ONU. Exposición de contraseñas y documentos confidenciales

Una mala configuración de algunos servicios para gestión de proyectos como Trello, Jira y Google Docs ha dejado expuestos documentos internos, contraseñas y otra información confidencial sobre la organización y sus miembros.

Cualquiera con el enlace adecuado podría acceder a la información, que incluía las contraseñas de uno de los servidores de ficheros de la organización, las credenciales de un sistemas de video conferencia y de un servidor de desarrollo de una de las oficinas de Coordinación de Asuntos Humanitarios.

El investigador de seguridad Kushagra Pathak que ha descubierto el "leak" ha notificado sus hallazgos a la organización, que a lo largo de este mes ha ido eliminando todo el material.

Pathak descubrió muchos de estos recursos haciendo simples búsquedas en Google, que dieron como resultado tableros de Trello públicos que contenían a su vez otros enlaces a documentos de Google Docs y páginas de Jira.

A pesar de que los tableros de Trello y los documentos de Google son privados por defecto, Pathak ha sugerido a Trello añadir medidas adicionales para evitar que los usuarios publiquen sus tableros por error. A lo que el CEO de Trello ha respondido:

"Nos esforzamos por asegurarnos de que los tableros públicos se crean de manera intencionada, haciendo necesaria una confirmación previa del usuario y mostrando en la parte superior de los tableros la visibilidad del mismo".

Los descubrimientos de Pathak ponen de manifiesto la falta de concienciación en materia de seguridad informática y los riesgos que una fuga de información de estas características supondría para grandes empresas y organizaciones.

Más información:

·        UNITED NATIONS ACCIDENTALLY EXPOSED PASSWORDS AND SENSITIVE INFORMATION TO THE WHOLE INTERNET: https://theintercept.com/2018/09/24/united-nations-trello-jira-google-docs-passwords/

Fuente: Hispasec

FACEBOOK. Vulnerabilidad permite acceso a 50 millones de datos de usuarios

Una vulnerabilidad en Facebook hizo saltar la alarma el pasado día 25, cuando el equipo de ingenieros de seguridad de Facebook se percató de que existía una brecha de seguridad que afectaba a al menos 50 millones de usuarios.

El ataque se aprovechó de varias vulnerabilidades existentes en el código. La primera de ellas fue debida a un cambio que se aplicó en 2017 que afectaba a la función de la carga de vídeo. El segundo error del que se aprovechó el ataque fue en la característica ‘ver como’ de la plataforma, que te permite ver tu propio perfil como lo vería otro usuario de la red social. Esta última característica, permitió a los atacantes obtener los token de acceso de los demás usuarios.

Los token es el equivalente a las credenciales de acceso, generalmente utilizado en las APIs del servicio, bien sea para la integración de automatismos, módulos, plugins, etc... En este caso la combinación de los tres fallos permitieron a los atacantes pivotar desde sus tokens a tokens de otros usuarios permitiéndoles obtener tokens de acceso adicionales.

Aunque la investigación aún no ha concluido y está en una fase temprana, el equipo de seguridad de Facebook sigue investigando el incidente para intentar averiguar quién está detrás de este ataque, desde dónde se realizó, si hay más usuarios afectados y a qué información se accedió.

Con respecto a la información accesible del ataque, el equipo de seguridad de Facebook aseguran que solo se ha podido acceder a los datos que permite ver la característica ‘ver como’ de la red, como nombre, género, fotos, estudios, etc y que en ningún caso se ha accedido a contraseñas o datos bancarios.

Este ataque ha llevado al equipo de seguridad de Facebook a realizar tres acciones:

1 – Corregir la vulnerabilidad.

2 – Resetear los token de acceso de los 50 millones de usuarios que han sido afectados junto con otros 40 millones de usuarios que utilizaron la característica ‘ver como’ en el último año. Por lo que los usuarios que utilicen este token de acceso, tendrán que volver a iniciar la sesión en el servicio.

3 – Deshabilitar la característica ‘ver como’.

Esta situación se suma al complejo año que lleva Facebook, que comenzó con el ‘Leak de Cambridge Analytica’, continuó con la salida de los socios de Instagram, las declaraciones de los fundadores de Whatsapp, y ahora sufre otro grave fallo de seguridad que ha dejado los datos de sus usuarios accesibles.

Más información:

·        Comunicado de Facebook: https://newsroom.fb.com/news/2018/09/security-update/

Fuente: Hispasec

Salto de autenticación con permisos administrador en Western Digital My Cloud

La vulnerabilidad, que en estos momentos no cuenta con una solución, permite ejecutar acciones como administrador simplemente estableciendo una cookie

Tanto los investigadores de exploitee.rs como de Securify han encontrado un fallo (CVE-2018-17153) en Western Digital My Cloud que permitiría realizar acciones como administrador en uno de los dispositivos afectados. Se desconocen los modelos exactos vulnerables, pero seguramente sea un gran número de ellos al compartir código. Los investigadores realizaron sus pruebas en el modelo WDBCTL0020HWT ejecutando la versión 2.30.172.

La vulnerabilidad es muy fácil de explotar, y no tiene más requerimientos que tener conexión con el dispositivo. Para su explotación, sólo se requieren 2 pasos: primero, realizar una petición POST form a '/cgi-bin/network_mgr.cgi' incluyendo 'cmd=cgi_get_ipv6&flag=1', creando así la sesión. Segundo, realizar una petición con un comando que requiera autenticación (por ejemplo, 'cgi_get_ssh_pw_status') agregando la cookie 'username=admin'.

Los discos duros Western Digital My Cloud son empleados en el mercado doméstico y  PYMES para almacenar backups e información personal, por lo que son objetivo de ransomware (además de botnets) al estar conectados de forma continua a la red. La empresa fue informada en abril de 2017, pero ésta ha ignorado el reporte, por lo que se ha publicado ahora en septiembre de 2018.

En caso de contar con un dispositivo vulnerable, la primera medida a adoptar es impedir el acceso al dispositivo desde Internet (lo cual debería realizarse en cualquier caso), aunque la solución ideal es desconectar el disco duro de la red, y acceder únicamente a través de cable USB, al menos hasta que se solucione la vulnerabilidad.

Más información:

·        CVE-2018-17153: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17153

·        Authentication bypass vulnerability in Western Digital My Cloud allows escalation to admin privileges: https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html

Fuente: Hispasec

Error de la API de Twitter expone mensajes privados de los usuarios

Un error en la API de Twitter expuso los mensajes directos de algunos usuarios a desarrolladores de aplicaciones de terceros no autorizados.

El error que ha dado pie a esta desprivatización de mensajes (si se puede llamar así) ha estado presente desde mayo de 2017 hasta el 10 de septiembre que se descubrió y parcheó.

"Si interactuaba con una cuenta o empresa en Twitter que dependía de un desarrollador que utilizaba la AAAPI para proporcionar sus servicios, es posible que el error haya provocado que algunas de estas interaccione se envíen involuntariamente a otro desarrollador registrado", explica Twitter.

Como funciona el error:

La compañía no ha querido dar muchos datos al respecto, pero si ha aclarado que el error se encontraba en el funcionamiento de la AAAPI propia de la compañía.

"En algunos casos, el error puede haber incluido el envío de ciertos mensajes directos o tweets protegidos a desarrolladores no autorizados", advierten publicamente.

Cabe señalar que el error solo involucra los DM de los usuarios y las interacciones con las empresas que utilizan Twitter para servicios como atención al cliente.

¿Cuantos usuarios están afectados?

A pesar de que no han descubierto ninguna evidencia de que un desarrollador equivocado haya recibido mensajes privados o tweets protegidos, la compañía no puede confirmar que no haya sucedido. Por lo que, potencialmente pueden estar afectadas más de 3 millones de personas (menos del 1% de los usuarios de la red social).

¿Qué puedes hacer si eres uno de los afectados con los que Twitter ha contactado?

Esperar. Twitter asegura que ya han contactado con todos los desarrolladores que podrían haber recibidos datos "no deseados" para que, de ser así, los eliminen con la mayor brevedad.

Esto no es más que una demostración más de que la seguridad no es una ciencia exacta y que nunca podemos asegurar estar 100% libre de peligro en Internet, por lo que debemos minimizar el riesgo al mínimo posible.

Más información:

·        Tweet de la compañía al respecto: https://twitter.com/TwitterSupport/status/1043214606930309121

Fuente: Hispasec

Ejecución de código remoto en Moodle

Se ha publicado un error en la plataforma educativa Moodle que podría permitir la ejecución remota de código

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Existe un error al importar un cuestionario de tipo 'arrastrar y soltar en el texto' (ddwtos) en formato XML, debido a una falta de comprobación en una función 'unserialize'. Esto podría causar una inyección de objetos PHP y conducir a una ejecución remota de código arbitrario.

Es necesario disponer de permisos para crear un cuestionario o importar preguntas para poder aprovechar esta vulnerabilidad. Aunque estos permisos los tienen los profesores, cabe destacar que es posible asignar el rol de 'profesor' un usuario 'estudiante' para un determinado curso, con lo cual estaría en posición de explotar este error.

Además, una plataforma Moodle también podría verse afectada de manera no intencionada si se importan cuestionarios o preguntas desde fuentes que no son de confianza.

Se propone la siguiente prueba de concepto que ejecuta el comando ‘whoami’ como demostración de la vulnerabilidad.

Esta vulnerabilidad, identificada como CVE-2018-14630, ha sido descubierta por Johannes Moritz. Ha sido catalogada como seria por la propia plataforma y afecta a todas las versiones anteriores a las siguientes: 3.1.14, 3.3.8, 3.4.5, y 3.5.2, en las cuales se ha corregido.

Más información:

·        MSA-18-0017: Moodle XML import of ddwtos could lead to intentional remote code execution: https://moodle.org/mod/forum/discuss.php?d=376023

·        Remote code execution via PHP unserialize in Moodle (CVE-2018-14630): https://www.sec-consult.com/en/blog/advisories/remote-code-execution-php-unserialize-moodle-open-source-learning-platform-cve-2018-14630/

·        Moodle downloads: https://download.moodle.org/

Fuente: Hispasec

Newegg es la nueva víctima del grupo delictivo Magecart

Esta semana la empresa Voletix junto a RiskIQ han publicado una investigación que tiene como protagonistas al grupo de ciberdelincuentes Magecart. Esta vez la víctima ha sido la empresa minorista de ordenadores y productos electrónicos de consumo Newegg.

Magecart es un grupo de ciberdelicuentes especializado en el robo de credenciales de pago mediante el uso de “skimmers digitales”. Entre los ataques que se le han atribuido están el robo de credenciales de pago en Ticketmaster, British Airways y el caso reciente de Newegg.

Este ataque ha sido prácticamente igual que el publicado un par de semanas atrás y que afectaba a la aerolínea británica British Airways. De hecho, teniendo en cuenta la fecha de realización del ataque y no la de publicación, este ataque ha sido anterior.

En resumen, el proceso es el siguiente:

1. Los atacantes logran acceder al servidor donde se hospeda el código que interpreta la web de la víctima, a través de cualquier vector.
2. El atacante introduce un código Javascript fraudulento que, paralelamente al proceso de compra, envía los credenciales del usuario a un servidor controlado por los atacantes.
3. El ataque persiste mientras el código no es detectado.

La detección puede llevarse a cabo bien por alguien externo, por la propia empresa afectada o bien por parte de las entidades bancarias. Estas últimas, debido a las denuncias de sus clientes que reclaman cargos no autorizados, alertan a la víctima.

Las entidades bancarias están más que acostumbradas a detectar patrones que identifiquen un 'skimmer' como foco del robo de información de credenciales bancarios. La cadena de hechos es sencilla: reciben quejas de sus usuarios por cargos no autorizados, buscan un patrón común entre ellos, y ya tienen la fuente, en este caso todos compraron previamente en Newegg.

Durante muchos años ha sido bastante común, y lo sigue siendo, la colocación de TPVs fraudulentos que roban las tarjetas que transaccionan con él. Estas nuevas técnicas solo tienen una diferencia: no existe ningún elemento hardware, en vez de ir a un TPV físico, los atacantes manipulan TPVs virtuales.

Particularidades del caso.

Lo primero que vamos a contar es el punto donde se ha introducido el código fraudulento, en este caso ha sido en el servidor secure.newegg.com.

Lo verdaderamente sorprendente esta vez ha sido como los atacantes han intentado disfrazar el ataque para permanecer el mayor tiempo en la sombra. Para ello el 13 de agosto los atacantes registraron el dominio neweggstats.com, un dominio que pretendía disfrazar las conexiones para parecer ser legítimo y al cuál enviaban la información robada. Además le compraron un certificado SSL para cifrar el tráfico y darle aún mayor sobriedad a la infraestructura fraudulenta.

Todo esto les permitió permanecer más de un mes sin levantar sospechas, con el siguiente código cargado en la url https://secure.newegg.com/GlobalShopping/CheckoutStep2.aspx

Cabe mencionar que en el caso de British Airways se usó el eslogan, con claros tintes ‘clikbaits’, de que tan solo 22 líneas de código habían sido necesarias para llevar a cabo el ataque. Este caso de Newegg es aún más 'flagrante' ya han sido únicamente 15 las líneas necesarias para el llevar a cabo el ataque. Así que podíamos apostar por un eslogan bastante más divertido, a mi manera de ver, que podría ser el siguiente: “Los Hackers que forman parten de Newegg han necesitado 7 lineas menos para perpetrar su ataque que en el caso de British Airways”, una tontuna enorme, ya no solo por el hecho de que el código es Javascript y hablamos de líneas, no de sentencias, sino, porque reducir este tipo de ataques a la orden que hace el envío de datos es evidenciar un completo desconocimiento sobre todo lo que conlleva ataques de este calado.

Más información:

·        Reporte de Volexity: https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-newegg

·        Reporte de RiskIQ: https://www.riskiq.com/blog/labs/magecart-newegg/

Fuente: Hispasec

Falso email de Deloitte usado para distribuir malware

En este caso los atacantes han suplantado la identidad de la conocida empresa Deloitte para distribuir muestras de TrickBot, una familia de troyanos bancarios que ha estado bastante activa los últimos meses.

Los correos reportados provienen de un tal "Adam Bush" Adam.Bush@deloitte-inv.com y utilizan un dominio fraudulento que incluye el nombre de la marca. El asunto del correo habla de un calendario de nóminas de la empresa y pretende despertar la curiosidad de la víctima para descargar y abrir el adjunto incluido.

Correo suplantando la identidad de Deloitte. Fuente: myonlinesecurity.co.uk

El fichero adjunto, en formato Excel, contiene una macro maliciosa que descargará el troyano. Desde las versiones de Office 2010 en adelante, el programa requiere que el usuario habilite de forma manual la ejecución de macros, por eso se mostrará en la hoja de cálculo un mensaje como el que vemos a continuación incitando al usuario a activar esta característica:

La macro descargará el ejecutable desde http://bcgfl[.]com/sdn.uqw o alternativamente http://ubeinc[.]com/sdn.uqw. Dos muestras del ya conocido Trickbot.

IOC de la campaña:

Payrollschedule.xls

MD5:  a628323455d1f19d1115e1626d1fabce

SHA-1:  552f531d1f8cba28da5fcc376abbc5647f438c69

URL de descarga del troyano:

http://bcgfl[.]com/sdn.uqw

72.29.67.154

http://ubeinc[.]com/sdn.uqw

72.29.90.19

MD5: cae0a5bb259d11b80e448c0c68f47f06

SHA1: 7c08e6f55738c52b7869d66a301578667b972f4b

Remitente: Adam.Bush@deloitte-inv[.]com

5.79.90.23

185.212.130.89

5.79.76.209

95.211.169.218

Dejar claro que Deloitte no ha sido en ningún momento comprometida y que el dominio fraudulento deloitte-inv.com ha sido registrado por un tercero que nada tiene que ver con la empresa.

Recomendación

• Se recomienda no abrir nunca correos con adjuntos no solicitados.

Más información:

• fake Deloitte FW: Payroll schedule delivers Trickbot:https://myonlinesecurity.co.uk/fake-deloitte-fw-payroll-schedule-delivers-trickbot/

Fuente: Hispasec

XBASH. Gusano multiplataforma enfocado a servidores

Este nuevo gusano para Windows y Linux escrito en Python combina ransomware, minado, botnet y capacidad de auto-propagación

Ha sido detectado un nuevo tipo de malware del que se sospecha que podría estar detrás Iron Group, un grupo cibercriminal chino ya conocido. Esta nueva amenaza destaca por contar con un amplio abanico de funciones, entre las que se encuentran ransomware (borra datos de varios tipos de bases de datos), botnet (comunicándose a servidores C2), ataques por fuerza bruta a múltiples servicios (MySQL, VNC, etc.), explotación de servicios para propagación (Hadoop, Redis y ActiveMQ) y minado. Además del alto número de opciones (que podrían ir incrementándose con el tiempo), este malware destaca por ejecutarse tanto en Windows como en Linux.

El principal riesgo que trae este malware es su capacidad como ransomware, afectando a las bases de datos MySQL, PostgreSQL y MongoDB, de las cuales borra todos sus datos y crea una nueva tabla con la información para realizar el pago. A pesar de que la cuantía por recuperar la información es relativamente pequeña (0,02 bitcoin, 125$ en estos momentos), no debería hacerse el pago bajo ningún concepto, porque el atacante no ha añadido un método de recuperación. El malware no sólo intenta acceder a las bases de datos conectándose a ellas, sino que además cuenta con métodos alternativos como utilizando PhpMyAdmin.

Otra de las características incluidas son sus funcionalidades como botnet para analizar máquinas remotas. Para su funcionamiento, hace uso de 3 tipos de servidores C2: uno del que obtiene IPs y dominios (públicos) a analizar, otro del que obtiene contraseñas a probar, y finalmente otro al que envía los resultados. El malware cuenta con un amplio número de servicios a examinar por si estuviesen disponibles, y en caso de tener éxito (y si el servicio está implementado), intenta romper la contraseña haciendo uso de los diccionarios. Los servidores C2 se encuentran en el código, y todas las comunicaciones se realizan usando HTTP.

Para su propagación, se aprovecha de vulnerabilidades ya conocidas en Hadoop (sin CVE, de 2016), Redis (sin CVE también, 2015) y ActiveMQ (CVE-2016-3088), lo que urge aún más actualizar dichos servicios si no lo estuviesen ya. Para infectar las máquinas vulnerables, el gusano se descarga así mismo desde uno de los servidores C2 disponibles, además del Coinminer empleado por el grupo criminal. Incluso para la instalación del malware cuenta con funciones para detectar si la máquina es Windows o Linux, para así realizar la instalación de la forma correcta.

Python, el lenguaje de programación empleado, destaca por permitir un desarrollo rápido y fácil, al mismo tiempo que facilita incorporar mejoras al software. Este lenguaje de script es multiplataforma, ventaja que aprovecha para ampliar el número las plataformas a infectar. Para su instalación, utiliza PyInstaller, un contenedor que incluye todas las dependencias de Python necesarias. Además, ofusca el código para impedir que sea detectado y dificultar su análisis, aunque ya está siendo detectado por varios antivirus.

Tendremos que estar atentos al avance de este malware, que podría variar en los próximos meses para soportar nuevos métodos de ataque y propagación. Mientras tanto, se recomienda utilizar contraseñas seguras en la configuración de los servicios, mantener el software actualizado y realizar backups (sobre todo de bases de datos).

Más información:

·         Xbash Combines Botnet, Ransomware, Coinmining in Worm that Targets Linux and Windows: https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows

·         Vulnerabilidad Hadoop: https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/linux/http/hadoop_unauth_exec.rb

·         Redis Remote Command Execution: https://packetstormsecurity.com/files/134200/Redis-Remote-Command-Execution.html

·         CVE-2016-3088: http://activemq.apache.org/security-advisories.data/CVE-2016-3088-announcement.txt

·         Resultados VirusTotal: https://www.virustotal.com/#/file/f808a42b10cf55603389945a549ce45edc6a04562196d14f7489af04688f12bc/detection

Fuente: Hispasec

Vulnerabilidades en plataforma de alquiler de bicicletas oBike

Se han descubierto varias vulnerabilidades en el sistema de bloqueo que utiliza la plataforma de alquiler de bicicletas oBike. Un atacante remoto podría eludir el mecanismo de bloqueo mediante ataques de repetición para reproducir textos cifrados en función de valores predecibles.

oBike es una plataforma de alquiler de bicicletas sin estaciones (se pueden recoger y entregar en cualquier ubicación donde esté permitido aparcar bicicletas o vehículos) originaria de Singapur, opera en más de 40 ciudades de Europa, Asia y Oceanía.

Desde la aplicación para smartphones, el cliente reserva una bicicleta que se encuentre ubicada cerca de su zona y mediante el escaneo de un código QR puede desbloquear y comenzar a utilizar la bicicleta gracias a un dispositivo IoT integrado en ella que actúa como sistema de bloqueo. En el momento en que la bicicleta es desbloqueada comienza el periodo de alquiler por el cual se facturará en tramos de 30 minutos.

El protocolo de comunicación utilizado por oBike es el siguiente:

La app envía un mensaje de saludo [1] con las coordenadas GPS para desbloquear la bicicleta a través de Bluetooth (BLE o 'Bluetooth Low Energy') y recibe una cadena de 32 bits utilizada como desafío ('keySource') [2]. Esta cadena se envía a los servidores de oBike [3] donde se procesa y se devuelve a la app [4] un índice de clave 'encKey' y un texto cifrado de 128 bits en 'keys'. Nuevamente a través de BLE, la app envía a la bicicleta el texto cifrado truncado a 96 bits y el índice de clave 'encKey' [5] y la bicicleta es desbloqueada emitiéndose una respuesta de confirmación [6] con los valores 'macKey' e 'index'. Como último paso, la aplicación envía a los servidores de oBike estos dos valores en el mensaje 'lockMessage' [7] con el cual el alquiler de la bici queda registrado y se inicia el periodo de facturación.

Previamente, al analizar este protocolo, se descubrieron algunas vulnerabilidades que se exponen en el proyecto 'Exploration of Weakness in Bike Sharing System' realizado por estudiantes de la 'School of Computing (National University of Singapure)' en 2017-2018. Estas podrían permitir falsear la ubicación de las bicicletas, realizar una denegación de servicio al hacer que el servidor establezca que la bicicleta está defectuosa por lo que dejaría de aceptar intentos de desbloqueo, e incluso omitir la confirmación en el paso 7, con lo cual la bicicleta quedaría desbloqueada pero el alquiler no sería registrado y por tanto el cobro tampoco sería efectuado.

Un análisis más reciente realizado por Antoine Neuenschwander ha determinado que:

• El campo 'keySource' (usado en el paso [2]) no es un valor aleatorio generados por el dispositivo IoT de bloqueo sino que representa la cantidad de milisegundos desde que se encendió el chip (lo cual corresponde a una ventana temporal de algo menos de 50 días: 2^32 milisegundos).
• El texto cifrado de 128 bits 'keys', resultante de una operación criptográfica desconocida basada en los valores 'keySource' y 'encKey', probablemente utilice un cifrado AES-128.
• 'encKey' selecciona la clave de encriptación de un conjunto de 64 índices distintos determinados por el servidor.

También se ha observado que si se fijan los valores 'keySource' y 'encKey', el valor resultante de 'keys' es siempre igual. Esto permitiría realizar ataques de repetición para desbloquear la bicicleta, enumerando todos los valores posibles de 'keySource' y capturando los valores correspondientes 'keys' y 'encKey' siendo posible reproducir estos valores posteriormente y de forma offline, sin necesidad de conectar con el servidor. Además es posible limitar el número de valores a enumerar gracias a un comando BLE que provoca un reinicio del chip, con lo que el ataque se simplifica en gran medida.

Esta vulnerabilidad tiene asignado el identificador CVE-2018-16242.

Más información:

• obike: https://www.o.bike
• CVE-2018-16242: https://nvd.nist.gov/vuln/detail/CVE-2018-16242
• Exploration of Weaknesses in Bike Sharing System: http://isteps.comp.nus.edu.sg/event/11th-steps/module/CS3235/project/3
• Reverse engineering of the oBike protocol communication (BLE and HTTP): https://github.com/antoinet/obike

Fuente: Hispasec