Tag Archive: Rusia


stolen-password

El mayor robo de contraseñas de Internet hasta el momento. Una red de bandas rusas dedicadas al ciberdelito se ha hecho con más de 1.200 millones de nombres de usuario con sus correspondientes claves y unos 500 millones de direcciones de correo electrónico. Alex Holden, el fundador de Hold Security, una firma de seguridad informática con sede en Milwaukee y que ha descubierto la brecha de seguridad, ha explicado a EL PAÍS desde la cita anual de seguridad Black Hat, en Las Vegas, que el material sustraído pertenece a 420.000 webs de todo el mundo.

La intrusión afecta tanto a pequeñas firmas como a otras de gran tamaño dedicadas a ofrecer servicios de Internet. Un experto ajeno a Hold Security ha certificado, a petición de The New York Times, la autenticidad de la base datos con todas las claves y datos relevantes robados.

El director de Hold Security es un viejo conocido en el mundo del blindaje informático. Hace un año ya denunció el robo de varios millones de contraseñas de Adobe, compañía creadora de programas de diseño web, como Photoshop.

Con el pago por uso de programas online y las creaciones alojadas en la nube las implicaciones de estos actos delictivos son más relevantes. En el caso de Adobe se pusieron en peligro tanto los números de tarjetas de crédito como la propiedad intelectual de los usuarios.

Pero en el nuevo episodio de sustracción de datos sensibles que se ha dado a conocer este miércoles la alerta va más allá de lo conocido hasta ahora. La mayoría de los afectados desconocen que sus datos están en manos de delincuentes o no han hecho nada para solucionarlo aún.

La intención de Holden es crear una herramienta gratuita para que los responsables de las webs atacadas sean quienes certifiquen la intrusión y puedan alertar a sus clientes. Desde el caso Heartbleed, que surgió de un error de programación y que convertía en vulnerables a algunas páginas, no se producía una grieta de tal envergadura.

Holden llegó a Estados Unidos en 1989 y trabaja como consultor de seguridad desde hace cuatro años. Ha dedicado los últimos siete meses a este caso sin esperar ninguna compensación. “Sé que después de hacerlo público me esperan varias conversaciones con el FBI, pero es lo natural. Yo sólo quería dar el aviso y demostrar mis conocimientos. Ahora toca cooperar para dar tranquilidad a usuarios y los dueños de empresas”. Este experto se niega a identificar a las compañías afectadas, aunque detalla que no solo son de Estados Unidos.

Jaime Blasco (Madrid, 1986), director de AlienVault, empresa de seguridad radicada en San Francisco, explica cómo funcionan estos ladrones de contraseñas: “Recolectan credenciales de correo, Twitter, servicios de redes sociales y después se adentran sus bases de datos”.

Ángel Prado, director de seguridad de la gestora de bases de datos de clientes Salesforce, desgrana algunas claves: “Si bien el saqueo de contraseñas no es algo tremendamente innovador, el número de credenciales robadas no tiene precedentes. El modus operandi de estos individuos es buscar vulnerabilidades en sitios web de forma automatizada y extraer información sensible de las diferentes bases de datos. En función de cómo estén almacenadas estas credenciales (texto plano o cifrados), y dependiendo del algoritmo utilizado en su caso, será más o menos sencillo recuperar las contraseñas originales. Una vez hecho esto, podrán validarlas y probarlas en varios sitios de alto perfil (bancos, correos electrónicos, sitios de comercio electrónico, etc.)”.

Lo que más le preocupa a Prado es el uso que se puede dar a estos datos: “Un grupo de estas características con acceso a 1.200 millones de posibles contraseñas tendrá la capacidad de construir algoritmos y encontrar patrones a largo plazo que generen métodos de descifrado más perfeccionados”.

Alberto García Illera antiguo pirata informático, es ahora compañero de Prado. En su opinión, este tipo de ataques “no son sofisticados, ya que ni siquiera los propios delincuentes encontraron los fallos, sino que se nutren de sistemas desactualizados o de código desarrollados por otras personas. El problema es que no hace falta ningún nivel de sofisticación para poder hacer uso de esos códigos y robar los datos de millones de personas. No es algo que a los técnicos nos sorprenda, pero para las personas ajenas a este mundo llama mucho la atención”.

