Las versiones contradictorias respecto a lo que había pasado dieron paso a que se realizara una investigación a los ocho marines que participaron en la operación, sin embargo, en 2008 se levantaron los cargos contra seis de los acusados y un séptimo fue juzgado “inocente”. El octavo era Frank Wuterich, quien después de iniciarse un juicio por asesinato en su contra, fue juzgado por “homicidio negligente” – es decir, que no hizo nada para impedir los asesinatos de dos mujeres y cinco niños – y luego se le terminó condenando por un cargo de “abandono del deber”, con lo que se le redujo el rango y la paga, pero no pasó por la cárcel.

Muchos se enfurecieron con este resultado, incluyendo aparentemente a Anonymous, que publicó hoy una serie de correos electrónicos del bufete de abogados que defendió a los marines. El colectivo asegura tener 2,6 GB de datos después de infiltrarse en los sistemas del bufete Puckett Faraj, que representó a Frank Wuterich.

Los correos, publicados en un archivo torrent y en Pastebin incluyen transcripciones de los testimonios, evidencias del juicio y otras informaciones relativas al caso. El sitio de Puckett Faraj está ahora fuera de servicio, en un intento de la compañía de defenderse de los ataques a Anonymous, aunque ya es demasiado tarde para eso.

“Creemos que es tiempo de publicar toda su información privada y la evidencia de la corte al mundo y conducir un juicio de la gente por nuestra cuenta”, señaló Anonymous, agregando que buscan mostrar “la brutalidad de imperialismo estadounidense”.

Sin duda un nuevo caso que generará polémica y que posiblemente dejará en serios aprietos a la firma de abogados, cuya seguridad – y la de sus clientes – fue vulnerada. La idea de la “justicia por nuestras propias manos” también es bastante peligrosa, pero está por verse si esta liberación de correos contribuye en algo a esclarecer lo sucedido en Haditha en 2005.

Link: Anonymous releases law firm’s emails about Haditha killings (The Register)

VeriSign está encargada de emitir certificados SSL, o Secure Sockets Layer para los sitios terminados en .com, .net y .gov, por lo que el asunto es especialmente grave. Con la información robada, los atacantes podrían hacerse pasar por casi cualquier empresa en la web. SSL es una garantía de identidad de un sitio web, que permite asegurar que el sitio en el que estás es realmente el sitio al que quisiste acceder y no están tratando de engañarte con una estafa.

Los ejecutivos de la empresa afirmaron que “no creemos que estos ataques vulneraran los servidores que soportan nuestra red DNS”, que se asegura de que las personas aterricen en la dirección numérica IP correcta cuando uno escribe una dirección, pero no se descartó nada. Si la red DNS fue contaminada, los atacantes podrían redirigir a usuarios a otros sitios, aun si escribieron la dirección correctamente en la barra de direcciones. Podrías escribir Gmail.com y llegar a un clon que roba tus datos, sin darte cuenta.

VeriSign procesa unas 50.000 millones de consultas diarias, operaciones que los atacantes pueden haber usado para dirigir a víctimas a sitios falsos o interceptar correos de personajes importantes, como miembros de gobierno o de grandes compañías.

Los ataques fueron dados a conocer en un reporte entregado en octubre a la Securities and Exchange Commission (SEC), después de que se dictaran nuevas normas sobre cómo hacer los reportes. Sin embargo, en el informe no se detalla cuántas veces ocurrieron los ataques, ni cuánta información está en riesgo.

La vulneración fue descubierta por la agencia Reuters, y quizás lo más grave es que muchos de los jefes en VeriSign no se habían enterado de los ataques hasta ahora que fueron consultados por la agencia, lo que por cierto habla muy mal de los sistemas de control. Según Reuters, muchos no sabían nada más que lo que dice en el informe de la SEC.

El año pasado vimos otros ataques a empresas emisoras de certificados SSL, un asunto que ha puesto en duda la efectividad y confiabilidad de este sistema, y la necesidad de idear uno nuevo.

Link: Key internet operator VeriSign hit by hackers (Reuters)

El sitio de CBS.com fue víctima de uno de los ataques, y como prueba está la imagen que adorna este artículo. Según el twitter oficial de Anonymous, también cayeron varios sitios gubernamentales polacos como el del Ministerio de Justicia, asi como el del Dirección de Apoyo Social de Rumania (que al momento de redactar esto sigue mostrando los típicos mensajes #antisec).

El caso de Polonia es especial, porque las protestan se enmarcan en el tema de la ley ACTA, similar a la difunta SOPA estadounidense. Por otra parte, también el sitio de la ciudad Tangara da Serra, en Brasil, fue hackeado por Anonymous y en la página principal aparece un video del grupo de hackers. ¿Algo más? Sí, el sitio de Vivendi que está “actualmente en mantención”, seguramente con la gente a cargo tratando de devolver todo a la normalidad.

El hashtag #OpMegaupload (Operation Megaupload) en Twitter está resultando bastante ameno de revisar por esta hora, por si a alguien le interesa este cuento de los hackers, las protestas, y todo lo relacionado. Un último tip: ufc.com; la imagen lo dice todo (y la canción es simplemente imperdible si entienden inglés).

Links:

- Anonymous Just Deleted CBS.com and Took Down Universal (Gizmodo)
- In further Megaupload retaliation, hacker group Anonymous takes down CBS.com (VentureBeat)

La vulnerabilidad corresponde al tipo “Local File Include + Directory Traversal = Source Code Disclosure”, que permitía acceder a archivos de código del banco. Revisando los datos, Zerial descubrió que el desarrollo del código fuente corresponde al año 2006 – hace casi seis años – lo que revelaría poca preocupación de parte del banco respecto a este tema. Además, esta vulnerabilidad está presente desde hace al menos un año, dice Zerial.

