Spam sobre cuentas de usuario del World of Warcraft

viernes 26 de junio de 2009
Buenas a todos:

Hace nada acabo de recibir un correo un poco gracioso (gracioso para mi que ya me los conozco de memoria pero no para el resto de gente). Basicamente este correo nos explica que Blizzard necesita una verificación de mi cuenta ya que creen que ha podido ser vendida o intercambiada, hecho que rompe con las normas (EULA) de Blizzard. Ahí os pongo el correo que he recibido:

WoWPhising

Como podeis comprobar en el correo, hotmail ya me lo ha marcado como que es posible que haya una posible suplantación de identidad, pero bueno yo como soy un usuario que me fio de la dirección "noreply@blizzard.com" pues le digo que es un correo legítimo, leo el correo tranquilamente y me encuentro ¡¡¡con que mi cuenta ha podido ser vendida o me la han podido robar!!! Oh, Dios mío no!!!.

Si comprobamos los dos primeros links del EULA y los Terms of Use, estos links son buenos y nos llevan a la página oficial de World of Warcraft (http://www.worldofwarcraft.com/legal/eula.html) pero si leemos un poco mas abajo en el link que tenemos que identificarnos...¿por que en ese link está puesto el enlace de la página web de battle.net en vez de estar como los anteriores con su correspondiente descripción? Si os fijais bien nos lleva concretamente a la dirección "http://worldofwarcraft-blizzard-battle.freehostia.com/login.html?ref=https://www.battle.net/account/?ticket%3DST-239198-uN6qyalP8MtGjf7AEdFw&app=wam"

Direccion1

VS

Direccion2

¿No se os hace un poco raro? Pues a mi si la verdad, ¿cómo es que ahora Blizzard ha decidido por tener sus hosting en freehostia? Ya se que la crisis afecta a todas las empresas pero tanto como para esto...

Como no me fío un pelo porque soy así, lo que hago es ir a esa dirección web, comprobando que todo parece correcto y que me piden un usuario y contraseña. La primera prueba a hacer es meter un usuario y una contraseña que no existan, como por ejemplo puede ser usuario "lol" y password "lol", le damos a aceptar y comprobamos que efectivamente este formulario no comprueba el usuario y la contraseña, sino que directamente nos manda a una web donde nos piden todos los datos (nombre, apellidos, correo, claves del WoW y sus expansiones...). Si introducimos datos aleatorios, ya que no valida ni el correo ni el captcha, veremos que llegamos a una pantalla final de donde nos dicen que todo perfecto y que en breve contactarán con nosotros y nos redirecciona hacia la página oficial de WoW

Paso 1: Nos pide user y pass (podeis probar cualquier usuario y contraseña)

WoWLogin

Paso 2: Nos pide TODOS nuestros datos (podemos meter lo que queramos también)

WoWDatos

Paso 3: Contactarán con nosotros y nos redireccionan hacia la página oficial de WoW

WoWFinal

Bueno, nos hemos encontrado ante un claro ejemplo de phising el cual dará algún dolor de cabeza a algún usuario que no sea tan precavido como nosotros.

Un saludo
Publicado por Asfasfos 0 comentarios
Etiquetas:

Ipredator, el nuevo servicio de The Pirate Bay

martes 16 de junio de 2009
Como muchos ya sabeis, The Pirate Bay ha estado ultimamente con problemas judiciales ya que fue denunciada por empresas como Sony, Warner o EMI por infringir los derechos de propiedad de distintas películas y canciones.

Tras todo este revuelo, The Pirate Bay ha decidido usar un servicio de VPN para asegurar el anonimato de sus usuarios, para ello The Pirate Bay ha creado el servicio llamado "ipredator" el cual consiste en un servicio VPN para asegurar el anonimato de los usuarios y que los ISP no sepan lo que hace cada usuario, pero os preguntareis...¿como consiguen esto? Pues muy fácil...ipredator no guarda o borra los logs de los usuarios, así que no hay manera de rastrear lo que está haciendo cada usuario.

Este servicio inicialmente está en fase beta y en estos momentos se ha cerrado la beta, habiendo mas de 180.000 personas registradas. Este servicio será gratis en sus primeras versiones pero se plantean cobrar 5€ al mes por su uso a cada usuario.

¿Llegará este proyecto a su fase final? Lo veremos proximamente...
Publicado por Asfasfos 0 comentarios
Etiquetas: , , , ,

Malware en cajeros automáticos

viernes 12 de junio de 2009

Ayer mismo me llegó un correo de nuestros amigos de Hispasec de "una al día" en el cual nos comentaban que desde hace un tiempo los cajeros automáticos están sufriendo ataques de troyanos. Os preguntareis todos...¿cómo puede ser eso? Pues muy fácil, mediante la inserción del troyano en el cajero desde dentro de la oficina, en pocas palabras, metiendo en el ajo a algún trabajador quemado de la oficina de la sucursal bancaria.


Una vez instalado el troyano dentro del cajero, este sistema no actuaba de una forma por decirlo "normal", no se conectaba a ningún servidor remoto ni enviaba los datos a ningún sitio (seguramente para no levantar sospechas) sino que lo que hacía era guardar los datos de las cuentas bancarias y tarjetas de créditos de los usuarios hasta que llegaba una persona con una tarjeta especial la cual es reconocida por el troyano. Con esta tarjeta el sistema permitía las siguientes opciones:



- Impresión de los datos robados por el cajero
- Reset de los logs a cero para borrar huellas
- Sacar todo el dinero del cajero

El troyano dividía los permisos en 2 tipos: administradores y muleros, pudiendo los primeros tener control total sobre el sistema y estos segundos solo a funciones específicas.

La proliferación de estos troyanos no es muy grande ya que se necesita siempre a alguien de dentro para meter el troyano.

Un saludo
Publicado por Asfasfos 0 comentarios
Etiquetas: ,

Auditando SAP. Revisión de los parametros del sistema

miércoles 3 de junio de 2009
Muy buenas a todos!!!

Hoy nos vamos a dedicar a auditar/revisar los parametros del sistema de un sistema SAP R/3.

La mayoría de empresas se gastan un pastizal en implantar SAP (cosa que me parece perfecto) pero el problema viene cuando luego no se gastan un duro en personal adecuado para administrar este tipo de sistemas, no es que estos sean precisamente sencillos de administrar debido a su tamaño y complejidad, por eso creo que siempre se necesita gente especializada.

Los parametros del sistema (RSPARAM) se utilizan para mantener una configuración segura del sistema, estos parametros se pueden definir a nivel de instancia de SAP, de servidor o incluso de todo el sistema. La mayoría de estos parametros nos aseguran que hay una cierta seguridad en el sistema. Para acceder a los parámetros del sistema solo tenemos que utilizar la transacción SA38 y acceder a través del programa RSPARAM como vemos en el ejemplo

sap1

Una vez que tenemos acceso a esta transacción y a RSPARAM accederemos a una tabla parecida a esta

sap2

En esta tabla podemos ver el campo "Parameter Name" el cual pertenece al nombre del parametro definido, "User-Defined value" el cual pertenece al valor definido por el usuario al parametro y "System Default Value" el cual pertenece al valor por defecto que pone el sistema al parámetro.

Esta tabla contiene cientos de parámetros de configuración de hardware, sistema operativo y base de datos pero en lo que nos vamos a centrar hoy va a ser en los parámetros de seguridad del sistema.

Parametros de Seguridad


  • login/password_expiration_time: define el tiempo de expiración de las contraseñas de los usuarios, podriamos considerar como un valor correcto el valor 60.

  • login/min_password_lng: define la longitud mínima de la contraseña del usuario, siendo el mínimo 3 caracteres y el máximo 8. Un valor correcto correspondería a 6

  • login/failed_user_auto_unlock: desbloquea el usuario que ha sido bloqueado por un número de intentos incorrecto. Este valor viene por defecto a 1, su valor correcto debería de ser 0 (el usuario se mantiene bloqueado hasta que el administrador lo desbloquea a mano)

  • login/fails_to_user_lock: define el número accesos erroneos antes de que un usuario se bloquee, el valor por defecto es 12, este valor debería ponerse a 3

  • login/fails_to_session_end: define el número de accesos erroneos antes de que el sistema cierre el acceso al sistema. Por defecto este valor es 3

  • login/no_automatic_user_sapstar: por defecto el sistema se instala con el usuario master SAP*. Este usuario tiene el perfil SAP_ALL con acceso a todas las transacciones y programas de SAP. Aun borrado este usuario del maestro, el sistema crea las propiedades y asigna por defecto el usuario SAP* con la contraseña "PASS" y perfil "SAP_ALL", siendo un "backdoor" al sistema bastante peligroso. El parametro por defecto está a 0, la configuración óptima y segura sería a

  • rec/client: este parametro define el registro automático de las tablas a nivel de sistema, por defecto viene a OFF y lo correcto sería ON

  • rdisp/gui_auto_logout: maximo tiempo permitido entre la entrada de datos en el GUI antes de que la sesión se bloquee. Por defecto este valor es 0 y habría que asignarle un valor de 3600.


Estos son los parámetros mas importantes a la hora de definir la seguridad de un sistema SAP. Otro día entraremos en transacciones con las cuales hay que tener cuidado a la hora de definirlas a los usuarios.

Un saludo
Publicado por Asfasfos 0 comentarios
Etiquetas: ,
Suscribirse a: Entradas (Atom)