En Estados Unidos un ataque parecido al que se ha destapado ahora le costó el puesto al máximo responsable de seguridad de la cadena de supermercados Target. Blasco cree que es posible que sea el mismo grupo. “No son solo rusos, sino diferentes grupos que operan en la zona. En el mercado negro se venden al peso, no es demasiado caro, aunque prefiero no dar precios. En foros especializados venden un millón de credenciales de Gmail como un paquete”.

Esto no quiere decir que Rusia esté libre del ataque. El propio Holden, que ha mantenido comunicación con el grupo de ciberdelincuentes, descarta una conexión entre el Gobierno de Putin y los malhechores, pero sí los sitúa entre Rusia, Kazajstán y Mongolia.

Blasco considera que se puede hacer muy poco ante estas situaciones. Como precaución recomienda adoptar rutinas que hagan la navegación más segura: “Una buena medida es cambiar las contraseñas cada dos semanas y no repetir entre diferentes servicios. Si roban una y prueban en más sitios, se harán con toda la información. Es de sentido común, pero casi nunca se evita”. En esta misma línea invita a probar, siempre que se ofrezca la autentificación en dos pasos: “Gmail ya lo ofrece. Se introduce la contraseña con el teclado, con normalidad, después llega un SMS al móvil y se debe meter el código temporal que llegue. Para atacar a alguien habría que tener su clave, pero también su teléfono, por lo que se reducen las posibilidades de infracción”.

Prado lamenta la indefensión de los usuarios y da una recomendación similar: “Hay que evitar repetir claves. Como mínimo, debemos implementar varios anillos de seguridad: Una contraseña compleja y dedicada para nuestro correo electrónico personal; otra para la banca electrónica, otra para las compras online, y otras para diferentes grupos de páginas habituales (blogs, comunidades online, etc.). De este modo, si un servidor o base de datos es atacada por una brecha de seguridad, nuestra identidad principal no estará afectada”.

Que no cunda el pánico”, insiste Holden, “si se han cambiado las contraseñas como debería hacerse, es posible que la que tengan esté caducada”. Y añade un último consejo: “Procurar no dar demasiada información personal en sitios online”.

Fuente | El País

Anuncios

Ucrania-Snake-800px

Una variante del Rootkit Snake está siendo detectada con frecuencia cada vez mayor en Ucrania. Anteriormente, Snake fue utilizado para el peor ataque cibernético experimentado en la historia de Estados Unidos.

El departamento de Inteligencia Aplicada de la empresa británica BAE Systems ha publicado un informe sobre una operación de ciberespionaje denominada “Snake”. El código en cuestión es descrito como Rootkit; es decir, malware que es instalado subrepticiamente en el sistema operativo, y que logra permanecer indetectable.

El informe de BAE Systems describe la forma en que Snake (PDF) logra penetrar la potente protección en torno al núcleo de 64 bits de Windows, incluyendo las versiones 7 y 8. En el documento se indica que Snake “tiene una arquitectura increíblemente compleja, diseñada para vulnerar el núcleo del sistema operativo”.

BAE Systems continúa señalando que “la construcción lleva a suponer que los atacantes disponen de un verdadero arsenal de herramientas de infiltración, presentando todos los indicios de que se trata de una ciber-operación altamente refinada”.

Snake puede propagarse mediante diversos procedimientos, que incluyen correo electrónico dirigido a destinatarios específicos, y memorias USB infectadas.  A juicio de BAE, Snake constituye una grave amenaza contra organizaciones legítimas en la mayoría de los países, especialmente aquellas con grandes redes, como empresas multinacionales y el sector público.

Desde 2010 se han detectado 56 variantes del malware, en 9 países. La mayoría de los casos, 32, corresponde a Ucrania, con 8 incidencias en 2013, y 14 en lo que va del presente año.

