The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

security

Shoney’s Hit By Apparent Credit Card Breach

Krebs on Security

It’s Friday, which means it’s time for another episode of “Which Restaurant Chain Got Hacked?” Multiple sources in the financial industry say they’ve traced a pattern of fraud on customer cards indicating that the latest victim may be Shoney’s, a 70-year-old restaurant chain that operates primarily in the southern United States.

Image: Thomas Hawk, Flickr.

Shoney’s did not respond to multiple requests for comment left with the company and its outside public relations firm over the past two weeks.

Based in Nashville, Tenn., the privately-held restaurant chain includes approximately 150 company-owned and franchised locations in 17 states from Maryland to Florida in the east, and from Missouri to Texas in the West — with the northernmost location being in Ohio, according to the company’s Wikipedia page.

Sources in the financial industry say they’ve received confidential alerts from the credit card associations about suspected breaches at dozens of those locations, although it remains unclear whether the problem is limited to those locations or if it extends company-wide. Those same sources say the affected locations were thought to have been breached between December 2016 and early March 2017.

It’s also unclear whether the apparent breach affects corporate-owned or franchised stores — or both. In last year’s card breach involving hundreds of Wendy’s restaurants, only franchised locations were thought to have been impacted. In the case of the intrusion at Arby’s, on the other hand, only corporate stores were affected.

The vast majority of the breaches involving restaurant and hospitality chains over the past few years have been tied to point-of-sale devices that were remotely hacked and seeded with card-stealing malicious software.

Once the attackers have their malware loaded onto the point-of-sale devices, they can remotely capture data from each card swiped at that cash register. Thieves can then sell the data to crooks who specialize in encoding the stolen data onto any card with a magnetic stripe, and using the cards to buy gift cards and high-priced goods from big-box stores like Target and Best Buy.

Many retailers are now moving to install card readers that can handle transactions from more secure chip-based credit and debit cards, which are far more expensive for thieves to clone. Malware that makes it onto point-of-sale devices capable of processing chip card transactions can still intercept data from a customer’s chip-enabled card, but that information cannot later be used to create a cloned physical copy of the card.

Advertisements

  Analizando un leak de contraseñas con Pipal

Hace unas semanas se publicó un ‘leak’, otro más, con multitud de contraseñas aparentemente asociadas a un servicio web conocido. Ya nos estamos acostumbrando a este tipo de noticias, y esta vez se ha apuntado con el dedo a la todopoderosa Google como fuente de esta publicación, con nada menos que alrededor de 5 millones de usuarios comprometidos.

Desde Google indican que no se trata de un ataque dirigido ni un compromiso de ninguno de los servidores de la empresa, sino que apuntan a que se puede tratar de una recopilación elaborada con mucha paciencia, y que menos de un 2% de las combinaciones de usuario y contraseña podrían haber funcionado. A pesar de ello nunca está de más echar un pequeño vistazo a las credenciales publicadas y, además de comprobar si nosotros o amigos y familiares están comprometidos, poder realizar un pequeño análisis y comprobar el estado de la concienciación en materia de seguridad de las contraseñas.

Para la primera tarea nos ponemos a buscar por el documento de texto y nos quedamos tranquilos tras comprobar que ni nosotros ni ningún conocido aparecen en esta publicación. Si no has podido obtener este ‘leak’ puedes acceder al proyecto Have I been pwned? del investigador de seguridadTroy Hunt, que recopila cuentas de correo comprometidas en este y otros ‘leaks’ importantes, y comprobar tus cuentas de correo.

Para la segunda tarea, vamos a emplear una utilidad que realiza el análisis de forma automática. La utilidad se llama Pipal y ha sido creada por Robin Wood (@digininja) precisamente para esta tarea: analizar los listados de contraseñas obtenidos, en su caso tras realizar las auditorías de seguridad que Robin lleva a cabo durante su trabajo habitual. Como el propio Robin indica “Antes de continuar debo resaltar que lo único que hace esta aplicación es proporcionar las estadísticas e información necesaria para ayudarte a analizar las contraseñas. El verdadero trabajo lo debes realizar tú interpretando los resultados. Yo te doy los números, tú cuentas la historia”.

Veamos como funciona la aplicación y los resultados que nos puede mostrar. Pipal se puede descargar desde github, y es una aplicación en Ruby autocontenida que podemos ejecutar en cualquier instalación estándar de Ruby, sin ningún otro requisito adicional.

$ ./pipal/pipal.rb -?
pipal 3.1 Robin Wood (robin@digi.ninja) (http://digi.ninja)

Usage: pipal [OPTION] ... FILENAME
     --help, -h, -?: show help
     --top, -t X: show the top X results (default 10)
     --output, -o

  EFF: WhatsApp y Telegram son más seguras que BBM

EFF: WhatsApp y Telegram son más seguras que BBM

  • La EFF ha realizado un estudio donde se muestra la falta de seguridad en servicios cotidianos
  • Desde correo electrónico a mensajería por móviles, nuestra información está comprometida
  • Ésta es parte de una campaña de concienciación cuyo objetivo es el usuario

La polémica vuelve a la carga. ¿Hay seguridad en los servicios de comunicación y mensajería? Aunque cada día somos más conscientes de que nuestros correos o mensajes podrían estar siendo espiados por distintas compañías la EFF (Electronic Frontier Foundation) ha dejado claro que no, que muy pocos son los servicios que cumplen con el mínimo.

En un estudio desvelado esta misma semana por la EFF se muestra que ni si quiera los servicios más masivos y utilizados por los usuarios, es decir los que ofrece Apple, Google, Facebook o Yahoo cumplen con algunas cuestiones que deberían ser básicas para proteger nuestra información. Entre estas, por ejemplo, se encuentran la encriptación end-to-end es decir, aquella que codifica el mensaje al salir del emisor y solo vuelve a decodificarlo al confirmarse la llegada a su receptor correcto.

La EFF denuncia la falta de seguridad

De hecho, algunos de los servicios más populares carece completamente de encriptación permitiendo que la información sufra de numerosas vulnerabilidades que podrían usarse para robarla. La EFF ha estudiado más de una treintena de servicios, de los cuales algunos se cuentan entre nuestro uso diario. Correo, mensajería, envío de imágenes, servicios de voz, nada se ha escapado al análisis de la EFF. Además, para analizar dichos servicios, en el extenso informe la EFF se ha parado a analizar siete factores principales.

EFFDetalle de algunas de las Apps analizadas. Fuente: EFF.

Entre ellos la capacidad de codificación, la verificación de contactos, si el proveedor se encuentra comprometido o si el código ha sido objeto de una auditoría de seguridad, por ejemplo. Sus conclusiones son claras: aunque creas que la información que estás publicando se encuentra “segura”, aunque tomes medidas para controlar lo que envías, tu información no está a salvo por mucho que te esfuerces. Pero ¿a salvo de quién? Desde hackers con intenciones dañinas a compañías con una ética dudosa, el acceso a tu información aunque resulte difícil es posible.

Las Apps más y menos seguras

Según el análisis las aplicaciones y servicios más seguros son precisamente lo más desconocidos. Entre ellos se encuentran nombres que suenan vagamente como ChatSecure, Cryptocat, Silent Phone, Silent Text o TextSecure. Estos servicios son de uso minoritario precisamente por que suelen emplearse dentro de círculos cerrados, por su complejidad o sencillamente por que la gente aún siendo consciente de la problemática no valora adecuadamente hasta que punto su información está comprometida en las redes

Los servicios más seguros son los más desconocidos para los usuariosDentro del análisis de la EFF algunos de los servicios populares más seguros son los ofrecidos por empresas como Apple. Apple Mail y Messenger continúan entre los mejores aunque ninguno de los dos, afirman desde EFF, superaría una prueba sofisticada de hackeo. Otros como los de Google, Yahoo o Facebook ofrecen medidas generales de seguridad pero fallan en puntos críticos como la ya mentada encriptación “end-to-end” dejando una vulnerabilidad a explotar muy fuerte.

Otro servicios, especialmente los utilizados para comunicarse de manera más “privada” como Snapchat, Secret o Whatsapp, BlackBerry Messenger o Viber fallan precisamente en las mismas cuestiones o incluso en algunas más básicas, haciéndolos más vulnerables si cabe. EFF ha realizado este estudio en su “campaña por la seguridad y una codificación mas práctica” donde quieren poner en evidencia la necesidad de concienciar a los usuarios y desarrollar herramientas que nos den al mismo tiempo comodidad y seguridad. Podéis consultar las aplicaciones revisadas en el catálogo mostrado por la EFF.