viernes, 30 de octubre de 2015

Kaspersky permite descifrar los datos afectados por CoinVault y Bitcryptor

      

Cada vez son más este tipo de amenazas que afectan a los ordenadores personales y de empresas, dificultando y mucho la recuperación de los datos, algo bastante común a la mayoría de las infecciones. Sin embargo, desde Kaspersky han lanzado una herramienta para que los usuarios hagan frente a CoinVault y Bitcryptor, dos ransomware muy comunes en los últimos meses.

La primera vez que se localizó a la primera de las amenazas citadas fue hace más de año y medio, y a día de hoy existen más de 5.000 usuarios afectados repartidos entre 108 países. Resulta bastante común que la amenaza se distribuya en un primer momento sobre un territorio y una vez que el número de infecciones no crece se extienda a otros, utilizando para estas operaciones oleadas muy agresivas de correos electrónicos spam.
El FBI anima a los usuarios a pagar cuando sus datos se vean afectados por el cifrado de un malware
Aunque las herramientas de seguridad más conocidas detectan sin ningún problema la presencia de estos malware y proceden a su eliminación de forma correcta, el cifrado de los datos es algo que persiste aunque este desaparezca, por lo que se necesita otra herramienta (si es que existe) para recuperar el acceso a estos.
Hay que remontarse hasta el mes de septiembre, momento en el que se realizó la detención de los creadores de CoinVault en una ciudad holandesa.

kaspersky lanza una herramienta para combatir coinvault

Cuando Kaspersky tuvo acceso a los servidores se pudo confeccionar la herramienta

Una vez las autoridades accedieron a toda la infraestructura del malware los responsables de la compañía de seguridad analizaron los servidores y todo lo relacionado para que los usuarios puedan recuperar el acceso a sus archivos.
Para ello el fabricante ha puesto a disposición de los usuarios la siguiente herramienta:
Descarga la herramienta para recuperar los datos cifrados por CoinVault y Bitcryptor
Hay que aclarar que esta se distribuye desde el pasado año, con la única diferencia de que ahora se han incluido nueva información a la base de datos, haciendo que su efecto sea eficaz ante estas dos amenazas. Por lo que todos aquellos usuarios que tengan sus archivos cifrados y no hayan utilizado copias de seguridad o restaurado el sistema para recuperarlos pueden hacer uso de esta y así solucionar este problema.

Los ciberdelincuentes sacan tajada

Durante al menos año y medio las compañías de seguridad no tenían los medios suficientes para implementar soluciones contra estas amenazas y los ciberdelincuentes buscaban sacar el máximo provecho. Por este motivo se solicitaba el pago de una cantidad para recuperar el acceso, ya que muchos datos serían importantes y su pérdida sería un problema. Pero poco a poco los usuarios respiran y ya existen solucionaes para descifrar los archivos de un número importantes de ransomware.
Fuente | Softpedia

Análisis forense de las llamadas de WhatsApp


 
Un reciente examen forense del popular servicio de mensajería WhatsApp ofrece nuevos detalles sobre los datos que se pueden recoger de su nueva función de llamada, como puede ser su duración y los números de teléfono.

La investigación WhatsApp Network Forensics: Decrypting and Understanding WhatsApp Call Signaling Messages [PDF] fue desarrollada por F. Karpisek of Brno University of Technology en la República Checa, Baggili Ibrahim (Abe) y Frank Breitinger, codirectores del grupo Cyber Forensics de la Universidad de New Haven.

"Nuestra investigación demuestra el tipo de datos que pueden recopilarse a través del estudio forense de WhatsApp y provee un camino para otros para llevar a cabo estudios adicionales en los análisis forenses de aplicaciones de mensajería", dijo Baggili. Sin embargo señala que "descifrar el tráfico de red no es sencillo, porque se necesita tanto acceso a los datos en el dispositivo como al tráfico de red completo".

"Hemos descifrado la conexión del cliente de WhatsApp hacia sus servidores y visualizado los mensajes usando una herramienta de línea que hemos creado. Esta herramienta puede ser útil para un análisis más profundo del protocolo WhatsApp".

De hecho, Baggili dijo que espera que otros utilizarán las herramientas para analizar el tráfico de red en otras aplicaciones populares de mensajería para que la comunidad forense pueda obtener una mejor comprensión de los artefactos y tareas relevantes que pueden extraerse del tráfico de red y de los datos almacenados en los dispositivos.

Los investigadores proporcionaron un esquema del protocolo de WhatsApp desde una perspectiva que permite explorar y estudiar las comunicaciones de la red de WhatsApp.
Específicamente, los investigadores encontraron que WhatsApp utiliza el protocolo de FunXMPP para el intercambio de mensajes, que es una versión propia del protocolo Extensible Messaging and Presence Protocol (XMPP) .

Mediante el análisis de mensajes y señalización intercambiados durante una llamada de WhatsApp en dispositivos Android, los investigadores pudieron examinar de cerca el proceso de autenticación de los clientes de WhatsApp; descubrir qué códec utiliza WhatsApp para la comunicación de voz (Opus 8 o 16 kHz); entender cómo se seleccionan los servidores de transmisión; y entender cómo los clientes anuncian sus direcciones.

Los investigadores fueron capaces de adquirir una variedad de artefactos del tráfico de red, incluyendo números de teléfono, metadatos sobre el establecimiento de la llamada, fecha y hora y duración de la llamada. También fueron capaces de adquirir códec de voz de una llamada de teléfono de WhatsApp (Opus) y direcciones IP de sus servidores, utilizados durante las llamadas.

Fuente: Net-Security

martes, 27 de octubre de 2015

Recursos sobre criptografía y seguridad

 
Estar al día sobre cualquier campo dentro de la tecnología, requiere un gran esfuerzo y dedicación. En el tema de la seguridad informática y criptografía, es quizás incluso más complicado por la cantidad giros y avances que se llevan a cabo a pasos agigantados. Es por ello que el mantener organizado una buena lista de recursos esenciales, debería ser un objetivo primordial.

He aquí una web llamada RETTER en la que podemos encontrar una excelente lista de dichos recursos. Los recursos están divididos en las siguientes categorías:
El contenido del sitio está alojado en Github. La lista sigue en continuo desarrollo.

Fuente: Cyberhades

domingo, 25 de octubre de 2015

Recopilación de herramientas para la extracción y el análisis de memoria en Linux


Como todos sabéis, en un análisis forense es tremendamente útil la obtención del volcado de memoria volátil y su posterior análisis, sobretodo porque muchos artefactos de malware usan funciones que no dejan datos en disco.

Quizás la mayoría de herramientas de adquisición y análisis de memoria estaban orientadas a sistemas en Windows porque durante años ha sido el gran objetivo de los "códigos maliciosos". No obstante con el gran auge de Android y otros sistemas Linux/Unix, esta tendencia está cambiando y se hace necesario saber utilizar y tener a mano algunas de las siguientes herramientas:

1. Volatility Framework: quizás una de las más famosas colecciones de herramientas para la extración y el análisis de la memoria volatil (RAM). Sin embargo el soporte para Linux es todavía experimental: ver la página LinuxMemoryForensics en el Volatility wiki. (Licencia GNU GPL)

2. Idetect (Linux): una vieja implementación para el análisis de la memoria en Linux.

3. LiME (Linux Memory Extractor): presentado en la ShmooCon 2012, es un módulo cargable para el kernel (LKM) y permite la adquisión de memoria incluso en Android.

4. Draugr: interesante herramienta que puede buscar símbolos del kernel (patrones en un fichero XML o con EXPORT_SYMBOL), procesos (información y secciones) (por la lista de enlaces del kernel o por fuerza bruta) y desensamblar/volcar la memoria.

5. Volatilitux: framework en Python equivalente a Volatility en Linux. Soporta arquitecturas ARM, x86 y x86 con PAE activado.

6. Memfetch: sencilla utilidad para volcar la memoria de procesos en ejecución o cuando se descubre una condición de fallo (SIGSEGV).

7. Crash de Red Hat: es una herramienta independiente para investigar tanto los sistemas en funcionamiento como los volcados de memoria del kernel hechos con lo paquetes de Red Hat netdump, diskdump o kdump. También se puede utilizar para el análisis forense de memoria.

8. Memgrep: sencilla utilidad para buscar/reemplazar/volcar memoria de procesos en ejecución y ficheros core.

9. Memdump: se puede utilizar para volcar la memoria del sistema al stream de salida, saltando los huecos de los mapas de la memoria. Por defecto vuelca el contenido de la memoria física (/dev/mem). Se distribuye bajo la Licencia Pública de IBM.

10. Foriana: esta herramienta es útil para la extracción de información de procesos y listas de módulos desde una imagen de la RAM con la ayuda de las relaciones lógicas entre las estructuras del sistema operativo.

11. Forensic Analysis Toolkit (FATKit): un nuevo framework multiplataforma y modular diseñado para facilitar la extracción, análisis, agregación y visualización de datos forenses en varios niveles de abstracción y complejidad de datos.

12. The Linux Memory Forensic Acquisition (Second Look): esta herramienta es una solución comercial con un driver de crashing modificado y scripts para volcado.

Fuentes:
Top 8 Tools To Search Memory Under Linux / Unix - Forensics Analysis
Linux Memory Analysis  

Script de Volatility para extraer de la memoria información de sesiones de Facebook


Nikos Gkogkos ha publicado un interesante script para el framework Volatility con el que podemos extraer fácilmente de la memoria información de una sesión de Facebook. Simplemente clona el repositorio en local y copia facebook_extractor.py dentro de la ruta "/volatility/volatility/plugins/".

El script facebook_extractor.py contiene 3 plugins para Volatility:

    facebookgrabinfo
    facebookcontacts
    facebookmessages

Por cada plugin puedes ver las opciones disponibles con: $ python vol.py "facebook-plugin" -h

Normalmente, en primer lugar debemos ejecutar facebookcontacts, con el fin de obtener los IDs del propietario y de sus contactos. Luego grabar la información del propietario y revisar los mensajes que se ha cruzado con sus contactos.

Ejemplo:



*Nota:
Normalmente no es necesario usar el argumento oid porque el plugin es capaz encontrar el ID del propietario de forma automática. Sin embargo, puede que 2 usuarios diferentes se hubieran conectado a sus respectivas cuentas antes de capturar el volcado de memoria RAM. Por lo tanto, el código no va a poder decidir el ID correcto, y en ese caso si debemos suministrar el parámetro --oid.

Repositorio:
https://github.com/ngkogkos/volatility-plugins

miércoles, 21 de octubre de 2015

CONDENAN A PORTAL DE VENTA POR INTERNET Y LO RESPONSABILIZAN POR LOS PRODUCTOS QUE OFRECE




ARGENTINA.- La Corte Suprema de Justicia de la Nación dejó firme la condena que estableció que la empresa de comercialización por internet “Mercado Libre” tendrá que pagar alrededor de AR$ 40.000 a dos hermanos que adquirieron las localidades y al llegar al ingreso al recital fueron detenidos porque las entradas habían sido denunciadas como robadas por los organizadores, informaron fuentes judiciales.

Los ministros Ricardo Lorenzetti, Elena Highton de Nolasco, Enrique Petracchi y Juan Carlos Maqueda rechazaron por "inadmisible" un recurso de queja de la empresa y quedó firme así la sentencia dictada por la Cámara Civil.

El 15 de junio de 2006 los hermanos Patricio y Enrique Claps compraron las entradas para el show de Obras Sanitarias programado para tres días más tarde, el 18 de junio.

Al llegar a la entrada se los detuvo y se les inició una causa penal en la que fueron absueltos al comprobarse que habían adquirido las localidades por Mercado Libre a un proveedor que ofrecía las mismas por ese portal.

Los damnificados demandaron por "daños y perjuicios" al vendedor, que fue condenado y al portal, que fue exculpado en primera instancia pero condenado en el tribunal de apelaciones.
En ese fallo, ahora firme, la sala K entendió que el sitio de Internet es responsable por lo que vende debido a que "cobra un cargo por publicación y por venta".
Por ello "lucra, no solamente con el espacio que proporciona a los usuarios, sino con las operaciones que ellos realizan allí”.

domingo, 18 de octubre de 2015

Manual de Tallin 2.0 (Derecho Internacional Aplicable al Cibercrimen) se completará en 2016.

Manual de Tallin 2.0 se completará en 2016

Destacados académicos y profesionales del Derecho Internacional de todo el mundo se reunieron en Estonia esta semana para discutir las secciones del nuevo Manual de Tallin 2.0 (documento). Los expertos legales se reunieron para seguir la redacción de una edición sustancialmente ampliada y actualizada del manual sobre la aplicabilidad del derecho internacional sobre el ciberespacio, el quinto campo de batalla. Afirman que el Manual de Tallin 2.0 está en camino de ser terminado y sería publicado en el segundo semestre de 2016.

El Manual Tallin 2.0 es útil en el derecho internacional aplicable a la guerra cibernética. Su objetivo es ofrecer orientación en la aplicación de las normas internacionales vigentes en el ámbito cibernético y se basa en el consenso de un grupo internacional de expertos legales.

"Nuestro enfoque tiene que ser práctico, cómo las leyes internacionales vigentes, tratados y normas que regulan las actividades en el ciberespacio" explicó el profesor Michael Schmitt, Director del proyecto del Manual de Tallin.

"Durante esta sesión, el material más difícil resultó ser el derecho internacional sobre los derechos humanos que rigen las actividades en el ciberespacio" destacó Liis Vihul, redactor del Manual de Tallin y responsable de OTAN Cooperative Cyber Defence Centre of Excellence. Se discutieron las normas internacionales de derechos humanos que se aplican en el ciberespacio, tales como la recolección de metadatos y cómo el estado puede violar los derechos del individuo y bajo qué circunstancias un estado estaría autorizado en participar en tales actividades.

El proceso de desarrollo del Manual de Tallin es financiado, organizado y facilitado por OTAN Cooperative Cyber Defence Centre of Excellence.

Cristian de la Redacción de Segu-Info

jueves, 15 de octubre de 2015

Determinar extensión de un fichero mirando las cabeceras

Seguramente te habrá ocurrido que en determinadas ocasiones quisiste ejecutar un archivo desconocido o que parecía corrupto, que fue hecho en otro sistema operativo, que tenía una extensión modificada o directamente que no tenía ninguna.







En esta entrada desarrollaremos las estructuras básicas de un archivo con extensión y función desconocida. El objetivo principal será entender de qué forma ejecutar o poder leer un archivo no reconocido por el sistema operativo, identificando algunos patrones como las cabeceras.
Este tipo de proceso es muy frecuente cuando se analizan los comportamientos de códigos maliciosos, ya que muchas veces se descargan archivos sin extensión que luego son transformados en una segunda etapa de ejecución, o directamente guardan configuraciones para personalizar una infección en una muestra.
Como vemos en la siguiente imagen, este es un claro ejemplo de error que se da cuando el archivo no corresponde a la estructura de la extensión involucrada:
En la informática forense se utiliza la esteganografía, una técnica anti forense que intenta lograr que la información contenida quede almacenada de manera imperceptible. Las siguientes técnicas resultan muy útiles, ya que es posible que en muchos casos se localicen archivos que puedan aportar un valor a la investigación: ya sea por encontrar información oculta o intentando descubrir pruebas que hayan tratado de camuflarse, ayudarán a entender el modo en que ocurrió el incidente de seguridad.

Herramientas para analizar ficheros ofimáticos online


Listado gentileza de SecurityByDefault.com:


Herramientas para analizar ficheros ofimáticos offline


Podemos usar algunas herramientas para detectar y analizar virus de Macros:


 






 Formatos Soportados:

  • Word 97-2003 (.doc, .dot)
  • Word 2007+ (.docm, .dotm)
  • Word 2003 XML (.xml)
  • Word MHTML, aka Single File Web Page (.mht)
  • Excel 97-2003 (.xls)
  • Excel 2007+ (.xlsm, .xlsb)
  • PowerPoint 2007+ (.pptm, .ppsm)
 Ejemplo:


Resultados:
  • OLE: the file type is OLE, for example MS Office 97-2003
  • OpX: the file type is OpenXML, for example MS Office 2007+
  • XML: the file type is Word 2003 XML
  • MHT: the file type is Word MHTML, aka Single File Web Page (.mht)
  • ?: the file type is not supported
  • M: contains VBA Macros
  • A: auto-executable macros
  • S: suspicious VBA keywords
  • I: potential IOCs
  • H: hex-encoded strings (potential obfuscation)
  • B: Base64-encoded strings (potential obfuscation)
  • D: Dridex-encoded strings (potential obfuscation)
  •   officeparser (proyecto Open-Source escrito en  Python 2.x)
Ejemplo de uso:


officeparser.py --extract-macros
Formatos Soportados:
  • Word 97-2003: Si
  • Excel 97-2003: Si
  • PowerPoint 97-2003: No
  • Word/Excel/PowerPoint 2007+: Si

Analizando archivos de forma manual

Llegado el caso, podemos estudiar el archivo mediante su firma hexadecimal y deducir qué tipo de extensión posee para saber, luego, con qué tipo de aplicación intentar ejecutarlo o de qué manera  poder leerlo.
Existen varias aplicaciones que nos facilitarán este trabajo, sin embargo en un principio analizaremos los códigos hexadecimales en forma manual, para que se comprenda mejor el proceso.
En primer lugar, utilizaremos algún editor hexadecimal como es HxD, que contiene una interfaz sencilla, se puede ejecutar desde una versión portable, es gratuito y de ligeros consumos de recursos.
Por otra parte, también utilizaremos distintos tipos de archivos para investigar su encabezado, como por ejemplo alguna imagen, archivos de audio, video, comprimidos y de sistemas operativos como Linux.
  • Archivos de ofimática

Veamos el primer ejemplo. Se trata de un archivo que al parecer no posee extensión; sin embargo, como podemos observar en la imagen, su cabecera comienza con “00 CF 11 E0”. Esta es común para los archivos de ofimática, como es el caso de los famosos archivos de texto con extensión “.DOC”. En consecuencia, podemos discernir que se trata de uno de este tipo tan utilizado.
En la siguiente tabla podremos encontrar algunas de las cabeceras (headers) más utilizadas, indicando el tipo de extensión correspondiente.
Tipo de ArchivoCabeceraEn ASCII
.ZIP50 4B 03 04PK
.RAR52 61 72 21Rar!
.TAR1F 8B 08 00
.TGZ1F 9D 90 70
.DOCD0 CF 11 E0ÐÏ.à
.XLSD0 CF 11 E0
.PDF25 50 44 46%PDF
.WMV30 26 B2 75
.FLV46 4C 56 01FLV
.BMP42 4D F8 A9/ 62 25 / 76 03BM, BMp% , BMv
.GIF47 49 46 38 39 61 / 37 61GIF89a GIF87a
.ICO00 00 01 00
.JPEGFF D8 FF E0 / FEJFIF
.PNG89 50 4E 47PNG
.SFW43 57 53 06 / 08Cws
.MP349 44 33 2E /03ID3
.EXE4D 5A 50 00 /90 00MZP / MZ
.DLL4D 5A 90 00MZ
Linux bin7F 45 4C 46ELF
  • Archivos comprimidos

En este caso, si analizamos las cabeceras podemos saber qué tipo de archivo es y además, por ejemplo, si está protegido con contraseña. En esta caso vemos que en el Offset 0000 tenemos el valor “50 4B 03 04” y en ASCII los strings de PK, indicándonos que coincide con la estructura de un archivo de extensión “.ZIP”.
En caso de que no encuentres la cabecera que buscas en la tabla anterior, puedes intentar conseguirla desde la siguiente lista pública  que se encuentra en Wikipedia y te proporcionará una mayor cantidad de patrones.

Utilizando herramientas, la manera más sencilla

La segunda opción para desenmascarar archivos es utilizar alguna herramienta. Podría ser una aplicación que se ejecute en forma local como TrIDNet, Locate Opener, Smart File Advisor o Identify!, o aprovechar algún servicio en Internet que realice un estudio de manera automática, indicando de qué archivo se trata o cuál sería la extensión más probable (como se puede advertir en la imagen inferior).
Como es de esperarse, esta última opción no es la recomendada para estudiar archivos de tamaño elevado.
De forma local, podrás utilizar alguna aplicación de las mencionadas con tal fin. A modo de ejemplo veremos de qué manera sencilla deberás correr la aplicación de TrIDNet.
Una vez bajada e instalada la aplicación, debemos también instalar sus últimas firmas (actualizadas al 30/09/2015), lo que nos permitirá reconocer más de 6.000 diferentes patrones en cabeceras de archivos.
Seleccionando el objeto a estudiar, y haciendo clic en la casilla de “Analizar!”, obtendremos los resultados deseados en cuestión de segundos, indicándonos en este caso la probabilidad más alta por los patrones encontrados:

Como vemos en la imagen superior, este software detectó tanto la extensión de un archivo de audio como es el .MP3, como de uno de ofimática como es la extensión .DOC.

domingo, 11 de octubre de 2015

Tutorial: Metadata Analysis (ING)

Most image files do not just contain a picture. They also contain information (metadata) about the picture. Metadata provides information about a picture's pedigree, including the type of camera used, color space information, and application notes. •Finding Metadata

•Extracting Metadata

•Metadata Types (File, EXIF, Maker Notes, IPTC, ICC Profiles, XMP, PrintIM, and other records)

•Advanced Analysis

•Caveats

Finding Metadata

Different picture formats include different types of metadata. Some formats, like BMP, PPM, and PBM contain very little information beyond the image dimensions and color space. In contrast, a JPEG from a camera usually contains a wide variety of information, including the camera's make and model, focal and aperture information, and timestamps.

PNG files typically contain very little information... unless the image was converted from a JPEG or edited with Photoshop. Converted PNG files may include metadata from the source file format.

Extracting Metadata

Viewing metadata requires extracting the information from the file. There are plenty of open source, free, and commercial solutions available. Some of these only support one file type (e.g., JPEG-only), while others support many file formats. In addition, different programs may support different types of metadata.

A few examples of available image metadata tools: •Exiv2 is an open source tool that decodes Exif, IPTC, and XMP metadata. (See Metadata Types for a description of these formats.) This command-line utility is provided as an executable for Windows, or source code for Linux and Mac.

•ExifTool by Phil Harvey is one of the most powerful command-line metadata extraction tools available. It supports hundreds of different file and metadata formats -- including many that are manufacturer-specific. The entire tool is well-documented and written in Perl; it works very well under Linux and Mac, but could be difficult for Windows users who do not have Perl installed.

•Adobe Photoshop is a commercial application that includes an XMP viewer. In Photoshop CS5, it is under File → File Info. While not as powerful or as complete as Exiv2 and ExifTool, Adobe's viewer does provide the ability to decode XMP, IPTC, Exif, and other types of metadata in a graphical interface.

•Preview Inspector. The default Apple Mac OS X picture viewer is called Preview. Preview contains an 'Inspector' to view metadata. This tool displays a small fraction of the available metadata and can provide misleading analysis results. Do not use Preview Inspector for any official work.

•Microsoft Windows Photo Viewer. The default photo viewer under Windows 7 and Windows 8 contains a 'properties' option that lists metadata. However, this tool displays fictional metadata fields that do not exist in the file, omits most fields that do exist, rewrites some metadata values, and renames some of the fields that it displays. Do not use Windows Photo Viewer for any metadata analysis.

There are also plenty of online web sites where you can upload a picture to see the metadata. Virtually all of them use ExifTool or Exiv2 as the back-end data extractor.

FotoForensics uses ExifTool for metadata extraction. In some situations, the ExifTool results are augmented with additional information identified by tools provided by Hacker Factor.

Metadata Types

There are many different types of metadata. Some types are only generated by cameras. Other types are created by specific applications. And a few types of metadata can come from anywhere. The most common types of metadata you are likely to encounter include File, EXIF, Maker Notes, IPTC, ICC Profiles, XMP, PrintIM. However, there are many other types of metadata records.

Common Metadata Blocks and Likely Sources

From Cameras

From Applications

From Either

MakerNotes

PrintIM ICC Profile

IPTC

Photoshop

XMP File

EXIF

JFIF

APP14

File

The file metadata describes the image itself. This includes the type of image (e.g., JPEG or PNG), internal formats, dimensions, and colors. If there is a comment in the file's header, then it is included here. Most digital cameras do not include comments, so the presence of a comment likely indicates that an application processed the image.

EXIF

The Exchangeable Image File format (commonly called Exif or EXIF) is typically used by camera manufacturers to identify information about the camera's settings used for the photo. It typically includes timestamps, camera make/model, lens settings, and more.

For example, this bookshelf picture contains the following EXIF data:

EXIF

Make Hewlett-Packard

Camera Model Name HP PhotoSmart 618 (V1.10)

Orientation Horizontal (normal)

X Resolution 72

Y Resolution 72

Resolution Unit inches

Y Cb Cr Positioning Centered

Exposure Time 1/60

F Number 2.7

ISO 100

Exif Version 0210

Date/Time Original 2007:05:28 12:56:08

Components Configuration Y, Cb, Cr, -

Compressed Bits Per Pixel 1.6

Shutter Speed Value 1/64

Aperture Value 2.8

Exposure Compensation 0

Max Aperture Value 4.0

Subject Distance 0.72 m

Metering Mode Multi-segment

Light Source Unknown

Flash Fired

Focal Length 7.7 mm

Flashpix Version 0100

Color Space sRGB

Exif Image Width 800

Exif Image Height 600

Image Width 96

Image Height 72

Bits Per Sample 8 8 8

Compression Uncompressed

Photometric Interpretation RGB

Strip Offsets 1750

Samples Per Pixel 3

Rows Per Strip 72

Strip Byte Counts 20736

Planar Configuration Chunky

This data identifies the camera's make (Hewlett-Packard) and model (HP PhotoSmart 618). The photo was taken on 28-May-2007. And the subject (the bookshelf) was about 0.72 meters in front of the camera (about 2 feet 4 inches away).

This metadata also gives information about the image itself. For example, it says it uses the standard RGB (sRGB) color space and should be 800x600. When a picture is cropped or scaled, the metadata may not be updated. If the picture is not 800x600, then at least the dimensions of the prior source are known.

Some cameras, such as smartphones, may also include GPS information as a subset of the Exif record. Although this is rare to come across on the web, if it exists then it will be decoded in the Exif block. (ExifTool will also decode this under a "Composite" heading.)

Maker Notes

Besides the standardized Exif information, cameras may also include manufacturer-specific extensions. In general, pictures that do not originate from a camera will not include Maker Notes.

IPTC

The International Press Telecommunications Council (IPTC) standardized the metadata format used for recording information related to press images. Typically this includes the language set (usually UTF-8) and a version number. However, pictures intended for the mass media, such as those provided by Reuters and Getty Images, will usually include attributions such as the photograph's byline, description, location, and much more.

Most digital cameras do not generate IPTC information. Moreover, few cameras offer a means to enter in the photographer's name, photo description, and other details. (The few cameras that do support it make it extremely difficult to the point that virtually nobody uses this in-camera functionality.)

The presence of IPTC information, particularly with detailed text fields, indicates that the file was modified. At minimum, IPTC information was added by software after the photo was created. While this modification does not indicate that the picture was edited or modified, it does indicate that the file, as a whole, is not a straight-from-the-camera original.

ICC Profile

The International Color Consortium defined a color-space transformation system using a set of ICC Profiles. These are used to ensure that colors display the way they were intended.

Although the color "red" has a specific RGB value (255,0,0), it may display differently on different monitors. This is most apparent at TV stores, when they have a wall of television sets all showing the same thing, but some TVs look brighter than others. The same problem occurs when printing; red on the monitor may not look the same as the red produced by an inkjet printer.

Color profiles are used to convert between the raw RGB values and the intended color tone. Technically, two ICC Profiles are required. The first one converts the raw color to a common colorspace, such as XYZ or L*a*b. The second profile converts from the common space to the display device (monitor or printer). When a picture contains an ICC Profile, it includes the first half of this transformation: converting from the raw color values to the common colorspace. When rendered for the screen or printing, a second color profile is applied -- the one for your monitor or printer. (Of course, this all assumes that you are using sofware that supports color profiles, which is usually not the case. Usually color profiles are just ignored metadata.)

With the exception of a few high-end cameras, cameras do not generate ICC Profiles. ICC Profiles are added by applications as the file is edited or converted. Many applications -- including Adobe Photoshop -- will default to adding a color profile to the picture.

Most profiles are generic and not hardware specific. For example, "Adobe RGB (1998)" is the Adobe standard and implies that an Adobe software package was used, while "IEC 61966" (also called "sRGB") is the standard color profile used by everyone else. (IEC is the International Electrotechnical Commission, a standards organization.)

Besides colorspace information, the ICC Profile will include the primary platform. This typically represents the system used to add in the profile. If you see "Apple Computer", then the image was likely edited on a Mac. If you see "Microsoft", then it likely came from a Windows PC. However, do not assume that "Hewlett-Packard" means an HP-computer was used; many platforms, including non-HP systems, use the HP color profiles.

ICC_Profile

Profile CMM Type appl

Profile Version 2.2.0

Profile Class Input Device Profile

Color Space Data RGB

Profile Connection Space XYZ

Profile Date Time 2003:07:01 00:00:00

Profile File Signature acsp

Primary Platform Apple Computer Inc.

CMM Flags Not Embedded, Independent

Device Manufacturer appl

Device Model

Device Attributes Reflective, Glossy, Positive, Color

Rendering Intent Perceptual

Connection Space Illuminant 0.9642 1 0.82491

Profile Creator appl

Profile ID 0

Red Matrix Column 0.45427 0.24263 0.01482

Green Matrix Column 0.35332 0.67441 0.09042

Blue Matrix Column 0.15662 0.08336 0.71953

Media White Point 0.95047 1 1.0891

Chromatic Adaptation 1.04788 0.02292 -0.0502 0.02957 0.99049 -0.01706 -0.00923 0.01508 0.75165

Red Tone Reproduction Curve (Binary data 14 bytes)

Green Tone Reproduction Curve (Binary data 14 bytes)

Blue Tone Reproduction Curve (Binary data 14 bytes)

Profile Description Camera RGB Profile

Profile Copyright Copyright 2003 Apple Computer Inc., all rights reserved.

Within the ICC Profile is the "Profile Date Time" field. This indicates when the profile was initially generated. This does not indicate when the profile was attached to the file. The Profile Date Time field must predate the picture's last save. In most cases, the ICC Profile's date predates the photo by years since it was generated long before the photo was captured.

In some cases, you may also see a profile description that includes the type of device, such as "DELL 2001FP" or "iMac" -- suggesting the hardware used by the person who edited the picture. The profile may be from the manufacturer or specifically created when the user tuned the monitor. For example, a Mac user who calibrates the display will create a new Apple ICC Profile with a date that identifies when the recalibration occurred.

Although many graphics programs will add in color profiles, few will alter the color profile without an explicit action by the user. This means that a picture saved using Apple's iPhoto may include an Apple ICC Profile. If Photoshop edits the same picture on a Windows computer, then it will likely retain the Apple ICC Profile and not reflect the Windows system or Adobe software.

XMP

Not willing to use the existing, standard metadata formats, Adobe created their own Extensible Metadata Platform (XMP). This is an XML (text) block that replicates much of the information found in existing Exif and IPTC records.

XMP is almost exclusively generated by Adobe products. (Exiv2 and Apple's iPhoto and Quicktime programs do generate XMP records, but they are nowhere near as extensive as the ones generated by Adobe applications. Also, Exiv2 and Apple XMP records will lack the "Adobe" name in the metadata.) If an XMP record is present, then it will usually contain a large amount of information about the image. This can include:

•Exif data. The original Exif data will be replicated here. If the picture was cropped or resized, then there may be a disparity between the Exif, Maker Note, and XMP information.

•Tool identification. XMP typically includes the name and version of software that was used to edit the file and when the edits occurred.

•History. XMP records may include a summary of modifications, such as a record of each time the file was saved or converted. This does not specify what happened; it only indicates that something happened. A long history of edits implies that the image was manipulated.

•Sources. When multiple pictures are combined, the XMP block will record this as multiple sources. This does not indicate what was combined; it only indicates that something happened. In addition, if a source is included but then deleted (or included but not used), then the XMP record will show the additional source but not indicate the removal.

The presence of an XMP block usually indicates a resave by an Adobe product. Adobe products automatically modify images, which can result in rainbowing and sharpening along high-contrast edges. These show up during an Error Level Analysis.

PrintIM

The Epson Print Image Matching (PrintIM) data is a proprietary block that provides color enhancement information for Epson printers. This data plays the same role as an ICC Profile.

The creation of the PrintIM metadata block appears to be exclusive to digital cameras. While some graphics editors will strip out the PrintIM metadata when the image is saved, other programs will retain the metadata. This means that the presence of a PrintIM record strongly suggests that the image originated from a digital camera, but this version of the image may not necessarily be a camera-original image.

Other Records

There are plenty of other types of metadata records. Some typically contain nothing more than a version number (e.g., the JPEG File Interchange Format -- JFIF), others contain thumbnail images, and still others contain additional information about the picture or file format (e.g., 8BIM or Photoshop records).

FotoForensics uses ExifTool to extract metadata. ExifTool generates a "Composite" block at the end of each extraction. The composite is not metadata found in the file. Rather, this is ExifTool's high-level summary. It includes the actual image size as well as camera and GPS information from the metadata.

Advanced Analysis

Although metadata does not identify the exact changes made to the picture, it can be used to identify attributes, inconsistencies, additional sources, edits, timelines, and a rough sense of how the image was managed. In effect, metadata provides clues about an image's pedigree.

There is no standard for a required set of metadata to exist in any particular picture. However, known tools generate known metadata fields; some types of metadata are generated during a save and others are appended to existing data. Some may be updated, while others may be retained or removed. By understanding the metadata and when it can appear, an investigator can develop a timeline and identify the order of changes made to the file.

Caveats

Metadata is an invisible component to a picture. While not required for rendering the picture, it does exist in the image file. Although metadata can provide a wealth of information about a photo, it also has a number of limitations. These include: •Timestamps. Many cameras and computers do not regularly synchronize clocks. As a result, times can drift. If the camera is transported across time zones, then the local time can be significantly different from the camera's clock. Also, it is common for metadata timestamps to omit time zone information.

•Misleading. Metadata consists of field-value pairs. The field defines the value's purpose. Don't be confused by a field that is vendor-specific. For example, Kodak defined a large number of metadata extensions. Each of these records will have "Kodak" in the field name. That only means that the format was defined by Kodak, not that the data came from a Kodak camera. The value of these fields may identify a non-Kodak system.

•Inconsistent. Not all manufacturers follow the industry standards. Many Kodak cameras set the 'Make' to 'Digital Camera' rather than 'Kodak'. Some manufacturers use the same firmware on multiple camera models, so the 'Model' may contain a list of cameras (and the list may not even include the actual camera model). A few camera models leave all of this information blank. Since many cameras have unique quirks, an inconsistent EXIF field may be due to a specific camera make/model and not an indication of tampering or modification.

•Stripped. Resaving an image may strip some or all of the metadata information. Some people strip metadata to obscure the image's origins. However, this really raises questions when a picture is supposed to be original, or has been processed by an application that should always leave metadata. In addition, stripping metadata can impact how the image is rendered.

•Hosting. Many online picture sharing sites strip out metadata, including Facebook, Twitter, and Imgur. Other sites, like Photobucket and Google's Picasa, may alter the metadata. Even if the picture was unaltered when it was uploaded, the hosting site may have stripped out metadata. As a result, the metadata may not identify if it came from a digital camera.

•Faked. Although uncommon, people who want to create fake photos (such as pictures of UFOs, ghosts, and dead celebrities) may attempt to edit the metadata. Since many metadata fields are plain text and not part of any cryptographic checksum, simple edits to the metadata may not be detectable.

•Residues. Adobe has a known problem with metadata. If you load a photo into Photoshop, paste over it with a different photo, and save it, then the new photo will retain the original metadata. This can generate misleading information since the metadata will not match the new picture.

•Scanners. Pictures from scanners may appear to come from a camera or an application, depending on how it was scanned. If the picture was captured using internal firmware from a standalone scanner, then it will appear more like a camera. However, scanners accessed through a computer program, such as Photoshop, will produce images that appear to come from an application.

Metadata analysis is one of many different types of analysis. The interpretation of results from any single analysis method may be inconclusive. It is important to validate findings with other analysis techniques and algorithms.

miércoles, 2 de septiembre de 2015

Radiografía de un analista de seguridad de la información.

Radiografía de un analista de seguridad de la información. Cinco capacidades claves y tres declaraciones básicas.

Introducción

Anota el académico Dans (2015) en una columna reciente de su blog: “muchas veces lo importante es precisamente entender qué es lo que no se sabe, por qué, y cómo llevar la discusión a ello de una manera que resulte suficientemente atractiva para los alumnos y para la necesaria motivación del profesor. (…)”, una frase que pone de manifiesto la postura que todo analista de seguridad de la información debe tener frente a su maestra la inseguridad de la información.

Muchos analistas, en el ejercicio de su práctica, saben que deben dar respuestas a las preguntas permanentes de sus clientes, comprender de primera mano los ataques y estrategias de los atacantes, y dar cuenta de las medidas que se deben tomar para proteger los activos de información. Cuando un analista no tiene respuestas entra en una encrucijada personal y profesional, que afecta su estabilidad psicológica y su reputación, algo que genera una inestabilidad interna que resquebraja el balance de esta persona.

En este sentido, un analista de seguridad de la información o de ciber seguridad deben estar formado frente al contexto del mundo actual: volátil, incierto, complejo y ambiguo (Johansen, 2009), allí donde de manera sistemática su maestra la inseguridad le hace ver qué es lo que no sabe y lo motiva entender que la lucha constante de ataque y defensa (Mazurczyk y Rzeszutko, 2015), es el ejercicio natural que le corresponde explorar para reconectar cada vez los puntos del escenario donde actúa.

Así las cosas, un analista de seguridad de la información, debe desarrollar al menos cinco (5) capacidades claves que le permitan no solamente entender la realidad y los retos de los ataques y sus atacantes, sino estar preparado para los movimientos disruptivos que supone el nuevo ecosistema donde viven y operan las organizaciones modernas y así mismo, alinear sus reflexiones con tres reglas básicas de la protección personal: pensar como el atacante, mantener un bajo perfil y siempre tener una ruta de escape (Wilson, 2012), como fuente de acciones prácticas que revelen sus capacidades analíticas claves.

Figura 1. Radiografía del analista de seguridad de la información.

Cinco capacidades claves de los analistas de seguridad de la información (Adaptado de: Axon, Friedman y Jordan, 2015)

1. Comprenden la complejidad

Esto significa que el profesional de seguridad de la información deberá desarrollar la habilidad de pensar de forma sistémica, viendo su entorno como sistemas interdependientes, con el fin de identificar tendencias e indicadores de cambios disruptivos. Para ello es necesario que su mente tenga la capacidad de abrirse para reconocer contradicciones, inestabilidades y rarezas para construir escenarios posibles que verifiquen amenazas que aún no se anticipan en el horizonte.

2.  Actúan estratégicamente

Esta capacidad demanda del analista estar preparado para ajustar sus estrategias vigentes para capturar oportunidades emergentes o desafíos inesperados. Lo anterior supone, claridad de la incertidumbre estructural identificada, para actuar de forma efectiva conectando nuevos puntos a su escenario actual y así, responder y anticipar movimientos de la inseguridad de la información, que se esconden en sus manifestaciones asimétricas.

3. Mantienen redes de contactos

El analista de seguridad de la información en la medida que desarrolla y participa de comunidades abiertas especializadas en temas de seguridad de la información, así como de aquellas que le permitan cultivar relaciones no sólo dentro, sino más allá de los límites de la empresa, lo habilita para potenciar nuevas formas de pensar y entender su entorno, lo cual aumenta significativamente su espectro de actuación y sobre manera redes de conocimiento desconocidas y generosas en propuestas, frecuentemente inusuales, que quiebran sus propios modelos de pensar.

4. Desarrollan adaptabilidad personal

El cargo de analista de seguridad exige una alta dosis de resiliencia, esa virtud que le permite a la persona mantenerse de pie y centrada en su propósito, aun las circunstancias externas lo golpee y traten de disminuirlo. Esto supone que la persona reconoce que aquellos enfoques que funcionaron en el pasado, no necesariamente van a ser operacionales en el presente, es decir, ver la realidad a través de unos ojos renovados que permitan identificar y aprovechar nuevas oportunidades en medio de las contradicciones.

5. Cultivan el aprendizaje ágil

El analista de seguridad que dice que terminó de aprender, será un objetivo sencillo para la inevitabilidad de la falla. En este sentido, el aprendizaje ágil, como la búsqueda permanente de quiebres conceptuales y prácticos en su vida diaria es la práctica clave que cualquier analista debe desarrollar si quiere mantenerse vigente frente a los cambios inesperados y amenazas emergentes en el contexto actual. Lo anterior, supone experimentar con aproximaciones y enfoques novedosos, generalmente usando prototipos rápidos, que le permiten capitalizar con celeridad las lecciones aprendidas y por aprender.

Estas cinco capacidades establecen un círculo virtuoso para el analista de seguridad, que le permiten asegurar un conjunto de habilidades y prácticas para aumentar su capacidad de análisis y reconocimiento del entorno, con el fin de anticipar la asimetría de las actuaciones de la inseguridad de la información. Si bien, no podrá acertar en todos los casos, se mantendrá cerca de las inestabilidades estructurales que ocurren, buscando aquellas relaciones relevantes para dar cuenta de sus reportes y propuestas frente al ejercicio de la protección de la información.

Tres declaraciones básicas para los analistas de seguridad de la información (Adaptado de: Wilson, 2012)

Las siguientes declaraciones, extraídas del mundo de la seguridad física y la protección personal, nos permiten articular las habilidades de análisis y capacidad de respuesta de los analistas de seguridad de la información, en acciones concretas que quiebren la falsa sensación de seguridad en las organizaciones.

1. Pensar como el atacante.

Esta declaración demanda ponerse en los zapatos del contrario, entender la lógica de su razonamiento, cultivar la mirada del que busca puntos débiles, zonas grises, contradicciones normativas e implementaciones complejas con el fin de articular posibilidades de acceso y uso no autorizado de sistemas de información, datos sensibles o afectación de la reputación de una persona natural o jurídica.

2. Mantener bajo perfil.

Esta expresión, leída en clave de seguridad de la información, implica prudencia y responsabilidad en el tratamiento de la información empresarial, así como de la personal en redes sociales o medios masivos. La información lleva la impronta de la organización, su conocimiento y el esfuerzo de muchas personas la cual, cuando se sobreexpone en medio del ecosistema donde opera la empresa, genera sensaciones y emociones que se pueden traducir en actividades de inteligencia e ingeniería social que terminen afectando y comprometiendo aquello que hace la diferencia y moviliza el modelo de generación de valor empresarial.

3. Tener una ruta de escape.

Esta declaración supone en el contexto del mundo real, tener rutas alternas y ubicaciones seguras ante cualquier situación de excepción. En el mundo de la seguridad de la información, su lectura sugiere tener sitios de operación remotos, copias de seguridad externas, procedimientos de acceso y control excepcionales, mecanismos de destrucción adecuados y dobles autenticaciones que aumenten la complejidad del acceso ante una pérdida o fuga de la información.

Considerar estas tres declaraciones como fundamento de las actuaciones prácticas del analista de seguridad de la información, permite reforzar el ejercicio de la mente del atacante, como quiera que entendiendo el entorno interconectado donde la organización opera, es capaz de replicar el razonamiento del contrario, con la finalidad no solamente de mejorar la resistencia de la organización frente a los ataques, sino las posibles rutas de acceso conocidas o menos evidentes desde la visual de un agresor.

Reflexiones finales

Enfrentar la realidad interconectada de las organizaciones y sus relaciones con el nuevo ecosistema digital, es comprender que una brecha de seguridad de la información o ciber ataque, no solo causa pérdidas económicas, sino impactos psicológicos que afectan imaginarios sociales que cambian el rumbo de las decisiones personales y colectivas respecto de una realidad concreta (Vaidya, 2015).

En este sentido, los analistas de seguridad de la información se convierten en custodios de una experiencia corporativa de protección de la información, que motiven comportamientos asertivos respecto del tratamiento de la información, los cuales deben estar articulados desde la lectura virtuosa de las cinco capacidades previamente comentadas.  

Comprender la complejidad, actuar estratégicamente, mantener una red de contactos, desarrollar adaptabilidad personal y cultivar el aprendizaje ágil, son capacidades claves para acelerar y definir los escenarios claves que permitan a la organización recomponer su lectura activa de las amenazas del entorno y desarrollar acciones preventivas que anticipen acciones no autorizadas que puedan afectar su modelo de generación de valor.

Así las cosas, si bien no es posible saber que situaciones inesperadas van a ocurrir, la organización deberá responder de manera ágil y consistente para dar cuenta del momento de crisis que se presenta. En este sentido, las tres declaraciones prácticas informan las condiciones y estrategias que se siguen frente a la huella del posible atacante, movilizando de manera sencilla y ordenada aquellas vulnerabilidades identificadas y el cierre de las mismas, la información que se ha comprometido y sus impactos, así como las rutas alternas que la empresa tiene para mantener su operación.

Muchas veces se espera que el analista de seguridad de la información pueda predecir el futuro o averiguar las intenciones de los posibles atacantes, sin embargo la realidad nos ilustra que el ejercicio siempre es limitado, que las variables son innumerables y que la capacidad de análisis no es la esperada frente al potencial de información disponible. No obstante, el analista sabe que más allá del pronóstico e indicaciones que debe indicar, es la confianza que debe construir y comunicar para crear un lenguaje que empareje la incertidumbre del entorno y la preparación empresarial para comprender y enfrentar la inevitabilidad de la falla.

Jeimy Cano, Ph.D, CFE

jueves, 27 de agosto de 2015

¿Cómo funciona la tecnología de reconocimiento facial?

 

 

En esta nueva era de equipos portátiles, biometría y autenticación en varias fases, cada vez hay más probabilidades de que tu rostro se convierta en tu identificador digital para autenticarte cuando estás online. Pero, ¿cómo funciona la tecnología de reconocimiento facial y cuáles son los problemas que hay que tener en cuenta?

No tan nuevo

La tecnología de reconocimiento facial no es precisamente un fenómeno nuevo, ni tampoco lo es la biometría, a pesar de todos los titulares recientes. Los primeros experimentos con esta tecnología se remontan a la década de 1960, aunque, en aquel entonces, la investigación para comenzar con su desarrollo se mantuvo en secreto.

Si bien hoy en día la ciencia detrás del software es mucho más matemática, automática y cuenta con el respaldo de los potentes equipos sofisticados actuales, los primeros modelos requerían un mayor nivel de intervención humana y, por lo tanto, eran automatizados solo en forma parcial.

Además, su desarrollo era mayormente de nicho. Nadie en aquel entonces podría haberse imaginado que, medio siglo después, el software de reconocimiento facial tendría tanta difusión, ya sea desde el punto de vista de la seguridad (lo utilizan la policía, los profesionales de seguridad y el gobierno), o como un beneficio para el consumidor (para reconocer a la gente en una cámara o como medio para proteger un dispositivo con contraseña).


 

Aún en evolución

Aunque sin duda ya es algo común, el software de reconocimiento facial apenas está comenzando y le falta mucho para llegar a la cima.

Por ejemplo, Microsoft está utilizando la tecnología de reconocimiento facial para la autenticación en Windows 10; Apple aparentemente está buscando la manera en que los usuarios de iOS puedan compartir automáticamente las fotos con amigos “etiquetados”, mientras que tanto Facebook como Google han estado usando el reconocimiento facial para etiquetar amigos y encontrar fotos de uno mismo.

Por otra parte, unos profesores chinos afirman haber creado el primer cajero automático de reconocimiento facial del mundo, mientras que 30 iglesias en todo el mundo han estado utilizando el softwareChurchix” para saber quién va a misa.

A su vez, unos investigadores en Alemania estuvieron desarrollando una nueva tecnología de reconocimiento facial que puede funcionar en la oscuridad, lo que probablemente sea una señal del futuro de esta tecnología y que quizá demuestre que la película Minority Report (2002) de Tom Cruise puede no haber sido tan descabellada después de todo.

 

La situación actual

reconocimiento_facial

En los últimos años, el reconocimiento facial se ha empleado más que nada en aeropuertos, en las esquinas y en otras áreas públicas. Su uso en estos casos es relativamente sencillo: una cámara de video recopila las imágenes, que luego se transmiten a un sistema de vigilancia monitoreado por un trabajador manual.

El trabajador saca una imagen de un individuo determinado de la transmisión e intenta compararla con las personas presentes en la base de datos existente. Mediante el uso de un algoritmo informático, el sistema trata de identificar a alguien; para ello mide ciertos rasgos de su rostro, como la distancia entre sus ojos o el ancho de la nariz.

Dicho todo esto, aún hoy en día, el proceso dista mucho de ser simple y directo. Existen muchas cámaras que aún siguen grabando imágenes con una resolución muy baja, lo que hace que la identificación sea casi imposible. Además, los propios sistemas de vigilancia por video tienen poca tolerancia a los cambios de luz, las expresiones faciales o las imágenes capturadas en ángulos diferentes.


 

De 2D a 3D

Sin embargo, algunos avances son positivos. Por ejemplo, el cambio del procesamiento de imágenes de 2D a 3D ayudó a mejorar la identificación. Las imágenes ahora son capaces de recopilar una gran cantidad de información adicional basada en submililitros (o microondas) para muchos aspectos faciales, desde la estructura ósea hasta las curvas alrededor de la cuenca del ojo, la nariz y la pera. Esto ayuda a reconstruir la estructura del rostro y, en última instancia, mejora la identificación y la hace más precisa.

Por otro lado, el hecho de que el modelado en 3D tenga menos limitaciones en cuanto a la iluminación y los ángulos también es fundamental. Las imágenes se pueden convertir fácilmente de 3D a 2D cuando es necesario, sin perder ningún dato o identificador clave.

En caso de que el reconocimiento facial no funcione, varios fabricantes ya están trabajando en la biometría de la piel para proporcionar más datos que faciliten la identificación. Este método analiza una imagen tomada de un sector de piel y la divide en fragmentos más pequeños para poder medirla. El sistema luego puede distinguir las líneas, los poros y la textura real de la piel.

El software aparentemente es capaz de identificar las diferencias entre gemelos idénticos, lo que aún no es posible mediante el uso de tecnología de reconocimiento facial por sí sola, aunque también presenta otros problemas como el uso de anteojos y lentes de sol, el cabello sobre la cara, la iluminación y la resolución de la imagen.


 

Próximos desafíos

google-glass

Al parecer, el reconocimiento facial se encuentra en un auge inevitable, pero todavía se enfrenta a unos cuantos desafíos. Las dificultades técnicas probablemente se vayan disipando a medida que más fabricantes trabajen en lesto, aunque la eficacia de identificación es un gran dilema: la BBC recientemente informó que la policía del Reino Unido solo logró identificar a una persona de 4.000 imágenes tomadas de los disturbios de Londres en 2011.

Ahora también existe el problema de la privacidad, la seguridad y la transparencia de los datos. Muchas personas consideran que los dispositivos portátiles como Google Glass son una invasión a su privacidad y hay una creciente sospecha de los datos que Google, Facebook o Twitter, entre otros servicios, están recopilando sobre sus usuarios.

Un estudio reciente de First Insight reveló que más del 75 por ciento de los consumidores estadounidenses no compraría en un negocio con tecnología de reconocimiento facial para propósitos de marketing, y un estudio similar llevado a cabo por RichRelevance en el Reino Unido demostró que la mayoría de los compradores consideran “espeluznantes” a las tiendas que usan tecnología de reconocimiento facial.

Los expertos en seguridad dicen que esto destaca la necesidad de que exista una mayor transparencia sobre los datos que se recogen, y sobre la forma en que se almacenan y se protegen. Además, iniciativas como Privacy Visor, los anteojos que evitan el reconocimiento facial, sugieren que los usuarios finales podrían rebelarse contra los gigantes de Internet y el uso que hacen de los datos biométricos si no comienzan a dar este tipo de explicaciones en forma adecuada.

Otros también están empezando a considerar el asunto desde un punto de vista legal. Jennifer Lynch, abogada de Electronic Frontier Foundation, un grupo que se ocupa de los derechos a la privacidad, dijo recientemente a Bloomberg: “Los datos de reconocimiento facial se pueden recoger sin el conocimiento de la persona en cuestión. En cambio, es muy difícil que se le pueda tomar una huella digital sin su conocimiento”.

No importa de qué lado estés, hay algo que está claro: la tecnología de reconocimiento facial llegó para quedarse. Si bien trae muchos beneficios, hay cuestiones evidentes que se deben resolver

lunes, 17 de agosto de 2015

Hackean sistema de seguimiento de tobilleras de arresto domiciliario

Hackean sistema de seguimiento de tobilleras de arresto domiciliario

Las tobilleras de seguimiento que algunos delincuentes se ven obligados a usar después de haber sido sentenciados, ha sido hackeado en una de las conferencias de DefCon, lo que permitiría salir de la casa a un delincuente sin que nadie se percate del hecho.


El investigador de seguridad William "Amm0nRa" Turner demostró como la tobillera, fabricada por la compañía Taiwanese GWG International, puede ser manipulada después de conseguir una muestra a través del uso de ingeniería social contra la empresa.

Los sistemas de seguimiento más antiguos funcionan sobre líneas telefónicas y utilizan frecuencias de radio de proximidad con la tobillera. Los elementos de GWG utilizan GPS y frecuencias de radio de corto alcance para determinar la ubicación del usuario y una red celular para enviar esa información al sistema central de monitoreo.
Amm0nRa logró eludir la protección colocando la pulsera dentro de una jaula de Faraday, envolviendo la tobillera en papel aluminio (U$S 2), para bloquear la señal real y hacer que la pulsera se conectase a una red rogue, creada por él mismo. Esto le permitió captar el mensaje de advertencia que el dispositivo envía a la policía en caso de que la pulsera se abra. Luego sacó la tarjeta SIM del dispositivo, la puso en su teléfono y envió un mensaje a otro teléfono para averiguar el número asociado a la tarjeta SIM. Con esa información, fue capaz de usar un servicio online SMS Spoofing servicio para enviar un mensaje falso, especialmente diseñado y que informa a la policía que el delincuente está todavía en su casa.
Turner estuvo probando en un dispositivo particular, pero dice que hay muchos que funcionan de manera similar y tienen probablemente la misma vulnerabilidad.
Lamentablemente Amm0nRa no informó de sus hallazgos a la empresa debido a las malas experiencias que tuvo cuando trató de reporte vulnerabilidades en el pasado. Se pueden conocer más detalles sobre su investigación en las diapositivas de su presentación.


Fuente: Net-Security

viernes, 7 de agosto de 2015

Técnicas sencillas para el análisis de memoria en Android

En publicaciones pasadas vimos cómo podemos analizar la memoria volátil del equipo con LiME Forensics y Volatility para obtener las estructuras del sistema y aplicaciones en memoria y, consecuentemente, la información que estas guardan. Sin embargo, existen otras maneras más sencillas y rápidas para capturar los datos presentes en la memoria del dispositivo.

Recolección de datos en memoria

Una opción para la fácil recolección de datos consiste en la utilización del Android Debug Bridge (adb) para listar información referida a los procesos, conexiones de red, archivos de registro, etcétera. A través del comando adb shell <ps|netstat|logcat|backup|dumpsys>, el analista puede acceder la shell del equipo para volcar datos desde los archivos del sistema.

image-1

image-2

También es posible ver las diferentes asignaciones de memoria que afectan a una aplicación determinada, retornando información tanto de memoria Dalvik como de ART.

image-3

Una alternativa para la recolección de este tipo de datos es la utilización del Dalvik Debugging Monitor Server (DDMS) mediante el Android Device Monitor. Esta herramienta puede ser inicializada ejecutando el archivo <ruta_sdk>/tools/monitor.

Con ella podemos ver actualizaciones de la pila de memoria, causar la ejecución del GC, o realizar el seguimiento de las asignaciones de memoria entre los diferentes objetos activos. Igualmente podremos acceder a los mensajes generados por la aplicación y el sistema a través de LogCat, a las estadísticas de uso de red y al sistema de archivos presente en el dispositivo.

image-4

Un método simple para volcar el contenido de la memoria de un proceso en ejecución utilizando DDMS es crear un archivo HPROF. Para ello, solo necesitamos seleccionar el proceso y hacer clic en la opción “DUMP HPROF file”. De ser necesario, la creación de este archivo puede ser programada desde la aplicación mediante el método dumpHprofData().

image-5

Para analizar el archivo resultante es necesario convertirlo previamente a formato J2SE HPROF usando la herramienta <ruta_sdk>/platform-tools/hprof-conv. Lo anterior, solo si no hemos utilizado el Android Device Monitor embebido en Eclipse.

Finalmente, podremos analizar el volcado de memoria con la aplicación Eclipse Memory Analyzer Tool (MAT) o cualquier otro analizador de memoria de nuestra preferencia. Entre otras cosas, podremos analizar las cadenas de texto encerradas en objetos del tipo String que estén activos en memoria; para ello, podemos ingresar la consulta “select * from java.lang.String” en el Object Query Language studio de Eclipse MAT.

En la imagen que se presenta a continuación pueden observarse algunos de los mensajes enviados por un bot a su C&C mediante HTTP, como también pueden encontrarse fragmentos de mensajes SMS y de correo electrónico que aún permanecían en la memoria del terminal.

image-6

La gran desventaja del análisis de memoria con DDMS es que para acceder a ciertas estadísticas la aplicación debe poder ser depurada; es decir, su manifiesto necesita presentar la etiqueta android:debuggable con un valor booleano verdadero para indicar al sistema que abra un puerto de depuración. Para superar esta limitación, siempre es posible alterar el APK.

NOTA: Para leer más acerca de la depuración de memoria, dirigirse a la documentación para desarrolladores en Android.

Como vimos…

Obtener información en tiempo real de la memoria del equipo puede resultar un proceso extremadamente sencillo mediante las herramientas de análisis incluidas en el kit de desarrollo de la plataforma. La utilización de estas utilidades originariamente pensadas para la evaluación del rendimiento de aplicaciones se vuelve imprescindible en el análisis de códigos maliciosos cada vez más cambiantes.

La capacidad de recuperar archivos desde la memoria, datos en texto plano, historial de la navegación web, mensajes SMS, correos electrónicos, contactos, archivos APK y DEX instalados en el sistema, es esencial no solo para generar un perfil forense completo del equipo, sino también para analizar cómo cambian muestras de malware capaz de mutar dinámicamente.

lunes, 3 de agosto de 2015

Noticias del cibercrimen: cierre de foros, arrestos, condenas y sentencias

 

Por Stephen Cobb

En este momento, a la seguridad informática le vendría muy bien tener algunas buenas noticias, aunque más no sea para contrarrestar la gran cantidad de malas noticias sobre filtraciones de datos y vulnerabilidades de los sistemas. ¿Qué te parece ésta?: “Cierre de foro cibercriminal; se arrestan miembros de 20 países“. Lo mejor que tiene este titular es que no lo inventé yo; esto ocurrió en realidad hace poco en el mes de julio.

Por desgracia, como suele pasar con muchas buenas noticias, esta historia desapareció rápidamente de la primera plana, en parte debido a la mayor cantidad de noticias sobre filtraciones de datos (como los ataques a UCLA Health, AshleyMadison y la Oficina de Censo de los Estados Unidos) y vulnerabilidades (como la que provocó que Fiat Chrysler tuviera que relocalizar 1,4 millones de vehículos vendidos para actualizar el software). Afortunadamente, el cierre del foro cibercriminal Darkode que generó este título maravilloso no fue el único triunfo reciente en la lucha contra el uso indebido de los sistemas informáticos; por eso pensé que sería útil resumir todas las noticias recientes de esta índole en un mismo lugar.

Cierre de Darkode

Darkode era un foro que les facilitaba a los criminales comprar, vender e incluso alquilar herramientas para cometer delitos cibernéticos, así como los frutos derivados de tales delitos. Si alguien necesitaba un malware para infectar los equipos de las víctimas y robar información, podía comprarlo en Darkode o quizá simplemente alquilar una botnet de máquinas previamente infectadas, ya preparada para robar datos, enviar spam o realizar ataques de denegación de servicio. ¿Alguien necesitaba vender la información personal y los datos financieros robados de las víctimas? Darkode era el lugar preciso para hacerlo. Según el abogado estadounidense David J. Hickton:

De los aproximadamente 800 foros de delitos de Internet en todo el mundo, Darkode representaba una de las amenazas más graves para la integridad de los datos almacenados en las computadoras estadounidenses y del resto del mundo, y era el foro en idioma inglés más sofisticado para los hackers informáticos criminales a nivel global.

Básicamente, cualquier persona con inclinaciones criminales podía, gracias a Darkode, comenzar a cometer delitos cibernéticos, una actividad que ha ganado la fama de ofrecer grandes recompensas con riesgos más bajos que los delitos convencionales. Por ejemplo, los ladrones convencionales o los ladrones de bancos tienen una probabilidad mucho mayor de que los asesinen a disparos que quienes roban datos de tarjetas de crédito de negocios minoristas. Entonces, ¿por qué la noticia del cierre de Darkode es tan importante? Bien, aparte de los 70 arrestos relacionados con Darkode que abarcan varios países (20 en los Estados Unidos, 6 en el Reino Unido, etc.), tuvo por lo menos cuatro grandes repercusiones:

  1. Cambió la relación riesgo/recompensa: demostró que estos tipos de servicios también son vulnerables y que las personas que los utilizan corren el riesgo de ser identificadas, acusadas, detenidas, juzgadas y condenadas.
  2. Dejó en estado de alerta a toda la Dark Web, donde actualmente existen cientos de otros lugares dedicados a facilitar el mismo tipo de actividades. Probablemente algunos de ellos ahora estén un poco más nerviosos por su modelo de negocio y confíen un poco menos en sus compradores y vendedores (al parecer, un agente del FBI se infiltró en Darkode en 2010, a pesar del proceso de selección que tenía el foro).
  3. Demostró que las agencias encargadas de hacer cumplir la ley podrían trabajar juntas más allá de las fronteras internacionales (esta investigación, llamada en código Operation Shrouded Horizon, implicó un esfuerzo coordinado entre Australia, Bosnia y Herzegovina, Brasil, Canadá, Colombia, Costa Rica, Chipre, Croacia, Dinamarca, Finlandia, Alemania, Israel, Letonia, Macedonia, Nigeria, Rumania, Serbia, Suecia, Reino Unido y Estados Unidos).
  4. Le demostró al público que la policía tenía la determinación de reducir el delito cibernético, en un momento en que parecía una tarea prácticamente imposible (llegue a ver un entrevistador intentando conseguir que el Sr. Hickton “admitiera que esto es inútil, como un grano de arena en el desierto“; Hickton respondió con un rechazo admirablemente firme a esta noción tan pesimista).

A continuación menciono a algunas de las personas arrestadas con el cierre de Darkode, junto con algunos de sus presuntos crímenes (hay que recordar que, al día de hoy, estas personas presumen inocencia). La naturaleza de los cargos es relevante por un par de razones; por ejemplo, les informa a los ciberdelincuentes actuales qué pueden esperar si llegan a ser procesados.

  • Johan Anders Gudmunds de Sollebrunn, Suecia: conspiración para cometer fraude informático, fraude electrónico y lavado de dinero; servir como administrador de Darkode para facilitar la creación y venta de malware que les permitió a otros hackers crear botnets; operar su propia botnet de 50.000 computadoras y robar datos de los usuarios de estos equipos en aproximadamente 200 millones de ocasiones.
  • Morgan Culbertson, 20 años, de Pittsburgh, acusado de crear y comercializar Dendroid, un malware para acceder en forma remota a los teléfonos móviles Android de Google, controlarlos y robar sus datos. Culbertson está acusado de haber vendido la herramienta a través del sitio Darkode por USD 300, y su código fuente por USD 65.000.
  • Eric L. Crocker, 39 años, de Binghamton, Nueva York: usar el programa Facebook Spreader para infectar los equipos de los usuarios, convirtiéndolos en bots que luego vendía para el envío masivo de spam.
  • Naveed Ahmed, 27 años, de Tampa, Florida; Phillip R. Fleitz, 31, de Indianápolis; y Dewayne Watts, 28, de Hernando, Florida: mantener una botnet de spam que utiliza servidores muy resistentes en China y routers vulnerables de los países del tercer mundo para enviar millones de correos electrónicos con el objetivo de vencer los filtros de spam de los teléfonos móviles.
  • Murtaza Saifuddin, 29 años, de Karachi, Pakistán: robar identidad; intentar transferir números de tarjetas de crédito a otras personas a través de Darkode.
  • Daniel Placek, 27 años, de Glendale, Wisconsin: conspirar para cometer fraude informático; acusado de crear el foro Darkode y vender malware en Darkode diseñado para interceptar y recopilar direcciones de correo electrónico y contraseñas en comunicaciones de red de manera oculta.
  • Matjaz Skorjanc, 28 años, de Maribor, Eslovenia; Florencio Carro Ruiz, 36, de Vizcaya, España; y Mentor Leniqi, 34, de Gurisnica, Eslovenia: conspiración para cometer estafas organizadas y fraude electrónico, fraude bancario, fraude informático, fraude de dispositivos de acceso y extorsión. Skorjanc también está acusado de conspirar para organizar el foro Darkode y de vender ButterFly, un kit de malware de tipo bot.
  • Rory Stephen Guidry, Opelousas, Louisiana: acusado de cometer fraude informático; acusado de vender botnets en Darkode.

Para obtener más información sobre la evolución de Darkode, recomiendo leer este artículo de Brian Krebs, que pasó bastante tiempo hurgando en el foro.

Una vida de crímenes cibernéticos = ¿Una vida en prisión?

Antes de examinar algunos de los arrestos por delitos informáticos que no están relacionados con Darkode, es conveniente poner estas presuntas transgresiones en perspectiva: ¿a qué clase de futuro te enfrentas si eres uno de los acusados? Mi mejor suposición es que, si te encuentran culpable, es muy probable que vayas a la cárcel. ¿Por cuánto tiempo? ¿Qué te parece por el resto de tu vida? Ésta es la sentencia que recibió otro criminal cibernético, Ross Ulbricht, el hombre que fundó y operó Silk Road, un mercado online que funcionaba en la Dark Web, un grupo de sitios y servicios que utilizan una red cifrada mediante un software especial (Tor) y a los que no se puede acceder desde la Internet pública. Al igual que Darkode, Silk Road también facilitaba la compra y venta de mercancías ilegales, en particular, drogas ilegales.

Algunas personas se sorprendieron por la cadena perpetua de Ulbricht, dictada en mayo y, aunque va a apelar, dudo que termine con una condena de menos de 20 años. Esto se debe principalmente a la faceta de “tráfico de drogas” de su empresa online, como se refleja en esta declaración del juez de sentencia: “Lo que hizo con Silk Road fue terriblemente destructivo para nuestra sociedad.” Sin embargo, aquí hay dos factores que podrían darnos una pista sobre cómo evolucionará la sentencia de los delitos cibernéticos: la magnitud y el impacto en la sociedad.

El robo en el ciberespacio se puede realizar en una escala que no sería posible en el mundo real. Las personas que robaron los datos de tarjetas de pago de Target en 2013 lograron recaudar, en cuestión de meses, mucho más dinero que todos los ladrones de bancos de los Estados Unidos ese mismo año (algunos de los cuales fueron asesinados a tiros en el acto). El tráfico de drogas en el ciberespacio también supera con creces el tráfico tradicional (la sentencia de Ulbricht incluye una multa de 183 millones de dólares). Toma como ejemplo a un solo distribuidor de Silk Road: un hombre llamado Steven Sadler que se declaró culpable a principios de este año de la venta de casi un millón de dólares de narcóticos en el bazar online (Sadler recibió una sentencia de cinco años de prisión más cuatro años de libertad condicional, pero probablemente habría sido mucho más si no hubiera cooperado con las autoridades).

Aunque yo no soy abogado, me gusta estudiar la justicia criminal. Encontré un gran artículo de la Dra. Susan Brenner, de la Facultad de Derecho de la Universidad de Dayton, donde señalaba en el año 2004 que algunos aspectos de la delincuencia cibenética podrían desencadenar “mejoras” en las sentencias federales, es decir, llevar a que las sentencias sean más estrictas (consulta el artículo: ‘Cybercrime Metrics: Old Wine, New Bottles?’ Virginia Journal of Law & Technology, 9,13-13). Entre estos factores se encuentran la magnitud y la complejidad del delito, el esfuerzo que se hizo para ocultarlo, y los daños que ocasionó en la sociedad y la infraestructura. En otras palabras, al calcular la condena por robo o fraude, el juez podría llegar a agregar más tiempo si se considera que el delito socava los beneficios sociales de la tecnología de Internet.

Cierre de ID Theft y de SpyEye

Como noción de lo que deben esperar los condenados en el caso Darkode, puedes tomar el ejemplo de principios de este mes, cuando un ciudadano vietnamita, Hieu Minh Ngo, de 25 años, fue condenado a 13 años de prisión tras declararse culpable por cargos de fraude electrónico, fraude de identidad, fraude de dispositivos de acceso, y cuatro cargos de fraude y abuso informático (aquí están los detalles completos). Si el caso hubiera ido a juicio, es posible que la sentencia se acercara más a los 20 años.

El anuncio del FBI sobre la sentencia hacía varias alusiones a la magnitud que tuvieron las actividades de Ngo: no solo vendía paquetes de datos personales robados (conocidos como “fullz”) para usarse en robos de identidad, sino que también les vendía a los delincuentes la posibilidad de hacer búsquedas de información de identificación personal (PII, por sus siglas en inglés) robada sobre individuos específicos, desde bases de datos online (les ofreció PII sobre 200 millones de ciudadanos estadounidenses a más de 1.300 clientes de todo el mundo y los registros demostraron que se hicieron más de tres millones de “búsquedas”). Ngo parece haber ganado “casi 2 millones de dólares” con este comercio ilegal de datos robados. El IRS calcula que más de 13.000 ciudadanos estadounidenses resultaron afectados por la venta de sus PII robados en los sitios Web de Ngo, lo que alcanzó un valor de 65 millones de dólares por reclamaciones de reembolso falsas.

También se puede incluir a Scale a las sentencias que pronto se dictarán para los dos creadores de SpyEye, Aleksandr Andreevich Panin de Tver, Rusia y Hamza Bendelladj, de Tizi Ouzou, Argelia (que se declararon culpables en 2014 y en la actualidad están esperando la sentencia). Para los lectores que no estén familiarizados con SpyEye, es un software malicioso clásico, uno de los primeros kits de malware “fáciles de usar” con una interfaz para el usuario, empleado para cometer fraudes bancarios. Y, por supuesto, SpyEye fue uno de los productos que se podían obtener en el sitio Darkode. Si te preguntas por qué la fase de sentencia está tardando tanto, puede deberse al enorme esfuerzo que se requiere para evaluar la magnitud y el impacto de los crímenes cometidos por estos individuos, factores que sin duda influirán en las sentencias que reciban.

Factor de retardo y efecto disuasorio

Hablando de SpyEye y de malware bancario, el mes pasado hubo buenas noticias en el frente de la ciberdelincuencia en Europa. Un equipo europeo de investigación conjunta conformado por investigadores y autoridades judiciales de seis países diferentes actuó en Ucrania (hasta ese entonces considerado un país seguro para los ciberdelincuentes) y llevó a cabo una importante operación contra el delito cibernético. Europol dice que cinco “delincuentes cibernéticos de alto nivel y sus cómplices” fueron arrestados bajo sospecha de desarrollar, utilizar y distribuir el malware Zeus y SpyEye. Pueden esperar pasar mucho tiempo bajo custodia mientras las autoridades tratan de determinar la magnitud y el impacto de los crímenes que cometieron.

El patrón preocupante que encontramos aquí es que los arrestos por delitos informáticos a menudo ocurren varios años después de que se cometen los crímenes. Después de todo, los productos de ESET han estado bloqueando el malware Zeus y SpyEye desde 2010. Este factor de retardo tiende a debilitar el impacto de los arrestos y los procesamientos de la actividad criminal que están destinados a disuadir. Los criminólogos suelen coincidir en que cuanto más veloz es la justicia, más fuerte es el efecto disuasorio.

Pero quizá esta demora se vaya acortando a medida que los organismos policiales de todo el mundo adquieran más experiencia trabajando juntos y compartiendo información. La semana pasada nos enteramos de que posiblemente hayan arrestado a los hackers que atacaron el banco JPMorgan Chase. Digo “posiblemente” porque los cuatro hombres detenidos (dos en Florida y dos en Israel) eran buscados por otros delitos, como lo explica el abogado estadounidense Preet Bharara de Manhattan:

Los acusados manipularon el valor de las acciones estadounidenses desde el extranjero, utilizando identidades falsas para transferir millones de dólares ilegalmente a través de una red de empresas internacionales ficticias. Al parecer, estos acusados dirigieron su esquema de “pump and dump” de acciones (capitalización de acciones fraudulentas) desde sus computadoras del otro lado del mundo mediante el envío masivo de correos de spam falsos y engañosos enviados a millones de inversionistas“.

Un típico esquema de “pump and dump” implica hacer que suba el precio de una acción y luego venderla antes de que el precio comience a caer; y una de las tácticas para lograr que suban los precios es mediante campañas de correos electrónicos masivos enviados a los inversores potenciales. La conexión con el ataque al banco JPMorgan fue descubierta por un funcionario de la policía federal que le dijo a USA TODAY que los crímenes mencionados arriba salieron a la luz como resultado de la investigación del ataque al banco. Quizá recuerdes que el banco en un principio afirmó que había sido víctima de un ataque sofisticado, y creía que podía tratarse de una respuesta rusa a las sanciones impuestas por Estados Unidos. Pero ahora parece posible que los criminales simplemente hayan atacado los servidores de JPMorgan con el objetivo de obtener las direcciones de correo electrónico que necesitarían en su esquema de envío de spam.

A continuación se mencionan algunas otras noticias sobre justicia criminal:

  • A principios de este mes, el hombre que operaba el malware DNSChanger se declaró culpable en Nueva York por cargos de fraude electrónico y de intrusión informática (para obtener más información, consulta el artículo de Krebs on Security).
  • Alex Yücel, el dueño de una organización conocida como “Blackshades” fue sentenciado el mes pasado a casi cinco años de prisión por su papel en la venta y distribución de lo que el abogado estadounidense Bharara se refirió como una “forma perniciosa de software malicioso … conocido como la herramienta de acceso remoto (RAT, del inglés) Blackshades“.
  • El Ministerio del Interior estadounidense anunció el miércoles que “en Bulgaria arrestaron a un hombre sospechoso de pertenecer a una red de hackers islamitas responsables de ataques a más de 3.500 sitios Web de todo el mundo“.

Entonces, ¿cambió ahora la situación de la lucha contra el delito cibernético? Probablemente no, pero al menos nos estamos dando cuenta de que los malos empiezan a encontrar resistencia y que algunos de ellos van a pasar muchos años en prisión. Las largas sentencias no son necesariamente un fuerte elemento de disuasión para el delito; no obstante, el aumento de la velocidad con la que los criminales son llevados ante la justicia puede disuadir a aquellos que están contemplando la posibilidad de llevar una vida criminal. Lamentablemente, todavía no estamos destinando la cantidad de recursos suficiente para lograr disuadir el delito cibernético. Esperamos que la respuesta positiva de la gente a estos casos recientes de arrestos y condenas ayude a persuadir a los políticos para que financien mejor los proyectos contra el delito cibernético.