Sunday, 31 January 2016

Arquitectura de seguridad de VoIP

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/arquitectura-de-seguridad-de-voip/
TAGS: empresa de seguridad informática, forense digital, Hacking Ético

Voz sobre IP (VoIP) ha estado alrededor durante mucho tiempo. Es omnipresente en los hogares, centros de datos y redes. A pesar de esta ubicuidad, la seguridad no suele ser una prioridad y por esa razón hay muy pocas empresas de seguridad informática trabajando en esta área.  Según la experiencia de profesor de hacking ético,  con la combinación de unos protocolos estándar, es posible hacer que sea seguro e implementar cifrado en llamadas VoIP.


VOIP


TLS es el protocolo de seguridad entre los puntos extremos de señalización de la sesión. Es la misma tecnología que existe para los sitios web SSL; comercio electrónico, correo web cifrado, Tor y muchos otros utilizan TLS para la seguridad. A diferencia de los sitios web, VoIP utiliza un protocolo diferente llamado el Protocolo de Iniciación de Sesión (SIP) para señalización: acciones como sonar un dispositivo, respondiendo a una llamada y colgar. SIP-TLS utiliza las autoridades de certificación estándar para definir las claves. Esto implica la confianza entre el emisor del certificado y los extremos de la llamada.


Para añadir una pequeña complejidad, el contenido de las llamadas tiene sólo una pequeña relación con SIP. Según experto de empresa de seguridad informática, el protocolo para definir clave para contenido P2P VoIP se llama ZRTP. En un sistema de P2P, el acuerdo de clave y cifrado del contenido de la llamada ocurre en las aplicaciones de extremo. Una distinción importante entre VoIP y otras comunicaciones en red es que todos los dispositivos son cliente y servidor a la vez, así que tenemos sólo "extremos" en lugar de "clientes" o "servidores". Una vez que los extremos están de acuerdo en un secreto compartido, la sesión termina ZRTP y la sesión SRTP comienza menciona el profesor del curso de hacking ético. Cuando, todo el contenido audio y video sobre la red está encriptado. Sólo los dos pares extremos que establecieron una sesión con ZRTP pueden descifrar la secuencia de los medios de comunicación. Esta es la parte de la conversación que no puede ser interceptada ni pueden espiar los metadatos de sesiones.


ZRTP


En primer lugar es SIP (Protocolo de inicialización de sesión). Este protocolo se cifra con TLS. Contiene las direcciones IP de los extremos que deseen comunicarse pero no interactúa con la secuencia de audio o vídeo.


En segundo lugar, hay ZRTP. Este protocolo entra en la mezcla después de un exitoso diálogo SIP establece una sesión de llamada por localizar los dos extremos. Transmite información de acuerdo clave sobre un canal SRTP no verificado. Los extremos usan sus voces para hablar un secreto que verifica que el canal es seguro entre sólo los dos extremos.


En tercer lugar, introduzca SRTP. Sólo después de que el intercambio de claves de ZRTP tiene éxito se cifra el contenido de la llamada con el protocolo seguro de Tiempo Real. Desde este punto en adelante, todo el audio y el vídeo son seguros y únicamente con llave para cada sesión individual menciona Mike Smith, profesor de forense digital de IICS.


Según expertos de empresa de seguridad informática, VoIP es complejo en comparación con HTTP y el entendimiento de la corriente principal de los elementos de seguridad a menudo omite el contenido SRTP/ ZRTP, más bien se centra sólo en la señalización SIP-TLS. En el próximo artículo cubriremos más sobre la arquitectura de seguridad de VOIP con la ayuda de profesor de curso de hacking ético y forense digital de IICS.


Noticias de seguridad informática

La configuración de los servidores web Apache podría revelar detalles del tráfico en Tor

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/la-configuracion-de-los-servidores-web-apache-podria-revelar-detalles-del-trafico-en-tor/
TAGS: Apache, TOR

Es algo que ya se ha reportado por parte de usuarios en diversas ocasiones en las últimas semanas, y es que dejando la configuración que viene por defecto predeterminada en los servidores web Apache, se podría poner en peligro la privacidad de los internautas.


En concreto en este caso vamos a hablar de los usuarios que habitualmente navegan por la red Tor, red que se caracteriza precisamente por la privacidad que proporciona a la hora de moverse por la Red. Pues bien, recientemente se ha descubierto que el hecho de no modificar la configuración por defecto de los servidores web Apache, podría revelar detalles acerca del tráfico de Tor que se maneja a través de estos servidores en concreto.


Como la mayoría de vosotros ya sabréis, la deep web alberga sitios web bajo en dominio .onion y a los que se accede usando el navegador Tor Browser. Para acceder a estos contenidos hay varios métodos, aunque uno de los más sencillos es utilizar un servidor web Apache, que junto a los demonios de Tor, manejan la parte referente al anónimo en el tráfico a través de estos servidores. El problema viene a raíz de que si la configuración predeterminada en estos servidores no se modifica, podría poner en peligro la privacidad de la información que circula por los mismos.


Relacionado: Llega Tor Browser 5.5 con mejoras en la privacidad, seguridad y anonimato


Esto es algo de lo que actualmente ya se ha informado al administrador del Proyecto Tor, aunque de momento aún no se le ha dado demasiada importancia. De hecho este es una tema que también ha sido tratado por Alec Muffet, ingeniero de software de Facebookexplicando con detalle este problema de seguridad y las consecuencias que podría traer.


deep web


En concreto la configuración del servidor Apache que causa este problema es el módulo de estado del servidor que viene activado siempre por defecto. La salida de este módulo en concreto está disponible en todos los servidores cuando se accede a la URL “http://website.com/server-status/


Esta página muestra los datos de la configuración de un servidor, el tiempo de actividad, el uso de recursos, el tráfico total y las peticiones HTTP activas. Precisamente estos son los detalles que ayudan a detectar la zona horaria del servidor, su posición geográfica relativa, la configuración del idioma o incluso su dirección IP a través de hosts virtuales configurados incorrectamente. Por lo tanto el agujero de seguridad es claro, ya que es precisamente toda esa información la que los usuarios de Tor desean que no se conozca cuando navegan por la deep web.


Fuente:http://www.adslzone.net/


Noticias de seguridad informática

Saturday, 30 January 2016

Más de 60 juegos en Google Play infectados por un troyano

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/mas-de-60-juegos-en-google-play-infectados-por-un-troyano/
TAGS: Google Play, Malware, troyano, Virus

Una de las formas más fáciles para infectar a un usuario es a través de un videojuego, y es por ello que los atacantes centran sus esfuerzos en incluir distinto malware en sus juegos. Si bien las barreras de seguridad de las plataformas de descarga son altas, sí que se buscan fórmulas para sortearlo. En Google Play se acaban de descubrir más de 60 juegos infectados por un troyano.


Investigadores han descubierto que el troyano Android.Xiny está presente en más de 60 juegos de Google Play. Se trata de un troyano organizado que ha podido infectar a miles de teléfonos y tabletas Android de todo el mundo, y que está presente en más de 60 juegos subidos por hasta 30 diferentes desarrolladores.


Los usuarios que se hayan descargado alguno de esos 60 juegos han expuesto su información privada que ya ha sido almacenada en un servidor remoto externo. Entre los datos que este troyano roba a los usuarios figura la identificación IMEI y IMSI, país de origen, configuración de idioma,información del operador móvil, dirección MAC del dispositivo, la versión de sistema operativo, el tipo de tarjeta de memoria y la app que le ha infectado.


juegos infectados en Google Play


Algunos de los juegos infectados en Google Play


Una vez que la información ha sido enviada a dicho servidor remoto, y en base a las especificaciones del teléfono de la víctima, el malware muestra anuncios no deseados en la pantalla del terminal infectado o descarga en segundo plano otros programas maliciosos. Si bien es cierto que el troyano no obtiene privilegio de root, sí que habilita descargas de otros programas maliciosos que sí podrían tener consecuencias mayores, con lo que el usuario podría acabar perdiendo control sobre su propio dispositivo.


El troyano no ha sido localizado de forma inicial, porque a diferencia de otros, no se ha escondido ni obrado a través de HTTPS, sino que se ha encontrado latente en imágenes PNG, donde los investigadores y programas antivirus no suelen mirar como primer nivel de objetivo.


De momento Google no ha retirado muchas de estas aplicaciones maliciosas, con lo que lo más recomendable es no descargarse juegos ni aplicaciones que provengan de desarrolladores poco conocidos o que apenas cuenten con reseñas del público.


Fuente:http://computerhoy.com/


Noticias de seguridad informática

Friday, 29 January 2016

Oracle anuncia fin del plugin de Java

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/oracle-anuncia-fin-del-plugin-de-java/
TAGS: Java, Oracle

Con un corto mensaje publicado por un miembro del equipo de estrategia de Java, Oracle ha anunciado la próxima muerte del odiado plugin.


"Oracle planea eliminar el plugin de java para navegadores en su JDK 9. Esta tecnología será retirada del JDK (Java Development Kit) y el JRE (Java Runtime Enviroment) en la futura versión de Java SE (Plataforma Java Standard Edition)", compartióOracle en su plan.



JDK 9 está en su versión beta y está disponible para pruebas. Se planea que la versión final sea lanzada en septiembre del presente año.


Durante años, el plugin de Java fue el favorito entre los atacantes debido a su uso generalizado y al hecho de que era un semillero de vulnerabilidades de día cero. Los exploits fueron bien ejecutados tanto por grupos APT (Advanced persistent threat) como por cibercriminales, a veces como código de ataque independiente y algunas veces como código para venta.


Quizás Oracle no se habría rendido con el plugin sino por el hecho de que los navegadores dejaron de dar soporte a los plugins o anunciaran que lo harían pronto.


"A finales de 2015, muchos fabricantes de navegadores habían ya eliminado o anunciado la fecha de eliminación del soporte para plugins basados en estándares, eliminando la posibilidad de embeber Flash, Silverlight, Java y otras tecnologías basadas en plugins", remarcó Oracle.


"Con los fabricantes de navegadores modernos trabajando en restringir y reducir el soporte a plugins en sus productos, los desarrolladores de aplicaciones que basan su trabajo en los plugins de Java necesitan considerar opciones alternativas, como migrar de Java Applets (que se basan en un plugin de navegador) a la nueva tecnología web de Java libre de plugins.


Fuente:http://www.seguridad.unam.mx/


Noticias de seguridad informática

La banca en línea del HSBC sufrió un ataque DDoS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/la-banca-en-linea-del-hsbc-sufrio-un-ataque-ddos/
TAGS: DDoS, HSBC

La filial del Reino Unido del banco HSBC reveló hoy en su cuenta de Twitter que los servicios en línea de su sitio habían sido blanco de cibercriminales durante la mañana, aunque enseguida afirmó que se había defendido en forma exitosa. La compañía aseguró a sus clientes que estaba trabajando duro para restaurar sus sistemas para que volvieran a estar disponibles en línea, por lo que muchos usuarios pasaron varias horas sin poder acceder.


“LA BANCA EN LÍNEA DE HSBC REINO UNIDO FUE ATACADA ESTA MAÑANA. DEFENDIMOS CON ÉXITO NUESTROS SISTEMAS


Un vocero del banco dijo más tarde que el incidente había sido causado por un ataque DDoS, lo que significa que múltiples computadoras fueron usadas para hacer peticiones repetidas que colapsaron el servicio. Como el sistema no está preparado para procesar tal bombardeo de solicitudes, se satura y deja de funcionar.


HSBC añadió que no se comprometió ninguna información sensible de sus clientes en el ciberataque. Este fue el comunicado que emitió, según reporta Ars Technica:


La banca en línea del HSBC sufrió un ataque DDoS

La banca en línea de HSBC Reino Unido fue víctima de un ataque denegación de servicio esta mañana, el cual afectó a sitios de banca personal en el Reino Unido.


HSBC se ha defendido con éxito del ataque, y las transacciones de los clientes no se vieron afectadas. Estamos trabajando duro para restaurar los servicios, y la actividad normal se está retomando.


Pedimos disculpas por cualquier inconveniente que este incidente haya podido causar.


Este no ha sido un buen mes para el banco, ya que hace poco sus clientes estuvieronimposibilitados de acceder a sus cuentas online. Le tomó cerca de dos días a HSBC resolver este “problema técnico complejo” dentro de sus sistemas.


“Me complace decir que hemos visto una vuelta paulatina del servicio de banca en línea para nuestros clientes personales y corporativos en las últimas horas”, dijo John Hackett, COO de HSBC Reino Unido, en ese entonces. “Estaremos monitoreando el servicio muy atentamente, listos para responder si llegara a surgir un nuevo problema”, había dicho. Hoy, surgió uno.


Fuente:http://www.welivesecurity.com/


Noticias de seguridad informática

Facebook soluciona una vulnerabilidad que podía brindar el control total sobre una cuenta

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/facebook-soluciona-una-vulnerabilidad-que-podia-brindar-el-control-total-sobre-una-cuenta/
TAGS: cross-site scripting (XSS), facebook

Facebook es la red social más utilizada en todo el mundo. Gracias a ella podemos estar en contacto con nuestros amigos y conocidos en todo momento, sin embargo, la red social también cuenta con una gran información personal sobre cada usuario, lo que la convierte en un interesante objetivo para los piratas informáticos. Aunque los servidores de Facebook cuentan con una serie de medidas avanzadas para evitar ataques informáticos como, por ejemplo, la subida de archivos no permitidos a sus servidores, en ocasiones estas medidas fallan, brindando a usuarios no autorizados acceso a otras cuentas de usuario, tal como ha descubierto Jack Whitton.


Este investigador de seguridad de origen británico, ha detectado y reportado una vulnerabilidad crítica cross-site scripting (XSS) en Facebook que podía permitir tomar el control total de una cuenta mediante el uso de imágenes .png con cierto código HTML oculto en ellas (lo que se conoce como esteganografía).


Este investigador de seguridad ha conseguido engañar a los servidores de Facebook de manera que al subir la imagen .png modificada, de cara a los servidores se pensara que se trataba de una imagen real, sin embargo, al guardarse en ellos esta se convertía automáticamente a formato html, brindando acceso a una web modificada desde dentro de la red social, simplemente con un clic.


Tras conseguir evadir los sistemas de seguridad del CDN de Facebook, este investigador de seguridad finalmente consiguió subir la página HTML a través de un iframe, la cual, le permitió acceder a las cookies del usuario e interactuar con ellas, consiguiendo así acceso completo a la cuenta de la víctima.


Vulnerabilidad XSS en Facebook


La vulnerabilidad fue solucionada tan solo unas horas después del reporte y su correcta identificación. Además, este investigador de seguridad ha sido recompensado con 7500 dólares del programa Bug Bounty por el descubrimiento y el reporte de la vulnerabilidad.



Este fallo en Facebook podía haber sido utilizado para distribuirse como un gusano, igual que en el pasado


Tal como asegura este investigador de seguridad, lo malo de las vulnerabilidades del tipo XSS es que pueden utilizarse para distribuir un gusano en la red. La imagen modificada que subió a la red social era de prueba, y solo devolvía el token de acceso de Facebook de las cookies de la víctima, lo que permitía tomar el control de ella.


Sin embargo, si el fichero HTML hubiera sido modificado y se le hubiera añadido la opción de publicar una entrada en el perfil que llevara a la imagen, esto podía haber terminado mal, ya que el proceso se repetiría automáticamente cada vez que alguien hace clic sobre un enlace, llegando incluso a convertirse en un nuevo caso como el de MySpace en el pasado, donde más de un millón de cuentas se infectaron en menos de 24 horas.


Por suerte, Whitton ha reportado el fallo a tiempo y Facebook lo ha solucionado en cuestión de horas, por lo que la red social vuelve a ser segura, al menos de momento.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Los Riesgos de Contractar Una Empresa de SEO Mala

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/los-riesgos-de-contractar-una-empresa-de-seo-mala/
TAGS: blackhat SEO, DDoS

Hoy no vamos a explorar malware o cualquier otro tráfico abiertamente malicioso. En cambio, este post es un aviso de tácticas de marketing deshonestas utilizadas por los servicios que pretenden mejorar el tráfico de su sitio web, o Search Engine Optimization (SEO) – Optimización en Buscadores.


Recientemente, recibimos un informe de uno de nuestros clientes diciendo que su sitio web estaba bajo un ataque de Denegación de Servicio Distribuido (DDoS). Nuestras Firewall de Sitios Web ofrece protección contra DDoS capaz de mitigar los ataques de gran escala y es muy raro que tengamos que ayudar a mitigar estos ataques. Después de una mirada, estaba claro que no estaba sucediendo cualquier ataque DDoS. Como se sospechaba, el sitio web estaba totalmente protegida por nuestro Firewall de Sitios Web y no había tráfico malicioso a se encontrar. Sin embargo, me di cuenta de algunos patrones de tráfico extraños que captaron mi interés, así que me sentí que valdría la pena investigar el asunto.



Pico de Tráfico de Google Analytics


Nuestro cliente se dio cuenta de algunos cambios alarmantes en sus informes de Google Analytics y pensó que era un ataque DDoS. El tráfico del sitio web se ha incrementado dramáticamente. Eso puede sonar como una cosa buena para algunos, sin embargo, se hizo evidente que este tráfico no era normal. Nuestras estadísticas del Firewall de Sitios Web indican que el tráfico ha aumentado considerablemente, pero el tráfico adicional no contenía peticiones maliciosas y la geolocalización no parecía provenir de un ataque DDoS típico.


