y desventajas.

Las ventajas son evidentes, mayor facilidad en el manejo de la información, rapidez en la recolección y análisis de la misma, alta disponibilidad tanto en tiempo como en localidad. Sin embargo, las desventajas y riesgos en los que se incurre no son tan obvios. Entre estos, la vulnerabilidad de la información a ser borrada, la fácil replicación de la información, la explotación de la información por vulnerabilidades en el sistema.

Con todo el riesgo que se corre al manejar información debemos de tener una manera de protegernos y de proteger a las personas de las que mantenemos información. Para poder garantizar las políticas de seguridad y la protección de la información y las tecnologías que facilitan la gestión de la información surge la Informática forense.

Según el FBI, la informática (o computación) forense es la ciencia de adquirir,
preservar, obtener y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.

La informática forense consiste en investigar sistemas de información con el fin de detectar evidencias de vulnerabilidad en los mismos. La finalidad de la informática forense, para un ente que la requiera, es perseguir objetivos preventivos (anticipándose al posible problema) u objetivos correctivos (para una solución favorable una vez que la vulnerabilidad y las infracciones ya se han producido).

En conclusión, la informática forense tiene un papel, en primer lugar, como sistema preventivo. Sirve para auditar, mediante la práctica de diversas técnicas para probar que los sistemas de seguridad instalados cumplen con ciertas condiciones básicas de seguridad. Los resultados de las auditorías servirán para poder corregir los errores encontrados y poder mejorar el sistema. Así mismo, lograr la elaboración de políticas de seguridad y uso de los sistemas para mejorar el rendimiento y la seguridad de todo el sistema de información.

En segundo lugar, sí el sistema ha sido penetrado, la informática forense permite realizar un rastreo de la intrusión y poder descubrir el daño realizado. Así como la recopilación de evidencias electrónicas, detectar el origen del ataque o las alteraciones realizadas al sistema (fugas de información, perdida o manipulación de datos). Para que, posteriormente, se utilicen las evidencias encontradas en la captura de los criminales que atacaron el sistema, y se proceda de manera legal según las regulaciones de cada país.

Conclusiones

En la actualidad el valor de la información esta en aumento, con ello debemos de preocuparnos más por protegerla. La informática forense nace a raíz de esta preocupación, buscando tanto la prevención como la reacción y corrección a problemas que puedan afectar los sistemas de información.

Para la buena aplicación preventiva de la informática forense es necesaria la realización de auditorías continuas en los sistemas, y la corrección de los errores encontrados en los mismos. También se necesita establecer políticas de seguridad para usuarios y para el uso de los sistemas de información, con el fin de minimizar la posibilidad de infiltraciones por alguna negligencia por parte de los usuarios o alguna falla en los procedimientos.

Por otro lado, en cuanto a la parte reactiva de la informática forense se necesita el uso de programas para la detección de la intrusión en el sistema de información y los cambios realizados a la información (manipulación o borrado). Así como un equipo multidiciplinario para poder cubrir de manera efectiva las áreas que traspasadas durante el ataque y poder rastrear los daños y al atacante.

Para que todo lo realizado en la informática forense sea exitoso, es necesario que se tengan regulaciones jurídicas que penalicen a los atacantes y que pueda sentenciarseles por los crímenes cometidos. Cada país necesita reconocer el valor de la información de sus habitantes y poder protegerlos mediante leyes. De manera que todos los crímenes informáticos no queden impunes.

Referencias

• Ausejo Prieto, Rafael. Análisis forense. http://www.ausejo.net/seguridad/forense.htm.
• Delitos Informáticos Programa Acceso Máximo. http://youtube.com/watch?v=vqu5vR7_Od0.
• Forensics Wiki. http://www.forensicswiki.org/.
• López, O. y Amaya H. y León R. Informática forense: Generalidades, aspectos técnicos y herramientas. Universidad de los Andes. Colombia.
• Pérez Gómez, Elena. ¿Qué es la informática forense o Forensic?. http://www.microsoft.com/spain/empresas/legal/forensic.mspx.
• Recovering and Examining Computer Forensic Evidence. http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm.

Via La Consigna

Para todos los interesados, les recomiendo echar un vistazo a los materiales y presentaciones de los ponentes, expertos de primerísimo nivel, disponibles y con libre acceso para su descarga en la web de DIRSI.

