Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 20 de septiembre de 2007

¿SON LOS ATAQUES PUMP-AND-DUMP MAS RENTABLES QUE EL ROBO DE IDENTIDAD?

Allá por noviembre de 2006, escribí un texto sobre ataques pump-and-dump, o lo que es lo mismo, el empleo de spam financiero para adulterar los mercados financieros de alta volatilidad.

Los que lean este blog con regularidad sabrán que una de las críticas que suelo hacer habitualmente es que en el mundo del fraude y los delitos tecnológicos se hace mención, casi en exclusiva, a los ataques de robo de identidad, y más concretamente, al robo de credenciales. En su día fue el phishing, en vías de extinción en muchos países (España entre ellos), y hoy en día es el robo de credenciales empleando troyanos. Son los temas de moda, y aunque el efecto mediático es cada vez menor, ya que la gente se ha terminado por acostumbrar a su presencia, siguen dando que hablar.

Así pues, cuando leo a gente con rigor y con independecia que no todo en esta vida es el robo de identidad, y más concretamente, robo de credenciales (en mi opinión no es ni de lejos el principal problema de fraude de una entidad financiera), pues me alegro bastante, porque estoy algo cansado de las borriqueras que se han puesto los medios con los troyanos y el phishing. Estas borriqueras sólo dejan ver hacia delante y no permiten abrir la visión a los muchísimos “laterales” a los que se enfrentan los usuarios en su día a día en la red: existen otros problemas, y cito sólo algunos ejemplos: la venta ilegal, el juego online, la extorsión criptoviral, el spam, las cartas nigerianas, las farmacias online, las estafas segmentadas, el empleo ilegal, el crimen organizado en general y cómo no, la adulteración de mercados volátiles mediante spam. Todavía más irritante es comprobar que muchas veces se limita el concepto de robo de identidad al robo de credenciales, cuando lógicamente, el robo de credenciales es sólo un subconjunto del primero.

La semana pasada Ameritrade sufrió un robo de datos bastante relevante. Según ha declarado la organización, y median en ello juzgados y autoridades policiales, el robo de datos sólo se extendió a nombres, teléfonos y direcciones de correo electrónico. Aún teniendo a su disposición los autores del robo los números de seguridad social y números de cuenta en la misma base de datos, aparentemente, estos datos no fueron capturados. Esto hace pensar que el ataque, aparentemente, no iba enfocado al robo de identididad.

Este caso nos hace pensar que el atacante o atacantes se han movido por intereses ajenos al robo de identidad. Recientemente, el Gobierno de EEUU liberó una nota de prensa en la que se detalla cómo un atacante, empleando pump-and-dump, se embolsó más de 3 millones dólares. Esta cifra está muy alejada de cualquier robo de credenciales, salvo negligencia e inoperancia de la entidad afectada, lógicamente. Cualquier entidad mínimamente preparada, y me consta que la inmensa mayoría lo están, puede afrontar un robo de credenciales de una manera ágil y limitar los montos sustraídos, bien sea por los límites que el usuario tenga en su operativa, bien sea por la rapidez en cortar el acceso a unas credenciales comprometidas. Hay que explotar con éxito MUCHAS credenciales para embolsarse 3 millones de dólares.

No menos cierto es que el robo de emails cualificados puede ser una excelente vía de segmentar phishing, sobre todo en EEUU, donde el phishing convencional tiene una actividad bastante elevada. De todas maneras, coincido con John Bambenek: este caso tiene toda la pinta de ser una maniobra orquestada para atacar mediante spam financiero a receptores cualificados.

¿Realmente tenemos tan claro que el robo de identidad en cualquiera de sus formas es más rentable que otros delitos tecnológicos, como la adulteración de mercados? Yo no lo tengo tan claro. Y lo que más me asusta es que mediáticamente, la atención se está desviando a un único punto, con lo que el resto de frentes está total y absolutamente fuera del punto de mira, con lo que los esfuerzos por educar al usuario final son prácticamente nulos.

Fuente: http://www.sahw.com

Ver más

NAVEGACION ANONIMA CON JAP (JonDo Anon Proxy)

En este blog hemos hablado alguna vez del sistema de navegación anónima TOR, todo un estandarte para preservar nuestra privacidad online.

jap

Hoy hablamos de JAP, una buena alternativa a TOR, y que se caracteriza por su ligereza (TOR es bueno, pero es pesado como un ladrillo).

