El troyano BPlug se dedica a molestar a tus amigos de Facebook

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/el-troyano-bplug-se-dedica-molestar-tus-amigos-de-facebook/
TAGS: BPlug, facebook, Malware, troyano

¿Alguna vez tus amigos te han dicho el por qué les has enviado un enlace que no reconoces? Quizás se trate a que tu ordenador esté infectado con algún tipo de malware que se dedique a recopilar información de tus contactos para molestarles, y precisamente este es el caso del troyano BPlug que, en esta ocasión, ataca directamente a tus amigos de Facebook.

Ya ni tus amigos están a salvo del malware. Hace unos días se ha descubierto un troyano llamado BPlug que se dedica a mandar mensajes con enlaces infectados a tus amigos de Facebook.  BPlug es un troyano presente en una extensión de Chrome que espera a que entres en Facebook para comenzar con su función maliciosa.

Una vez que tienes este troyano en tu ordenador, y accedes con tus credenciales a Facebook, éste se queda con el UID (user identifier) y con el token CSRF para hacer travesuras en tu panel de control de la red social, entre las que figuran esconder alguna de tus funciones más populares o, la más seria, consigue crear un nuevo grupo de Facebook a tu nombre donde se dedica a postear enlaces infectados mientras menciona a todos tus amigos.

De esta manera, los amigos mencionados recibirán una notificación, entrarán al grupo, y pincharán en el enlace, siendo redirigidos a una página clónica de Facebook para visualizar un vídeo. Al pinchar sobre este supuesto vídeo que no lo es en sí, al usuario se le aparecerá una pantalla emergente que le instará a descargarse e instalar una nueva extensión para Chrome que incluye este mismo troyano junto a otro malware.De esta manera, los amigos mencionados recibirán una notificación, entrarán al grupo, y pincharán en el enlace, siendo redirigidos a una página clónica de Facebook para visualizar un vídeo. Al pinchar sobre este supuesto vídeo que no lo es en sí, al usuario se le aparecerá una pantalla emergente que le instará a descargarse e instalar una nueva extensión para Chrome que incluye este mismo troyano junto a otro malware.

Los investigadores de DrWeb han contabilizado que hasta 12.000 usuarios se han instalado ya este troyano en sus ordenadores. Ante este tipo de peligros que están presentes en las extensiones de Google Chrome, el usuario debe ser siempre consciente de las extensiones que se instala, estando totalmente seguro de que éstas tienen un recorrido mayúsculo e impecable durante los últimos meses.

Fuente:http://computerhoy.com/

Noticias de seguridad informática

Un nuevo malware en Android ataca robándote el dinero

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/un-nuevo-malware-en-android-ataca-robandote-el-dinero/
TAGS: android, Google, Malware

Siempre hemos hablado de la vulnerabilidad de muchos de los sistemas operativos actuales y de las técnicas que estos tienen para evitar ser infectados, pero como muchos de nosotros sabemos, Android es uno de los sistemas que más ataques sufre en este ámbito. Hoy hemos conocido que el sistema operativo de Google ha sido presa de otro ataque mediante la ejecución de un emulador.

  Se trata de un emulador de la NES, algo que aparentemente no deberia de levantar ninguna sospecha puesto que es un tipo de aplicación fiable. A pesar de ello, una vez hayamos instalado dicha aplicación, esta empezará, de forma incontrolada, a mandar nuestra información personal de nuestro dispositivo a diferentes servidores, algo totalmente ilegal. Además, si nos encontramos fuera de China, algo muy probable, se nos aceptará una suscripción a SMS de pago que si no la cancelamos nos cobrará por cada SMS que recibamos.

  En todo esto hay que destacar que la aplicación superó en su día los controles que Google aplica a sus aplicaciones para evitar que estas entren en Google Play con acciones presuntamente maliciosas. Esta “burla” al control de Google se debe a que todo lo que anteriormente hemos mencionado se encuentra dentro de la librería de publicidad AirPush, de manera que los filtros anti-malware de Google no son capaces de detectarloy por lo tanto la aplicación se puede descargar sin apenas limitaciones.

  En TuTecnoMundo hemos hablado muchas veces sobre como prevenir un posible ataque en Android y si realmente los antivirus que encontramos en Google Play son realmente eficaces contra los mismos. En el caso de que podáis estar bajo la influencia de un malware o virus os recomendamos que visitéis nuestro artículo dedicado a desinfectar un terminal y nuestro análisis para saber si estáis infectados por un malware.

Fuente:http://www.tutecnomundo.com/

Noticias de seguridad informática

Un desarrollador de software francés acusado de instalar backdoors en 12 millones de ordenadores

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/un-desarrollador-de-software-frances-acusado-de-instalar-backdoors-en-12-millones-de-ordenadores/
TAGS: Backdoor, TUTO4PC

Toda precaución es poca cuando descargas software de Internet. Los usuarios con más conocimientos lo tienen claro, pero aquellos a los que les falta algo de experiencia todavía son víctimas fáciles del malware.

Sin ir más lejos, la compañía Cisco, a través de su rama especializada en seguridad Talos, ha publicado un exhaustivo estudio donde apunta al desarrollador de software francés Tuto4PC como creador y responsable de la instalación de backdoors en 12 millones de ordenadores repartidos por países de todo el mundo, entre ellos España.

El documento publicado en el blog de Cisco Talos,extenso y muy detallado, explica punto por punto la investigación llevada a cabo a raíz de una alerta por el sospechoso crecimiento de resultados de "troyanos genéricos" en sus análisis periódicos de seguridad. Talos comprobó que dicho software tenía un comportamiento muy similar al de cualquier otro malware, y análisis posteriores dieron como resultado además que estaba instalado en aproximadamente 12 millones de ordenadores, con derechos de administrador. Esto quiere decir que el programa era capaz de recolectar información personal e instalar otros programas o lanzar ejecutables sin conocimiento del usuario - y bajo control total de un tercero.

La investigación de Talos

La filial de Cisco especializada en seguridad inició entonces una investigación a fondode estos ejecutables, usando para ello una muestra de unos 7.000 ficheros, y empezando por una curiosa coincidencia: todos ellos tenían la palabra "wizz" en su nombre (wizzupdater.exe, wizzremote.exe, wizzInstaller.exe, wizzByPass.exe...), y apuntaban a los mismos dominios.

A continuación los investigadores sometieron los ejecutables a diversos análisis, descubriendo así su capacidad para detectar las medidas de seguridad presentes en el PC y así asegurarse de que podía funcionar de forma efectiva y sin ser descubierto - una característica propia del malware.

Las pruebas revelaron, entre otras cosas, que los ejecutables contenían infecciones paramúltiples países (Estados Unidos, Australia, Japón, España, Francia, Nueva Zelanda y Reino Unido), y que tenían conexiones con un adware llamado OneSoftPerDay, propiedad de Tuto4PC, un desarrollador francés de software. Una vez instalado en el PC de la víctima, este adware era capaz de instalar y ejecutar programas sin permiso del usuario (como System Healer), y engañarle para hacerle creer que su ordenador estaba infectado - y que para arreglarlo era necesario pagar, claro. Un vistazo más exhaustivo permitió también descubrir la capacidad de los ejecutables de abrir backdoors o puertas traseras en el ordenador de la víctima.

Lo curioso, comentan desde Talos en su análisis, es que las comunicaciones entre el adware y el servidor con el que se conectaba estaban cifradas con AES256, pero sus creadores usaron una técnica de cifrado explicada en un foro de MSDN, con las mismas claves.

De esta forma, los investigadores de Talos sólo tuvieron que ir al foro de MSDN y copiar las claves para descifrar las comunicaciones. "Con tanto tiempo como pasaron en técnicas anti-sandbox y anti-análisis, los autores no parece que le dedicaran tanto tiempo y esfuerzo al cifrado, y simplemente copiaron y pegaron las claves de un blog de MSDN", comenta Talos en su análisis.

La respuesta de Tuto4PC

El resultado de la investigación, finalmente, apunta al desarrollador francés Tuto4PCcomo responsable de la autoría y distribución de estos troyanos, capaces de abrir puertas traseras en todos aquellos ordenadores donde hayan sido instalados. "Basándonos en el estudio, creemos que es un caso obvio de software backdoor", concluye el artículo de Cisco Talos. "Como mínimo, es un programa potencialmente no deseado (PUP)".

No es la primera vez que esta compañía ha sido acusada de actividades sospechosas; en los últimos cuatro años, las autoridades francesas les han advertido sobre la instalación de software sin el consentimiento previo de los usuarios, pero hasta ahora han podido evitar multas u otras consecuencias peores.

La situación ante esta nueva acusación podría ser diferente, aunque Tuto4PC se ha apresurado a defenderse de las acusaciones de Cisco. En un comunicado enviado aSecurity Week, el CEO de la empresa, Franck Rosset, afirma: "El post de Talos se equivoca al describir Tuto4PC como una empresa de distribución de malware. Estamos trabajando con nuestros abogados para evaluar qué acción tomaremos en contra de la imagen incorrecta y negativa que Talos ha dado de nuestro negocio [...] Desde 2004 nuestro modelo de negocio es crear widgets y tutoriales para descarga gratuita, sujeta al acuerdo de aceptar la publicidad de un adware incluido en la descarga. Pero al contrario de los argumentos de Talos, nuestro negocio ha sido aprobado por las autoridades francesas y nunca hemos sido demandados por distribuir malware".

Fuente:http://www.genbeta.com/

Noticias de seguridad informática

Cómo evitar infectarnos de malware a través de la vulnerabilidad Regsvr32 de Windows

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/como-evitar-infectarnos-de-malware-traves-de-la-vulnerabilidad-regsvr32-de-windows/
TAGS: Malware, Regsvr32

Regsvr32 es un componente de Windows que permite descargar e instalar librerías de forma remota y ejecutar scripts de configuración. Debido a su pésima documentación y programación interna, este componente es capaz de evadir absolutamente todas las demás medidas de seguridad del sistema operativo, permitiendo a cualquier usuario, autorizado o no, descargar librerías maliciosas en el sistema e incluso ejecutar incluso scripts JS o VB que se conecten a un segundo servidor desde el que descargar otras piezas de malware.

Ni Windows ni AppLocker son capaces de bloquear este tipo de ataques los cuales, además pueden llegar de forma totalmente oculta como tráfico HTTPS. Recientemente, varios piratas informáticos han empezado a explotar esta vulnerabilidad de Windows y empezar incluso a distribuir malware (el peligroso ransomware, por ejemplo) utilizando esta técnica, infectando así al usuario y no dejando el más mínimo rastro.

https://www.youtube.com/watch?feature=player_embedded&v=t8SpYn5GkHA

Cómo protegernos de la vulnerabilidad Regsvr32 utilizando tan solo el Firewall de Windows

Mientras que estos ataques informáticos se están intensificando, debido a que para llevarse a cabo es necesario que se establezca una conexión remota a una URL o un servidor externo, es posible protegerse de ellos mediante la creación de reglas especiales en nuestro firewall para dicho fin.

Para ello, debemos abrir la configuración avanzada de nuestro Firewall, (por ejemplo, del de Windows) y crear una nueva regla de salida. Para ello, en la parte inferior del apartado central pulsamos sobre “Reglas de salida” y, a continuación, en la derecha sobre “Nueva regla“.

Veremos un nuevo asistente. Lo primero que haremos será especificarle que la regla va a ser para un programa concreto.

En la ventana siguiente especificamos la ruta de acceso al programa. En este caso, como queremos controlar la ejecución de Regsvr32, en el cuadro de texto que aparece introducimos:

• C:\Windows\System32\regsvr32.exe

Ahora, en la siguiente ventana elegimos “Bloquear la conexión“, para impedir que este programa pueda conectarse a Internet.

Seguimos con el asistente y le indicamos que la regla sea válida para dominios, redes privadas y redes públicas.

Continuamos y lo único que nos queda por hacer es dar un nombre a dicha regla.

Una vez finalice el asistente, la regla estará creada.

Por último, creamos una nueva regla repitiendo de nuevo todo el proceso, pero, esta vez, en vez de utilizar la ruta al archivo de la ruta al programa “C:\Windows\System32\regsvr32.exe” utilizaremos:

• C:\Windows\SysWOW64\regsvr32.exe

Ahora sí, hemos finalizado. A partir de este momento, esta aplicación será incapaz de conectarse a Internet, por lo que ningún pirata informático podrá comunicarse con ella ni utilizarla para infectar de malware nuestro ordenador. En caso de utilizar otro Firewall debemos crear la regla en él, ya que, probablemente, el de Windows estará desactivado.

Por último, si no queremos realizar todo este proceso a mano, podemos utilizar el siguiente script, alojado en GitHub que, ejecutado como administrador, creará automáticamente ambas reglas en el cortafuegos.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

CryptFlle2, BrLock y MM Locker, tres nuevos ransomware detectados

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/cryptflle2-brlock-y-mm-locker-tres-nuevos-ransomware-detectados/
TAGS: CryptFlle2, MM Locker

Los usuarios de sistemas operativos Windows de nuevo en alerta por la distribución de tres nuevas familias de ransomware a través de Internet. Los expertos en seguridad han confirmado que CryptFlle2, BrLock y MM Locker no ofrecen nada nuevo con respecto a lo ya existente pero por el momento los archivos afectados no se pueden recuperar.

Las amenazas poseen un funcionamiento bastante variado con respecto a otras amenazas del mismo tipo, solicitando también el pago de una cantidad para recuperar el acceso a los archivos afectados. Sin embargo, ya se sabe que compañías y expertos del sector de la seguridad desaconsejan realizar este pago. La recomendación no se debe a que en muchas ocasiones se realice el pago y no se logre recuperar el acceso, más bien se orienta a evitar que el desarrollo de este tipo de amenazas se sufrague con el dinero aportado por los propios usuarios, algo que hasta el momento ha funcionado.

A todo lo citado con anterioridad hay que añadir que los ciberdelincuentes cada vez tienen más facilidades para encontrar este tipo de archivos en los foros del mercado negro.

CryptFlle2 apareció en marzo

Vamos a tratar de hablar brevemente de cada una de las amenazas, buscando hablar de los aspectos más importantes. De las tres esta es la más longeva, ya que apareció a mediados del pasado mes y tal vez sea el más rudimentario, ya que para recuperar el acceso a los archivos el usuario debe contactar con el propietario de la amenaza a través del correo electrónico, algo que puede parecer un tanto chapucero. La amenaza utilizar el algoritmo de cifrado RSA de 2048 bits.

BrLock apareció la semana pasada

Si antes hemos hablado de la más longeva, en esta ocasión toca hablar de la que menos tiempo se encuentra en Internet, concretamente desde la pasada semana, por lo que en referido a infecciones no destaca. Se trata de una amenaza que en realidad lleva a cabo el bloqueo de la pantalla del equipo, permitiendo únicamente que el usuario realice el pago de la cantidad solicitada, oscilando entre 100 y 400 dolares.

MM Locker, el más tradicional

Es el único que más o menos se ciñe al funcionamiento habitual, añadiendo una extensión .locked y solicitando una recompensa a través de un mensaje guardado en un archivo. El propietario busca convencer al usuario para que realice el pago, buscando estafarlo, ya que tal y como informan, no se envía en ningún momento la clave de descifrado.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Usuarios de The Pirate Bay infectados con ransomware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/usuarios-de-pirate-bay-infectados-con-ransomware/
TAGS: Pirate Bay, ransomware

The Pirate Bay alojó durante varios días a un peligroso código que permitía la propagación de un ransomware que afectó principalmente a los fans de la serie de TV "Juego de Tronos". Más información a continuación.

The Pirate Bay, el popular sitio desde el cual podemos descargar una gran cantidad de archivos torrent como series de TV, películas, álbumes de música, sistemas operativos, software para Windows/Mac, entre otros, cuenta con millones de usuarios alrededor del mundo y estos fueron el blanco de un ataque de “malvertising”: donde se combina tanto la falsa publicidad online y el malware.

En este caso, el malware que infectó a los usuarios fue del tipo ransomware: aquel que cifra los datos del equipo y pide un rescate o pago en bitcoins a cambio de la recuperación de los mismos.

El ataque coincide con el inicio de la sexta temporada de la serie “Juego de Tronos”, afectando significativamente a los fans de la misma. Una fuente indica que el nuevo episodio de esta temporada registró más de un millón de descargas en pocas horas, por lo cual el ataque de ransomware fue lanzado para asegurarse la mayor cantidad de víctimas y de pagos hacia los extorsionadores.

El ataque es realizado por medio del exploit Magnitude, el cual afecta a versiones desactualizadas de Adobe Flash Player de lo cual hablamos hace pocos días.

Este tipo de ataques son especialmente peligrosos debido a que no es necesario una interacción con el usuario, basta que este visualice o navegue por una web infectada con publicidad que tenga este código e iniciará el infierno tecnológico de la pérdida de los archivos o el cifrado de los mismos.

A aquellos usuarios infectados se les exigía pagar 1,25 bitcoin en 7 días y luego 2.48 bitcoin, lo cual equivale a  $578 USD y $1,156 USD respectivamente. Por el momento, este ransomware no tiene una herramienta que ayude a su descifrado.

Sin embargo, si queremos estar más protegidos contra el ransomware en general, en Mac podemos usar la aplicación RansomWhere? y en todos los sistemas operativos podemos hacer uso del servicio online ID Ransomware que nos ayudará en caso de infecciones.

Fuente:http://tecnologia21.com/

Noticias de seguridad informática

Microsoft tras el almacenamiento en ADN: mil millones de TB en un gramo

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/microsoft-tras-el-almacenamiento-en-adn-mil-millones-de-tb-en-un-gramo/
TAGS: ADN, MICROSOFT

Microsoft está muy interesada en el almacenamiento de grandes cantidades de datos a largo plazo. Para ello se ha asociado con Twist Bioscience, intentando guardar una cantidad ingente de información en un gramo de ADN.

El adn humano es, todavía, una parte de nosotros que no deja de sorprendernos. Pensemos cuando, en 2013, se empezaron a recoger los primeros experimentos para guardar datos en secuencias de ADN. Lo que se hizo fue trasladar los datos binarios a plataformas biológicas. Con esto se descubrió que, por ejemplo, se podían escribir archivos MP3 en secuencias de ADN y almacenarlos en grandes cantidades. Las muestras utilizadas eran de una densidad de 2,2 petabytes por gramo, miles de terabytes de almacenamiento. ¿Qué no podríamos hacer nosotros con un disco duro de ese tamaño en nuestro ordenador? Pues por ejemplo descargar toda nuestra librería de Steam de una sola vez, y aún sobraría sitio.

Los experimentos con ADN parecen haber ido aún más lejos, y según podemos leer enArs Technica ahora Microsoft podría almacenar mil millones de terabytes en un gramo de ADN.

Microsoft busca más permanencia para sus datos

La razón por la que Microsoft quiere embarcarse en esta operación es, básicamente, laenorme permanencia de los datos en el tiempo. Por ahora la empresa de Redmond le ha comprado 10 millones de hebras de ADN a la empresa Twist Bioscience, de forma que puedan empezar a investigar en la forma de guardar datos en soporte biológico de forma permanente.

Edificio de Microsoft en Colonia (Alemania)

A día de hoy la ventana de vida de que disponen los medios de almacenamiento convencionales que se utilizan en las industrias y en los hogares es muy limitada. Si el experimento sale bien, se pueden guardar los datos en ADN y almacenarlos durante miles de años.

Además, la tecnología necesaria para leer información almacenada en secuencias de ADN ha bajado muchísimo su coste durante los últimos años. El proyecto del genoma humano costó unos 3.000 millones de dólares en 13 años que duró, mientras que hoy reproducir esa misma experiencia costaría unos mil dólares.

Sin embargo, la gran dificultad de convertir ADN en un medio de almacenamiento masivo de datos estriba en leer y escribir lo que se guarda. En la parte de la escritura es donde Twist Bioscience entra en juego, produciendo strings de material genético creados ex profeso para la ocasión que se generan a través de una máquina construida por ellos.

El ADN quiere reemplazar a los discos duros

Según podemos leer en el San Francisco Business Times, el pasado otoño Microsoft condujo un experimento piloto en el que recuperó sin pérdidas los datos almacenados en las hebras de ADN sintético creadas por Twist Bioscience.

Por ahora la tecnología no es comercialmente viable debido a su coste. Resulta mucho más barato comprar un buen montón de discos duros y ponerlos a almacenar datos y copias de respaldo, que comprar hebras de ADN para utilizarlo como soporte duradero. Según Emily Leproust, CEO de Twist Bioscience, tienen que conseguir que el coste de su tecnología baje de los "100 dólares por gen a un centavo por cada uno" para ser competitivos con los centros de datos.

¿Cómo se consigue guardar datos binarios en un soporte biológico?

Para entender mejor cómo se puede convertir los datos informáticos en algo que se puede almacenar en una secuencia de ADN tendremos que echar mano de un experimento conducido por la Universidad de Harvard en 2012 según el cual consiguieron copiar 700 terabytes de datos a 1 gramo de ADN.

[embed]https://vimeo.com/47615970[/embed]

El almacenamiento de datos en ADN lo que hace es tratar al material biológico como si fuese cualquier otro medio digital. Las hebras de código genético se codifican, y se asigna a cada una de sus bases un valor binario. El ácido desoxirribonucleico tiene cuatro bases: timina (T), guanina (G), adenina (A) y citosina (C). A T y G se les concede el valor 1, mientras que a A y C se les concede valor 0.

Lo siguiente era secuenciar los datos almacenados para poder leerlos. Para ayudar al proceso, cada hebra de ADN tiene un bloque de dirección de 19 bits en su inicio, de forma que se puede secuenciar una gran cantidad de código genético sin seguir un orden concreto y después ordenarlo como datos usable usando sólo la dirección.

Los científicos llevan ya una buena temporada mirando al ADN como un medio potencial para guardar datos durante mucho tiempo. Esto se debe a tres razones:

• Es increíblemente denso.


• Es volumétrico en lugar de plano.


• No necesita ninguna condición especial para mantenerse intacto.

La intención de los investigadores que llevaron a cabo este experimento, y casi podríamos decir que también la de Microsoft, es llegar a un momento del futuro en el que el almacenamiento biológico nos permitirá guardar cualquier cosa sin privarnos de nada. Por ahora las copias de respaldo de las grandes empresas sólo se pueden guardar durante unas pocas semanas o meses, debido a que no es viable tener almacenes llenos de discos duros mecánicos que pueden fallar en cualquier momento.

Fuente:http://www.malavida.com/

Noticias de seguridad informática

RuMMS, un malware que afecta a Android y se distribuye a través de SMS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/rumms-un-malware-que-afecta-android-y-se-distribuye-traves-de-sms/
TAGS: Malware, RuMMS

El sistema operativo de los de Mountain View es de nuevo noticia por la detección de un malware que se está distribuyendo haciendo uso de mensajes de testo. RuMMS, que así es como se conoce a la amenaza. Las características desplegadas lo definen como un troyano bancario que busca el robo de las credenciales de acceso a servicios de banca en línea.

Ha sido la empresa de seguridad FireEye la que se ha percatado de la presencia de esta amenaza cuya difusión se realiza de momento haciendo uso de mensajes de texto que contienen un enlace invitando al usuario a acceder a cierto contenido multimedia, algo que no es así, ya que se produce la descarga de un archivo .apk que no es nada más y nada menos que el instalador del troyano bancario. Los expertos indican que se ha distribuido desde principios de año y que el pasado mes ha sido cuando mayor cantidad de infecciones se han producido, con más de un millar terminales afectados.

Durante los meses de enero y febrero los ciberdelincuentes centraron sus esfuerzos en afectar a usuarios ubicados en territorio ruso, pero ya se sabe como funciona esto y que esto dura muy poco tiempo. Esta ocasión no ha sido una excepción y en la actualidad la amenaza se distribuye por todos los países que conforman Europa, incluido el nuestro.

Para que sirva de toque de atención a todos los usuarios se trata de un mensaje en inglés que contiene un enlace, por lo que si no conocemos su destinatario lo mejor es hacer caso omiso del contenido y proceder a su borrado de forma inmediata.

RuMMS y el robo del dinero de las víctimas

Aunque los ransomware han ganado mucho terreno a este tipo de amenazas, la realidad es que aún están presentes y una prueba de ello es la que nos ocupa. Tal y como suele suceder, lo que realmente interesa a los ciberdelincuentes son las credenciales de acceso y los códigos de confirmación de los servicios de banca en línea, de ahí que busquen llevar a cabo el robo de estos. Los expertos en seguridad apuntan que también se ha detectado la búsqueda de monederos de Bitcoin, algo que ha vuelto a despertar interés entre este colectivo.

Envío de mensajes de forma masiva

Tal y como ya hemos apuntado con anterioridad, la única vía de difusión de la amenaza es a través de los mensajes de texto, de ahí que una vez infectado el terminal el troyano utilice este para enviar mensajes de texto sin el consentimiento del usuario a la agenda de contactos y así buscar la infección de otros dispositivos.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Los usuarios de Waze pueden ser rastreados y la red inundada con tráfico falso

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/los-usuarios-de-waze-pueden-ser-rastreados-y-la-red-inundada-con-trafico-falso/
TAGS: GPS, red Tor, Waze

Waze es una aplicación GPS social que, además de brindarnos información sobre la mejor ruta para desplazarnos entre dos puntos, nos muestra información actualizada en tiempo real sobre el estado de la carretera, el tráfico y rutas alternativas por las que llegar más rápido a nuestro destino. Esta plataforma, actualmente propiedad de Google, es utilizada a diario por millones de usuarios en todo el mundo, sin embargo, es posible que todos estos usuarios estén comprometiendo su seguridad y privacidad sin saberlo.

Recientemente, investigadores de varias universidades de todo el mundo han descubierto una forma de inyectar información falsa sobre el tráfico en la plataforma mediante la creación de tráfico virtual inexistente de manera que la información que proporcione Waze a sus usuarios sea incorrecta y poder, por ejemplo, desviar el tráfico hacia ciertas rutas o ciertos puntos concretos.

Para hacer esto, los investigadores de seguridad solo han necesitado un cliente de Waze (un smartphone, por ejemplo) y un servidor proxy HTTPS. Este servidor consiguió robar el certificado raíz del servidor principal y, cuando el cliente intentaba conectarse con el servidor real, el proxy suplantaba su identidad, recopilaba los paquetes, los modificaba con distinta información sobre el tráfico y los enviaba de nuevo al servidor original.

Una vez que el servidor intermedio funcionaba correctamente, fue posible hacer ingeniería inversa al protocolo de Waze para crear scripts que simularan falsos clientes desde falsas ubicaciones de manera que se generara en la plataforma falso a información sobre el tráfico.

Waze es vulnerable a los ataques Sybill, un tipo de ataque informático creado inicialmente para comprometer Tor

A esta técnica de ataque se le conoce como Sybill, y es muy conocida especialmente en la red Tor, donde varios grupos de piratas informáticos intentan crear falsos nodos de salida de datos con el fin de controlar y espiar la actividad de dicha red distribuida. A día de hoy, Tor es capaz de defenderse a sí mismo de estos ataques, sin embargo, Waze, por el momento, es totalmente vulnerable y Google no se ha pronunciado al respecto.

Para evitar alterar el tráfico, las pruebas de inyección de falso tráfico se han realizado de madrugada, pudiendo ver cómo, por ejemplo, el programa nos manda dar un rodeo para llegar a una ruta que se encuentra en línea recta detectado un posible atasco.

Obviamente, los dueños del proxy HTTPS, al tener acceso a los paquetes que envía el cliente a Waze, también pueden saber la ubicación real desde la que se está enviando esta información, pudiendo saber en todo momento dónde se encuentra el usuario. Incluso, si un atacante es capaz de controlar un determinado número de usuarios fantasma, es posible incluso que se llegue a poder monitorizar la actividad de todos los usuarios de Waze de una ciudad, un país e incluso un continente.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

¿Cómo gobierno puede ayudar las empresas del sector privado en ciberseguridad?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/como-gobierno-puede-ayudar-las-empresas-del-sector-privado-en-ciberseguridad/
TAGS: Curso de Perito judicial informático, Curso Perito judicial informático, empresas de ciberseguridad, Escuela de ciber seguridad, Organización de Ciberseguridad, Servicios de ciberseguridad, Solución de ciberdefensa
La ciberseguridad se refiere al conjunto de soluciones, servicios y entrenamientos que puede implementar una empresa u organización para su ciberdefensa contra ciberataques. Según los informes de la empresa de ciberseguridad, las empresas u organizaciones son cada vez más conscientes de los ciberataques. Desde el último año, casi un 35% de las empresas en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India han incrementado sus inversiones en los servicios de ciberseguridad y es por eso que hay una gran necesidad de especialistas de ciberseguridad para implementar las soluciones de ciberdefensa. Al comprender las razones detrás de los ciberataques, permite una empresa u organización a adquirir los servicios de ciberseguridad y diseñar plan de ciberseguridad y ciberdefensa de una manera más efectiva. Según la experiencia de los especialistas de ciberseguridad, es más el miedo a los ciberataques dirigidos está haciendo que los gobiernos, empresas u organizaciones gastan dinero en los servicios de ciberseguridad y soluciones de ciberdefensa. Estos planes de implementación de los servicios de ciberseguridad y soluciones de ciberdefensa, van mucho más allá de invertir en las soluciones tradicionales como los firewalls, gestión de vulnerabilidades, etc. En general, ellos están buscando servicios de ciberseguridad más sofisticados y soluciones de ciberdefensa inteligentes que puedan protegerles de ciberataques avanzados.

Como los gobiernos y empresas grandes están involucrados en el tema de ciberseguridad, la metodología de implementar servicios de ciberseguridad y soluciones de ciberdefensa ha cambiado de modo radical. Según el profesor de la escuela de ciber seguridad, la ciberseguridad se ha convertido en una cosa necesaria para todos los aspectos. Las empresas grandes no solo están enfocando sobre servicios de ciberseguridad y soluciones de ciberdefensa, también se quieren que su equipo de TI sea especialista en ciberseguridad. Para desarrollar habilidades de especialista de ciberseguridad en su equipo de TI, las empresas deben enfocar en las capacitaciones de ciberseguridad. Con las capacitaciones de ciberseguridad las pequeñas empresas también pueden comprender y implementar las soluciones de ciberseguridad avanzadas y soluciones de ciberdefensa inteligentes sin ayuda de una empresa de ciberseguridad.

La solución del problema de ciberseguridad parece sencillo pero hay muchos obstáculos como falta de recursos, conocimientos, dinero etc. Pero con la participación del gobierno en el área de ciberseguridad, las cosas pueden cambiar mucho. Los gobiernos de varios países, especialmente de Estados Unidos, Rusia, China, Reino Unido, Alemania y la India han estado desarrollando y empleando capacidades ofensivas cibernéticas, incluyendo el espionaje cibernético. Estos esfuerzos no están realmente enfocados en las soluciones de ciberdefensa o en perito judicial informático sin embargo; están más enfocados sobre cómo tomar el control del ciberespacio y es similar a la guerra fría en la década de los 80. Para disuadir a los ciberataques, muchos gobiernos han pensando en usar las sanciones y demás acciones típicos utilizados para el acto de la guerra. Estos acciones ayudarán en algunos escenarios, pero no en otros escenarios en los que perito judicial informático no puede producir suficiente evidencia. Según los expertos de la formación de perito judicial informático, para defenderse en el ciberespacio, el gobierno debe jugar un papel proactivo en el ámbito de ciberseguridad.

Profesor de la escuela de ciber seguridad, Dave Smith menciona que para el gobierno a proteger el sector privado en el ciberespacio es una tarea compleja, ya que hay una gran cantidad de restricciones políticas. Implementación de los servicios de ciberseguridad y soluciones de ciberdefensa para la aplicación de la ley en el ciberespacio es una tarea compleja. Al asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad, las agencias gubernamentales pueden mantener un control más fuerte sobre el ciberespacio. Como hay muchas organizaciones de ciberseguridad que trabajan en proyectos patrocinados por el gobierno y esas organizaciones tienen muchos recursos. Entonces, estas organizaciones de ciberseguridad pueden compartir la información sobre amenazas con las empresas de ciberseguridad y otras empresas del sector privado.

Los gobiernos de varios países pueden crear los siguientes programas como parte de sus estrategias de seguridad cibernética y sus guerras contra ciberdelincuencia.

Programa de Educación General de Ciberseguridad

El objetivo del programa de educación general de ciberseguridad debería centrarse más en la aumentación de la conciencia de ciberseguridad entre público en general. Las agencias gubernamentales pueden colaborar con las escuelas de ciber seguridad y garantizar que las personas aprenden a ser más seguro en línea. Similares programas se fueron lanzados por las empresas de ciberseguridad y escuelas de ciber seguridad en Europa y estaban dirigidos a aumentar la comprensión de las amenazas cibernéticas y cómo funciona la ciberdelincuencia. Según los profesores de escuela de ciber seguridad, las agencias gubernamentales pueden organizar programas de publicidad en televisión y en línea para aumentar la conciencia de ciberseguridad entre publico.

Programa de Desarrollo y Capacitación de Ciberseguridad

Acuerdo con los maestros de escuela de ciber seguridad; el problema en el ámbito de ciberseguridad, es la extrema escasez de los especialistas de ciberseguridad altamente cualificados. El sistema educativo existente debe producir más estudiantes con altamente calificados en ciberseguridad. Estos especialistas de ciberseguridad, mantendrán el gobierno y el sector privado por delante en el escenario de la tecnología. El gobierno tiene que desarrollar una estrategia para ampliar y apoyar los programas de educación en ciberseguridad dirigidos por las escuelas de ciber seguridad. El objetivo del programa de desarrollo y entrenamiento de ciberseguridad debería ser asegurarse de que el gobierno y el sector privado tienen especialistas de ciberseguridad. El gobierno debe trabajar con las escuelas de ciber seguridad y asegúrese de que el nivel de capacitación de ciberseguridad es de acuerdo con las normas internacionales. Podemos clasificar las capacitaciones de ciberseguridad en siguientes áreas: usuarios general de TI, la infraestructura de tecnología de la información, operaciones, mantenimiento y seguridad de la información, perito judicial informático, análisis de malware, seguridad en la nube, seguridad móvil, desarrollo de exploits, soluciones de ciberdefensa, derecho cibernético, contrainteligencia y cursos de ciberseguridad avanzados. Según profesores de cursos de ciberseguridad, con la ayuda de los cursos de ciberseguridad, el sector privado tendrá el mayor beneficio, ya que reducirá su gasto en servicios de ciberseguridad.

Programa de Infraestructura Para Educación de Ciberseguridad

El objetivo del programa de infraestructura para educación de ciberseguridad debería ser centrarse en la creación de nuevas escuelas de ciber seguridad y la mejora de las escuelas de ciber seguridad existentes. El programa debe incluir alianza con las escuelas de ciber seguridad y las organizaciones de ciberseguridad existentes para desarrollar más programas de investigación y desarrollo en este campo. Programa de infraestructura para educación de ciberseguridad debe apoyar la educación formal de ciberseguridad y también debe ser un programa líder en la investigación y el desarrollo de ciberseguridad. Así este programa ayudaría a los gobiernos, el sector privado, las empresas de ciberseguridad existentes y las organizaciones de ciberseguridad. Todas estas escuelas de ciber seguridad también pueden servir como centros de servicios de ciberseguridad y actuarán como autoridad de referencia para las universidades y otras escuelas existentes.

Programa de Respuesta a incidentes de ciberataques

Las agencias gubernamentales pueden asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad en el ámbito de respuesta a incidentes. Expertos de escuela de ciber seguridad explican que cuando las grandes empresas como banco o empresa multinacional etc sufren un ciberataque; ellos pueden tomar la ayuda del gobierno para hacer un perito judicial informático. Sin embargo, cuando las pequeñas empresas sufren un ciberataque; no es fácil para ellos a tomar la ayuda del gobierno para hacer un perito judicial informático. Así con este programa las pequeñas empresas pueden tomar la ayuda de una organización de ciberseguridad o empresa de ciberseguridad para el perito judicial informático. La otra solución es construir un equipo in-house de perito judicial informático con la ayuda de expertos de una buena escuela de ciber seguridad.

Programa de Recursos Humanos de Ciberseguridad

El objetivo del programa de recursos humanos de ciberseguridad debería ser gestionar el empleo en ciberseguridad, reclutamiento de personas y estrategias de las rutas de sus carreras. Con la ayuda de este programa, las agencias gubernamentales pueden administrar la fuerza laboral del gobierno, la fuerza laboral de las agencias de inteligencia, la fuerza laboral de las organizaciones de ciberseguridad y la fuerza laboral del sector privado. Profesores de los cursos de ciberseguridad mencionan que el programa de recursos humanos de ciberseguridad se puede utilizar para la evaluación de especialistas de ciberseguridad. Esto ayudaría en el desarrollo de especialistas de ciberseguridad y programas de capacitación de ciberseguridad.

Programa de Bug Bounty y Premios

No es suficiente que solo los profesionales de informática comprendan la importancia de ciberseguridad; líderes en todos los niveles de gobierno y el sector privado deben comprender la importancia de ciberseguridad. Por lo tanto la formación de ciberseguridad no sólo ayudará a los empleados de nivel bajo, pero los líderes empresariales también, y les ayudará a tomar decisiones de negocios e inversiones basadas en el conocimiento de los riesgos y posibles impactos. Así mismo una decisión tan importante es un programa de bug bounty y premios. El objetivo de este programa debería ser recompensar los especialistas de seguridad cibernética para encontrar vulnerabilidades y reportarlas en lugar de venderlas en el mercado negro. Según el profesor de curso de ciberseguridad, Deen Wright; es muy importante para los líderes del gobierno a hacer alianzas adecuadas con los líderes de las empresas de ciberseguridad y las organizaciones de ciberseguridad para desarrollar programa de recompensa y premios para recompensar los investigadores de seguridad cibernética por sus esfuerzos.

De esta manera el gobierno puede desarrollar una estrategia para ampliar sus alianzas con diversas empresas del sector privado, las empresas de ciberseguridad, escuelas de ciber seguridad y las organizaciones de ciberseguridad existente para defender proactivamente contra los ciberataques, los actos de espionaje y para establecer un lugar más fuerte en el espacio cibernético. Organizaciones como Instituto Internacional de Seguridad Cibernética una organización de ciberseguridad están trabajando junto con los gobiernos de los distintos países y sector privado.

 

fuente:http://www.iicybersecurity.com/ciberseguridad-ciberdefensa-servicios.html
Noticias de seguridad informática

Vulnerabilidad en Facebook permitía secuestrar cuentas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-en-facebook-permitia-secuestrar-cuentas/
TAGS: error, facebook, Fallo de seguridad, Redes sociales, robo datos

El laboratorio de la firma Bitdefender ha informado de que una vulnerabilidad en Facebook ha comprometido la seguridad de las cuentas de todos los usuarios de la red social, ya que permitía que un atacante pudiera robar las claves de acceso de una forma muy sencilla.

De acuerdo con el informe de la compañía de seguridad, el problema se encontraba en la opción que tienen muchas apps y páginas web que permite registrarte a través de la red social. Este tipo de autenticación es una alternativa bastante utilizada por su comodidad y rapidez, y está disponible en infinidad de portales y aplicaciones, donde además de a través de Facebook puedes acceder con Google Plus, Twitter o LinkedIn, entre otros servicios.

Sin embargo, en el caso de Facebook esta función contaba con un fallo de seguridad. "Se trata de una vulnerabilidad grave que permite a los atacantes logarse en la mayoría de los sitios web que ofrecen iniciar la sesión a través de Facebook", explica el investigador de Bitdefender Ionut Cemica.

Efectuar la suplantación de identidad era muy simple. Para ello, el atacante tenía que crear una nueva cuenta en Facebook utilizando una dirección de la víctima que no estuviera registrada en la red social. Durante el registro, el delincuente cambiaba esta cuenta cuenta de correo y la sustituía por una que él controlaba, de tal manera que la dirección de la víctima quedaba como contacto principal, a pesar de que sólo se había confirmado la segunda cuenta, controlada por el atacante.

Después, el delincuente podría establecer su propia dirección como contacto principal y, como consecuencia, recibir los correos electrónicos de Facebook de recuperación de contraseña parasecuestrar la cuenta de la víctima.

Los investigadores de Bitdefender han comunicado el problema a la red social de Mark Zuckerberg, que ya está solucionado, e indican que este tipo de vulnerabilidades son difíciles de descubrir tanto por parte de la aplicación o el portal que utiliza este sistema de autenticación, como por parte de Facebook.

Fuente:http://computerhoy.com/

Noticias de seguridad informática

Ya se pueden recuperar los archivos afectados por CryptXXX

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/ya-se-pueden-recuperar-los-archivos-afectados-por-cryptxxx/
TAGS: ransomware

De nuevo buenas noticias para los usuarios que se han visto afectados por algún ransomware. En esta ocasión han sido los expertos en seguridad de Kaspersky Lab los que han descubierto la forma de recuperar los archivos afectados por CryptXXX, descubierto recientemente y que en muy poco tiempo ha infectado una gran cantidad de equipos.

El modo de operación de la amenaza resulta similar al de otras que se han descubierto en los últimos meses, infectando los archivos, informando al usuario y solicitando el pago de una cantidad para recuperar el acceso a la información afectada. Sin embargo, a diferencia de otros, tras finalizar el proceso de cifrado comienza el proceso de recopilación personal del usuario que se encuentra en el equipo o bien introducida haciendo uso del teclado para enviarla posteriormente a un servidor remoto.

La forma de distribución de esta amenaza es muy similar a la de la mayoría: hackear páginas web y modificar los enlaces para que apunten al contenido malicioso, utilizando un servidor que ya lo ha sido en otras ocasiones, como por ejemplo para distribuir el malware Beedep o el ransomware Reventon.

Adicionalmente, la amenaza rastrea el equipo en busca de monederos de Bitcoin para realizar el robo sin que el usuario se percate de lo que está sucediendo.

Volviendo al cifrado de los archivos, todos aquellos usuarios que estén afectados están de enhorabuena, ya que está disponible una herramienta que permite su descifrado de forma gratuita.

¿Qué necesito para recuperar los archivos afectados por CryptXXX?

Tal y como suele ser habitual en estos casos, el usuario al menos debe ofrecer a la herramienta un archivo afectado y su copia sin ningún tipo de cifrado, obteniendo de esta forma el patrón y pudiendo aplicar la misma solución al resto una vez se haya encontrado. Los resultados no son instantáneos y aquellos que se hayan visto afectados deberán esperar varias horas, tiempo que varía en función del número de archivos afectados.

Los expertos en seguridad recomiendan en primer lugar hacer uso de una herramienta de seguridad para eliminar la amenaza y posteriormente proceder al proceso de descifrado, evitando de esta forma que los archivos vuelvan a cifrarse. También hay que decir que la amenaza es detectada por la mayoría de las soluciones de seguridad (incluidas las gratuitas) por lo que la presencia de una podría evitar verse afectado por el ransomware.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Nuevas vulnerabilidades de seguridad en Squid, todas sus versiones están afectadas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/nuevas-vulnerabilidades-de-seguridad-en-squid-todas-sus-versiones-estan-afectadas/
TAGS: Squid

Se han encontrado cuatro nuevas vulnerabilidades críticas en Squid, uno de los servidores Proxy más utilizados y que es de código abierto y multiplataforma. Actualmente este servidor Proxy proporciona una gran cantidad de opciones que nos permite adaptarlo a las necesidades de la empresa u organización donde lo instalemos. A continuación, os contamos en qué consisten estos fallos de seguridad.

El equipo de desarrollo de este popular servidor Proxy ha publicado dos boletines de seguridad destinados a solucionar cuatro nuevas vulnerabilidades en las versiones 2.x, 3.x y 4.x del software. Las vulnerabilidades encontradas podrían permitir que atacantes remotos provocasen una denegación de servicio, otra vulnerabilidad podría permitir que un atacante consiguiera información sensible de la red y también podría permitir ejecutar código arbitrario. Si tu empresa tiene una de las versiones de Squid vulnerables, podría verse comprometida su seguridad.

Estas son vulnerabilidades encontradas en Squid

Tres de las vulnerabilidades encontradas en este software de servidor Proxy, consisten en desbordamiento de búfer y la validación incorrecta de entradas en el tratamiento de respuestas ESI (Edge Side Includes). Estos dos fallos graves de seguridad podrían dar lugar, por una parte, a denegaciones de servicio de todo el sistema dejando totalmente inutilizado el servidor, por otra parte, también se podrían utilizar estas denegaciones para obtener información sensible de la organización, y por último, ejecutar código arbitrario para conseguir penetrar en la organización.

Estas vulnerabilidades tienen los siguientes identificadores: CVE-2016-4052, CVE-2016-4053 y CVE-2016-4054. Estos tres fallos de seguridad afectan tanto a las versiones 3.x como a las 4.x.

La última vulnerabilidad encontrada consiste en un desbordamiento de búfer en la herramienta cachemgr.cgi al tratar entradas remotas que han sido reenviadas desde Squid. Este fallo de seguridad afecta a todas las versiones Squid 2.x, Squid 3.x y Squid 4.x.

Versiones con los parches de seguridad ya disponibles

Los problemas están solucionados en las versiones Squid 3.5.17 y 4.0.9, por lo que es necesario actualizar cuanto antes nuestro servidor Proxy para evitar que un atacante remoto sea capaz de explotar estas vulnerabilidades.

Si no estamos utilizando la última versión de la rama 3.x, podremos descargar los parches manualmente y aplicarlos. Podéis entrar en la página web oficial donde encontraréis toda la documentación sobre estos fallos de seguridad y el enlace directo a los diferentes parches:

• Proxy Cache Security Update Advisory SQUID-2016:5


• Proxy Cache Security Update Advisory SQUID-2016:6

Os recomendamos visitar nuestra página dedicada a manuales de seguridad informática donde os enseñamos cómo proteger vuestros equipos.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Laziok, un troyano que utiliza Windows PoweShell y Google Docs para infectar equipos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/laziok-un-troyano-que-utiliza-windows-poweshell-y-google-docs-para-infectar-equipos/
TAGS: Laziok, PowerShell, troyano

Utilizado en un principio para el espionaje industrial y ahora para robar información de los usuarios domésticos. Es bastante habitual que las amenazas se reutilicen y este troyano es un claro ejemplo de esta práctica. Laziok  se aprovecha de las posibilidades de la PowerShell y de la existencia de Google Docs para distribuirse entre los usuarios.

Se detectó por primera vez hace más de un mes y desde entonces el número de infecciones ha ido en aumenta de forma exponencial, ayudado sobre todo por la capacidad que posee la amenaza para distribuirse haciendo uso de las redes locales a las que se encuentran conectados los equipos y también las unidades extraíbles que se conectan con mucha frecuencia.

Los expertos en seguridad describen esta como un telemétrico capaz de recopilar una gran cantidad del sistema infectado, no solo a nivel de estadísticas hardware y software sino también en lo referido a datos que el usuario hace uso en algún momento durante la utilización del equipo.

Para distribuir la amenaza los ciberdelincuentes se están valiendo de varias páginas web que poseen un código JavaScript que es el que provoca la descarga de un ejecutable que en muchas ocasiones los usuarios no dudan en abrir, permitiendo la llegada de la amenaza.

Aunque esta no es la única forma que utilizan para distribuir la amenaza, ya que anteriormente hemos mencionado el servicio Google Docs, formando parte de esta segunda vía de difusión. Los ciberdelincuentes utilizan estos documentos que son compartidos y en cuyo interior se encuentra el enlace que permite la descarga del archivo malicioso.

Laziok envía los datos a un servidor remoto

Teniendo en cuenta que se trata de una herramienta dedicada al espionaje industrial nos podemos hacer a la idea de cuál es la potencia de esta herramienta a la hora de recopilar datos de equipos con sistema operativo Windows. Una vez se han conseguido se envían a un servidor remoto propiedad de los ciberdelincuentes, recurriendo al mercado negro para hacer dinero, algo probable si hablamos de aquellos que pertenecen a servicios de correo electrónico o redes sociales.

Expertos en seguridad detallan que los ciberdleincuentes han buscado alojar la amenaza en el almacenamiento en la nube de Google y en Dropbox, procediendo ambos servicios a las pocas horas a su eliminación, viéndose obligados a utilizar otros dominios.

La mayoría de las herramientas de seguridad detecta la presencia de la amenaza y bloquea su instalación, por lo que un antivirus podría ser la solución al problema.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

¿Qué pasa cuando los criminales hackean una emisora de radio?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/que-pasa-cuando-los-criminales-hackean-una-emisora-de-radio/
TAGS: Radio

Durante la mañana del día 5 de abril de 2016, varias emisoras de radio americanas ofrecieron una emisión bastante inusual. Durante 90 minutos, los presentadores discutieron sobre la subcultura del furry fandom: el interés por personajes animales antropomórficos de conocidos dibujos animados, cómics y ciencia ficción. Los empleados de la emisora no buscaban sorprender a sus oyentes, sino que el equipo de la emisora había sido hackeado.

En un lapso de hora y media, los habitantes de las ciudades de Colorado y Texas se habían familiarizado con Paradox Wolf, Fayroe y sus amigos. Estos sobrenombres pertenecen a los autores de FurCast, una transmisión vía Internet creada por dos chicos y una chica de Nueva York. Su canal nunca tuvo la intención de ser escuchado por todo el público, pero esto a los hackers no les importó.

¿Cómo sucedió esto?

Al menos uno de los programas de la emisora fue enviado a través de Internet desde Denver a cuatro transmisores remotos. De estos, uno estaba localizado en la ciudad de Breckenridge, Colorado. Este, el transmisor K258AS, había sido hackeado. El hacker reemplazó el programa original por el Episodio 224 de Furcast. Los ingenieros de difusión no pudieron recuperar el control de los transmisores de forma remota, por lo que tuvieron que viajar desde Denver hasta el lugar de la transmisión remota y reprogramar el sistema de forma manual.

Durante el hackeo, los creadores de FurCast detectaron un incremento en las conexiones a su archivo de podcast. Esto duró varias horas y se apagó cuando el equipo descubrió el problema enKIFT-FM (Colorado) y KXAX (Texas), desactivando temporalmente el acceso a la base de datos. La mayoría de las conexiones realizadas tenían el agente de usuario “Streaming Client de Barix”.

Barix es una conocida fábrica de hardware de transmisores de audio y estos dispositivos fueron utilizados para hackear las emisoras de radio.

ArsTechnica informó que los hackers habían estado acumulando contraseñas durante bastante tiempo. Los traductores de Barix soportan hasta 24 combinaciones de símbolos, “pero al menos en dos casos, lograron hackear 6 contraseñas”.

Algunos de esos transmisores también eran visibles en Shodan, un motor de búsqueda a través del Internet de las cosas que permite a la gente encontrar dispositivos conectados.

El equipo de FurCast bloqueó las direcciones IP utilizadas para hackear los transmisores de Barix y volvieron a lanzarlos archivos online para el deleite de su audiencia. Actualmente, el equipo de FurCast está trabajando junto con las fuerzas de seguridad para investigar este incidente.

Aunque solo algunas pequeñas emisorasde radio emitieron el podcast, el incidente se convirtió en un gran escándalo. Tan solo la estación de KIFT-FM recibió cientos de llamadas e e-mails de oyentes alarmados exigiendo que no volvieran a permitir lo sucedido.

Dan Cowen, Director de programación de KIFT, describió la reacción de los empleados de la radio de la siguiente forma: “Por más horrorizados que estuviesen nuestros oyentes, creedme, nosotros lo estábamos aún más”. Fue como un accidente a cámara lenta y, si hay algo que realmente valoramos es a la familia, despertarlos de esta forma es… bastante espeluznante”.

Aunque la BBC, ArsTechnica y algunos canales de televisión se echaron unas risas al tratar este episodio, en realidad fue un grave incidente. En casos similares a este, algunas emisoras han llegado a perder sus licencias.

https://youtu.be/5Ab1sg7Pkfs

El 11 de febrero de 2013, un criminal hackeó los dispositivos del Sistema de Alertas de Emergencia (EAS) pertenecientes a cuatro emisoras de televisión americanas. Estos dispositivos estaban diseñados para alertar al público en emergencias meteorológicas locales, como tornados e inundaciones. El criminal utilizó el sistema de alertas de emergencia para decirle al mundo que los zombies se estaban levantando de sus tumbas e invadiendo los distritos urbanos (una clara referencia a la serie The Walking Dead). La Comisión Federal de Comunicaciones descubrió que las emisoras eran las responsables de la intrusión, ya que no habían protegido sus dispositivos apropiadamente frente al acceso remoto no autorizado.

En 1987, las emisoras de televisión de Chicago también sufrieron acciones maliciosas, pero se descubrió que no habían sido responsables, ya que en realidad no había habido ningún hackeo: el culpable simplemente generó una señal más potente dentro de la misma frecuencia

Cómo los hackers transmitieron en la radio el podcast sobre el#FurryFandom, estropeando la mañana a cientos de familias americanas

Las emisoras de radio afectadas son responsables del incidente de FurCast. Tenían que haber utilizado contraseñas fuertes y proteger sus dispositivos con la ayuda de firewalls. La decisión sobre la responsabilidad de este incidente dependerá de la Comisión Federal de Comunicaciones.

En nuestro caso, este incidente nos recuerda una vez más el peligro de los dispositivos conectados y por qué no debes dejar la contraseña que trae por defecto tu nueva cámara IP.

Fuente:https://blog.kaspersky.es

Noticias de seguridad informática

12 amenazas a la seguridad en la nube

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/12-amenazas-la-seguridad-en-la-nube/
TAGS: Nube, Seguridad en la Nube

Las empresas ya no están sentadas de brazos caídos, preguntándose si deben correr el riesgo de migrar aplicaciones y datos a la nube. Lo están haciendo -pero la seguridad sigue siendo una preocupación seria.

El primer paso para minimizar los riesgos en la nube es identificar las amenazas de seguridad más importantes.

En la conferencia RSA del mes pasado, la CSA (Cloud Security Alliance) mencionó a las 12 principales amenazas de computación en la nube a las que se enfrentan las organizaciones en el 2016. La CSA lanzó el informe para ayudar a que los clientes y proveedores de la nube centren sus esfuerzos defensivos.

La naturaleza compartida, bajo demanda, de la computación en la nube, introduce la posibilidad de nuevas brechas de seguridad que pueden borrar las ganancias realizadas por el cambio a la tecnología de nube, advirtió la CSA. Como se ha señalado en informes anteriores de la CSA, los servicios en la nube, por naturaleza, permiten a los usuarios pasar por alto las políticas de seguridad en toda la organización y establecer sus propias cuentas bajo la sombra de los proyectos de TI. Se deben establecer nuevos controles.

“La liberación de las principales amenazas del 2016 refleja la ramificación de las pobres decisiones de computación en la nube a través de la capa gerencial”, indicó JR Santos, vicepresidente ejecutivo de investigación para la CSA.

Amenaza # 1: Las brechas de datos
Los entornos de nube se enfrentan a muchas de las mismas amenazas que las redes corporativas tradicionales, pero debido a la gran cantidad de datos almacenados en los servidores de la nube, los proveedores se convierten en un objetivo atractivo. La severidad del daño potencial tiende a depender de la sensibilidad de los datos expuestos. La exposición de información financiera personal tiende a estar en los titulares, pero las infracciones que implican la información de salud, los secretos comerciales y la propiedad intelectual pueden ser más devastadoras.

Cuando se produce una violación de datos, las empresas pueden incurrir en multas, o pueden enfrentar demandas o cargos criminales. Las investigaciones de brechas y las notificaciones de los clientes pueden acumular costos significativos. Los efectos indirectos, tales como daños a la marca y la pérdida de negocio, pueden tener un impacto en las organizaciones durante años.

Los proveedores de nube normalmente despliegan los controles de seguridad para proteger su entorno, pero en última instancia, las organizaciones son responsables de proteger sus propios datos en la nube. La CSA ha recomendado a las organizaciones que utilicen la autenticación de factores múltiples y la encriptación para protegerse contra las violaciones de datos.

Amenaza # 2: Credenciales comprometidas y autenticación rota
Con frecuencia, las brechas de datos y otros ataques son el resultado de una autenticación laxa, contraseñas débiles, y contraseñas pobres o gestión de certificados. Las organizaciones a menudo luchan con la gestión de identidades, a medida que tratan de asignar permisos apropiados para los puestos de trabajo del usuario. Más importante aún, a veces se olvidan de eliminar el acceso de los usuarios cuando cambia una función de trabajo, o un usuario abandona la organización.

Los sistemas de autenticación de múltiples factores, tales como contraseñas de un solo uso, autenticación basada en el teléfono, y las tarjetas inteligentes protegen a los servicios en la nube, ya que hacen que sea más difícil para los atacantes iniciar sesión con contraseñas robadas. La ‘Anthem breach’, que expuso más de 80 millones de registros de clientes, fue el resultado de credenciales de usuario robadas. Anthem había fallado en implementar la autenticación de múltiples factores, por lo que una vez que los atacantes obtuvieron las credenciales, ganaron el juego.

Muchos desarrolladores cometen el error de incrustar las credenciales y claves de cifrado en el código fuente y las dejan en repositorios de cara al público, tales como GitHub. Las claves deben ser protegidas adecuadamente, y es necesaria una infraestructura de clave pública bien asegurada, señala la CSA. También necesitan ser rotados periódicamente para hacer que a los atacantes les resulte más difícil utilizar las claves que han obtenido sin autorización.

Las organizaciones que tienen previsto federar identidad con un proveedor de nube, necesitan entender las medidas de seguridad que el proveedor utiliza para proteger la plataforma de identidad. La centralización de la identidad en un solo repositorio tiene sus riesgos. Las organizaciones deben sopesar el equilibrio de la conveniencia de centralizar la identidad contra el riesgo de que ese repositorio se convierta en un objetivo de muy alto valor para los atacantes.

Amenaza # 3: Interfaces y APIs hackeadas Prácticamente todos los servicios en la nube y aplicación ahora ofrecen APIs. Los equipos de TI utilizan interfaces y APIs para administrar e interactuar con servicios en la nube, incluyendo aquellos que ofrecen aprovisionamiento de nube, gestión, orquestación, y seguimiento.

La seguridad y disponibilidad de los servicios en la nube -desde la autenticación y control de acceso a la supervisión de cifrado y la actividad- dependen de la seguridad de la API. El riesgo aumenta con terceros que dependen de la API y se acumulan en estas interfaces, a medida que las organizaciones tienen que exponer más servicios y credenciales, advierte la CSA. Las interfaces y APIs débiles exponen a las organizaciones a las cuestiones de seguridad relacionadas con la confidencialidad, integridad, disponibilidad y responsabilidad.

Las APIs e interfaces tienden a ser la parte más expuesta de un sistema, ya que por lo general son accesibles desde la Internet abierta. La CSA recomienda controles adecuados como la “primera línea de defensa y de detección”. Las aplicaciones y sistemas de Modelado de Amenazas, incluyendo flujos de datos y la arquitectura/diseño, se convierten en una parte importante del ciclo de vida de desarrollo. La CSA también recomienda las revisiones de código centradas en la seguridad y pruebas de penetración rigurosa.

Amenaza # 4: Vulnerabilidades del sistema explotado
Las vulnerabilidades del sistema, o errores explotables en los programas, no son nuevos, pero se han convertido en un problema más grande con el advenimiento de la capacidad multiusuario en la computación en nube. Las organizaciones comparten la memoria, bases de datos y otros recursos en estrecha proximidad entre sí, creando nuevas áreas de ataque.

Afortunadamente, los ataques a las vulnerabilidades del sistema pueden ser mitigados con “procesos básicos de TI”, anota la CSA. Las mejores prácticas incluyen la exploración regular de la vulnerabilidad, la gestión de parches del sistema, y un rápido seguimiento de las amenazas reportadas.

Según la CSA, los costos para mitigar las vulnerabilidades del sistema “son relativamente pequeños en comparación con otros gastos de TI”. El gasto de poner en su lugar los procesos de TI para descubrir y reparar vulnerabilidades, es pequeño en comparación con el daño potencial. Las industrias reguladas necesitan repararse lo antes posible, de preferencia como parte de un proceso automatizado y recurrente, recomienda la CSA. Los procesos de cambio de control que requieren parches de emergencia aseguran que las actividades de remediación están debidamente documentadas y revisados por los equipos técnicos.

Amenaza # 5: El secuestro de cuentas
El phishing, fraude, y las explotaciones de software siguen teniendo éxito, y los servicios en la nube añaden una nueva dimensión a la amenaza, porque los atacantes pueden espiar las actividades, manipular las transacciones, y modificar los datos. Los atacantes también pueden ser capaces de utilizar la aplicación en la nube para lanzar otros ataques.

Las estrategias comunes de protección en profundidad y defensa pueden contener los daños sufridos por una violación. Las organizaciones deben prohibir que se compartan las credenciales de cuenta entre los usuarios y los servicios, así como permitir los esquemas de autenticación multifactoriales donde estén disponibles. Las cuentas, incluso las cuentas de servicio, deben ser controladas de manera que cada transacción se pueda remontar a un dueño humano. La clave es proteger las credenciales de cuenta para que no sean robadas, según la CSA.

Amenaza # 6: Individuos maliciosos
La amenaza interna tiene muchas caras: un empleado actual o anterior, un administrador de sistemas, un contratista o un socio de negocios. La agenda maliciosa va desde el robo de datos a la venganza. En un escenario de nube, un vengador interno puede destruir infraestructuras enteras o manipular los datos. Los sistemas que dependen únicamente de la empresa de servicios en la nube para la seguridad, como el cifrado, se encuentran en mayor riesgo.

La CSA recomienda que las organizaciones controlen el proceso de cifrado y las claves, la segregación de funciones y la reducción al mínimo del acceso a los usuarios. Son también críticos el registro eficaz, la vigilancia y la auditoría de las actividades del administrador.

Como señala el CSA, es fácil malinterpretar un intento torpe por realizar un trabajo rutinario como actividad “maliciosa” interna. Un ejemplo podría ser un administrador que accidentalmente copia una base de datos confidencial de sus clientes en un servidor de acceso público. La capacitación y la gestión adecuada para evitar este tipo de errores se hace más crítica en la nube, debido a la mayor exposición potencial.

Amenaza # 7: El parásito de la APT
La CSA llama acertadamente a las amenazas persistentes avanzadas (APT, por sus siglas en inglés) como ataques de “parasitarios”. Las APTs se infiltran en los sistemas para establecer un punto de apoyo, a continuación, filtran sigilosamente los datos y la propiedad intelectual durante un período prolongado de tiempo.

Las APTs normalmente se mueven lateralmente a través de la red y se mezclan con el tráfico normal, por lo que son difíciles de detectar. Los principales proveedores de la nube aplican técnicas avanzadas para evitar que las ATPs se infiltren en su infraestructura, por lo que los clientes tienen que ser tan diligentes en la detección de los compromisos de las APTs en las cuentas de la nube como lo harían en los sistemas de correo locales.

Los puntos comunes de contaminación incluyen phishing, ataques directos, unidades USB precargadas con software malicioso, y redes comprometidas de terceros. En particular, la CSA recomienda a los usuarios capacitarse para que puedan reconocer técnicas de phishing.

Los programas de sensibilización periódicamente reforzados mantienen a los usuarios en alerta y con menos probabilidades de ser engañados por una ATP -y los departamentos de TI necesitan mantenerse informados sobre los últimos ataques. Los controles avanzados de seguridad, gestión de procesos, planes de respuesta a incidentes, y el personal capacitado de TI lleva a incrementar los presupuestos de seguridad. Las organizaciones deben sopesar estos costos contra el daño económico potencial causado por los ataques exitosos de las APTs.

Amenaza # 8: Pérdida de datos permanente
A medida que la nube madura, los informes de pérdida permanente de datos debido a un error del proveedor, se han vuelto extremadamente raros. Pero se sabe que los hackers maliciosos eliminan permanentemente los datos de la nube para dañar a las empresas, y los centros de datos en la nube son tan vulnerables a los desastres naturales como cualquier instalación.

Los proveedores de nube recomiendan distribuir los datos y las aplicaciones a través de múltiples zonas para una mayor protección. Las medidas adecuadas de respaldo de datos son esenciales, así como la adhesión a las mejores prácticas en la continuidad del negocio y la recuperación de desastres. La copia de seguridad diaria y el almacenamiento fuera de las instalaciones siguen siendo importantes en los entornos de nube.

El costo de prevenir la pérdida de datos no solo está en el proveedor de servicios en la nube. Si un cliente encripta los datos antes de subirlos a la nube, entonces, el cliente debe tener cuidado de proteger la clave de cifrado. Una vez que se pierde la clave, siguen los datos.

Las políticas de cumplimiento a menudo estipulan la forma en que las organizaciones deben conservar los registros de auditoría y otros documentos. La pérdida de estos datos puede tener consecuencias reglamentarias graves. Las nuevas normas de protección de datos de la UE también tratan a la destrucción de datos y la corrupción de los datos personales como violaciones de datos que requieren una notificación apropiada. Conozca las reglas para evitar meterse en problemas.

Amenaza # 9: Diligencia inadecuada
Las organizaciones que abrazan la nube sin entender completamente el entorno y sus riesgos asociados pueden encontrarse con una “gran cantidad de riesgos comerciales, financieros, técnicos, legales y de cumplimiento”, advierte la CSA. La debida diligencia se aplica si la organización está tratando de migrar a la nube o de fusionarse (o de trabajar) con otra empresa en la nube. Por ejemplo, las organizaciones que no escrutan un contrato no pueden ser conscientes de la responsabilidad del prestador en caso de pérdida de datos o incumplimiento.

Las cuestiones operativas y arquitectónicas surgen si el equipo de desarrollo de la compañía carece de familiaridad con las tecnologías de nube a medida que las aplicaciones se implementan en una nube particular. La CSA recuerda a las organizaciones que deben realizar la diligencia debida para entender los riesgos que asumen cuando se suscriben a cada servicio en la nube.

Amenaza # 10: Abusos de servicios en la nube
Los servicios en la nube pueden ser requisados para apoyar actividades nefastas, tales como el uso de los recursos informáticos en la nube para romper una clave de cifrado con el fin de lanzar un ataque. Otros ejemplos incluyen el lanzamiento de ataques DDoS, el envío de spam y phishing, y el alojamiento de contenido malicioso.

Los proveedores necesitan reconocer los tipos de abuso -como escrutar el tráfico para reconocer ataques DDoSy ofrecer herramientas para los clientes, con el fin de monitorear la salud de sus entornos de nube. Los clientes deben asegurarse de que los proveedores ofrezcan un mecanismo para reportar el abuso. Aunque los clientes pueden no ser presa directa de acciones maliciosas, el abuso de servicio en la nube todavía puede dar lugar a problemas de disponibilidad de servicios y pérdida de datos.

Amenaza # 11: Los ataques de denegación de servicio
Los ataques de denegación de servicio han existido por años, pero han ganado protagonismo de nuevo gracias a la computación en la nube, ya que a menudo afectan a la disponibilidad. Los sistemas pueden reducir su velocidad a paso de tortuga o, simplemente, colgarse. “Experimentar un ataque de denegación de servicio es como estar atrapado en el tráfico en hora punta; hay una manera de llegar a su destino y no hay nada que pueda hacer al respecto, salvo sentarse y esperar”, señala el informe.

Los ataques DoS consumen grandes cantidades de potencia de procesamiento, una cuenta que el cliente tendrá que pagar en última instancia. Si bien los ataques DDoS de gran volumen son muy comunes, las organizaciones deben ser conscientes de los ataques de denegación de servicio, a nivel de aplicación asimétrica, que tienen como objetivo las vulnerabilidades de los servidores web y de las bases de datos.

Los proveedores de nube tienden a estar en mejores condiciones para manejar los ataques de denegación de servicio que sus clientes, señala la CSA. La clave es tener un plan para mitigar el ataque antes de que ocurra, de tal manera que los administradores tienen acceso a estos recursos cuando los necesitan.

Amenaza # 12: Tecnología compartida, peligros compartidos
Las vulnerabilidades en el intercambio de tecnologías representan una amenaza significativa para la computación en la nube. Los proveedores de servicio en la nube comparten infraestructura, plataformas y aplicaciones, y si se presenta una vulnerabilidad en cualquiera de estas capas, afecta a todos. “Una sola vulnerabilidad o configuración incorrecta puede comprometer a toda una empresa a través de la nube”, señala el informe.

Si un componente integral es comprometido -por ejemplo, un hipervisor, un componente de la plataforma compartida, o una aplicación- todo el entorno se expone al potencial compromiso y violación. La CSA recomienda una estrategia de defensa en profundidad, incluyendo la autenticación de factores múltiples en todos los hosts, sistemas de detección de intrusos, aplicar el concepto del privilegio mínimo, segmentación de la red, y parchar los recursos compartidos.

Fuente:http://www.cwv.com.ve/

Noticias de seguridad informática

Información de 93 millones de mexicanos expuesta en la red

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/informacion-de-93-millones-de-mexicanos-expuesta-en-la-red/
TAGS: mexicanos

Un investigador en seguridad experto en filtraciones masivas de datos encontró una base de datos de más de 130 GB con información de más de 93.4 millones de votantes mexicanos(más del 70% de los habitantes de dicho país) alojada en un servidor de Amazon. Lo llamativo es que dicha información no se encontraba protegida y estaba disponible a través de una IP pública.

Chris Vickery, famoso por haber encontrado anteriormente otras filtraciones masivas, afirmó que dicha base de datos, perteneciente al Instituto Nacional Electoral de México, había sido trasladada a Estados Unidos al ser alojada en un servidor de Amazon. Entre la información contenida en la base de datos se encontraban nombres, domicilios, fechas de nacimientos y varios números de identificación.

©DataBreaches.net/imagen cortesía de Chris Vickery

De acuerdo a Vickery, era posible acceder a la base de datos sin la necesidad de contar con una contraseña o ningún tipo de autenticación ya que había sido subida y configurada para que fuera accesible públicamente. Luego de notificar la situación al Departamento de Estado de los Estados Unidos, la Embajada Mexicana en Washington, el Instituto Nacional Electoral de México y a Amazon, la base de datos finalmente fue puesta offline el 22 de abril pasado.

Por su parte, autoridades del Instituto Nacional Electoral aseguraron que la filtración no estuvo relacionada con un ataque a sus activos informáticos y que han identificado al responsable de la difusión de la base de datos, y aunque no han confirmado su identidad, afirmaron que se trató de una copia entregada por ley a los partidos políticos.

https://youtu.be/H0mlhrtb4W0

De acuerdo a Ciro Murayama, consejero del INE, el organismo entrega copias de las listas de electores a los partidos políticos, y que cada una de ellas contiene medidas de seguridad que permiten establecer a quién pertenece. A partir de este mecanismo es que el INE afirma conocer la identidad de la persona que ha subido la base de datos a los servidores de Amazon.

Fuente:http://www.welivesecurity.com/

Noticias de seguridad informática