BlackRusian Black Blog

Publicado el 30/07/2010 12:07:00 en Seguridad Bancaria. Total de votos: 5  Votar

Hi

Creo que fue sobre finales del 2008 cuando Diebold lanzo un comunicado interno a sus clientes con un titulo muy explicito: ATM SECURITY CRITICAL UPDATE. Venia a decir que por Rusia estaban apareciendo cajeros troyanizados, los afectados tenían como sistema operativo windows y que para infectarlos había que tener acceso físico al cajero.

Poco mas se sabia del bichito hasta que a mediados del 2009 la gente de Spiderlabs publico un pequeño análisis de una muestra. Esta es una traducción muy libre del paper.

Descripcion
SpiderLabs Trustwave realizó el análisis de software malicioso (malware) encontrado instalado en cajeros automáticos infectados de Europa del Este. Este programa malicioso captura los datos de la banda magnética y códigos PIN en la memoria privada que utilizan las aplicaciones de procesamiento de transacciones del cajero.
En todos los casos los cajeros corrían bajo Microsoft Windows XP.
El malware contiene funcionalidad avanzada de gestión que permite al atacante controlar plenamente el cajero comprometido a través de una interfaz de usuario (GUI) personalizada basada en el programa malicioso.
Esta interfaz es accesible mediante la inserción de "tarjetas de activacion" en el lector de tarjetas de la ATM.
SpiderLabs analistas no creen que el malware incluya funcionalidades de red que le permitirían enviar los datos recolectados a otros lugares. El malware, sin embargo, permite la salida de los datos capturados por la impresora de recibos o tickets, o escribiendo dichos datos en un dispositivo de almacenamiento electrónico (posiblemente utilizando el lector de tarjetas del cajero automático). Los analistas también descubrieron código que indica que el malware puede activar la expulsión del dinero en efectivo del cajetín que se le indique.

Lo que sigue es un resumen de alto nivel de las características clave identificadas durante el análisis de la muestra Sin embargo, se cree que se trata de una versión del malware relativamente temprana y que las versiones posteriores tienen significativas adiciones en su funcionalidad.


Método de Infección
El malware es instalado y activado a través de un archivo lanzador (un archivo que un atacante puede utilizar para desplegar herramientas en un sistema comprometido) con el nombre de isadmin.exe.
Se trata de un archivo de desarrollo rápido de aplicaciones en Borland Delphi (RAD), es ejecutable y esencialmente hace un reemplazo del archivo isadmin.exe original escrito por Bill Stewart.
Este binario lanzador contiene un Data Resource (RCDATA) llamado PACKAGEINFO que a su vez contiene el malware.
Ejecutando el archivo isadmin.exe se crea un malware llamado lsass.exe en el directorio C:\WINDOWS del sistema comprometido. Una vez que el troyano se extrae,... [/trombi]

Continúa aquí...

Comentarios: 11 | Leer comentarios

Publicado el 01/05/2010 12:05:00 en Seguridad Bancaria. Total de votos: 1  Votar

Hi

Un pinblock es un bloque de datos que contiene el PIN. Generalmente los pins tienen entre 4 y 12 cifras decimales, y las entradas de los algoritmos son de 16 cifras hexadecimales, con lo que el pin se encapsula en los llamados pinblocks para su manipulación. Tienen una longitud de 16 dígitos hexadecimales ( 8 bytes o 64 bits).
Existen varios tipos de pinblocks, dependiendo de las variables que intervengan en su generación. Vamos a mostrar los cuatro  principales: ISO-0, ISO-1, ISO-2 e ISO-3, pero existen otros modelos como el VISA-2, VISA-3, el IBM-3624, y los ECI-2 y ECI-3 entre otros.


ISO­-0

También llamado ANSI X9,8, VISA-1 y  ECI-1. Es usado para transacciones en linea, soporta pins de longitud de 4 a 12 dígitos, y en su formación interviene el PIN y el PAN. 

Se obtiene de hacer una operación XOR con dos bloques de datos, el primero seria:



donde:
0 indica que el pinblock tiene el formato ISO­ 0.
L muestra la longitud del pin, generalmente 4.
P muestra los dígitos del PIN (se permiten valores desde 0 a 9).
F campo de relleno hexadecimal de valor F hasta completar el bloque de 16 cifras.


El segundo bloque estaría compuesto cuatro ceros iniciales más los doce dígitos menos significativos del PAN, que es el numero de cuenta principal.



Dando como resultado el pinblock ISO­-0.





ISO­-1

También llamado ECI­-4. Se usa para transacciones en linea. Tiene la peculiaridad de que para su generación utilizamos números aleatorios.

Tiene la siguiente estructura:



donde:
1 indica que el pinblock tiene formato ISO­-1
L longitud del pin.
P representa el pin.
R campo de relleno con n&u... [/trombi]

Continúa aquí...

Comentarios: 11 | Leer comentarios

Publicado el 26/02/2010 12:02:00 en Criptografía. Total de votos: 8  Votar

Hi

El otro día entro el muertito en el chat preguntando si podíamos ayudarle con un hash que no podía sacarlo. Todavía no ha salido, pero es cuestión de tiempo. Esto prueba que la mejor defensa contra este tipo de ataques es una contraseña fuerte, esto es, la combinación aleatoria de mayúsculas, minúsculas, números y símbolos y nunca menor de 10 caracteres.

Lo primero que habría que saber es que tipo de hash es. En el caso del muertito era un hash de Joolma. La tendencia de los CMS es diversificar los métodos de encriptación, pero utilizando alguno de los algoritmos mas comunes como MD5 o SHA1. Con lo que lo primero a la hora de enfrentarnos a un hash de un CMS es saber que tipo de hash es. Para eso ya tenemos el trabajo hecho, existen tablas como estas:



Y sino existen programas como el Hash Analizer que te dicen el tipo de encriptacion que lleva, pero yo me fiaría mas de las tablas.

Una vez que ya sabemos que tipo de cifrado lleva vamos a ver el programa PasswordsPro. En el caso del muertito era un hash de Joolma, donde $hash=md5($pass.$salt). Donde el hash es el resultado de añadirle un salto generado aleatoriamente a la pass en claro, y luego el resultado cifrarlo en MD5.


El programa PasswordsPro esta diseñado para recuperar contraseñas de diferentes tipos de hashes. Funciona bajo windows (en linux el wine parece que lo emula bien), no lleva instalación y usa sus propias librerias con los algoritmos. Soporta mas de 30 tipos de hashes y la versión comercial admite hasta 256 hash simultáneamente, la versión shareware esta limitada a un hash. También se le pueden cargar plugins con utilidades como un generador de contraseñas seguras, un generador de diccionario, conversores de texto y algunos mas.

La lista de algoritmos que admite es:

– MySQL5
– DES(Unix)
– MD2
– MD4
– MD4(HMAC)
– MD4(Base64)
– MD5
– MD5(APR)
– MD5(Unix)
– MD5(HMAC)
– MD5(Base64)
– MD5(phpBB3)
– MD5(Wordpress)
– MD5_HMAC($salt,MD5_HMAC($salt,$pass))
– SHA-1
– SHA-1(HMAC)
– SHA-1(Base64)
– SHA-1(Django)
– SHA-256
– SHA-256(Unix)
– SHA-256(Django)
– SHA-256(md5($pass))
– SHA-256(PasswordSafe)
– SHA-384
– SHA-384(Django)
– SHA-512
– SHA-512(Unix)
– Haval-128
– Haval-160
– Haval-192
– Haval-224
– Haval-256
– Tiger-128
– Tiger-160
– Tiger-192
– RipeMD-128
– RipeMD-160
– MaNGOS
– Whirlpool
– RAdmin v2.x
– Lineage II C4
– Domain Cached Credentials
– md5(md5($pass))
– md5($pass.$salt)
– md5($salt.$pass)
– md5(sha1($pass))
– md5($hex_salt.$pass)
– md5(md5(md5($pass)))
– md5(md5($pass).$salt)
– md5(md5($salt).$pass)
– md5($salt.md5($pass))
– md5($salt.$pass.$salt)
– md5(md5($salt).md5($pass))
– md5(md5($pass).md5($salt))
... [/trombi]

Continúa aquí...

Comentarios: 9 | Leer comentarios

Publicado el 20/02/2010 12:02:00 en Seguridad Bancaria. Total de votos: 7  Votar

Hi

Este no es mio, es de Or_DIE, un aficionado a la materia que publico este manual en el 2004 y luego lo retiro no se muy bien si por miedo o por no querer buscarse problemas. Hace poco decidió volver a liberarlo y por aca se lo dejo, leanselo que esta muy bien. (Y maquetado...)

==========================================================0


Magnéticas Bancarias

Versión: 00.02
Fecha creación:Marzo de 2004
Fecha primera revisión:Febrero 2010
by Or_DIE

Indice

Disclaimer
Historial de revisiones
Mail y clave pública
Presentación y objetivos
Requisitos mínimos y conocimientos previos
Abreviaciones y palabrejas raras
Introducción y datos generales
Y dijo la tarjeta: “no me toques los tracks”
Track1
Track2
Más sobre el PAN
Más sobre el PVV
Más sobre el CVV
Cosas varias y notas finales
Agradecimientos
Despedida y cierre del chiringuito


Disclaimer

El contenido de este manual tiene una finalidad exclusivamente educativa e informativa. Todo lo que aquí se expone es totalmente público y resulta de una simple recopilación de datos de la red. No me responsabilizo del mal uso que pueda derivar de este manual.
Por lo que al manual en sí se refiere, pues se puede distribuir únicamente de forma libre y gratuita, en el formato que sea, pero de forma íntegra. Es decir, no podéis distribuirlo cortado o con su contenido alterado. Y mucho menos lo podéis vender o pedir algo a cambio de su distribución (como mucho las gracias). Aunque dudo que nadie estuviera dispuesto a pagar nada por él. Tampoco se puede distribuir conjuntamente con un hardware que sí se vende. En general no quiero que este manual se cuelgue en las típicas webs de venta de material electrónico. ¿Qué pasará si igualmente hacéis algo de todo esto? Hombre, no estaré allí para abofetearos, pero quizás me puteo y no hago más manuales. De todas formas, si tenéis problemas con el formato o necesitáis usar algún trozo, pues no dudéis en escribir a la dirección de correo que más abajo sale.


Historial de revisiones

- Creación del manual en marzo del 2004. Versión 00.01
- Revisión del manual en febrero del 2010. Versión 00.02: simplemente cambio la parte de mail y clave pública, el contenido no es revisado ni actualizado pero diría que sigue vigente en un 99%.


Mail y clave pública

He abierto un mail para aquellos de vosotros que queráis hacer aportaciones, sugerencias, críticas, correcciones, preguntas o lo que sea, que no tienen porque ceñirse al contenido de este manual. Esta dirección es: kanman2020@yahoo.com. Es posible que se den correcciones y/o ampliaciones del manual... [/trombi]

Continúa aquí...

Comentarios: 17 | Leer comentarios

Publicado el 16/02/2010 12:02:00 en Noticias. Total de votos: 1  Votar

Hi

Según la noticia han petado EMV, el sistema de chip destinado a sustituir a la banda magnética en las tarjetas de crédito. Un sistema que hasta ahora se pensaba que era inquebrantable... habrá que esperar a mayo para tener mas detalles.

==================================================================

Investigadores de la Universidad de Cambridge encuentran una vulnerabilidad en las tarjetas de pago europeas

Cientos de millones de tarjetas de pago en Europa padecen un fallo que podría permitir a los criminales introducir cualquier código de identificación PIN aleatorio en una tarjeta robada para completar una transacción, según investigadores de la Universidad de Cambridge.

Este descubrimiento, que será expuesto en detalle en el encuentro Simposio IEE sobre Privacidad y Seguridad (IEEE Symposium on Security and Privacy), que se celebrará en California el próximo mayo, proyectan nuevas dudas sobre la seguridad de las tarjetas “chip-and-PIN” o EMV, aquellas que contiene un microchip que verifica si el PIN introducido es el correcto para, en tal caso, completar una transacción.
Los bancos europeos defienden que este sistema es más seguro, pero los investigadores de Cambridge aseguran haber encontrado una vulnerabilidad en el complicado protocolo EMV que abre la puerta a la posibilidad de ataques “man-in-the-middle”. Básicamente, tales ataques conseguirían engañar al terminal del punto de venta donde se introduce la tarjeta para que crea haber recibido el PIN correcto, independientemente de los dígitos introducidos.
En cualquier caso, el ataque, sobre el que la industria bancaria fue informada hace dos meses, exige un alto nivel de conocimiento sobre el sistema chip-and-PIN, según los investigadores, y algún hardware externo.


15/02/2010 Marta Cabanillas

De: http://www.idg.es/cio/Investigadores-de-la-Universidad-de-Cambridge-encuentran-una-vulnerabilidad-en-las-tarjetas-de-pago-europeas/doc90308-seguridad.htm

Bye

Comentarios: 3 | Leer comentarios

Ver: Siguientes 5