JAP (JonDo Anon Proxy) es un único fichero .jar, lo que hace que sea plenamente interoperable. Sólo necesitaremos un intérprete Java en nuestra máquina y estaremos en condiciones de navegar anónimamente. El fundamento de la navegación anónima consiste en la utilización de mix cascades, distintos desvíos que hacen que, en vez de realizar peticiones directas contra el servidor que visitemos, nuestras peticiones pasen por distintos servidores pertenecientes a instituciones que han declarado públicamente que no guardan logs relacionados con la privacidad del usuario.

Ver más

COLECCION DE HERRAMIENTAS DE SEGURIDAD ONLINE

ServerSniff.net es un conjunto de herramientas de seguridad online. Xavi la define como una navaja suiza online, y no le falta razón.

Las herramientas publicadas son las usuales: herramientas IP, de nameservers, de servidor Web, critpografía, y otras herramientas misceláneas. Los autores han habilitado también un blog.

Ver más

DELITOS TECNOLÓGICOS AVANZADOS: FAST-FLUX SERVICE NETWORK

Los chicos de The Honeynet Project & Research Alliance han publicado un nuevo documento de investigación, después de un tiempecillo sin habernos deleitado con ninguno de sus excelentes papers a los que nos tienen acostumbrados.

Esta vez, la famosa serie Know Your Enemy aborda un tema bastante poco conocido, o al menos, poco publicitado en los medios 2.0: las Fast-Flux Service Networks.

Estas redes toman su nombre del término sajón fast-flux, que viene a significar algo parecido a flujo rápido. Esta denominación se emplea para definir un tipo de redes de ataque de alta sofisticación, dotadas de una alta capacidad de transformación en cuanto a composición, lo que dificulta enormemente los procedimientos de track down o inhabilitación de las mismas. Sirvan estos dos diagramas para dar una idea sobre este tipo de redes:

fast flux diagram

double flux

Todos los detalles sobre este tipo de delitos telemáticos los tenéis publicados en Know Your Enemy: Fast-Flux Service Networks. También hay una versión PDF. Incluye referencias a malware fast-flux, y ejemplos de casos reales.

Fuente:
http://www.sahw.com/wp/archivos/2007/07/20/delitos-tecnologicos-avanzados-flash-flux-service-networks/
http://www.honeynet.org/papers/ff/fast-flux.html

Ver más

ATAQUE O REPLICA TOTAL DE TODOS LOS BLOGS ALOJADOS EN WordPress.com

En estos momentos podemos ser testigos de un espectacular ataque a Wordpres.com, extensible a todos los blogs alojados en esta plataforma de creación y gestión gratuita de blogs.

Aún nos falta saber si han accedido a los servidores de Wordpress.com con acceso total o están replicando de otro modo los contenidos de los blogs (por ejemplo como un proxy inverso).

Podéis comprobarlo si en lugar de la url_del_blog/wordpress.com escribís url_del_blog_/wordprexy.com. Han creado bajo ese dominio espejos absolutamente iguales de los blogs legítimos y además están insertando publicidad de Adsense, con lo que los legítimos propietarios caso de estar usando Adsense en sus blogs, podrían ser penalizados por Google (publicidad y contenidos duplicados).

El ataque o replica total se ha realizado desde Turquía y han llegado hasta el punto de replicar Wordpress.com en Wordprexy.com.

Los crackers(que no hackers) si es que tienen acceso a todo (aún por confirmar), CSS, HTML, bases de datos, PHP, direcciones de e-mail, etc, etc, está claro que el siguiente paso que podrían dar sería vender toda la información a alguna red de Spam o incluso para explotarlo ellos mismos.

Hace unos días, como los más asiduos sabéis, me preguntaba si “¿Merece la pena tener un blog alojado en un dominio propio o…?”.

Lo que está claro es que Blogger y otros lugares ganarán adeptos porque muchos usuarios migrarán y exportarán el contenido de sus bitácoras fuera de Wordpress.com. Veremos en que acaba todo…

Desde aquí, me solidarizo con todos los compañeros que tienen un blog alojado allí(unos cuantos por cierto), espero que todo se solucione de la forma más limpia posible -;).

Lo que está claro es que Wordpress.com tiene que tomar medidas urgentemente si es un ataque y no una réplica (o copy-paste) y en estos momentos, Google debería estar bloqueando todas las urls que contengan wordprexy.com para evitar problemas mayores.

Fuente y más info Mangas Verdes.

Actualización, dicen que lo que quieren es hacer como de proxy para evitar el bloqueo de Wordpress en Turquía ¿?.

Y un usuario se pregunta (con lógica)

Ver más