De conformidad con el Acuerdo Específico A/ 085 /11 publicado en la edición vespertina del Diario Oficial de la Federación (México), por el que se ofrece recompensa a quien o quienes proporcionen información veraz y útil, para la identificación, localización, detención y/o aprehensión de quienes planearon y ejecutaron el ataque al establecimiento denominado Casino Royale , ubicado en el Municipio de Monterrey, Estado de Nuevo León y los delitos que resulten; el Gobierno Federal mediante la Procuraduría General de la República esta realizando la siguiente oferta:

• Hasta un monto de $30,000,000.00 pesos mexicanos (distribuible entre las personas que aporten información veraz)
• La información será recibida por los medios siguientes:
  • I.     En el domicilio: Avenida Paseo de la Reforma número 211-213, piso 10, Col. Cuauhtémoc C.P. 06500, Del. Cuauhtémoc, México, D.F.
  • II.     La dirección de correo electrónico: denunciapgr@pgr.gob.mx
  • III.    En los números telefónicos: (55) 53-46-15-44 y (55) 53-46-00-00, extensión 4748, en el Distrito Federal y 01-800-831-31-96 desde cualquier parte del país.
• La información que se aporte, el número confidencial de identificación y en su caso, los datos personales de quien la haya proporcionado, así como las actas que se levanten y toda la documentación e información que se generen con motivo del presente Acuerdo, se clasificarán como información estrictamente reservada y confidencial, en términos de lo establecido en los artículos 16 del Código Federal de Procedimientos Penales; 13, fracciones IV y V, 14, fracción III, 18, fracción I y 19 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y demás disposiciones aplicables.

Dentro de las razones tomadas en consideración para determinar el monto de la recompensa, están:

• Que con fecha 25 de agosto de 2011, en el transcurso de la tarde diversos hombres armados ingresaron al establecimiento denominado “Casino Royale”, ubicado en la calle de San Jerónimo No 215, Colonia San Jerónimo, en el Municipio de Monterrey, Estado de Nuevo León. Una vez dentro del lugar al parecer amagando con (continua leyendo…)

Post reproducido con autorización de Tecnodiva.com

Debido a lo serio y peligroso que resultan todos los datos sensibles que hay en nuestros smartphones y la poca información disponible en la red acerca de los pasos a seguir cuando descubres que te han robado tu equipo (tal vez difiera un poco cuando es uno quien lo pierde), consideramos que este caso tristemente real, se debía sacar  una experiencia positiva.

Los datos personales han sido omitidos  como protección a la identidad de nuestro relator a quien le agradecemos su tiempo para compartirnos este lamentable suceso.

La verdad es que todo mundo sabe que ocurren estas cosas, se imaginan que serán robados o que a alguien más le robarán sus pertenencias en la vía pública, pero no es hasta que le pasa finalmente a uno y que además le quitan un teléfono Smartphone que en verdad cae uno en cuenta de todo lo que implica. Medio se imaginarán las odiseas que tendrán que hacer, las claves que tendrán que cambiar, la información que pudieran llegar a tener a su disposición los responsables por el robo del Smartphone en sí, pero hasta que les pasa, es cuándo realmente empiezas a detallar el detalle de pérdidas y riesgos sufridos por perder un simple aparato tan pequeño.

Un viernes en el verano del 2011 iba camino a encontrarme con unas amistades vía el Metrobús de la Ciudad de México. Por diferentes razones iba muy distraído. Para esto, normalmente soy de los que se sube al transporte público con la mano en el bolsillo protegiendo objetos de valor, puesto que no siempre traigo una chamarra ni una maleta en donde juntar todo para poder centralizar y proteger mis pertenencias. Pero ese viernes fue muy diferente. Los pendientes me atosigaban.

Y para no variar, fue un viernes por la tarde, y el Metrobús iba empaquetado a su máxima capacidad.

En una de las paradas más transcurridas de la línea, yo ya iba mentalizado a que se iban a bajar varías personas para cambiarse al metro. Me alejé de la puerta lo más posible, me fui adentrando hacía el lado opuesto de la puerta de salida, y este fue el momento en que me robaron el celular. Me di cuenta por una cosa, y eso fue que ya mero me arrancan la cabeza en el primer intento. Al momento no me cayó el veinte de que me estaban tratando de quitar el celular precisamente por la multitud que venía saliendo, pensé que seguramente alguien de alguna manera se había enganchado con mis audífonos (luego me acordé que los traía por adentro de la camisa así que obviamente no fue por eso… y venían conectados a mi celular). El segundo jalón fue cuando ya por fin lograron separarme del celular, y en ese momento dejé de escuchar música y ya por fin reaccioné.

Obviamente las preguntas son, ¿quién fue, en dónde está, qué hago? Pero la realidad es que no fue posible hacer ni averiguar nada. Y la policía de la estación simplemente me preguntó que quién fue, y obviamente no le pude decir nada. (continua leyendo…)

Un tema no tan nuevo, por lo menos en el ámbito de ICANN, ha sido presentado y recomendado por Jeff Moss en la Black Hat Technical Security Conference relacionado con la base del funcionamiento de los DNS en el tema de Nombres de Dominio y su correspondiente conversión a una dirección numérica.

