Esta acción, que se engloba dentro de la #OpMegaUpload, no ha sido la única realizada en las últimas horas pero sí la que más repercusión ha tenido entre los usuarios. Otras acciones que se han realizado incluyen el hackeo de la web de la cadena de noticias CBS, ataques de denegación de servicio distribuido a webs del gobierno polaco, la publicación de direcciones web de sistemas SCADA ubicados en Estados Unidos que ni siquiera tienen una contraseña establecida para poder acceder a ellos o el hackeo de la web del grupo francés de telecomunicaciones Vivendi.

Como vemos, todos estos son algunos ejemplos de la batalla que se está librando ahora mismo en Internet, acciones que venían produciéndose desde hace meses pero que el cierre de Megaupload ha acelerado en los últimos días al considerar muchos usuarios este cierre como un atentado a sus libertades.

Desde el laboratorio de ESET en Ontinet.com seguiremos de cerca futuros eventos de esta índole, ya que estamos seguros que este tipo de acciones no han hecho más que comenzar y que continuaremos asistiendo a reacciones similares.

Josep Albors

@JosepAlbors

Además, los cibercriminales han tenido acceso a la base de datos de la web del popular cantante adolescente, y los datos de todos sus fans han sido publicados en el sitio habitual, Pastebin:

Está claro que ninguna figura pública escapa a la acción de los cibercriminales. Desconocemos en concreto por qué Justin Bieber es el centro, en esta ocasión, de su atención, aunque quizá se trate de un mero intento de dar publicidad al grupo de hackers. Lo que está claro es que los registros de su página han quedado al descubierto (por cierto, contiene muchos nombres en castellano, que pudieran ser españoles o latinoamericanos).

Por precaución, desde el laboratorio de ESET en Ontinet.com, recomendamos a todos los fans del popular cantante que hayan introducido sus datos en la web que cambien sus usuarios y contraseña de acceso a estos servicios en cuanto el sitio esté restituido. Y si son usuarios y contraseñas que comparten con otros servicios web, recomendamos que procedan a cambiarlos también para salvaguardar su privacidad y evitar males mayores.

Yolanda Ruiz

@yolandaruiz

El último caso que analizamos hoy es la filtración de datos de empleados de la empresa T-Mobile por parte de un grupo que se hacen llamar TeaMp0isoN. El ataque, que se hizo público el pasado sábado, muestra datos de usuario como el nombre y los apellidos, la dirección email, el teléfono y la contraseña, tal y como se puede comprobar en la información publicada en Pastebin por este grupo.

Tal y como menciona el propio grupo de atacantes es especialmente preocupante observar que muchas de las contraseñas se repiten, suponiendo un grave agujero de seguridad para muchos de los empleados en caso de que alguno vea comprometidos sus datos de acceso.

La propia compañía, T-Mobile, han sido los que han informado del ataque sufrido, indicando que se han actualizado los protocolos de seguridad vulnerables que hicieron posible esta intrusión. Asimismo, también ha informado que ninguno de los datos de sus usuarios se vio comprometido.

La presencia, cada vez mayor de este tipo de grupos y la facilidad con la que suelen obtener la información de las grandes empresas debería hacernos pensar si las políticas de seguridad aplicadas son las mas adecuadas o se han revisado para hacer frente a las amenazas actuales.

Venimos de un año convulso con respecto al tema de filtraciones de datos y todo parece indicar que 2012 seguirá un camino similar. Desde el laboratorio de ESET en Ontinet.com esperamos que todos estos incidentes sirvan como aviso para todas las compañías y que se apliquen las medidas de seguridad adecuadas para proteger este tipo de información sensible.

Josep Albors

@JosepAlbors

Entre la gran base de datos de información privada que se ha publicado en la Red por el conocido grupo se encuentran detalles de 221 militares británicos y de 242 miembros de Nato, junto a información privada y personal de diferentes políticos y parlamentarios internacionales.

Además, se calcula que tienen en su poder unos 850.000 registros de personas que se suscribieron a través del website de Stratfor. Alrededor de 75.000 corresponden a suscriptores de servicios de su portal, por lo que su información personal también incluyen números de tarjetas de crédito así como direcciones de residencia físicas.

Los hackers, que supuestamente son parte del grupo Anonymous, consiguieron penetrar durante las navidades en las bases de datos de la compañía Stratfor, una consultoría de Tejas que se especializa en asuntos internacionales y de seguridad. Y precisamente la ausencia de controles exhaustivos de seguridad ha sido la causa de que fuera sencillo para los cibercriminales introducirse en sus bases de datos y robar la información.

Ahora, las diferentes entidades internacionales afectadas están en jaque intentando alertar rápidamente a los afectados, con el fin de que cambien sus datos de acceso confidencial a servicios online, den aviso a los bancos y tomen todas las medidas posibles para protegerse ante posibles acciones derivadas de la obtención de dicha información.

Está claro que 2011 fue un año protagonizado por este grupo hacktivista, pero, visto lo visto, parece que en 2012 va a seguir siendo uno de los centros de atención en cuanto a seguridad se refiere.

]]> http://blogs.protegerse.com/laboratorio/2012/01/10/anonymous-sigue-haciendo-de-las-suyas/feed/ 0 http://blogs.protegerse.com/laboratorio/2011/11/21/ciberataques-contra-plantas-de-tratamiento-de-agua-en-ee-uu/ http://blogs.protegerse.com/laboratorio/2011/11/21/ciberataques-contra-plantas-de-tratamiento-de-agua-en-ee-uu/#comments Mon, 21 Nov 2011 10:14:22 +0000 josep http://blogs.protegerse.com/laboratorio/?p=4980 Desde que Stuxnet salió a la luz y se desveló que su objetivo eran sistemas de control de infraestructuras críticas, hemos ido viendo cómo los ataques a este tipo de sistemas se producen con mayor frecuencia. Los dos últimos casos afectaron a plantas de tratamiento de agua y, al menos en uno de ellos, una bomba de agua quedó inutilizada.

La primera alarma saltó a mediados de la pasada semana cuando se hizo público un ataque a una central de tratamiento de agua en Springfield, Illinois. Esta intrusión, que según las primeras investigaciones provenía de direcciones IP rusas, consiguió acceder al panel de control de esta instalación e inutilizar una de las bombas de agua que gestionaba.

Pero no fue esta la única intrusión sufrida por este tipo de instalaciones, ya que pocos días después, y en respuesta a unas declaraciones realizadas por el Departamento de Seguridad Nacional, en las que se aseguraba que no existía ningún dato que indicara la existencia de algún riesgo para las infraestructuras críticas o para la población, un investigador publicó pruebas de que había conseguido introducirse en otra instalación de tratamiento de aguas, esta vez en South Houston, Texas.

Entre estas pruebas se encuentran capturas de pantalla como la que mostramos sobre estas líneas, en las que se ve claramente la interfaz del panel de control de la instalación. Con esta intrusión, el atacante quiso demostrar la fragilidad de este tipo de sistemas y desacreditar la información proporcionada por el Departamento de Seguridad Nacional, que minimizaba los riesgos. La situación se agrava cuando el propio atacante desveló que la contraseña que protegía ese sistema tan solo contaba con tres caracteres.

Casos como el que hoy hemos comentado deberían hacernos replantear si el control de infraestructuras críticas está debidamente protegido. Hay incluso voces en nuestro Gobierno que han alertado sobre el riesgo existente e instan a tomar medidas de precaución al respecto.

Desde el laboratorio de ESET en Ontinet.com pensamos que los Gobiernos deberían tomarse muy en serio este tipo de amenazas, ya que pueden suponer un riesgo importante para toda la población.

Josep Albors

Según los datos proporcionados por Bloomberg BusinessWeek, un informe de una comisión del congreso de los Estados Unidos que se publicará en breve, se ha probado el ataque informático a dos satélites en 2007 y 2008. Los satélites que sufrieron estos ataques tiene carácter civil y están destinados a la observación terreno y el clima. Obviamente, dudamos que, si hubiesen sido satélites con propósitos militares pudiéramos dar esta noticia.

Ambos satélites estaba operados desde la estación de control ubicada en Svalbard, Noruega, y muy probablemente la conexión de la misma a Internet haya sido la puerta de entrada para realizar estos ataques. A partir de aquí todo son conjeturas para intentar averiguar quien está detrás, aunque, como en la mayoría de ocasiones, el principal sospechoso es China.

No obstante, también hay que contemplar otras posibilidades, como la de que un atacante solitario haya decidido probar sus conocimientos de hacking sobre estos dos satélites. Tendemos a sospechar de gobiernos cuando los ataques se producen a esta escala pero no debemos olvidar que las unidades de ciberguerra están formadas por personas con conocimientos similares a los que un investigador independiente pueda tener. Incluso en muchas ocasiones, y pese a contar con menos recursos,  los  ciberatacantes solitarios pueden llegar más allá al no tener que responder  ante nadie.

Como observamos y venimos comentando en el laboratorio de ESET en Ontinet.com desde hace tiempo, lo que antes nos parecía cosa de ciencia ficción y que solo veíamos en las películas se está convirtiendo en una práctica habitual, sobre todo desde que el gusano Stuxnet salió a la luz y la opinión pública tuvo conciencia de este tipo de amenazas orientadas a atacar infraestructuras críticas y conseguir información clasificada de gobiernos y empresas.

Josep Albors

Durante buena parte del día de ayer, todos aquellos que accedieron al canal oficial de Microsoft se encontraron con que todos los vídeos habían sido borrados y sustituidos por otros que mostraban una serie de mensajes durante unos pocos segundos.

En el momento de escribir estas líneas, el canal ya ha recuperado su contenido habitual y funciona sin problemas. Resulta interesante la coincidencia en la fecha de los ataques, ya que ambos se produjeron en fin de semana, probablemente para conseguir que los vídeos suplantadores estuvieran más tiempo activos.

Con respecto a la técnica usada, es muy probable que tanto en el caso del canal de Barrio Sésamo como en el de Microsoft el ataque y la suplantación de los vídeos se haya podido producir por una mala gestión de las contraseñas.

Es posible que veamos más ataques de este tipo en el futuro, sobre todo si los canales de Youtube atacados pertenecen a empresas conocidas y tienen una gran cantidad de seguidores. Desde el laboratorio de ESET en Ontinet.com recordamos la importancia de tener una política de gestión de contraseñas eficaz para todos los servicios en los que las usemos.

Josep Albors

Por desgracia, muchos de estos sitios terminan descuidados y con unos agujeros de seguridad preocupantes. Los ciberdelincuentes se aprovechan de esto e introducen malware en este tipo de webs para que, a su vez, infecten a todos los usuarios que las visiten. Se calcula que el ataque que analizamos en esta ocasión ha conseguido afectar a más de seiscientas mil páginas según la empresa Armorize, que fue la que dio la voz de alarma.

Tal y como podemos ver en la imagen a continuación, bastantes de los resultados que arrojan las búsquedas en Google en el momento de escribir estas líneas pertenecen a webs españolas:

En esta ocasión, los cientos de miles de webs vulnerables redirigen a los usuarios a otros sitios preparados para aprovechar vulnerabilidades en versiones antiguas de Adobe Flash Player, Java o en el propio navegador web. Esto nos recuerda una vez más la importancia de contar con las versiones más recientes de los programas que usamos en nuestro sistema.

Básicamente, el ataque consiste en inyectar código en las webs vulnerables de manera que redirigen de forma silenciosa al usuario. Este código apunta a dos páginas web en concreto: http://nbn[xxx].com/urchin.js y http://jjg[xxx].com/urchin.js, y se inyecta en el código fuente de la web vulnerable de la siguiente forma:

Estas webs redirigen a su vez a otros enlaces donde se lanzan una serie de ataques contra versiones vulnerables de aplicaciones ampliamente usadas. Tal y como queda patente, la intención es la de afectar al mayor número de usuarios posible.

Como vemos, descuidar la seguridad de nuestro sitio web puede tener graves consecuencias tanto para nosotros como para aquellos que la visitan. Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar periódicamente en busca de actualizaciones de nuestro gestor de contenido y contar con un antivirus en nuestro servidor web para detectar y eliminar posibles intrusiones.

Josep Albors

Además de los daños morales y de las quejas de multitud de padres sobre lo que estaban viendo sus hijos, hay que analizar cómo pudo producirse ese ataque. Todo apunta a que los responsables de gestionar el canal descuidaron la seguridad de sus contraseñas, lo que permitió a los atacantes acceder y subir contenido inadecuado.

Desde Youtube, tardaron cerca de 20 minutos en darse cuenta del incidente y bloquear el contenido del canal, el cual, en el momento de escribir estas líneas, seguía bloqueado por mostrar imágenes que no enseñaremos para no dañar sensibilidades.

Si bien este tipo de contenido pornográfico está terminantemente prohibido en Youtube, no es la primera vez que aparecen vídeos de este tipo. En varias ocasiones, usuarios del sitio 4chan (uno de los lugares donde empezó a formarse Anonymous) consiguieron inundar Youtube de este tipo de material simplemente subiendo de forma masiva vídeos para saturar el servicio de Google, tardando este una cantidad considerable de tiempo en retirarlos todos.

En esta ocasión parece que el ataque lo han realizado dos personas y la motivación no parece ser otra que la de realizar una gamberrada cibernética. No obstante, uno de los supuestos atacantes se ha desmarcado de todo este asunto alegando que no tuvo nada que ver y que alguien ha usado su nombre sin su consentimiento.

Incidentes como este demuestran que incluso sitios pensados para los más pequeños de la casa pueden ser objetivos de ataques. Desde el laboratorio de ESET en Ontinet.com, recomendamos a todos los padres preocupados por los contenidos que ven sus hijos en Internet que dediquen más tiempo a navegar con ellos. Solamente educándolos para saber reconocer y bloquear los peligros de Internet podrán disfrutar de una experiencia provechosa y educativa.

Josep Albors

Este fin de semana se ha conocido la noticia de que algunos de los sistemas que se encargan de dirigir la flota de aviones no tripulados de los Estados Unidos usados en operaciones militares (conocidos como drones) habían sido infectados por un código malicioso. La noticia de por sí ya es impactante, pero adquiere tintes preocupantes al escuchar las declaraciones de uno de los encargados de la seguridad de esos sistemas:

“Los eliminamos, pero vuelve a aparecer”. Esta declaración podría aplicarse a multitud de casos de infecciones que se producen diariamente y a las que la mayoría nos enfrentamos en algún momento. Según los responsables de eliminar esta amenaza, aún no están de acuerdo en si la funcionalidad de keylogger que incorpora este malware se introdujo de forma consciente o fue simplemente un accidente. Esto denota una falta de control en cuanto a quién o qué accede a estos sistemas y acerca de los permisos que dispone para realizar según qué acciones.

Lo que está claro es que declaraciones como: “Creemos que es benigno, pero no lo sabemos seguro”, no ayudan a tranquilizarnos. Por lo menos podemos especular sobre si la noticia de la infección y estas declaraciones han salido a la luz debido a que, muy probablemente, estemos ante un caso de infección accidental de un sistema crítico, pero no ante un ataque dirigido.

Un ejemplo de ataque dirigido fue el que experimentó la empresa Mitsubishi Heavy, donde los atacantes consiguieron acceder e infectar varios ordenadores y sustraer información confidencial relacionada con el armamento que produce esta empresa. Entre otros, esta empresa se encarga de la fabricación de misiles tierra-aire y aire-aire, alas para los aviones Boeing 787 e incluso submarinos. Huelga decir que esta información tiene un gran valor para empresas competidoras y no pocos gobiernos.

Pero cuando hablamos de la confidencialidad de secretos de Estado, militares o corporativos, debemos recordar que el eslabón más débil sigue siendo el usuario. De nada sirve tener un sistema seguro si luego los datos que se almacenan se pueden obtener robando un portátil de un alto cargo o encontrando un pendrive olvidado en un taxi. Por no hablar de las “sofisticadas técnicas” de ocultación de material confidencial que permiten saltárselas a cualquiera que sepa copiar y pegar información desde un documento PDF.

Como vemos, nadie está a salvo de ataques, pero, más aun, nadie está exento de cometer errores. Desde el laboratorio de ESET en Ontinet.com creemos que la protección de la información confidencial debe empezar por concienciar a los usuarios que la manejan. Solo así podremos centrarnos en proteger los sistemas adecuadamente sin temor a que un fallo humano suponga una filtración de datos.

Josep Albors