• “State of the art”: Telecom regulation and new technologies (Dr. Rohan Samarajiva, Lirneasia)
• Midiendo el impacto económico de las TIC (Dr. Raúl Katz, Columbia University)
• Access and Affordability (Dr. Martha Garcia-Murillo, Syracuse University)
• Gestión del Espectro: Demanda y el Debate sobre sus usos Alternativos (Sr. Sebastian Cabello, GSM Association)
• Implications of technological convergence for antitrust policies (Dr. André Rossi, Portland State University y Universidade de Brasilia)

Via YamileSalinas

RATS analiza el código y al finalizar muestra una lista con los potenciales problemas de seguridad, una descripción del problema y una posible solución para fortificar la aplicación. También proporciona un gravamen relativo de la severidad potencial de cada problema, para ayudar al auditor de seguridad a priorizar los fallos de seguridad.

Uso:

Rats [- d] [- h] [- r] [- w] [- x] [file1 file2… filen]

Opciones explicadas:

- d especifica una base de datos de vulnerabilidades externa para cargar. Rats contiene una base de datos interna pero con este parámetro se pueden pasar otras bases de datos.

- h exhibe un breve resumen sobre el uso de rats.

- i muestra una lista de llamadas de función a las que se le pasaron archivos externos. Esta lista aparece al final de la lista de vulnerabilidades.

- l fuerza el lenguaje que se utilizará sin importar la extensión de nombre de fichero. Los nombres válidos del lenguaje son actualmente “c”, “Perl”, “PHP” y “pitón”.

- r aplica referencias a las llamadas de función vulnerables que no se están utilizando.

- w fija el nivel de severidad. Los niveles válidos son 1, 2 o 3.

- x no carga la bases de datos de vulnerabilidades que tiene por defecto.

Rats está disponible tanto para la plataforma Windows como Linux bajo licencia GNU. Es una herramienta muy útil para limpiar errores de código y fallos de seguridad, aunque debe usarse como complemento de una buena inspección manual.

Más información y descarga de Rats:

http://www.fortify.com/security-resources/rats.jsp

Via Guru de la Informatica

En las últimas horas hemos detectado una aplicación que se encuentra in-the-wild, desarrollada para automatizar la creación de botnets a través de la popular red social. A continuación podemos observar una imagen del constructor detectado por ESET NO32 como MSIL/Agent.NBW.

Esta es una aplicación muy sencilla diseñada para automatizar la creación de troyanos del tipo bot: el desarrollo de estos programas buscan ser lo más intuitivo posible y crear aplicaciones para principiantes (point-and-clic), como esta, que solo requiere registrar un perfil en Twitter que será utilizado en forma dañina para lanzar los comandos al equipo infectado.

Para construir el malware, el atacante sólo debe indicar el nombre de usuario que mandará las instrucciones a los equipos zombis. El malware que se genera a través de dicho constructor es el código malicioso que, al infectar un sistema, recibirá los comandos lanzados a través del perfil en la red social. Es decir, el atacante podrá controlar los equipos infectados a través de los contenidos que escriba en su perfil de Twitter.

El bot creado posee una serie de comandos básicos que permiten al botmaster interactuar con las computadoras comprometidas. Por ejemplo, entre muchos otros:

• el comando .DDOS*IP*PUERTO realiza un Ataque de Denegación de Servicio Distribuida (DDoS)
• con .DOWNLOAD*ENLACE/MALWARE.EXE se descarga otro código malicioso
• .VISIT*ENLACE abre el enlace en el navegador del usuario
• el comando .REMOVEALL elimina automáticamente la información de la botnet y el perfil de Twitter

Es interesante mencionar que este bot abre una nueva puerta no considerada hasta el momento, la posibilidad de controlar una botnet a través de cualquier tipo de dispositivo que tenga acceso a Twitter o a sus APIs (actualmente cualquier tipo de teléfono por ejemplo) ya que el comando en el sistema infectado será ejecutado sin importar de donde provenga el mismo.

Para graficar mejor este proceso, hemos desarrollado un video educativo donde podrán observar todo el proceso, desde la creación del malware por parte del atacante, la infección en el sistema de la víctima y el envío de instrucciones para la realización de un Ataque de Denegación de Servicio Distribuido. En el video podrán observar todas las explicaciones paso a paso del proceso de ataque.

Fuente: ESET Latinoamérica