BAE hace además referencia a un informe publicado el 28 de febrero por la empresa de seguridad informática alemana G Data, donde da cuenta de un rootkit denominado Uroburos, vocablo griego traducido como “serpiente”. El informe, titulado “Uroburos, un software de espionaje altamente complejo, con raíces rusas”, no deja dudas sobre la autoría del malware.

Según BAE, Uroburos es un componente de Snake. Al igual que BAE, G Data menciona el alto grado de complejidad del malware, recalcando que su desarrollo y actualización requiere de grandes recursos, de todo tipo.

En sus respectivos informes, BAE y G Data coinciden en que Uroburos es un desarrollo de Agente.btz, un código maligno detectado en redes de las Fuerzas Armadas estadounidenses en 2008, en Estados Unidos y Afganistán. 2 años más tarde, el viceministro de defensa de Estados Unidos, William Lynt, reveló que la extracción del malware de las redes del pentágono había tomado 14 meses.

En 2010 trascendió que el Pentágono sospechaba que Agent.btz tenía un origen ruso, aunque no se proporcionaron detalles. El informe de BAE no menciona directamente a Rusia. La empresa analiza distintos detalles, entre ellos cronología y compilación, concluyendo que los autores del código han trabajado en “horas de oficina” en zonas horarias equivalentes a San Petersburgo y Moscú.

La conclusión principal es que el código maligno -altamente avanzado y que supuestamente es una variante del peor ataque cibernético dirigido contra Estados Unidos- se propaga estos días con gran intensidad en Ucrania.

“Es una de las amenazas más avanzadas y resistentes que estamos observando” se indica en el informe de BAE, agregando que Snake instala puertas traseras, se oculta con gran eficacia, y establece conexiones con servidores de comando, incluso desde sistemas desconectados de Internet. Asimismo, los métodos de transmisión de datos dificultan sobremanera detectar que información está siendo transmitida desde el sistema intervenido.

Gran parte de los procedimientos empleados serían manuales, es decir, requerirían la intervención de un operador humano, lo que nuevamente lleva a suponer que los responsables tienen cuantiosos recursos a su disposición.

Fuente | ITSitio

Investigadores federales de EEUU trabajan sobre un informe que afirma que ‘ciberintrusos’ lograron desactivar una bomba de un servicio de distribución de agua la pasada semana en el estado de Illinois. De confirmarse podría suponer el primer ‘ciberataque’ procedente del extranjero contra una infraestructura industrial.

  • Un informe se refiere a serios daños en una bomba de agua en Illinois
  • Se ha detectado que el origen de dicho ataque está en Rusia
  • Los motivos del ataque a esta instalación se desconocen

El incidente tuvo lugar el 8 de noviembre, según describe el informe del Centro deb Terrorismo e Inteligencia de Illinois que cita Joe Weiss, destacado experto en la protección de infraestructuras frente a posibles ataques cibernéticos.

Los atacantes obtuvieron acceso a la red interna de un servicio público de agua en una comunidad rural del oeste la capital del estado, Springfield, con unas claves robadas de una empresa que desarrolla ‘software’ utilizado a los sistemas de control industrial, afirma Weiss, que no explica el motivo de los atacantes.

Según el propio Weiss, ese mismo grupo podría haber atacado otros objetivos industriales o de infraestructura, o bien podría estar planeando volver a utilizar claves de acceso robadas de la misma compañía de desarrollo de ‘software’.

El Departamento de Seguridad Nacional y la Oficina Federal de Investigación están trabajando sobre el asunto, según el portavoz del primero, Peter Boogaard, quien puntualiza que “en estos momentos no hay datos creíbles o corroborables que indiquen un riesgo para la integridad de infraestructuras críticas o que exista una amenaza para la seguridad pública”.

> La seguridad de SCADA

Grupos de expertos en seguridad cibernética aseguran que el presunto ataque pone de manifiesto el riesgo real de que los atacantes pueden entrar en lo que se conoce como Control de Supervisión y Adquisición de Datos (Supervisory Control and Data Acquisition, o SCADA). Se trata de sistemas altamente especializados que controlar infraestructuras críticas, desde instalaciones de tratamiento del agua hasta plantas de productos químicos y reactores nucleares, pasando por gasoductos, presas y control de líneas ferroviarias.

El asunto de la seguridad de los sistemas SCADA frente a los ataques cibernéticos saltó dramáticamente a los titulares internacionales después de que el misterioso virus Stuxnet consiguió afectar a una centrífuga de enriquecimiento de uranio en unas instalaciones nucleares en Irán. Muchos expertos dicen que fue un importante revés para el arma nuclear de Irán y se ha llegado a atribuir dicho ataque a Estados Unidos e Israel.

No obstante ya en 2007, los investigadores del Laboratorio Nacional del Gobierno en Idaho identificaron una vulnerabilidad en la red eléctrica y demostraron la magnitud del daño que un ‘ciberataque’ podría infligir a un generador diesel de gran tamaño generador.

Lani Kass, uno de los principales asesores del Estado Mayor de EEUU y retirado desde el pasado mes de septiembre, afirma que los estados del país tendrían que contemplar seriamente la posibilidad de un ‘ciberataque’ a gran escala.

“La hipótesis con la que se trabaja es que siempre que se trata de sólo un incidente o una coincidencia. Y si todos los incidente son vistos de manera aislada, es difícil -si no imposible- discernir un patrón o establecer conexiones“, comenta Kass.

“La falta conexiones nos condujo a la sorpresa del 11-S”, añade Kass, al describir los ataques terroristas a EEUU de 2001 como uno de los principales ejemplos en el que las autoridades despreciaron varios indicadores de un desastre inminente y lo sufrieron desprevenidos.

Por su parte, el representante demócrata de Rhode Island Jim Lanvevinasegura que el informe del ataque pone de relieve la necesidad de aprobar una ley para mejorar la seguridad cibernética de las infraestructuras críticas de EEUU.

El riesgo es demasiado alto y nuestros ciudadanos serán los que sufrirán las consecuencias de nuestra inacción”, aseguró en una declaración.

> El ataque en Illinois

Los informes de varios medios de comunicación identificaron varios lugares objetivo del ataque, como la ciudad de Springfield, aunque las autoridades afirmaron que esas informaciones no eran exactas.

Don Craven, abogado y administrador fiduciario de Curran-Gardner Township Public Water District , afirmó este viernes que habían sido avisados de que “algo había pasado” en la pequeña instalación de agua, aunque reconoció que no tenían mucha más información al respecto.

“Sabemos que pudo haber sido un intento -exitoso o no- para introducirse en el sistema “, dijo Craven por teléfono desde su oficina en Springfield, Illinois. “El incidente se ha producido a través de un sistema de ‘software’ que es utilizado para acceder remotamente a las bombas”, dijo, y añadió: “Ahora la bomba está quemada”.

El centro atacado sirve a unos 2.200 clientes en una zona rural del Distrito Oeste de Springfield. Craven afirmó no hubo interrupción en el servicio debido a que la instalación opera varias bombas y pozos. El agua proviene de un acuífero subterráneo que depende del río Sangamon.

Craven dijo que no sabía concretamente qué ‘software’ de dicha instalación había sido afectado, pero mostró su confianza en que los datos de los clientes no se hubieran visto afectados. Asimismo, añadió que estaba desconcertado por desconocer qué razones podían haber llevado a los autores a realizar este ‘ciberataque’ contra este remoto distrito del estado de Illinois.

> Otros ataques

Weiss, que cita el informe sobre el ataque, afirma que no está claro si hay otras redes ‘hackeadas’ como resultado de de la vunlnerabilidad explotada del ‘software’ de control.

Además, añade el experto que el fabricante de dicho ‘software’ mantiene el acceso a estas redes por parte de sus clientes, para que el personal de éstos pueda ayudar a apoyar a los sistemas.

“Una compañía tecnológica y otra de reparación de sistemas revisaron los sistemas afectados y concluyeron que el ataque había provenido de un ordenador situado en Rusia“, comenta Weiss.

Fuente

A %d blogueros les gusta esto: