Month: November 2018

MULTA DE 1.2 MILLONES PARA UBER POR ATRASO EN REPORTE DE INCIDENTE DE SEGURIDAD

Posted on

The logo of car-sharing service app Uber on a smartphone over a reserved lane for taxis in a street is seen in this photo illustration taken in Madrid on December 10, 2014.

Investigadores afirman que este incidente comprometió los buckets de Amazon S3 de la empresa

Uber Technologies decidió no revelar una violación de datos acontecida en 2016, decisión que sigue generando problemas para la plataforma de servicio de transporte.

Según reportes de expertos en forense digital, Uber ha sido multada por un monto de 1.2 millones de dólares, cantidad establecida por las autoridades reguladoras de datos de Reino Unido y Holanda, acusando a la empresa de políticas de seguridad de datos inadecuadas, así como por no informar en tiempo y forma sobre la violación de datos que la empresa sufrió. Las autoridades sostienen que este incidente, que la empresa tardó un año en reportar, expuso a los conductores y usuarios de Uber a un mayor riesgo de fraude cibernético.

El incidente comprometió la información personal de más de 50 millones de usuarios y 3 millones de conductores de Uber en todo el mundo, incluyendo nombres, direcciones de email y números de teléfono. Acorde a especialistas en forense digital, en algunos casos incluso se filtraron datos de ubicación, tokens de acceso y contraseñas de los usuarios. El incidente ocurrió en octubre de 2016, pero Uber la mantuvo en secreto hasta noviembre de 2017.

La Oficina del Comisionado de Información (ICO) del Reino Unido, encargada del cumplimiento con las leyes de protección de datos en territorio británico, ha multado a Uber con  385 mil libras. La ICO mencionó que el incidente ocurrió debido a “una serie de fallas” en la infraestructura de TI de Uber, agregando que cerca de 3 millones de usuarios de Uber en Reino Unido se vieron afectados por el incidente.

“La investigación de la ICO descubrió que la violación de datos fue posible gracias a la técnica de “relleno de credenciales” (credential stuffing), proceso mediante el cual los nombres de usuario y contraseñas se inyectan masivamente en un sitio web hasta que coinciden con una cuenta existente. Uber utiliza Amazon Web Services Simple Storage Service (S3), un servicio de almacenamiento basado en la nube, donde se resguarda su información.

Un atacante pudo acceder a múltiples buckets S3 de Uber debido a que el equipo de TI de la empresa dejó las credenciales de acceso a S3 en el código que fue cargado a GitHub, la popular plataforma de desarrollo y uso compartido de código. “El acceso a la cuenta en S3 de Uber se encontraba en un archivo de texto almacenado en GitHub”, mencionó la ICO.

Por su parte, Autoriteit Persoonsgegevens, la autoridad reguladora en materia de protección de datos de Holanda, impuso a Uber una multa de 600 mil libras por violar la legislación holandesa de seguridad de la información. “La empresa fue multada por no informar sobre la violación de datos dentro de las 72 horas posteriores al descubrimiento del incidente”, reportaron las autoridades de Holanda. Se calcula que cerca de 174 mil usuarios holandeses fueron afectados por el robo de datos.

La violación de datos ocurrió mientras Travis Kalanick se desempeñaba como CEO de Uber, pero se mantuvo en secreto hasta noviembre de 2017, luego de que Dara Khosrowshahi asumiera como CEO, quien ordenó se realizara una investigación forense digital.

A la postre, se supo que Uber había pagado 100 mil dólares a un joven  hacker de Florida por concepto de un “reporte de bug” como parte de su programa de recompensas. Sin embargo, las autoridades creen que el hacker había descubierto la violación de datos, y el pago que realizó la empresa se trataba de un soborno para mantener el incidente en secreto.

La violación de datos ocurrió antes de la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea (GDPR), por lo que Uber fue sancionada acorde a lo establecido en la Ley de Privacidad de Datos de Reino Unido, promulgada en 1998. Las multas impuestas acorde a esta ley no pueden exceder los 500 mil dólares.

FILTRAR DATOS USANDO SMART BULBS

Posted on

bulb

Un equipo de investigadores ha desarrollado un par de apps que se aprovechan de las funcionalidades de los smart bulbs para extracción de datos

Los investigadores una firma de ciberseguridad y forense digital desarrollaron dos aplicaciones móviles que explotan las características de los smart bulbs (bombillas inteligentes) para la exfiltración de datos, informan expertos del Instituto Internacional de Seguridad Cibernética.

Los expertos utilizaron los smart bulbs Magic Blue, que cuentan con la característica de comunicación vía Bluetooth 4.0. Los dispositivos son fabricados por una compañía china, llamada Zengge y pueden ser controlados mediante aplicaciones de Android y iOS. La compañía cuenta con clientes importantes, como Philips, entre otras.

Los especialistas en forense digital centraron su estudio en dispositivos que utilizan el Protocolo de Atributos de Baja Energía (ATT) para establecer la comunicación.

El primer test llevado a cabo por los expertos consistió en detectar la comunicación entre los smart bulbs y la aplicación móvil de emparejamiento. El método de emparejamiento utilizado por los investigadores es Just Works.

Los expertos en forense digital emparejaron un teléfono móvil con sistema operativo Android con la aplicación iLight y comenzaron a detectar el tráfico mientras utilizaban la función de cambio de colores del smart bulb.

De esta manera, el equipo encargado de la investigación encontró los comandos enviados por la aplicación móvil a los smart bulbs. El equipo realizó una ingeniería inversa de la aplicación móvil utilizando una herramienta llamada jadx.

Una vez que consiguieron control completo sobre el dispositivo, los especialistas comenzaron a desarrollar una aplicación que se aprovecha de la luz de los smart bulbs para transferir información entre el dispositivo comprometido y el atacante.

En su informe de la prueba de concepto, los especialistas mencionaron: “Nuestro plan para la exfiltración de datos era usar la luz de estos dispositivos como un medio de transferencia de información desde el dispositivo comprometido hasta la ubicación del atacante. La luz alcanza distancias más amplias, que era nuestra principal meta”.

“Imaginemos el siguiente escenario: un smartphone BLE es comprometido con alguna variante de malware para robar las credenciales del usuario. La información robada podría ser enviada a un atacante utilizando un smart bulb BLE en una ubicación cercana”. En su ataque, los expertos utilizaron un smartphone conectado a un telescopio para recibir los datos filtrados sin levantar sospechas del usuario.

Fue necesaria la creación de dos apps para la filtración de datos, una se instaló en el smartphone de la víctima, y la otra en el dispositivo móvil del atacante para recibir e interpretar los datos filtrados.

“Creamos dos aplicaciones, la primera para enviar los datos exfiltrados y la segunda para recibirlos. La aplicación que transmite la información cambia la intensidad de la luz azul en el smartphone. La aplicación tiene dos modalidades: modo normal y modo silencioso. El primero puede ser visible para el ojo humano, pero el modo silencioso es muy difícil de detectar debido a las variaciones de los tonos de azul utilizados”, mencionaron los expertos.

“Estos métodos son funcionales en cada smart bulb que permita que un atacante tome control sobre esta. En el futuro, nos gustaría crear una mejor prueba de concepto que nos permita probar una base de datos de smart bulbs vulnerables, también hemos considerado la implementación de inteligencia artificial para aprender sobre otras clases de smart bulbs”, concluyeron los expertos.

FACEBOOK EXTIENDE SU PROGRAMA DE RECOMPENSAS POR REPORTE DE VULNERABILIDADES

Posted on

11Fir04-revised.qxp

La red social pagaría hasta 40 mil dólares por reportes de errores que permitan el robo de cuentas de usuarios

En medio de una crisis de imagen por las críticas de usuarios y autoridades reguladoras sobre su política de protección de datos, Facebook ha anunciado la expansión de su programa de recompensas por reporte de errores para expertos en hacking ético y forense digital. Los hackers de sombrero blanco podrían ganar hasta 40 mil dólares por reportar un bug, dependiendo de su gravedad e interacción del usuario requerida.

El anuncio fue publicado en la página de reporte de errores de la empresa, donde Facebook ha invitado a los hackers éticos a tratar de penetrar en la plataforma en cualquier forma imaginable para buscar errores antes de que los hackers maliciosos los encuentren. Aunque el programa de recompensas de Facebook lleva activo más de 7 años, la red social nunca ha estado exenta de ataques o fugas de información. Acorde a expertos en forense digital del Instituto Internacional de Seguridad Cibernética, este es el más reciente esfuerzo de la empresa para evitar que sigan presentándose incidentes de seguridad que atenten contra su imagen.

“Para alentar a los investigadores de seguridad a trabajar en la búsqueda de problemas de alto impacto, hemos incrementado el pago promedio de los errores robo de cuentas. Nuestro objetivo es garantizar que estas vulnerabilidades, como la revelada en septiembre pasado, sean de conocimiento de Facebook de forma oportuna y responsable”, menciona el comunicado de la empresa.

Ahora la empresa pagará 40 mil dólares si el bug no requiere interacción del usuario para su explotación, en tanto que el pago por reportes de errores que requieren interacción mínima del usuario alcanzaría los 25 mil dólares.

Acorde a expertos en forense digital, este programa se extenderá a otros servicios propiedad de la red social, incluidos Instagram, WhatsApp y Oculus. No se requerirá que los hackers éticos presenten una cadena de explotación completa si el proceso requiere eludir el mecanismo Linkshism, de Facebook. La empresa quiere que los hackers puedan compartir la prueba de concepto de su error sin tener que vulnerar capas de seguridad adicionales.

“Incrementando las recompensas por vulnerabilidades de robo de cuentas y disminuyendo la carga técnica necesaria en cada reporte de bug, esperamos recibir un mayor número de solicitudes para el programa de recompensas, aumentando la calidad de los trabajos de investigación en colaboración con los hackers de sombrero blanco, ayudándonos a proteger a más de 2 mil millones de usuarios de los diferentes servicios de Facebook”, finaliza el comunicado.

$1.2M USD FINE FOR UBER BECAUSE OF DELAY OF DATA BREACH REPORT

Posted on

The logo of car-sharing service app Uber on a smartphone over a reserved lane for taxis in a street is seen in this photo illustration taken in Madrid on December 10, 2014.

Researchers claim that this incident compromised the company’s Amazon S3 buckets

Uber Technologies decided not to disclose a data breach in 2016, a decision that keeps bringing bad news for the transport service platform.

According to reports of experts in digital forensics, Uber has been fined for an amount of $1.2M USD, amount established by the data regulatory authorities of the United Kingdom and the Netherlands, accusing the company of inadequate data security policies, as well as for not properly reporting the data breach that the company suffered two years ago. The authorities argue that this incident, which the company took a year to report, exposed Uber drivers and users to an increased risk of cyber fraud.

The incident compromised the personal information of over 50 million users and 3 million Uber drivers worldwide, including names, email addresses and phone numbers. According to specialists in digital forensics, in some cases attackers even leaked location data, access tokens and user passwords. The incident occurred in October 2016, but Uber kept it undisclosed until November 2017.

The United Kingdom Information Commissioner Office (ICO), in charge of compliance with data protection laws in British territory, has fined Uber with £385k. The ICO mentioned that the incident occurred because of “a series of flaws” in Uber IT infrastructure, adding that about 3 million of Uber users in the UK were affected by the incident.

“The ICO research found that data breach was possible thanks to the “credential stuffing” technique, a process by which usernames and passwords are injected massively into a website until they match with an existing account. Uber uses Amazon Web Services Simple Storage Service (S3), a cloud-based storage service, where its information is protected.

An attacker was able to access multiple Uber S3 buckets because the company IT team left the S3 access credentials in the code that was uploaded to GitHub, the popular code development and sharing platform. “Uber S3 account accesses were in a plain text file stored on GitHub,” the ICO mentioned.

On the other hand, Autoriteit Persoonsgegevens, the regulatory authority on data protection in Netherlands, imposed Uber a fine of £600k for violating the Dutch information security law. “The company was fined for not reporting the data breach within 72 hours after the discovery of the incident,” the Dutch authorities reported. It is estimated that about 174k Dutch users were affected by data theft.

Data breach occurred while Travis Kalanick served as Uber’s CEO, but remained undisclosed until November 2017, after Dara Khosrowshahi emerged as CEO, who ordered a digital forensics investigation.

In the end, it was learned that Uber had paid $100k USD to a young hacker from Florida for a “bug report” as part of its vulnerability bounty program. However, the authorities believe that the hacker had discovered the data breach, and the payment made by the company was a bribe to keep the incident a secret.

The data breach occurred before the entry into force of the European Union’s General Data Protection Regulation (GDPR), so Uber was sanctioned in accordance with the provisions of the United Kingdom Data Privacy Act, promulgated in 1998. Fines imposed in accordance with this law may not exceed $500k USD.

LEAKING DATA WITH SMART BULBS

Posted on

bulb

A team of researchers has developed a couple of apps that take advantage of the functionalities of smart bulbs for data leaking

Researchers from a cybersecurity and digital forensics firm developed two mobile applications that exploit the characteristics of smart bulbs for data exfiltration, as reported by experts from the International Institute of Cyber Security.

The experts used the Magic Blue smart bulbs, which feature the communication via Bluetooth 4.0. The devices are manufactured by a Chinese company, called Zengge and can be controlled by Android and iOS applications. The company has important clients, such as Philips, among others.

Digital forensics specialists focused their study on devices that use the Low-Energy Attribute Protocol (ATT) to establish communication.

The first test carried out by the experts consisted in detecting the communication between the smart bulbs and the pairing mobile app. The pairing method used by researchers is Just Works.

Digital forensics experts paired a mobile phone with an Android operating system with the iLightapplication and began detecting traffic while using the smart bulb’s color-changing feature.

In this way, the research team found the commands sent by the mobile application to the smart bulbs. The computer reverse-engineered the mobile application using a tool called JADX.

Once they got full control over the device, the specialists began to develop an app that takes advantage of the smart bulbs light to transfer information between the compromised device and the attacker.

In their proof-of-concept report, the specialists mentioned: “Our plan for data exfiltration was to use the light of these devices as a mean for transferring information from the compromised device to the attacker’s location. Light reaches wider distances, which was our main goal.”

“Let’s imagine the next scenario: a BLE smartphone gets compromised with some malware variant to steal the user’s credentials. Stolen information could be sent to an attacker using a BLE smart bulb in a nearby location.” In their attack, the experts used a smartphone connected to a telescope to receive the leaked data without raising the user’s suspicion.

It was necessary to create two apps for data leaking, one was installed on the victim’s smartphone, and the other on the attacker’s mobile device to receive and interpret the leaked data.

“We created two applications, the first to send the leaked data and the second one to receive them. The application that transmits the information changes the intensity of the blue light on the smart bulb. The app has two modalities: normal mode and silent mode. The first can be visible to the human eye, but the silent mode is very difficult to detect due to the variations of the shades of blue used,” the experts mentioned.

“These methods are functional in every smart bulb that allows an attacker to take control of them. In the future, we would like to create a better proof of concept that allows us to test a database of vulnerable smart bulbs, we have also considered the implementation of artificial intelligence to learn about other classes of smart bulbs,” the experts concluded.

FACEBOOK WILL PAY YOU $40K USD FOR REPORTING BUG

Posted on

11Fir04-revised.qxp

The social network would pay up to $40k USD for reporting errors that allow a single account takeover

In the middle of an image crisis because of critics of users and regulatory authorities on its data protection policy, Facebook has announced the expansion of its bug bounty program for experts in ethical hacking and digital forensics. White hat hackers could earn up to $40k USD for reporting a single bug, depending on its severity and required users’ interaction.

The announcement was posted on the company’s bounty program page, where Facebook has invited ethical hackers to try to get into its platform in any conceivable way, looking for never seen before bugs before malicious hackers find them. Although the Facebook bounty program has been active for over 7 years, the social network has never been free of attacks or information leaks. According to experts in digital forensics from the International Institute of Cyber Security, this is the most recent effort of the company to avoid continuing to present security incidents that threaten its image and business model.

“To encourage security investigators to work on the search for high-impact security issues, we have increased the average payment of account theft errors. Our goal is to ensure that these vulnerabilities, like the one revealed last September, are of Facebook knowledge in a timely and responsible way,” mentions the company’s statement.

Now the company will pay $40k USD if the bug does not require user interaction for its exploitation, while the payment for bug reports requiring minimum user interaction would reach $25k USD.

According to experts in digital forensics, this program will be extended to other services owned by the social network, including Instagram, WhatsApp and Oculus. Ethical hackers will not be required to present a full operating string if the process requires bypassing the Linkshism mechanism, by Facebook. The company wants hackers to be able to share the proof of concept of bug error without having to violate additional security layers.

“By increasing the rewards for account theft vulnerabilities and decreasing the required technical load in each bug report, we expect to receive a greater number of submits for the bounty program, increasing the quality of the work of research in collaboration with white hat hackers, helping to protect more than 2 billion users from the different Facebook services”, the statement ultimately mentions.

FOOTPRINTING USANDO DIG

Posted on

dns

El Domain Name Server (o Domain Name System) es un método distribuido que ayuda a las personas a recordar el nombre de cualquier sitio web. En general, los sitios web se alojan en servidores utilizando su dirección IP. Las personas no podrían recordar la dirección IP de un sitio (números) todo el tiempo. Ahí es donde el DNS ayuda. DNS convierte cualquier dirección IP en texto normal para que cualquiera pueda recordar la dirección de cualquier sitio web.

DNS actúa como una libreta de direcciones para Internet. Si conoce algún nombre de dirección en particular pero no conoce su dirección IP, puede buscarlo fácilmente en la libreta de direcciones. DNS funciona de la misma manera.

Por ejemplo, si un usuario visita (webimprints.com) en un navegador, la computadora utilizará el DNS para recibir la dirección IP del sitio web, que es 23.229.216.201.

Tipos de registro DNS

Los tipos de registro de DNS son generalmente utilizados por el editor de DNS (administradores de red) que realizan cambios en el servidor de nombres de dominio.

  • A – MUESTRA LA DIRECCIÓN IP DEL HOST
  • MX – MUESTRA SERVIDOR DE CORREO DE DOMINIO
  • NS – MUESTRA EL SERVIDOR DE NOMBRE DEL HOST
  • rDNS – MUESTRA EL REGISTRO DE DNS REVERSO
  • VIEW ANY FILE – MAYORMENTE UTILIZADO EN BÚSQUEDA DE DNS
  • PORT NO. – ESPECIFICANDO EL NUMERO DE PUERTO
  • DNS PATH – MOSTRANDO EL DNS PATH
  • IPV4 / IPV6 – MOSTRAR EN LAS DIRECCIONES IP
  • SOA- MUESTRA EL REGISTRO DE SOA

Los tipos de registro DNS mencionados anteriormente se utilizan comúnmente para recopilar información sobre el sitio web.

DIG

DIG se utiliza para averiguar si el registro DNS está configurado correctamente o no.

Dig está disponible para Kali Linux por defecto.

  • Para comenzar a usar Dig, vaya a Linux terminal. Simplemente escribiendo dig webimprints.com
  • Escriba dig en el Terminal de Linux como se muestra en la captura de pantalla a continuación:

dig01

  • En la pantalla de salida puede ver que webimprints.com muestra la dirección IP utilizando el registro A

Comprobar su servidor DNS en Linux

  • Teclee cat /etc/resolv.conf.
  • Puede ver más abajo las configuraciones DNS por defecto

dig02

Especificar servidor de nombre

  • Después del comando anterior, teclee dig @ 192.168.1.1 webimprints.com

dig03

  • En la salida anterior podemos ver el servidor de nombres especificado. En el nivel de raiz, debe haber algún servidor de nombres confiable configurado para responder a las consultas contra un nombre de dominio
  • Los servidores de nombres que han sido designados por el registrador llevan el archivo de zona para el dominio. Los subdominios se configuran en servidores de nombres

