Actualización de iOS de Emergencia arregla Dias Cero utilizadas por Spyware del Gobierno

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/actualizacion-de-ios-de-emergencia-arregla-dias-cero-utilizadas-por-spyware-del-gobierno/
TAGS: iOS, spyware

Apple precipitó una actualización de iOS de emergencia hace 2 días después de descubrir tres vulnerabilidades de día cero que utilizan los gobiernos para espiar las actividades de los defensores de los derechos humanos y periodistas.

Los cero días, llamados Trident, permiten a un atacante tomar el control completo de un iPhone o iPad con un solo clic, tres distintas vulnerabilidades de día cero combinadas en Trident crean una cadena de ataque que puede poner en peligro incluso dispositivos con la ultima versión de iOS de Apple.

Las vulnerabilidades día cero se dieron a conocer de forma privada a Apple por Citizen Lab, que se basa en la Escuela Munk de Asuntos Globales en la Universidad de Toronto, y por la empresa de seguridad móvil Lookout . Los usuarios deben actualizar los dispositivos iOS a la versión 9.3.5.

"Se trata de una vulnerabilidad grave. Está diseñada para trabajar en silencio y de forma remota, todo lo que el usuario tiene que hacer es hacer clic en un vínculo y la explotación sucederá, y el dispositivo se hace jailbreak y se instala el malware ", dijo Andrew Blaich un investigador de Lookout. "El usuario no tiene indicación de que algo ha pasado en su dispositivo."

Las vulnerabilidades día cero fueron vendidas por una compañía de software polémica en Israel llamada Grupo NSO, según Citizen Lab. Esa empresa llama a su software espía móvil de vigilancia, Pegasus, y lo vende a los gobiernos y terceros que lo utilizan para espiar a lo que consideran objetivos de alto valor, dijo Citizen Lab.

Citizen Lab fue notificado de Pegasus el 10 de agosto por Ahmed Mansoor, un activista de derechos humanos de los Emiratos Árabes Unidos, que contactó a la organización despues de un mensaje de texto extraño enviado a su iPhone desde un número de teléfono no reconocido.

El mensaje contenía un enlace a un sitio web desconocido y estaba acompañado por un mensaje que le apresuraba a hacer clic en un enlace para conocer nuevos "secretos" sobre detenidos torturados en cárceles de los EAU. En lugar de hacer clic en el enlace, Mansoor envió el enlace a Citizen Lab. Bill Marczak y John Scott-Railton, investigadores de alto nivel en el Citizen Lab, reconocieron el enlace como conectado a una red de dominios que se creía que eran parte de una infraestructura de explotacion proporcionada por el Grupo de NSO.

"Reconocimos de inmediato este dominio como parte de una red de ataques que habiamos observado anteriormente," dijo Scott-Railton. "Con la esperanza de que la red aun estuviera viva y lista para servir y explotar, la visitamos en un iPhone y hemos sido capaces de conseguir un éxito en la infección."

Citizen Lab no fue capaz de determinar la extensión de infecciones pasadas o presentes con Pegasus. Sin embargo, fue capaz de determinar que Mansoor no era el único infectado; el periodista mexicano Rafael Cabrera también había sido atacado. Citizen Lab publicó un informe el jueves mostrando su descubrimiento.

"Esto demuestra que algunos gobiernos están dispuestos a gastar grandes cantidades de dinero para entrar en las mentes y las comunicaciones privadas de las personas que están en este tipo de situación", dijo Scott-Railton en una entrevista. "Esta investigación demuestra el poder de las organizaciones independientes como ciudadano de laboratorio haciendo el trabajo con los disidentes y otros grupos que no cuentan con los recursos y dinero para pagar por la seguridad de nivel empresarial. El hecho de que no pueden defenderse contra ella, no significa que no van a ser blancos de malware sofisticado. En el futuro esperamos por lo que vemos más ataques de este tipo ", dijo.

Lookout dijo Pegasus es el ataque más sofisticado que se ha visto en un movil. De acuerdo con su informe:

"Pegasus es desarrollado profesionalmente y muy avanzado en el uso de vulnerabilidades de día cero, ofuscación de código, y cifrado. Se utiliza un sofisticado de enganche función de subvertir la seguridad OS- y la capa de aplicación en las llamadas de voz/audio y aplicaciones incluyendo Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, correo electrónico y aplicaciones de mensajería integradas de Apple, y otros. Roba la lista de contactos de la víctima y localización GPS, así como contraseñas personales, de Wi-Fi y de router almacenadas en el dispositivo ".

De acuerdo con un análisis técnico de Lookout, la primer día cero (CVE-2016-4655), fue una vulnerabilidad de corrupción de memoria en el navegador web móvil WebKit  de Apple.

El segundo (CVE-2016-4656) es una vulnerabilidad de mapeo de kernel base que filtra información al atacante que le permite calcular la memoria del kernel, según Lookout. La tercera (CVE-2016-4657) es una corrupción de memoria del Kernel que conduce al jailbreak del dispositivo. Lookout dijo que éstas son vulnerabilidades de 32 y 64 bits de iOS que permiten al atacante hacer jailbreak en silencio al dispositivo y, en este caso, instalar el software de vigilancia.

"La secuencia de ataque comienza con un esquema de phishing simple: envía un mensaje de texto (o Twitter u otro tipo) con una URL de aspecto benigno, el usuario hace clic en el enlace, el navegador web abre, la página de carga, explota una vulnerabilidad del navegador o sistema operativo, instala el software para obtener información y para asegurar que el software permanece instalado en el dispositivo (persistencia) ", escribió Lookout.

Esquema del ataque

El software espía Pegasus puede espiar las llamadas telefónicas, registros de llamadas, mensajes SMS y puede activar el micrófono del teléfono, altavoces y la cámara. "El acceso a este contenido podría ser utilizado para ganar aún más acceso a otras cuentas propiedad del objetivo, como banco, correo electrónico y otros servicios que él/ella puede usar dentro o fuera del dispositivo", escribió Lookout.

Blaich, de Lookout dijo que cree que variantes de Trident han estado en uso desde hace años remontandose a iOS 7, lanzado en 2013.

