Archivos de la categoría ‘ciberataque’

Firefox 17 0day en Freedom Hosting

Esta noticia ha sido un impacto en muchos sitios, así que no podíamos dejar de informar a los lectores de DragonJAR de lo que ha pasado.

Eric Eoin Marques es dueño de un ISP llamado Freedom Hosting. Según el FBI este ISP es el mayor distribuidor de pornografía infantil. Es por eso que el FBI ha presentado a Irlanda una solicitud de extradición para Eric.

Según lo leído por ahí Freedom Hosting es uno de los proveedores de hosting que más sitios .onion tiene dentro de la red de .

A parecer el FBI ha podido localizar a Eric aún usando la red Tor… Muchos de nosotros que somos usuarios de esta red nos preguntaremos

¿Pero como es posible? ¿Esta red no arrojaba privacidad?, ¿Anonimato?

Antes de sacar conclusiones vamos a ver que ha pasado realmente….

Primero, para quien no lo sepa, vamos a explicar por encima que es un hidden service de tor, esos .onion que encontramos por ahí.

Hidden Services

Los servicios que ocultan la localización (por ejemplo, la dirección IP) de quien provee el servicio (Ej. un servicio web accesible sólo desde la red Tor) se les suele llamar servicios de localización oculta (en inglés location-hidden services) o simplemente servicios ocultos (en inglés hidden services). -Wikipedia

A priori sería imposible poder localizar a Eric.

Pero, parece ser que el FBI colocó un exploit con el que pudo localizar y obtener la IP aún usando TOR.

El código javascript para explotar el fallo que usaron se encuentra en el siguiente link => http://pastebin.mozilla.org/2776374

El software que era vulnerable es la versión Firefox 17 ESR (que es el que se basa el Tor Browser oficial)

Una vez que el exploit era ejecutado con éxito, se cargaba un payload, el enlace con el análisis está aquí => http://pastebin.mozilla.org/2777139

http://tsyrklevich.net/tbb_payload.txt

Enlaces de interés:

[+] https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting

[+] http://www.twitlonger.com/show/n_1rlo0uu

[+] http://www.reddit.com/r/onions/comments/1jmrta/founder_of_the_freedom_hosting_arrested_held/

[+] http://www.ehackingnews.com/2013/08/almost-half-of-tor-sites-compromised-by.html

BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) es una nueva herramienta que utiliza una técnica mediante la cual es posible extraer tokens de logins, IDs de sesión y otra información sensible a partir de tráfico web cifrado SSL/TLS y en ¡sólo 30 segundos!.

Esto significa que podría permitir a un atacante descifrar fácilmente un canal HTTPS de un banco o de un sitio de venta online.
Fue presentada en la última conferencia Black Hat y se aprovecha varias vulnerabilidades de forma similar a lo que hacía CRIME con deflate; es decir, ataca al algoritmo de compresión aunque en las respuestas HTTP. Eso sí, como comentamos la información sensible ha de estar en las respuestas HTTP, el servidor por supuesto ha de utilizar compresión HTTP y el exploit requiere que la víctima visite primero un enlace malicioso.
 Imagen

El ciberespionaje es el desastre más grande de la inteligencia desde la pérdida de los secretos nucleares a finales de la década de los 40, según comenta Jim Lewis del Centre for Strategic and International Studies, un think-tank con sede en Washington, DC, según cuenta The Economist. El siguiente paso tras penetrar en las redes para robar datos es disrupt o manipularlos. Si la información militar clave puede ser atacada, podrán ser inutilizados misiles balísticos. Los atacantes pueden preferir ir a por información de logística militar no clasificada o incluso infraestructuras civiles. Una pérdida de confidencialidad en transferencia electrónica de datos financieros puede producir desastres económicos. Un desastre podría ser un ataque a las redes eléctricas. Sin electricidad y otros servicios críticos, los sistemas de comunicaciones, los cajeros automáticos dejarían de funcionar. Una pérdida de energía durante unos pocos días, puede producir daños económicos en cascada impredecibles.