Lo que era realmente alarmante es que el aumento en el tráfico se ha producido casi inmediatamente, como si alguien hubiera volteado un interruptor. Por otra parte, el aumento del tráfico era muy consistente, con una duración de 3 semanas antes de llegar a su punto máximo. Esto es muy diferente de los ataques DDoS estándar, donde la duración es sólo unos pocos días.



Audiencia > Redes > Proveedores de Servicio

Le pedimos a nuestro cliente para acceder a su cuenta de Google Analytics, así que pudimos tomar ventaja de esta funcionalidad para nuestra investigación. Google Analytics es una poderosa herramienta que permite a los webmasters ver fácilmente sus visitas a un sitio y explorar los patrones de tráfico que emergen.


Empecé la comparación de los Network Service Providers donde las peticiones surgían antes y después del aumento del tráfico. Esta comparación mostró sobre 75 nuevas redes que hace poco estaban enviando miles de peticiones al sitio web todos los días, pero nunca había enviado peticiones a la página antes de este momento. Estas peticiones también correspondieron al aumento en el total de visitas al sitio que se ve en las estadísticas CloudProxy. Con esta comparación, inmediatamente fuimos capaces de aislar las redes de donde este nuevo tráfico venía y ver qué exactamente este tráfico estaba haciendo.



Lindo Tráfico Falso


Mirando sólo las estadísticas de tráfico de estas nuevas redes, el comportamiento fue sólo ligeramente “perfecto” para ser proveniente de los usuarios normales que visitan el sitio web:


El tráfico es lindo, si usted me lo pregunta.

Incluido en las estadísticas del tráfico total, ese tráfico se mezclaría sin problema y parecería que es un aumento de visitantes; sin embargo, cuando se lo ve solo, el tráfico de estas redes parece ser sin duda sospechoso. El nuevo tráfico siempre tenía una duración de sesión de 03:40 a 04:00 minutos, con vista en promedio de 4.2 páginas por sesión y tenía una tasa de rebotar del 50%.


Sin embargo, lo que realmente nos ayudó a entender todo fue que el 100% de estas sesiones eran nuevas, el 100% eran tráfico directo y casi todo comenzó en una URL diferente de la página de inicio. En este punto, se hizo muy claro que este tráfico se estaba generando de forma automática.


Como ya había mencionado anteriormente en este artículo, ninguna de las solicitudes enviadas desde estas nuevas redes eran maliciosas. No hubo peticiones POST, ni caracteres codificados, ni archivos confidenciales accedidos y la velocidad en la que se enviaron las solicitudes no era claramente un intento de DDoS. ¿Entonces por qué se genera este tráfico?



Proveedores de Servicio Spammy

Afortunadamente, muchos de los nombres de los proveedores de servicios de red (Network Service Providers) de Google Analytics proporcionaron algunas pistas.


Sitios web de dos redes 'diferentes' de origen del tráfico.

Junto con varios proveedores de VPS baratos, una serie de empresas de marketing en línea y de SEO blackhat fueron listadas como las redes fuentes del nuevo tráfico. En este punto, era fácil comprender todo. Nuestro cliente, posiblemente, había contratado a alguien para dirigir el tráfico a su sitio web y ganado más (o menos) de lo esperado. También es posible que un competidor malintencionado haya pagado a alguien para estropear su tráfico. Este tipo de cosa puede suceder con las granjas de enlaces, otro repertorio de blackhat SEO. Si bien que se ha hecho un dramático aumento en el tráfico del sitio web, el tráfico era completamente inútil y sólo sirvió para estropear las estadísticas de Google Analytics.



Evite el Aceite de Serpiente de SEO


$5 Traffic Gigs en rebaja en Fiverr

Por desgracia, en el mundo de SEO, no hay escasez de vendedores de aceite de serpiente. Estas empresas de ‘SEO’ prometen resultados rápidos y tomar se aprovechan la falta de experiencia de sus clientes cuando se trata de hacer dinero. El SEO real, como la seguridad en línea, es un proceso no sólo un interruptor que se puede encender y apagar al instante.


Uno de los pasos más simples e importantes que los webmasters pueden tomar para mejorar el SEO de su sitio web es asegurarse de que su sitio web puede ser indexado fácilmente. También es importante asegurarse de que los títulos y meta descripciones de sus páginas se ajustan a los temas de su sitio web. Desarrollar una comunidad y dar a conocer sobre su sitio web también es importante porque cuanto más prestigiosos son los enlaces que apuntan a su sitio web, mejor será su posición en los buscadores.


Se usted usa WordPress o Drupal, se lo recomiendo que utilice el maravilloso plugin de SEO de Yoast.



Conclusión

Es cierto que hay empresas de legítimas que ofrecen un servicio valioso, pero le recomendamos pasar algún tiempo investigando antes de gastar su dinero. Una buena regla es que cualquier “empresa de SEO” que se ponga en contacto con usted por primera vez a través de su correo electrónico se debe evitar, estos son, por lo general, sólo una forma un poco más avanzada de spam.


Es necesario comprender que se necesita tiempo para mejorar el SEO de su sitio web, así que si cualquier empresa SEO promete resultados inmediatos, sepa que están mintiendo. SEO Blackhat no vale la pena. Encontrarse cara a cara con la empresa SEO y escuchar sus explicaciones sobre cómo exactamente van a mejorar su ranking es una gran ventaja que no debe subestimarse.


Por último, vale la pena gastar el tiempo para leer algunos tutoriales de SEO usted mismo para conseguir una mejor comprensión de lo que implica tener un buen SEO. Como todas las cosas, cuanto más sepa acerca de un tema, más fácil es encontrar las mejores ofertas disponibles y evitar errores comunes. Puede comenzar con el Guía de SEO de Google y seguir el blog del Google Webmasters para insights oficiales sobre SEO.


Fuente:https://blog.sucuri.net


Noticias de seguridad informática

Thursday, 28 January 2016

Una nueva campaña de CryptoWall 4.0 hace pensar que la versión 5.0 podría aparecer pronto

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/una-nueva-campana-de-cryptowall-4-0-hace-pensar-que-la-version-5-0-podria-aparecer-pronto/
TAGS: Cryptowall 4.0

El ransomware es el tipo de software malicioso más peligroso. Este malware se centra en secuestrar, o cifrar, los datos de los usuarios para pedir un pago económico a cambio de la clave de cifrado para poder recuperarlos. Existen muchas variantes de ransomware, cada una con unos precios, un algoritmo y unas características diferentes, sin embargo, una de las más conocidas y peligrosas es CryptoWall quien, tras unos meses de tranquilidad, ha vuelto a la acción.


Varios expertos de seguridad han detectado una nueva campaña de distribución de ransomware a través del correo electrónico. Esta nueva campaña, detectada originalmente en Reino Unido, llega a las víctimas en forma de correo electrónico no deseado, incluyendo un documento, una orden de pedido o una factura falsa.


Cuando el usuario descarga e intenta abrir el documento, aparentemente inofensivo, este carga una macro que se conecta a un servidor externo desde donde descarga y ejecuta un binario, llamado asalam.exe, que es en realidad la nueva variante de CryptWall 4.0.


Cuando este ransomware se ejecuta en el sistema, automáticamente crea una serie de copias persistente (para reactivarse en caso de ser eliminado) y empieza a cifrar los archivos de las víctimas con un algoritmo irrompible. Una vez finaliza el proceso de cifrado, envía la clave privada a un servidor controlado por piratas informáticos, la elimina del sistema y le muestra a la víctima un mensaje donde le pide pagar el rescate o, de lo contrario, sus archivos se perderán para siempre.


CryptoWall 4.0 apareció por primera vez en noviembre de 2015, y desde entonces se ha tomado un considerable número de víctimas, siendo el ransomware la peor amenaza vista en la red desde hace mucho tiempo.



CryptoWall 5.0 podría aparecer pronto


En ocasiones anteriores, cuando un ransomware ha estado sin actividad un tiempo y de repente vuelve a aparecer en la red en una nueva campaña sin motivo aparente ha coincidido que poco después se ha publicado una nueva versión de este ransomware, mucho más compleja, peligrosa y difícil de identificar que la anterior.


Según los expertos de seguridad de Heimdal Security, es posible que este sea el indicio que augure que la nueva versión ya está desarrollada y que los piratas informáticos podrían liberarla en cualquier momento. Según predicen, el nuevo CryptoWall 5.0 podría llegar en marzo de este mismo año.


Evolución del ransomware CryptoWall


Es imposible conocer las novedades que se implementarán en esta nueva versión del ransomware, sin embargo, es muy importante estar preparados para lo peor. Si queremos evitar sorpresas, es recomendable instalar un software antivirus actualizado y alguna herramienta de protección adicional como Malwarebytes Anti-Exploit que evite que podamos ser infectados a través de una vulnerabilidad en el software o Malwarebytes Anti-Ransomware, una nueva herramienta capaz de detectar el ransomware por comportamiento, siendo capaz de identificar posible ransomware incluso antes de que este sea registrado por las principales firmas antivirus.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Llega Tor Browser 5.5 con mejoras en la privacidad, seguridad y anonimato

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/llega-tor-browser-5-5-con-mejoras-en-la-privacidad-seguridad-y-anonimato/
TAGS: Linux, Mac OS X, Tor Browser 5.5

El navegador Tor Browser nos permite usar la red anónima Tor en un ordenador con Windows, Mac OS X y Linux de forma sencilla sin necesidad de instalar ningún software adicional. Ahora alcanza la versión 5.5 con mejoras en varias áreas clave que mejoran la privacidad, seguridad y anonimato cuando estamos navegando por Internet.


Lleva ya un tiempo disponible en el mercado y con cada nueva actualización recibe esperadas mejoras y correcciones de seguridad. El Proyecto Tor acaba de anunciar la llegada de la versión 5.5 que se podrá descargar paraWindows de 32 y 64 bit, Mac OS X de 64 bit y Linux de 32 y 64 bit. La última versión la podéis conseguir desde la página web oficial. En esa misma web se puede encontrar la versión experimental que alcanza la numeración 6.0a1.


Tor Browser 5.5


Existen numerosos cambios en la versión Tor Browser 5.5 como la implementación de unnuevos protocolos de defensa para aumentar la seguridad en varias áreas. Esta versión está basada en Mozilla Firefox 38.6.0 ESR, siglas para “Extended Support Release” versiones más estables que contienen única mejoras de seguridad y se liberan menos veces al año. El listado completo de cambios se puede ver en la siguiente página web.



Primeros pasos con Tor Browser


Una vez hayamos descargado la versión correcta según nuestro sistema operativo, llega el momento de instalarla y acceder a la red segura Tor. En Windows bastará con abrir el ejecutable y seguir las instrucciones en pantalla. En Mac OS X arrastraremos la aplicación a la carpeta en cuestión mientras que en Linux seguiremos las instrucciones y comandos queaparecen aquí.


Tor Browser start


Una vez hayamos instalado el navegador, lo abriremos y veremos una pantalla que nos ofrece dos opciones: Conectar o Configurar. En principio, pulsaremos sobre “Conectar” y en unos segundos estaremos conectados a la red Tor y podremos navegar de forma anónima y segura. Cuando terminemos de navegar y cerremos el navegador se borrarán todos los datos: historial, cookies y demás.


Debemos recordar que el navegador Tor Browser hace anónimo el tráfico generado dentro del mismo. El ordenador y la conexión no serán 100% anónimas ni el tráfico generado fuera del navegador. Además, debemos tener en cuenta que aunque el navegador sea seguro, es posible que algunos servicios como Facebook o Gmail, no lo sean.


Fuente:http://www.adslzone.net/


Noticias de seguridad informática

7ev3n, un ransomware que bloquea la utilización del teclado

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/7ev3n-un-ransomware-que-bloquea-la-utilizacion-del-teclado/
TAGS: 7ev3n

Sin lugar a dudas es el tipo de malware por antonomasia en la actualidad y del que más beneficios obtienen los ciberdelincuentes. Pero sin lugar a dudas, este ransomware no destaca por la cantidad de archivos que cifra, sino por la recompensa que pide a los usuarios. Ni más ni menos que más de 4.000 euros o 13 Bitcoin es la cantidad que solicita 7ev3n.


Tal y como hemos indicado no destaca por el número de archivos que deja inaccesibles, sobre todo porque en ningún momento se produce un cifrado de estos, sino que se trata de una amenaza a la vieja usanza, cuando Windows XP aún proliferaba entre los usuarios.  Este tipo de virus informáticos destacaba por mostrar una imagen a pantalla completa y no permitir la utilización del equipo, bloqueando algunas funciones a nivel de sistema operativo o bien de hardware, refiriéndonos sobre todo al teclado y el ratón, ya que sin estos resulta imposible realizar cualquier tipo de actividad con el equipo.


Esto supone todo lo contrario a lo que los usuarios han tenido que hacer frente hasta el momento en Windows, ya que además de proceder al cifrado de los archivos y no permitir su acceso, se mostraba al usuario una ventana emergente o bien se modificaba el fondo de escritorio para explicar al usuario lo que sucedía y proporcionar instrucciones sobre un proceso para recuperar el acceso a los datos, previo pago de la cantidad solicitada.


7ev3n Ransom Note



7ev3n anula ciertos atajos de teclado


Tal y como ya hemos indicados, este malware centra sus esfuerzos en anular el teclado y una gran cantidad de atajos para evitar que el usuario tenga escapatoria. F1, F10, F3, F4, Enter, Escape, Alt izquierdo, Ctrl izquierdo, Alt derecho, Ctrl derecho, Shift derecho, Windows izquierdo, Windows derecho, Bloq Num o Bloq Mayús son algunas de las teclas que sufren los efectos de esta amenaza. Sin estas teclas no se puede eliminar la amenaza ni tampoco detener su ejecución.


Con respecto a la vía de difusión aún es una incógnita, ya que muy pocos usuarios están afectados en este momento y todo parece indicar que el contagio se ha producido a través de carpetas compartidas y medios de almacenamiento USB.



Fuente:http://www.redeszone.net/


Noticias de seguridad informática

VirusTotal, el servicio de Google que analiza archivos y URLs

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/virustotal-el-servicio-de-google-que-analiza-archivos-y-urls/
TAGS: VirusTotal

El malware lo tiene cada vez más complicado con herramientas como VirusTotal, un servicio con sabor español que ahora pertenece a Google y que analiza direcciones web y archivos en busca de código malicioso o todo tipo de virus. Hasta ahora sólo tenía un punto débil: no analizaba imágenes de firmware, una característica que acaba de estrenar y que ya está accesible de forma gratuita en su página.


El Parque Tecnológico de Málaga está a la vanguardia, y uno de sus proyectos que consiguió llamar la atención de Google fue VirusTotal, un servicio web gratuito que analiza direcciones web y distintos archivos en busca de virus o código malicioso. De esta manera cada usuario tendrá la certeza absoluta de que si ejecuta un archivo o bien accede a una web en particular, irá sobre seguro.


Google compró el servicio en 2012, y desde ese momento ha añadido nuevos antivirus y servicios que hacen de VirusTotal una visita imprescindible en el hoy día. Últimos informes dejan bien claro el crecimiento de virus y malware en Internet, y herramientas como las que nos atañe son un seguro de vida. El servicio nos permite analizar cualquier página web antes de ser visitada, para estar seguros de que no contiene ningún tipo de malware que pueda infectar a nuestro ordenador. También permite analizar todo tipo de archivos (ejecutables, PDF, ZIP…) en busca de virus.


herramienta de análisis VirusTotal


Tanto los archivos como las URL pasan a través de hasta 66 antivirus diferentes para determinar si existe riesgo de visita o ejecución, pudiendo acceder a un pequeño informe posterior. Con la nueva actualización del servicio de VirusTotal, ahora también nos permite comprobar la fiabilidad de las imágenes de firmware, uno de los elementos que usan los hacker de nueva generación para infectar al usuario.


En sí, un antivirus, y por defecto, tiene muy complicado analizar las imágenes de firmware, y eso es aprovechado por los ciberdelincuentes para infectar los dispositivos de los consumidores. De esta manera ya estaremos seguros de que si instalamos un firmware, no tendremos ningún problema de raíz que pueda hacer daño a una instalación virgen.


En la página de estadísticas del servicio de VirusTotal se pueden apreciar en qué países se hace un mayor uso de estas funciones, la cantidad de archivos y URL analizadas diariamente, y el tipo de archivos que pasan el examen, viendo que los Win32 (exe) y Win32 (DLL) son los más problemáticos, aunque también tienen una amplia presencia los archivos PDF y los ZIP.


Fuente:http://computerhoy.com/


Noticias de seguridad informática

Wednesday, 27 January 2016

BackBox Linux 4.5 incluye nuevas herramientas para realizar auditorías de seguridad

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/backbox-linux-4-5-incluye-nuevas-herramientas-para-realizar-auditorias-de-seguridad/
TAGS: BackBox, Linux

BackBox Linux es una distribución basada en Ubuntu que ha sido desarrollada especialmente para analizar la seguridad de una red o de un sistema informático mediante pruebas de pentesting. Este sistema operativo se caracteriza por ser rápido y fácil de usar, incluyendo por defecto un completo entorno de escritorio ligero y práctico, a la vez que un conjunto de herramientas, siempre actualizadas, con las que poder llevar a cabo las evaluaciones de seguridad.


Esta distribución necesita un procesador de 32 o 64 bits para funcionar, así como al menos 512 MB de memoria RAM y una gráfica compatible con resolución 800×600. También debemos tener en cuenta un espacio de almacenamiento mínimo de 6 GB si vamos a instalarla en el sistema. La ISO de instalación podemos grabarla tanto a un DVD como a un USB de, al menos 2 GB.


Con el fin de poder seguir creciendo y mejorando frente a la competencia, los responsables de BackBox han liberado una nueva versión, la 4.5, donde se mejora, a grandes rasgos, tanto la velocidad como la compatibilidad y variedad de aplicaciones incluidas en este sistema operativo para auditorías.


Las principales novedades que se han incluido en el nuevo BackBox 4.5 son:



  • Nuevo Kernel Linux 4.2.

  • Mejoras internas en el sistema para mejorar la velocidad y estabilidad.

  • Solución de diferentes bugs del sistema y algunas aplicaciones.

  • Mejoras en el modo anónimo.

  • Se empieza a implementar la integración la nube de BackBox Cloud.

  • Se han actualizado todas las herramientas de hacking y añadido otras nuevas para ofrecer una suite lo más completa posible.

BackBox Linux 4.5



Cómo descargar esta nueva versión o actualizar desde una versión anterior de BackBox


Podemos descargar una imagen ISO de esta distribución de forma totalmente gratuita desde su página web principal.


En caso de que ya seamos usuarios de este sistema y queramos actualizarlo para poder empezar a utilizar sus principales características, simplemente debemos abrir un terminal y ejecutar en él los siguientes comandos:








1sudo apt-get update




2sudo apt-get dist-upgrade




3sudo apt-get install -f



En el caso de utilizar un sistema de 64 bits, ejecutaremos también:








1sudo apt-get install apt-get install linux-headers-generic-lts-wily linux-image-generic-lts-wily linux-signed-generic-lts-wily linux-signed-image-generic-lts-wily



Y en el caso de utilizar un sistema de 32 bits:








1sudo apt-get install apt-get install linux-headers-generic-lts-wily linux-image-generic-lts-wily linux-signed-generic-lts-wily linux-signed-image-generic-lts-wily



Para finalizar, haremos una limpieza de los paquetes no necesarios y actualizaremos todos los demás:









1sudo apt-get purge ri1.9.1 ruby1.9.1 ruby1.9.3 bundler




2sudo gem cleanup




3sudo rm -rf /var/lib/gems/1.*




4sudo apt-get install backbox-default-settings backbox-desktop backbox-menu backbox-tools --reinstall




5sudo apt-get install beef-project metasploit-framework whatweb wpscan setoolkit --reinstall




6sudo apt-get autoremove --purge




7sudo apt-get install openvas sqlite3




8sudo openvas-launch sync




9sudo openvas-launch start




10sudo update-rc.d apache2 disable




11sudo update-rc.d polipo disable




12sudo update-rc.d openvas-gsa disable




13sudo update-rc.d openvas-manager disable




14sudo update-rc.d openvas-scanner disable



Fuente:http://www.redeszone.net/


Noticias de seguridad informática

PayPal se ve comprometido por culpa de un bug de Java

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/paypal-se-ve-comprometido-por-culpa-de-un-bug-de-java/
TAGS: Java, PayPal

Un conocido error de deserialización de Java compromete los servidores de PayPal; la empresa lo descubrió gracias a que un investigador de seguridad entró en sus servidores y tomó datos para probar el problema, y ya está siendo solucionado. Michael “Arsploit” Stepankin, un investigador de seguridad independiente (y un White hat) ha descubierto un fallo de seguridad crítico en la interfaz del Manager de PayPal que le permitió ejecutar un código malicioso en los servidores de PayPal, una acción que le habría permitido tomar control absoluto de la infraestructura de PayPal. El error es causado por una explotación del problema de deserialización de Java que lleva existiendo más de un año, pero la comunidad de seguridad sólo tomó consciencia de él el pasado otoño. El problema radica en el modo en el que los desarrolladores manejan los datos serializados provenientes de los usuarios en Java, y que se pueden encontrar en diferentes bibliotecas de Java de código abierto.


[embed]https://youtu.be/3GnyrvVyJNk[/embed]

Las prácticas poco seguras de código de Java han expuesto los servidores de PayPal


Los investigadores que descubrieron el fallo también publicaron una herramienta que genera automáticamente el código malicioso necesario para explotar esta vulnerabilidad a través de la biblioteca Apache Commons Collections Java. El señor Stepankin utilizó esta herramienta para crear un objeto serializado malicioso en Java, que después insertó en uno de los formularios presentes en la interfaz Manager Web de PayPal tras descubrir que los desarrolladores dePayPal no la habían protegido.


“Me di cuenta de que es un objeto serializado Java sin firma y se maneja en la aplicación” escribió ayerStepankin en una entrada de blog. “Esto significa que puedes enviar al servidor un objeto serializadode cualquier clase existente y el método ‘readObject’ (o ‘readResolve’) de dicha clase será llamado”.



Pudo descargar archivos desde PayPal


El primer código malicioso fue un simple test, pero tras encontrar pruebas de los fallos en PayPal, Stepankin creó un segundo exploit mucho más intrusivo con la orden de enviar a su servidor contraseñas y otros datos comprometidos. Tras descubrir que este exploit también había funcionado, se puso en contacto conPayPal para informar de su descubrimiento. La compañía se lo ha agradecido premiándole con una suma de dinero por su trabajo. Stepankin ha reconocido que informó del problema a mediados de diciembre, pero PayPal acaba de solucionarlo ahora.


Fuente:http://portalhoy.com/


Noticias de seguridad informática

TAILS 2.0, la mayor actualización del sistema operativo privado, ya se encuentra disponible

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/tails-2-0-la-mayor-actualizacion-del-sistema-operativo-privado-ya-se-encuentra-disponible/
TAGS: Tails, TOR

Cuando queremos utilizar un ordenador y conectarnos a Internet de forma anónima y totalmente privada debemos optar por utilizar alguna de las diferentes distribuciones desarrolladas para dicho fin. Una de las más conocidas, utilizada incluso por Edward Snowden para publicar información de la NSA, es TAILS, The Amnesic Incognito Live System, un sistema operativo basado en Debian que incluye todo lo necesario para garantizar un uso privado de un ordenador y una navegación anónima por Internet gracias a la red Tor.


Tal como anunciamos el pasado mes de diciembre, los responsables de TAILS se encontraban trabajando en la versión 2.0 de su sistema operativo. Esta actualización marcaría un antes y un después en la distribución, siendo probablemente una de las mayores actualizaciones desde el lanzamiento de la distribución.


La primera de las novedades que nos encontramos en el nuevo TAILS 2.0 es una nueva versión del sistema operativo base, que ahora es Debian 8, quien nos garantiza que vamos a tener las versiones más actualizadas de todos los componentes del sistema operativo. También debemos destacar que esta nueva versión del sistema operativo anónimo implementa un escritorio Gnome Shell.


También se han actualizado todas las aplicaciones del sistema operativo, desde las básicas relacionadas con el escritorio (Nautilus, Discos, Vídeos, etc) hasta los componentes adicionales como LibreOffice, PiTiVi, Lifera, Poedit y Git. También se han incluido otras mejoras a esta nueva versión, por ejemplo, el uso de los namespace de Linux.


Otros cambios a tener en cuenta es que ahora este sistema operativo ha empezado a utilizar systemd como controlador de demonios de arranque y ha sustituido varias de las aplicaciones básicas del sistema, por ejemplo, Icedove ahora es el cliente de correo electrónico por defecto del sistema. Para finalizar, como es habitual, también se han corregido problemas y vulnerabilidades detectados en la versión anterior del sistema operativo y se han actualizado todos los componentes de Tor de manera que la conexión sea lo más rápida, estable y segura posible.


Tails 2.0



TAILS nos ofrece la versión más reciente de Tor Browser, la 5.5, para garantizar el anonimato en la red


El nuevo TAILS 2.0 incluye el nuevo Tor Browser 5.5, el cual utiliza Mozilla Firefox 38.6.0 ESR. Gracias a él, vamos a poder navegar de forma totalmente anónima desde nuestro sistema operativo de forma sencilla, sin tener que realizad ciertas configuraciones avanzadas y con la certeza de que todo nuestro tráfico se reenvía a través de esta red distribuida.


En este apartado también podemos destacar un nuevo centro de notificaciones que nos va a permitir saber en todo momento el estado del sistema y de la conexión con Tor de una forma mucho más agradable que antes.


Mientras que todos estos cambios seguro que son bien recibidos por la comunidad, esta nueva versión elimina algunas características propias del sistema operativo, como el “modo camuflaje” que permitía dar al sistema una apariencia similar a la de Windows para no llamar la atención, especialmente útil cuando hacíamos uso de TAILS en lugares públicos.


Si estamos interesados en descargar esta nueva versión del sistema operativo (recomendado) podemos descargarla de forma gratuita desde su página web principal.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Tuesday, 26 January 2016

Xunpes, un nuevo troyano para Linux que funciona como una puerta trasera

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/xunpes-un-nuevo-troyano-para-linux-que-funciona-como-una-puerta-trasera/
TAGS: Linux, Xunpes

Comienza a ser algo habitual que hablemos de malware que afecta a los usuarios de distribuciones basadas en Linux. Sin ir más lejos, hace poco más de una semana informábamos de Ekocms, un virus que realizaba capturas de pantalla y grabaciones de audio. En esta ocasión, expertos en seguridad han detectado un troyano bautizado como Xunpes que se comporta como una puerta trasera.


Pero estas dos amenazas no han sido de las más sonadas, ya que este honor le corresponde a Linux.Encoder, un ransomware que cifraba los archivos contenidos en los discos duros y que en un principio afectó a servidores para posteriormente extenderse a usuarios particulares. Sin embargo, todos los afectados por este virus están de enhorabuena tal y como ya informamos, ya que expertos en seguridad han encontrado la forma de recuperar el acceso a los archivos: Desbloquear archivos afectados por Linux.Encoder ya es posible


Los expertos de Dr.Web han sido los encargados de descubrir y analizar esta amenaza que está compuesta de dos módulos: el primero de ellos escrito en Pascal se encarga de realizar la descarga del troyano. Mientras que el segunda es el malware que se comporta como si de una puerta trasera se tratase, escrita en lenguaje C.


Sobre cuál es la forma de distribuirse entre los usuarios, los ciberdelincuentes han utilizado cierta ingeniería social y han camuflado la amenaza entre el código de una aplicación que permite realizar pagos haciendo uso de Bitcoin. Aunque pueda parecer una novedad, los expertos de la firma de seguridad rusa afirman que el módulo que en esta ocasión facilita la llegada del troyano ya se ha utilizado en otras ocasiones.


Respecto a la amenaza, añaden que se trata de una bastante simple, pero que a pesar de todo posee cierta complejidad y permite la ejecución de un listado de comandos de forma remota.


xunpes puerta trasera distribuciones linux espia usuarios



Funciones del troyano Xunpes


Al ser una puerta trasera debe permitir acceder al sistema y realizar determinadas tareas. Además de crear y eliminar archivos o carpetas, el ciberdelincuente puede tomar capturas de pantalla, almacenar las pulsaciones de teclado,  ejecutar comandos en la bash, abrir y cerra sockets o suspender la actividad de la amenaza.


estos son solo los más significativos pero en total existen 40 acciones que el troyano permite realizar de forma totalmente remota.


Expertos en seguridad creen que esta será la tendencia de este año y que los usuarios de las distribuciones Linux deberán hacer frente a una gran cantidad de amenazas.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Monday, 25 January 2016

Detectan dos vulnerabilidades críticas en los productos de Cisco

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/detectan-dos-vulnerabilidades-criticas-en-los-productos-de-cisco/
TAGS:

Actualmente es normal leer cada poco tiempo sobre vulnerabilidades y fallos de seguridad que se encuentran en todo tipo de software y que pueden permitir a piratas informáticos tomar el control de un sistema informático o de los datos almacenados en este. Según el tipo de vulnerabilidad, el producto al que afecte y la facilidad de explotarlo las vulnerabilidades pueden ser de peligrosidad baja o crítica aunque, si queremos evitar caer en manos de los piratas informáticos es imprescindible mantener el software, tanto de nuestro PC como de nuestros dispositivos de networking, actualizado a las versiones más recientes.


Cisco es uno de los principales fabricantes de dispositivos de red de todo el mundo. Un gran número de redes dependen de sus productos y de la seguridad de los mismos, por lo que es importante que la compañía mantenga el software de sus productos libre de vulnerabilidades que pueda permitir a los piratas informáticos hacerse con el control de los mismos.


Recientemente, la compañía publicaba dos alertas de seguridad críticas, de máxima prioridad, en las que informaba de dos fallos de seguridad en sus productos que podían permitir a los atacantes tomar el control de los dispositivos y de todo el tráfico que pasara por ellos. Los dos fallos fueron registrados a finales de 2015, aunque no ha sido hasta ahora cuando se han hecho públicos.


El primero de los fallos, denominado como CVE-2015-6412, afecta a todos los productos Cisco Modular Encoding Platform D9036 que utilicen una versión de software anterior a la 02.04.70. El fallo de seguridad reside en la existencia de una cuenta de root estática (no se puede borrar ni modificar la contraseña) que se crea por defecto y que puede permitir a un atacante conectarse a ella a través de SSH. También existe una cuenta de invitado estática, “guest”, aunque esta tiene los permisos limitados.


El fallo de las cuentas por defecto de contraseñas estáticas es un fallo que lleva persiguiendo a la compañía durante más de 10 años y que, probablemente, aún de mucho de qué hablar. Hace menos de una semana la compañía actualizaba varios productos por un fallo similar a este, aunque no son los únicos afectados.


El segundo de los fallos, denominado como CVE-2015-6435, se encuentra presente en uno de los scripts CGI de Cisco Unified Computing System (UCS) Manager y en varios de los Cisco Firepower 9000. Este fallo de seguridad se genera debido a que la llamada al script CGI no está protegida y puede permitir a un pirata informático atacar de forma remota un sistema afectado y ejecutar comandos en él sin ni siquiera autenticarse en el dispositivo simplemente generando peticiones HTTP específicas.


Cisco Modular Encoding Platform D9036



Cisco ha liberado los correspondientes parches para solucionar las vulnerabilidades


La única forma de protegerse de estos dos fallos de seguridad es mantener los sistemas actualizados a las versiones más recientes, por ello, Cisco ya ha liberado los correspondientes parches de seguridad para sus productos.


Todos los usuarios que utilicen alguno de estos productos afectados pueden descargar una nueva versión del software desde el centro de software de la compañía:



  • Cisco Modular Encoding Platform D9036 versión 02.04.70

  • Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)

  • Cisco Firepower 9000 Series 1.1.2

En el caso de la primera vulnerabilidad, a partir de ahora es posible modificar la contraseña de las cuentas creadas por defecto utilizando los comandos set-root-password y set-guest-password.


Si tenemos otro producto de Cisco, aunque no sea uno de los afectados, también debemos asegurarnos de tener la última versión del software instalada para evitar posibles problemas que nos podamos encontrar.


Source:http://www.redeszone.net/


Noticias de seguridad informática

Apple puede leer los mensajes cifrados extremo a extremo de iMessage

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/apple-puede-leer-los-mensajes-cifrados-extremo-extremo-de-imessage/
TAGS: iOS

Cuando decidimos utilizar un cliente de mensajería buscamos, en primer lugar, que la mayoría de nuestros contactos lo utilicen para poder comunicarnos con todos ellos y, en segundo lugar, que las comunicaciones sean lo más seguras posibles, evitando que terceras personas o empresas puedan acceder a los mensajes que intercambiamos. Uno de los clientes de mensajería pioneros es iMessage, desarrollado por Apple para iOS que, pese a hacer alarde de un cifrado extremo a extremo donde nadie tiene acceso a los mensajes, es posible que en la realidad no sea tan privado.


El CEO de Apple, Tim Cook, hizo varias declaraciones en 2014 donde aseguraba que si el FBI, o cualquier otro organismo de seguridad, solicitaba acceso a las conversaciones que se intercambiaban a través de iMessage, la compañía no podría facilitarlas debido al cifrado extremo a extremo. Mientras que la seguridad de las conversaciones en tiempo real sigue siendo segura y nadie, incluido Apple, puede acceder a ellas, existe un intermediario que sí puede proporcionar a la compañía acceso a dichas conversaciones: iCloud.


Una de las mejores características de iOS es su sincronización en la nube, pudiendo hacer copias completas de todos los datos y las configuraciones (incluidas las conversaciones de iMessage) del dispositivo en los servidores de Apple gracias a iCloud. Estas copias de almacenan cifradas para evitar accesos no autorizados, sin embargo, para el cifrado se utiliza una clave privada, propiedad de Apple, por lo que la compañía sí que podría tener acceso a dichas conversaciones simplemente descifrando la copia de seguridad.


Aunque los mensajes enviados a través de iMessage son seguros e inaccesibles para todos (incluso para Apple), si el historial de conversaciones se sincroniza en iCloud, este se envía sin un cifrado adicional más allá que el que aplica iCloud, por lo que los datos podrían ser accesibles para Apple, e incluso para cualquier usuario no autorizado o pirata informático con acceso a la cuenta de iCloud.


Sincronización de iMessage con iCloud



Cómo evitar que Apple lea nuestros mensajes de iMessage


Para la mayoría de los usuarios, el cifrado extremo a extremo es más que suficiente para garantizar la seguridad y privacidad de los mensajes, sin embargo, para aquellos que buscan algo 100% a prueba de accesos no autorizados, lo que debemos hacer es desactivar dentro de la configuración de iCloud la copia de seguridad de iMessage. Esto podemos hacerlo configurando solo copias locales de iTunes o desde el apartado de configuración de iCloud, dentro de iOS, desmarcando la copia de iMessage.


