El blog de Inforc Ecuador » hackers

Hacking Democracy [Video]

Inforc Ecuador — Wed, 12 May 2010 00:25:42 +0000

Hacking Democracy es un documental rodado en el 2006 por Russell Michaels, Simon Ardizzone, y Robert Carrillo Cohen emitido en la HBO. Rodado durante tres años, documenta las investigaciones de ciudadanos estadounidenses sobre las anomalías y las irregularidades con el sistema de voto electrónico que ocurrieron durante las elecciones presidenciales a los EEUU en el año 2000 y 2004, especialmente en el Condado de Volusia (Florida).

Un sistema que resultó ser bastante fraudulento porque era fácil de manipular los resultados por cualquier persona con intenciones maliciosas. En este caso se sospecho de la misma empresa que vendía los dispositivos para realizar los votos y cómo misteriosamente sucedieron cosas extrañas en medio de las elecciones, beneficiando drásticamente a algunos políticos siendo que las estadísticas demostraban lo contrario en un principio.

Video subtitulado:

Referencia: Wikipedia – Hack-IT

Deface a la web del Teatro Nacional Sucre [Ecuador]

Inforc Ecuador — Mon, 26 Oct 2009 14:20:57 +0000

La página web del Teatro Nacional Sucre sufrió una modificación (defacing) la noche de ayer, hasta la publicación de este post, el portal web sigue caído.

(clic en la imagen para agrandarla)

Reportado en Twitter por @gabbycorsalas.

Documental: Hackers ’95

Inforc Ecuador — Sun, 25 Oct 2009 02:35:14 +0000

Phon-E and R.F. Burns – Hackers 95 (documentary) from MaXe on Vimeo.

Visto en: SecurityTube

Zeus, el kit de herramientas crimeware [Video]

Inforc Ecuador — Thu, 15 Oct 2009 13:10:53 +0000

El kit de herramientas crimeware Zeus es uno de los favoritos entre los piratas informáticos maliciosos debido a su flexibilidad, características avanzadas y facilidad de uso.

En este video creado por Symantec vemos una demostración de cómo Zeus mediante la creación de un archivo malicioso es utilizado para infectar a las víctimas. Una vez que se infecta una víctima, estará bajo el control total del hacker. El hacker puede ahora ejecutar comandos arbitrarios, cargar y ejecutar archivos ejecutables, controlar las pulsaciones de teclado e incluso ver el usuario remotamente a través de escritorio remoto, entre otras características.

Recomendado ver todo el video.

[youtube]http://www.youtube.com/watch?v=CzdBCDPETxk[/youtube]

Fuente: Peter Coogan (Symantec) I Referencia: SecurityTube

Descarga las presentaciones del Black Hat USA ‘09

Inforc Ecuador — Thu, 08 Oct 2009 16:29:55 +0000

Muchos equipos investigadores esperan a este evento para desvelar sus descubrimientos, por lo que creo que son de lectura obligatoria para aquellos que quieren ver por dónde van las ultimas tendencias y el “state of the art” en el mundo de la seguridad.

La gente de SecurityArtWork ha tenido la gentileza de clasificar todas las presentaciones por categorías para una mejor comprensión y una fácil descarga.

Ir al sitio y descargar las presentaciones del evento Black Hat USA ‘09.

Algunas destacadas.

Worst of the Best of the Best
Autor/es: Kevin Stadmeyer, Garrett Held.
Contenido: Presentación en la que desmitifica las estadísticas y técnicas de marketing en las que se indica que un producto es mejor en seguridad porque tiene “menos” vulnerabilidades que otro, así como otro tipos de premios “al producto mas seguro” y similares.
Slides: enlace.

Your Mind: Legal Status, Rights and Securing Yourself
Autor/es: Tiffany Strauchs Rad, James Arlen.
Contenido: Francamente, no se cómo describir esta presentación; habla de privacidad de los datos a nivel personal, habla de las tecnologías presentes, futuras, y acaba hablando incluso de telepatía (si no es una broma que alguien me lo explique). Les aseguro que no soy capaz de hacer un resumen; véanla ustedes mismos y si son capaces, no duden de dejar un resumen en los comentarios.
Slides: enlace.
Paper: enlace.

Fighting Russian Cybercrime Mobsters: Report from the Trenches
Autor/es: Dmitri Alperovitch, Keith Mularski.
Contenido: Un repaso a los ultimos cibercriminales rusos detenidos.
Paper: enlace.

Computer Crime Year In Review: MySpace, MBTA, Boston College and More
Autor/es: Jennifer Granick.
Contenido: Revisión de algunas intrusiones y de sus consecuencias legales jurídicas; describe algunas denuncias a publics disclosures y problemas entre la difusión información técnica que puede comprometer la seguridad por oscuridad. (Es relevante señalar la entrada del otro día sobre la elección entre prestigio y problemas).
Slides: enlace.

3er. EISI – “Hackers, la Conciencia de la Red”

Inforc Ecuador — Thu, 17 Sep 2009 00:06:09 +0000

La Facultad de Ingeniería de la Universidad de Manizales está liderando la organización del 3° ENCUENTRO INTERNACIONAL DE SEGURIDAD INFORMÁTICA EISI – “Hackers, la Conciencia de la Red”, a llevarse a cabo los días 7, 8 y 9 de octubre del 2009. El propósito del evento es dar a conocer la responsabilidad y el impacto social que tiene la seguridad informática y la comunidad de hackers.

El Encuentro Internacional de Seguridad Informática brinda el punto de encuentro a los interesados en el tema de la seguridad informática, la filosofía Hacker, su impacto social y la responsabilidad de ante la comunidad nacional e internacional.

Durante el evento se tendrá la oportunidad de presenciar demostraciones en vivo sobre algunas técnicas de hacking y participar en charlas sobre técnicas de hacking, cyber derechos, políticas, legislaciones, entre otras.

Programación

Miércoles 7 de Octubre de 2009
Hora	Conferencia	Ponente	País
7:00-9:00	Inscripciones
9:00-9:30	Instalación del Evento – Gobernador, Alcalde, Rector e Invitados
09:30-10:30	Kryptos: historia, métodos, técnicas y especulaciones	Luciano Bello	Argentina
Refrigerio 10:00 – 10:15
10:15-11:15	WarGame	Martín A Rubio	Colombia
11:15-12:15	Malware – Development	Guillermo Eduardo Jurado Fajardo	Colombia
Descanso 12:15 – 02:00
2:00-3:00	Respaldos multinivel robustos y simples utilizando rsync.	Gunnar Eyal Wolf	México
3:00-4:00	Ciberdefensa	Leonardo Huertas Calle	Colombia
Refrigerio 4:00 – 4:15
4:15-5:15	LKM: Una forma casera para (des)asegurar nuestros sistemas GNU/Linux.	Luis Uribe	Colombia
5:15-6:15	La evolución del Malware (El juego del gato y el ratón)	Marcelo E. Rivero	Uruguay
Acto de Bienvenida


Jueves 8 de Octubre de 2009
Hora	Conferencia	Ponente	País
8:00-9:00	Análisis forense en terminales móviles	David Batanero Gómez	España
9:00-10:00	El Juez de control de garantía frente al tratamiento de datos personales	Alexander Díaz García	Colombia
Refrigerio 10:00-10:15
10:15-11:15	Laboratorios de entrenamiento en seguridad informática	David Moreno	Colombia
11:15-12:15	Obteniendo información de seguridad de nuestro sistema.	Gunnar Eyal Wolf	México
Descanso
2:00-3:00	Tómate en serio la seguridad	José María Alonso Cebría (Chema Alonso)	España
3:00-4:00	Análisis Forense de Malware	Oscar Ruiz	Colombia
Refrigerio 4:00-4:15
4:15-5:15	Hegcon – ps	Guillermo Eduardo Jurado Fajardo	Colombia
5:15-6:15	Biohacking: Hackeándonos a Nosotros Mismos	Martín A. Rubio	Colombia