Los expertos no se ponen de acuerdo sobre las vulnerabilidades de los sistemas que funcionan en las plantas industriales conocidos como supervisory control and data acquisition (SCADA). Cada vez más estas infraestructuras se están conectando a Internet elevando el riesgo de ataques remotos y los programas SCADA de las redes se vuelven más vulnerables a los ciberataques.(1)

La OTAN ha sido consciente del riesgo de las ciberamenazas y creó un nuevo «concepto estratégico» que se adoptará a finales de este año (2). Para ello un panel de expertos liderado por Madeleine Albright, antigua Secretaria de Estado de Estados Unidos, realizó un informe en mayo de 2010 en el que consideraba que los ciberataques estaban entre las tres amenazas más probables a la Alianza. El siguiente ataque significativo bien puede ser la rotura de un cable de fibra óptica y puede ser lo bastante serio como para merecer una respuesta bajo las previsiones de defensa mutua contempladas en el artículo 5 (del Tratado de Washington). El General Alexander planteó la posible necesidad de la militarización del ciberespacio para proteger el derecho a la privacidad de los americanos. El Cibercomando protege solo al dominio militar «.mil». El domino de gobierno «.gov» y el de infraestructuras corporativas como los «.com» son responsabilidad respectivamente del Departamento de Homeland Security y de las empresas privadas con apoyo de Cybercom.

Las ciberarmas se pueden utilizar principalmente como adjuntas o complementarias
de las armas convencionales en el teatro de operaciones. El ciberataque se puede utilizar como un arma militar pero normalmente estará limitada en tiempo y efecto aunque si se utilizan como armas de espionaje el tiempo no importa y los resultados pueden esperar. La disuasión en la ciberguerra es más incierta que en el caso de la estrategia nuclear, ya que en este tipo de guerra no hay destrucción mutua asegurada y la línea divisoria entre la delincuencia y la guerra es borrosa y por ende, la identificación de los computadores atacantes y lógicamente, mucho menos, las pulsaciones de los dedos en los teclados, como atribución del posible delito. Economist concluye que las ciberarmas pueden ser más efectivas en manos de los grandes estados aunque también pueden ser de gran utilidad para los terroristas.

_____________________________________________________________________

(1) Sin duda el exhaustivo informe de The Economist era premonitorio y avisaba de los
riesgos de los sistemas SCADA, como así fue en los ataques sufridos a finales de
septiembre, por el virus Stuxnet, especialmente en Irán.
(2) La OTAN en la Cumbre de Lisboa celebrada el 20 de noviembre de 2010 aprobó la
estrategia de ciberseguridad.

La defensa del nuevo dominio. La ciberestrategia del Pentágono

Apoyándose en las estrategias marcadas al principio del mandato del Presidente Obama entre el año 2009 y 2010, William J. Lynn III (1), U. S,Deputy Secretary of Defensa, ha publicado un artículo en la prestigiosa revista Foreign Affairs, donde expone los cinco principios básicos de laestrategia de la guerra del futuro…

Derivado del escándalo PRISM y de las mismas fuentes que lo destaparon, el diario The Guardian asegura que la agencia de inteligencia británica GCHQ tiene monitorizadas las mayores redes troncales de fibra óptica por las que circulan la mayoría del tráfico telefónico y de Internet mundial.

La operación de ciberespionaje británico, con nombre en código ‘Tempora’, incluye interceptores en los cables submarinos trasatlánticos bajo conocimiento y acuerdo con las empresas comerciales que construyen y operan los claves.

Según las fuentes, el alcance de Tempora es gigantesco, incluso mayor que el de la operación de vigilancia electrónica masiva llevada a cabo por la NSA estadounidense (aunque comparten información) bajo PRISM y que ha salpicado a las grandes tecnológicas del país como Google, Apple o Microsoft.

La cantidad de información a la que tendría acceso Tempora sería enorme ya que tendría monitorizado 200 cables de fibra por los que pasan 10 gigabits de datos por segundo.

Unas 850.000 empleados y contratistas públicos y privados tendrían acceso a esta enorme base de datos, aunque los informes de alto secreto serían de 750 analistas de GCHQ y NSA que trabajan específicamente en el filtrado de información entre llamadas, correo electrónico, documentos, redes sociales y todo lo que se mueva en Internet.

La información, con todos los indicios de ser cierta al igual que PRISM, reaviva el debate de hasta dónde debe alcanzar el ciberespionaje en aras de la seguridad y si es lícito una vigilancia generalizada y sin control de todas las redes de telecomunicaciones y de Internet, en un grave atentado a la privacidad de los ciudadanos.

Ironías del destino, Edward Snowden, filtrador de la información, acaba de ser acusado formalmente de espionaje por el gobierno de Estados Unidos.

fuente:http://muyseguridad.net/2013/06/22/espias-britanicos-comunicaciones/

El Diccionario de la Real Academia Española (DRAE) en su 22ª edición define Ciberespacio, única acepción, como el «Ámbito artificial creado por medios informáticos». En realidad, entendemos que la RAE se está refiriendo a un entorno no físico creado por un equipo informático con el objetivo de interoperar en una Red. El mayor ámbito del ciberespacio es Internet. El término fue utilizado por primera vez en la obra Neuromante del escritor norteamericano William Gibson y publicada en el emblemático 1984 que presagia Orwell. También podríamos definir el ciberespacio desde su perspectiva original como un conjunto o realidad virtual donde se agrupan usuarios, páginas web, chat y demás servicios de Internet además de otras redes. Otro nombre influyente en la definición e historia posterior del ciberespacio es John Perry Barlow, autor del famoso Manifiesto «La declaración del Ciberespacio» que se convirtió desde su aparición en referencia obligada al tratar el término y su impacto social. Barlow, declaraba el ciberespacio entre diferentes acepciones: «Alucinación sensual», «Espacio virtual de interacción» o «el nuevo hogar de la Mente». Sin embargo, la definición más sencilla y práctica dada en los nacimientos del concepto es «Un espacio virtual de interacción» o de un modo simple: «Aquel espacio donde sucede una conversación telefónica ». Hoy podríamos extender esta definición a: «El espacio donde se navega por Internet, se realizan conversaciones por Skype o en las redes sociales, o estamos cuando consultamos el correo electrónico, chateamos o visitamos un periódico digital». Existen numerosas definiciones de ciberespacio. Desde la más simple y ya vieja e histórica «es aquel espacio donde sucede una conversación telefónica», hasta una más práctica y actual «El espacio o realidad virtual donde se agrupan usuarios, páginas web, chat, redes sociales, blogs,… y demás servicios de la Web y de Internet». En cualquier caso y relativo al tema central de esta obra, «el ciberespacio es el nuevo campo donde pasamos gran parte de nuestras vidas los más de 1.000 millones de habitantes que hoy día tenemos acceso a Internet»; este campo, es un gran campo social donde disfrutar, trabajar, pensar, vivir,…, pero también es un nuevo campo de batalla, debido a los riesgos y amenazas que su uso masivo plantea. El ciberespacio fue declarado por The Economist (19) como el quinto dominio después de la tierra, el mar, el aire y el espacio. El presidente de Estados Unidos, Barack Obama, ha declarado que la infraestructura digital de América debe ser declarada «un activo nacional estratégico» y para conseguir ese objetivo nombró a Howard Schmidt, antiguo director de seguridad de Microsoft, como su zar de la ciberseguridad. En mayo de 2010 el Pentágono estableció su nuevo Cyber Command (Cybercom) nombró director del mismo al general Keith Alexander, director de la National Security Agency (NSA), habiendo quedado activado Cybercom en el pasado mes de octubre. Su mandato le obliga a conducir las operaciones de un amplio espectro para defender las redes militares estadounidenses y dirigir y realizar los ataques que fueran necesarios contra otros países.Imagen

https://www.facebook.com/ActualidadRT/app_340031309383424

En 2009 RT empieza a transmitir sus programas en español 24 horas al día y 7 días a la semana. Los espectadores de Nueva York y Miami, Los Angeles y México, Buenos Aires y Madrid siguen los noticieros de RT cuando más les convenga. Las noticias de las que no hablan los principales canales internac…

Anonymous Costa Rica

La independencia de América Latina está amenazada por aspectos geográficos de la infraestructura de Internet y subterfugios criptográficos de Estados Unidos para vigilar la comunicación digital, según afirmó el fundador de WikiLeaks, Julian Assange: "La infraestructura de Internet lleva el 99% del tráfico hacia y desde América del Sur por líneas de fibra óptica que físicamente atraviesan las fronteras estadounidenses."

etiquetas: assange, eeuu, espionaje, prism, snowden, wikileaks, nsa, soberania

votes

» noticia original

fuente: Menéame: wikileaks

Ver la entrada original

        The entire purpose of deploying a honeynet is to collect data. However, that data has no value if it cannot be analyzed. Walleye interface is the graphical tool available for analyzing the logged activities and alerts. Walleye also supports the integration and analysis of sebek data. The power of sebek data is that it captures all of the system activity and gives the ability to analyze what happened on the honeypot, even if the attacker went in encrypted.[1]
         On opening the management interface in the browser (https://ip-address-management-interface), administrator will be prompted to login. This is a SSL connection. The default user is roo and password is honey. Administrator will then be prompted to change the password. [2]
          This section discusses the data captured and analyzed through the walleye interface. Walleye interface facilitates the analysis of data on the basis of source IP, destination IP, source port, destination port. The protocols used for analysis are TCP, UDP, and ICMP. However sebek data is also captured and analyzed.
Attack Profile
          In order to test the functionality of honeynet, some simulated attacks are launched. Although this simulation does not actually hack the target machine, but it provides deep insight about the working of honeynet and how walleye displays the data from MySQL database.
          As a beginner, the simplest attacks that can be launched are packet fabrication without SYN flag, DOS, smurf attack, flooding by using IP spoofing etc. The tool used to do so is hping3. [3]
          The command used to launch the attack is hping3. One of the customized ways to do this is to use the option flood with the command to launch flooding on a target IP. Administrative rights are required to run the mentioned command from the attacker’s machine. The attacker’s machine is placed in the production network. [4]
#hping3 -V -c 1000000 -d 120 -S -w 64 -p 445 -s 445 –flood –rand-source <Victim IP>
           Source IP can also be spoofed with –a option in this command. The logged entries against spoofed attacker IP do not depict the actual IP of the attacker. [5]
           There are some numeric options that represent UDP/ICMP protocol in the command i.e. flooding is done through which protocol. These options are -1 for ICMP, -2 for UDP protocol. For TCP protocol, different flags can be used as mentioned (S for SYN, R for RST, A for ACK etc.) in the sample command above.
V= verbose ; c= packet-count ; d= data-size ; S= SYN flag ;w= winsize ;p= port; s= base source port
Result
          Flooding attack is launched in different scenarios with different protocols. There are three scenarios created to launch the attack and analyze the consequences on walleye interface. the three scenarios are based on TCP, UDP, and ICMP protocols respectively.
Scenario 1 – Use of TCP SYN flag to flood the target machine (honeypot) The command used for this scenario to launch flood attack on victim machine is:
hping3 -V -c 10000 -d 120 -S -w 64 -p 445 -s 445 –flood –rand-source VICTIM_IP [23]
Figure 1. Flooding the honeypot with TCP traffic
Scenario 2 – Use of UDP protocol to flood the target machine
The command used for this scenario to launch flood attack on victim machine is:
hping3 -V -c 10000 -d 120 -2 -w 64 -p 445 -s 445 –flood –rand-source VICTIM_IP
Figure 2. Flooding the honeypot with UDP traffic
Scenario 3 – Use of ICMP protocol to flood the victim machine with IP spoofing
This scenario uses ICMP protocol to ping the victim machine repeatedly. It is observed that millions of IDS are logged against a single connection within a few minutes of launching the attack as shown in figure 4. The number of packets and bytes transferred from the attacker’s machine are quite large but the incoming packets and bytes in response are 0 because the command is run with two special things:
  • IP spoofing used by the attacker to launch the attack (option –a in command).
  • Use of broadcast address of the victim machine.
The command used to launch attack using ICMP protocol is:
hping3 -1 –flood -a VICTIM_IP BROADCAST_ADDRESS

Figure 2. Flooding the honeypot with ICMP traffic

References
[1]”International Journal of computer Applications (0975-887)”,Gurdip Kaur and Jatinder Singh saini
[2]“Know Your Enemy: Honeywall CDROM Roo”, 3rd Generation Technology, The Honeynet Project.
[3]“Hping”, http://www.hping.org
[4]Johny, Awad, Andreas, Derdemezis, 2005. “Implementation of a High Interaction Honeynet Testbed for Educational and Research Purposes”, MsITT Thesis, AIT.
[5]Zereneh, William, 2010. “Packet Crafting”.