Es bien sabido en el ámbito de la seguridad informática, que el phishing y principalmente el pharming, se relacionan con un redireccionamiento basado en modificaciones realizadas en la tabla de datos que los browsers utilizan para resolver una dirección… esto es:

1. cuando yo escribo en mi browser: http://mibanco.com el resultado es que se realiza una conversión (transparente) a un dato numérico y como resultado veo el sitio web de “Mi banco”.
2. cuando se da un ataque de pharming o phishing, lo que el  browser recibe es una dirección numérica “trucada”, esto es, me llevará a una dirección que aparenta ser la “Mi banco” y la realidad es que estoy en un sitio fraudulento que simula ser “Mi banco” y en consecuencia, sucede el robo de datos de autenticación del usuario
3. lo más peligroso, una vez que sucede, esto no es reparable con ningún antivirus, es requisito formatear el equipo de cómputo

El mensaje de Jeff Moss brinda una solución alternativa, si los sitios en Internet utilizan el DNSSEC, esto es una tecnología que certifica la validez de la dirección del sitio que se quiere visitar a través de firmas digitales bajo un esquema de PKI, el tener resultados en los cambios de tablas de datos se reduce en gran medida.

En palabras de ICANN, esto es DNSSEC:

DNSSEC ofrece una ruta de validación para los registros. No cifra ni modifica la administración de los datos, y es compatible con versiones anteriores del DNS y las aplicaciones actuales. En otras palabras, no modifica los protocolos actuales sobre los que se basa el sistema de direcciones de Internet. Incorpora una cadena de firmas digitales en la jerarquía del DNS, donde cada nivel posee su propia firma para generar claves. Esto significa que para un nombre de dominio como www.icann.org , cada organización de la cadena debe firmar la clave de la organización inmediatamente inferior. Por ejemplo, .org firma la clave de icann.org y la raíz firma la clave de .org. Durante la validación, la DNSSEC sigue esta cadena de confianza hasta la raíz automáticamente, y valida las claves “secundarias” con las claves “principales” en el recorrido. Dado que la validación de cada clave puede estar a cargo del nivel superior, la única clave necesaria para validar el nombre de dominio completo sería la clave principal superior o la clave raíz.

Esta jerarquía significa, sin embargo, que incluso con la firma en el nivel raíz, la implementación completa de la DNSSEC en todos los nombres de dominio será un proceso largo, ya que cada nivel inferior también debe estar firmado por los operadores respectivos para completar una cadena de confianza en particular. La firma de la raíz es sólo el comienzo. Pero, es fundamental. Recientemente, los operadores de TLD han acelerado las iniciativas para implementar la DNSSEC en sus zonas (.se, .bg, .br, .cz, .pr lo hacen ahora con .gov, .uk, .ca y otros próximamente), y hay más que tienen previsto hacerlo pronto.

Para los que quieran saber más de DNSSEC… he aquí el link de ICANN correspondiente.

Image: jscreationzs / FreeDigitalPhotos.net

Autor: José Mesa Orihuela
Fuente: Hispasec

La presentación realizada por Miller en la Blackhat 2011 (Las Vegas, EEUU), desgrana y analiza las características del protocolo SMBus/i2c y del chip BQ20Z80 de Texas Instruments utilizado para comunicarse con la batería. Para ello, emplea los comando SBS (Smart Battery System), consiguiendo extraer su firmware, y lo que es más importante, modificarlo totalmente, pudiendo cambiar el nombre, ID, fechas, voltajes de funcionamiento… y por supuesto el password oficial.

Para ello se proporciona el código necesario (Caulkgun) para que el usuario pueda cambiar la contraseña por defecto (aunque se advierte que futuras actualizaciones de Apple no funcionarán debido a dicho cambio).

Lo que sí se confirma a través de su PDF es que una posible modificación del firmware podría dejar inutilizada e incluso dañarla (mediante un sobrevoltaje y el posterior calentamiento de la misma) y por ende del equipo: “Due to the nature of the Smart Battery System, changes made to the smart battery firmware may cause safety hazards such as overcharging, overheating, or even fire.”

Aunque deja claro, que sólo es una posibilidad remota y que no ha sido comprobada, ya que, como comenta: “quiero poder seguir llevando mi portátil en avión”, (“Would like to continue to take my laptop on airplanes”).

El código necesario para compilar la aplicación en IDA Pro así como el whitepaper y las presentaciones (muy recomendable su lectura) está disponible en su web oficial.

De este estudio pormenorizado se extrae la conclusión de que en ningún momento se ha cambiado la contraseña de fábrica de los chips y que no había ninguna protección que evitaran su modificación.

Taking a Trip to the ATM? Beware of ‘Skimmers’ 07/14/11

Last fall, two brothers from Bulgaria were charged in U.S. federal court in New York with using stolen bank account information to defraud two banks of more than $1 million. Their scheme involved installing surreptitious surveillance equipment on New York City ATMs that allowed them to record customers’ account information and PINs, create their own bank cards, and steal from customer accounts.

Skimming typically involves the use of a hidden cameras (top) to record customers’ PINs, and phony keypads (right) placed over real keypads to record keystrokes.

What these two did is called “ATM skimming”—basically placing an electronic device on an ATM that scoops information from a bank card’s magnetic strip whenever a customer uses the machine. ATM skimming is a growing criminal activity that some experts believe costs U.S. banks hundreds of millions of dollars annually.

Enlarge Graphic How to Avoid being Skimmed – Inspect the ATM, gas pump, or credit card reader before using it…be suspicious if you see anything loose, crooked, or damaged, or if you notice scratches or adhesive/tape residue. - When entering your PIN, block the keypad with your other hand to prevent possible hidden cameras from recording your number. - If possible, use an ATM at an inside location (less access for criminals to install skimmers). - Be careful of ATMs in tourist areas…they are a popular target of skimmers. - If your card isn’t returned after the transaction or after hitting “cancel,” immediately contact the financial institution that issued the card.

How skimming works The devices planted on ATMs are usually undetectable by users—the makers of this equipment have become very adept at creating them, often from plastic or plaster, so that they blend right into the ATM’s façade. The specific device used is often a realistic-looking card reader placed over the factory-installed card reader. Customers insert their ATM card into the phony reader, and their account info is swiped and stored on a small attached laptop or cell phone or sent wirelessly to the criminals waiting nearby. In addition, skimming typically involves the use of a hidden camera, installed on or near an ATM, to record customers’ entry of their PINs into the ATM’s keypad. We have also seen instances where, instead of a hidden camera, criminals attach a phony keypad on top of the real keypad … which records every keystroke as customers punch in their PINs. Skimming devices are installed for short periods of time—usually just a few hours—so they’re often attached to an ATM by nothing more than double-sided tape. They are then removed by the criminals, who download the stolen account information and encode it onto blank cards. The cards are used to make withdrawals from victims’ accounts at other ATMs.

Skimming investigations Because of its financial jurisdiction, a large number of ATM skimming cases are investigated by the U.S. Secret Service. But through FBI investigative experience, we have learned that ATM skimming is a favorite activity of Eurasian crime groups, so we sometimes investigate skimming—often partnering with the Secret Service—as part of larger organized crime cases. Some recent case examples:

• In Miami, four Romanians were charged with fraud and identity theft after they made and placed skimming devices on ATMs throughout four Florida counties … all four men eventually pled guilty. More
• In Atlanta, two Romanians were charged and pled guilty to being part of a criminal crew that stole account information from nearly 400 bank customers through the use of skimming equipment they installed on ATMs in the Atlanta metro area. More
• In Chicago, a Serbian national was arrested—and eventually pled guilty—for attempting to purchase an ATM skimming device, hoping to steal information from ATM users and loot their bank accounts. More
• In New York, a Bulgarian national referenced at the top of this story was sentenced yesterday to 21 months in prison for his role in a scheme that used sophisticated skimming devices on ATMs to steal over $1.8 million from at least 1,400 customer accounts at New York City area banks. More

One last note: ATMs aren’t the only target of skimmers—we’ve also seen it at gas pumps and other point-of-sale locations where customers swipe their cards and enter their PIN. (See sidebar for tips on how to avoid being victimized by skimming.)

Y quién no querría serlo cuando te enteras que en este año, por lo menos para los que estamos en el sector de la tecnología, eso de ser hacker es algo que ya puedes nombrar en tu curriculum y te puede traer como resultado una contratación jugosa, o por lo menos, formar parte de las filas de una empresa que se encuentre en el top 10 de Forbes… ¿no creen?

Para muestra, tenemos los siguientes casos:

1. Jeff Moss, el tan conocido hacker y a su vez, fundador y director del DEFCON, fue designado como el Chief Security Officer de ICANN
2. George Hotz, conocido como GeoHot, iniciador de la guerra contra Sony (PS3) y Apple (iPhone),  ingresado a las filas de Facebook, como uno de los responsables de realizar los improves necesarios para la mejora de la seguridad informática
3. Ashley Towns, el responsable de que quién tuviera un iPhone a la vez tuviera a Rick Astley como fondo de pantalla, fue contratado por Mogeneration para desarrollar aplicaciones para iPhone

Y bueno, tenemos casos conocidos como la clásica práctica de Headhunters que el Pentágono realiza anualmente en el DEFCON, y por supuesto la inolvidable invitación hace unos años:

“Some of you are extremely talented, gifted even at what you do. If you’re thinking about what you want to do with the rest of your life, maybe you should think about this in a different manner. You should think about coming to work for us.” - Arthur Money, Assistant Secretary of Defense and CIO at the Department of Defense (DoD).

No es nada nuevo, sólo que cada vez se hacen más públicas estas contrataciones.

Al final queda la pregunta: ¿el crimen sí paga?

Image: jscreationzs / FreeDigitalPhotos.net