Mostrando servidores de correo

  • Teclee dig @192.168.1.1 webimprints.com MX

dig04

  • En la captura de pantalla anterior se ve el servidor de correo webimprints.com. Este registro MX significa que el sitio web de webimprints.com tiene un registro de intercambio de correo
  • Cada registro MX tiene su propia preferencia y los números más bajos tienen una preferencia más alta. Por lo tanto, cuando se envía el correo, se utiliza el registro MX con la preferencia más baja, si no se puede acceder al registro MX de la preferencia más baja que el registro MX con la siguiente preferencia alta. Sin embargo, si los registros tienen el mismo valor de preferencia MX, ambos registros MX se utilizarán simultáneamente

Registro DNS reverso

  • Teclee dig –x 23.229.216.201 (direcciónnIP)

dig05

  • El registro PTR permite que la consulta rDNS coincida con la dirección IP de un dominio. Funciona a la inversa del registro A
  • El registro PTR permite la consulta RDNS (DNS inverso) para hacer coincidir la dirección IP con un dominio. Funciona frente a un registro A (Dirección). Tomemos por ejemplo 2 hosts:

Para 172.16.0.1:

Tipo: PTR

Host: 2Apunta a: host2.ejemplo.com

Para 172.16.0.2:

Tipo: PTRHost: 2

Apunta a: host2.ejemplo.com

Los registros de PTR se mostrarán en el Panel de control de esta manera:

dig06

  • Después del registro PTR, asegúrese siempre de que los hosts mencionados deben tener registros A. En el ejemplo anterior, host1.example.com debe tener un registro apuntado a 172.16.0.1 y host2.ejemplo.com con 172.16.0.2

Ver un archivo

  • Teclee dig –f query.txt +short

dig07

  • Tiene que crear cualquier archivo. En ese archivo puede ingresar cualquier nombre de dominio. Este comando es útil en búsquedas masivas de DNS
  • –f se usa en la lectura del archivo. + short se usa para ver solo las direcciones IP

Indicar cualquier número de puerto

  • Teclear dig @8.8.8.8 –p 21 webimprints.com

dig08

  • En la captura de pantalla anterior, puede especificar un puerto alternativo. Por alguna razón, un servidor de nombres externo está configurado para un puerto no estándar
  • El servidor de nombres externo realmente escucha el tráfico en el puerto (21) especificado, y su firewall también debe permitir el tráfico, de lo contrario, la búsqueda fallará. Como puede ver, el tiempo de espera de la conexión se debe a que 8.8.8.8 no está configurado en un puerto aleatorio que es 21 como se muestra arriba en la captura de pantalla

Rastreo de DNS

  • Teclee dig @8.8.8.8 webimprints.com +trace

dig09

  • En la captura de pantalla anterior, al consultar webimprints.com, puede ver cómo el DNS hace su ruta. Primero irá a los servidores de nombres raíz, luego al dominio .com

Usar IPV4 o IPV6

  • Teclee dig @8.8.8.8 -4 webimprints.com

dig10

  • En la captura de pantalla anterior, utilice la consulta ipv4 para obtener el ipv4. Si quiere consultar ipv6 puedes -6 en lugar de -4
  • Si desea ver el ipv6, debe configurar la red ipv6 para que funcione correctamente

Obtener el SOA

  • Ingrese el comando dig @8.8.8.8 webimprints.com SOA

dig11

En la captura de pantalla anterior, el uso de la consulta SOA (State of Authority) muestra información simple sobre el dominio, la frecuencia con la que se actualiza y la última vez que se actualizó. Un archivo de zona solo puede contener un registro SOA

Según investigadores en hacking ético del Instituto Internacional de Seguridad Cibernética, Dig es muy útil para el administrador de red en la fase de recopilación de información.