Con esto, “tienes acceso al core de la aplicación, puedes entender cómo funciona el sistema del banco de forma interna, cómo son los procesos de negocio, etc. Esto ayuda al atacante a conocer mejor a su víctima”, señala Zerial.

Una de las fallas más curiosas, sin embargo, apareció poco después y afecta al sistema de pagos automáticos de cuentas (PAC/PAT). Esta falla permite que alguien entre a tu cuenta y asigne pagos automáticos, sin confirmación ni autorización de la persona dueña de la cuenta. Un ataque así sólo haría que pagues tus cuentas, pero de todos modos es una intrusión a tu cuenta personal.

“En Santander hay muchas vulnerabilidades, ésta es sólo una de ellas. Existen varios Cross-Site Scripting (XSS) que afectan a distintas secciones del Santander. Este tipo de vulnerabilidades sí que afectan directamente a los clientes. Santander se caracteriza por tener muchos agujeros de seguridad en sus procesos de negocios (validaciones)”, opina Zerial.

La primera vulnerabilidad, que permitía el acceso al código fuente, incluso estaba indexada en Google. Sin embargo, este problema parece haberse solucionado en los últimos días. El asunto del PAC/PAT, sin embargo, seguiría operativo.

- ¿Cuál consideras que es el peor descuido de Santander en este caso?

El descuido de ellos es claramente que externalizan servicios como la seguridad y el desarrollo y confían plenamente en esas empresas. Y ante amenazas y advertencias, que simplemente no respondan. No son capaces de manejar y canalizar el incidente.

- ¿Qué puede hacer una persona para protegerse?

Nada, es tarea del banco. El usuario no tiene como protegerse.

El banco no ha emitido una respuesta oficial a este caso Pueden ver la respuesta del banco más abajo. Personas que contactaron a ejecutivos de cuenta por este problema recibieron respuestas que descartan que la vulnerabilidad exista. Por otro lado, Zerial fue contactado por TAISA, la empresa que desarrolla el sistema del banco, que admitió que los problemas son reales y que están trabajando para corregirlos. Al menos esta compañía reaccionó bien.

No hay que descartar que otros bancos se encuentren en situaciones similares (aquí algunos otros ejemplos), considerando que en este lado del mundo varios servicios bancarios y de pago de cuentas todavía dejan bastante que desear.

Actualización:

Banco Santander respondió a nuestras consultas al respecto. El gerente de Banca Electrónica, Laureano Cuesta, aseguró que “esta vulnerabilidad fue revisada por tres entidades independientes, y las tres concluyeron que estaba protegida ante intentos de inyección de código malicioso. De todas maneras, y para no generar innecesaria preocupación en nuestros clientes, se procedió a limitar el acceso al código de esa página”.

Respecto a que el código correspondiera a un desarrollo del año 2006, Cuesta afirmó que “Banco Santander tiene más de 350 transacciones implementadas en más de 5.000 páginas de códigos de fuente, y éstas se modifican de acuerdo a las necesidades de los clientes y a condiciones de seguridad. Esto implica que no es extraño encontrar páginas que tengan 5 años de antigüedad, frente a  otras páginas que fueron implementadas hace menos de un mes.  Eso es normal en el ciclo de vida de los grandes sitios transaccionales”.

Sobre los problemas en el sistema de pago automático de cuentas (PAC/PAT), “también se hizo una revisión completa por parte de tres entidades independientes. En base a esto podemos asegurar que actualmente esta transacción es segura”.

Cuesta insistió en que el sitio web es seguro y que está en permanente monitoreo y revisión. También afirmó que una empresa externa realiza “hackeo ético” todos los años para revisar posibles fallas. “Cada vez que se detecta un riesgo, ya sea por nuestros propios equipos, por clientes o por expertos independientes, se trabaja de inmediato en reparar dichas fallas”, afirmó.

Link: El rincón de Zerial

CSDN ofreció una disculpa luego de haberse confirmado el incidente y aunque fue reportado a la policía, se exhortó a la comunidad para que cambie las contraseñas y toda aquella información sensible que fue expuesta.

Lo irónico es que en una comunidad de desarrolladores de software hayan adoptado un sistema de almacenamiento de contraseñas en texto claro sin un sistema de encriptación, facilitando la fuga masiva de datos. Aunque el fundador de CSDN Jiang Tao reconoció que almacenar contraseñas en un sistema de almacenamiento de texto claro era absurdo, y describió el incidente como una “lección para la comunidad”, el daño ya está hecho.

Link: 6 Million Chinese Programmers Exposed After ‘Software Developer Network’ Breach (Softpedia)

La información proviene de los integrantes del Programa de Desarrollo de Naciones Unidas (algunas de ellas bajo el dominio undp.org), la Organización para el Desarrollo Económico (OCDE), Organización Mundial de la Salud (WHO) y la Oficina Nacional de Estadística del Reino Unido (ONS).

“TriCk”, hacker de TeaMp0isoN, se adjudicó el ataque según su página en Facebook; anteriormente habían realizado intrusiones al sitio de RIM (fabricantes de la Blackberry) durante los disturbios en Londres y han publicado información confidencial del entonces Primer Ministro británico, Tony Blair.

Según dijo una vocera de la ONU, los datos se obtuvieron por medio de un servidor viejo con datos antiguos funcionando desde 2007. El servidor fue desconectado, y las contraseñas obtenidas no estarían activas.

Los detalles del ataque fueron colocados en el sitio Pastebin, publicando todas las cuentas y contraseñas, y un mensaje de los atacantes acusando al organismo de “facilitar la introducción del Nuevo Orden Mundial”.

Link: United Nations agency ‘hacking attack’ investigated (BBC)

“Tenemos un equipo dedicado de seguridad que ya identificó a los responsables y está trabajando con nuestro equipo legal para asegurar que ocurran las consecuencias apropiadas”, dijo Facebook, sin dar a conocer la identidad de los individuos.

Según Facebook, el ataque comenzó cuando un grupo de usuarios fue engañado para copiar y pegar JavaScript malicioso en la barra de direcciones del navegador, ejecutando el código. Esto hizo que esos usuarios, sin saberlo, comenzaran a compartir contenido ofensivo. La red social se ha dedicado a cerrar las páginas de fans y las cuentas de usuario que estaban afectadas. Facebook no entregó más detalles de la vulnerabilidad del navegador, ni qué versiones de los mismos son las que permiten este exploit.

Tampoco se sabe cuántos usuarios fueron finalmente afectados, viendo el contenido inapropiado. Al menos parece que se expandió más entre los usuarios de habla inglesa que de otros idiomas. Y aunque muchos de los afectados amenazaron con cerrar sus cuentas, tampoco se sabe si eso se concretó o no.

Link: Facebook identifies those behind coordinated spam attack (ZDNET)

El ataque incluía porno, gore, maltrato animal, imágenes ofensivas contra la religión, etc. No parece haber objetivos específicos para este ataque, sino que más bien funciona al azar, de modo que algunos usuarios ven estas imágenes y otros no ven nada.

“No está claro todavía cómo se ha expandido el contenido ofensivo – si los usuarios están cayendo en una trampa de hacer clic en un link, si fueron etiquetados en el contenido sin su consentimiento, eligieron mal sus opciones de privacidad, instalaron código malicioso, o si fueron víctimas de una vulnerabilidad dentro de Facebook”, explicó el experto de seguridad de Sophos, Graham Cluley. Lo más probable sin embargo es la primera alternativa, en que gente hizo clic en supuestos videos o fotos reveladoras de Kim Kardashian o Justin Bieber.

Lo que sí está claro es que mucha gente se sintió vulnerada por estas imágenes en Facebook, que aparentemente es considerado un lugar amigable y familiar por los usuarios.

Según Sophos, no hay evidencia de que Anonymous tenga algo que ver con esto – recordando las amenazas que han existido contra la red social. De todos modos, no hay claridad de quién está detrás de todo esto.

Facebook no ha hecho declaraciones aún al respecto más que decir que están “investigando la situación”, mientras algunos usuarios han amenazado con cerrar sus cuentas por la impresión que les ha causado ver tales imágenes. El asunto se vuelve especialmente sensible si los afectados fueron usuarios menores de edad.

¿Te tocó ver algo de esto? ¿Crees que tendrá consecuencias para la red social?

Link: Facebook users hit by hardcore porn, violence and animal abuse images (Naked Security)

Esto era imposible hasta hace poco porque todos los requerimientos de Siri pasan por un servidor seguro en Cupertino, que se aseguraba que los requerimientos venían de un iPhone 4S. Sin embargo, Applidium desarrolló una herramienta para engañar a los servidores y confirmar los requerimientos sin importar de dónde vengan.

Así que quizás pronto puedas tener a Siri hablando nativamente (aunque no legalmente) en equipos Android o en escritorios. Lo malo es que todavía sólo habla en inglés, así que hay que ser bilingüe para jugar con este asistente.

Link: Cracking Siri (Applidium)

El informe, adelantado por la agencia Bloomberg, fue elaborado por una comisión anual del Congreso de Estados Unidos y se publicará oficialmente el próximo mes. Aunque no acusa directamente a China de la intervención, sí señala que los descubrimientos son consistentes con documentos chinos referentes a cómo desactivar los sistemas espaciales enemigos. China ha negado insistentemente estar involucrado ciberataques a otros países.

Los incidentes ocurrieron a través de la estación terrestre Svalbard en Spitsbergen, en Noruega, que se conectó con el satélite de observación Landsat-7. Esta unidad experimentó “12 o más minutos” de interferencia en octubre de 2007, lo que se repitió en julio de 2008. El informe también habla de que el satélite Terra AM-1 también fue interferido, aunque no se sabe si los dos eventos estuvieron relacionados.

El informe señala que la estación en cuestión “rutinariamente depende de internet para acceder a datos y transferir archivos”.

Como se trata de satélites de observación de clima y de terreno, el peligro no fue mucho, aunque el informe destaca que esto podría ser diferente si se ataca satélites con “funciones más sensibles”. “Acceso a los controles del satélites podría permitir a un atacante dañar o destruir el mismo. Un atacante también podría negar, degradar, inventar datos o de alguna manera manipular las transmisiones del satélite”, agrega el documento. ¿Será que los ciberataques se están trasladando al espacio?

Link: Chinese military suspected in hacker attacks on US Satellites (Bloomberg)

Kretsinger es acusado de usar una inyección de SQL para obtener datos confidenciales de los sistemas de Sony, y de luego difundirlos junto a sus socios a través del sitio de LulzSec y en Twitter. El FBI también dice que Kretsinger borró su disco duro para eliminar pruebas y evitar ser detectado por la ley.

La oficina federal también dice que Kretsinger usó un servicio VPN para esconder su identidad mientras realizaba los ataques, aunque de todos modos pudo ser rastreado hasta Arizona.

También se arrestó a otros dos sujetos, acusados de participar en ataques DDoS a la provincia de Santa Cruz, cerca de San Francisco. Los acusados son Christopher Doyon (47) y Joshua John Covelli (26). Este último está acusado también de participar en los ataques DDoS a PayPal.

En los últimos meses, decenas de personas en Estados Unidos y Europa han sido capturadas por oficinas de investigaciones, responsabilizándolas por los ataques de LulzSec y Anonymous. Los tres acusados ahora por el FBI podrían recibir condenas de hasta 15 años de prisión.

Link: Three more charged in Anonymous hack spree probe (The Register)

Ahora, los investigadores Thai Duong y Juliano Rizzo dicen haber logrado vulnerar este sistema, lo que les permitiría desencriptar los datos que se transfieren entre un servidor y el navegador que está usando el usuario. Los investigadores harán público su descubrimiento esta semana, lo que podría tener graves consecuencias.

El problema está en el transport layer security (TLS), la nueva generación de SSL. La versión vulnerable es TLS 1.0, y aunque existen las versiones 1.1 y 1.2 que no se verían afectadas, pocos navegadores las soportan y prácticamente todos los sitios web siguen usando la versión 1.0.

Los investigadores harán una demostración su descubrimiento en la conferencia Ekoparty en Buenos Aires esta semana. Se trata de un par de líneas de JavaScript que funcionan como un espía de la red, que permite descifrar las cookies encriptadas usadas por un determinado sitio para otorgar acceso restringido a la cuenta de un usuario.

Se espera que los navegadores lancen parches en los próximos días para atacar este problema. También podría funcionar como impulso para que los sitios se actualicen a TLS 1.2.

La vulnerabilidad probablemente aumentará todavía más los llamados que se han estado haciendo últimamente para mejorar el frágil ecosistema SSL. Recientemente, las empresas DigiNotar y Comodo, emisoras de certificados SSL que permiten validar el sistema, fueron víctimas de hackeos, emitiendo certificados falsos que permitirían a un extraño inmiscuirse en las comunicaciones de miles de usuarios.

Link: Hackers break SSL encryption used by millions of sites (The Register)

(cc) mashleymorgan

Mitsubishi Heavy Industries, la mayor empresa proveedora de elementos de defensa en Japón, fue víctima de un ciberataque que tuvo acceso a información sobre submarinos, misiles y plantas nucleares.

“No podemos descartar que se haya filtrado otra información, pero por el momento datos cruciales sobre nuestros productos o tecnologías se han mantenido a salvo. Hemos encontrado que algunas informaciones del sistema, como direcciones IP, han sido filtradas y eso ya es escalofriante”, señaló un vocero de la empresa a la agencia Reuters.

Aproximadamente 80 sistemas de la empresa fueron infectados con malware en las oficinas centrales de Tokyo, incluyendo las divisiones dedicadas a la investigación y desarrollo. La empresa se enteró del ataque el 11 de agosto, pero no se informó sobre la seriedad del problema hasta hace pocos días, lo que le ha valido el reproche de distintos sectores a la empresa.

La compañía no tiene pistas respecto de quién podría estar detrás de los ataques. Sin embargo, ante la especulación de que el responsable podría ser China, un vocero de ese país salió a descartar los rumores. “El gobierno chino se ha opuesto consistentemente a los hackeos. Las leyes lo prohíben estrictamente (…) Criticar a China como la fuente de hackeos no sólo no tiene fundamento, sino que no es bueno para promover la cooperación internacional para la seguridad de internet”, dijo el vocero chino Hong Lei.

Cualquier filtración de información clasificada puede resultar en grandes multas para Mitsubishi Heavy Industries. El año pasado, la empresa consiguió 215 contratos para trabajar en proyectos por un total de 260.000 millones de yenes (US$3.397 millones), muchos en conjunto con Estados Unidos y la empresa Lockheed Martin, que también fue hackeada hace unos meses.

Los casos de hackeos a gobiernos y entidades relacionadas parecen estar volviéndose frecuentes, por lo que todo indica que habrá que invertir más en esta área si se quiere que los secretos sigan manteniéndose como tales.

Link: Japan tells arms supplier to probe cyber attack (Reuters)

Puras mentiras

Fuentes de la empresa Bit Torrent Inc. informaron esta mañana que en horas de la madrugada el sitio del famoso cliente uTorrent, y posiblemente el sitio con el cliente BitTorrent original, fueron hackeados por un grupo no identificado, sin que hasta ahora nadie se haya atribuído el ataque.

Como consecuencia del  hackeo, el instalador de los respectivos clientes de bittorrent fue sustituídos por un ejecutable malicioso que instala uno de esos típicos antivirus falsos “scareware” que te empiezan a avisar que encontraron dos docenas de virus distintos y tienes que comprar la versión full de algo para quitarlos.

A todos los que hayan descargado uTorrent o BitTorrent entre anoche y esta mañana, se les recomienda analizar su equipo con su anti-malware de confianza para descartar estar afectados por el scareware.

Link: uTorrent, possibly BitTorrent Web sites hacked (Download Blog)

El grupo “The Script Kiddies” se atribuyó el ataque, que está siendo investigado por el FBI. El grupo twitteó los siguientes mensajes:

• “Últimas noticias! La Zona Cero fue atacada. El vuelo 5736 se estrelló en el lugar, se sospecha un secuestro. Tendremos más a medida que se desarrolla la historia”.
• “El vuelo 4782 no está respondiendo, se sospecha secuestro. Un avión se estrelló en la Zona Cero a las 5:47″
• “Esto no es un chiste, la Zona Cero fue atacada. Estamos intentando llevar reporteros a la escena”

Más tarde se reveló la farsa con el tweet “NBCNEWS news fueron hackeadas por los Script Kiddies. Síganlos en @s_kiddies”. Al parecer esa cuenta mencionada fue cancelada, puesto que no existe en la red social. El canal de TV, en tanto, emitió un comunicado pidiendo disculpas por el susto y aclarando que se trató de un hackeo.

La cuenta @NBCNews fue suspendida por un tiempo por Twitter, y devuelta a sus dueños correspondientes. Según la compañía, la contraseña de Twitter se obtuvo a través de un keylogger troyano. Ryan Osborne, encargado de redes sociales, confesó que abrió un archivo adjunto de un e-mail sobre el huracán Irene (capa 8, alguien?).

Esta no es la primera jugarreta de los “Script Kiddies”. Hace dos meses secuestraron la cuenta de Fox News para anunciar que el presidente Barack Obama había sido asesinado. Si es que esta historia tiene alguna moraleja, quizás es revisar dos veces antes de creer lo que dice un tweet – no importa de quien venga.

Link: NBC’s Twitter handle hacked, spreads false Ground Zero attack informacion (VentureBeat)

El Secure Sockets Layer (SSL) es un sistema usado en internet para garantizar la identidad de un servicio. La garantía de identidad se realiza usando una clave digital conocida como certificado, que son emitidos por diversas empresas alrededor del mundo. Últimamente, estas empresas han sido víctimas frecuentes de ataques, lo que permite a los atacantes hacerse pasar por una serie de servicios y engañar a sus usuarios para obtener información valiosa.

El hackeo a la empresa holandesa DigiNotar ocurrió en julio, y al principio sólo se detectaron unos pocos certificados falsos. Ahora, la cantidad de certificados fraudulentos descubiertos alcanza a más de 500, incluyendo además de las agencias de seguridad estatales a empresas como Microsoft, Yahoo, Skype, Facebook y Twitter, entre otros.

Mozilla, Google y Microsoft ya lanzaron parches para sus navegadores para que no acepten ningún certificado emitido por DigiNotar. Se cree que el ataque provino desde Irán, y que tenía como objetivo espiar a los propios ciudadanos iraníes, según señaló TrendMicro.

El fin de semana, el ministro del Interior de Holanda, Piet Hein Donner afirmó que el gobierno no puede garantizar la seguridad de sus sitios web debido al hackeo de DigiNotar, y solicitó a los ciudadanos no usar los sitios hasta que se emitan nuevos certificados de otra fuente.

Los certificados falsos podrían usarse para realizar ataques tipo “man in the middle”, que engañan a los usuarios haciéndolos creer que están en un sitio legítimo, aunque sus comunicaciones están siendo en realidad interceptadas secretamente.

La vulneración de DigiNotar está siendo investigada por las autoridades holandesas, y existe la posibilidad de que se retire de operación a la compañía por esta filtración.

Existen alrededor de 500 autoridades emisoras de certificados SSL en el mundo, que están siendo fuertemente criticadas actualmente por su pobre seguridad. Es posible que el caso de DigiNotar no sea el último de este tipo que veamos.

Link: Hackers steal SSL certificates for CIA, MI6, Mossad (ComputerWorld)

Además de filtrar información, también hicieron un defacement al sitio oficial de la policía, que fue reparado por los oficiales, aunque el sitio se mantiene fuera de servicio hoy.

Los correos revelados son bastante condenatorios. El primero de la lista corresponde al jefe de policía de Friendswood, Robert Wieners, quien señala que “esa perra estúpida que comenzó la persecución de autos en Yale y la 610 obtuvo lo que merecía (apostaría que era gorda y negra también). Lo mismo con ese pervertido que hizo que le dispararan. Que se joda. Eso suena como buen trabajo policial para mí. Estos sujetos obtuvieron la cura criminal. Está garantizado, nunca cometerán crímenes de nuevo”.

Otros correos son anti-musulmanes, homofóbicos, y también hay uno en que un oficial pide que se investigue al supuesto amante de su mujer, aparentemente otro policía. Una función que, claramente, no corresponde al trabajo que tienen que realizar.

La filtración es parte de la operación #AntiSec, que busca exponer la corrupción en los gobiernos e instituciones públicas.

Link: Anonymous roars back with 3GB leak of texas police chief emails (Gizmodo)

La infección ocurrió el 12 de agosto y no fue detectada hasta 17 días después, según el administrador jefe de kernel.org, John “Warthog9″ Hawley. Según relató en un correo a los desarrolladores, se encontró un troyano en la máquina personal del desarrollador de kernel H. Peter Anvin y luego en dos servidores de kernel.org llamados Hera y Odin1.

“Intrusos obtuvieron acceso root al servidor Hera. Creemos que pueden haber obtenido acceso a través de las credenciales de un usuario; cómo lograron explotar ese acceso root es hasta el momento desconocido y está en investigación”, señala un comunicado en el sitio de kernel.org.

Se cree que los repositorios usados para almacenar el código fuente de Linux no se vieron afectados por la vulnerabilidad, aunque la seguridad de los mismos está siendo verificada. El comunicado agrega que el daño potencial que se puede hacer rooteando kernel.org es menos que el que se podría lograr en repositorios de software comunes, debido a los métodos de seguridad que están dentro del sistema.

“Por cada uno de los casi 40.000 archivos en el kernel de Linux, se calcula criptográficamente un hash SHA-1 seguro para definir de manera única los contenidos exactos de ese archivo. Una vez publicados, no es posible cambiar las versiones antiguas sin ser notado”, señala el comunicado.

Cada hash es almacenado en miles de sistemas diferentes alrededor del mundo, haciendo fácil que los usuarios chequeen la validez de los archivos Linux antes de correrlos en sus máquinas.

Aunque es raro, esta no es la primera vez que una respetada organización que distribuye software de código abierto, de la que dependen miles de otras organizaciones, es atacada. En diciembre, la fuente principal de código de la Free Software Foundation, GNU Savannah, fue derribada después de un hackeo que filtró contraseñas. Los administradores no pudieron determinar esa vez si hubo acceso de root.

En abril de 2010 también la Apache Software Foundation sufrió un ataque que consiguió contraseñas que cualquiera que usara el servicio de rastreo de bugs de la web.

Kernel.org bajó los servidores infectados y están en proceso de reinstalar completamente el sistema operativo en cada máquina de la organización. También están trabajando con los 448 usuarios de kernel.org para cambiar sus credenciales de autenticación, incluyendo claves SSH. Además se notificó a autoridades en Estados Unidos y Europa.

Link: The Linux Kernel Archives (vía The Register – Gracias Víctor)

Nokia dejó un mensaje advirtiendo a los desarrolladores que su información fue expuesta después de que los hackers explotaran una vulnerabilidad que les permitió atacar con una inyección de SQL.

“Los registros de la base de datos incluyen los correos electrónicos de los miembros, y en menos del 7% de los casos, fotos de perfil, fechas de nacimiento, dirección web o usuarios de AIM, ICQ, MSN, Skype o Yahoo. Sin embargo, no hay información sensible como contraseñas o tarjetas de crédito, de modo que no creemos que la seguridad de los miembros del foro esté en riesgo. Otras cuentas de Nokia no se han visto afectadas”, señaló la compañía.

Los administradores repararon la falla que permitió realizar el ataque, aunque el foro se mantiene offline por seguridad.

Antes de que se bajara el sitio, los visitantes eran redirigidos a un sitio que mostraba la imagen de Homero Simpson diciendo “D’Oh!”, con la leyenda “la compañía número 1 en móviles pero que no gasta un centavo en seguridad de servidores!”.

Link: Nokia’s developer website hacked, user data compromised (Forbes)

(cc) JMRosenfeld

Como si no bastara con el caos bursátil que hemos visto durante esta semana, hackers atacaron hoy la bolsa de comercio de Hong Kong, causando caos entre los corredores de acciones. La bolsa suspendió las operaciones de siete empresas por los ataques, entre ellas las del banco HSBC, Cathay Pacific Airways y China Power.

El ataque fue dirigido a un sitio de la bolsa usado para informar a los corredores sobre los anuncios hechos por las empresas. HSBC y Cathay Pacific iban a anunciar hoy sus resultados para la primera mitad del año, lo que explica por qué la información era importante. “Esto ha afectado la credibilidad y confianza de la información en un momento muy crítico. La situación es preocupante porque el hackeo apuntó al sistema de entrega de información”, señaló Charles Mok de la Internet Society a Bloomberg.

No se sabe si el ataque inundó los servidores con tráfico (un DDoS), haciendo que no se pudiese entrar, o bien si los atacantes obtuvieron acceso al servicio. La bolsa está investigando ahora los motivos y quiénes podrían estar detrás de este ataque, junto con la policía.

Link: Hacker attack on Hong Kong Exchange website triggers halt in HSBC trading (Bloomberg)

El grupo, llamado “Noria”, dice haber entregado toda la información de los correos a un periodista independiente llamado Kjetil Stormark, a quien se le pidió además entregar los datos a la policía que investiga el caso. Se cree que este mismo grupo fue el que hackeó la cuenta de Twitter de Behring hace un par de semanas.

“Queremos que Anders sea olvidado. Etiquetas como “monstruo” o “maniaco” tampoco ayudan. Los medios deberían llamarlo patético; un nada”, escribieron en el Twitter de Behring.

Ingresar a los correos de Behring puede ser muy útil para la policía, que podría ver con quién estaba en contacto, con quién habló y sobre qué, si le ayudaron en los ataques, etc. Sin embargo, si hackers entraron en sus correos, la evidencia podría considerarse como comprometida. Un abogado fácilmente podría decir que los contenidos se alteraron, que no se siguieron los procedimientos adecuados, y que nada de lo que sale ahí es válido en una corte. Esto, aunque quizás no ayude a Behring con toda la evidencia que hay en su contra, podría ayudar a otros posibles implicados que se vean involucrados por los correos.

Tomarse la justicia por las propias manos suele no ser una buena idea, y en este caso puede que a los mismos hackers les juegue en contra.

Link: Hacking gang breaks into Norwegian killer’s email accounts (Sophos)

(cc) Riebart

Los ciberataques no son para un solo lado, y China también ha sido víctima, según lo que han dicho las fuentes oficiales del país hoy. Casi 500.000 ciberataques se registraron el año pasado, de los que la mitad se originaron en el extranjero, incluyendo a Estados Unidos e India, aseguró el país.

Según el reporte del gobierno, la mayoría de los ataques llegó en forma de software troyano. El 15% de los ataques venía de direcciones IP en Estados Unidos, mientras un 8% venía de la India. China ha sido constantemente acusado de ser el responsable de grandes ataques a otros gobiernos, de modo que el informe se ve como una manera de decir “no somos los únicos”.

El reporte señaló que los hackeos muchas veces estaban motivados por razones políticas y religiosas, aunque también había varios en que los hackers simplemente buscaban lucirse. Casi 35.000 sitios se vieron afectados (incluyendo 4.635 páginas del gobierno), lo que representa un alza de 67,7% respecto a lo que se registró el año pasado.

Link: China suffered quarter mln cyber attacks originating from abroad last year (Xinhua)

El mensaje que dejaron señala que si RIM colabora, “personas inocentes que estaban en el lugar incorrecto en el momento incorrecto y tienen una blackberry serán acusados por ninguna razón, la policía quiere arrestar toda la gente posible para salvarse de la vergüenza… si ayudan a la policía dándoles logs de chat, ubicaciones gps, información de clientes y acceso a los mensajes de BlackBerry Messenger, lo lamentarán”.

El grupo amenaza a continuación con publicar información sobre los empleados de RIM (direcciones, nombres, teléfonos), aunque asegura que “no perdonamos que se atacara a gente inocente en estos disturbios ni que se saqueara a pequeñas empresas, pero estamos de acuerdo con quienes atacaron a la policía y los gobiernos”.

El asunto sin duda es un dilema para RIM, que ya ha tenido que enfrentar situaciones de riesgo para la privacidad de los usuarios en India y Emiratos Árabes.

Link: RIM’s BlackBerry blog hacked after it cooperates with police over London riots (TNW)

Anonymous puso en la rediseñada web su logo sobre la bandera siria, y videos que muestran la violencia y las protestas en el país, con un mensaje en inglés y en árabe. Hablándole a los ciudadanos sirios, Anonymous indicó que “el mundo está con ustedes en contra del brutal régimen de Bashar Al-Assad. Sepan que el tiempo y la historia están de su lado – los tiranos usan la violencia porque no tienen nada más, y mientras más violentos son, más frágiles se vuelven”.

Anonymous también hizo un llamado a los militares sirios, señalando que su deber es proteger a la gente del país. “Ningún enemigo extranjero podría hacer tanto daño a Siria como Bashar Al-Assad. Defiendan a su país – ¡levántense contra el régimen!”.

En Siria continúa lo que ha sido toda una revolución en Medio Oriente, que comenzó con Túnez y Egipto.

Link: Anonymous takes over, defaces Syrian Defense Ministry site (VentureBeat – gracias Tavo)

El grupo Anonymous atacó de nuevo. Ahora anunciaron que hackearon los sitios de 70 grupos policiales norteamericanos y liberaron 10 Gb de información, que contienen direcciones de correo e información de tarjetas de crédito.

Las instituciones hackeadas estarían ubicadas, en su mayoría, en zonas rurales del centro y sur de Estados Unidos, donde usualmente la policía no se tiene que preocupar de ataques cibernéticos internacionales. El ataque sería la respuesta de Anonymous al arresto de algunos de sus miembros en Estados Unidos y Europa en las últimas semanas.

El grupo afirmó en un comunicado:

Estamos liberando una gran cantidad de información confidencial que de seguro va a avergonzar, descreditar e incriminar a oficiales de policía a lo largo de Estados Unidos. La filtración demostrará la naturaleza inherentemente corrupta de las fuerzas de seguridad.

Anonymous no dio razones para atacar a grupos en estos pueblos, mientras que los oficiales afectados afirmaron a The Associated Press que buscarán métodos para mejorar la seguridad de sus sistemas para prevenir nuevos ataques.

Link: Hackers Break Into 70 Law Enforcement Websites (Mashable)

No se trata de algo inusual, varias empresas y algunas agencias como la NASA también van a la conferencia a buscar talentos que les puedan ayudar a reforzar sus sistemas de seguridad. Sin embargo, la NSA no había estado haciendo este trabajo hasta ahora.

“Hoy lo que buscamos son ciberguerreros, no científicos de cohetes. Es la carrera en la que estamos hoy. Y necesitamos a los mejores y los más brillantes para obtener el cargo de ciberguerreros”, dijo Richard George de la NSA.

El que no haya reclutado gente en DefCon no significa que la NSA no tenga hackers. Según George, “hemos sido de alguna manera un grupo de geeks por un largo, largo tiempo”.

La agencia planea contratar 1.500 trabajadores antes de que se acabe septiembre, y otros 1.500 el próximo año, de los que la mayoría se convertirá en “ciberguerreros”.

Jeff Moss, fundador de DefCon, se refirió a lo que la agencia está buscando: “necesitan gente con las habilidades de hacker, con una mente de hacker. No es como ir a la universidad hacker y conseguir un diploma que diga que eres un hacker. Es una etiqueta que se gana uno mismo – o piensas como un hacker, o no”.

Link: US govenrmente hankers for hackers (Reuters)

Según la compañía, el ciberataque fue altamente sofisticado y parece provenir de un grupo organizado bajo las órdenes de un gobierno. La compañía no dijo de qué país creía que podría tratarse (aunque la especulación en internet ya está apuntando a China).

En total se hackearon a 72 organismos, 49 de ellos pertenecientes a Estados Unidos, mientras que el resto corresponde a gobiernos, empresas y organizaciones en Canadá, Japón, Corea del Sur, Taiwan, Suiza e Inglaterra (ver infografía al final del post). Entre las pocas víctimas mencionadas con nombre en el informe está el Comité Olímpico Internacional y la Agencia Mundial Anti-Doping.

“Tras muchos análisis de los logs, hasta nosotros estábamos sorprendidos por la enorme diversidad de organizaciones víctimas que fueron derribadas por la audacia de los atacantes”, dijo Dmitri Alperovitch, vicepresidente de investigación de riesgos de McAfee en el informe [PDF].

Tipos de organizaciones afectadas

McAfee publicó el informe ahora para coincidir con el inicio de la conferencia anual de seguridad Black Hat en Las Vegas, que se extenderá hasta mañana. La compañía dijo haber alertado a las víctimas y agencias de seguridad, que ya están investigando las intrusiones.

La compañía dice que descubrió la campaña de ciberataques en marzo, cuando encontraron logs de los ataques mientras revisaban los contenidos de un servidor que habían descubierto en 2009 como parte de una investigación sobre transgresiones de seguridad en empresas de defensa.

Datos valiosos

McAfee bautizó los ataques como “Operation Shady RAT” (RAT por remote access tool, no por rata). Según la compañía, los primeros ataques se pueden rastrear hasta mediados de 2006, aunque podría haber intrusiones anteriores que todavía no se hayan detectado.

Los datos robados van desde información clasificada a redes gubernamentales, código fuente, archivos de e-mail, detalles de negociaciones sobre petróleo y gas, configuraciones, esquemas de diseño, y más. Todavía no se sabe qué se hizo con los datos.

“Aún si una fracción de los datos se usó para crear mejores productos o superar a un competidor en una negociación clave (por robar información del equipo rival), la pérdida representa una amenaza económica masiva”, dice Alperovitch.

McAfee señaló que no ha revelado los nombres de la mayoría de las organizaciones que fueron atacadas para no despertar alarma de los clientes o accionistas de las empresas involucradas. Después de lo que pasó con Sony, aparentemente todos están siendo cautelosos con la alarma que puede provocar.

En 2006, ocho organizaciones fueron atacadas. En 2007 el número subió a 29, en 2008 a 36 y en 2009 a 38. Después empezó a bajar, “probablemente debido al aumento de medidas de contrataque para los métodos de intrusión usados por este actor en específico”, indica el informe.

Países afectados

Link:
- Security firm identifies global cyber spying (NYTimes)
- State actor seen behind enourmeous wave of cyber attacks (Reuters)
- Operation Shady Rat (PDF – McAfee)
- Revealed: Operation Shady RAT (McAfee)

Davis se supone que es “Topiary”, uno de los miembros de LulzSec que se desempeñaba como vocero del grupo. Su identidad ha sido puesta en duda en los últimos días debido a que grupos opositores a LulzSec aseguran que el verdadero Topiary en realidad es un sueco.

Sin embargo, la policía encontró en el laptop de Davis una copia del artículo que se publicó en una portada falsa de The Sun diciendo que Rupert Murdoch había muerto, además de una lista con información personal y contraseñas de 750.000 personas (posiblemente obtenida de alguno de los hackeos), lo que se presenta como evidencia bastante contundente.

Davis fue dejado en libertad condicional para quedarse en casa de su madre, y con la prohibición de conectarse a internet.

Links:
- LulzSec’s ‘Topiary’ had 750.000 people’s personal details, prosecutors claim (TNW)
- Alleged LulzSec hacker released on bail (The Guardian)

Anonymous y el FBI no se llevan nada de bien, lógicamente, desde que la oficina federal de inteligencia comenzó a perseguir y acusar al colectivo de cometer delitos informáticos. El asunto parece haber pasado a mayores después de que el FBI capturara a 14 personas hace algunos días, tras lo cual el grupo mandó una carta un tanto amenazante.

Ahora, el colectivo asegura que hackeó a ManTech, una empresa que provee servicios de seguridad informática al FBI y que ayuda a proteger su infraestructura de comunicaciones clasificadas, afirmando haber obtenido unos 500 MB de datos.

A modo de prueba, Anonymous publicó dos documentos: uno es un currículum en PDF de un ex-militar, y el otro un “documento de trabajo” fechado el 8 de febrero de 2010 y dirigido a la Agencia de Sistemas de Información y Comunicación de la OTAN.

La información fue filtrada dos días después de que ManTech informara ingresos por US$752 millones en el segundo trimestre, algo que a Anonymous no le gusta: “@ManTech, tenemos una pregunta: recolectan más de US$200 millones del maldito dinero de los contribuyentes para protegerlos de nosotros. Y ahora?”, señaló Anonymous en Twitter.

ManTech también provee servicios al Departamento de Defensa, de Estado, Seguridad Nacional y otros organismos del gobierno de Estados Unidos. Quién sabe qué más obtuvieron. Mientras tanto, en Twitter Anonymous ha estado burlándose de ManTech y el FBI con los hashtags #AntiSec y #FFFriday.

Link: Anonymous hacks ManTech, FBI cybersecurity contractor (SecurityWeek)

Algunos de los datos ya han comenzado a ser publicados en internet a modo de prueba. Anonymous dice que recibieron los documentos de una “fuente”, por lo que aparentemente no se trataría de una operación organizada directamente por ellos.

El Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) es también la organización que supervisa la infraestructura tecnológica en el país. Según Anonymous, los datos fueron extraídos de un servidor de evidencias del CNAIPIC. Los documentos incluirían información sobre organismos del gobierno y datos de empresas privadas como Gazprom, Exxon Mobil y otras.

Otras imágenes reveladas por Anonymous incluyen la estructura organizacional de CNAIPIC, fotos de los miembros de la organización y una lista de todos los documentos extraídos. La policía italiana no ha hecho comentarios al respecto todavía.

Link: Hackers hit Italian cyber-police (BBC)