Banker.GT roba tus datos bancarios en Android y bloquea el antivirus

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/banker-gt-roba-tus-datos-bancarios-en-android-y-bloquea-el-antivirus/
TAGS: Banker.GT, nuevo troyano

Cuando cada vez están más cerca las compras navideñas, y por tanto se acerca un aumento en el uso de apps bancarias en el móvil, se ha descubierto un nuevo troyando bancario que afecta a dispositivos Android. Se llama Banker.GTy está diseñado para robar nuestras credenciales de acceso a servicios bancarios –entre otros-, pero por el camino es capaz, también, de deshabilitar el antivirus que tengamos instalado en nuestro dispositivo móvil.

 La lista de antivirus con los que es capaz de lidiar este troyano bancario no es corta, y entre sus amplias posibilidades están algunas de las soluciones de seguridad informática más populares para dispositivos Android. Podéis ver la lista de antivirus en RedesZone, pero a modo de resumen os adelantamos que puede con AVG, BitDefender, Qihoo y Symantec entre muchas otras. El malware en cuestión se ha podido detectar que se distribuye a través de una aplicación ocultaque se instala, como es frecuente, asociada a otra aplicación descargada desde fuentes no fiables.

Parece un cliente de correo electrónico, pero en realidad es un troyano bancario que invalida el antivirus y roba nuestras credenciales.

Así funciona Banker.GT, un nuevo troyano bancario para Android

Asociado a otra aplicación –con apariencia fiable-, la app se instala solicitando permisos innecesarios, pero elevados, que son los que le permiten controlar otras aplicaciones. Aquí es donde se lleva a cabo la desactivación del antivirus, luego se consigue que el troyano pueda llevar a cabo cualquier función maliciosa sin que salte alerta alguna por parte de las soluciones de seguridad informática. Y su funcionamiento se basa, de cara al usuario, en un servicio de correo electrónico ficticio que aparece como aplicación ‘Email’, con un icono sobre fondo blanco.

El troyano se encarga de conectar con un servidor que envía las instrucciones de forma remota para la recopilación de información de los usuarios afectados. Sencillamente se intercambian los datos robados y, habiendo asignado antes un identificador para cada víctima, se organizan para asociarlos a otra información recopilada del mismo. La cuestión es que esta app, ‘Email’, aparece únicamente de forma temporal y cuando se ha completado la instalación del troyano desaparece el icono para no levantar sospecha del usuario. Por lo tanto, lo importante para los usuarios es, como siempre, evitar instalar apps de fuentes no fiables, es decir, fuera de las tiendas oficiales de aplicaciones como la Google Play Store.

 Fuente:http://www.adslzone.net

Noticias de seguridad informática

Utilizan cuentas comprometidas de OneDrive for Business para infectar de malware a empresas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/utilizan-cuentas-comprometidas-de-onedrive-business-para-infectar-de-malware-empresas/
TAGS: Malware, OneDrive

Cuando nos envían un archivo por correo electrónico, se analizan los enlaces que pudieran venir en él para advertirnos en el caso de que una de las direcciones adjuntas fuese peligrosa. Pero los atacantes siempre van un paso por delante, y desde este verano han desarrollado un método con el que conseguir infectar de malware a las empresas saltándose estas protecciones.

Tal y como ha desvelado la firma de seguridad Forcepoin, se han empezado a detectar ataques en los que se utilizan cuentas comprometidas de OneDrive for Business para saltarse los filtros de seguridad e incitar a las empresas a bajarse malware. Estos ataques se están centrando sobre todo en Australia y Reino Unido, pero todos deberíamos estar atentos por si decidieran saltar a otros países.

Forcepoint explica que no está claro quién está realizando los ataques ni cuándo se consiguió comprometer la seguridad de OneDrive for Business, el servicio en la nube para empresas de Microsoft. Pero el caso es que desde agosto han venido detectándose numerosos ataques en los que se envía malware en campañas de correos fraudulentos utilizando este servicio.

Cuidado con lo que te descargas

Cada empleado de una empresa con una cuenta de OneDrive, tiene creada una carpeta personal 'MySite'. Algunas de estas cuentas han sido comprometidas y utilizadas para alojar malware, de manera que luego se genera un enlace al ejecutable que, al provenir de un servicio de Microsoft, no es detectado por los servicios de correo electrónico.

Se envía utilizando los clásicos correos de phishing a los que a usuarios y empresas se les proponen descuentos, presupuestos, etcétera relacionados con su negocio. Estos presupuestos suelen requerir la descarga de un archivo mediante un enlace OneDrive, el cual es el hace que nos descarguemos un virus, por lo general perteneciente a las familias de malware Dridex y Ursnif.

Este ataque no sólo es peligroso para los usuarios y empresas que reciben los correos, sino que como el malware se difunde a través de las cuentas de OneDrive de otras empresas, la reputación de estas también puede quedar dañada. Además, una vez comprometida una nueva empresa pueden quedar expuestos sus activos y contactos.

La única manera de impedir verse sorprendido por esta nueva campaña de ataques en el caso de que se amplíe a otros países es la de extremar las precauciones, desconfiando de quienes te incitan a realizar una descarga por mucho que esta sea a través de un servicio conocido. Forcepoint también le recomienda a las empresas que presten especial atención a la seguridad de sus cuentas de OneDrive for Business en el caso de que las tuvieran.

Fuente:http://www.genbeta.com

Noticias de seguridad informática

La empresa que desbloqueó el iPhone de San Bernardino dice poder hackear cualquier smartphone

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/la-empresa-que-desbloqueo-el-iphone-de-san-bernardino-dice-poder-hackear-cualquier-smartphone/
TAGS: “Wiper”, FBI, San Bernardino

A pesar de que este año ha estado marcado por algunas de las filtraciones de datos más importantes de los últimos años y de que el ramsomware está experimentando una escalada significativa, lo cierto es que la privacidad y la seguridad se han convertido en una clara apuesta para muchas empresas. Unas iniciativas que también se han centrado en el mercado de los smartphones y que, en definitiva, tratan de proteger al consumidor.

Sin embargo, existen otras que precisamente se han especializado en el lado opuesto. Es el caso de Cellebrite que, de hecho, acaba de jactarse de tener el software más avanzado para saltarse la seguridad de cualquier teléfono. De hecho, incluso el FBI lo ha empleado en algunos casos que prácticamente había dado por perdidos. Pero expliquémonos.

El software de Cellebrite

En concreto, se trata de una empresa israelí cuyo software fue usado por los investigadores para saltarse la seguridad del famoso iPhone 5C de Syed Rizwan Farookl, el asesino de la masacre de San Bernardino. Un caso tremendamente polémico que levantó suspicacias entre Apple y el FBI y que llevó a estos últimos a acusar a la firma de la manzana de obstruir la investigación. ¿El motivo? Que le impedían acceder a la información contenida en este teléfono. Un asunto que, al parecer, se solucionó gracias al software de Cellebrite .

Y aunque el caso se remonta a finales del año pasado, ha sido ahora cuando la compañía se ha jactado públicamente de poder saltarse la seguridad de cualquier smartphone, independientemente de su marca, modelo o sistema de seguridad utilizado para bloquear a los datos. De hecho, ha llevado a cabo una demostración en directo para mostrar cómo lo logra.

De manera más específica, lo ha enseñado sobre un LG G4 con la última versión de Android y en tal solo unos segundos, tras los que ha podido acceder a las últimas fotos y su localización del dispositivo. Asimismo, todas las imágenes fueron transferidas desde el teléfono a un ordenador, y se ilustró cómo era posible hacerlo con cualquier otro dato o archivo presente en el terminal.

Además, Cellebrite ha comentado que, con un poco más de tiempo, pueden lograr controlar prácticamente por completo el dispositivo, e incluso obtener los mensajes que fueron eliminados hace años y otros ficheros; aun si lo hemos formateado en algún momento (se han referido al volumen de información residual que permanece en él).

En todo caso y tras la demostración, la compañía ha asegurado que no existen razones para preocuparse por esta posibilidad, pues únicamente colabora con gobiernos y agencias estatales que necesitan encontrar datos en teléfonos involucrados en actividades delictivas. Unas afirmaciones que, sin embargo, no resultan de gran alivio. De hecho, la entidad reconoce vender software a empresas privadas que llevan a cabo investigaciones corporativas.

Noticias de seguridad informática

Así de fácil es robar un Tesla hackeando su aplicación oficial mediante malware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/asi-de-facil-es-robar-un-tesla-hackeando-su-aplicacion-oficial-mediante-malware/
TAGS: Malware, Tesla hackeando

Estacionas tu Tesla. De camino al trabajo te conectas a una WiFi gratuita que ofrece una promoción interesante. Cuando regresas, tu automóvil ha desaparecido. Dos investigadores noruegos han demostrado cómo robar un Tesla hackeando su aplicación.

Los coches de la compañía tienen una aplicación móvil que ofrece algunas funciones interesantes, como conocer la localización del vehículo o abrir sus puertas de manera remota. Dos expertos en seguridad de la firma Promon han demostrado que esta misma app puede hackearse para abrir el Tesla y llevárselo limpiamente. Es fácil si tienes los conocimientos adecuados.

Probablemente más de uno haya enarcado una ceja en el mismo momento en el que decíamos que el usuario se conectaba a una WiFi gratuita, y es que por ahí es por donde los especialistas entran en el móvil del usuario. Para que el procedimiento funcione es preciso que el dueño del coche instale una aplicación falsa que es la que porta el código malicioso.

https://youtu.be/5jQAX4540hA

A partir de ahí, todo es coser y cantar. Los hackers localizan el coche con su propia aplicación, lo abren con ella y finalmente activan el modo de conducción sin llave. Este modo también forma parte de la aplicación y permite a alguien que no sea propietario del vehículo encenderlo y conducir introduciendo una clave que le da el dueño a través de la aplicación.

La demostración se ha realizado sobre la versión Android de la aplicación pero se podría hacer igualmente en iOS porque no explota ninguna vulnerabilidad específica. Tan solo usa técnicas de ingeniería social para aprovecharse de la inocencia de algunos usuarios mediante una aplicación trampa. La mejor moraleja es que, si tienes un coche que se puede abrir con una aplicación, mejor no instales software de desconocidos. Sobre todo si ofrecen una hamburguesa grátis.

Fuente:http://es.gizmodo.com/

Noticias de seguridad informática

¿Necesitas administrar varios equipos a la vez vía SSH? ClusterSSH será tu herramienta favorita

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/necesitas-administrar-varios-equipos-la-vez-via-ssh-clusterssh-sera-tu-herramienta-favorita/
TAGS: ClusterSSH

Cuando un administrador de sistemas tiene que realizar diferentes tareas de mantenimiento o puesta a punto de varios servidores, normalmente tiene que ir servidor por servidor ejecutando las mismas órdenes, o crear un script que automatice dicha tarea. Hoy os presentamos la herramienta ClusterSSH que nos permitirá conectarnos vía SSH a múltiples máquinas y enviarles a todas ellas la misma orden.

¿Qué es ClusterSSH?

ClusterSSH es una herramienta totalmente gratuita y de código libre que nos permitirá realizar los mismos cambios en un grupo de servidores. Esta herramienta es muy fácil de utilizar, ya que simplemente debemos teclear en un ordenador “central” el comando “cssh IP_1 IP_2”, con esto entraremos directamente en la administración de esos servidores desde la consola central. Todo lo que escribamos en la consola central es directamente replicado en las consolas de los equipos que estamos controlando.

En entornos empresariales lo más normal es tener claves criptográficas SSH, y no se usa el típico usuario/contraseña del sistema por seguridad. ClusterSSH también es capaz de soportar aquellos servidores SSH que para iniciar sesión se necesita un usuario y contraseña, no obstante, la parte negativa es que deberemos ir uno por uno introduciendo la contraseña para acceder a ellos. Por este motivo, lo ideal para utilizar ClusterSSH es utilizar la pareja de claves SSH para iniciar sesión.

La instalación de ClusterSSH la podemos hacer directamente desde los repositorios de nuestra propia distribución Linux, tecleando el siguiente comando:

1	sudo apt install clusterssh

Si el repositorio de software de nuestro sistema operativo no tiene esta herramienta, no hay ningún problema. Al ser de código abierto, podemos descargar el código fuente y compilarlo en nuestro sistema operativo, podéis acceder directamente al proyecto ClusterSSH en su Github. La última versión de este software es la 4.08 que fue lanzada el 18 de octubre de 2016, por lo que es una herramienta en continuo desarrollo.

Configuración de ClusterSSH

Con esta herramienta nosotros podemos definir las direcciones IP que queramos cada vez que lanzamos el comando principal, sin embargo, si tenemos una gran cantidad de máquinas, siempre podemos editar el fichero de configuración que se encuentra en /etc/clusterssh/ y podremos crear grupos de máquinas, por ejemplo, el grupo “webs” que estén formadas por cuatro direcciones IP de la plataforma, cuando ejecutemos “cssh webs” automáticamente se conectarán con las IP definidas.

De esta forma, podremos administrar diferentes grupos de máquinas fácilmente. Os recomendamos visitar este enlace de HackPlayers donde cuentan detalladamente cómo hacer funcionar ClusterSSH en la organización.

Fuente: http://www.redeszone.net

Noticias de seguridad informática

Cuidado con descargar imágenes JPG de Facebook, puede ser ransomware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/cuidado-con-descargar-imagenes-jpg-de-facebook-puede-ser-ransomware/
TAGS: facebook, ImageGate, ransomware

Investigadores han descubierto que es posible compartir ransomware a través de Facebook con lo que parecen simples imágenes.

Compartir malware a través de Facebook no es fácil; la red social tiene sus propias medidas para evitar que cualquier archivo sospechoso pase por sus servidores y hasta los usuarios.

Sin embargo, algunos hackers parecen haberse saltado esas medidas, y están compartiendo ransomware a través de Facebook; si los usuarios abren esos archivos, acabarán infectados. A esta técnica se le conoce como ImageGate.

ImageGate, un método para compartir ransomware a través de Facebook

Lo interesante es que a simple vista el archivo parece una imagen; los usuarios que han sufrido el ataque inicialmente recibieron una imagen de uno de sus amigos a través de Facebook Messenger (también funciona en LinkedIn). A primera vista parece una imagen jpg normal y corriente.

 

Si hacemos click en la imagen para verla más grande, nos aparecerá el mensaje de Windows para guardar el archivo; sólo entonces nos daremos cuenta de que tiene una extensión extraña. Se sabe que algunas de las extensiones usadas son .hta, svg o js. Recientemente también se ha añadido la extensión .zzzzz.

Pero claro, es muy fácil que no nos fijemos en la extensión del archivo una vez que hemos pulsado para descargarlo; sobre todo si inicialmente parecía que tenía la extensión .jpg.

Finalmente, si hacemos click en el archivo (o en la barra de descargas del navegador) para ver la imagen a tamaño completo, seremos infectados. Locky es el ransomware más usado por los atacantes que usan este vector de ataque.

Cómo podemos evitar infectarnos usando Facebook

https://youtu.be/sGlrLFo43pY

Locky funciona como la mayoría de ransomware; cifra todos nuestros archivos y a continuación pide un pago en Bitcoin para conseguir la clave que los descifre. Los expertos recomiendan no pagar a los atacantes, porque nunca hay ninguna certeza de que realmente recuperaremos los archivos.

Por esto, los expertos que han descubierto el bug de Facebook y LinkedIn recomiendan tomar dos pasos para protegernos:

• Si pulsas en una imagen y te pide guardar un archivo, no lo hagas; todas las imágenes que comparten contigo en Facebook deberían verse en el propio navegador.


• No abras “imágenes” con extensiones extrañas, sin importar de dónde las hayas conseguido.

Fuente:http://www.omicrono.com/

Noticias de seguridad informática

Casi todas las agencias gubernamentales de Reino Unido pueden espiar el historial de navegación

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/casi-todas-las-agencias-gubernamentales-de-reino-unido-pueden-espiar-el-historial-de-navegacion/
TAGS: Malware, Spy

Reino Unido aprobó esta semana la Investigatory Powers Act, que supone una de las mayores vulneraciones de la privacidad a la hora de navegar por la red en la historia reciente. Después de unos cuantos años de polémica y crítica, la ley entró en vigor, y permitirá a las autoridades gubernamentales, entre otras acciones, acceder al historial de navegación de cualquier ciudadano británico.

Esta ley, vulgarmente conocida como Snooper’s Charter (Ley del Fisgón en español) obliga a los operadores británicos a recopilar el historial de navegación de todos sus clientes y usuarios durante 12 meses para que las autoridades que lo soliciten puedan acceder a ellos, así como los servicios accedidos, como puede ser Spotify. Se recopilarán los dominios que visitan los usuarios, pero no las subpáginas dentro de estas. Así, podrán saber que has entrado a Facebook, pero no qué perfiles has visitado ni qué se ha hecho en esas páginas.

Casi 50 autoridades tendrán acceso

Además de conocer los dominios que visitan los usuarios, las autoridades podrán saber cuándo lo han hecho. Esto ayudará a establecer dónde se encontraban los usuarios y desde qué dispositivos accedieron a esas páginas. En total, son 48 las autoridades que pueden acceder a la información de los usuarios, y estas son:

• Metropolitan police force


• City of London police force


• Police forces maintained under section 2 of the Police Act 1996


• Police Service of Scotland


• Police Service of Northern Ireland


• British Transport Police


• Ministry of Defence Police


• Royal Navy Police


• Royal Military Police


• Royal Air Force Police


• Security Service


• Secret Intelligence Service


• GCHQ


• Ministry of Defence


• Department of Health


• Home Office


• Ministry of Justice


• National Crime Agency


• HM Revenue & Customs


• Department for Transport


• Department for Work and Pensions


• NHS trusts and foundation trusts in England that provide ambulance services


• Common Services Agency for the Scottish Health Service


• Competition and Markets Authority


• Criminal Cases Review Commission


• Department for Communities in Northern Ireland


• Department for the Economy in Northern Ireland


• Department of Justice in Northern Ireland


• Financial Conduct Authority


• Fire and rescue authorities under the Fire and Rescue Services Act 2004


• Food Standards Agency


• Food Standards Scotland


• Gambling Commission


• Gangmasters and Labour Abuse Authority


• Health and Safety Executive


• Independent Police Complaints Commissioner


• Information Commissioner


• NHS Business Services Authority


• Northern Ireland Ambulance Service Health and Social Care Trust


• Northern Ireland Fire and Rescue Service Board


• Northern Ireland Health and Social Care Regional Business Services Organisation


• Office of Communications


• Office of the Police Ombudsman for Northern Ireland


• Police Investigations and Review Commissioner


• Scottish Ambulance Service Board


• Scottish Criminal Cases Review Commission


• Serious Fraud Office


• Welsh Ambulance Services National Health Service Trust

De este listado destaca la policía británica, el ejército, el ministerio de defensa o hacienda, u otras tan raras como la agencia de normativa alimentaria. Dentro de todas estas organizaciones habrá que tener un rango o un cargo mínimo para acceder a los datos de los usuarios. Por ejemplo, en la policía será necesario ser al menos un inspector o un superintendente.

Este tipo de legislación la primera en la Unión Europea que permite a las autoridades el acceso total al historial de los usuarios bajo amparo legal. La única vía que tienen los usuarios para enmascarar su actividad en la red es utilizar VPN privados extranjeros que no pasen datos a las autoridades, pero eso afecta seriamente a la velocidad de navegación pues necesita redirigir el tráfico.

Fuente:http://www.adslzone.net/

Noticias de seguridad informática

Cuentas de MailChimp comprometidas enviaron correos maliciosos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/cuentas-de-mailchimp-comprometidas-enviaron-correos-maliciosos/
TAGS: MailChimp, maliciosos

Déjame empezar por una confesión: le pago a MailChimp una buena cantidad de dinero cada mes para enviar newsletters a lectores de mi blog personal, y soy bastante fanático de la herramienta.

Enviar emails a muchas personas puede ser problemático, y preferiría invertir mi tiempo en crear artículos útiles e interesantes antes que tratar de descifrar por qué mi servidor de correo fue repentinamente bloqueado, o de enredarme en la telaraña de las diferencias en cómo los clientes de correo manejan hasta el HTML más simple.

Y, quizá lo más importante de todo, quiero estar seguro de que no pongo en riesgo la privacidadde aquellas personas que se han suscrito a mi lista de correos, de manera que sus datos no terminen en manos de spammers.

MailChimp es una de las firmas líderes a nivel mundial en lo que respecta a email marketing y envío de newsletters.

Hacen un buen trabajo y su patrocinio de podcasts populares, así como el uso de la mascota Freddie el chimpancé (aparantemente su nombre completo es Frederick Von Chimpenheimer IV) les ayudaron a construir una marca impresionante.

Probablemente puedas imaginarte que sonaron alarmas cuando leí en Motherboard que atacantes habían logrado entrar a cuentas corporativas de MailChimp para enviar a sus suscriptores correos con enlaces maliciosos.

Los correos estaban disfrazados de facturas del software contable QuickBooks y se enviaron a varias listas de mailing, incluyendo suscriptores del Sit Down Comedy Club en Brisbane, Australia:

Según Motherboard, el club tiene una respuesta automática en su cuenta de correo, diciéndoles a todos los que recibieron el correo malicioso titulado “Inoice 00317” (del inglés “invoice”, factura, pero sin la “v”) que lo borren inmediatamente: “SI RECIBES UN EMAIL CON EL TÍTULO – Inoice 00317 de Sit Down Comedy Club Pty Ltd – POR FAVOR BORRA el correo que recibiste, no usamos Quickbooks. Es SPAM, no lo abras”.

El hecho de que el club de comedia se haya tomado el trabajo de configurar una respuesta automática sugiere que deben haber recibido muchos correos de usuarios preguntando por qué recibieron una factura de su parte.

Otra víctima con cuenta corporativa de estos cibercriminales fue el sitio web Business News Australia, que envió un correo a los miembros de su lista pidiéndoles que borren el correo malicioso. El blogger de seguridad australiano Troy Hunt recibió el email y, en un tuit, señaló con sospecha a la mala seguridad de las contraseñas.

Entonces, como cliente de MailChimp, ¿debería darme pánico que mi propia cuenta haya sido comprometida por atacantes y puedan irrumpir en cualquier momento para enviar facturas maliciosas?

No lo creo.

Verás, yo creo que Troy tiene razón. Es poco probable que esto haya sido una brecha en MailChimp. Yo creo que es más probable que cuentas individuales hayan sido comprometidas a través de los medios de los cibercriminales, como campañas de phishing en busca de robar credenciales o el problema habitual de la reutilización de contraseñas.

Mi corazonada es que los usuarios afectados no adoptaron la protección adicional de la doble autenticación en sus cuentas.

La autenticación en factores múltiples implica que aun si tu contraseña es robada por un atacante, deberían encontrar muy difícil irrumpir en tu cuenta porque no tienen acceso al código siempre cambiante generado por la app de autenticación.

Claro que en una declaración a Motherboard, MailChimp confirmó que no había sufrido de una brecha en su sistema, sino que terceros no autorizados habían accedido a determinadas cuentas para enviar en forma masiva los mensajes maliciosos: Esta mañana [23/11/2016] los procesos normales de MailChimp identificaron y deshabilitaron un pequeño número cuentas individuales que enviaban facturas falsas. Hemos investigado la situación y no encontramos evidencia de que MailChimp haya sido atacada. Las cuentas afectadas han sido deshabilitadas y se detuvo la actividad fraudulenta.

Realmente no hay excusa para no habilitar la doble autenticación siempre que un sitio la ofrezca, y eso es particularmente cierto en el caso de MailChimp, porque de hecho ofrece un descuento del 10% a los clientes que deciden asegurar sus cuentas más estrictamente.

Un cínico podría argumentar que ofrecer un descuento del 10% a los clientes que usen doble autenticación es solo una forma diferente de decir que MailChimp cobra un recargo del 10% a quienes no lo hacen. Y supongo que estarían en lo cierto.

Fuente:http://www.welivesecurity.com/

Noticias de seguridad informática

NAXSI - Firewall de software abierto para Nginx

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/naxsi-firewall-de-software-abierto-para-nginx/
TAGS: NAXSI, seguridad web
Un WAF protege una aplicación Web controlando su entrada y salida y el acceso desde la aplicación. Se ejecuta como un dispositivo, un plug-in de servidor o un servicio basado en la nube, el WAF inspecciona todos los paquetes de datos HTML, HTTPS, SOAP y XML-RPC. A través de una inspección personalizable, es capaz de prevenir ataques contra seguridad web como XSS, inyección de SQL,sessionhijacking y buffer overflows, que los firewalls de red y los sistemas de detección de intrusos a menudo no son capaces de realizar.

NAXSI es un WAF de código abierto para Nginx (Web Application Firewall), que por defecto puede bloquear el 99% de los patrones conocidos involucrados en las vulnerabilidades del sitio web. NAXSI significa Nginx Anti XSS & SQL Injection y es creado por expertos de seguridad web.

Por defecto, lee un pequeño subconjunto de reglas simples de seguridad web que contienen el 99% de los patrones conocidos involucrados en vulnerabilidades de sitios web.

Siendo muy simple, esos patrones pueden coincidir con las consultas legítimas. El administrador de seguridad web puede agregar listas blancas manualmente analizando el registro de errores de Nginx o (recomendado) iniciar el proyecto mediante una fase de auto aprendizaje intensivo que generará automáticamente las reglas de lista blanca con respecto al comportamiento del sitio web.

Por el contrario de la mayoría de los firewall de aplicación web, Naxsi no se basa en una base de firmas, como un antivirus, y por lo tanto no puede ser eludido por un patrón de ataque "desconocido". Acuerda a experiencia de expertos de seguridad web, otra diferencia principal entre NAXSI y otros WAF, NAXSI filtra sólo las solicitudes GET y POST, es un software libre y libre de usar.

Según los expertos de seguridad web de iicybersecurity, WAF como Naxsi puede ser utilizado por PYMES para implementar seguridad web Requiere un poco más de esfuerzo ya que usted tiene a la lista blanca para conseguir que las cosas funcionen, pero bloqueará ataques más ofuscados y poco comunes sin actualizaciones ni modificaciones.

 



 

https://github.com/nbs-system/naxsi
Noticias de seguridad informática

Twitter demandará a los desarrolladores que espíen en su red

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/twitter-demandara-los-desarrolladores-que-espien-en-su-red/
TAGS: red, twitter

Twitter ha emitido un comunicado a través de su página web oficial, en el que informa a sus usuarios que están endurenciendo las medidas tomadas contra aquellos desarrolladores que no respeten las condiciones de usode la red social, y que se aprovechan de las herramientas proporcionadas por la compañía para espiar a sus propios usuarios.

Actualmente los desarrolladores de todo el mundo puede acceder a Gnip para obtener datos interesantes para profesionales, o a la API pública de Twitter que se utiliza para crear aplicaciones alternativas y demás servicios. Estas herramientas permiten a los programadores ver información compartida por todos los usuarios en tiempo real.

Para luchar contra este problema, la red social proporcionará la información necesaria sobre el usuario o desarrollador que está cometiendo estas infracciones a los cuerpos y fuerzas de seguridad del estado en el que resida, evitando el aumento en este tipo de actividades por parte de algunos expertos.

Los datos que la plataforma proporciona a los desarrolladores pueden ser utilizados para crear todo tipo de aplicaciones, como por ejemplo nuevas alertas según determinadas condiciones, e incluso a la hora de realizar mapeados y otro tipo de información que pueda resultar de utilidad a los servicios de emergencia.

Sin embargo, como ocurre en la mayoría de situaciones, existe una gran preocupación sobre la información que estas herramientas proporcionan, o mejor dicho, sobre la forma en la que algunas compañías de investigación están empezando a utilizarla para espiar a los usuarios de forma poco ética.

El mes pasado se descubrió que la herramienta de mapeado social Geofeedia se enorgullecía de su "acceso especial" a redes sociales como Twitter o Facebook, y posteriormente que está compañía había estado proporcionando información a la policía de Oakland y Baltimore. Twitter respondió cortando el acceso de Geofeedia a su red.

Fuente:http://computerhoy.com

Noticias de seguridad informática

El FBI ha hackeado miles de equipos en todo el mundo con una orden judicial

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/el-fbi-ha-hackeado-miles-de-equipos-en-todo-el-mundo-con-una-orden-judicial/
TAGS: FBI

Más que una orden judicial, lo que el FBI obtuvo al hackear a una serie de usuarios sospechosos de pornografía infantil fue un auténtico multipase.

 

El FBI está expandiendo sus tentáculos alrededor del mundo y ha logrado llegar a más de 8 mil equipos en más de 120 países.

Unos documentos recientes aireados durante la vista a un juicio relacionado han revelado que la agencia aprovechó una única orden judicial emitida en Estados Unidos para hackear más de 8.000 ordenadores en 120 países.

La operación comenzó cuando el FBI se hizo con una página de pornografía infantil llamada Playpen y, en lugar de cerrarla, la intentó usar como trampa. Al ver que los visitantes usaban la red Tor para enmascarar sus direcciones IP, los investigadores cargaron la página con un malware que infectaba los equipos de los visitantes y capturaba sus IP a pesar del cifrado.

Aunque la lucha contra la pornografía infantil es un objetivo que bien vale el uso de medidas extraordinarias, lo cierto es que la actividad del FBI ha despertado no pocas suspicacias por lo desorbitado de la proporción. “Nunca en toda la historia de nuestro país hasta donde puedo recordar se ha visto una orden judicial tan desproporcionadamente amplia” explica el abogado defensor público Colin Fieman. De la misma forma se expresa Christopher Soghoian, director de tecnología de la Unión Americana de Derechos Civiles. Soghoian añade que “El hecho de que un solo magistrado pueda autorizar al FBI a entrar ilegalmente en los ordenadores de 8.000 personas de 120 países es completamente aterrador”.

Fuente:http://tecnologia.starmedia.com/

Noticias de seguridad informática

Este malware puede convertir tus auriculares en un micrófono sin que te des cuenta

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/este-malware-puede-convertir-tus-auriculares-en-un-microfono-sin-que-te-des-cuenta/
TAGS: chips de RealTek, Malware, Spy

Si no tenías suficiente con tapar tu webcam, ahora también puedes sospechar de tus auriculares. Investigadores de la Universidad Ben-Gurión del Néguev, en Israel, han desarrollado un malware que puede convertir sin que te des cuenta unos auriculares enchufados en un micrófono.

Apodado SPEAKE(a)R, este programa se aprovecha de una función poco conocida de los chips de RealTek para que la salida de audio de un ordenador funcione como un canal de entrada. El malware puede grabar desde unos auriculares cableados, aunque no tengan micrófono, siempre que estén conectados al ordenador. Al fin y al cabo, la física es la misma: vibraciones que se convierten en señales electromagnéticas, y viceversa.

Los chips y códecs de RealTek son tan comunes que el ataque funciona en prácticamente cualquier ordenador portátil o de sobremesa, ya sea Windows o Mac. Durante sus pruebas, los investigadores consiguieron grabar audio a seis metros de distancia con un par de auriculares Sennheiser. Puedes ver una prueba de concepto en acción en este vídeo:

https://youtu.be/ez3o8aIZCDM

Para RealTek, protegerse contra un exploit de este tipo es un problema, ya que usar el puerto de salida como puerto de entrada es una función que está prevista en sus chips. No tiene fácil arreglo más allá de cambiar el diseño de su hardware para nuevos ordenadores.

Fuente:http://es.gizmodo.com/

Noticias de seguridad informática

Raptor WAF – un firewall gratis de aplicaciones web

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/raptor-waf-un-firewall-gratis-de-aplicaciones-web/
TAGS: Raptor WAF, seguridad web


 

Un firewall de aplicaciones web (WAF) es un firewall que supervisa seguridad web, filtra o bloquea el tráfico HTTP hacia y desde una aplicación Web.Un WAF también es capaz de detectar y prevenir nuevos ataques desconocidos al observar patrones desconocidos en los datos de tráfico. Raptor WAF es un firewall de aplicaciones web hecho en C, que usa DFA para ayudar en seguridad web y bloquear SQL Inyección, Cross Site Scripting (XSS) y PathTraversal.

Es esencialmente un firewall de aplicación web simple hecho en C, usando el principio KISS, haciendo poll utilizando la función select (), no es mejor que epoll () o kqueue () de BSD, pero es portátil.

Caracteristicas

Según los expertos de seguridad web de iicybersecurity, WAF como Raptor puede ser utilizado por PYMES para implementar seguridad web. Es ampliamente utilizado hoy en día para detectar y defenderse contra la mayoría de las inyecciones de SQL, ataques contra seguridad web y ataques XSS.

• Bloquear ataques contra seguridad web como de XSS, Inyección de SQL y path traversal


• Lista negra IPs para bloquear usuarios usando config / blacklist ip.txt


• Soporta IPv6 e IPv4 para la comunicación

 

https://github.com/CoolerVoid/raptor_waf
Noticias de seguridad informática

Un exploit evade las capas de seguridad de Linux y expone los sistemas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/un-exploit-evade-las-capas-de-seguridad-de-linux-y-expone-los-sistemas/
TAGS: Linux, Windows y macOS

Una de las características de los sistemas operativos Linux es su seguridad, una seguridad muy superior a la de sus principales rivales Windows y macOS que le convierte en un sistema ideal tanto para usuarios como para empresas y servidores conectados a Internet. Sin embargo, este sistema operativo no es infranqueable y, en ocasiones, se descubren fallos heredados de una mala programación en el pasado que pueden llegar a exponer la seguridad de sus usuarios.

Recientemente, un investigador de seguridad llamado Chris Evans ha hecho público un fallo que afecta a prácticamente cualquier sistema operativo Linux y que puede permitir a un atacante evadir todas las capas de seguridad y acceder al sistema utilizando tan solo un sencillo exploit que ni siquiera necesita el uso de un script.

Esta vulnerabilidad se encuentra en el framework GStreamer para el formato de vídeo FLIC, un descodificador de vídeo totalmente irrelevante para la mayoría pero que, desde hace tiempo, viene incluido por defecto en prácticamente todas las distribuciones.

Linux cuenta con varias medidas de protección en la memoria de su sistema, entre las que destacan ASLR y DEP. Estas impiden que se pueda acceder a los procesos privados de otras aplicaciones y que, además, se ejecute código directamente de la memoria, lo que, en teoría, debería bloquear cualquier exploit. Sin embargo, realizando una llamada concreta a las librerías de GStreamer causa un error de corrupción de memoria y es posible acceder a la memoria por debajo de estas medidas de seguridad y ejecutar código, programas u otros exploits directamente en la memoria del sistema operativo.

En la prueba demostrada, el investigador fue capaz de leer y escribir en la memoria, de ejecutar programas e incluso logró ganar privilegios en el sistema. Una vulnerabilidad todo-en-uno que, además, no requiere ningún script adicional para explotarse con éxito.

Tal como afirma este investigador, la vulnerabilidad en sí no es lo más importante, sino que tiene mucha más importancia el hecho de que sea posible evadir todas las capas de seguridad de Linux sin necesidad incluso de ningún script.

Esta vulnerabilidad en Linux aún no tiene solución

Este investigador de seguridad ha hecho público el fallo hace relativamente poco, por lo tanto, los responsables de GStreamer no han conseguido solucionarlo ni los desarrolladores de las distribuciones Linux afectadas han liberado los parches correspondientes para solucionar los fallos.

Sin embargo, el investigador no ha dado demasiados detalles sobre la vulnerabilidad ni los pasos a seguir para explotarla, aunque indica que hacerlo en Fedora es un proceso bastante complejo. Por ello, de momento estamos seguros, aunque, como en toda vulnerabilidad zero-day, los piratas informáticos empezarán una carrera para conseguir una forma viable de explotarla y sacar provecho de ella mientras que los desarrolladores y responsables de las principales distribuciones lanzan la correspondiente actualización, la cual se espera que llegue en los próximos días y, a ser posible, antes de que sea demasiado tarde.

Fuente: http://www.redeszone.net/

Noticias de seguridad informática

Infección de Spam de Sitio Web vía Upload de Archivo Zip

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/infeccion-de-spam-de-sitio-web-via-upload-de-archivo-zip/
TAGS: ZIP

Desde principios de noviembre, hemos limpiado muchos sitios web infectados con el mismo malware de spam de SEO.

El malware crea páginas de entrada para cientos de palabras clave al azar – desde noticias hasta la pornografía. Para sus modelos, se utilizan páginas móviles de algunos sitios web legítimos (probablemente teniendo en cuenta el enfoque más reciente de Google de “primero móvil”).

Detalles sobre la Infección

Los atacantes escanean sitios web para las vulnerabilidades conocidas y entonces hacen upload de un archivo con un nombre aleatorio que consiste en 10 dígitos hex, por ejemplo, 4ae0e06003.php, 4d9d041ee8.php, f18072c6bc.php, etc.

Este archivo zip contiene el código fuente completo para una biblioteca de código abierto PclZip. Sin embargo, en la parte superior del archivo, hay algunas líneas que primero decodificación una secuencia codificada en base 64 y luego escriben el output resultante en un archivo .zip. Este archivo siempre tiene una palabra de tres letras al azar como el nombre del archivo – vlw.zip en el ejemplo:

$data = base64_decode("UEsDBAoAAAAAAPigZ0kAAAAAAAAAAAAAAAAEAAAAdmx3L1B…
file_put_contents("vlw.zip",$data);

En la parte inferior del archivo, hay un código que extrae este archivo zip que acaba de crear en el directorio actual (que suele ser el directorio raíz del sitio web):

Extrayendo archive zip con malware black hat SEO

Como resultado, se creó la siguiente estructura del archivo:

• um directorio con el mismo nombre del archivo .zip


• dos archivos .php hoop1.php y rohel.php


• .htaccess


• dos subdirectorios gknol y templates

Reescritura de Peticiones y Spam Almacenado en Caching

Aquí está la estructura:

Archivo doi.zip extraido

Los archivos tienen las siguientes funciones:

hoop1.php – hace que las páginas doorways listas para la campaña de spam de SEO, creen un archivo .htaccess con una regla de reescritura para hacer las URL aparecieren con páginas .html.

rohel.php – el script generador de la doorway que crea contenido para los bots de los motores de búsqueda, mezclando las palabras clave que se encuentran en las páginas de resultados de búsqueda de Ask.com, Yahoo y Google con palabras clave específicas. Las almacena en caché en el subdirectorio gknol. Visitantes reales son redirigidos a un destino como: hxxp://coolin[.]in/for/77?d=….

gknol – subdirectorio en el que el script guarda en caché las páginas de doorway.

templates – subdirectorio con 10-20 templates de páginas para páginas spammy.

Hay algunas otras variaciones de la misma infección. Por ejemplo, puede ser un archivo master.php (generador de páginas de doorways) y dos subdirectorios: save (cache) y shabs (templates).

La siguiente cadena de redireccionamiento normalmente redirige a páginas porno:

hxxp://82.146.37[.]48/mobi?sub_id_1... ->

hstraffa[.]com/l?link= … ->

zvip[.]biz/aff_c?offer_id=20008&aff_id=6716& …

La cadena puede variar dependiendo de la ubicación y del navegador del visitante.

Reinfección e Contaminación Cruzada

Es importante destacar que los atacantes intentan infectar a todos los sitios web que comparten la misma cuenta del servidor. Este malware no depende de cualquier CMS, por lo tanto, lo encontramos en todos tipos de sitios web, desde WordPress hasta sitios web HTML puro.

Un sitio web puede ser infectado con este malware muchas veces (varios directorios de spam) y puede ser infectado con malware y otras spammy doorways, como doorways de spam de réplicas japonesas.

Esto porque los webmasters, por lo general, descuidan las cuestiones de seguridad durante mucho tiempo. Incluso cuando se dan cuenta del problema y tratan de limpiar sus sitios web, pueden no eliminar puertas traseras para todos sus sitios web o hacer hardening sólo de sus sitios web más importantes, dejando los menos importante con fallos de seguridad no parcheados. Por lo tanto, todas sus cuentas permanecen sin protección contra reinfecciones.

Esto demuestra que cada aspecto de la seguridad del sitio web es importante y debe hacerse correctamente – la limpieza, el hardening (incluyendo la configuración y el aislamiento adecuado), el monitoreo, etc.

Fuente:https://blog.sucuri.net/

Noticias de seguridad informática

Instalan keyloggers en páginas web para robar datos de tarjetas de crédito

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/instalan-keyloggers-en-paginas-web-para-robar-datos-de-tarjetas-de-credito/
TAGS: Black Friday, keyloggers

Se acerca el Black Friday y la Navidad, y los ciberdelincuentes ponen a punto sus estafas para robar la mayor cantidad de datos posibles. Expertos en seguridad han detectado que un número importante de páginas web están “infectadas” con keyloggers destinados sobre todo a robar datos pertenecientes a tarjetas de crédito.

Pero el problema no es tanto de los usuarios en esta ocasión sino de los administradores de páginas web. O, mejor dicho, de las tiendas en línea que han descuidado la seguridad del software, ejecutando versiones obsoletas con numerosos problemas de seguridad, provocando que ciberdelincuentes sean capaces de introducir el código de keyloggers en el interior de las mismas. Obviamente el usuario no es consciente de que está sucediendo. Tal y como hemos apuntado en otras ocasiones, se comprobará si la URL corresponde y en caso afirmativo se procederá con la compra y su posterior confirmación. Lo que el usuario no sabe es que esto no evita que el malware esté presente.

Generalmente Magento u OpenCart son las soluciones más utilizadas, y por lo tanto las más afectadas si no mantienes el software actualizado. En definitiva, podría decirse que en esta ocasión el usuario está vendido.

Keyloggers y la llegada del Black Friday

Nada es casualidad, y solo hay que fijarse en qué fecha del calendario nos encontramos para saber que los ciberdelincuentes pretenden aumentar sus ganancias a costa de otros servicios, en esta ocasión las tiendas en línea. Las amenazas están programadas en JavaScript y no buscan el robo de credenciales de acceso a cuentas, sino los datos relacionados con las tarjetas de crédito introducidas para abonar la cantidad indicada.

Aunque no son ataques muy comunes, los expertos en seguridad creen que van en aumento, ya que en la inmensa mayoría ofrecen un alto porcentaje de éxito, sobre todo si lo comparamos frente a otros métodos. Esto permite a los ciberdelincuentes introducir sus amenazas y que estas no sean detectadas, ni por los administradores ni los usuarios.

Extremar la precaución cuando vayamos a comprar

Es fundamental que cuando vayamos a comprar, lo hagamos en tiendas online de renombre como por ejemplo Amazon, tiendas pequeñas podrían ser vulnerables más fácilmente ante este ataque. En estos días, es fundamental también revisar todos los movimientos de las tarjetas de crédito, y si vemos un movimiento extraño, comunicarlo a nuestro banco lo antes posible. Debemos recordaros que todas las tarjetas de crédito tienen una protección anti-fraude que mitiga estos problemas, además, normalmente también disponemos de un seguro gratuito contra fraudes por lo que el dinero que nos pudieran robar, la entidad bancaria nos lo devolverá íntegro.

 Fuente: http://www.redeszone.net/

Noticias de seguridad informática

Un grupo de ‘hackers’ ataca cajeros para que expulsen billetes de forma remota

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/un-grupo-de-hackers-ataca-cajeros-para-que-expulsen-billetes-de-forma-remota/
TAGS: ATM, hackers

Los bancos se enfrentan a una nueva amenaza en ciberseguridad que permite a los atacantes extraer grandes cantidades de efectivo de varios cajeros a la vez.

Un grupo de cibercriminales ha atacado los cajeros de más de una docena de países en Europa este año para que expulsen efectivo de forma fraudulenta y remota a través de un ataque informático centralizado, lo que supone un serio quebradero de cabeza para los bancos.

No se realiza ninguna modificación en los cajeros, pero los billetes son expulsados como por arte de magia. Entre los países afectados se encuentran Armenia, Reino Unido, Bulgaria, Polonia, Países bajos, Rusia o España, según el informe de Group IB, una compañía multinacional con sede en Moscú especializada en prevenir e investigar el fraude y crimen en la Red. La compañía no ha hecho públicos los nombres de los bancos afectados.

“Los delincuentes siempre han buscado la manera de aumentar su botín y disminuir los riesgos que conlleva obtenerlo. Por eso han cambiado su modus operandi: del ataque físico al ataque lógico”, dice la firma de seguridad.

El atraco de cajeros es una práctica relativamente común y sencilla de investigar, gracias a que se requiere acceso físico a ellos. Los golpes cometidos recientemente en bancos de Europa y Asia han sido comandados de forma remota y centralizada, afectando a numerosos cajeros a la vez, lo que ha permitido sustraer grandes cantidades de dinero antes de que los bancos puedan actuar.

Los ciberatacantes entran en la red del banco que otorga el control de los cajeros para hacer que dispensen el efectivo. Gracias a dicho control, pueden elegir la hora exacta en la que se expulsan los billetes lo que les permite realizar grandes operaciones organizadas con las que sustraer, en algunos casos, millones de dólares.

Dos fabricantes de cajeros, Diebold Nixdorf y NCR Corp, ya están trabajando en el caso, según sus declaraciones a Reuters.

“Han llevado sus operaciones al siguiente nivel, ahora pueden atacar un gran número de máquinas a la vez”, dice Nicholas Biellett, el director de software y seguridad de cajeros en Diebold Nixdorf. “Saben que se les detectará rápido, así que cogen todo el efectivo que pueden de todos los cajeros posibles antes de que se detengan por actividad inusual”.

Group IB advierte que las herramientas empleadas no requieren una gran inversión ya que sus códigos suelen estar accesibles públicamente en Internet.

¿Cómo obtienen el control?

Para acceder a la intranet de los bancos, los cibercriminales envían emails haciéndose pasar por otros grupos bancarios o cajas. En ellos se adjuntan archivos comprometidos o ejecutables que para el receptor parecen documentación.

“Los atacantes tardan entre 10 minutos y una semana en tomar el control total de una intranet y sus cajeros”, dice Group IB en su reporte. Basta una simple llamada desde el servidor remoto para hacer que un cajero emita billetes hasta quedarse vacío. En cuanto termina la operación, los atacantes borran todos los registros para dificultar la investigación de los expertos de seguridad de los cajeros y bancos.

Group IB cree que el software empleado para hacer que los cajeros expulsen dinero bajo demanda es único y solo está siendo empleado por una banda criminal.

El golpe es difícil de investigar, ya que el dinero se recoge en persona. Habitualmente, los fraudes financieros se resuelven siguiendo el dinero que se mueve de una cuenta a otra, algo imposible de hacer con esta novedosa práctica.

"Se espera que este tipo de ataques sean una de las amenazas claves contra los bancos: permiten a los cibercriminales cometer fraudes remotamente desde cualquier punto y atacar la red de cajeros sin ser detectados por el 'radar' de los servicios de seguridad", advierte Dmitry Volkov, jefe del departamento de investigación en Group IB.

Fuente:http://tecnologia.elpais.com/

Noticias de seguridad informática

Un nuevo enlace malicioso puede bloquear por completo iOS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/un-nuevo-enlace-malicioso-puede-bloquear-por-completo-ios/
TAGS: iOS, malicioso

iOS es el sistema operativo móvil que instala Apple en sus dispositivos, tanto en iPhone como en iPad o iPod. Este sistema operativo se caracteriza por ser bastante cerrado y, por lo tanto, seguro frente a todo tipo de ataques. Sin embargo, no es un sistema operativo invulnerable, sino que, como todos, tarde o temprano aparecen distintos fallos y errores que pueden permitir a piratas informáticos desde robar datos hasta dejar sin servicio al dispositivo, como es el caso de este nuevo fallo descubierto.

Tal como podemos ver en el canal de YouTube de EverythingApplePro, un nuevo fallo detectado en iOS puede hacer que simplemente accediendo a una URL cualquier iPhone, iPad o iPod con iOS se bloquee por completo y quede totalmente inutilizable hasta que se reinicie a la fuerza el dispositivo.

https://youtu.be/B15nBZ7pjLs

Como podemos ver, cuando el usuario accede a la dirección URL, que supuestamente es un vídeo en MP4, al cabo de unos segundos el dispositivo queda totalmente bloqueado e inutilizable. No está muy claro qué es lo que causa el bloqueo del dispositivo, aunque lo más seguro es que se trate de un fallo de corrupción o pérdida de memoria. Además, tampoco es del todo seguro que este fallo solo bloquee el dispositivo o pueda ser utilizado para algo más grande.

Este fallo afecta por igual a todas las versiones de iOS, desde la 5 hasta la última beta de iOS 10. Además, por el momento, no hay solución, aunque no debería tardar en llegar en cuanto Apple confirme el fallo en su sistema operativo. Sin embargo, podemos ver en la red comentarios de que no todos los dispositivos se congelan al acceder a él.

A continuación, os dejamos la supuesta URL rusa que bloquea los dispositivos iOS al acceder a ella a través de Safari. Cuidado al entrar a ella.

http://www.macdigger.ru/goto/https://vk.com/doc9732001_439143039?hash=01ec13630a10030bea&dl=2cde6a532028d603af

Cómo recuperar nuestro dispositivo iOS tras sufrir este fallo

Cuando accedemos a la URL que hemos citado anteriormente, el dispositivo se bloquea por completo, por lo que es imposible controlarlo ni apagarlo. Por ello, para poder volver a utilizarlo debemos realizar un reinicio forzado del mismo. Para ello, tan solo debemos mantener pulsados los botones de Encendido y Home del dispositivo (Encendido y Bajar volumen en el iPhone 7) durante varios segundos hasta que nuestro dispositivo se apague y vuelva a arrancar.

Aunque en un principio no se pierden los datos y al volver a encenderlo todo debería funcionar con normalidad, se recomienda evitar explotar este fallo intencionadamente por lo que pueda pasar. Además, para protegernos de él hasta la llegada del parche, es recomendable evitar acceder a enlaces que recibamos a través de los clientes de mensajería instantánea, que veamos en las redes sociales o que nos lleguen a través del correo electrónico, por precaución.

Fuente:http://www.redeszone.net

Noticias de seguridad informática

La auditoría a KeePass muestra que no esconde vulnerabilidades graves

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/la-auditoria-keepass-muestra-que-no-esconde-vulnerabilidades-graves/
TAGS: KeePass

Cada vez es más común utilizar contraseñas diferentes para cada una de las plataformas en las que nos registramos de manera que, en caso de que roben una de ellas, solo se vea comprometida la web afectada en lugar de todas nuestras cuentas. Para no tener problemas a la hora de recordar estas páginas solemos recurrir a administradores de contraseñas, aplicaciones que almacenan en una base de datos todos nuestros credenciales de manera que con una contraseña maestra podamos acceder a todos ellos. Una de estas aplicaciones es KeePass.

El pasado mes de junio se hizo público que KeePass, este administrador de contraseñas de código abierto, se iba a someter a una completa auditoría de seguridad con el fin de demostrar que se trata de una solución totalmente segura, fiable y libre de vulnerabilidades o puertas traseras. El organismo responsable de llevar a cabo esta auditoría es la Comisión Europea, EU-FOSSA.

Este organismo ha llevado a cabo la auditoría para KeePass 1.31, no para la actual versión 2.34, aunque al compartir la mayor parte del código entre las dos versiones sería comprensible que el resultado fuese prácticamente el mismo. La rama 1.x de este administrador de contraseñas se caracteriza por no depender de las librerías .Net Framework de Microsoft, aunque, por ello, carece de varias opciones.

KeePass está libre de vulnerabilidades críticas o de alta importancia

Tal como podemos ver, esta auditoría ha analizado una a una las 84.622 líneas de código del programa y, tras ello, ha asegurado que el programa no esconde puertas traseñas ni cuenta con ningún tipo de vulnerabilidad crítica o de alta importancia que pueda suponer un riesgo para las contraseñas que se almacenan en la plataforma. Sin embargo, este programa no es perfecto, sino que esconde 5 vulnerabilidades de importancia media y 3 de importancia baja que, aunque como decimos no supone un peligro, deberían solucionarse en breve.

Dos de las vulnerabilidades medias, que podían ser las más importantes, se deben principalmente a que el generador de números aleatorios de KeePass en realidad genera números pseudo-aleatorios al hacer uso de la función rand() y std::rand() en lugar de utilizar otras funciones o APIs con algoritmos de seguridad que generen números realmente aleatorios. Por lo demás, el resto de fallos son principalmente de diseño y control del código, pero no suponen ningún riesgo para los datos de los usuarios.

Como podemos ver, KeePass es una de las mejores alternativas que podemos utilizar para almacenar nuestras contraseñas de forma segura y fiable ya que, a diferencia de otras herramientas privativas como LastPass, que no podemos demostrar que sea realmente segura, sino que tenemos que fiarnos de lo que diga la compañía, esta sí lo es, y además certificado por la Unión Europea.

Fuente: http://www.redeszone.net

Noticias de seguridad informática

Hackers roban 16 millones de dólares a EA a través de FIFA

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/hackers-roban-16-millones-de-dolares-ea-traves-de-fifa/
TAGS: FIFA, roban 16 millones

El Departamento de Justicia de EEUU arrestó al cabecilla del grupo y tras juzgarlo lo ha señalado como culpable.

Estamos acostumbrados a relacionar los fraudes y robos digitales con entidades bancarias y empresas relacionadas con el mundo de la inversión, es normal, puesto que la gran mayoría de delitos de este tipo suelen tener el mismo objetivo. Pero en esta ocasión la historia cambia y la estafada pasa a ser una compañía de videojuegos, para ser más exactos una gran firma del sector, como es Electronic Arts.

Según hemos podido conocer en Engadget la compañía de videojuegos ha denunciado el robo de 16 millones de dólares a través de su conocido juego FIFA. Los responsables de la fechoría, que ya han sido encontrados culpables, son un grupo de hackers norteamericano.

¿Objetivo fácil?

Lo curioso de todo este asunto es que no es la primera vez que el juego de fútbol de EA se ve envuelto en casusas legales. Este mismo año asistimos a una causa legal contra youtubers del Reino Unido por utilizar las monedas del FIFA para organizar una especie de lotería virtual.

Esas mismas monedas son las que habrían servido a Anthony Clark, de 24 años y oriundo de California, para realizar el fraude virtual y terminar obteniendo 16 millones de dólares. Clark es el cabecilla del grupo de hackers que ha sido detenido como culpable del fraude.

El juego FIIFA les sirvió para el fraude

El engaño ha sido posible de realizar gracias a la creación de un software propio, dicho programa le hacía creer a los servidores de EA que los hackers jugaban miles de partidas al FIFA por segundo, obteniendo unas ganancias estratosféricas en la moneda virtual del juego. Posteriormente, y según indica el Departamento de Justicia Americano, los defraudadores cambiaban esa moneda virtual por otras en mercados virtuales secundarios.

Parece ser que una de las cosas que ha hecho posible arrestar a Anthony Clark ha sido el alto tren de vida que comenzó a llevar con las ganancias obtenidas con su fraude. El muchacho empezó a comprar coches y casas de forma que hizo saltar las alarmas de quienes le rodeaban por el posible origen del dinero.

Ahora la pregunta que nos hacemos es si estamos ante casos aislados de fraude o verdaderamente hemos entrado en una época en la que los delitos virtuales pueden comenzar a ser mayoría contra los delitos cometidos en la vida real. Sobretodo en lo relacionado con temas financieros.

Fuente:http://www.gadgetos.com/

Noticias de seguridad informática

Metasploitable3 ya está disponible, ideal para aprender técnicas hacking

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/metasploitable3-ya-esta-disponible-ideal-para-aprender-tecnicas-hacking/
TAGS: Metasploitable3

Metasploitable es un sistema operativo contenido en una máquina virtual preparado específicamente para ser vulnerable a diferentes tipos de ataques. Ahora, el equipo de desarrollo de Metasploitable ha lanzado la versión Metasploitable3 para permitir a los estudiantes y profesionales de seguridad informática probar sus herramientas en un entorno controlado.

Metasploitable3 es la última versión del popular proyecto, que nos permite simular ataques a sistemas reales utilizando en gran medida Metasploit, el conocido framework para realizar pentesting de sistemas. Metasploit es ampliamente utilizado en la industria de la seguridad informática debido a su eficiencia, nos permite una gran configurabilidad de los módulos, desarrollar nuevos módulos por nosotros mismos, y también para realizar diferentes tipos de pruebas de software. Además, como Metasploit es ampliamente utilizado, también lo suelen utilizar los ingenieros de preventa para demostrar que sus productos son seguros, así como en los retos CTF.

La última versión de Metasploitable data del año 2012, esta nueva versión Metasploitable3 está construida para ser vulnerable desde cero, y tiene unas características muy interesantes que las versiones anteriores no tenían.

Principales Características de Metasploitable3

De código abierto, y con desarrollo continuado

Esta nueva versión de Metasploitable es de código abierto, los desarrolladores se dieron cuenta que si querían que toda la comunidad “jugara” con este sistema, también podrían influir y contribuir con el proyecto. Por este motivo, esta nueva versión está disponible de manera gratuita y libre en el repositorio de Metasploitable3 en GitHub. Ahora, al tener un desarrollo continuado, no tenemos simplemente la máquina virtual VirtualBox para descargar, sino que nos tendremos que descargar e instalar en nuestro sistema operativo real software adicional.

Los requisitos de Metasploitable3 son que necesita Packer, Vagrant, Vagrant Reload Plugin y por último, VirtualBox para simular el sistema operativo. En el proyecto de Metasploitable3 en GitHub tenéis las instrucciones para la puesta en marcha. Próximamente también se portará a VMware para poder utilizar este software de virtualización.

Más dificultad para explotar vulnerabilidades

En la versión Metasploitable2 había varias vulnerabilidades que simplemente lanzando un exploit ya teníamos privilegios de root en el sistema operativo. Con Metasploitable3 la dificultad es mayor, no todas las vulnerabilidades en Metasploitable3 se pueden explotar con un simple exploit de Metasploit, sino que tendremos que utilizar varios. Además, también se ha configurado que si un servicio se logra explotar con un único exploit, obtengamos una shell sin permisos de root, para dificultar el proceso y aprender cómo hacerlo. Además, tenemos la opción de desactivar el cortafuegos incorporado, para facilitar aún más este proceso.

Incorporación de “banderas”, simulando datos corporativos

Los desarrolladores han incorporado una serie de “banderas”, simulando los datos corporativos, de esta forma, si capturamos una bandera será similar a datos que hayamos podido robar. Conseguir estas banderas simularía el trabajo post-explotación y puede requerir el conocimiento de técnicas de ingeniería inversa.

Metasploitable3 es extensible

En la vida real, cuando vulneramos una máquina, además de verificar toda la información que haya en ella, también la podemos usar para pivotar a otra máquina dentro de la red corporativa. El objetivo de los desarrolladores de Metasploitable es crear una red de máquinas virtuales para realizar pentesting con diferentes tipos de vulnerabilidades, de esta forma, simularán un entorno real.

Actualmente Metasploitable3 está basado en Windows, pero próximamente estará basado también en Linux con el objetivo de probar módulos de Metasploit en este sistema operativo.

Os recomendamos visitar Metasploitable3 en GitHub donde encontraréis toda la información necesaria para la puesta en marcha del sistema.

Fuente: http://www.redeszone.net

Noticias de seguridad informática

EaseUS Data Recovery Wizard para Mac: el remedio ante pérdidas accidentales de archivos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/easeus-data-recovery-wizard-para-mac-el-remedio-ante-perdidas-accidentales-de-archivos/
TAGS: Data Recovery, Wizard para Mac

EaseUS Data Recovery Wizard para Mac ofrece las herramientas necesarias para recuperar archivos borrados por error. Evita la siempre dramática pérdida accidental de datos.

Podríamos asegurar sin miedo a equivocarnos que absolutamente todos los usuarios de ordenador nos hemos enfrentado en alguna ocasión a una situación que no ha sido de nuestro agrado: perder información valiosa del disco duro. Desde una tarea del instituto o la Universidad a información del trabajo que hay que rehacer pasando, evidentemente, por aquellas fotos que no queríamos perder… sin embargo esta escena que normalmente supone una crisis puede tener solución más fácilmente de lo que pensamos. Es posible reparar el daño y para eso basta con contar con un buen programa de recuperación de archivos borrados. Si tenemos miedo de que ocurra… ¿no ha llegado quizá la hora de descargar EaseUS Data Recovery Wizard?

La herramienta para recuperar información borrada en los escenarios más habituales

Éste programa de EaseUS que puede devolvernos la información perdida en las situaciones más comunes. A todos nos ha pasado alguna de estas cosas alguna vez:

• Borrados accidentales porque hemos enviado a la papelera lo que no debíamos o hemos hecho un Cortar y Pegar inapropiado.


• Pérdida de información al haberse dado algún fallo al actualizar el sistema operativo.


• Haber formateado por equivocación una unidad de almacenamiento.


• Borrados por virus, fallos en el disco, corte del suministro eléctrico, un reset cuando no tocaba…


• Pues bien, ante esta situación, EaseUS Data Recovery Wizard tiene la solución.

Características principales

Por resumir, este software nos ofrece estas características y funciones principales, esenciales para la suplir la necesidad de recuperación de archivos borrados de cualquier usuario medio:

• Detección de archivos de vídeo e imagen, audio, documentos, archivos comunes y otros formatos menos comunes.


• Dos modos de recuperación: escaneado simple y profundo.


• Previsualización de la información localizada antes de proceder a la recuperación.


• Organización de los resultados en tres maneras: ruta de archivo, tipo y fecha y hora de la pérdida.


• Guardado de datos de los escaneados. Permite la importación del estado del escaneado para recuperar datos.

¿Cómo funciona? ¿Cómo recuperar archivos borrados en el Mac?

Así es la interfaz principal de EaseUS Data Recovery WizardEntre otras virtudes del programa encontramos lo sencillo de su interfaz. Hay que tener en cuenta que en una situación dramática como la de una pérdida de información sensible lo último que queremos es, además, pelearnos con el Mac. Es por ello que encontramos un diseño simple que nos guiará en la recuperación del archivo.

Sólo tendremos que seleccionar el tipo o tipos de archivo que hemos perdido y a continuación las unidades del equipo que va a escanear en busca de ellos. Ejecutamos el escaneado y se pondrá a localizar todo lo que ha sido borrado voluntaria y accidentalmente. Una vez terminado podremos ver en el panel cuáles han sido y proceder a su recuperación.

En EaseUS Data Recovery Wizard puedes indicar qué unidades deben ser escaneadasEstos los podemos organizar en función de diferentes criterios: Ruta, tipo de archivo y fecha de eliminación. Ahora que ya ha localizado todos los archivos únicamente tenemos que seleccionar cuáles son los que queremos recuperar haciendo clic en, cómo no, el botón Recuperar.

Una vez escaneado, EaseUS Data Recovery Wizard nos muestra qué archivos se pueden recuperarSe nos dará paso al árbol de ficheros en el que se hallan los archivos y sólo tendremos que elegir los que queremos. Así de fácil.

La operación de recuperación de archivos en EaseUS Data Recovery Wizard tardará más o menos en funci

¿Qué tipos de archivo se pueden recuperar?

El programa trabaja sobre varios tipos de archivo que son los siguientes:

• Imagen: son los habituales. Ya sabes, formato JPG, PNG, GIF o BMP entre otros, bien descargados de Internet o procedentes de una cámara digital.


• Audio: archivos de sonido como MP3.


• Email: mensajes de correo electrónico de clientes como Sparrow o Thunderbird.


• Documentos: documentos ofimáticos como puedan ser Word, PDF, Excel o PowerPoint.


• Vídeo: películas, vídeos descargados de YouTube, descargas de una cámara digital…


• Archivos comunes: por ejemplo archivos comprimidos o ejecutables de programas.


• Otros tipos de fichero: archivos que no entran en la categorización anterior.

No lo dudes y anticípate al desastre: contar con una utilidad como EaseUS Data Recovery Wizard 10.9 puede evitar la catástrofe.

Fuente:http://www.malavida.com

Noticias de seguridad informática

El extraño legado del gusano Conficker, a 8 años de su nacimiento

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/el-extrano-legado-del-gusano-conficker-8-anos-de-su-nacimiento/
TAGS: Seguridad Nacional

Hace ocho años, el 21 de noviembre de 2008, Conficker asomó su horrible cabeza. Y desde entonces, el “gusano que rugió” (como dice el investigador distinguido de ESET Aryeh Goretsky) se ha mantenido obstinadamente activo.

Destinado a atacar los sistemas de Microsoft Windows, ha infectado computadoras domésticas, corporativas y gubernamentales en 190 países. Los expertos lo consideran el gusano más notable y difundido desde la aparición de Welchia, unos cinco años antes.

Conficker, como vamos a analizar a continuación, generó numerosas versiones con diferentes métodos de ataque (desde inyectar código malicioso en correos electrónicos de phishing hasta copiarse al sector ADMIN de una máquina Windows). En última instancia, sin embargo, el gusano siempre aprovechaba (y de hecho, sigue aprovechando) una vieja vulnerabilidad sin corregir para adivinar contraseñas y secuestrar equipos Windows con el objetivo de formar una botnet. Esta botnet se utilizaría luego para distribuir spam o instalar scareware (una vez más, como lo sigue haciendo hoy en día).

11 millones de dispositivos y contando

Conficker se convirtió en uno de los brotes de malware más graves de todos los tiempos y se cobró algunas víctimas famosas.

Se denunciaron alrededor de 11 millones de dispositivos infectados hasta la fecha, entre los que se incluyen máquinas del Ministerio de Defensa del Reino Unido y las Fuerzas Armadas Unificadas de Alemania Bundeswehr.

Al parecer, le costó al Consejo del Reino Unido 1,4 millones de libras recuperarse de una infección de Conficker en 2009, mientras que el periódico Ouest France informó que hubo que desactivar los aviones de combate franceses a causa de la infección del gusano.

Tal notoriedad hizo que el Departamento de Seguridad Nacional de los Estados Unidos financie el equipo The Conficker Working Group, en el que participan miembros de ESET, CISCO, Facebook, ICANN, Microsoft y varios otros, con el fin de investigar su impacto en el largo plazo.

Según los analistas en la iniciativa Cyber Secure Initiative, los costos mundiales de la desinfección de Conficker podrían haber llegado a los USD 9 mil millones. También preocupó el hecho de que el gusano tuviera un mayor impacto en la infraestructura de Internet.

“Con millones de equipos bajo su control, muchos expertos en seguridad especularon sobre lo que los atacantes intentarían hacer”, expresó The Conficker Working Group en un paper.

“EL GUSANO, DEBIDAMENTE INSTRUIDO, PODÍA SER UNA AMENAZA REAL PARA LA INFRAESTRUCTURA CRÍTICA DE INTERNET”

Y agregaron: “Los peores escenarios fueron sombríos. El gusano, debidamente instruido, podía ser una amenaza real para la infraestructura crítica de Internet. Hasta sus usos más benignos podrían causar graves problemas en el sector público o privado”.

No obstante, estas citas corresponden al año 2009. Más recientemente, se cree que Conficker ha comenzado a infectar y secuestrar los nuevos dispositivos de la IoT, incluyendo máquinas de resonancia magnética, escáneres de tomografía computada y equipos de diálisis conectados, desde donde roba historiales médicos, así como cámaras de la policía incorporadas al uniforme. Conficker está considerado la familia de malware más extendida, incluso al compararla con otras persistentes como Tinba y Sality.

En verdad, parte del éxito de Conficker tiene que ver con la gran cantidad de nuevas variantes y de métodos mejorados de ataque. Más recientemente, los analistas dijeron que este malware de autorreplicación (una vez más, conocido por infectar a través de medios USB) es capaz de moverse lateralmente a través de una red para copiarse a ciertos dispositivos, según las instrucciones específicas enviadas por el criminal desde su servidor de comando y control (C&C).

Microsoft incluso ofreció una recompensa de USD 250.000 en 2009 para quien proporcionara información que llevara a la “detención y condena” de cualquier persona declarada culpable de “lanzar ilegalmente el código malicioso Conficker en Internet”. Es una recompensa que aparentemente nunca se llegó a pagar.

“Las personas que escribieron este malware tienen que ser condenadas”, dijo en aquel momentoGeorge Stathakopulos, del grupo Trustworthy Computing Group de Microsoft.

Y como vamos a explicar a continuación, parece que Conficker se convirtió en una bestia demasiado grande para que cualquier ciberdelincuente realmente pudiera hacer uso de ella.

Los ataques van cambiando con el paso del tiempo

Es probable que el éxito de Conficker se deba en gran parte al viejo problema de la gestión de parches.  Aprovechó una vulnerabilidad de Microsoft Windows (MS08-67), para la cual el gigante de software de Redmond ya había lanzado un parche 29 días antes de que Conficker comenzara a propagarse.

Conficker, como se mencionó anteriormente, también cambió de rumbo varias veces. Pasó de ser un gusano que funcionaba “sin cabeza” (es decir, sin un servidor de C&C) y que se solía propagar mediante redes compartidas y memorias USB, a convertirse en variantes más modernas que se movían lateralmente a través de las redes, identificando los dispositivos débiles y vulnerables.

“La mayoría del malware que vemos hoy no se sigue propagando por sus propios medios como el gusano Conficker”, dijo el analista independiente de seguridad Graham Cluley a fines del año pasado.

Según Cluley, “los cibercriminales de hoy escriben troyanos diseñados para no llamar la atención. A veces incluso solo los envían a una pequeña lista de objetivos específicos para mejorar sus posibilidades de infectar sistemas sin ser detectados y darles a los atacantes acceso a sus archivos y comunicaciones”.

En la actualidad, cualquier buen antivirus debería ser capaz de detectar y eliminar el gusano; el único problema es la naturaleza de autopropagación de Conficker, que hace que los equipos ya infectados sigan infectando a otras PC que no tengan ningún software antivirus.

¿Qué pasó con los ciberdelincuentes?

“LLAMÓ DEMASIADO LA ATENCIÓN SOBRE SÍ MISMO Y ESO LO LLEVÓ AL FRACASO”

Curiosamente, pasó poco con estos ataques. El investigador senior de ESET David Harley observó que “parece que no se hizo nada” con los innumerables equipos infectados.

Se pregunta si el malware y la botnet resultante atrajeron demasiada atención de los medios de comunicación: “Quizá la banda simplemente determinó que la industria de la seguridad estaba vigilando demasiado de cerca a la botnet como para poder lograr algo”.

Goretsky opina lo mismo y agrega: “Al estar a plena vista de los investigadores antimalware de todo el mundo, que informaban cada uno de sus movimientos, era difícil para la pandilla criminal detrás de Conficker hacer cualquier cosa para monetizar su gusano”.

Según el investigador, “eran como ladrones que anunciaban que iban a robar un banco. No cabe duda de que la policía va a responder a ese tipo de casos. Llamó demasiado la atención sobre sí mismo, y eso es lo que finalmente lo llevó a su fracaso, al menos en términos de utilizarse como una herramienta para cometer más delitos cibernéticos”.

En la actualidad, Conficker y sus operadores permanecen en la oscuridad. El grupo criminal que operaba el gusano parece haber abandonado sus actividades hacia finales de 2009. Sin embargo, aquí estamos, en 2016, todavía luchando con un gusano que parece haber sido abandonado a su propia suerte.

Fuente:http://www.welivesecurity.com/la

Noticias de seguridad informática