Sunday, 31 July 2016

Android 7.0 Nougat contará con las últimas mejoras de seguridad del kernel de Linux

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/android-7-0-nougat-contara-con-las-ultimas-mejoras-de-seguridad-del-kernel-de-linux/
TAGS: Android 7.0 Nougat, kernel de Linux


Android es el sistema operativo móvil más extendido en todo el mundo, pero presenta de vez en cuando diversos problemas de seguridad por aplicaciones maliciosas que hacen usos ominosos de los permisos. A pesar de eso, al ser open-source, todo el mundo puede encontrar fallos y reportarlos a cambio de dinero, lo que lo hace más seguro.





Para ser más seguro, Google ha anunciado que la nueva versión de su sistema operativo móvil va a coger algunas funciones del kernel de Linux, tales como una mejor protección de la memoria y otros cambios que buscan reducir las áreas susceptibles de ser atacadas. Android, a pesar de ser un sistema operativo distinto de GNU Linux, utiliza también el kernel de Linux.



Mayor protección de la memoria


Esta función del kernel de Linux es tan importante, que también va a ser portada a versiones anteriores del sistema, llegando hasta Android 4.1. La mayoría de vulnerabilidades se explotan a través de poder ejecutarlas en la memoria del sistema operativo. Se añadirán, en concreto, dos nuevas opciones de configuración:CONFIG_DEBUG_RODATA y CONFIG_CPU_SW_DOMAIN_PAN.


android 7.0 kernel seguridad


La primera permitirá a los desarrolladores controlar qué segmentos de la memoria son modificables y ejecutables. Con esto, los desarrolladores pueden limitar la memoria a la que pueden acceder las aplicaciones, y reducir la memoria de la que disponen los posibles atacantes en el caso de que la aplicación sea maliciosa.


La segunda opción limita cuánto puede acceder el kernel al espacio de usuario. Los exploits normalmente toman primero el control de la memoria del espacio del usuario, y esperan a que interactúe con el kernel para acceder a ese espacio de memoria. Con esto, se limita la posibilidad de que código malicioso acabe llegando al kernel, lo cual supondría exponer el móvil al control total de un atacante.



Reducir áreas susceptibles de ser atacadas


Para conseguir esto, los desarrolladores de Google han hecho tres cosas.


Seguridad Android


Primero, han quitado el acceso por defecto al modo de depuración del kernel, que aunque sea una incomodidad para los desarrolladores, evita que los usuarios normales puedan estar expuestos a posibles ataques.


Segundo, han obligado a que se utilice el componente seccomp, con el objetivo de reducir posibles ataques directos al kernel. Esta función estaba disponible en versiones anteriores de Android, pero a partir de Android 7.0 Nougat será obligatorio para todos los dispositivos.


Tercero, han restringido el acceso a los comandos IOCTL, con el objetivo de reducir posibles ataques a los drivers.


Para disfrutar de todas estas novedades, tendremos que esperar hasta otoño, que es cuando Android 7.0 Nougat estará disponible, con estos y muchos más elementos de seguridad.


Fuente:http://www.adslzone.net/




Noticias de seguridad informática

Conoce WiFi-Pumpkin, un framework para montar Rogue AP y hacer auditorías de seguridad

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/conoce-wifi-pumpkin-un-framework-para-montar-rogue-ap-y-hacer-auditorias-de-seguridad/
TAGS: WiFi-Pumpkin

WiFi-Pumpkin es un framework muy completo para poder realizar auditorías de seguridad Wi-Fi. Cuando los clientes inalámbricos se conectan a un punto de acceso o a un router principal, debemos realizar un ARP poisoning para engañar a los clientes y hacerles creer que nosotros somos el router, y que por tanto, nos envíen toda la información primero a nosotros.


Gracias a este framework WiFi-Pumpkin podremos instalar fácilmente un Rogue AP, es decir, crearemos directamente un punto de acceso falso donde los clientes se conectarán a nosotros y hacer un ataque Man In The Middle para capturar todo el tráfico de red.



Principales características de WiFi-Pumpkin


La principal característica de WiFi-Pumpkin es la posibilidad de crear un AP falso, pero la lista de funcionalidades es bastante amplia ya que por ejemplo, también podremos mandar ataques de desautenticación a los clientes que están conectados a otros AP, para que sus dispositivos se conecten directamente a nosotros.


Otras características de este software es que nos permite poner una sonda a modo de monitor de todas las respuestas y peticiones de los clientes Wi-Fi. Otro ataque muy común es el denominado DHCP Starvation, consiste en llenar de solicitudes un determinado servidor DHCP para que posteriormente nosotros seamos quienes hagamos de servidor DHCP, de esta forma los clientes se conectarán directamente a nosotros. WiFi-Pumpkin también incorpora los ataques ARP Poisoning que es uno de los más típicos y DNS Spoof para redirigir a los usuarios que se conecten a nuestro servidor DNS y poder redirigirles a cualquier web.


Por último, este software también incorpora plantillas para realizar phishing, permite hacer un bypass parcial del protocolo HSTS, capturar los credenciales de usuario, y también ver todos los logs en un fichero HTML para facilitar su lectura.


wifi-pumpkin


Aunque este framework WiFi-Pumpkin funciona en cualquier sistema operativo basado en Linux, se ha probado de manera intensiva en sistemas operativos Ubuntu, Kali 2.0 y también en el popular WifiSlax 4.11.1, la popular distribución orientada específicamente a auditorías inalámbricas Wi-Fi.



Descarga e instalación de WiFi-Pumpkin`


Podéis descargar todo el código fuente desde el GitHub oficial del proyecto y copiarlo en vuestro sistema, o directamente clonar el proyecto y posteriormente instalarlo, el único requisito es tener instalado Python 2.7 en el sistema operativo.








1git clone https://github.com/P0cL4bs/WiFi-Pumpkin.git




2cd WiFi-Pumpkin




3chmod +x installer.sh




4./installer.sh --install



Este frawework también permite la instalación de plugins adicionales, de hecho, se puede utilizar net-creds, dns2proxy, sslstrip2 y sergio-proxy para aumentar el listado de funcionalidades.


Os recomendamos visitar el GitHub oficial del proyecto donde encontraréis toda la información necesaria para su puesta en marcha.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Saturday, 30 July 2016

Microsoft ofrece ChakraCore para Linux y OS X

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/microsoft-ofrece-chakracore-para-linux-y-os-x/
TAGS: JavaScript, Linux y OS X



ChakraCore, el motor JavaScript Chakra utilizado en el navegador Microsoft Edge para Windows 10 y en la plataforma de aplicaciones universales, ya está disponible para Linux y OS X después de abrirlo bajo código abierto a comienzos de año.


Lo acaba de anunciar Microsoft en el NodeSummit continuando el “idilio” con la comunidad de software libre impulsado desde la llegada de Nadella al frente del ejecutivo, y que nos ha dejado el Bash en Windows 10, el SQL Server para Linux o el soporte preferente de Ubuntu y Red Hat en Azure.


Como en los casos anteriores, incluyendo el despliegue de la suite Office y todo tipo de aplicaciones Microsoft a todo tipo de dispositivos móviles sean rivales como iOS o Android, Microsoft ‘no da puntada sin hilo’ y espera retroalimentación para mejorar sus propias aplicaciones, en especial Edge.


“Esto solo es el comienzo de nuestros esfuerzos de plataforma cruzada y seguir mejorando el soporte multiplataforma”, indica la compañía. 


chakracore-linux-osx


ChakraCore está disponible en Linux y OS X a través de una aplicación experimental. Ha sido probado sobre Ubuntu 16.04 LTS, pero el equipo de Microsoft Edge cree que el trabajo debe ser fácilmente traducido a otras distribuciones de Linux modernas. Microsoft promete que el rendimiento JavaScript será el mismo que el de Windows. 


La compañía agradece “la gran ayuda de la comunidad” desde que ChakraCore se liberó como código abierto y anima a los desarrolladores a probar el soporte experimental, crear aplicaciones o portar las existentes “a la plataforma de su elección”.




Fuente:http://www.muycomputer.com/




Noticias de seguridad informática

WHATSAPP NO ELIMINA LOS MENSAJES BORRADOS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/whatsapp-no-elimina-los-mensajes-borrados/
TAGS: SQL, WhatsApp

Si creías que cuando borramos las conversaciones en WhatsApp estas se eliminaban por completo… te damos la mala noticia de que no es así y que son recuperables, claro, con el conocimiento necesario, lo cual es una vulnerabilidad que puede ser aprovechada por los hackers.


Esta vulnerabilidad fue descubierta por  el investigador de iOS Jonathan Zdziarski, quién encontró que los archivos de las conversaciones permanecen y se almacenan  aún después de ser borrados. Esto lo encontró al revisar las imágenes de disco de la versión más reciente de la app.


Timo-Whatsapp-play-696x475



WhatsApp mantiene y almacena un trazo forense de los chats, creando un tesoro para cualquier persona con acceso físico al equipo, ya que se puede recuperar por medio de cualquier sistema de acceso remoto.


La información aún cuando aparece como borrada en la app, al no ser sobreescrita, es recuperable con herramientas forenses, debido a un problema con la librería  en el código de la app, la cual debería sobreescribirse de fábrica.


De esta forma la única información que está encriptada es la que se encuentra en el proceso de envío y recepción al viajar por la red, pero se mantiene en iCloud sin estar protegida, una vez que llega al equipo, sobre todo cuando se almacena en el disco duro, por lo que las autoridades pueden obtener datos de esta forma sin tener que recurrir a una orden judicial y lo que es peor, es que es recuperable al ser aparentemente borrada.  Ahora el gobierno de Brasil, de enterarse al igual que el de Estados Unidos (además de cualquier hacker), ya saben cómo acceder a la misma. Esperemos que pronto la empresa corrija este vulnerabilidad.


Fuente:http://www.poderpda.com/


Noticias de seguridad informática

Ubuntu 15.10 “Wily Werewolf” se queda sin soporte

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/ubuntu-15-10-wily-werewolf-se-queda-sin-soporte/
TAGS: “Yakkety Yak”, Linux, LTS en LTS

Ubuntu es la distribución Linux más utilizada tanto por usuarios domésticos como en servidores. Al igual que cualquier otro sistema operativo, este debe actualizarse de manera que podamos solucionar todos los problemas de seguridad y estabilidad que puedan detectarse durante su ciclo de vida. Sin embargo, según la versión del sistema operativo que utilicemos, es posible que dicho ciclo de soporte haya llegado a su fin, teniendo que actualizar a una versión moderna para evitar posibles problemas de seguridad.


Ubuntu se distribuye principalmente con dos ciclos de desarrollo diferentes: normal y de largo soporte, o LTS. Hace algunos años, el soporte de las versiones normales de este sistema operativo era de 18 meses, mientras que el soporte extendido era de 5 años, durante los cuales el sistema operativo recibiría actualizaciones, al menos, de seguridad. Sin embargo, aunque el soporte LTS se ha mantenido en los 5 años, hace 3 años el soporte de las versiones normales se ha visto limitado a 9 meses, siendo una verdadera molestia para los usuarios.


Si, por ejemplo, un usuario actualizaba de año en año a las versiones x.04, con el soporte estándar normal ahora no va a ser posible, ya que tendríamos que estar 3 meses sin soporte del sistema operativo. De esta manera, las únicas opciones que tenemos son o bien instalar todas las versiones del sistema operativo cada 6 meses o instalar una LTS e ir saltando de LTS en LTS.


No todos los usuarios de este sistema operativo pueden permitirse actualizar cada 9 meses su sistema operativo, especialmente si tenemos en cuenta la gran cantidad de problemas que aparecen al utilizar la herramienta de actualización por defecto, siendo más que recomendable realizar un formateo para asegurarnos de que todo funciona como es debido y no hay problemas ni de dependencias ni de configuraciones. Por ello, si algún usuario aún utiliza Wily Werewolf debería buscar un hueco para actualizar su sistema, ya que se ha quedado sin soporte.


Ubuntu 16.04 LTS



Se acabó el soporte de Ubuntu 15.10. Solo tienen soporte las versiones LTS


Esta semana pasada cumplía el ciclo de soporte de Ubuntu 15.10 “Wily Werewolf”, penúltima versión liberada por Canonical. Por ello, todos los usuarios que aún utilizaran dicha versión (conocida por ser la primera en adoptar systemd) deben actualizar lo antes posible a la versión más reciente del sistema operativo, 16.04.1, o volver atrás a la anterior 14.04, ya que ambas versiones fueron lanzadas con un soporte extendido y aún tienen soporte hasta abril de 2021 y 2019 respectivamente.



Ubuntu 12.04 aún tiene 9 meses de soporte por delante


La otra versión que aún cuenta con soporte es 12.04, versión liberada en 2012 y que aún se mantendrá hasta abril de 2017. Aunque es raro ver a algún usuario doméstico que aún utilice esta versión, muchos servidores montados entre 2012 y 2014 sí que utilizan esta versión, por lo que, a menos de 9 meses de soporte, es recomendable ir pensando en actualizar, a ser posible a la última 16.04, para poder seguir utilizando el servidor de forma segura.


La próxima versión de este sistema operativo será Ubuntu 16.10, conocida como “Yakkety Yak”, y tiene previsto su lanzamiento el próximo 20 de octubre, aunque no se conoce prácticamente ninguna novedad que incluirá, ya que la actual 16.04 ha sido una versión plagada de mejoras y novedades como los paquetes Snap.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Friday, 29 July 2016

HEIST, una técnica para robar información HTTPS a través del protocolo TCP

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/heist-una-tecnica-para-robar-informacion-https-traves-del-protocolo-tcp/
TAGS: HEIST, protocolo TCP

Una de las recomendaciones básicas a la hora de conectarnos a Internet a través de redes abiertas o inseguras es intentar navegar siempre a través del protocolo HTTPS de manera que todo el tráfico viaje cifrado y usuarios no autorizados no puedan hacerse con la información de dichos paquetes. Sin embargo, un grupo de hackers han descubierto una nueva técnica de ataque, llamada HEIST, que puede acabar con toda la seguridad y privacidad característica de este protocolo.n los últimos años se han dado a conocer una serie de ataques contra los protocolos seguros SSL/TLS que podían comprometer las conexiones seguras de los usuarios. Sin embargo, para poder llevar a cabo estos ataques y sacar provecho de ellos era necesario que el atacante tuviera conocimientos avanzados de redes y fuera capaz de observar y manipular el tráfico. Esto hizo que, aunque los protocolos eran vulnerables, debido a su complicidad fuera prácticamente imposible aprovecharse de dichas vulnerabilidades.


HEIST es una nueva forma de ataque contra los protocolos seguros que se aprovecha de ciertos protocolos de red sin necesidad de rastrear el tráfico en tiempo real. HEIST aprovecha una serie de vulnerabilidades en los navegadores web, el protocolo HTTP subyacente, el protocolo SSL/TLS y las capas TCP. Además, debido a la naturaleza de este ataque, es posible ejecutarlo 100% en el navegador, sin necesidad de acceso a la red.


Los hackers demostrarán cómo HEIST puede ser utilizado para para exponer los datos sensibles de cualquier usuario que se intente conectar a cualquier servidor, aunque este utilice el nuevo protocolo HTTP/2, siendo en este protocolo incluso más peligroso y agresivo.


Resumiendo, HEIST es un conjunto de nuevas técnicas de ataque de redes a través del navegador que representa una amenaza inminente para nuestra seguridad y privacidad online y de la cual podremos conocer más detalles a partir del próximo miércoles en la Black Hat 2016.


HTTPS-Not-Secure



Los investigadores de seguridad demostrarán cómo comprometer la información de las conexiones HTTPS con HEIST en el próximo Black Hat USA 2016


Por el momento no se ha demostrado nada sobre esta nueva técnica de ataque basada puramente en el navegador, ya que los hackers que la han descubierto se la guardan para su conferencia en la Black Hat 2016 que dará comienzo mañana.


En una conferencia de 50 minutos, programada para el próximo 3 de agosto, estos hackers quieren demostrar cómo se puede hackear el tráfico HTTPS a través del protocolo TCP en Windows, pudiendo acceder así a la información que, en teoría, viaja de forma segura.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Una hacker descubre que cientos de páginas de la Dark Web no son del todo anónimas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/una-hacker-descubre-que-cientos-de-paginas-de-la-dark-web-no-son-del-todo-anonimas/
TAGS: Dark Web, TOR



La Dark Web es un conjunto de webs a las que hace falta acceder con un software específico con determinados permisos y de manera anónima. En este tipo de webs, debido a que se opera de forma anónima, es donde determinados usuarios se ven involucrados en ciertas actividades ilegales, como tráfico de armas, pornografía ilegal, blanqueo de dinero, falsificaciones, o venta de drogas.




Debido a estas actividades ilícitas, la Dark Web está siempre en el ojo de autoridades como el FBI, estableciendo posibles cebos para que los usuarios que cometen estas actividades piquen, o buscando vulnerabilidades que expongan a los verdaderos usuarios que hay detrás de las identidades anónimas.

OnionScan


El pasado mes de abril, una investigadora lanzó una herramienta llamada OnionScan, que tenía como fin analizar si una página de la Dark Web era realmente anónima o tenía alguna vulnerabilidad. Otra investigadora llamada Justin Seitz ha hecho una herramienta utilizando Python que permite automatizar el proceso de OnionScan (escrito en Go), pero para analizar webs en masa.

darkriversystem105

OnionScan lo que hace es buscar información sensible relacionada con webs ocultas bajo Tor, caracterizadas porque su dirección acaba en “.onion”. Por ejemplo, esta herramienta puede buscar los metadatos que contiene una imagen para ver si incluye información sobre el usuario (nombre en el PC o coordenadas GPS), o conocer el estado del servidor de una página, lo cual puede dar lugar a que acabe conociendo la IP real de la página, o poder conocer qué otras webs están gestionadas por una misma persona. De hecho, puede encontrar claves de cifrado que estén compartidas por varios sitios web, lo cual indicaría una fuerte correlación entre varios sitios web, indicando que tienen el mismo dueño.

Más de 8.000 páginas analizadas


Para comprobar su nueva herramienta, esta investigadora ha analizado 8.000 webs de la Dark Web. Esto no ha gustado mucho a la creadora original de OnionScan, Sarah Jamie Lewis, ya que gracias a toda esta información se podría desanonimizar más de una web por las razones expuestas anteriormente, en el caso de que estos datos fueran publicados para los usuarios.

anonimo-dark-web-tor

Lewis afirma que cuando utiliza OnionScan para analizar una web, elimina los datos para dar una oportunidad para que la web que tiene una vulnerabilidad pueda arreglarla, y que el dueño evite poder ser descubierto. Analizar una web durante mucho tiempo puede dar lugar a obtener patrones de conducta, que unida a otra información, podrían permitir desanonimizar a una persona.

De las 8.167 páginas analizadas, 309 presentaban algún tipo de vulnerabilidad en cuanto a su identidad, aunque eso no supone que todas ellas permitieran identificar a sus dueños.

Si queréis más información, os dejamos el blog de Seitz, que además enlaza a los datos resumidos de su análisis, que ha subido a GitHub.

Fuente:adslzone.net


Noticias de seguridad informática

Una vulnerabilidad en Google Chrome y Firefox puede bloquear el sistema

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/una-vulnerabilidad-en-google-chrome-y-firefox-puede-bloquear-el-sistema/
TAGS: Nightwatch Cybersecurity, protocolo HTTPS

La mayoría de los navegadores web, tanto de escritorio como móviles, ofrecen a los usuarios diferentes herramientas que les haga más cómodo su uso, por ejemplo, mostrando una serie de sugerencias de búsqueda relacionadas con lo que se escribe en la barra de direcciones. Los navegadores son capaces de generar estas sugerencias enviando previamente los datos a los diferentes motores de búsqueda, sin embargo, en algunos casos, esta aparentemente inofensiva utilidad puede estar poniendo en peligro la estabilidad de nuestro sistema ocultando una vulnerabilidad.


Dos investigadores de seguridad de la empresa Nightwatch Cybersecurity han detectado una vulnerabilidad en las versiones más recientes de los dos navegadores web más utilizados: Google Chrome y Mozilla Firefox, tanto en sus versiones de escritorio como en smartphones y tablets, que pueden llegar a desde bloquear el navegador hasta llegar a congelar el sistema operativo por completo.


Esta vulnerabilidad se encuentra en el código del motor de sugerencias de ambos navegadores, una función que permite al usuario recibir sugerencias de búsqueda a medida que va a escribiendo en la barra de direcciones con el fin de intentar adivinar en qué está interesado y ahorrar el tiempo de escribir la consulta completa.


Los responsables de Shopify se niegan a solucionar una vulnerabilidad RFD



La vulnerabilidad se debe a que algunas búsquedas a partir de las sugerencias no se realizan a través del protocolo HTTPS


Según estos expertos de seguridad, cuando un usuario envía una búsqueda a través de la barra de direcciones, hay algunos motores de búsqueda que no fuerzan a que el tráfico viaje seguro a través del protocolo HTTPS, sino que lo hace a través del protocolo HTTP normal, lo que puede permitir a un atacante interceptar el paquete en un punto medio de la conexión entre el usuario y el motor de búsqueda y responder a él antes que el buscador.


Una vez que un atacante intercepta este paquete, puede contestar a él antes que el motor de búsqueda y enviar de vuelta al usuario una gran cantidad de datos de manera que el navegador, o incluso el sistema operativo, se excedan en consumo de recursos hasta lograr su completo bloqueo.


La relación entre los navegadores y los motores de búsqueda que no utilizan el cifrado HTTPS es:



  • Firefox – Ebay

  • Google Chrome – AOL y Ask.com

  • Navegador base de Android – Bing y Yahoo!

Durante las pruebas, los investigadores han conseguido explotar esta vulnerabilidad en el navegador web por defecto de Android 4.4, en Chrome 51 en Android 6.0.1 y en Firefox en Ubuntu 16.04, consiguiendo incluso colgar todo el sistema operativo en este último caso. Por suerte, aunque lo han intentado, los investigadores de seguridad no han sido capaces de aprovechar esta vulnerabilidad para ejecutar código malicioso en los navegadores web afectados, por lo que lo único con lo que podríamos encontrarnos es con un bloqueo, nada que no se solucione con un reinicio.



Cómo protegernos de esta vulnerabilidad


Google y Mozilla no han considerado esto como un fallo de seguridad, por lo que, aunque lo van a solucionar, no tienen prisa en hacerlo, y se calcula que el correspondiente parche llegará a lo largo de este año. Mientras los desarrolladores solucionan el fallo y lo liberan a los usuarios, lo mejor que podemos hacer es desactivar en nuestro navegador todos los motores de búsqueda, incluso si no los utilizamos (para evitar que establezcan conexiones en segundo plano) y dejar solo uno que sepamos que funciona de forma segura, por ejemplo, Google.


Internet Explorer, Microsoft Edge y Safari no son vulnerables a este fallo, aunque debemos tener en cuenta que este último solucionó un fallo muy similar hace menos de un año, por lo que tampoco es un navegador tan seguro como muchos piensan.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Thursday, 28 July 2016

¿Los negocios en línea están haciendo lo suficiente para protección de datos personales?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/los-negocios-en-linea-estan-haciendo-lo-suficiente-para-proteccion-de-datos-personales/
TAGS: curso de protección de datos personales, protección de datos personales, servicios de protección de datos
A medida que nos movemos a través de la era digital, las personas se han acostumbrado más a la idea de que la información vital acerca de sus vidas se almacena en línea por varias agencias gubernamentales y las empresas que hacen negocios con la información. Todo esto requiere que la gente tiene fe en la seguridad de estos sistemas para protección de datos personales. Una serie de violaciones de seguridad de alto perfil en 2016 tiene los consumidores en alerta y los dueños de negocios deberían estar así también.

Los servicios de protección de datos no sólo son importantes para los clientes existentes. La fuerza de seguridad de un sitio puede afectar si un cliente decide utilizar un sitio en primer lugar o no. Con esto en mente, los dueños de negocios necesitan ser preguntados si su negocio está haciendo lo suficiente para protección de datos personales.

La protección de datos personales es importante para los dueños de negocios por múltiples razones. A medida que los consumidores se preocupan más por las violaciones de seguridad de las empresas, se vuelven más cautelosos sobre el uso de los sitios que no cumplen con sus medidas de seguridad acuerdo una encueta de instituto internacional de seguridad cibernética sobre protección de datos personales.

Las violaciones de datos también son costosas cuando se ocurren. Un sistema que ha sido hackeado tendrá que ser reparado; la empresa se enfrentará a las pérdidas de transacciones que no se pueden invertir; y la mala publicidad puede hacer a la marca menos confiable para los consumidores, lo que resulta en menores ventas.

Es probable que vaya a costar dinero para servicios de protección de datos para el sitio de una marca grande, pero es mucho menos costoso que tener que ocuparse del coste de una violación de protección de datos personales.

No cometa el error de pensar que una pequeña empresa es demasiado pequeña para ser el blanco de los hackers. Los dueños de negocios tienen que tener en cuenta que los cibercriminales están a la caza de los sitios de venta con los protocolos de seguridad laxos.

Cosas que los propietarios de negocios pueden hacer para protección de datos personales

 

Actualización de sitio de las compras a HTTPS


Lo primero que deben hacer los propietarios de negocios es actualizar su sitio. Los dueños de negocios necesitan tener su sitio de ventas conmutado a un servidor HTTPS. Tener un servidor HTTPS puede hacer que los consumidores se sientan más a gusto acerca de protección de datos personales durante las compras en un sitio.

 

Mantener a los empleados informados sobre los protocolos y servicios de protección de datos para el sitio


Para asegurarse de que los empleados no sean el eslabón más débil en la cadena de seguridad, los dueños de negocios necesitan tener reglas para asegurar un sitio, y para protección de datos personales. En un reciente informe señalando los efectos posteriores de la reciente violación de Sony, se observó que el 46 por ciento de las violaciones de protección de datos personales de las empresas minoristas son causados por incidentes internos, mientras que el 33 por ciento provienen de ataques externos. La empresa debe tener reglas sobre que empleados tienen acceso a los datos personales de los clientes y deben existir normas sobre la creación de contraseñas apropiadas para acceder al sistema. Esto es más importante de lo que se cree. Según expertos de servicios de protección de datos de International Institute of Cyber Security iicybersecurity, la contraseña más común en 2014 y 2015 fue "123456". Asegúrese de que sus empleados están utilizando algo un poco más seguro.

 

Tener una política para las brechas de protección de datos personales


La triste verdad del asunto es que los dueños de negocios deben prepararse para lo peor cuando se trata de protección de datos personales. De acuerdo con una investigación de servicios de protección de datos, que tres de cada cinco (60 por ciento) empresas mexicanas se descubre una violación de los datos sensibles en 2016. Algunas de estas serán grandes violaciones, pero muchas de ellas serán más pequeñas. El manejo de estos incidentes más pequeños correctamente puede limitar las consecuencias de una violación. Ser capaz de corregir rápidamente el problema, avisar a los clientes y ofrecer asistencia cuando sea posible, ayudará a la marca a mitigar los daños causados por las violaciones de protección de datos personales.

 

Estar preparado para manejar los ataques de DDOS


Aunque esto no se refiere específicamente a los datos del usuario, es importante para las empresas estar preparadas para manejar un ataque distribuido de denegación de servicio, desde que estos más propensos a ocurrir. De acuerdo con un informe sobre servicios de protección de datos, ataques de denegación de servicio representaron el 33 por ciento las violaciones de protección de datos personales de Américas en 2015, comparado con el 31 por ciento por brechas de puntos de ventas. Y en algunos casos, los ataques DDOS se han utilizado para ocultar otras violaciones. No hay mucho que el negocio pueda hacer para prevenir los ataques DDOS suceda, pero usando un web host será lo suficientemente resistente para resistir algunos ataques, y tendrá la habilidad suficiente para saber cómo mitigarlos, una empresa puede prevenir largos períodos de descanso que perjudican la confianza del consumidor en la seguridad de un sitio.

 

La protección de datos personales es esencial para los minoristas en línea. No sólo son los datos de las violaciones costosos de arreglar, porque las violaciones pueden empañar la imagen de una marca y dañan a las ventas en línea futuras. De hecho, la investigación de servicios de protección de datos muestra que tener un sitio inseguro podría mantener alejados a los compradores de usar el sitio en el primer lugar. Los dueños de negocios deben utilizar las sugerencias anteriores para crear una experiencia más segura para sus clientes y para reducir el riesgo de que su imagen pueda ser dañada por la fuga de datos personales.

 

 
Noticias de seguridad informática

Sí, es posible ser hackeado por una extensión de Chrome

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/si-es-posible-ser-hackeado-por-una-extension-de-chrome/
TAGS: extensión de Chrome, JavaScript

Normalmente siempre tendremos a pensar que el malware suele llegar por métodos clásicos, como la descarga de aplicaciones o los pops-ups maliciosos. Sin embargo, también es posible ser infectado a través de una extensión de Chrome, esos pequeños programas que parecen inofensivos pero que pueden ser la tapadera perfecta para que hackeen nuestro ordenador. Por ese motivo, hay que andar con verdadero ojo ante todo lo que instalamos en el PC, aunque sea en el navegador.


Normalmente este tipo de malware, que llega a través de una extensión, no es tenido muy en cuenta por los distintos antivirus que hay en el mercado. Sin embargo, esto no implica que no se pueda ser peligroso. Al contrario, lo puede ser mucho más.


Ha sido un estudiante de 19 años que vive en Suiza quien a través de su blog ha explicado cómo un amigo suyo fue contagiado por una extensión de Chrome. Obviamente no descubre el fuego, pero sí que abre un debate en relación a este tipo de programas capaces de modificar el ordenador sin que nos demos cuenta.


Código de extensión en Chrome



Así trabaja una extensión maliciosa


Este estudiante descubrió un día que un amigo suyo publicaba cosas extrañas en su Facebook, normalmente artículos basura, y que estos tenían muchos ‘Me gusta’ pero ningún comentario. Al investigar descubrió que, si pinchabas en la página, esta preguntaba si eras mayor de edad pero para comprobarlo hacia descargar una extensión de Chrome. Y aquí fue donde empezó todo.


Obviamente la extensión para comprobar si el usuario es mayor de edad era una tapadera para introducir código malicioso en el navegador que permitía entre otras cosas, ‘Leer y modificar los datos de los sitios webs que visita’. Esta información la consiguió simplemente leyendo el código fuente de la extensión, algo recomendable antes de instalarla si no confiamos mucho en ella.


Como es natural, si entiendes JavaScript es más factible sacar información al respecto, aunque muchas veces no es necesario ya que algunos comandos pueden resultar realmente sospechosos. De todas formas, en estos casos también es responsabilidad de Google, ya que aunque sea un trabajo muy complicado es necesario que se esfuerce más en reforzar la seguridad de su tienda de extensiones, tal y como está haciendo en Google Play. Los usuarios lo agradecerán.


Fuente:http://www.softzone.es/


Noticias de seguridad informática

Google está mejorando la seguridad de Android con las defensas del kernel Linux

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/google-esta-mejorando-la-seguridad-de-android-con-las-defensas-del-kernel-linux/
TAGS: kernel Linux, seguridad de Android

Android es el sistema operativo móvil más utilizado en todo el mundo y, por ello, también es uno de los más atacados. Este sistema operativo es mucho más abierto que el sistema operativo de Apple, iOS, por lo que dicha libertad también lo expone hacia todo tipo de amenazas, muchas de ellas generadas por el usuario (por ejemplo, al instalar aplicaciones maliciosas) y otras ocultas en el propio sistema operativo (por ejemplo, las que se utilizan para hacer root). Google, preocupado por la seguridad de su sistema operativo, está llevando a cabo una serie de mejoras con las que reforzar todos estos frentes.


Según el blog oficial de seguridad de Google, la compañía lleva un tiempo trabajando en una serie de medidas de seguridad, todas ellas importadas del Kernel Linux, con las que proteger a los usuarios principalmente de dos tipos de ataques: ataques de memoria y ataques de superficie.



Mejorando la protección de la memoria


Una de las principales medidas de seguridad del núcleo del sistema operativo es la forma en la que se separan los procesos del sistema de los del usuario. De esta manera, el núcleo del sistema operativo queda protegido a pesar de las vulnerabilidades que podamos encontrar.


Aunque hasta hace poco la memoria del sistema está marcada con permisos de lectura y escritura, Google ha cambiado esto y, desde ahora, la memoria del sistema es de solo lectura. De esta manera, ningún proceso, ni del sistema ni del usuario, podrá alterar ninguna instrucción del núcleo del sistema operativo. Además, la compañía ha trabajado en aislar los procesos del kernel de manera que ningún proceso de usuario pueda comunicarse con ellos. Con esto se busca que los ataques sean aún más complicados, ya que los atacantes tienen mucho menos control sobre la memoria de núcleo que aún tiene permisos de ejecución. Estas dos medidas de seguridad fueron añadidas al kernel de Android en las versiones 3.18 y 4.1 respectivamente.


Además, Google está trabajando en una nueva capa de seguridad que protegerá el sistema de los desbordamientos de búfer, que ya ha empezado a incluirse en la versión 4.9 del compilador gcc.


Cifrado-en-Android



Mejorando la seguridad del entorno de usuario de Android


El entorno de usuario de Android puede exponer de diferentes maneras la seguridad del kernel del sistema sin necesidad de aprovecharnos de ninguna vulnerabilidad. Para acabar con esto, Google está restringiendo el acceso a ciertas funciones de desarrollo de Android, como Perf, que son totalmente innecesarias para los usuarios convencionales.


Además, el sistema operativo ha bloqueado por defecto el acceso de las aplicaciones a los comandos IOCTL, permitiendo así una protección mucho más eficaz de los sistemas SELinux. También se han implementado mecanismos con los que mejorar la seguridad de las sandbox donde se ejecutan las aplicaciones, evitando así que ciertos recursos puedan salir de ellas.



Otras mejoras de seguridad para Android en las que trabaja Google


Además de las anteriores medidas de seguridad, los ingenieros de la compañía siguen trabajando en añadir al kernel de su sistema operativo otra serie de medidas de seguridad nativas del kernel Linux como:



  • Medidas de auto-protección.

  • Una seguridad mucho más agresiva en las sandbox con SELinux.

  • Minijail, un nuevo concepto de seguridad donde varios componentes del sistema quedan aislados (similar a iOS).

  • Mejorar el código para complicar aún más conseguir permisos de root, una de las principales puertas a vulnerabilidades.

Por el momento no se conoce la versión exacta del kernel en las que se implementarán estas mejoras de seguridad, aunque lo que sí se sabe es que, poco a poco, Android va siendo un sistema operativo más seguro a pesar de la libertad que mantiene a sus usuarios.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Estas son dos de las principales amenazas para las startups

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/estas-son-dos-de-las-principales-amenazas-para-las-startups/
TAGS: Amenazas de Internet, Owasp

Este es el segundo artículo de una serie dirigida a la gestión de Seguridad de la Información para startups. En la primera publicación, vimos que una mala gestión puede ocasionar diversos riesgos al negocio y las consecuencias pueden ser graves, llegando incuso a impedir su continuidad.


LA SEGURIDAD DEBE ESTAR PRESENTE DESDE EL PRINCIPIO, AL DISEÑAR LOS PROYECTOS


Ya sea que se trate de un sitio web completo o solo del backend, las startups dependen especialmente de soluciones en línea, tanto para sostener sus negocios como para cumplir sus requisitos de escalabilidad.


Sin embargo, existen diversas amenazas relacionadas con este enfoque, que pueden provocar el lucro cesante de la empresa,daños en su reputación y otros inconvenientes.


El objetivo de este artículo es mostrar cómo los ciberdelincuentes explotan todas las vulnerabilidades, desde explotaciones directas (por ejemplo: inyección SQL) hasta formas organizadas (por ejemplo: exploit kit), también en las startups.



Amenazas de Internet


No se puede escribir sobre la seguridad de las aplicaciones web sin citar a la lista OWASP Top 10, que incluye las 10 principales fallas de seguridad web. También describe cómo evitar y corregir las fallas, además de poner a disposición algunas herramientas open source para permitir el análisis.


De esta forma, la OWASP Top 10 se destaca como una importante fuente de información de seguridad y como una guía para probar aplicaciones web.


La lista es divulgada por OWASP Foundation luego de una recopilación de estadísticas de vulnerabilidades web de la industria. La última publicación tuvo lugar en 2013 y ahora se estáplanificando una nueva entre 2016 y 2017.



OWASP Top 10


Las 10 principales fallas de seguridad, de acuerdo con el informe de OWASP Top 10 de 2013, se presentan en el siguiente gráfico:



owasp top 10

Imagen: OWASP




En base a este informe, vamos a comentar sobre dos amenazas que debe enfrentar una aplicación cuando se la expone en Internet: la inyección SQL y los exploit kits.



SQL Injection: robo de datos, acceso no autorizado y comando remoto


En la parte superior de la lista se encuentra la inyección de código malicioso en sitios web, responsable de buena parte de los incidentes relacionados con el robo de datos. Sin embargo, también se puede explotar esta falla para obtener acceso privilegiado a sistemas o incluso ejecutar comandos remotos en el servidor de base de datos.


A pesar de que existen otras formas de inyección, la más común y notoria es SQL Injection (SQLi), utilizada para inyectar comandos SQL en variables de URL que se procesarán, para ejecutar ese comando en la base de datos de la aplicación. De este modo, si se realiza con éxito, el adversario obtiene la capacidad de ejecutar remotamente comandos en la base de datos.


Dependiendo de cómo se encuentre la configuración de esta base de datos, es posible que el usuario, que ahora puede ser controlado por el atacante, tenga permisos suficientes en las tablas y en las bases de datos para realizar comandos como DUMP y DROP.


No prestar atención a este tipo de ataque puede causar riesgos de exposición de datos (por ejemplo: DUMP) o downtimes (por ejemplo: DROP), que pueden ser muy perjudiciales para las operaciones e imagen de la startup en el mercado.


A pesar de contar con casi dos décadas de existencia, SQLi es una forma de ataque que continúa siendo bastante predominante hoy en día. De acuerdo con el informe IBM X-Force Threat Intelligence de 2016, SQLi es responsable del 4,1% de todos los ciberataques.


Este ataque es tan común que, irónicamente, hasta MySQL.com ya fue su víctima. De la misma manera, otras muchas ya tienen un lugar ganado en el SQLi Hall-of-Shame.



Exploit kits: una industria del delito informático


Una amenaza muy común, sobre todo en Brasil, es el uso de exploit kits por parte de los ciberdelincuentes para ejecutar exploits en la computadora del usuario, con el objeto de cumplir algún fin malicioso (hablaremos mejor sobre estos fines maliciosos en el próximo artículo de la serie). Ni bien el usuario accede al sitio malicioso, el navegador realiza la descarga de un malware en su equipo y lo ejecuta de forma silenciosa. Es lo que usualmente se llama drive-by download.


Para atraer víctimas a sus sitios maliciosos, los ciberdelincuentes explotan con frecuencia vulnerabilidades en sitios legítimos con el fin de inyectar pequeñas páginas o scripts que redirigen el navegador de la víctima hacia el sitio malicioso, usurpando de esta manera la reputación del sitio legítimo para propagar ataques.


A veces, simplemente realizan la carga del malware en el sitio legítimo y luego realizan campañas de phishing, con enlaces que redirigen las víctimas hacia la URL recién creada en el sitio legítimo.


En ambos casos, estos delincuentes explotan fallas de seguridad para incluir contenidos maliciosos en el sitio legítimo, ya sea accediendo a páginas administrativas expuestas en Internet [A2, en el esquema anterior], por el uso inseguro de FTP para la administración de contenido del sitio [A5], por la explotación de vulnerabilidades de la infraestructura o aplicación [A9] o por otras fallas enumeradas en OWASP Top 10.


Las consecuencias negativas que puede tener una startup cuando se inyectan códigos maliciosos en su sitio comienzan cuando su dominio se agrega en listas negras de sitios maliciosos. A partir de ese momento, los visitantes que hacen uso de soluciones de seguridad basadas en esas listas negras comenzarán a encontrar mensajes de aviso sobre contenido malicioso en el sitio web y, según cómo esté configurado el filtro de contenido, no podrán acceder al mismo.


De esta forma, no solo se ve afectada la credibilidad de la marca, sino que también es posible que haya un impacto financiero directo, tanto en los negocios como en el e-commerce. Dado el impacto potencial de esta amenaza, el propio Chrome posee de forma predeterminada este tipo de protección, que se aplica al 48,64% del market share de los navegadores.



aviso chrome contenido malicioso

Mensaje de aviso de Chrome para sitios con contenido malicioso




¿Cómo combatir las amenazas? Seguridad por diseño y buenas práticas


Uno de los principales requisitos para que una startup tenga éxito es la escalabilidad. Por lo tanto, la seguridad debe estar presente desde el principio.


La seguridad por diseño (o seguridad por proyecto) tiene como objeto construir aplicaciones que sean inherentemente seguras a partir de un enfoque bottom-up. De este modo, al incluir nuevas funcionalidades en la aplicación, se heredan diversas propiedades de seguridad de los módulos e infraestructura que brindan soporte a esa nueva funcionalidad.



seguridad por diseño

Seguridad por diseño: capas de seguridad de la arquitectura




Los principios de arquitectura de software, tales como modularidad, separación de conceptos (segregation of concerns) y concepto de crosscutting (crossecutting concern), deben tenerse en cuenta al momento de diseñar la solución de seguridad de la aplicación. Con este enfoque, la aplicación tendrá una línea base de seguridad bien definida, además de mayor escalabilidad, agilidad y facilidad de mantenimiento.


No obstante, la seguridad por diseño por sí sola no es suficiente para garantizar la inviabilidad de la aplicación. Es necesario conocer las principales amenazas de la Web (por ejemplo: OWASP Top 10) y adoptar buenas prácticas de seguridad durante la implementación de la aplicación, probando su seguridad a través de la visión de un atacante al final de cada ciclo de desarrollo.


Fuente:http://www.welivesecurity.com/



Noticias de seguridad informática

Android Malware roba nuestras fotos y datos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/android-malware-roba-nuestras-fotos-y-datos/
TAGS: android, Play Store

Google acaba de borrar una aplicación de Play Store después de que los investigadores de seguridad de Symantec se dieran cuenta de que la aplicación escaneaba de forma secreta el dispositivo del usuario.


Detectada una aplicación de Android que roba las fotos y vídeos de los usuarios. Google acaba de borrar una aplicación de Android de su Play Store después de que los investigadores de seguridad de Symantec se dieran cuenta de que la aplicación escaneaba de forma secreta el dispositivo del usuario y después le borraba las fotos personales y los vídeos directamente de sus Smartphones. El nombre de la aplicación es HTML Source Code Viewer, y ha sido desarrollada por Sunuba Gaming. En el momento en el que Google la borró, la aplicación ya tenía entre 1.000 y 5.000 descargas. El objetivo de esta aplicación es bastante sencillo: los usuarios que la instalaban adquirían la capacidad de ver el código fuente de las páginas web. Los usuarios sólo tenían que introducir una URL, y la aplicación les mostraba el código fuente de esa página web en la pantalla.




android malware



Google ha borrado de forma inmediata la aplicación de su Play Store


El problema fue cuando, según los chicos deSymantec, la aplicación hacía algo más que cumplir esa función. Ellos afirman que HTML Source Code Viewer contenía código que
escaneaba la dirección de las carpetas “/DCIM/Camera” y “/DCIM/100LGDSC” dentro de los dispositivos, que es la localización estándar en la que se guardan todas nuestras fotos y vídeos. La aplicación entonces decidía coger todos los datos que encontraba y subirlos a un servidor online situado en Azerbaijan, en proqnoz.info.


Las últimas actualizaciones de la aplicación datan de enero de 2015. Symantec dice que ha conseguido acceder a la carpeta del servidor donde se habían subido todos los datos, y que ha encontrado imágenes y vídeos fechados en marzo de 2015.


Fuente:https://portalhoy.com/


Noticias de seguridad informática

Dos vulnerabilidades en LastPass comprometen todas las contraseñas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/dos-vulnerabilidades-en-lastpass-comprometen-todas-las-contrasenas/
TAGS: LastPass
Una de las medidas de seguridad básicas hoy en día para proteger nuestras cuentas de usuarios no autorizados y piratas informáticos es utilizar una contraseña segura de manera que, siempre y cuando el servidor la almacene segura, esta no pueda ser adivinada ni descifrada en un robo de las bases de datos. Por desgracia, para muchos es complicado recordar contraseñas largas que mezclan letras, números y caracteres especiales, por lo que para facilitarnos esta tarea podemos utilizar herramientas especiales como LastPass.

LastPass es una de las plataformas de pago más utilizadas para administrar nuestras contraseñas y mantenerlas sincronizadas entre todos los dispositivos que queramos de manera que recordando tan solo la clave maestra de la aplicación podamos tener a nuestra disposición todas nuestras contraseñas estemos donde estemos.

Sin embargo, todo lo que está conectado a Internet está expuesto ante posibles ataques informáticos, y LastPass no iba a ser menos. Recientemente, dos investigadores de seguridad han detectado dos vulnerabilidades graves que han expuesto las contraseñas de los usuarios de este administrador.

Las dos vulnerabilidades de LastPass requerían ingeniería social o phishing


La primera de las vulnerabilidades se basaba en que, mediante una URL específica, un atacante puede engañar tanto a un usuario como a LastPass para hacerle pensar que se encuentra en una web concreta cuando, en realidad, está en otra controlada por él. Gracias a la función de auto-rellenado de usuarios y contraseñas, este administrador de contraseña rellenará los credenciales y, al enviarlos para iniciar sesión, estos pasarán a las manos del atacante.

lastpass

La segunda de las vulnerabilidades funciona de forma similar. En este caso, esta fue detectada por Project Zero, los investigadores de seguridad de Google y, para explotarla, un atacante debía engañar a la víctima para visitar una web maliciosa y, una vez en ella, podía tomar el control de LastPass, por ejemplo, para borrar entradas o descargar la base de datos.

Por suerte, no se conoce ningún caso en el que alguna de estas dos vulnerabilidades haya sido explotada por piratas informáticos, ya que tan pronto como los investigadores de seguridad las han detectado han enviado el correspondiente informe para que los ingenieros de LastPass las solucionen.

LastPass, igual que cualquier otra plataforma privativa y en la nube, no es la mejor opción para proteger las contraseñas


Actualmente la compañía ha solucionado ya estas dos vulnerabilidades, por lo que las contraseñas vuelven a estar seguras y los usuarios no podrán ser víctimas de estos ataques, sin embargo, no es la primera vez que ocurre esto, y es que la información que almacena esta compañía de millones de usuarios tiene un valor incalculable para los piratas informáticos, quienes seguirán buscando nuevas formas de comprometer la plataforma.

Todo lo que esté en Internet está expuesto a posibles ataques, por muy robusta que sea la seguridad y los controles que se apliquen. Por ello, a nivel personal, recomiendo que los usuarios que quieran utilizar un administrador de contraseñas utilice KeePass, una alternativa a LastPass totalmente gratuita y de código abierto que, al tener su base de datos gestionada localmente de forma privada por cada usuario, estamos mucho más protegidos frente a estos ataques informáticos.

Fuente:http://www.redeszone.net/
Noticias de seguridad informática

Wednesday, 27 July 2016

La evolución de los keyloggers.

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/la-evolucion-de-los-keyloggers/
TAGS: BIOS, keyloggers

No solo nos tenemos que preocupar de los fallos o vulnerabilidades de software, también tenemos que controlar el hardware. Por ejemplo controlar las contraseñas de BIOS y evitar el arranque en dispositivos como CD-ROM, diskettes o memorias USB, también tenemos que controlar el uso de keyloggers hardware que se conectan entre el teclado y la placa base y almacenan todo lo que tecleamos. Estos keyloggers son muy eficientes y imposibles de detectar por software.


Captura de pantalla de 2016-07-27 21-24-00


También existen keyloggers en forma de aplicaciones que trabajan en segundo plano y capturan todo lo que escribimos en el teclado, esto los convierte en una clara amenaza, existen mucha aplicaciones contra el malware que detectan keyloggers como: Ad-aware, Spybot… Existe una aplicación solo para detectar keyloggers, bastante buena, se trata de KL-detector.

Más información y descarga de  KL-detector:
http://dewasoft.com/privacy/kldetector.htm

Una técnica mas avanzada es la descubierta por unos investigadores de Universidad de Berkley que se basa en que, cada tecla del teclado, al ser pulsado hace un ruido diferente que podría ser identificado con un 85% de acierto. Si una persona con un software de reconocimiento de sonido, grabara e identificara el sonido de todas las teclas, seria capaz de descifrar lo que se escribe en un teclado por el sonido del mismo Esto aplicado a la seguridad de PC y cajeros automáticos tiene bastante importancia, sobre todo a cajeros automáticos.

Existe una evolución del típico keylogger totalmente pasivo de cara al sistema, que es USBdriveby, un minidispositivo que se puede llevar en cualquier sitio e instalar rápidamente de forma encubierta y que permite abrir una puerta trasera, anular la configuración de DNS... en una máquina a través del puerto USB en cuestión de segundos. Esto es posible mediante la emulación de un teclado y un ratón, por parte de un microcontrolador, permitiendo escribir a ciegas comandos controlados o movimientos y pulsaciones del ratón.



Este proyecto se basa en explotar la confianza ciega de un sistema en los dispositivos USB y cómo gracias a un microcontrolador Teensy de 20$ enchufado en cualquier puerto USB es posible: evadir varios ajustes de seguridad en un sistema real, abrir una puerta trasera permanente, desactivar un firewall, controlar el flujo del trafico de la red… y todo esto en unos pocos segundos y de forma permanente, incluso después de retirar el dispositivo.

Cuando se conecta normalmente un ratón o un teclado en una máquina, no se requiere autorización para empezar a usarlos. Los dispositivos pueden simplemente comenzar a escribir y hacer clic. Entonces se aprovecha esta vulnerabilidad mediante el envío de pulsaciones de teclas arbitrarias destinadas en el caso del ejemplo del proyecto en un entorno OS X a: poner en marcha aplicaciones específicas (a través de Spotlight/Alfred/Quicksilver), evadir permanentemente un firewall (Little Snitch), instalar una “reverse shell” en el crontab e incluso modificar la configuración de DNS sin ningún tipo de permisos adicionales. Si bien el ejemplo del proyecto se ejecuta en un entorno OS X, es fácilmente extensible a Windows y Linux.


Fuente:http://www.gurudelainformatica.es/


 
Noticias de seguridad informática

Un pirata informático publica las claves privadas del ransomware Chimera

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/un-pirata-informatico-publica-las-claves-privadas-del-ransomware-chimera/
TAGS: Chimera, ransomware

El ransomware es la peor amenaza para la seguridad informática vista hasta ahora. Cada vez son más los piratas informáticos que buscan sacar dinero a costa del chantaje cifrando los datos de sus víctimas y pidiendo el pago de un rescate o, de lo contrario, los datos se perderán para siempre. Sin embargo, tanta rivalidad no suele ser buena, y es que los piratas informáticos están empezando una lucha interna para acabar con sus rivales, como ha ocurrido con Chimera.


Hace algunas horas, el pirata informático responsable de los ransomware Petya y Mischa, conocido como Janus, ha sorprendido en la red al publicar las claves privadas utilizadas por uno de sus principales rivales, el ransomware conocido como Chimera, un ransomware que comenzó su cruzada a finales de 2015 y que, desde entonces, ha causado innumerables quebraderos de cabeza a sus víctimas.


Janus es el responsable de un portal RaaS (Ransomware-as-a-Service). Este pirata informático asegura que logró acceder al servidor detrás de su principal rival Chimera a principios de este año. Una vez dentro se hizo con todo lo que pudo, entre lo que destaca el código fuente del ransomware, que posteriormente lo utilizó para mejorar Mischa, y todas las claves de descifrado que pudo encontrar. Ahora, estas claves son de dominio público y varias empresas de seguridad, como Malwarebytes, ya están trabajando en crear una herramienta que permita a todas las víctimas recuperar los datos de forma gratuita.


Con este golpe, Janus quiere dejar claro que no está Chimera, aunque los expertos de seguridad aseguran lo contrario debido a las enormes similitudes entre ambas plataformas. Además, aprovechando el filtrado de las más de 3500 claves privadas RSA quiere acabar con el negocio de su rival.


janus



Las claves de Chimera ahora son públicas en un intento de dominar el lucrativo negocio del ransomware


No es la primera vez que un pirata informático busca cómo sacar del juego a otro pirata rival, aunque sí es la primera vez que esto ocurre hablando de ransomware. Seguro que los piratas informáticos responsables de Chimera buscan devolver el golpe a Janus y, además, actualizarán su ransomware con el fin de cambiar las claves y permitirles seguir en el mercado, sin embargo, es un duro golpe para estos piratas, ya que ahora, sus más de 3500 víctimas van a poder recuperar los datos sin pagar.


Sea como sea, este acto favorece por una vez a los usuarios y, aunque hay intereses personales detrás de la publicación de estas claves, también, el acto es de agradecer, especialmente por las víctimas de este ransomware.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Nuevos ataques consiguen evadir la seguridad del protocolo HTTPS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/nuevos-ataques-consiguen-evadir-la-seguridad-del-protocolo-https/
TAGS: Nuevos ataques, Web Proxy Autodiscovery Protocol (WPAD)

A diferencia de las conexiones HTTP, el protocolo HTTPS nos ofrece una capa de seguridad adicional de manera que todo el tráfico permanezca cifrado de extremo a extremo y sea, en teoría, prácticamente imposible de acceder a él. Este tipo de conexiones son imprescindibles siempre que vayamos a enviar formularios de inicio de sesión o información personal y sensible (como tarjetas de crédito al hacer compras por Internet), sobre todo cuando lo hacemos desde redes inseguras o públicas.


Gracias al protocolo HTTPS, todas nuestras conexiones van a viajar cifradas desde nuestro dispositivo hasta el servidor, y viceversa, evitando que cualquier usuario que esté controlando cualquiera de los puntos de la red pueda acceder a la información, especialmente en redes públicas, uno de los puntos más vulnerables de cualquier conexión donde se necesita la máxima seguridad posible para evitar exponer nuestros datos a otras personas.


Recientemente, varios investigadores de seguridad han descubierto una forma de comprometer la seguridad del protocolo HTTPS en todo tipo de redes, incluso en las públicas, donde la seguridad es vital para proteger los datos. Esta vulnerabilidad se debe a un abuso de la característica Web Proxy Autodiscovery Protocol (WPAD), un método utilizado para encontrar la dirección URL de un archivo de configuración utilizando técnicas de descubrimiento de servidores DHCP y/o DNS.


Utilizando esta técnica, un atacante puede descubrir la URL completa a la que se asocia un paquete HTTPS. Aunque el resto de información sobre la conexión sigue siendo segura, poder averiguar la URL completa puede ser un peligro ya que en muchos casos en la misma URL se incluyen datos sobre el inicio o las cookies de sesión, como ocurre con el estándar OpenID o con muchas otras plataformas como Google o Dropbox, quienes comparten un token de inicio de sesión incluido en la URL. Muchos mecanismos de recuperación de contraseñas funcionan de forma similar.


Vulnerabilidad HTTPS


Este fallo de seguridad afecta a los principales sistemas operativos de escritorio: Windows, Linux y macOS. Si nos conectamos a estas webs desde dispositivos móviles, nuestra URL seguirá estando protegida.



Cómo desactivar WPAD en Windows para proteger las conexiones HTTPS


Este vector de ataque fue explotado por primera vez en 1999, sin embargo, los desarrolladores de sistemas operativos y navegadores web aún no han puesto solución al respecto. Sin embargo, algunos navegadores como Internet Explorer 11 o Microsoft Edge hacen uso de una función intermedia que, en lugar de exponer la URL completa, solo exponen el nombre de dominio, manteniendo el resto de información totalmente asegurada.


Como medida de seguridad adicional, podemos desactivar el uso de WPAD siguiendo los siguientes pasos:



  • Ejecutamos “regedit” y nos desplazamos hasta la ruta “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad”.

  • Creamos un valor DWORD de 32 bits y lo llamamos “WpadOverride“.

  • Hacemos doble clic sobre él y cambiamos su valor de “0”, valor por defecto, a “1”.

  • Reiniciamos el ordenador y WPAD debería estar ya desactivado, evitando que nuestras conexiones HTTPS puedan verse comprometidas.

Como medida de seguridad extrema, es recomendable conectarnos a las redes inseguras a través de una conexión VPN, evitando así que estas conexiones puedan ser resultas.



Esta no es la primera vez que el protocolo WPAD expone la seguridad de los usuarios


Esta no es la primera vez que el protocolo WPAD se utilizan para comprometer la seguridad de las telecomunicaciones. El pasado mes de abril, otros investigadores de seguridad descubrieron un nuevo troyano bancario, conocido como BlackMoon, aprovechaba este protocolo para redirigir a los navegadores a webs de phishing cuando intentaban acceder a determinadas URLs.


Si estos nuevos ataques hacen eco, es posible que en breve veamos cómo Google Chrome y Firefox se actualizan para proteger a los usuarios de esta vulnerabilidad.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Los teclados inalámbricos revelan tus contraseñas a hackers

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/los-teclados-inalambricos-revelan-tus-contrasenas-hackers/
TAGS: “keysniffer”, hackear

Si usa software, es hackeable. Si además es inalámbrico, más aún. Prácticamente cualquiera de estos dispositivos son vulnerables a los piratas informáticos, incluso los aparentemente más inofensivos. Por ejemplo, se ha demostrado que los teclados inalámbricos se pueden hackear para acceder a todas tus contraseñas.


Entre los fabricantes de estos dispositivos afectados por la brecha de seguridad están HP, Toshiba y otros gigantes del sector. Su problema es que no utilizan cifrado para encriptar la comunicación entre el teclado inalámbrico y el ordenador, haciendo de tus contraseñas el blanco perfecto para los hackers.


Una firma de seguridad llamada Bastille ha elaborado un informe al respecto. Al programa encargado de hackear estos teclados bluetooth e inalámbricos de otro tipo lo han bautizado como “keysniffer”, y funciona en un radio de al menos unos 75 metros.


Teclado inalámbrico


Con las aplicaciones llamadas sniffers, se pueden capturar los paquetes de datos y averiguar tus contraseñas. Basta con situarse cerca de uno de estos teclados para poder acceder a todo lo que se teclea en ellos. No sólo contraseñas, sino mensajes de todo tipo.


Los sniffers se popularizaron como una forma de descifrar claves WiFi. Al recopilar los suficientes paquetes de datos pueden descifrar contraseñas, un proceso que toma un tiempo pero que supone un digno premio para hackers poco expertos en la materia. Otro uso que se les dio fue el de espiar conversaciones de WhatsApp, ya obsoleto gracias al cifrado incorporado por la aplicación en sus últimas actualizaciones.


Si quieres evitar que un hacker tenga tus contraseñas por culpa de tu teclado, no te quedará más remedio que cambiarlo por uno convencional. Otra opción es comprar uno con cifrado incorporado o esperar a que los fabricantes saquen un parche de seguridad que solucione el problema, algo improbable debido a la limitación del hardware de estos dispositivos.


Fuente:http://computerhoy.com/


Noticias de seguridad informática

Tuesday, 26 July 2016

La nueva estafa de WhatsApp que roba todos tus datos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/la-nueva-estafa-de-whatsapp-que-roba-todos-tus-datos/
TAGS: WhatsApp

Los especialistas divulgan el modo de evitar infectarse con este malware.


Una compañía de seguridad digital brasileña, PSafe ha lanzado un mensaje con lo último en estafas a través deWhatsApp. La aplicación de mensajería más extendida a nivel mundial vuelve a servir como escenario propicio para los ‘hackers’ que pretenden robar la información de usuarios.


A través de un comunicado, PSafe advierte de que se está extendiendo una corriente de mensajes procedentes de usuarios que ofrecen la posibilidad deconocer quién visita el perfil de cada uno. Incluyen un link con el cual pueden sustraer la información privada.


¿Puedes llegar a ser espiado por Whatsapp?
Por tanto recomiendan no pinchar en cualquier enlace por mínimamente sospechoso que pueda aparecer. Por ello, desde WhatsApp se recomienda utilizar un antivirus fiable y no hacer clics en enlaces de dudosa fiabilidad. No dudes en preguntar antes al usuario en cuestión sobre la materia del link facilitado. Así te ahorrarás problemas.

Fuente:http://www.diariovasco.com/


Noticias de seguridad informática

Este ransomware secuestra tus ficheros comprimiéndolos en ZIP con contraseña

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/este-ransomware-secuestra-tus-ficheros-comprimiendolos-en-zip-con-contrasena/
TAGS: CTB-Faker, ZIP protegido


Un nuevo ransomware bautizado como CTB-Faker busca convertirse en la modalidad más temible de la familia CTB-Locker. Esta nueva amenaza para la seguridad intenta engañar al usuario sobre las ventajas de usar un el cifrado cuando realmente termina secuestrando sus ficheros dentro de un archivo ZIP protegido con contraseña. Os contamos todos los detalles de este nuevo y curioso ransomware que está empezando a causar estragos, aunque tenemos buenas noticias.





CTB-Faker se está distribuyendo en estos momentos aprovechando las páginas web de contenido para adultos y pornográfico. A los usuarios se les propone que descarguen un fichero comprimido en ZIP que almacena un ejecutable. Una vez ejecutado ese fichero, el ransomware empieza a actuar sin dilación. Muchos de los ficheros del usuario se trasladan a un archivo comprimido en ZIP con contraseña en la ruta “C:Users.zip”.


ransomware


Para trasladar los ficheros al archivo ZIP con contraseña, el ransomware se vale del popular programa WinRAR. Una vez que ha concluido el proceso y todos los ficheros están “secuestrados” en el archivo comprimido cifrado, fuerza el reinicio del ordenador y muestra la habitual nota pidiendo un rescate para poder recuperarlos.


Según han podido comprobar los investigadores responsables de descubrir este ransomware, la cuenta Bitcoin utilizada para pedir el dinero de los rescates, habría recibido577 bitcoin, unos 381.000 dólares en pagos. Aunque es posible que no todo el dinero venga de este ransomware, lo cierto es que se trata de una cantidad muy serie.



Es posible rescatar los ficheros secuestrados por el ransomware


La buena noticia es que es posible rescatar los ficheros secuestrados por el ransomware. Aunque CTB-Faker afirma utilizar un cifrado combinado de SHA-512 y RSA-4096, lo cierto es que utiliza el estándar de los ficheros comprimidos con WinRAR, es decir, AES-256. Los usuarios pueden conseguir descifrar el archivo comprimido con la ayuda de Lawrence Abrams de Bleeping Computer que se ha prestado voluntario a esta tarea.


Por suerte, este no es el ransomware más temible del planeta, aunque es posible que afecte a muchos usuarios por sus bajos conocimientos o dominio de la materia. Además, tampoco es el primero en secuestrar los ficheros mediante el uso de un fichero comprimido con contraseña. Esto es algo que ya intentaron Bart y CryptoHost (Manamecrypt), ambos ya totalmente descifrables en la actualidad.


Fuente:http://www.adslzone.net/




Noticias de seguridad informática

Hackeando firewall de aplicación web(WAF) usando cabeceras HTTP

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/hackeando-firewall-de-aplicacion-webwaf-usando-cabeceras-http/
TAGS: escaneo de vulnerabilidades, soluciones de seguridad de la información
Firewalls de aplicaciones web (WAF) son parte de la defensa en el modelo de profundidad para soluciones de seguridad de la información. Aunque no es un sustituto para el código de seguridad, ofrece grandes opciones para el filtrado de una entrada maliciosa. A continuación se muestra una historia a partir de un escaneo de vulnerabilidades real donde una empresa implemento un dispositivo de este tipo que fue vulnerable a ser pasado por alto. La vulnerabilidad es uno de los malos diseños y / o configuraciones y como un atacante fue muy útil.

Escaneo de vulnerabilidades de una aplicación en su despliegue de producción es importante. Mientras que esta aplicación podría haber sido evaluada en desarrollo o en control de calidad, al implementar es posible introducir nuevos tipos de ataque debido a problemas de configuración acuerdo a los expertos de soluciones de seguridad de la información. Tal fue el caso con nuestro cliente ficticio Heisenberg Bank.

Durante el escaneo de vulnerabilidades corremos rápidamente a problemas en todos los puntos de aplicación, ver más abajo (captura de pantalla aproximada):

 

firewallhack1

Al poco rato de investigación en los blogs de los expertos de soluciones de seguridad de la información supimos que estábamos en contra de un WAF que estaba provocando algunos problemas:

  • Sucesión rápida de la solicitud POST a formularios

  • Sucesión rápida de la solicitud GET a la mayoría de las páginas

  • La falta de un token CSRF

  • Los malos caracteres


 

Después de que se reúna una de estas condiciones nos bloquearan con dicho código de error durante 5 minutos.

El método normal la codificación de playloads y eludir la expresión regular de WAF es impredecible en estos días. Aun así, se puede probar.

Decidimos hacer más investigación sobre WAF. Mientras pasaba por varias guías de implementación WAF me encontré con un blog de soluciones de seguridad de la información en el que se menciona la integración de un WAF con su servicio de caché / dispositivo. La guía de productos menciona que se puede poner en o la lista blanca a los dispositivos basados en IP, lo que les permite no ser inspeccionado por WAF.

Después de leer más, nos encontramos con que en vez de hacer una búsqueda real sobre las peticiones de entrada (algo parecido a REMOTE_ADDR o algo similar), el WAF estaba viendo hacia una cabecera HTTP *personalizada*.

Así es como se supone que debe funcionar si un usuario u otro servidor contacta el WAF:

 

firewallhack2

 

En vez de que, la WAF comprobara los requisitos de los cabeceras HTTP. La implementación específica estaba revisando la solicitud de la cabecera X-originating-IP.

Entonces, ¿a quién podría confiar este WAF? En este caso, el defecto fue la propia WAF.

Dado que, durante el escaneo de vulnerabilidades, estamos controlando todas las peticiones de HTTP enviadas fuera de mi navegador puedo agregar fácilmente esta cabecera engañando al WAF para que piense que era ella misma, lo que me permite desviarse de su protección por completo:

 

firewallhack3

Después de más investigación con ayuda de blog de soluciones de seguridad de la información, hay varias cabeceras que se pueden definir para WAF a la lista blanca
  • X-forwarded-for

  • X-remote-IP

  • X-originating-IP

  • x-remote-addr


 

También hay una lista de resultados de tipos de direcciones / configuraciones que pueden ser blanqueadas en la lista fácilmente durante el escaneo de vulnerabilidades:

 

firewallhack4

 

Después de averiguar la desviación, el resto de escaneo de vulnerabilidades produjo muchas otras vulnerabilidades y se aceleró debido al hecho de que podía pasar por alto la WAF. Era tan simple como tener mi línea de intercepción de proxy añadida a la cabecera de todas las solicitudes.

Según expertos de soluciones de seguridad de la información, también se puede auditar la seguridad de las cabeceras HTTP en tu sitio usando Gethead.

Aquí es la herramienta para hackear firewalls la aplicación web usando las cabeceras HTTP

https://github.com/codewatchorg/bypasswaf

firewallhack5

 
Noticias de seguridad informática

Monday, 25 July 2016

Ya se encuentra disponible el Kernel Linux 4.7

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/ya-se-encuentra-disponible-el-kernel-linux-4-7/
TAGS: kernel Linux

Como ya se esperaba, hace algunas horas se ha lanzado oficialmente la versión estable del Kernel Linux 4.7. Como es habitual en el desarrollo del sistema operativo, antes del lanzamiento de esta versión se han lanzado varias versiones beta y Release Candidate que ha permitido conocer a los usuarios y desarrolladores todas las novedades que se han ido incluyendo y los errores que han sido solucionados. Ahora, como versión estable, está listo para que todos los usuarios puedan utilizarlo sin problemas.


La mayoría de los cambios del kernel 4.7 se centran en la solución de errores y, sobre todo, en dotar al sistema operativo de una mayor cantidad de controladores de manera que sea capaz de funcionar lo mejor posible con todo tipo de hardware diferente, especialmente con los nuevos componentes.


A continuación, vamos a ver las novedades más relevantes de esta nueva versión.


Un fallo en la librería C de GNU expone la seguridad de miles de aplicaciones y dispositivos Linux

Principales novedades del nuevo Kernel Linux 4.7


Una de las novedades de última hora es que se han añadido los controladores libres para la ATI Radeon RX 480, la última tarjeta gráfica desarrollada por la compañía que ha dado mucho de qué hablar, llevando un rendimiento de gama alta a un precio de gama media. También se han actualizado el resto de controladores libres de Intel, Nvidia y otros fabricantes.


Otra de las novedades más importantes es que ahora Linux 4.7 es compatible con muchas más arquitecturas ARM de forma nativa.


Siguiendo con el tema de controladores, el nuevo Kernel Linux 4.7 cuenta con drivers para muchos teclados de Corsair y Asus, así como para el mando Élite de Xbox One.


Para mejorar el rendimiento de los procesadores, ahora el Kernel utiliza por defecto el nuevo governor Schedutil.


También se ha mejorado el controlador del bootloader EFI y se ha añadido al sistema operativo una nueva medida de seguridad llamada “LoadPin“, importado desde ChromeOS.


En el tema de software, además del control de bloques “Async discard“, se han mejorado los sistemas de archivos BTRFS, F2FS, EXT4 y XFS.


Si queremos ver una lista completa con todas las novedades de esta nueva versión del Kernel podemos consultar el siguiente enlace.



Casi siempre, actualizar el Kernel de una distribución depende del propio usuario, y puede no salir bien


Esta nueva versión del kernel ya está disponible para descargar desde su web principal, sin embargo, aún tenemos que esperar para que las distribuciones Rolling Release distribuyan los binarios de la actualización para los sistemas. Los usuarios de Ubuntu y otros sistemas operativos que no son Rolling Release tendrán que compilar por su cuenta el núcleo o esperar a que otros usuarios liberen los paquetes ya compilados que les permitan actualizar el kernel al nuevo Linux 4.7.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Detectan 110 servidores maliciosos en la red Tor

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/detectan-110-servidores-maliciosos-en-la-red-tor/
TAGS: maliciosos, red Tor, TOR

La red Tor es una red distribuida creada especialmente para permitir a los usuarios más preocupados por su privacidad navegar de forma totalmente anónima por Internet. Aunque esta red es, aparentemente, segura, en muchas ocasiones se ha visto comprometida por usuarios malintencionados y organismos gubernamentales que buscan acabar con la privacidad que aporta esta red. Con el fin de poder ofrecer la máxima seguridad posible, muchos expertos de seguridad suelen analizar periódicamente la red en busca de cualquier indicio de que esta ha sido comprometida.


Recientemente, dos expertos de seguridad han estado llevando a cabo un experimento en el que han analizado más de 1500 servidores dentro de la red Tor y, de los cuales, han encontrado un total de 110 servidores maliciosos que probablemente estaban siendo utilizados por piratas informáticos o gobiernos para comprometer el tráfico de esta red.


Estos investigadores introdujeron en la red Tor una serie de sistemas trampa, llamados HOnions, que ejecutaban una serie de macros cuando detectaban un tráfico anormal en la red. Tras 72 días, los investigadores recuperaron los registros de estos servidores trampa y demostraron como se habían encontrado un total de 110 servidores con un comportamiento fuera de lo normal.


La mayoría de estos servidores tan solo intentaban recuperar datos sobre la configuración del servidor, por ejemplo, la ruta a la raíz del servidor, los archivos .json o la página del estado de Apache, sin embargo, algunos de ellos sí que tenían un comportamiento malicioso, por ejemplo, intentando llevar a cabo ataques SQL Injection.


Además, el 25% de estos servidores maliciosos eran nodos de salida de la red Tor, por lo que los responsables de los mismos podían llevar a cabo ataques más complejos directamente contra los usuarios permitiendo, por ejemplo, que estos puedan llevar a cabo ataques MITM y controlar el tráfico de los usuarios.


110 servidores Tor maliciosos



La red Tor protege la privacidad de los usuarios, pero la atacan a menudo


La red Tor, por defecto, es una red segura que en teoría protege la seguridad y privacidad de sus usuarios, sin embargo, en la práctica no lo es tanto. Desde hace mucho tiempo, piratas informáticos, cuerpos y fuerzas de seguridad y organismos gubernamentales buscan por igual distintas formas de comprometer la seguridad y el anonimato de los usuarios que utilizan esta red. Además, estas búsquedas de poder se realizan indiscriminadamente a todos los usuarios, ya quieran estos tan solo saltarse la censura regional de su país o utilizar dicha red para el tráfico de armas. A ojos de los gobiernos, todos son iguales.


Por suerte, poco a poco, investigadores de seguridad desinteresados suelen llevar a cabo este tipo de experimentos para ayudar a los responsables de esta red a identificar y bloquear estos servidores y nodos maliciosos con el fin de permitir a los usuarios que confíen en esta red hacer un uso de ella lo más seguro posible.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática