18 julio 2008

Linux 2.6.25.10 liberado, y lo que piensa Linus de la gente de OpenBSD

15:33  ,  No comments



Hace una semana fue liberada la nueva versión del kernel de linux.

En el correo anunciando su liberación se encuentra un pequeño resumen:

> It contains a number of assorted bugfixes all over the tree.  And once
> again, any users of the 2.6.25 kernel series are STRONGLY encouraged to
> upgrade to this release.

Lo curioso es que no mencionan muchos detalles acerca de la IMPORTANCIA de actualizar. Entre algunas respuestas al anuncio el equipo de PaX anuncio que dentro de los commits que se habían obviado mencionar se incluían una serie de correcciones al kernel que tenían alto impacto en la seguridad del mismo. (http://lwn.net/Articles/285438/, http://lwn.net/Articles/286263/, http://lwn.net/Articles/287339/, http://lwn.net/Articles/288473/)

En la misma discusión se cuestionaron las políticas de manejo de bugs “con impacto de seguridad” en los changelogs y demás notas de versiones, junto con otros aspectos de manejo de documentación al respecto. Esto llevo a que se hiciera hincapié en “la importancia de tener full/none/half/etc disclousures para los bugs que tengan relevancia en la seguridad”, con el siguiente párrafo:

so guys (meaning not only Greg but Andrew, Linus, et al.), when will you
publicly explain why you're covering up security impact of bugs? and even
more importantly, when will you change your policy or bring your process
in line with what you declared?

Luego, en un reply de Linus:

Security people are often the black-and-white kind of people that I can't
stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in
that they make such a big deal about concentrating on security to the
point where they pretty much admit that nothing else matters to them.

Y de hecho tiene muy buenas razones para haber dicho eso, ya que la industria de la seguridad informática se ha convertido en todo un teatro donde el que monte la mejor película es el que tiene la razón.

Linus dice que los bugs que tienen impacto en la seguridad son bugs normales, y tiene razón, técnicamente nadie diseña bugs en su software, y si tienes un bug probablemente no tengas la oportunidad de elegir si afecta o no en la integridad de la seguridad del kernel.

Son bugs normales, y como bugs se deben tratar, más no glorificar el esfuerzo de la persona que lo encontró ya que asi como existe ese bug, hay muchísimos más y de mayor complejidad en el kernel. No hay razón para que exista tal burocracia de tratarlos de manera muy diferente y subirlos sobre un pedestal y escribiendo HOWTO’s para como explotarlos.

De todas maneras, esto tambien influye en la comunidad de la seguridad informatica, ya que entre menos full disclousure tengamos, menor el numero de ataques y vulnerabilidades publicadas. Obviamente la idea no es no publicar los bugs, sino corregirlos y seguir el proceso de solucion y testeo que normalmente se sigue con los demas bugs.

Read More

Detenido delincuente informático en Medellín-Colombia

15:17  ,  No comments

:-) Wooooww barbaro julian
Me encontre con esta info una noticia algo interesante se las muestro:

En la noticia hacen referencia al detenido como “hacker”, el término apropiado debería ser “Delincuente Informático” (persona que realiza delitos por medio de herramientas informáticas). En algunas partes les dan el calificativo de “Cracker”. El término Cracker es mejor utilizado para las personas expertas en ingeniería inversa.

‘Julián’ era la pieza clave de una banda criminal de Medellín que hurtó de manera virtual arcas de entidades del Valle.

Con el sólo tecleo de sus manos le hurtó al Estado en ocho meses la gruesa suma de $4.500 millones. Nunca ha pasado por una universidad, pero su habilidad para la informática lo convirtió en el ‘hacker’ con mayor prontuario delictivo del país.

Édison Alexánder Bustamante, bachiller de 23 años, es señalado por las autoridades como la pieza clave de una organización criminal, con sede en Medellín, que estaba dedicada al fraude a entidades del Gobierno y a la clonación de tarjetas bancarias.

Este paisa empírico fue el ‘operador’ de los millonarios robos a la Beneficiencia del Valle, a las alcaldías de El Cerrito (por $600 millones) y de Candelaria (por $700 millones), al Centro Colombiano de Estudios Profesionales, Cecep, a la Secretaría de Tránsito de Cali y, al parecer, a las Empresas Públicas de Medellín.

Además intentó asaltar cibernéticamente a la Fundación FES Social y a una empresa de Buenaventura (por $200 millones).

Sin embargo, sus habilidades para filtrarse a través de la red instituciones oficiales, aparentemente sin dejar huella, no le sirvieron para olfatear el rastro que 20 días atrás le seguían miembros del Cuerpo Técnico de Investigación de Cali.

La mañana del 3 de julio un grupo especial de investigadores llegó hasta una humilde vivienda de dos pisos, en el municipio de Bello, Antioquia, donde todas las madrugadas Bustamante se perdía en el ciberespacio.

Desde la 1:00 a.m. Bustamante, cuyo sobrenombre era Julián, utilizaba software pirata y navegaba hasta penetrar en las cuentas bancarias de entidades como la Beneficiencia, de donde extrajo $1.400 millones.

Encerrado en su habitación le daban las 7:00 a.m. tratando de clonar claves secretas de los organismos estatales.

Según el CTI, este ‘hacker’ en una hora extraía virtualmente dinero de cualquier banco y de la misma forma lo transfería a cualquier cuenta.

Después de que ‘Julián’ violaba los sistemas de seguridad, ejecutaba la transacción virtual del monto, haciéndola pasar como pago de nómina.

Una vez lograba el cometido, otros miembros de la banda coordinaban el retiro de las millonarias sumas.

Julio César Valencia (capturado), de oficio desconocido, contactaba personas para que prestaran sus cuentas donde consignar los montos hurtados. Lo mismo que la ingeniera civil Ivonne Consuegra Tangarife (detenida) realizaba contratos con los bancos para poder sustentar los manejos ‘ regulares’.

“A los que les hacían el favor les pagaban cinco millones de pesos. Unas 23 personas en todo el país les ayudaron con eso”, señaló una fuente judicial.

En otras ocasiones, la banda, de la cual 24 integrantes están detenidos, retiraba los millones en cheques de gerencia.

Según el CTI de la Fiscalía, los criminales también contactaban a funcionarios públicos para que les entregaran información privada.

Adicional a esta actividad ilícita, la organización clonaba tarjetas de crédito y débito. Para ello, los criminales iban a discotecas y restaurantes, donde en complicidad con los meseros, duplicaban las tarjetas plásticas que los clientes les entregaban cuando pagaban las cuentas.

“Escaneaban la información y elaboraban las tarjetas en talleres de mecánica que eran negocios de fachada”, agregó la fuente judicial.

Igualmente, los investigadores del CTI encontraron que desde su computador ‘Julián’ tramitaba préstamos bancarios a terceras personas, prontuario que lo hace el ‘hacker’ más temido del país.

Fraudes millonarios

  • Días antes de la captura, ‘Julián’ intentó hurtar electrónicamente seis mil millones de pesos de una entidad estatal con sede en Bogotá. Y planeaba un hurto en el Meta.
  • La banda tenía firmas de papel como Nacional de Servicios Calificados Cooperativos Asociados, registrada en la Cámara de Comercio de Medellín.
  • Del Cecep robaron más de mil millones de pesos y de las arcas de Tránsito Municipal sacaron $1.845 millones.
Fuente de la información: el pais.com

Read More
Suscribirse a: Entradas (Atom)