Viernes 9 de Octubre de 2009
Hora	Conferencia	Ponente	País
8:00-9:00	GSM for Fun and Profit	David Batanero Gómez	España
9:00-10:00	Como ser un Hacker (realmente)	Martín A Rubio	Colombia
Refrigerio 10:00-10:15
10:15-11:15	Equipos Gubernamentales de respuesta a incidentes de seguridad de la información (CSIRT)	Leonardo Huertas Calle	Colombia
11:15-12:15	Openssl — predictable random number generator	Luciano Bello	Argentina
Descanso
2:00-3:00	Amenazas y Contramedidas de seguridad Web	Jaime Andres Restrepo	Colombia
3:00-4:00	LDAP Injection & Blind LDAP Injection	José María Alonso Cebría (Chema Alonso)	España
Refrigerio 4:00-4:15
4:15-5:15	Falsos Antivirus (El negocio detrás de estos)	Marcelo E. Rivero	Uruguay
5:15-6:15	CIERRE JUEGO WARGAMES – ANÁLISIS FORENSE Y PREMIACIÓN
6:15-7:00	FORO:
7:00-7:45	ACTO CIERRE DEL EVENTO

Por acá te puedes enterar acerca de las inscripciones, ponentes, hoteles, etc.

Hackmeeting 2009 en Chile

Inforc Ecuador — Sun, 13 Sep 2009 22:10:25 +0000

Del 10 al 12 de octubre, en la ciudad de Santiago se desarrollará el Hackmeeting 2009, un importante evento que contará con charlas, talleres y debates sobre Seguridad Informática, Seguridad Inalámbrica, Hacking, Shellcodes for Linux, etc, y que tendrá la participación de gente de Argentina, Bolivia y Chile.

Programación:

Primer día (10 de Octubre)

12.00hrs: Inicio Hackmeeting 2009
13.00hrs: Almuerzo comunitario.
14.30hrs: Bienvenida al Hackmeeting (introducción, recordatorio de HM anteriores, etc).
15.30hrs: Charla: Seguridad Inalámbrica (EAS).
17.00hrs: Debate: Peligros y bondades de las redes inalámbricas.
18.00hrs: Coffe Break – Audiovisual: Número 23.
20.00hrs: Taller: Creación de antenas (EAS).
21.30hrs: Taller: Rompiendo redes inalambricas (Pons).
22.30hrs: Fín primer dia.
22.45hrs: LAN & Beer Party

Segundo día (11 de Octubre)

11.00hrs: Desayuno – Debate: Seguridad de la información y privacidad en las redes sociales.
12.00hrs: Debate: Anonimato.
13:30hrs: Almuerzo comunitario.
15.00hrs: Charla: Live Hacking (Zerial).
16.30hrs: Charla: Behind the enemy lines (dererk).
17.30hrs: Charla: Buffer Overflow for fun and profit (tty0).
18.40hrs: Coffe break.
19.00hrs: Introducción a mod_perl bajo Apache (kAbron).
20.00hrs: Charla: Writing a injectable shellcode for linux (tty0).
21.00hrs: Charla: Hacking automatizado (Zerial)

Tercer día (12 de Octubre)

11.00hrs: Desayuno – Debate: Tipos de licencia.
12.00hrs: Debate: Internet, difusión y contrainformación.
13.30hrs: Almuerzo comunitario.
15.00hrs: Taller: Edición de video (concigliery).
16.00hrs: Audiovisual: Andha Chile.
17.00hrs: Fin hackmeeting 2009

Fuente: Hackmeeting – Referencia: Segu Info

Kevin Mitnick alerta sobre la alta vulnerabilidad de los cajeros automáticos

Inforc Ecuador — Wed, 08 Jul 2009 13:44:57 +0000

“Lo último en piratería informática es implantar códigos malignos en los ordenadores de los cajeros, ya que usan Windows. Es un movimiento que ha empezado en Rusia y Ucrania, pero que no tardará en llegar a Estados Unidos y a Latinoamérica”. Kevin Mitnick

Campus Party Colombia

Fuente: La Flecha

Robé la identidad de mi amigo

Inforc Ecuador — Fri, 19 Jun 2009 01:36:56 +0000

Comparto con ustedes el interesante artículo que en esta ocasión presenta Matthew Sarrel en la revista PC Magazine, edición Junio 2009.

Crear un perfil en una red social es la manera más sencilla de robar una identidad. Estamos seguros de que todos conocen de 1886 de Robert Louis Stevenson, El extraño caso del Dr. Jekyll y Mr. Hyde. El relato se centra en una serie de sucesos peculiares que involucran al amable y responsable Dr. Henry Jekyll y al inescrupuloso Edward Hyde. El pobre doctor bebe una poción y externa sus deseos largo tiempo sepultados, iniciando así una serie de batallas con su lado oculto, el cruel y despiadado señor Hyde. De principio a fin de la novela, Jekyll se conmociona y horroriza al conocer las atrocidades obra de Hyde.

No necesitas elaborar una poderosa poción mágica para sacar a relucir tu lado maligno. Qué tal si cristalizas tus sueños online. Recuerda que en Internet nadie sabe que eres una persona sin ética; puedes ser quien desees. ¿No es divertido eso?.

Dale la vuelta a la moneda y podría ya no ser divertido para ti. Si tú puedes ser quien gustes, entonces la misma opción tienen los demás. Cada uno tiene la posibilidad de ser cualquiera y hacer lo que sea; ¿no es por eso que nos gusta tanto la Red?.

He escrito mucho en relación al problema del robo de identidad -del tipo en que se roban tu identidad financiera en el mundo real- pero esta vez hablo de proteger tu identidad online. Tu frágil identidad pública online está protegida de manera caótica en el mejor de los casos. La naturaleza colaboradora de la Web 2.0 y la facilidad de acceso a las redes sociales se han ocupado de eso. Poner en riesgo tales cuentas es una proeza bastante trivial. Un criminal podría entrar en tu cuenta y suplantar tu personalidad online, dañando tu reputación, explotando las relaciones de confianza con tus amigos y colegas, y dejándote despertar por las mañanas -como lo hizo el Dr. Jekyll- con un gran caos de origen desconocido que tendrás que arreglar.

¿Sabes qué? Es todavía más fácil si aún no dispones de una identidad online. Ahora alguien no necesita hackear tu cuenta, simplemente crea una fraudulenta para empezar. Esto te estimula a crear tales perfiles, aunque solo sea para asegurarlos. Hace quince años la amenaza era apropiarse ilegalmente de los dominios de internet; ahora el peligro es la suplantación social. Si jamás te has unido a sitios como Blogspot, Facebook, LinkedIn, MySpace, Windows Live y Twitter, entonces resulta perturbadoramente fácil para un sujeto inescrupuloso hacerlo así. Y es imposible saber qué tipo de punto de partida desempeñaría tu identidad arrebatada para otras actividades más maliciosas.

Cómo mantenerse a salvo
Para demostrar cuán sencillo es apoderarse de una identidad online, creé una serie de cuentas (Live.com, LinkedIn y Facebook) a nombre de alguien más. Obtuve información básica de esa persona a partir de una búsqueda pública de documentos en la web para hacer que los perfiles parecieran más reales. Como un minuto después de unirme a Facebook, yo (ella) ya había empezado a recibir invitaciones de amigos. Al final del día, yo (ella) había acumulado una pequeña comunidad seguidora. Hasta intercambié felicitaciones con algunos de mis (sus) nuevos amigos. Pese al hecho de que había rellenado sus perfiles con información claramente falsa, nadie expresó la más mínima sospecha.

Esto fue poco más que una hazaña de prueba de concepto, aunque si gocé de mi breve periodo como mujer. A partir de ahí, el panorama de ataque es amplísimo. Podría hacer cualquier cosa, desde postear un perfil o status vergonzoso, hasta emplear ese perfil como forma de atacar a otros. Si completara mi perfil con malware que se hiciera pasar por una aplicación de Facebook, entonces podría enviarles regalos a mis contactos y amigos; cuando aceptan el regalo de un amigo “confiable”, posibilitan que la aplicación maligna acceda a sus perfiles. Además, con algo de ingeniería social lista podría aprender más de mi víctima y de sus amigos, lo bastante para perjudicar gravemente sus vidas. Un ejemplo obvio sería ir a robarle a alguien cuyo status de Facebook diga que anda de vacaciones.
Más fácil es que yo podría usar las aplicaciones de Facebook llamadas Spare Change o PayMe de Paypal, para pedir dinero a los amigos.

Directo al grano: ¿cómo ocurre esto, y por qué es tan fácil? ¿Y un sitio web (o una red social) tiene una responsabilidad para con sus clientes a fin de mantenerlos a salvo? Por supuesto, Facebook y MySpace arguyen que sólo elaboran el lugar de recreo y que no es su misión ser nuestra niñera, pero no estoy de acuerdo con eso. Deberían haber hecho patios de recreo seguros, aunque en las redes sociales depende de nosotros salvaguardar nuestra propia seguridad y la de nuestros amigos.

He aquí unas cuentas sugerencias para mantenerte a salvo:

Reclama tu nombre. Conforme surja una nueva red social, haz valer tus derechos. Aunque dejes tu perfil en blanco, al menos estás protegiendo dicho nombre de usuario y quizá parte de tu identidad online.
Monitorea las redes sociales en busca de tu nombre. Haz búquedas personalizadas en los motores y revísalos cada mes. Un buen lugar para empezar es SocialMention, donde guardas tu búsqueda como RSS fed y luego suscríbete a el, para recibir una notificación rápida si tu nombre aparece en alguna parte donde no debería.
Cuando sí des con alguien que esté usando tu nombre, lee el perfil cuidadosamente para determinar si podría ser alguien que por casualidad comparte el mismo nombre o si se trata de un impostor.
Comunícate de inmediato con el servicio a clientes y solicita que se elimine el perfil fraudulento, demostrando quién eres tú.
No te pongas en contacto con el dueño del perfil fraudulento. Lo último que deberías hacer es echarle leña al fuego.
Seguridad en Facebook: como regla general, jamás sigas una liga externa y nunca le concedas a una aplicación de Facebook acceso total a tu perfil. Si ni siquiera puedes estar seguro de quién es la oveja, entonces ¿cómo podrías reconocer al lobo disfrazado de oveja?.
Toma en consideración las invitaciones a conectarte por un medio distinto. Sustituye la aprobación reflexiva -”bueno, no sabía que tuviera cuenta en Facebook”- con un correo electrónico por separado a una cuenta buena que conozcas con la que preguntes si la invitación es auténtica.

Documental sobre las Guerras Cibernéticas

Inforc Ecuador — Thu, 11 Jun 2009 16:13:00 +0000

Un excelente documental sobre las ciber guerrillas realizado por el canal de televisión odicea (especializado en documentales). Aquí se trata del caso de Estonia, el país que en el 2007 sufrió uno de los mas grandes ciber ataques registrados hasta el momento, cuando bancos, periódicos, redes académicas y paginas web de varias instituciones, sufrieron el colapso de los sistemas informáticos.

En menos de diez años, Internet se ha hecho accesible a gran parte del planeta. Las principales potencias mundiales se preparan ya para la primera guerra en Internet: los hackers controlan los conflictos cibernéticos y saben cómo hacer fortuna a costa de los ciudadanos y los usuarios de las grandes empresas. Correo basura, estafas, propagación de virus destructivos no son más que el comienzo de las nuevas posibilidades, ya que cada día la delincuencia en Internet es una feria donde se ponen de manifiesto la creatividad individual y colectiva de las maneras más sorprendentes.
Este documental que odisea les presenta viajara hasta Rusia, Estados Unidos, Estonia e Israel para investigar los puntos calientes donde compiten los piratas informáticos y los gobiernos. Podrán conocer como la industria ilegal de virus informáticos y otros tipos de software malintencionado acumulan un arsenal de armas de destrucción masiva que pueden decidir, incluso, los resultados de la próxima guerra.

Ciberguerrilla

[youtube]http://www.youtube.com/watch?v=T4BPFVIuh6k[/youtube]

Por acá puedes ver todos los videos del documental, o si prefieres, puedes descargar el documental completo (495.03mb)