La Comunidad DragonJAR

Un pirata cibernético colombiano, que logró retirar desde su computadora dinero de la pagaduría del Departamento de Defensa de Estados Unidos, se declaró culpable de un fraude masivo que estafó a unas 600 personas, anunció ayer la fiscalía federal de Miami.

Mario Simbaqueba Bonilla, de 40 años, se las ingenió para instalar un programa especial que copiaba los códigos de acceso a cuentas bancarias y tarjetas de crédito registrados en la memoria de las computadores de los centros ejecutivos de hoteles de varias partes del mundo.

Con esa información en su poder, Simbaqueba transfería los fondos a su favor desde una computadora en Bogotá, creaba cuentas a su nombre, gastaba a sus anchas en electrodomésticos y pagaba viajes a Hong Kong, Turcos y Caicos, Francia, Jamaica, Italia, Chile y Estados Unidos.

La fiscalía calcula que el robo de identidades, que se remonta a mediados del 2004, le reportó ingresos de entre $400,000 y $700,000.

En una de sus osadas incursiones, Simbaqueba logró el 20 febrero del 2007 acceso al Servicio de Contabilidad y Finanzas del Departamento de Defensa (DFAS) y de allí sustrajo electrónicamente una suma no revelada de cuentas de personal militar que desvió al Centennial Bank.

Al día siguiente entró a otra cuenta del DFAS cuyos fondos envió a una tarjeta de débito prepagada bajo otro nombre.
Leer el resto de la entrada »

FRASES SEGURAS

“La criptografía asimétrica ha tenido una gran aceptación después de su invento en los últimos 20 años, resolviendo la necesidad de negociar un passphrase o password sobre medios no seguros entre varias personas para poder cifrar la información”:

Eduardo Ruiz Duarte, matemático mexicano.

“La (in)cultura de la Seguridad Informática, ha fundamentado la protección de redes a través de firewalls y/o equipos de filtrado de paquetes (routers con ACLs, IDPs, etc). El interés fundamental de estas arquitecturas de red, es el de no permitir que un atacante entre a la red protegida desde una red externa (Internet, usualmente)”:

F4Lc0N LowNoise HG (seudónimo) de Colombia.

“Internet ha cambiado definitivamente el modo en el que millones de personas se comportan hoy día. Gran parte de este cambio, se encuentra soportado de uno u otro modo por aplicaciones web, específicamente desarrolladas a efectos de presentar al usuario el más variado conjunto de información, y permitirle interactuar de modo tal, que la misma resulte aún más atractiva”:

Hernán Marcelo Racciatti de Argentina.

LA CONCIENCIA DE LA RED SE COSOLIDÓ

Con un acuerdo global entre comunidades virtuales de responder a la necesidad de mantener la seguridad informática como política de trabajo en la red, terminó el 2º Encuentro Internacional de Seguridad Informática, el pasado viernes, a las 7 p.m. en el Aula Máxima de la Universidad de Manizales.

Los 600 participantes que representaron el territorio nacional y países de América como Argentina, Perú, México y Estados Unidos, integraron sus conocimientos y experiencias para aportarle a la temática que determina en el concepto de HACKERS, a las personas responsables de mantener desde la ética y la integridad, el manejo adecuado y honesto de la información puesta en la red. Concepto que evidencia a los investigadores que construyen desde sus nuevos saberes y evitan por medio de sus hallazgos la impunidad de la ciberdelincuencia.

En la plenaria final, se concluyó la necesidad de consolidar esquemas de trabajo ínterdisciplinales donde se vinculen Estado, empresas privadas, institutos de educación y la comunidad en general que permita así, el diseño de estrategias para un mundo virtual más seguro.

Por último, se comprometió el 3° Encuentro Internacional de Seguridad –Hackers, la conciencia de la red, para realizarse en el primer semestre de 2009 bajo el liderazgo permanente de la Facultad de Ingeniería de la Universidad de Manizales.

De otro lado, el concurso “war games”, dio como ganadores a Daniel Aristizábal Romero y Carlos Fernando Rodríguez Peláez de la Universidad Tecnológica de Pereira e integrantes de las comunidades “pulpa” y “dragonjar.us” respectivamente, quienes lograron e 70% del reto planteado por los organizadores.

Día 1 del EISI: tratando de reunir las personas de la comunidad algunos llegaron temprano otros no, pero al fin nos logramos reunirnos e ingresamos al congreso.

Cuando llegaron se les indico los pasos para reclamar la escarapela sin hacer fila (una ventaja + de ser parte de la comunidad) y se les entrego el kit (a los que llegaron temprano :-P) un cd con la carátula del WUDE impreso para que lo quemen cuando salga, un botón de la comunidad (con el logo modificado del Firefox) y unas tarjetas para que se conocieran entre todos.

Ya en el congreso y según la programación se le dio inicio formalmente, cantando el himno a Colombia, a la U’ de Manizales… con El Rector, y Decano de la Institución, Ponentes etc…

Después de estos actos protocolarios empieza en forma el congreso.

Las conferencias empiezan con el Argentino Hernán Marcelo Racciatti quien nos muestra un WorkShop sobre SQL Injection, aunque el tema esta un poco viejo, al ser un WorkShop y mostrar a la gente de forma sencilla como realizar las practivas (quienes llevaron portátil) fue una de las ponencias mas dinámicas y divertidas.

Pagina del WorkShop sobre SQL Injection

Hernán prometió publicar el .txt en el cual proporcionaba los “atajos” para realizar SQL Injection pero al revisar sus paginas y blog no lo encontré (ya lo encontre la descarga de este y otros textos que dejo el argentino abajo), tambien encontré un paper que hablar sobre SQL Injection aquí se los dejo para la descarga (espero que no le moleste a Hernán) .

Descargas:
• Brief_SQL_Injection_Short_Workshop.rar
• Slides_SQLInjection_Short_Workshop.rar
• SQL Injection - Real Hack Exhibition.txt

Luego de esta conferencia y según la programación teníamos 15 minutos para tomar el refrigerio, aquí tengo 2 comentarios que hacer a los organizadores del evento, el primero que dieron muy poco tiempo y esto no da mucho espacio para el esparcimiento de los asistentes y el otro es que los refrigerios comparados con otros realizados por la misma Universidad de Manizales (EJ: Congreso de Software Libre) bajaron mucho su calidad, estaban ricos pero… le falto.

Después del refrigerio Oscar Eduardo Ruiz explicaba las reglas del wargame, que se podía y que no se podía hacer etc…

La siguiente conferencia Sobre Ataques de MITM (man-in-the-middle) dictada por Juan Pablo Quiñe Paz y Martín A. Rubio en la cual nos explicaban cuales eran los peligros de este tipo de ataques pero también como podemos usarlo a nuestro favor para testear nuestras redes o aplicaciones.

Diapositivas:
• Man in the middle aplicado a la seguridad.pdf

y… el esperado almuerzo :-D, este día almorzamos en la cafetería de La Universidad de Manizales pero al tener un problema con una tajada que nuca apareció (xD jejeje), unos frijoles que se convirtieron en blanquillos y un servidor que no soporto las peticiones de 42 personas de la comunidad (parecía un ataque de denegación de servicios o le hicimos buffer overflow) el caso es que se demoraban mucho en servir los almuerzos y los siguientes días nos mudamos al servidor “Tio Pepe” que si soporto toda la carga :-D, ademas nos hicieron una rebaja de 200 pesos por persona $-D

Ya vengo…

Mientras todos esperaban el almuerzo yo me iva a gestionar mediante ingeniería social las primeras 5 filas del evento.

Misión cumplida

Despues de esto me entero que en el servidor de la cafetería se habían acabado los recursos (YA NO HABÍAN ALMUERZOS) así que me toco echarle mano a un sanduche con sprite y seguir a las conferencia.

El Mexicano Eduardo Ruiz Duarte fue el encargado de dictar la conferencia Estegenografia VS Criptografia muy buena la conferencia y nos mostraba varios métodos de esteganografia también nos prometió varios de los programas propios con los cuales realizo su conferencia pero al entrar a su blog solo vi varios códigos para realizar fractales (estamos esperando tus códigos ).

Aqui las Diapositivas:
• esteganografia.pdf

Luego Julio César Gómez Castaño nos exponía el Workshop Security Tool en el cual nos mostraba el top 100 de las herramientas de seguridad, el top 10 de los Live CD de seguridad informática y mas específicamente nos hablaba sobre el BackTrack y sus herramientas.

Aunque lo toco por encim almenos se le dejo la espinita a quienes no conocian estas herramientas, el echo que regalaran copias del BackTrack 2 a quienes llevaran portátil también ayuda a estimular (aunque así no llevaran portátil deberían regalar…)

Diapositivas:
• Tool Security – Workshop BackTrack.ppt

Otro refrigerio…

El Argentino Arturo “Buanzo” Busleiman nos muestra el Análisis de red con NMAP y Script NSE una excelente conferencia donde nos enseña las nuevas funcionalidades del NMAP, como crear Scripts y el uso del lenguaje LUA.

Buanzo habia escrito desde septiembre en la pagina pero por un error mio al aprobar los comentarios masivamente se me paso este:

Igual me reivindique con el argentino regalandole una cajita de ron en el remate ;-).

Descargar:
• nse2007.pdf

Luego Jhon César Arango nos presenta su Workshop - El camino hacia el Ataque en el cual nos muestra paso a paso y de una forma practica lo que hace un atacante al tratar de ingresar a un sistema, des afortunadamente no pudo seguir con su presentación ya que ocurrieron algunos errores técnicos (véase dar papaya).

Diapositivas:
• modo operandi.pdf

Y por ultima pero no menos importante la conferencia de Rachel Greenstadt sobre Seguridad y Entornos Virtualizados (Security and Virtualized Environments) la conferencia estuvo excelente pero en algunas partes Buanzo quien se presto como traductor (no se si estaba programado desde el principio como tal) hablaba muy rápido y eso ocasiono que no muchos pudiéramos disfrutar de esta conferencia.

Diapositivas:
• virtualization.pdf

Lo que sigue despues del encuentro lo relatan mucho mejor Dinosaurio y Epsilon77 quienes ya sacaron las crónicas del día 1 xD
Con mucho humor geek.

L@ Cr0n1c@ de D1N0, Dr@g0n y 5u5 717@N3s d31 c0n0c1/\/\13n70
La cronica de epsilon77

Aunque para resumirles les puedo decir que accedimos a un sistema por medio de ingeniería social, luego escalamos privilegios (hasta llegar al dueño del server) y nos saltamos 2 firewalls (doble raqueteada) para llegar a los tan anhelados datos xD (todo por tener un usuario con privilegios < a 18)

Las Fotos del Primer dia estan en este post (sube las tuyas )
Fotos Segundo Encuentro Internacional de Seguridad informática DÍA I

Actualizado: He puesto los enlaces para descargar las diapositivas de cada una de las conferencias.

Hace unos días les comentaba que había sido condenado a 4 años de carcel por escribir virus para juegos en los comentarios de esa noticia DAEMON mencionaba que una mejor medida seria contratarlo para que trabajara para una empresa Anti Virus… pues bien, no se si lo han escuchado pero una compañía de comunicaciones china al enterarse de esta sentencia ha decidido contratar a Li Jun (creador del virus informático) como su director tecnológico con un sueldo 140.000 Euros anuales unos 11.666 euros mensuales 8-O.

Claro que para poder ser contratado primero deberá pagar la condena que le fue impuesta.

La pagina de Microsoft en el reino unido (específicamente www.microsoft.co.uk /events/ net/ eventdetail.aspx? eventid=8399) ha sido defaceada por crackers de Arabia Saudita quienes han puesto la siguiente imagen en su portal.

También han publicado un vídeo en el que muestran el fallo por el cual se ha realizado dicho deface.

Pueden bajar el vídeo con mas calidad de rapidshare.

Esto ocurre después que el mes de mayo (2007) defacearan su portal ieak.microsoft.com y pusieran esta imagen en el.

Definitivamente mala racha para los sitios de Microsoft.