De esta manera, todos nuestros datos seguirán copiándose en los servidores de Apple a modo de copia de seguridad, salvo las conversaciones de este cliente de mensajería para que el cifrado extremo a extremo sea real.


La mejor solución para garantizar la privacidad de la información sería que Apple permitiera a los usuarios gestionar sus propias claves de cifrado, sin embargo, esto no entra dentro de los planes de la compañía, por lo que es improbable que lo veamos, al menos a corto plazo. Si esto hubiera estado activo, grandes robos de datos como el de The Fappening (un pirata informático con acceso a iCloud tuvo acceso a los datos, sin encontrarse con ningún cifrado intermedio) no hubieran podido tener lugar, sin embargo,Apple no da esta opción a los usuarios, aparte de para mantener cierto control sobre los datos, para evitar que la pérdida de la clave privada suponga la pérdida irrecuperable de los datos.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Trabajador de Samsung filtra información sobre el Galaxy S7

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/trabajador-de-samsung-filtra-informacion-sobre-el-galaxy-s7/
TAGS: Samsung Galaxy S7

Un empleado de Samsung ha filtrado información sobre el próximo buque insignia de la compañía: el Samsung Galaxy S7. Los rumores se han publicado en Naver, el portal de Internet más popular de Corea del Sur. Según el calendario oficial, este dispositivo se lanzará al mercado el 11 de marzo del 2016, pero se esperan más detalles para el próximo Mobile World Congress de Barcelona en febrero.


Por el momento, todo lo que se ha dicho sobre el Samsung Galaxy S7 está relacionado con la pantalla. Este móvil contará con un panel Super AMOLED de 5.1 pulgadas con una densidad de 515 ppp. Sin embargo, el tamaño físico del terminal rondará las 5.5 pulgadas, esto da una idea de la proporción pantalla/marco del dispositivo.


La característica estrella de este teléfono será la cámara. Samsung centra el foco de las innovaciones en la fotografía nocturna y venderán sus virtudes bajo el slogan “on the nigth” (en la noche). Los rumores apuntan a que integrará un sensor de 12 MP con una apertura de 1.7F. Contará con un sistema de enfoque automático dual parecido al que implementa Canon en sus DSLR.


Samsung abandona el mito de los millones de megapíxeles y apuesta por el tamaño del sensor y la capacidad de la óptica. Con las nuevas lentes más luminosas, se espera que el Galaxy S7 se desenvuelva con soltura en contextos con poca luz. La combinación de estos componentes reducirá el ruido de las fotografías y aportará más intensidad a los colores.


Novedades Samsung Galaxy S7


El Samsung Galaxy S7 cumplirá con los estándares de resistencia al polvo y al agua según este trabajador anónimo de la compañía. Esta característica ya formaba parte del Galaxy S5, pero se abandonó con el S6. También se recupera la ranura SIM dual híbrida que permitirá usar una tarjeta microSD.


En cuanto al diseño, desaparece la protuberancia de la cámara trasera tan característica de otros modelos. Los usuarios podrán elegir entre cuatro colores: negro, blanco, plata y oro. También se incrementará la capacidad de la batería hasta, probablemente, los 3600mAh. Según las nuevas informaciones, todos los modelos estarán construidos sobre un chasis negro de primera calidad. Más allá de estos cambios, todas la informaciones señalan que el diseño general de Galaxy S7 se parecerá a su predecesor.



512 galaxy s6

Fuente:http://computerhoy.com/





Noticias de seguridad informática

Sunday, 24 January 2016

Akamai identifica una campaña de ataques contra plataformas SEO

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/akamai-identifica-una-campana-de-ataques-contra-plataformas-seo/
TAGS:

El SEO, acrónimo de Search Engine Optimization, es la optimización de los sitios webs de manera que estos “gusten” más a Google o al resto de buscadores de la red de manera que cuando un usuario busca un término concreto, los primeros resultados que aparezcan serán los que mejor optimizados estén y mejor información aporten al usuario que está realizando la búsqueda.


Aunque existen muchas teorías sobre el funcionamiento del SEO, es imposible conocerlo a nivel interno, ya que esta tecnología se basa en redes neurales, incapaces de comprender ni predecir. Sin embargo, sí que existen una serie de “trucos” (la mayoría de ellos obvios en cuanto a calidad y temática) que permiten tanto mejorar el posicionamiento creando contenido de calidad o molestar al motor haciendo las cosas mal y consiguiendo perder posicionamiento frente a la competencia.


Cuanto mayor es el posicionamiento, mayor es el número de visitas y mayores son los ingresos de las páginas. Los piratas informáticos son conscientes de ellos y, uno de los nuevos vectores de ataque, detectado por Akamai, se basa principalmente en la manipulación del SEO para perjudicar a las páginas web, impactar en su reputación y reducir los ingresos de las compañías.


Este proveedor de servicios CDN ha identificado este nuevo modelo de ataque informático contra el SEO de las webs donde los piratas informáticos hacen uso de inyecciones SQL para atacar a sitios web concretos e incluir en ellos un script que se encargue de distribuir enlaces HTML de forma oculta que confunden a los bots de los motores de búsqueda causando la penalización correspondiente en el posicionamiento.


Durante los últimos meses de 2015, la compañía detectó que más de 3800 sitios web y 348 direcciones IP han participado en campañas de desprestigio de este tipo. Cuando los piratas informáticos comprometían una de las webs y añadían en ella los enlaces externos hacia webs sobre infidelidades (uno de los temas de mayor interés en estos tiempos), los botos detectaban algo raro en las webs y aplicaban la correspondiente sanción.


Ataques-contra-el-SEO-de-páginas-web



Cómo protegerse contra estos ataques de SEO


En realidad, la modificación del SEO es uno de los efectos secundarios del ataque. Para poder influir en el posicionamiento la web víctima debe ser vulnerable a una serie de ataques de inyección SQL, por lo que si queremos evitar que los piratas informáticos puedan manipular nuestra reputación SEO debemos empezar por proteger adecuadamente nuestra web y nuestro servidor.


En cuento a las medidas de seguridad a tener en cuenta podemos destacar:



  • Realizar comprobaciones periódicas sobre las peticiones que se realizan a la base de datos de nuestra web.

  • Permitir solo peticiones en base de parámetros para las solicitudes SQL basadas en información proporcionada por los usuarios.

  • Utilizar un cortafuegos (Web Application Firewall – WAF) y configurarlo para detectar y mitigar los ataques de inyección SQL.

  • Controlar las respuestas y el formato del cuerpo HTML para detectar posibles cambios no autorizados, por ejemplo, un aumento de enlaces en el cuerpo de la web.

Los ataques informáticos son cada vez más complejos, por lo que es de vital importancia mantener los sistemas siempre actualizados, bien configurados y aplicar las medidas de seguridad correspondientes para garantizar el correcto funcionamiento de las webs y las aplicaciones online.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Saturday, 23 January 2016

Whatsapp ya puede compartir la información de tu cuenta con Facebook

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/whatsapp-ya-puede-compartir-la-informacion-de-tu-cuenta-con-facebook/
TAGS: facebook, WhatsApp

Finalmente ha ocurrido, la información de cualquier cuenta de Whatsapp será compartida con Facebook.


Cuando en 2014 Facebook compró Whatsapp por la extraordinaria cifra de 19.000 millones de dólares, todas las partes prometieron una y otra vez que la app de mensajería instantánea sería independiente y que no compartiría información con la red social.


Bueno, pues sólo han hecho falta dos años para que esa negativa se convierta en agua de borrajas, a juzgar por lo que se ha descubierto en la versión beta 4.12.413 de la app de Whatsapp.



Una opción revela que la cuenta de Whatsapp será compartida con Facebook


whatsapp facebook 2


Si usamos unos comandos en la terminal, podremos acceder a pantallas de la app que aún no están activas, al menos hasta que el desarrollador lance la versión final. Y en una de esas pantallas hay una opción, activada por defecto, en la que se especifica que la información de nuestra cuenta será compartida con Facebook.


nwhatsapp facebook 4


Este descubrimiento coincide con el anuncio de que Whatsapp serácompletamente gratis a partir de ahora, así que sólo tenemos que sumar dos y dos para llegar a una posible conclusión: que Facebook ve más rentable obtener información de los usuarios de Whatsapp y cotejarla con los de Facebook que cobrar un mísero dólar a algunos usuarios.


Sin embargo, es pronto para llegar a conclusiones, ya que estamos ante una opción oculta que aún no ha llegado a la app que podemos instalar desde las tiendas oficiales de cada plataforma, así que esperaremos a ver cómo evoluciona esta situación.


Fuente:http://www.omicrono.com/


Noticias de seguridad informática

Error en cookie de iOS permitía suplantar identidades

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/error-en-cookie-de-ios-permitia-suplantar-identidades/
TAGS: cookie de iOS

Apple solucionó un error en su sistema operativo iOS que hacía posible para los atacantes suplantar usuarios finales que se conectaban a sitios web con cookies de autenticación sin cifrado.



La vulnerabilidad era el resultado de un repositorio de cookies en iOS compartido entre el navegador Safari y un navegador embebido separado usado para negociar un "captive portal" o portal cautivo, que son mostrados por muchas redes Wi-Fi cuando un usuario quiere conectarse por primera vez a dicha red. Los portales cautivos piden a los usuarios que ingresen sus datos de autenticación o aceptar los términos de servicio antes de que puedan tener acceso a la red.


De acuerdo a una entrada de blog publicada por la firma de seguridad Skycure, el recurso compartido hacía posible a los cibercriminales crear un portal falso y asociarlo a la red Wi-Fi. Cuando alguien con un iPhone o iPad vulnerable se conectara, se podía robar virtualmente cualquier cookie HTTP almacenada en el dispositivo. Los investigadores de Skycure escribieron:


Este error permite a un atacante:



  • Robar a usuarios las cookies de HTTP asociadas con el sitio que el atacante decida. Haciendo esto, el atacante puede suplantar la identidad de la víctima en el sitio elegido.

  • Realizar un ataque de Session Fixation (fijación de sesión), haciendo que el usuario ingrese en una cuenta controlada por el atacante, debido al repositorio compartido. Cuando la vícitma navega en la página web afectada en Safari, iniciará sesión en la cuenta del atacante en lugar de la suya.

  • Realizar un ataque de cache-poisoning (envenenamiento de caché) en una página web de la elección del atacante (regresando una respuesta HTTP con las cabeceras de caché). De esta manera el JavaScript malicioso del atacante sería ejecutado cada vez que la víctima se conecte al sitio web en el navegador móvil Safari.

Los investigadores de Skycure reportaron la vulnerabilidad a Apple en junio de 2013. Fue corregido la semana pasada con el lanzamiento de iOS 9.2.1. La actualización provee un almacenamiento aislado de cookies para portales cautivos. No hay reportes de exploits conocidos.


Fuente:http://www.seguridad.unam.mx/


Noticias de seguridad informática

Friday, 22 January 2016

Analiza malware de forma sencilla, segura y eficaz con Cuckoo Sandbox 2.0

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/analiza-malware-de-forma-sencilla-segura-y-eficaz-con-cuckoo-sandbox-2-0/
TAGS: Cuckoo Sandbox

Cuckoo Sandbox es una herramienta de código abierto desarrollada en 2013 para facilitar a los usuarios el análisis forense del malware, pudiendo conocer más información (qué hace, a qué componentes afecta, qué conexiones realiza, etc) sobre las diferentes piezas de software malicioso que circulan por la red sin peligro de caer víctimas de los piratas informáticos, todo ello desde un cajón de arena, sandbox, totalmente aislado del sistema principal.


Gracias a su diseño modular, vamos a poder personalizar tanto el proceso como las etapas y la presentación de los informes según lo extenso que queramos que sea el análisis del malware. Esta herramienta se encarga de configurar correctamente los límites del sistema (el cajón de arena, o sandbox) de manera que el usuario pueda configurar en entorno donde se ejecutará el malware para un comportamiento personalizado.


Con el fin de poder analizar el malware de la forma más segura y exhaustiva posible, los responsables del desarrollo de Cuckoo Sandbox han liberado la nueva versión 2.0 de su plataforma, una versión mucho más segura y completa que la primera y gracias a la cual vamos a poder analizar a fondo cualquier herramienta maliciosa (o no maliciosa, para detectar comportamientos extraños), vital para entender la forma de pensar y de trabajar de todo tipo de piratas informáticos, las motivaciones y sus objetivos de cara a protegernos lo mejor posible.



Novedades en Cucko Sandbox 2.0


Las principales características que se han incluido en esta actualización son:



  • Permite analizar y monitorizar aplicaciones compiladas para 64 bits, en Windows.

  • Cuckoo Sandbox es capaz de analizar aplicaciones de Mac OS X, Linux e incluso de Android.

  • Se integra con otras herramientas de análisis y seguridad como Suricata, Snort y Moloch.

  • Intercepta y descifra el tráfico TLS/HTTPS.

  • Es capaz de identificar el tráfico que se enruta hacia otras redes, e incluso el que viaja a través de VPN.

  • Cuenta con una base de datos con más de 300 técnicas diferentes para identificar comportamientos sospechosos en el malware.

  • Refleja los cambios que ocurren con el malware durante el análisis.

  • Extrae y analiza las direcciones URL presentes en los volcados de memoria.

  • Permite la posibilidad de ejecutar procesos adicionales en máquinas virtuales para un análisis futuro.

  • Nos facilita una nota de “maldad”, según lo peligroso que sea el malware.

Cuckoo Sandbox 2.0


Para finalizar, como ocurre siempre con el software, se han solucionado numerosos fallos detectados en las versiones anteriores y se han aplicado una serie de mejoras y optimizaciones en toda la plataforma para que los análisis sean lo más rápidos y seguros posibles, reduciendo al mínimo infectarnos por un fallo en la herramienta.


Cuckoo Sandbox 2.0 aún se encuentra en fase Release Candidate debido a que algunas de las herramientas de la plataforma se encuentran en fase de pruebas. En los próximos meses es posible que veamos dos versiones RC más antes de llegar a la versión estable de la que, sin duda, es la mayor actualización de la plataforma desde su lanzamiento.


Si estamos interesados en utilizar esta herramienta o probar la nueva Release Candidate 2 de Cuckoo Sandbox, podemos descargarla de forma gratuita desde el siguiente enlace.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Varias extensiones de Google Chrome roban objetos del inventario de Steam a sus usuarios

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/varias-extensiones-de-google-chrome-roban-objetos-del-inventario-de-steam-sus-usuarios/
TAGS: Google Chrome, Steam

Steam es la mayor distribuidora de contenidos digitales para PC. Esta plataforma permite comprar tanto juegos como programas para ordenador legalmente y a unos precios muy reducidos respecto al resto del mercado, sin embargo, su negocio no termina ahí. En esta plataforma podemos encontrar un gran número de objetos, generalmente de pago, que los usuarios utilizan para mejorar y personalizar sus juegos, sus perfiles o para intercambiar con otras personas como es el caso de los cromos o los fondos.


Los piratas informáticos buscan constantemente formas de conseguir dinero aprovechándose de los usuarios, por ejemplo, con el contenido de Steam. Mientras que lo más habitual es utilizar malware para poder acceder a las cuentas de los usuarios y tomar el control sobre ellas, gracias a las nuevas medidas de seguridad de la compañía esta técnica es cada vez menos efectiva, por lo que se han visto obligados a buscar nuevas técnicas con las que poder sacar provecho de esta tienda online.


Varias extensiones de Google Chrome roban objetos del inventario de Steam a sus usuarios

Recientemente, un investigador de seguridad de Bart Blaze ha detectado una nueva amenaza para los jugadores de Steam, esta vez en forma de extensión maliciosa para Google Chrome que se encarga de secuestrar la sesión de Steam desde el navegador y robar todos los objetos del inventario de las víctimas, enviándolos hacia otras cuentas controladas por ellos.


Estas extensiones ofrecían a los usuarios la posibilidad de cambiar el tema del navegador por uno basado en el conocido título de Valve, Counter Strike, sin embargo, la finalidad de la extensión era otra muy diferente, y es que una vez instalada la extensión se hacía con el control de nuestra cuenta (si habíamos iniciado sesión en la tienda) y enviaba todos nuestros objetos a una cuenta controlada por los piratas informáticos, dejando nuestro inventario totalmente vacío.


Algunos de los nombres que recibían estas extensiones son:



  • CSGODouble Theme Changer

  • CS:GO Double Withdraw Helper

  • Csgodouble AutoGambling Bot

  • Improved CSGODouble

Muchas de las extensiones maliciosas ya han sido eliminadas de la Chrome Store, aunque otras muchas aún están presentes en la tienda e incluso se siguen publicando más extensiones maliciosas con otros nombres, todos ellos similares. En cuanto a permisos, las extensiones son aparentemente inofensivas, pidiendo solo poder leer y modificar los datos en los sitios web que visitamos, algo suficiente para llevar a cabo el robo.


Los usuarios que tengan alguna de estas extensiones instaladas en su navegador pueden desinstalarla fácilmente como cualquier otra (es decir, haciendo clic sobre Menú > Más Herramientas > Extensiones y allí pulsando sobre el botón con forma de papelera para eliminar la extensión.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática