TorrentTags, la base de datos de los torrents de descarga arriesgada para el usuario

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/torrenttags-la-base-de-datos-de-los-torrents-de-descarga-arriesgada-para-el-usuario/
TAGS: DMCA, TorrentTags

En ocasiones la descarga de torrents puede ser una ruleta rusa debido a las redes de monitoreo, los titulares de derechos de autor en guerra con los usuarios que consumen este tipo de contenidos de manera ilícita, o la lucha de diversas corporaciones antipirateo cada vez más en contra de estas acciones.

En sus primeros días de desarrollo,TorrentTags tiene como objetivo ayudar a los artistas y asistir a los titulares de los derechos de autor para reducir la piratería. Por ejemplo, si hemos bajado un torrent de música que se encuentre entre las 100 descargas más populares del portal The Pirate Bay, lo más probable es que varias empresas antipiratería supervisaran esta acción.

Esto se podría traducir en una suspensión en nuestra línea a través del ISP, una demanda de varios miles de dólares, una multa de tan solo 20 dólares o nada en absoluto, depende en gran medida de de la suerte que tengamos en el momento de la descarga. Sin embargo,TorrentTags es un proyecto actualmente en fase beta que tiene como objetivo informar mejor a los usuarios de que el torrent que están a punto de descargar es de interés para las empresas que están en contra de la piratería, para de este modo evitar disgustos futuros y del mismo modo reducir las descargas ilegales.

[caption id="attachment_4250" align="alignnone" width="600"] TorrentTags, la base de datos de los torrents de descarga arriesgada para el usuario[/caption]

Creada por un equipo de desarrolladores de software de Australia en respuesta a la legislación antipiratería, TorrentTags se está construyendo como una base de datos de fácil búsqueda que tiene como objetivo proporcionar información y asesorar de cualquier cualquier torrent con riesgo, ayudando al usuario y al mismo tiempo reduciendo la piratería.

TorrentTags obtiene sus datos de dos maneras, en primer lugar utiliza la base de datos deChilling Effects para importar los detalles de los torrentes que ya han sido objeto de una notificación de la DMCA (Digital Millennium Copyright Act) a través de Google, Twitter oFacebook, entre otras vías. Por otro lado, el sitio hace una llamada a los titulares de los derechos de autor para que presenten detalles de aquellos contenidos que no quieren compartir en BitTorrent. De este modo estos pueden ser agregados a la base de datos TorrentTags para que cuando la gente los busque, las advertencias se muestran claramente.

Tal y como informan los desarrolladores de esta base de datos, “los titulares de los contenidos con derechos de autor pueden informar a los usuarios acerca de los torrents que contengan dichos derechos mediante el envío de reclamaciones a nuestra base de datos. Esto es probable que conduzca a una disminución en el número de descargas de los mismos“.

Fuente:http://www.adslzone.net/

TorrentTags, la base de datos de los torrents de descarga arriesgada para el usuario
Noticias de seguridad informática

Una nueva variante de NanoCore se distribuye utilizando los correos electrónicos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/una-nueva-variante-de-nanocore-se-distribuye-utilizando-los-correos-electronicos/
TAGS: Malware, NanoCore, RAT, WINDOWS

Los malware de tipo RAT son algo bastante común hoy en día y con unos resultados bastante favorables para los ciberdelincuentes. De ahí que estén difundiendo una variante de NanoCore utilizando sobre todo correos electrónicos y afectando a usuarios de los sistemas operativos Windows.

Se tratan de unas amenazas que en principio están destinadas a usuarios de dispositivos Android y que tras comprobar el éxito obtenido portaron estas soluciones a sistemas de escritorio, sobre todo dirigidas a afectar a los sistemas operativos de los de Redmond.

[caption id="attachment_4246" align="alignnone" width="634"] Una nueva variante de NanoCore se distribuye utilizando los correos electrónicos[/caption]

En esta ocasión el virus informático se está distribuyendo haciendo uso de correos electrónicos spam, sin embargo, en variantes anteriores los ciberdelincuentes también recurrieron a las redes sociales y páginas web hackeadas.

Cuando NanoCore llega al equipo no muestra actividad desde el principio, sino que espera periodo aleatorio hasta comenzar con el proceso de instalación. En principio no debería existir ningún problema para que la mayoría de las herramientas detecten la presencia de esta amenaza, aunque hay que decir que no todas las gratuitas logran detectarla de forma eficaz.

NanoCore posee las mismas funciones que una puerta trasera

Esto quiere decir que si su instalación ha sido satisfactoria los propietarios de este podrán acceder de forma totalmente remota y controlar el equipo. Además de manejar los archivos almacenados en él, los ciberdelincuentes también podrán instalar otras aplicaciones no deseadas sin que el usuario sea consciente.

Aunque en este variante aún no está confirmado, en anteriores los equipos infectados se utilizaban para realizar ataques de denegación de servicio y enviar correos electrónicos de forma masiva.

En lo referido a países que se encuentran afectados, Estados Unidos, Australia, Francia, Alemania y España se encuentran entre los países más afectados por esta oleada, afirmando los expertos en seguridad que esta continuará durante las próximas semanas.

Fuente:http://www.redeszone.net/

Una nueva variante de NanoCore se distribuye utilizando los correos electrónicos
Noticias de seguridad informática

Un ataque hacker paralizan el aeropuerto Chopin de Varsovia durante cinco horas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/un-ataque-hacker-paralizan-el-aeropuerto-chopin-de-varsovia-durante-cinco-horas/
TAGS: Chopin airport, LOT

Unos 1.400 pasajeros de la aerolínea polaca LOT se quedaron en tierra

Un ciberataque paralizó este domingo durante cinco horas elaeropuerto Chopin de Varsovia, en Polonia. La aerolínea polacaLOT, víctima de los hackers, se vio obligada a cancelar y aplazar cerca de una veintena de vuelos nacionales e internacionales.

La compañía ha detallado que el sistema informático utilizado para emitir los planes de vuelo se ha visto afectado en el ataque, si bien ha asegurado que la situación «ya se encuentra bajo control».

[caption id="attachment_4242" align="alignnone" width="640"] Un ataque hacker paralizan el aeropuerto Chopin de Varsovia durante cinco horas[/caption]

«Estamos trabajando para restaurar la normalidad lo antes posible. Nuestro centro de operaciones está preparando los planes de vuelo. Intentaremos garantizar que el mayor número de pasajeros sean informados», ha resaltado.

El ciberataque se inició hacia las 16,00 hora local (15,00 GMT) y el problema se resolvió hacia las 20,00 hora GMT, según se detalla en un comunicado.

La agencia británica de noticias Reuters ha cifrado en 1.400 el número de pasajeros que han quedado en tierra en el aeropuerto internacional de Varsovia-Chopin a causa de las cancelaciones.

El portavoz de la compañía, Adrian Kubicki, señaló a la cadena de televisión TVN 24 que éste «ha sido el primer ataque de este tipo» contra la aerolínea polaca, aunque en el pasado han sufrido ciberataques otras compañías aéreas. «Son ataques con efectos lamentables y muy espectaculares», añadió el portavoz, deplorando los inconvenientes causados a los pasajeros. Aseguró que éstos han recibido la ayuda necesaria, incluso la posibilidad de pasar la noche en hoteles en Varsovia.

Los servicios de seguridad polacos, como la Agencia de Seguridad Interior ABW y el Centro gubernamental de Seguridad, investigan el caso.

Fuente:http://www.abc.es/

Un ataque hacker paralizan el aeropuerto Chopin de Varsovia durante cinco horas
Noticias de seguridad informática

Hackean cuentas de Gmail haciendo uso del número de teléfono

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/hackean-cuentas-de-gmail-haciendo-uso-del-numero-de-telefono/
TAGS: Gmail, Malware, números de teléfono

Habíamos comprobado que las redes sociales desempeñan un papel muy importante entre los ciberdelincuentes a la hora de realizar hackeos. Sin embargo, la última amenaza nos demuestra que estos han ido un paso más allá y que ahora utilizan los números de teléfono para obtener las cuentas de Gmail.

La mecánica de la estafa es bastante sencilla y sorprende que haya usuarios que aún caigan en este tipo de engaños. El usuario recibe un mensaje de texto informando sobre una actividad no autorizada en la cuenta del servicio de los de Mountain View. Teniendo en cuenta los servicios y la gran cantidad de datos que aglutina esta el usuario pronto mostrará preocupación en la mayoría de los casos y seguirá las instrucciones indicadas.

En un principio parece todo bastante normal, sin embargo, el usuario está a punto de caer en una estafa que podría terminar con el robo de la cuenta de Google.

Todo parece indicar que por el momento solo algunos países del norte de Europa y Estados Unidos (en mayor medida) están afectados por este ataque.

¿Cómo se puede robar la cuenta de Gmail haciendo uso del número de teléfono?

[caption id="attachment_4238" align="alignnone" width="634"] Hackean cuentas de Gmail haciendo uso del número de teléfono[/caption]

Los ciberdelincuentes no necesitan terminal del usuario ningún malware ni software similar encargado de robar los mensajes de texto. Este solo debe conocer la dirección de la cuenta que desea robar y el número de teléfono del usuario asociado a esta. A priori no es sencillo pero teniendo en cuenta los hackeos sufridos por servicios es probable que en el mercado negro pueda encontrarse esta información con relativa facilidad.

Al informar el usuario sobre la actividad anormal en la misma se solicita que cuando sea posible se envíe el código de verificación, necesario si quieres recuperar la cuenta. El usuario comienza con el proceso y cuando recibe el código en el terminal móvil procede al envío a los ciberdelincuentes creyendo que se trata de Google.

Hay que tener en cuenta que Google al igual que nunca solicitará las credenciales de acceso tampoco va a hacerlo de los código de verificación recurriendo a un mensajes de texto.

Fuente:http://www.redeszone.net/

Hackean cuentas de Gmail haciendo uso del número de teléfono
Noticias de seguridad informática

Así se puede descubrir tu dirección IP real cuando estás dentro de Tor

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/asi-se-puede-descubrir-tu-direccion-ip-real-cuando-estas-dentro-de-tor/
TAGS: Adobe Flash, TOR, VPN

Estamos seguros que todos sabéis lo que es Tor y cómo funciona, sin embargo aunque sabréis que Tor nos proporciona anonimato en la red, también hay técnicas que permite descubrir nuestra dirección IP real si no tomamos las medidas oportunas. En este artículo os vamos a contar cuáles son todas las formas posibles de perder el anonimato en Tor.

Los responsables del sitio Silk Road fueron detenidos y trabajaban en la “sombra” de Tor, sin embargo, los servicios de inteligencia consiguieron descubrirles. ¿Cómo lo consiguieron? Aún se desconoce cómo desenmascararon a los responsables del sitio, pero está claro que descubrieron un fallo de seguridad en la red Tor que explotaron con el fin de localizar a estos usuarios.

Hay dos tipos de ataques principalmente, los que se encuentran en el lado del cliente (Navegador web) y los que se encuentra en la red de servidores de Tor.

Fallos de seguridad en el lado del cliente

Se filtraron documentos de la NSA donde se hablaba sobre la explotación de vulnerabilidades en Mozilla Firefox, el navegador base del conocido Tor Browser, sin embago en estos documentos también se hablaba de que no se podía realizar un seguimiento contínuo debido a que las nuevas versiones del software no incorporaban los mismos fallos de seguridad, dependiendo de las versiones había unas vulnerabilidades u otras.

Otro fallo de seguridad que se descubrió es Adobe Flash, este plugin crea un canal de comunicación dedicado hacia el servidor y se puede capturar la dirección IP real del cliente, por lo que estaremos totalmente desenmascarados. Los desarrolladores de Tor Browser reaccionaron rápido y lo que hicieron fue directamente excluir Flash de su navegador con el fin de proteger a los usuarios.

Otro método reciente que permite descubrir la dirección IP real del cliente es el protocolo WebRTC, en RedesZone os hemos hablado en detalle sobre este gravísimo problema y cómo desactivarlo en los principales navegadores web:

• Cómo bloquear el protocolo WebRTC en nuestro navegador.
  


• 
  
  Steganos Online Shield VPN te protege del WebRTC de los navegadores que revelan tu IP.

HTML5 también nos ha traído unas imágenes “canvas” que están diseñadas para crear imágenes en mapa de bits con la ayuda de JavaScript. Al renderizar las imágenes se podría ver el navegador que está utilizando el usuario así como varios componentes hardware instalados, el sistema operativo utilizado y también diversas configuraciones software. Actualmente Tor Browser permite bloquear estas imágenes para no dejar ningún rastro.

Además también se recomienda deshabilitar JavaScript, pero hay muchas páginas web que no funcionan si no lo tenemos habilitado por lo tanto deberemos tener mucho cuidado por dónde navegamos, o usar Tails que incorpora protección adicional con un firewall basado en iptables.

Fallos de seguridad en la red de servidores

Estos fallos de seguridad no están en nuestra mano evitarlos, por lo que nos tendremos que fiar de los nodos Tor a los que estamos conectados.

Si un administrador de un nodo de Tor utiliza NetFlow para inspeccionar el tráfico tendrá una gran cantidad de metadatos de nuestra conexión. Sin embargo, deberán tener un gran número de nodos de Tor bajo su control para conseguir poner en peligro nuestra identidad. Esta técnica realmente es una línea de investigación.

[caption id="attachment_4235" align="alignnone" width="927"] Así se puede descubrir tu dirección IP real cuando estás dentro de Tor[/caption]

Monitorización pasiva

En Tor tenemos nodos intermedios por donde la información va completamente cifrada, y también hay nodos finales donde es el punto débil de la comunicación ya que todo el tráfico se descifra y aquí es por dónde podría haber filtraciones y problemas de seguridad. En este nodo, cualquier usuario podría realizar una monitorización pasiva capturando todos los datos de los usuarios para su posterior estudio.

Monitorización activa

En los nodos de salida se puede inyectar código malicioso en los archivos binarios que pasan a través de ellos, gracias a que podrían realizar un Man In The Middle. De esta manera un usuario que navegue por Internet a través de Tor, le podrían hacer un MITM e inyectar código en su archivo descargado. Sin embargo, cualquier actividad de manipulación de tráfico en un nodo de salida es rápida y fácilmente identificado por diferentes herramientas automáticas, y el nodo de salida se incorpora a la lista negra por la comunidad Tor.

Fuente:http://www.redeszone.net/

 

Así se puede descubrir tu dirección IP real cuando estás dentro de Tor
Noticias de seguridad informática

WhatsApp y el peligro de los mercados paralelos: más apps falsas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/whatsapp-y-el-peligro-de-los-mercados-paralelos-mas-apps-falsas/
TAGS: Malware, Trojan, WhatsApp

Ya sea debido a la impaciencia por esperar que nuevos productos sean finalmente liberados en mercados oficiales, o bien para intentar obtener contenido pago de manera gratuita, los usuarios de aplicaciones móviles recurren a mercados no oficiales para descargar e instalar ejecutables. Sin embargo, esta práctica encierra un conjunto de peligros que pueden terminar con el robo de información confidencial.

Reforzando este comportamiento, los cibercriminales crean sitios web para la propagación defalsas aplicaciones que son descargadas e instaladas por cientos de usuarios finales -vimos hace poco el caso del troyano que pretendía ser Dubsmash en Google Play.

Whastapp, un blanco predilecto

Gracias a la envergadura que ha logrado alcanzar esta aplicación para mensajería y llamadas móviles, su popularidad es ampliamente utilizada por atacantes que buscan hacer de la Ingeniería Social su puerta de ingreso a los sistemas víctimas.

Un claro ejemplo de esto lo constituye la muestra detectada por las soluciones de seguridad de ESET como Android/TrojanSMS.Agent.ZS. Este troyano que opera sobre el sistema operativo móvil de Google tiene alta incidencia en Brasil, donde se disemina desde un único dominio, cuyo sitio podemos observar a continuación:

Esta versión comenzó a propagarse por Latinoamérica a comienzos de 2015, y no muestra señales de revertir esta tendencia a corto plazo. A decir verdad, cada vez son mayores los números de detecciones disparadas por este código malicioso.

Dentro del AndroidManifest, podemos notar una larga lista de permisos, entre los que encontramos el acceso a las redes de conectividad y el envío y recepción de mensajes SMS. Además, podemos observar que utiliza el framework para compras integradas Fortumo:

También podemos ver cómo este archivo malicioso esconde su operatoria nombrando sus procesos tras dos redes sociales conocidas, lo cual ayuda a su camuflaje ante el ojo del usuario no versado en la materia.

Tras su instalación, el malware inicia un proceso de pago, incitando al usuario a generar una compra para la utilización de WhatsApp. El estado de la compra es manejado a través de ficheros con variables booleanas, que pueden ser modificados para la ventaja del analista.

Una vez concretado el pago, la aplicación comienza el proceso de descarga e instalación de un segundo APK.

Este segundo archivo es en realidad una variación de la muestra original, que sólo contiene algunos de sus paquetes. Entonces, se procede con el proceso normal de instalación en Android, mostrando los permisos peticionados. Finalmente, requiere permisos de administrador, complicando así su posterior remoción.

Las siguientes capturas dan cuenta de los permisos solicitados por esta aplicación:

Podemos ver que al finalizar la segunda instalación, tenemos dos aplicaciones en el dispositivo  víctima.

Realizando un análisis dinámico del tráfico de red, podemos percatarnos de una serie de mensajes codificados que se envían mediante HTTP.

Si echamos un vistazo al código, encontraremos las clases encargadas de realizar el proceso de ofuscación. Entonces, generando un script en Python que restituya la información original, podremos ver los datos que se están enviando desde el terminal infectado, entre los que se encuentran datos del equipo (tales como el atributo android_id, la versión del sistema operativo y el fabricante del dispositivo) y una lista de paquetes correspondientes a otras aplicaciones, para supuestos fines publicitarios.

¿Y qué ocurre con las aplicaciones de escritorio?

Aunque podían ser encontradas con anterioridad, tras la liberación de WhatsApp Web ha incrementado el número de aplicaciones maliciosas de escritorio que simulan ser la aplicación verídica.

Por ejemplo, tenemos el caso de Win32/TrojanDownloader.Banload.VQZ para Windows. Esta amenaza detectada en mayo se aprovecha de usuarios desprevenidos para intentar descargar un segundo código malicioso en el equipo infectado.

Curiosamente, este malware también se relaciona con un dominio brasileño que ya ha sido dado de baja. Vemos entonces cómo este mercado parece resultar sumamente atractivo para los cibercriminales.

Otra muestra de similares comportamientos es Java/TrojanDropper.Agent.K. Al ejecutarse en el equipo víctima, esta variante de troyano (que también data de mayo del corriente año) descarga otro código malicioso de un sitio brasileño actualmente activo.

Además, infecta cualquier unidad extraíble conectada al terminal con un archivo JAR, y configura laejecución automática de este archivo.

[caption id="attachment_4228" align="alignnone" width="772"] WhatsApp y el peligro de los mercados paralelos: más apps falsas[/caption]

¿Qué hemos aprendido?

Debiese quedar claro, tras observar estos ejemplos, qué acciones podemos desencadenar al elegir descargar y ejecutar este tipo de aplicativos desde sitios no oficiales. De este modo, algo que pareciera ser tan sencillo como seguir las pautas básicas de navegación segura en plataformas tecnológicas no se cumple, y deviene en grandes dolores de cabeza para los usuarios.

Aunque nos parezca irrisorio, este tipo de mecanismo de propagación de códigos maliciosos que se basa en los descuidos del usuario del terminal se constituye como uno de los principales vectores de diseminación de malware. Nuevamente, vemos cómo aplicaciones de uso cotidiano son un blanco atractivo para los cibercriminales, que al combinarlas con Ingeniería Social logran aprovecharse de la confianza de los usuarios.

Fuente:http://www.welivesecurity.com/

WhatsApp y el peligro de los mercados paralelos: más apps falsas
Noticias de seguridad informática

Cómo detectar troyanos o virus camuflados en sencillos archivos en Windows

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/como-detectar-troyanos-o-virus-camuflados-en-sencillos-archivos-en-windows/
TAGS: Malware, Trojan

¿Sabes cómo reconocer un archivo de código malicioso camuflado en otro distinto? Quienes utilizan Windows y a diario transfieren información desde un pendrive USB hasta su ordenador podrían estar teniendo una gran cantidad de problemas si no saben cómo reconocer a este tipo de archivos camuflados con código malicioso en su interior.

A pesar de que un sistema antivirus puede llegar a bloquear cualquier tipo de infección por parte de estos archivos de código malicioso, podría existir alguno perfectamente bien diseñado que tenga la capacidad de infiltrarse aún cuando el sistema antivirus, este actualizado. A continuación mencionaremos unos cuantos trucos que puedes llegar a usar  para reconocer fácilmente, a este tipo de amenazas.

Archivos de código malicioso con una doble extensión

A continuación colocaremos una pequeña captura para que la analices durante unos cuantos segundos; allí mismo podrás ver a un archivo que ha sido encontrado con el explorador de Windows, el cual teóricamente vendría a ser uno del tipo “de texto plano”. Aquí mismo ya podremos empezar a presumir que el archivo es falso, pues la extensión no debería llegar a mostrarse (.txt) si no hemos personalizado la forma en que veremos algunos elementos.

[caption id="attachment_4209" align="alignnone" width="830"] Cómo detectar troyanos o virus camuflados en sencillos archivos en Windows[/caption]

Si te diriges hacia las “Opciones de Carpeta” y a la pestaña “Ver” deberías tener activada la casilla que dice “ocultar las extensiones de archivo para tipos de archivos conocidos”; si dicha casilla se encuentra activada, entonces ningún tipo de elementos debería mostrar su extensión, lo cual aplicado a la captura que hemos colocado en la parte superior debería ser reconocido como un troyano, virus o simplemente, código malicioso camuflado en un documento de texto plano.

Pero si aún tienes dudas sobre lo que hemos mencionado, entonces deberías intentar cambiar el modo de vista hacia “Detalles”, momento en el cual en cambio podrás ver algo muy similar a la captura anterior; allí mismo se muestra en una columna que el archivo en cuestión viene a ser una “aplicación”.

Código malicioso manipulado hacia un archivo común y corriente

Ahora bien, lo que hemos comentado en la parte superior viene a ser una de las tareas más fáciles para realizar a la hora de reconocer este tipo de códigos maliciosos camuflados en un archivo común y corriente. Usuarios mucho más experimentados podrían hacer que la extensión ejecutable de estos elementos puedan ser cambiados hacia otra distinta para engañar por completo al usuario que posiblemente le hará doble clic.

Versiones anteriores a Winrar 4.2.0 tenían un pequeño problema según determinadas personas que se llegaron a enterar del mismo; un usuario malintencionado podría llegar a comprimir dentro de un archivo utilizando a Winrar, a algún elemento con código malicioso y con la doble extensióncomo hemos mencionado en la parte superior. Cuando todo estaba ya comprimido, se utilizaba un editor de código hexagecimal para cambiar internamente el nombre del extensión (en el caso de nuestro ejemplo, de .exe a un simple .txt). De esta manera, un usuario podría llegar a ver el contenido de este conjunto de archivos comprimidos y no notar ningún tipo de diferencia alguna.

El problema se llegaba a dar cuando se extraía el contenido, pues en ese momento aquel archivo que aparece como un simple documento plano .txt pasaba a ser en realidad un ejecutable, el cual al darle doble clic infectaba al ordenador con Windows. Esta es la forma de como un código malicioso se llega a infiltrar en Windows sin ser detectados inmediatamente por el sistema antivirus.

Comodo Antivirus para detectar una doble extensión

Si no tienes un sistema antivirus instalado en Windows te recomendamos a “Comodo Antivirus“, el cual existe una versión gratuita y una de pago. Puedes usar únicamente a la primera de ellas si lo deseas, pues dentro de sus características tiene la posibilidad de detectar a cualquier archivo que tenga esta “doble extensión”. Vale la pena mencionar, que este sistema antivirus es considerado como uno de los más antiguos dentro de toda su especie, aunque es bastante confiable a la hora de reconocer a estos elementos que pueden llegar a infectar tu ordenador en cualquier momento de descuido.

Fuente:http://www.vinagreasesino.com/

Cómo detectar troyanos o virus camuflados en sencillos archivos en Windows
Noticias de seguridad informática

Auditar topologia de redes MPLS.

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/auditar-topologia-de-redes-mpls/
TAGS: LinkRank, MPLS, SQL

MPLS (Multiprotocol Label Switching) es un protocolo de transporte de datos estándar creado por la IETF y definido en el RFC 3031. En el modelo OSI estaría situado entre la capa de enlace de datos y la capa de red. Fue diseñado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes, reemplazando rápidamente frame relay y ATM como la tecnología preferida para llevar datos de alta velocidad y voz digital en una sola conexión. MPLS proporciona una mayor fiabilidad y un mayor rendimiento, a menudo puede reducir los costos generales mediante una mayor eficiencia de la red. Permite dar prioridad a los paquetes que transportan tráfico de voz, esto lo convierte en la solución ideal para transportar las llamadas VoIP.

Existen dos herramientas ideales para auditar la topologia de redes MPLS y ver los cambios de enrrutamiento para reforzar la seguridad de la red:

[caption id="attachment_4204" align="alignnone" width="680"] Auditar topologia de redes MPLS.[/caption]

LinkRank es una herramienta para visualizar los cambios de enrutamiento BGP (protocolo utilizado en MPLS). Esta herramienta puede ser utilizada para entender la dinámica de enrutamiento, o para aprender más sobre BGP. LinkRank resume los megabytes de actualizaciones BGP recibidos de los puntos de recogida y genera gráficos que indican los segmentos de rutas afectadas. Captura la dinámica de enrutamiento en forma gráfico que muestra claramente que los enlaces AS-AS han perdido rutas y cuáles han ganado rutas.Cada enlace AS-AS se pesa por el número de rutas BGP realizan y los cambios en los pesos de enlace se utilizan para visualizar los eventos de enrutamiento.

Más información y descarga de LinkRank:
http://sourceforge.net/projects/link-rank/?source=directory

Netaudit es una herramienta para hacer auditorías de una red MPLS. La auditoría se realiza mediante la ejecución de una serie de comandos y tablas SNMP para reunir información sobre el estado actual de los dispositivos. La información obtenida se puede comparar con las dos salidas diferencias.

El principal uso de la herramienta es tomar una instantánea del estado de un red antes de: una actualización de software, incorporación de nuevos elementos... Los datos se almacenan en una base de datos SQLite3 y se puede ver ya sea consultas SQL directas, o (recomendado) la función "netreport" incluidas en la distribución.

Fuente:http://www.gurudelainformatica.es/

Auditar topologia de redes MPLS.
Noticias de seguridad informática

Actualización de Drupal repara error que permitía secuestrar cuenta de administrador

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/actualizacion-de-drupal-repara-error-que-permitia-secuestrar-cuenta-de-administrador/
TAGS: Drupal

Las nuevas versiones del popular sistema de gestión de contenidos de código abierto, Drupal, están liberadas y corrigen una serie de vulnerabilidades, entre ellas una crítica que puede dar lugar a que un atacante tome control sobre la cuentas de administrador.

"Se encontró una vulnerabilidad en el modulo OpenID que permite a un usuario malicioso iniciar sesión como un usuario del sitio, incluyendo uno administrador, y secuestrar sus cuentas", explicó el equipo de seguridad de Drupal en un aviso.

"Esta vulnerabilidad (CVE-2015-3234) es mitigada debido a que la víctima debe contar con una identidad OpenID asociada con un determinado conjunto de proveedores de OpenID (incluyendo, pero no limitado a Verisign, LiveJournal o StackExchange)."

[caption id="attachment_4200" align="alignnone" width="680"] Actualización de Drupal repara error que permitía secuestrar cuenta de administrador[/caption]

Las otras tres fallas son menos críticas, lo suficientemente serias si el atacante puede explotarlas, pero la explotación es difícil debido a ciertos factores de mitigación.

Por ejemplo, CVE-2015-3232 es una falla en el módulo Field UI que permite a usuarios maliciosos, bajo ciertas circunstancias, usar la consulta del parámetro "destinos" para construir una URL para engañar a los usuarios y que sean redirigidos a un sitio web de terceros potencialmente malicioso. Este ataque puede solamente ser ejecutado en sitios donde el módulo Field UI está habilitado.

Fuente:http://www.seguridad.unam.mx/

Actualización de Drupal repara error que permitía secuestrar cuenta de administrador
Noticias de seguridad informática

WhatsApp suspende en el informe de seguridad de la EFF

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/whatsapp-suspende-en-el-informe-de-seguridad-de-la-eff/
TAGS: Adobe, Apple, EFF, WhatsApp, Wikimedia, WordPress, Yahoo

Compañías como Apple, Yahoo y Adobe han superado con nota el examen de la Electronic Frontier Foundation por la protección de los datos que brindan a sus clientes. En cambio, nuestro inseparable WhatsApp ha recibido una de las puntuaciones más bajas.

Gobiernos, empresas y usuarios forman un cóctel explosivo en el que los intereses de cada uno parecen enfrentados a los del resto. Sin embargo, el revuelo de las filtraciones de Snowden al fin logró poner a cada uno en su lugar o, al menos, eso es lo que se desprende de los datos recogidos en el informe anual 2015 elaborado por la Electronic Frontier Foundation (EFF). Así es como lucha la EFF contra los programas de vigilancia de los gobiernos:

¿Qué entidades protegen tus datos de las solicitudes del gobierno?

El informe Who Has Your Back? de la EFF investiga las prácticas de las compañías y fundaciones para averiguar cuáles de ellas están protegiendo tus datos de las solicitudes del gobierno. Esta asociación sin ánimo de lucro que lucha por los derechos "digitales" de los usuarios, desde 2011 elabora anualmente dicho informe en el que cada compañía recibe una valoración positiva o negativa en referencia a distintos criterios, tales como:

• Mejores prácticas aceptadas por la industria.


• Notificación a los usuarios de las peticiones del gobierno.


• Revelación de las políticas de retención de datos.


• Revelación de gobierno las solicitudes de eliminación de contenido.


• Política pública a favor del usuario: oposición a las puertas traseras.

En 2015, se ha puesto a examen la privacidad y la seguridad de los datos de los usuarios en estas 24 empresas: Adobe, Amazon, Apple, AT&T, Comcast, CREDO Mobile, Dropbox, Facebook, Google, LinkedIn, Microsoft, Pinterest, reddit, Slack, Snapchat, Sonic, Tumblr, Twitter, Verizon, WhatsApp, Wickr, Wikimedia, WordPress y Yahoo. La mayoría de ellas han superado la prueba, e incluso con buena nota:

Los que mejor protegen los datos del usuario

• Apple


• Adobe


• Yahoo


• Wikimedia


• WordPress

Los que peor protegen los datos del usuario

• Verizon


• AT&T


• WhatsApp

A través del siguiente enlace, puedes acceder al PDF del informe Who Has Your Back? 2015 en el que se explican con más profundidad cuáles han sido los criterios de valoración y se ofrece un resumen con los resultados y los reportes independientes para cada entidad.

Evolución frente al espionaje del gobierno

Who Has Your Back? 2011

En este año, los criterios valorados fueron: la información a los usuarios acerca de las demandas de datos, la transparencia frente a las solicitudes de los gobiernos, la lucha por la privacidad de los usuarios en los tribunales y la lucha por la privacidad de los usuarios en el Congreso. Los resultados obtenidos fueron bastante penosos.

Who Has Your Back? 2015

En los años siguientes la progresión fue ascendente. Cada vez más empresas se mostraron preocupadas por la seguridad y privacidad de sus clientes. En 2015, casi todas las compañías valoradas en el informe han superado la prueba.

[caption id="attachment_4196" align="alignnone" width="596"] WhatsApp suspende en el informe de seguridad de la EFF[/caption]

Snowden ha marcado un punto de inflexión en lo que a la seguridad de los datos de los usuarios se refiere. En general, todos estamos más concienciados y dispuestos a enfrentarnos a la violación constante de nuestros derechos en Internet. Sin embargo, aunque la situación nos indigne,seguimos mostrándonos confiados con aplicaciones como WhatsApp que se ha hecho imprescindible en nuestros smartphones. A sabiendas de esta situación ¿serías capaz de cambiar esta app de mensajería instantánea por otra más segura?

Fuente:http://www.malavida.com/

WhatsApp suspende en el informe de seguridad de la EFF
Noticias de seguridad informática

Windows Firewall Notifier 2, un primer vistazo a la Alpha

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/windows-firewall-notifier-2-un-primer-vistazo-a-la-alpha/
TAGS: WINDOWS, Windows Firewall Notifier

Los sistemas Windows a partir de Windows XP SP2 vienen con un firewall integrado. Aunque este software puede servirnos para aplicar una fina capa de seguridad adicional a nuestro sistema operativo, en muchos aspectos deja mucho que desear, especialmente en todo lo relacionado con la configuración. Windows Firewall Notifier es una aplicación desarrollada por terceros que desde 2011 busca facilitar la configuración de este cortafuegos.

Recientemente los desarrolladores de Windows Firewall Notifier han publicado la primera Alpha de la que será la versión sucesora de la actual. El salto generacional ha hecho que los desarrolladores hayan cambiado totalmente la interfaz y cambiado muchas de las opciones que nos ofrecía la versión original del software adaptándolas a las nuevas amenazas y a un funcionamiento por defecto mucho más sencillo.

Podemos descargar esta nueva versión de forma gratuita desde su página web. El ejecutable ocupa tan sólo 270KB, aunque es posible descargarlo junto a una base de datos de direcciones IP maliciosas para bloquearlas, en cuyo caso el tamaño aumenta hasta los 19MB. Antes de finalizar indicamos que Windows Firewall Notifier 2 ya ha sido desarrollado pensando en el próximo Windows 10, que tiene previsto su lanzamiento para el 29 de julio.

Esta aplicación es portable, por lo que no necesita instalación previa. Cuando la ejecutamos (debemos hacerlo como administrador) podremos ver la interfaz principal. Lo primero que veremos será una interfaz muy sencilla. La parte izquierda de la pantalla está reservada para el menú con los diferentes apartados del firewall y el resto de la misma para mostrar el contenido de cada apartado.

El primer apartado que veremos será “connections“. Desde aquí vamos a poder ver todas las conexiones establecidas entre las aplicaciones ejecutadas en nuestro ordenador y diferentes servidores de Internet.

A continuación veremos el apartado “map“. Este apartado nos va a permitir ver todos los países con los que están conectadas las diferentes aplicaciones.

En el apartado “bandwidth” podremos ver el ancho de banda que consume cada aplicación.

El apartado “adapters” nos va a listar todos los adaptadores de red que tenemos instalados en nuestro sistema (tanto habilitados como deshabilitados” y nos va a permitir conocer el tráfico total que han generado cada uno de ellos.

El siguiente apartado es “filter rules“. Este apartado es probablemente el más interesante ya que es desde donde vamos a poder ver todas las reglas creadas y controlar las que están activas o desactivadas en el firewall. Por el momento no podemos crear nuevas reglas y para hacerlo debemos recurrir a la consola del firewall de Windows.

Para finalizar, el apartado “event log” nos mostrará, si tenemos, los registros guardados por el firewall.

Como podemos ver, Windows Firewall Notifier 2 es una completa herramienta para gestionar nuestro cortafuegos integrado en Windows. Desde ella vamos a poder controlar fácilmente todas las reglas creadas y obtener una gran cantidad de información sobre todas las conexiones que se generan desde nuestro ordenador hacia servidores externos.

Como hemos dicho Windows Firewall Notifier 2 aún se encuentra en fase de desarrollo por lo que hay varios errores (fallos en la interfaz, por ejemplo) y el consumo de memoria es bastante elevado (puede superar los 120 MB). Poco a poco sigue el desarrollo de esta aplicación que, una vez alcance la rama estable, va a convertirse en una herramienta imprescindible para aquellos que dependen del cortafuegos de Windows.

Fuente:http://www.redeszone.net/

Windows Firewall Notifier 2, un primer vistazo a la Alpha
Noticias de seguridad informática

WikiLeaks publica más documentos de hackeo a Sony Pictures

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/wikileaks-publica-mas-documentos-de-hackeo-a-sony-pictures/
TAGS: Sony, Wikileaks

WikiLeaks publicó un nuevo conjunto de registros a su base de datos en línea de los documentos robados de Sony Pictures Entertainment y publicado por los hackers.

La nueva información contiene "enredos legales, incluyendo una investigación por soborno", dijo WikiLeaks en un mensaje de Twitter el jueves. La organización, liderada por Julian Assange, es conocida por hacer públicos documentos no autorizados. En abril, se creó una biblioteca permanente de búsqueda de registros de Sony que fueron robados y originalmente publicados por los hackers en 2014.

[caption id="attachment_4182" align="alignnone" width="670"] WikiLeaks publica
más documentos de hackeo a Sony Pictures[/caption]

Los últimos documentos incorporados por WikiLeaks suman un total de más de 276 mil, dijo. Se suma a los más de 200 mil artículos ya publicados. Los documentos contienen una lista de acuerdos legales, incluyendo un pago de 300 mil dólares en marzo de 2014 a un exvicepresidente de Sony en el centro de la tecnología 3D del estudio, quien dijo que fue discriminado por su sexo y su raza. La lista no dijo si Sony admitió la responsabilidad.

El exempleado, Michelle Leigh, "fue víctima de estereotipos sexuales por un vicepresidente senior fuera de control", según una carta enviada a la empresa por su abogado, Renuka Jain, en noviembre de 2013.
Jain declinó hacer comentarios. Leigh no respondió de inmediato a una solicitud de comentarios. Un portavoz de Sony, Robert Lawson, declinó hacer comentarios.

Documentos anteriores de Sony han demostrado que la unidad de entretenimiento de la compañía investigó sus operaciones indias de posibles violaciones jurídicas incluyendo fraude y sobornos.

El ataque cibernético en el estudio de cine en noviembre pasado también proporcionó detalles sobre la investigación de Estados Unidos sobre cómo los estudios de Hollywood obtienen películas distribuidas en China, el segundo mercado cinematográfico más grande del mundo, y si se violaron leyes de soborno, informó el Wall Street Journal en enero.

Fuente:http://www.elfinanciero.com.mx/

WikiLeaks publica más documentos de hackeo a Sony Pictures
Noticias de seguridad informática

Un error común a Firefox, Safari y Google Chrome permite bloquearlos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/un-error-comun-a-firefox-safari-y-google-chrome-permite-bloquearlos/
TAGS: Firefox, Safari y Google

La aparición de errores es inevitable para los desarrolladores de software, algo a lo que ya están acostumbrados los responsables de los principales navegadores. Aunque se realice una beta muy completa, la aparición de estos es inevitable, algo que han podido comprobar en Firefox, Safari y Google Chrome, compartiendo un fallo que provoca el bloqueo de estos.

Los errores de overflow del buffer suelen ser bastante frecuentes, y sin ir más lejos, un error de estas características en los servidores de Call of Dutty permitía bloquear los navegadores de los usuarios, un suceso para el que nos tenemos que remontar al 2003.

[caption id="attachment_4178" align="alignnone" width="634"] Un error común a Firefox, Safari y Google Chrome permite bloquearlos[/caption]

El funcionamiento de este error no tiene nada complejo: el usuario accede a un sitio web con un archivo favicon (iconos favoritos) y el navegador comienza a descargar el contenido durante varios minutos hasta que finalmente el buffer de la aplicación se llena y se produce el bloqueo de esta.

Aunque no se sabe exactamente el tamaño, parece que los tres navegadores citados con anterioridad poseen la capacidad de descargar hasta 10 GB, momento en el cual se produce el bloqueo y el cierre de la aplicación de forma repentina.

Firefox, Safari y Google Chrome muestran problemas ante archivos ICO

En realidad la aparición de este fallo no sorprende a ninguna de las partes, por lo tanto, la falta de “regulación” de estos archivos era de esperar que tarde o temprano provocase problemas de este tipo. Por este motivo, para evitar que aparezcan estos síntomas es mejor recurrir a archivos favicon que posean como extensión PNG, GIF o JPEG y evitar aquellos que sean ICO.

El error fue descubierto por el investigador De Pasquale de forma totalmente accidental al acceder a una página de WordPress que poseía un archivo de estas características.

Las buenas noticias son de momento de forma exclusiva para los usuarios de Firefox, ya que los responsables ya han conseguido poner fin al problema.

Fuente:http://www.redeszone.net/

Un error común a Firefox, Safari y Google Chrome permite bloquearlos
Noticias de seguridad informática

En Europa se produce un ataque DDoS dos veces por semana

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/en-europa-se-produce-un-ataque-ddos-dos-veces-por-semana/
TAGS: ataque, europa, seguridad

Los cibercriminales llevaron a cabo más de 23.000ataques DDoS (ataques de denegación de servicio) mediante botnets a los recursos web en 76 países en el primer trimestre de 2015, según Kaspersky Lab. Los servidores en EEUU, Canadá y China son los que recibieron más ataques, pero entre las 10 principales zonas atacadas también se incluyen Europa y la región Asia-Pacífico, según las últimas estadísticas de la compañía.

El mayor número de ataques dirigidos a un único recurso fue de 21, lo que significa casi dos ataques a la semana. En el Q4 de 2014, la cifra era 16. Además, el ataque botnet más prolongado fue de casi seis días de duración.

"Un ataque DDoS es a menudo una acción transfronteriza; el cliente se encuentra en un país, el ejecutor en otro, los servidores C&C se encuentran alojados en un tercer país y las bots que participan en el ataque se encuentran dispersas por todo el mundo", afirma Alfonso Ramírez,director general de Kaspersky Kaspersky Lab Iberia.

[caption id="attachment_4175" align="alignnone" width="624"] En Europa se produce un ataque DDoS dos veces por semana[/caption]

La cantidad de ataques DDoS mediante botnets, al igual que la cantidad de víctimas de estos ataques, bajó en el primer trimestre en comparación con el periodo anterior. Al mismo tiempo, la cantidad de países atacados por esta amenaza, por el contrario, aumentó.

Los delincuentes informáticos que usan botnets para organizar ataques DDoS siguen siendo bastante insistentes: el ataque DDoS más prolongado detectado en el primer trimestre de 2015 duró 140 horas (cerca de seis días) y el recurso más atacado soportó 21 ataques en tres meses. Sin embargo, como muestran las investigaciones, incluso un breve ataque puede afectar al funcionamiento de un recurso desprotegido.

Uno de estos ataques le puede costar a la víctima 444.000 dólares, sin considerar los riesgos de reputación provocados por el descontento de los usuarios que no recibieron el servicio que esperaban.

Las compañías de seguridad TI luchan contra los ataques DDoS y las botnets en particular, encontrando y agregando a las bases de firmas nuevos programas maliciosos, protegiendo los servidores contra hackeos y los ordenadores contra la infección, poniendo límites a las actividades de los servidores de administración, etc.

Fuente:http://computerhoy.com/

En Europa se produce un ataque DDoS dos veces por semana
Noticias de seguridad informática

Un fallo crítico en el kernel de Linux afecta a todas las versiones de Ubuntu

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/un-fallo-critico-en-el-kernel-de-linux-afecta-a-todas-las-versiones-de-ubuntu/
TAGS: kernel, Linux, Ubuntu

Mantener los sistemas operativos actualizados es muy importante para evitar que usuarios no autorizados puedan acceder a nuestro ordenador y evitar así que nuestros datos caigan en malas manos. Aunque los sistemas Linux tienen una cuota de mercado bastante reducida a nivel de usuario en servidores es el sistema operativo mayoritario, por lo que de detectarse un fallo de seguridad miles de servidores por todo el mundo quedarán expuestos, así como sus datos y la información que manejan, hasta el lanzamiento del parche y su correspondiente instalación.

Desde Canonical informan a sus usuarios de un nuevo parche de seguridad para el kernel que soluciona una vulnerabilidad que, según ellos, ha sido denominada como “grave“. Este fallo de seguridad afecta a todas las versiones actuales de Ubuntu (tanto de usuario como de servidor).

Este fallo, denominado como CVE-2015-1328, se encuentra situado en el sistema de archivos OverlayFS del kernel de Linux y puede llegar a permitir que usuarios locales exploten fácilmente la vulnerabilidad para conseguir ganar permisos hasta alcanzar el nivel de root y poder ejecutar programas con permisos administrativos.

Canonical por su parte no tardó en desarrollar un parche que permitiera a su sistema operativo libre seguir siendo seguro y primando la seguridad por encima de todo lo demás. Este parche ya se encuentra disponible en los repositorios oficiales de la compañía e irá llegando a otros sistemas operativos vulnerables en los próximos días según lo adapten sus desarrolladores.

Es muy importante actualizar Ubuntu para evitar su explotación

Es muy recomendable actualizar los sistemas lo antes posible para evitar que cualquier usuario con acceso físico (o remoto) al PC pueda aprovecharse de esta vulnerabilidad para explotar sistemas Linux.

Para actualizar el sistema no tenemos más que abrir un terminal y teclear en él:

Una vez actualizado el sistema sólo nos queda reiniciarlo para que todos los cambios se adapten perfectamente a nuestro equipo. Al tratarse de una actualización del kernel este debe reconstruirse en nuestro sistema y es posible que si usamos módulos de terceros tengamos que volver a añadirlos manualmente tras la actualización.

Las nuevas versiones del kernel que ya corrigen este fallo de seguridad corresponden con:

• Linux-image-3.19.0-21 en Ubuntu 15.04


• Linux-image-3.16.0-41 en Ubuntu 14.10


• Linux-image-3.13.0-55 en Ubuntu 14.04 LTS


• Linux-image-3.2.0-86 en Ubuntu 12.04 LTS

Esta vulnerabilidad ya tiene un exploit público

Tal como podemos ver en la página Exploit-db, esta vulnerabilidad ya cuenta con un exploit escrito en C que con simplemente un par de comandos es posible dotar a cualquier usuario de permisos root globales para todo el sistema. Una vez que se compila y ejecuta este exploit el atacante puede controlar todo el sistema con permisos globales.

[caption id="attachment_4167" align="alignnone" width="634"] Un fallo crítico en el kernel de Linux afecta a todas las versiones de Ubuntu[/caption]

Fuente:http://www.redeszone.net/

Un fallo crítico en el kernel de Linux afecta a todas las versiones de Ubuntu
Noticias de seguridad informática

Una grave vulnerabilidad en iOS y OS X permite robar todas tus contraseñas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/una-grave-vulnerabilidad-en-ios-y-os-x-permite-robar-todas-tus-contrasenas/
TAGS: Apple Keychain, iOS, OS X

Una importante vulnerabilidad en iOS y OS X de Apple permite robar todas las contraseñas del usuario. Se trata de una vulnerabilidad de tipo zero-day, las más graves, que permite hackear Keychain, el servicio de contraseñas de los dispositivos de la manzana mordida.

Se pueden robar contraseñas tanto de las apps de Apple como las de terceros, por ejemplo, Facebook, Twitter, el correo, las contraseñas de Google Chrome o cualquier otro servicio. Para ello tan solo es necesario instalar una app maliciosa. Además la vulnerabilidad lleva presente en iOS y OS X desde el pasado mes de octubre.

Los investigadores e la Universidad de Indiana, el Instituto de Tecnología y la Universidad de Pekín informaron a Apple antes de hacer pública la vulnerabilidad pero parecen haber sido ignorados ya que sigue presente en las últimas versiones de ambos sistemas operativos.

[caption id="attachment_4163" align="alignnone" width="720"] Una grave vulnerabilidad en iOS y OS X permite robar todas tus contraseñas[/caption]

Incluso estos investigadores consiguieron pasar el control de seguridad de apps de las tiendas de aplicaciones de Apple, filtrando así una app maliciosa y explotando la vulnerabilidad. De esta forma se hicieron con los datos bancarios de los usuarios almacenados en el navegador Google Chrome e incluso con las claves de iCloud, Evernote y WeChat. Las consecuencias, como vemos, son importantes.

El 88% de las aplicaciones de Mac y iOS serían vulnerables a este ataque a través de Keychain de Apple, que es donde radica la vulnerabilidad. Por tanto Apple tiene la posibilidad de solucionar fácilmente este problema que afecta a todo el ecosistema de apps para los sistemas operativos.

Google y otros reaccionan por su parte

Compañías como Google o los responsables de la app 1Password han corregido la vulnerabilidad en sus apps de forma independiente. ¿Cómo? Eliminando la integración con Keychain de Apple y utilizando sus propios sistemas. Así evitan que las contraseñas de sus apps se alojen en este problemático sistema.

Fuente:http://www.elgrupoinformatico.com/

Una grave vulnerabilidad en iOS y OS X permite robar todas tus contraseñas
Noticias de seguridad informática

Tor Browser 4.5.2 soluciona varias vulnerabilidades graves

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/tor-browser-4-5-2-soluciona-varias-vulnerabilidades-graves/
TAGS: MITM, TLS, Tor Browser

Para aquellos que aún no conozcan Tor Browser es un navegador web basado en Firefox y configurado especialmente para poder acceder a la red Tor sin necesidad de utilizar software adicional y aportando una serie de opciones y configuraciones que mejoran nuestra privacidad y seguridad. Cada poco tiempo suelen aparecer nuevas vulnerabilidades en este tipo de software, por lo que es muy importante mantener el navegador actualizado siempre a la última versión.

Hace varias horas aparecía en la web principal de Tor Browser una nueva versión del navegador: 4.5.2. Esta nueva versión llega con varios componentes críticos actualizados a las versiones más recientes y soluciona uno de los fallos más peligrosos para los usuarios que intentan proteger su privacidad: Logjam.

Logjam es un fallo detectado en los últimos días en las librerías de OpenSSL que aprovecha una vulnerabilidad en las conexiones TLS y que puede llegar a permitir a piratas informáticos realizar ataques MITM. Este fallo de seguridad (ya solucionado) comprometía por igual a todos los protocolos (HTTPS, SMTPS e IMAPS) y estaba siendo explotado tanto por usuarios no autorizados como por organizaciones como la NSA. Con OpenSSL 1.0.1n este fallo de seguridad ha quedado solventado.

En esta nueva versión también se han actualizado los siguientes componentes:

El módulo principal de Tor, que ahora se encuentra en la versión 0.2.6.9.
HTTPS-Everywhere a la versión 5.0.5 para forzar mejor a las webs a establecer conexiones seguras a través de HTTPS.
Torbutton a la versión 1.9.2.6 que añade la posibilidad de crear nuevas identidades y de establecer las preferencias de privacidad, modificar los niveles de seguridad o modificar las conexiones.
NoScript a la versión 2.6.9.26 que bloquea todo tipo de contenido JavaScript, Java o Flash para evitar posibles infecciones.
Para finalizar indicamos que también se han solucionado una serie de incompatibilidades entre Torbutton y Linux que hacían que el navegador se cerrara de forma inesperada y se perdiera la sesión actual del usuario.

Como podemos ver, aunque se trata sólo de una actualización “menor” los cambios que se han incluido y las mejoras de seguridad son considerables, por lo que es recomendable actualizar lo antes posible para garantizar así la máxima prioridad.

Fuente:http://www.redeszone.net/

Tor Browser 4.5.2 soluciona varias vulnerabilidades graves
Noticias de seguridad informática

Vídeo | Así destruyen dos imanes un Apple Watch de 10.000 dólares

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/video-asi-destruyen-dos-imanes-un-apple-watch-de-10-000-dolares/
TAGS: Apple Watch

Si es sensible a las barbaridades y un devoto de la firma de la manzana mordida, mejor no vea este vídeo. El portal de YouTube que se encarga de destrozar de las maneras más insólitas posibles todos los productos de Apple que salen al mercado lo han vuelto a hacer, en esta ocasión con el reloj inteligente de la compañía.

Los youtubers destructores de tecnología, que llevan en la red desde 2009, han decidido destrozar un Apple Watch Gold Edition, valorado en 10.000 dólares mediante la presión de dos imanes, dos piezas de neodimio. Con la ayuda de dos palos, estos amantes de la ciencia han terminado provocando que los imanes consiguiesen atraerse hasta el punto de aplastar el valioso reloj.

Los imanes empleados en el vídeo, de neodimio, se utilizan en laboratorios y fábricas, por lo que son excesivamente potentes; tanto que son peligrosos si una persona queda "atrapada" entre uno y una superficie metálica.

Fuente:http://www.economiahoy.mx/

Vídeo | Así destruyen dos imanes un Apple Watch de 10.000 dólares
Noticias de seguridad informática

De qué se trata un ataque transferencia de zona a los DNS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/de-que-se-trata-un-ataque-transferencia-de-zona-a-los-dns/
TAGS: DNS, WINDOWS

En un post anterior hablábamos de la importancia de las buenas configuraciones respecto a los dominios, ya que estos suelen entregar mucha información y en ocasiones más de lo debido. A la hora de contar con servicios, dominios, sitios web y demás, muchas veces se escapan detalles como suelen ser las configuraciones en los servidores DNS, por lo que veremos de qué se trata latransferencia de zona a los DNS y cómo esto puede exponer información e infraestructuras.

Como hemos visto anteriormente, los servidores DNS básicamente son equipos que se encargan de resolver nombres de dominio a direcciones IP. Esto permite a los usuarios acceder a servicios de manera amigable, ya que recordar las direcciones IP sería más complejo.

No obstante, suelen ser utilizados por los atacantes para recolectar información acerca de la infraestructura y subdominios de la posible víctima –aunque existen herramientas automatizadas para hacerlo, como por ejemplo Dnsnum. De esta última vemos una captura de pantalla a continuación:

Puede verse con claridad cómo con solo indicarle unos pocos parámetros (en este caso –enum para enumerar la información) ya comienza con la recolección de información, no solamente de los servidores DNS sino también haciendo búsquedas en Internet. Si bien hace todo por sí sola con solo indicarle el dominio, debe comprenderse cómo funciona por detrás.

Para obtener este tipo de información se puede utilizar el comando dig en los sistemas Linux y OS X; es una herramienta de consultas a servidores DNS, como veremos a continuación:

Vemos que al realizar la consulta, automáticamente se listan los servidores DNS que se encargan de resolver las consultas. Para realizar esta consulta se utiliza el siguiente comando:

    dig NS midominio.net

Una vez ejecutado el comando en un entorno Linux, mostrará la lista de los correspondientes servidores encargados de responder a las solicitudes para ese dominio.

¿Por qué un atacante querría realizar la transferencia de zona y recolección los registros de los servidores DNS?

Sucede que a través de ellos se llega a recolectar información de una red corporativa, exponiendo en ocasiones sus direcciones IP internas, servidores y equipos. Para recolectar esta información debe usarse el parámetro “axfr” (a este tipo de ataque también se lo denomina AXFR) donde el comando queda de la siguiente manera:

    dig @ns1.midominio.net axfr midominio.net

El parámetro “axfr” es quien permite la transferencia de zona de dicho DNS, ya que se usa parasincronizar y actualizar datos de la zona cuando se produjeron cambios. Si bien la transferencia puede hacerse vía “axfr”, también es posible hacerla de forma incremental, denominada entonces “ixfr” -cuando se ejecuta la solicitud se obtiene la transferencia de toda la zona como respuesta. Sin la debida configuración, esto le permite a un atacante replicar la base de datos DNS, obteniendo información sensible.

Una vez hecho esto, si el ataque tiene éxito, podrá verse cómo resulta la exposición de mucha información, como veremos en la siguiente captura de pantalla:

Puede apreciarse en el ejemplo mostrado que se listan direcciones IP, servicios que seguramente son de uso interno como portales de login, servicios de correo e inclusive los portales disponibles para las versiones móviles.

¿Cómo puedo ver esta información desde Windows?

De la misma forma en que podemos obtener esta información con el comando dig desde sistemas Linux, también podemos obtenerla desde sistemas Windows con Nslookup. Veamos en la siguiente captura de pantalla cómo hacerlo:

[caption id="attachment_4152" align="alignnone" width="602"] De qué se trata un ataque transferencia de zona a los DNS[/caption]

Si bien desde Windows cambian un poco los comandos y los parámetros, puede realizarse de igual forma. En primer lugar es necesario abrir la consola de Windows (también es posible usar consola aquí); para hacerlo basta con escribir “cmd” en la barra de búsqueda en el menú Inicio y presionar la tecla Enter.

Una vez abierta la consola, como se muestra en nuestro ejemplo anterior, se puede iniciar la secuencia de comandos:

1. El primero a ejecutar es nslookup seguido de la tecla Enter; esto inicia la herramienta para realizar consultas a servidores DNS


2. El segundo es: set type=ns (aquí se especifica que el tipo de consulta en este caso Name Server); una vez presionado Enter, en la siguiente línea debe colocarse el dominio a consultar, por ejemplo com.ar


3. El tercero a ejecutar es: set type=all seguido de la tecla Enter (aquí se especifica que se realicen todas las consultas posibles)


4. El cuarto y último es: ls ejemplo.com.ar, el cual se encargará de listar la información disponible

Entonces ¿Qué hacemos para prevenir la fuga de este tipo de información?

Es muy importante comprender que toda esta información podría ser explotada por un cibercriminal para comprometer un equipo o la red completa. Sabiendo esto de antemano, disponemos de lasherramientas para realizar el análisis proactivo para su prevención.

Para evitar estos dolores de cabeza de fuga de información, desde el Laboratorio de Investigación de ESET Latinoamérica recomendamos revisar los archivos de configuración en los servidores DNS. Cabe destacar que dependiendo del software que se esté utilizando para este servicio, será donde se encuentra ubicado su archivo de configuración para permitir o denegar el o los equipos autorizados a realizar dicha transferencia.

Por ejemplo, para solucionar este problema en bind9, se debe acceder al archivo named.conf.local(ubicado por defecto en /etc/bind) y editarlo, con la finalidad de admitir la transferencia de zona solo a direcciones IP de servidores DNS secundarios de confianza. Para hacerlo debe modificarse el archivo de la siguiente forma:

Es importante tener siempre presente que este archivo puede variar su configuración y ubicación dependiendo de qué software se utilice. Recomendamos comprender cómo funciona el que se está utilizando y realizar la configuración correspondiente.

Como pudimos ver, algo que puede parecer tan simple representa un serio riesgo de seguridad. Vimos cómo utilizando herramientas propias del sistema operativo, en conjunto con malas configuraciones del otro lado, se logra recopilar una gran cantidad de información sensible.

A través de la información obtenida, el atacante puede comprender la topología de la red y de esta forma intentar vulnerarla. Por eso, es necesario trabajar de forma proactiva para detectar este tipo de situaciones y corregirlas, antes que sea aprovechado por un atacante. Aplicando las correcciones necesarias a estos problemas proactivamente podremos utilizar la tecnología de forma segura y sin tantas preocupaciones.

Fuente:http://www.welivesecurity.com/

De qué se trata un ataque transferencia de zona a los DNS
Noticias de seguridad informática

Millones de móviles Samsung en peligro por un bug de Swiftkey

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/millones-de-moviles-samsung-en-peligro-por-un-bug-de-swiftkey/
TAGS: Samsung, Swiftkey

Hasta 600 millones de móviles y tablets Samsung podrían estar en peligro por culpa de una vulnerabilidad deSwiftKey, el teclado que viene instalado por defecto en muchos de los modelos de la compañía surcoreana.

Ryan Welton, experto en seguridad informática de NowSecure, encontró hace meses el fallo y, ante la ausencia de soluciones por parte de Samsung, se ha decidido a hacerlo público.

La vulnerabilidad se produce cuando SwiftKey envía actualizaciones para los paquetes de idiomas instalados, ya que la comunicación no está encriptada, sino que se envían mediante texto plano.

El fallo de seguridad de Swiftkey permite, tal y como puede verse en el vídeo alojado bajo estas líneas, desviar los datos del teléfono a otro terminal a través de un ciberataque. Eso sí, para aprovecharse de la vulnerabilidad de SwiftKey el atacante debe estar conectado a la misma red inalámbrica que la víctima.

El agujero de seguridad de swiftkey tiene su gravedad ya que una persona podría acceder de forma remota a los sensores de teléfono, cámara o micrófono y, sobre todo, podría instalarsoftware malicioso con el que podría espiar las conversaciones o mensajes de la víctima, además de robarle información de extrema sensibilidad como sus cuentas bancarias.

Aunque Samsung ha lanzado algunos parches de seguridad el problema persiste, como evidenció Welton durante su conferencia en los modelos con TouchWiz que llevan por defecto instalado el teclado de SwiftKey. Entre ellos destacan algunos de los últimos modelos como elS6 o el S6 Edge, además de otros terminales de la familia Galaxy como el S5, el S4 o el S4 Mini. En estos casos resulta imposible desinstalar esta app salvo que el usuario la deshabilite o instale una nueva ROM.

El mes pasado Samsung envió a las operadoras una actualización de seguridad para los terminales que tengan instalado Android 4.2 Jelly Bean o superiores, pero el problema es que todavía un puñado de compañías de telefonía no han enviado ese parche a sus clientes.

Swiftkey ha confirmado que la app disponible tanto en Google Play como en el App Store es totalmente segura.

Fuente:http://computerhoy.com/

Millones de móviles Samsung en peligro por un bug de Swiftkey
Noticias de seguridad informática

BankBot, un malware que puede robar el dinero de las cuentas bancarias y el contenido de los SMS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/bankbot-un-malware-que-puede-robar-el-dinero-de-las-cuentas-bancarias-y-el-contenido-de-los-sms/
TAGS: BankBot, keylogger, Malware, mensajes SMS

Las amenazas dirigidas contra los dispositivos que utilizan el sistema operativo de los de Mountain View son cada vez más frecuentes y una prueba de ello es la última que se ha detectado, bautizada con el nombre de BankBot. Esta es capaz de robar dinero de las cuentas que se utilizan mediante las aplicaciones de las entidades bancarias e interceptar mensajes SMS.

Las facilidades que nos proporcionan los terminales móviles se pueden convertir muchas veces en un auténtico problema. El símil de Android con respecto a Windows es bastante obvio en lo referido a cuota de mercado y amenazas disponibles, algo que lejos de disminuir aún se mantendrá al alza durante al menos los dos próximos años.

[caption id="attachment_4141" align="alignnone" width="650"] BankBot, un malware que puede robar el dinero de las cuentas bancarias y el contenido de los SMS[/caption]

Cada vez son más los usuarios que utilizan su terminal móvil para acceder al portal de la entidad bancaria y consultar el estado de las cuentas o realizar operaciones. Tampoco podemos olvidarnos de que los números de teléfonos móviles se utilizan por la mayoría de los servicios para realizar autenticación en dos pasos a la hora de confirmar las operaciones.

Si sumamos estos dos factores nos encontramos con un problema importante: estamos dando a los propietarios de este malware las llaves de nuestras cuentas bancarias.

BankBot, un keylogger que también es capaz de recopilar el contenido de los SMS

El archivo malicioso no solo es capaz de capturar la ubicación de las pulsaciones realizadas en la pantalla para después obtener el nombre de usuario y la contraseña de acceso a los servicios, también es capaz de acceder a los mensajes de testo y posteriormente enviar el contenido a un servidor que es propiedad de los ciberdelincuentes.

Todavía no está del todo claro cuál es la vía de difusión utilizada por sus propietarios, pero todo parece indicar que BankBot se distribuye utilizando tiendas de aplicaciones no oficiales, utilizando la imagen de videojuegos u otro tipo de aplicaciones de pago.

Fuente:http://www.redeszone.net/

BankBot, un malware que puede robar el dinero de las cuentas bancarias y el contenido de los SMS
Noticias de seguridad informática

El navegador Tor Browser se renueva para ofrecerte más protección y anonimato

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/el-navegador-tor-browser-se-renueva-para-ofrecerte-mas-proteccion-y-anonimato/
TAGS: Tor Browser

El explorador web Tor Browser de la red The Onion Router lleva tiempo ofreciendo a los usuarios que deseen una mayor privacidad a la hora de navegar, más herramientas para proteger su anonimato. Ahora, sus responsables anuncian la disponibilidad de la segunda revisión de la versión 4.5 del navegador que soluciona varios problemas de seguridad que habían mermado la confianza de los usuarios en él.

Este software es uno de los más populares para acceder a la Deep Web o simplemente para evitar que alguien pueda monitorizar nuestra actividad cuando accedemos a Internet. No obstante, la vulnerabilidad Logjam (uno de los puntos subsanados) le había restado credibilidad así como diversas noticias al respecto de un mayor control por parte de agencias de seguridad como el FBI de las rendijas creadas sobre servicios HTTPS, SMTPS e IMAPS. Un control que se traducía en mayor vigilancia sobre los usuarios de la red Tor y el propio navegador. La actualización 4.5.2 llega para renovar algunos de los puntos débiles, destacando la citada vulnerabilidad.

Mike Perry ha sido el encargado de anunciar el paquete de novedades donde se ha destacado además la solución a un problema de crasheo del navegador en Linux e incidencias con los complementos cuando se desactivaba el Torbutton, utilizado para crear una nueva identidad a la hora de navegar.

[caption id="attachment_4137" align="alignnone" width="634"] El navegador Tor Browser se renueva para ofrecerte más protección y anonimato[/caption]

El navegador Tor enfrenta a usuarios y autoridades

El navegador Tor está disponible tanto para sistemas Windows como para Mac OS X o Linux y podemos descargarlo desde su página web. Las tecnologías para proteger la privacidad de los usuarios en Internet han ganado auge en los últimos tiempos debido a los casos de espionaje sobre los ciudadanos que han hecho sembrar las dudas sobre si las autoridades y los Gobiernos nos controlan mucho más de lo que podemos imaginar. Esto no obstante ha servido también de herramienta para que se lleven a cabo conductas inapropiadas en la red, ya que es más complicado identificar a los usuarios ya que no se deja un rastro de la dirección IP a través de la cual acceden a la red de redes.

El propio FBI ya ha alzado la voz en otras ocasiones contra The Onion Router debido a la facilidad con la que se pueden cometer delitos informáticos a través de este software y que provoca que muchas veces los culpables queden impunes. Pero desde las asociaciones de internautas se defienden este tipo de iniciativas y software por ayudar a proteger los derechos y libertados de los ciudadanos en Internet.

Fuente:http://www.adslzone.net/

El navegador Tor Browser se renueva para ofrecerte más protección y anonimato
Noticias de seguridad informática