"Grupo NSO parece tener cientos de empleados y hace millones de dólares en ingresos anuales, efectivamente como un traficante de armas cibernéticas, por la venta de su sofisticado software de ataque móvil. es sólo un ejemplo de este tipo de mercenarios cibernéticos: sabemos que no es el único ", escribió Lookout.

Fuente:http://www.cronicahacker.com/

Noticias de seguridad informática

12 Herramientas gratuitas para asegurar páginas web

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/12-herramientas-gratuitas-para-asegurar-paginas-web/
TAGS: auditoría de seguridad informática, seguridad en páginas web, seguridad web
Una de las conversaciones de tendencias en tecnologías de la información es la seguridad Web. ¿Sabías que el 96% de las aplicaciones probadas tienen vulnerabilidades? A menudo prestamos atención a la página web de diseño, SEO, contenidos y subestimamos el área de seguridad en páginas web. En un sitio web, la auditoría de seguridad informática debe tener una importancia más alta que cualquier otra cosa.

Uno de los elementos esenciales para la seguridad web consiste en vigilar por lo que recibirás una notificación cada vez que está este caído o hackeado. Mientras que las herramientas te ayudarán a escanear tu sitio web bajo demanda puede que sea mejor programarlos para una auditoria de seguridad informática automática según expertos de International Institute of Cyber Security IICS. Estas herramientas ayudarían implementar seguridad en páginas web. En este artículo, vamos a enumerar herramientas gratuitas para escanear tu sitio web en busca de vulnerabilidades de seguridad web y malware.

 

Scan My Server

Scan My Server proporciona uno de los informes más completos de las variedades de auditoría de seguridad informática como Inyección SQL, Cross Site Scripting, PHP Inyección, Source Disclosure, HTTP Header Inyección, Blind SQL Inyección y mucho más. El informe de análisis de seguridad web es notificado por correo electrónico con el resumen de vulnerabilidades.

Sucuri

Sucuri es el sitio web gratuito más popular para escáner malware y la seguridad en páginas web. Usted puede hacer una prueba rápida para malware, listas negras de sitios web, SPAM y desfiguraciones inyectadas. Sucuri limpia y la protege tu sitio web contra amenazas en línea y funciona en cualquier tipo de plataformas, incluyendo el sitio web de WordPress, Joomla, Magento, Drupal, php,etc.

 

Site Guarding

Site Guarding ayuda a escanear tu dominio en busca de malware, listas negras de sitios web, Spam inyectados, vulnerabilidades de seguridad web, desfiguración y mucho más. El escáner es compatible con WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin y otra plataforma. SiteGuarding también te ayuda a eliminar el malware de tu sitio web por lo que si tu página web se ve afectada por virus, te será de utilidad para implementar seguridad en páginas web.

 

Detectify

Detectify es un escáner de seguridad web basado en SaaS. Esto tiene más de 100 pruebas de seguridad automatizadas incluyendo OWASP Top 10, malware y mucho más. Detectify ofrece una prueba gratuita de 21 días y usted debe registrarse para poder realizar una auditoría de seguridad informática de tu página web.

 

Acunetix

Acunetix analiza tu página web completa para más de 500 vulnerabilidades de seguridad web incluyendo DNS y la infraestructura de red de los servidores de Acunetix. Proporcionan una prueba gratuita de 14 días y puedes registrar y validar tu dominio antes de la auditoría de seguridad informática.

 

Web Inspector

Web Inspector explora tu sitio web y proporciona informes, inclusive la lista negra, vulnerabilidades de seguridad web, phishing, malware, gusanos, puertas traseras, troyanos, marcos sospechosas, las conexiones sospechosas según expertos de International Institute of Cyber Security IICS. Por lo tanto, sigue adelante y realiza una auditoría de seguridad informática para saber si está seguro o no.

 

Tinfoil Security

 

Tinfoil Security primero hace la auditoría de seguridad informática de tu sitio web en contra de las 10 principales vulnerabilidades de OWASP y luego otros orificios de seguridad web conocidos. Usted recibirá informes procesables y la opción de volver a escanear una vez que haya terminado con las correcciones necesarias. La configuración tomará alrededor de 5 minutos y se puede escanear incluso si tu sitio web está protegido.

 

Quttera

Quttera revisa la seguridad en páginas web para el malware y las vulnerabilidades de seguridad web. Escanea tu sitio web para archivos maliciosos, archivos potencialmente sospechosas, archivos sospechosos, PhishTank, Navegación segura (Google, Yandex) y la lista de dominios de malware.

 

Qualys SSL Labs, QualysFreeScan

SSL Labses una de las herramientas más usada para analizar servidores web SSL. Proporciona una auditoría de seguridad informática profunda de tu https URL incluyendo el día de vencimiento, calificación global, cifra, SSL / TLS versión, simulación de Handshake, detalles del protocolo y mucho más acuerdo a los expertos de iicybersecurity IICS. Si estás ejecutando un sitio web seguro (https), no se debes esperar más para hacer una prueba de seguridad en páginas web.

Esto pone a prueba el sitio web contra el top de riesgos OWASP y malwares, contra el índice de referencia de seguridad SCP y mucho más. Es necesario registrar una cuenta gratuita para poder realizar este escaneo.

Netsparker Cloud

Netsparker Cloud es un escáner de seguridad web empresarial, que escanea más de 25 vulnerabilidades críticas acuerdo a los expertos de iicybersecurity IICS. Netsparker es libre para otro proyecto de código abierto que se puede solicitar para el ensayo de la auditoría de seguridad informática.

UpGuard Web Scan

UpGuard Web Scanes herramienta de evaluación de riesgo externo que utiliza la información a disposición del público para calificar de varios factores, incluyendo SSL, ataque Clickjack, Cookie, DNSSEC, Headers, etc. Está todavía en fase beta, pero vale la pena probar la seguridad web.

Asafa Web

AsafaWeb proporciona resultados rápidos de la auditoría de seguridad informática que incluye de Tracing, Stack trace, Hash Dos Patch, EMLAH log, HTTP Only Cookies, Secure Cookies, Clickjacking y mucho más.

 
Noticias de seguridad informática

Dropbox confirma que el robo de contraseñas afecta a 68 millones de usuarios

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/dropbox-confirma-que-el-robo-de-contrasenas-afecta-68-millones-de-usuarios/
TAGS: Dropbox, robar más de 68 millones

Hace tan sólo unos días, veíamos comoDropbox comenzaba a enviar correos electrónicos a determinados usuarios para pedirles que realizasen un cambio de contraseña. Concretamente, solicitaba el cambio de sus datos de acceso en todas las cuentas que desde el año 2012 no hubieran modificado sus contraseñas de acceso al servicio de almacenamiento en la nube. Algo que recomendaba únicamente de manera preventiva, sin haber registrado ningún tipo de ataque contra la plataforma, o al menos eso intentaba decir.

Pues bien, ahora acabamos de conocer que Dropbox ha sido hackeado y más de 68 millones de cuentas han sido robadas. Está claro que este tipo de servicios online es uno de los objetivos más interesantes para los hackers, ya que pueden hacerse con varios millones de credenciales, y en este sentido, nuevamente le ha tocado a Dropbox ser la víctima.

Dropbox no ha tardado en confirmar el hecho y ya está notificando a sus clientes que procedan lo antes posible con el cambio de la contraseña que les da acceso al servicio de almacenamiento en la nube para evitar mayores problemas. Aun así, Dropbox no ha especificado el número exacto de usuarios afectados por este hackeo.

Sin embargo, según los datos obtenidos por Leakbase, los hackers habrían conseguido robar más de 68 millones de cuentas, incluyendo las direcciones de correo y contraseñas de las mismas. Desde la fuente de la noticia, afirman que un empleado de Dropbox que no ha querido ser identificado, verifica la legitimidad de los datos, aunque asegura que casi 32 millones de las contraseñas robadas cuentan con un cifrado bastante fuerte y difícil de descifrar por parte de los hackers, por lo que no será tarea fácil que puedan llegar a conseguir la constraseña real, mientras que el resto están cifradas con un algoritmo algo más débil.

De cualquier manera, tal y como viene siendo habitual ante este tipo de situaciones, si eres usuario de Dropbox y dudas si tu cuenta puede estar entre los más de 68 millones de datos robados, lo mejor  es que accedas al servicio y procedas a cambiar la contraseña de acceso a tu cuenta para evitar mayores problemas.

Fuente:http://www.adslzone.net/

Noticias de seguridad informática

Una versión del ransomware FairWare destinada a servidores Linux

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/una-version-del-ransomware-fairware-destinada-servidores-linux/
TAGS: Linux, ransomware

Aunque por el momento solo son tres los administradores que han reportado esta infección, ya se sabe cómo funciona Internet. FairWare es una nueva amenaza que se está distribuyendo entre los servidores que hacen uso de alguna distribución Linux y que tal y como acostumbra a ser habitual, cifran los archivos ubicados en estos para evitar su acceso.

Sí que es verdad que por el momento es una cantidad poco significativa de usuarios afectados, aunque Internet tiene un gran poderío a la hora de distribuir este tipo de amenazas, contando con la ayuda de vulnerabilidades existentes en los equipos.

A diferencia de otras amenazas, esta deja un archivo que posee un enlace a una página de Pastebin, en la que se encuentran instrucciones y se puede ver como se pide la cantidad de 2 Bitcoins para recuperar el acceso a los archivos, es decir, poco más de 1.100 dólares.

Pero expertos en seguridad han descubierto algunos aspectos muy importantes que están relacionados directamente con la amenaza.

FairWare, un ransomware que no lo es

Aquellos que han tenido la oportunidad de analizar este virus informático han concretado que el comportamiento no corresponde con el de una amenaza de este tipo, ya que en vez de llevar a cabo el cifrado solo se limita a enviar los archivos a un servidor FTP propiedad de los ciberdelincuentes, por lo que no se produce el cifrado de la información sino más bien el secuestro de la misma.

Los archivos se almacenan en una carpeta cuyo nombre es un ID que corresponde con el número de infección, permitiendo de esta forma identificar el equipo y sus archivos, para que en el caso de que se produzca el pago enviar los archivos al equipo correcto.

Amenaza con poco futuro

O al menos eso parece, sí que es verdad que por el momento el número de servidores afectados es muy pequeño, pero la dirección del monedero Bitcoin utilizado indica que no se ha llevado a cabo ningún pago. Todo parece indicar que afectar a servidores web no es una buena opción, ya que independientemente de la presencia de paquetes afectados por vulnerabilidades, los administradores siempre suelen manejar copias de seguridad, con lo que se pondría solución al problema de forma más o menos sencilla.

Fuente:http://news.softpedia.com/

Noticias de seguridad informática

Una vulnerabilidad en la página de login de Google permite descargar malware al identificarse

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/una-vulnerabilidad-en-la-pagina-de-login-de-google-permite-descargar-malware-al-identificarse/
TAGS: Google, Malware

El analista de seguridad Aidan Woods ha encontrado una pequeña vulnerabilidad en la página de identificación de cuentas de Google. No afecta a nuestra privacidad, pero permite que se pueda modificar la URL para hacer que nos descarguemos cualquier archivo en el momento que pulsemos sobre el botón Siguiente para indentificarnos.

Por raro que parezca, tras haberles notificado la vulnerabilidad desde Google le respondieron a Woods que tras analizarla habían decidido no solucionarla. Esto quiere decir que se podrá seguir aprovechando, por lo que merece la pena que sepamos cómo funciona y cómo evitarla para no acabar descargando ningún malware no deseado.

Una vulnerabilidad simple, pero peligrosa

https://youtu.be/P0AMf7aBOfc

El problema reside en que Google permite introducir el parámetro "continue=[link]" en la URL de la página de identificación, que es el que le indica a la web a qué página redirigirnos una vez introduzcamos nuestras credenciales. Para tratar de evitar problemas, Google sólo permite introducir en ese parámetro direcciones que utilicen el dominio google.com.

Pero como vemos en el vídeo publicado por Woods, si alojamos un archivo en Google Drive y lo compartimos, la URL que se nos genera tendrá el dominio "drive.google.com", por lo que se podrá enlazar en el parámetro para hacer que nos lo descarguemos. Con ello, un atacante podría subir malware a su Google Drive y luego darnos una URL enlazándolo para que lo bajemos.

¿Y qué peligros puede suponer esta vulnerabilidad? Pues que por ejemplo podría ser utilizado correos y páginas de phishing que nos ofrezcan un servicio y publicación avisándonos de que será necesario identificarnos con la página de Google. Si con ello hace que nos bajemos unos programas con un nombre sugerente o relacionado con un servicio prometido, muchos usuarios poco precavidos podrían acabar picando.

Para evitarlo por lo tanto hay dos pasos sencillos, pero que que aun siendo aplicables a muchas vulnerabilidades no todo el mundo da. El primero es el de no instalar ningún programa que se descargue sin nuestro permiso, aunque como hemos visto se nos podría engañar para hacerlo. El segundo es el de revisar siempre la URL antes de identificarnos en cualquier sitio. Da igual sobre la que creamos haber pinchado, no cuesta nada confirmarlo en la barra de navegación.

Fuente:http://www.genbeta.com/

Noticias de seguridad informática

Simulan ventanas de soporte técnico de Microsoft para estafar a los usuarios de Google Chrome

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/simulan-ventanas-de-soporte-tecnico-de-microsoft-para-estafar-los-usuarios-de-google-chrome/
TAGS: Google Chrome, MICROSOFT

Son muchas las técnicas utilizadas hoy en día por aquellos ciberdelincuentes que tratan de engañar a sus víctimas para visitar sitios infectados con malware o descargar determinado software malicioso para posteriormente conseguir determinados datos del usuario con lo que puedan intentar sacar su propio beneficio.  Pues bien, ahora el equipo de investigadores de Malwarebyte, ha descubierto una nueva técnica utilizada por algunos ciberdelincuentes para tratar de engañar a sus víctimas en el momento que tratan de visitar la página de soporte técnico de Microsoft.

Concretamente, se trata de una amenaza diseñada para los usuarios del navegador Google Chrome, con la que gracias a la inserción de determinado código Javascript oculto en el navegador, las víctimas son engañadas en el momento que tratan de visitar la página de soporte técnico de Microsoft. Y es que este código lo que hace es activar el modo pantalla completa de Chrome y mostrar una imagen que simula ser la página de soporte de Microsoft.

En esta imagen se puede ver cómo se muestra en la barra de direcciones la dirección correcta del sitio en cuestión y es una copia exacta al sitio legítimo, lo que hace que muchos usuarios no detecten la diferencia. Además,  si el usuario trata de cerrar la aparente ventana, se encontrará con un bucle infinito de alertas que evitarán que sea cerrada y que simulan también ser ventanas emergentes nativas del navegador de Google.

Desde estas ventanas falsas, ofrecen teléfonos de ayuda, por supuesto ninguno de ellos pertenecen a los del soporte técnico de la compañía, y a través de los cuales trataran de conseguir determinada información para ser utilizada posteriormente y con ninguna buena intención. Incluso es probable que nos soliciten acceso remoto a nuestro equipo para ayudarnos a solucionar los problemas que tengamos. Algo que, sin duda, hará que abramos las puertas de nuestros equipos de par en par a los cibercriminales.

Por lo tanto, para evitar este tipo de amenazas, debemos tomarnos nuestro tiempo antes de llamar o iniciar cualquier otra acción que se nos solicite desde estas páginas de soporte para evitar que nuestro ordenador sea infectado. No obstante, si en algún momento sospechamos que ya hemos podido ser infectados, y tenemos alguna aplicación que les permita conectarse de manera remota a nuestro equipo, lo primero que debemos hacer esdesconectarnos o apagar el equipo y posteriormente tratar de escanear nuestro ordenador en busca de malware para evitar ser infectado por otros medios.

Fuente:http://www.adslzone.net

Noticias de seguridad informática

Juniper confirma que los exploits de la NSA no pueden ser explotados en ScreenOS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/juniper-confirma-que-los-exploits-de-la-nsa-no-pueden-ser-explotados-en-screenos/
TAGS: Juniper Networks, NSA, ScreenOS de Juniper

Los exploits que se filtraron de la NSA han afectado a una gran cantidad de equipos de red de grandes fabricantes como Cisco y Fortinet, quienes han confirmado que dichos exploits sí afectaron a sus cortafuegos, de hecho, ya lanzaron los correspondientes parches. Juniper también está afectado por estos exploits, pero no pueden ser utilizados de manera remota.

Derrick Scholl ha confirmado que la compañía Juniper también ha sido afectada por estos exploits en sus firewall. Los ingenieros de la compañía han estado investigando a fondo los diferentes exploits para conocer hasta qué punto afectan a sus equipos. En esta investigación han identificado un ataque que afecta a los dispositivos NetScreen que utilizan el sistema operativo ScreenOS de Juniper.

En sus análisis preliminares vieron que este exploit no es capaz de explotar ninguna vulnerabilidad en el sistema operativo, por lo que en principio sus equipos están a salvo de posibles ataques utilizando los exploits de la NSA filtrados.

Juniper confirma que el exploit de la NSA no afecta remotamente a sus dispositivos

A finales de la semana pasada, Juniper Networks ha confirmado que los exploits de The Shadow Brokers que tienen como objetivo los equipos con sistema ScreenOS, no incluyen ningún exploit que pueda ser ejecutado de manera remota.

Para ejecutar el exploit, el código malicioso debe ser cargado dentro de la memoria del sistema operativo ScreenOS, y para conseguirlo se debe tener privilegios de administrador o tener acceso físico al propio cortafuegos. Juniper ha concluido que esta vulnerabilidad no puede ser explotada de manera remota, ni tampoco de manera local sin privilegios, por tanto no lanzarán ningún tipo de actualización en sus sistemas.

El equipo de seguridad de Juniper, va a seguir estudiando el exploit para proporcionar a sus clientes un método para determinar si alguien ha instalado en el dispositivo el código malicioso.

Os recomendamos leer los avisos de seguridad de Juniper Networks donde encontraréis todas las actualizaciones y fallos de seguridad que se parchean todas las semanas. En el foro de Juniper, tenéis disponible un comunicado de Derrick Scholl donde explica todo lo que ha realizado la compañía en las últimas semanas.

Fuente:http://www.redeszone.net

Noticias de seguridad informática

Fantom, el ransomware que simula ser una actualización de Windows

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/fantom-el-ransomware-que-simula-ser-una-actualizacion-de-windows/
TAGS: Fantom, Malware

El ransomware es probablemente el mayor peligro informático de los últimos años. Este tipo de malware se hace con el control de tu ordenador impidiéndote usarlo. Además, no paran de salir nuevas variantes, como por ejemplo Fantom, el ransomware que simula ser una actualización crítica de Windows.

Este programa malicioso aparece como una ventana emergente mientras navegas. Te señala la imperiosa necesidad de actualizar Windows por motivos de seguridad, pero cuidado, si lo haces estarás dando vía libre al malware Fantom para secuestrar tu ordenador.

Una vez des el visto bueno a la supuesta actualización, se descargará a tu ordenador el archivo encargado de encriptar tu disco duro. Lo hará en segundo plano mientras te muestra una ventana con el progreso de la falsa actualización de Windows. Aunque quieras cerrarla y lo logres, el ransomware seguirá encriptando tus archivos.

El ransomware Fantom ha sido identificado por la empresa de seguridad informáticaAVG, autora de uno de los mejores antivirus gratis para ordenador. Han dado la voz de alarma, aunque afirman que poco se puede hacer para frenarlo una vez que ya ha infectado un PC.

La mejor forma de evitar ser infectado por virus, ransomware y otro tipo de malware, es hacer un uso responsable de la navegación por Internet. Pocos usuarios expertos caerían en la trampa de actualizar su sistema operativo porque un pop up del navegador se lo diga. Es lo que tienen los hackers, que siempre tratan de aprovechar la inocencia de los nuevos usuarios de Internet.

Además de los novatos, el principal objetivo del ransomware es el mundo empresarial. Al alojar en sus discos duros archivos de importancia capital para el funcionamiento de la corporación, cualquier empresa es objetivo potencial de un secuestro informático, ante el cual poco se puede hacer.

Como medida de precaución, es recomendable tener buenas copias de seguridad de todos los ficheros. Además, una buena suite informática bloqueará la descarga de los archivos maliciosos antes de que te puedan hacer daño alguno.

Fuente:http://computerhoy.com/

Noticias de seguridad informática

ssh-audit: Conoce esta herramienta para auditar tu servidor SSH y comprobar si es seguro

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/ssh-audit-conoce-esta-herramienta-para-auditar-tu-servidor-ssh-y-comprobar-si-es-seguro/
TAGS: OpenSSH, ssh-audit

Los principales servidores SSH que se utilizan ampliamente hoy en día son OpenSSH y también Dropbear SSH. OpenSSH es utilizado normalmente en ordenadores y servidores, mientras que Dropbear es el servidor SSH de routers, puntos de acceso y otros dispositivos de red que requieren que consuma pocos recursos. ssh-audit es una herramienta que nos ayudará a configurar de una manera segura nuestro servidor SSH.

ssh-audit es una herramienta totalmente gratuita, escrita en Python y que se encargará de escanear la configuración de nuestro servidor SSH y nos indicará si las diferentes configuraciones que hemos aplicado son seguras, o si por el contrario son débiles y hay que realizar cambios en la configuración de dicho servidor SSH.

Principales características de ssh-audit

Las principales características de ssh-audit es que es capaz de auditar todas y cada una de las partes del servidor SSH, podrá detectar el banner de inicio de sesión, detectará si estamos utilizando un protocolo totalmente inseguro como ssh1 e incluso si estamos utilizando compresión con la librería zlib.

A nivel de cifrado de comunicaciones, es capaz de verificar los algoritmos de intercambio de claves, la clave pública del host, el cifrado simétrico cuando ya se ha establecido la comunicación, y también los mensajes de autenticación de la información. Una vez que ha analizado todos y cada uno de estos parámetros, nos sacará un completo informe indicándonos desde cuando está disponible dicha opción, si ha sido eliminado o deshabilitado, si es inseguro, débil o si es seguro.

La herramienta nos marcará en diferentes colores cuando un determinado algoritmo es inseguro, débil o seguro, de esta manera podremos identificar rápidamente donde tenemos que intervenir para solucionarlo cuanto antes.

Otras características de esta herramienta es que nos permite mostrar la versión utilizada de SSH en base a la información de los algoritmos, además, tiene un histórico de OpenSSH y Dropbear para proporcionarnos la versión en la que se hizo un determinado cambio (se introdujo un nuevo cifrado, se quitó otro etc.).

Por último, ssh-audit no requiere dependencias, únicamente necesitamos instalado Python2 o Python3 en nuestro sistema operativo.

Utilización de ssh-audit

Lo primero que tenemos que hacer es bajarnos el archivo .py del GitHub oficial de ssh-audit, a continuación lo ejecutaremos como cualquier otra herramienta Python de la siguiente manera:

1	python ssh-audit.py [-nv] host[:port]

El argumento -n deshabilitará los diferentes colores en la salida de toda la información, y el -v nos mostrará absolutamente toda la información.

Os recomendamos visitar el GitHub de ssh-audit donde encontraréis toda la información sobre esta herramienta.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Vulnerabilidad de Facebook permite robar múltiples cuentas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-de-facebook-permite-robar-multiples-cuentas/
TAGS: facebook, hackear facebook
Una de las búsquedas más realizadas en Google es "cómo hackear Facebook", siendo la mayoría de resulados por no decir todos ellas estafas bien pensadas. Sin embargo, lógicamente hay gente que sería capaz de lograrlo, y en esta ocasión un Ingeniero de Software de Intel intentó hackear Facebook descubriendo así una vulnerabilidad presente.

Durante su investigación, Gurkirat Singh, residente en California, descubrió un gran agujero de seguridad en el mecanismo de reinicio de contraseñas de Facebook, el cual en última instancia permitiría acceder al perfil de cualquier usuario de la famosa red social. El fallo estaría presente en el código que se envía al interesado en esta situación.

Cuando te olvidas de tu contraseña, Facebook te envía un código a tu correo electrónico o por SMS, siendo siempre un código numérico formado por 6 dígitos, lo que significa que existe un máximo de 1.000.000 de combinaciones posibles antes de empezar a repetir códigos, siendo esta la causa del fallo.

Según nos cuenta Gurkirat, esto significa que si se diese el caso de que 1 millón de personas solicitasen un reinicio de contraseña al mismo tiempo o con poca diferncia de tiempo, la persona 1.000.001 acabaría obteniendo un código que ya ha sido asignado a otra persona recientemente al no existir más códigos numéricos.



Para demostrar que realmente esto ocurría así utilizó una forma de enviar 2 millones de solicitudes de reinicio de contraseñas diferentes a Facebook, combinándolo con IDs de usuario que previamente averiguó que eran válidas, y utilizando también un sistema para que cada solicitud tuviese una IP diferente.

El proceso finalmente le llevó al punto en el que tenía la dirección URL que el usuario debía utilizar para reiniciar su contraseña, permitiendo así cambiar la de cualquier cuenta. Sin embargo, para su sorpresa tras informar a Facebook, este error fue calificado de baja prioridad y fue recompensado con 500 dólares por descubrirlo.

Fuente:http://computerhoy.com/
Noticias de seguridad informática

Opera confirma que su servicio de sincronización ha sido hackeado

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/opera-confirma-que-su-servicio-de-sincronizacion-ha-sido-hackeado/
TAGS: Dropbox, Nube, Opera Sync

La compañía Opera, que recientemente acordó vender su negocio de navegación a un consorcio chino, se ha visto en la obligación de restablecer las contraseñas de los usuarios de uno de sus servicios después de que sus servidores fueran violados por unos hackers recientemente.

La compañía ha revelado que los atacantes tuvieron acceso a su conocido servicio Opera Sync, función que permite a los usuarios de laplataforma sincronizar sus datos del navegador y la configuración del mismo y de sus cuentas a través de múltiples dispositivos. De momento aún se está investigando el incidente, pero en un principio se cree que el ataque puede haber comprometido los datos de dichos usuarios incluyendo contraseñas y nombres de cuenta.

Hay que tener en consideración que en la actualidad Opera cuenta con 350 millones de usuarios en todo el mundo pertenecientes a toda su gama de productos, aunque por lo que han hecho público, tan solo una parte de los que utilizan el servicio de sincronización han sido afectados. Asimismo han afirmado que en el pasado mes esta funcionalidad contaba con 1,7 millones de usuarios activos, aunque se desconoce cuántos de estos se han visto afectados por el mencionado ataque externo. Es por ello que la firma ha tomado la determinación de restablecer todas las contraseñas. Para informar a sus clientes, la firma ya ha enviado por correo electrónico a todos ellos más detalles acerca de las medidas a tomar para prevenir la fuga de sus datos personales.

Es posible que tan solo hayan estado comprometidos algunos datos correspondientes a las contraseñas cifradas de sincronización, aunque se ha decidido restablecer todas ellas como medida de precaución. Además la noticia del ataque a Opera se produce un día después de que Dropbox emitiese un restablecimiento de contraseñas para las cuentas que no habían cambiado la misma desde el año 2012. Esto se produjo después de que el proveedor de servicios de almacenamiento en la Nube afirmase que los problemas de seguridad surgieron tras el hackeo masivo de LinkedIn en 2012, cuando las credenciales de 117 millones de cuentas fueron publicadas en Internet.

Relacionado: Si usas la misma contraseña en Dropbox desde 2012, vas a tener que cambiarla

En un principio el problema de Opera no parece estar relacionado con este hecho, además es llamativo que el ataque tan solo haya afectado a uno de los servicios de la firma de forma aislada, aunque la compañía tendrá que dar más explicaciones de todo ello una vez que haya terminado la investigación acerca de lo sucedido.

Fuente:http://www.adslzone.net/

Noticias de seguridad informática

10 vulnerabilidades comunes que afectan a la seguridad de base de datos empresariales

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/10-vulnerabilidades-comunes-que-afectan-la-seguridad-de-base-de-datos-empresariales/
TAGS: auditoría de base de datos, seguridad de base de datos, seguridad web, vulnerabilidades de base de datos
Las infraestructuras de las base de datos para empresas, que a menudo contienen las joyas de la corona de una organización, están sujetas a una amplia gama de ataques contra seguridad de base de datos.

Con ayuda de los expertos de seguridad web de Instituto Internacional de seguridad cibernética IICS hemos enumerado los más críticos de estos, seguido de recomendaciones para mitigar el riesgo de cada uno.

1.Los privilegios excesivos

Cuando a los usuarios (o aplicaciones) se conceden privilegios de base de datos que exceden los requerimientos de su función de trabajo, estos privilegios se pueden utilizar para obtener acceso a información confidencial. Por ejemplo, un administrador de una universidad cuyo trabajo requiere acceso de sólo lectura a los archivos del estudiante puede beneficiarse de los derechos de actualización para cambiar las calificaciones explica experto de auditoría de base de datos y seguridad de base de datos.

La solución a este problema (además de buenas políticas de contratación) es el control de acceso a nivel de consulta. El control de acceso a nivel de consulta restringe los privilegios de las operaciones a solo utilizar los datos mínimos requeridos. La mayoría de las plataformas de seguridad de bases de datos nativas ofrecen algunas de estas capacidades (triggers, RLS, y así sucesivamente), pero el diseño de estas herramientas manuales las hacen impracticables en todo excepto en las implementaciones más limitados según experiencia de expertos de seguridad web.

2. Abuso de privilegios

Los usuarios pueden abusar de los privilegios de acceso de datos legítimos para fines no autorizados acuerdo a los expertos de auditoría de base de datos y seguridad web. Por ejemplo, un usuario con privilegios para ver los registros de pacientes individuales a través de una aplicación de la asistencia sanitaria personalizada puede abusar de ese privilegio para recuperar todos los registros de los pacientes a través de un cliente MS-Excel.

La solución está en la política de control de acceso que se aplican no sólo a lo que los datos son accesibles, pero ¿cómo se accede a los datos? Al hacer cumplir las políticas de seguridad web, sobre cosas como la ubicación, el tiempo, el cliente de aplicación y el volumen de los datos recuperados, es posible identificar a los usuarios que están abusando de los privilegios de acceso.

3. Elevación de privilegios no autorizados

Los atacantes pueden aprovechar las vulnerabilidades en el software de gestión en la base de datos para convertir los privilegios de acceso de bajo nivel de privilegios de acceso de alto nivel. Por ejemplo, sin seguridad de bases de datos, un atacante podría aprovechar una vulnerabilidad de desbordamiento de búfer de base de datos para obtener privilegios administrativos.

Exploits de elevación de privilegios pueden ser derrotados con una combinación de control de acceso a nivel de consulta, auditoría de base de datos y los sistemas de prevención de intrusiones (IPS) tradicionales. Control de acceso a nivel de consulta puede detectar un usuario que de repente utiliza una operación de SQL inusual, mientras que un IPS puede identificar una amenaza específica de seguridad web documentada dentro de la operación.

4. Vulnerabilidades de la plataforma

Las vulnerabilidades en los sistemas operativos subyacentes pueden conducir al acceso no autorizado a datos y la corrupción.

Acuerdo a cursos de seguridad web de iicybersecurity IICS, herramientas de IPS son una buena manera de identificar y / o bloquear ataques diseñados para aprovechar las vulnerabilidades de la plataforma de base de datos.

 

5. Inyección de SQL

Ataques de inyección SQL implican a un usuario que se aprovecha de vulnerabilidades en aplicaciones web y procedimientos almacenados para proceder a enviar consultas de bases de datos no autorizadas, a menudo con privilegios elevados.

Soluciones de seguridad de bases de datos, auditoría de base de datos, control de acceso a nivel de consulta detecta consultas no autorizadas inyectadas a través de aplicaciones web y / o procedimientos almacenados.

 

6. Auditoría Débil

Las políticas débiles de auditoría de base de datos representan riesgos en términos de cumplimiento, la disuasión, detección, análisis forense y recuperación.

Por desgracia, el sistema de gestión de base de datos nativa (DBMS) audita las capacidades que dan lugar a una degradación del rendimiento inaceptable y son vulnerables a los ataques relacionados con el privilegio-- es decir, los desarrolladores o administradores de bases (DBA) puede desactivar la auditoría de base de datos.

La mayoría de las soluciones de auditoría de base de datos también carecen del detalle necesario. Por ejemplo, los productos DBMS rara vez se registran qué aplicación se utiliza para acceder a la base de datos, las direcciones IP de origen y falló de consultas.

Las soluciones de auditoría de base de datos basados en la red son una buena opción. Tales soluciones de auditoría de base de datos no deben tener ningún impacto en el rendimiento de base de datos, operan de forma independiente de todos los usuarios y ofrecen la recopilación de datos a detalle.

 

7. Denegación de servicio

La denegación de servicio (DoS) puede ser invocada a través de muchas técnicas. Las técnicas más comunes de DOS incluyen desbordamientos de búfer, corrupción de datos, la inundación de la red y el consumo de recursos.

La prevención de DoS debería ocurrir en múltiples capas que incluyendo los de red, aplicaciones y bases de datos según recomendaciones de cursos de seguridad de bases de datos y seguridad web.

Recomendaciones sobre las bases de datos incluyen el despliegue de un IPS y controles de la velocidad de conexión. Al abrir rápidamente un gran número de conexiones, los controles de velocidad de conexión pueden impedir que los usuarios individuales usan los recursos del servidor de base de datos.

 

8. Vulnerabilidades en los protocolos de las bases de datos

Las vulnerabilidades en los protocolos de bases de datos pueden permitir el acceso no autorizado a datos, la corrupción o la disponibilidad. Por ejemplo, SQL Slammer worm se aprovechó de una vulnerabilidad de protocolo de Microsoft SQL Server para ejecutar código de ataque en los servidores de base de datos destino.

Los protocolos de ataques pueden ser derrotados mediante el análisis y validación de las comunicaciones de SQL para asegurarse de que no están malformados. Pueden aprender más sobre este ataque durante cursos de seguridad de bases de datos y seguridad web de iicybersecurity.

 

9. Autenticación débil

Los esquemas de autenticación débiles permiten a los atacantes asumir la identidad de los usuarios de bases de datos legítimos. Estrategias de ataque específicas incluyen ataques de fuerza bruta, la ingeniería social, y así sucesivamente.

La implementación de contraseñas o autenticación de dos factores es una necesidad. Para la escalabilidad y facilidad de uso, los mecanismos de autenticación deben integrarse con las infraestructuras del directorio / gestión de usuarios de la empresa y seguridad web.

 

10. La exposición de los datos de backup

Algunos ataques recientes de alto perfil han involucrado el robo de cintas de backup de base de datos y discos duros.

Todas las copias de seguridad deben ser cifradas. De hecho, algunos proveedores han sugerido que los futuros productos DBMS no deberían admitir la creación de copias de seguridad sin cifrar. El cifrado de base de datos en línea es un pobre sustituto de controles granulares de privilegios acuerdo a expertos de seguridad de base de datos.

Conclusión

Aunque las bases de datos y su contenido son vulnerables a una serie de amenazas internas y externas, es posible reducir los vectores de ataque casi hasta cero con ayuda de soluciones de seguridad web. Al abordar estas amenazas contra seguridad de base de datos conocerás los requisitos de las industrias más reguladas en el mundo.
Noticias de seguridad informática

Utilizan scripts PowerShell para robar las credenciales de IIS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/utilizan-scripts-powershell-para-robar-las-credenciales-de-iis/
TAGS: PowerShell

El comienzo de está práctica de remonta a principios de este mes, detectando expertos en seguridad algunas prácticas contra el servicios IIS de los sistemas operativos Windows, permitiendo el robo de contraseñas almacenadas en texto plano en los archivos de configuración. Para ello se están ayudando de scripts que se ejecutan haciendo uso la aplicación PowerShell que poseen los últimos sistemas operativos de los de Redmond.

Hay que decir que el ataque se produce en equipos que se han visto comprometidos anteriormente, buscando los archivos de configuración de este servicio que está incluido en los últimos sistemas operativos aunque por defecto no está activado.

Los usuarios deberán activarlo si quieren disfrutar de este haciendo uso del menú “Activar características de Windows”.

Hay que decir que este módulo muchas veces almacena contraseñas que permiten el acceso a otros programas y viceversa, algo que interesa y muchos a los ciberdelincuentes, de ahí que busquen de alguna forma obtener estas credenciales que por ejemplo permiten la conexión y el manejo de los datos de la base de datos.

El script utilizado por estos para perpetrar el robo se almacena en la carpeta del sistema /TEMP, utilizando tal y como hemos dicho la PowerShell para ejecutar este sin que el usuario sea consciente de qué es lo que está sucediendo, algo que acostumbra a ser lo habitual y que les permite disponer de cierta ventaja hasta que esto sucede.

La finalidad parece bastante clara, ya que los servidores web y los servicios involucrados comparten mucha información, de ahí que se busque los archivos de configuración y así encontrar los datos de acceso utilizados por este para conectarse a bases de datos o servidores FTP, almacenados en ambos casos información que puede resultar muy valiosa.

No es la única noticia que hemos dado esta semana relacionada con la seguridad de los sistemas operativos de los de Redmond, ya que también hemos hablado de la utilización de máquinas virtuales para ocultar la actividad de los ciberdelincuentes y hacer esta invisible ante la presencia de amenazas de seguridad.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Las mejores 12 Aplicaciones para hackear una Contraseña de WiFi en Android

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/las-mejores-12-aplicaciones-para-hackear-una-contrasena-de-wifi-en-android/
TAGS: WLAN Wi-Fi

Han sido elegidas esencialmente para satisfacer el hacker ético que busca un poco de diversión y aventura, mientras que se aprende a utilizar la tecnología más allá de las funciones normales del usuario:

1. WiFi Password Hacker Prank!

Enlace de Descarga de Google Play : https://play.google.com/store/apps/details?id=com.prankapps.wifipasswordhacker

Descripción: Este es uno de los mejores hackers de contraseña WiFi gratuito disponible para su descarga en Google Play. Es básicamente una aplicación de diversión por parte del usuario que puede mostrar con orgullo una contraseña de red WiFi a sus amigos y familiares. En la plataforma Android, los usuarios pueden elegir una red WiFi y luego optar por Wi-Fi anclaje de red o punto de acceso. WiFi Password Hacker Prank es luego puesto en marcha. Al pulsar el botón de configuración, los usuarios pueden entonces elegir entre WPA, WPA2, WEP, etc. Los usuarios de Android luego, pueden seleccionar el modo WLAN Wi-Fi Prank para comenzar acercarnos al robo de la contraseña WiFi. Se tarda alrededor de 15 minutos, después de lo cual aparece la contraseña de Wi-Fi en la pantalla. Esto es sólo una aplicación de diversión de robo de contraseña WiFi para Android y no puede ser utilizada para introducirse en los sistemas WiFi.

Calificación de Usuarios Google Play: 4.7

2. WiFi Password (ROOT)

Enlace de Descarga de Google Play:  https://play.google.com/store/people/details?id=113437814143350043826

Descripción: La aplicación está destinada a entrar en el sistema y memorizar todas las contraseñas Wi-Fi en la configuración. Los desarrolladores no planean para distribuir como una galleta la contraseña de WiFi. Hace el trabajo y es capaz de mostrar las contraseñas, pero WiFi Password Android debe ser usado con discreción y sólo después de pedir permiso a los vecinos. Una buena manera de utilizar la aplicación es encontrar contraseñas y voluntariamente compartir conexiones WiFi con otros. Cada vez que se cambia la contraseña, se visualiza a través de la aplicación. Tiene sus limitaciones y es probable que un mal funcionamiento en Android 6.0.1 y el sistema operativo marshmallows

Calificación de Usuarios Google Play: 3.7

3. Hack WiFi Joker

Enlace de Descarga de Google Play: https://play.google.com/store/apps/details?id=hack.wifi.joke

Descripción: La herramienta explora las contraseñas y genera rápidamente contraseñas inalámbrica. La aplicación tiene la capacidad de escanear cualquier conexión Wi-Fi en torno a un usuario. Se puede escoger una red Wi-Fi en particular. La aplicación se ejecuta entonces para robar la contraseña de WiFi Android. Esta aplicación está destinada nuevamente para iniciar una broma y no debe ser utilizada como una herramienta de robo informático.

Calificación de Usuarios Google Play: 4.0

4. WiFi Chua 2016

Enlace de Descarga de Google Play:  https://play.google.com/store/apps/details?id=vn.wifichua.wififree

Descripción: Lanzado en 2016 como una actualización de la publicación temprana de Android Wi-Fi Temple, se han añadido varias características nuevas que incluye más de 2 millones de lugares de Vietnam. Los usuarios también pueden utilizar la característica fuera de línea para descargar 24/7 totalmente libre de costo. Los usuarios pueden encontrar Wi-Fi gratuito y sin el uso de 2G, LTE o 4G. La aplicación sólo funciona dentro de los 63 provincias de Vietnam y por lo tanto es útil para la comunidad local. Tiene características de gran alcance y es definitivamente una actualización mejor que la versión anterior.

Calificación de Usuarios Google Play: 4.2

5. Hack WiFi Password 2016 Prank

Enlace de Descarga de Google Play:  https://play.google.com/store/apps/details?id=com.wifi.password.hacker2016.fun

Descripción: La nueva aplicación WiFi es otro aspirante que pretende romper las contraseñas de las redes cercanas que les permiten ganar acceso a los piratas informáticos. La aplicación es sólo para jugarle una broma a los amigos. Esta es la forma en que se utiliza. El teléfono Android con la aplicación instalada debe estar cerca de una red privada, WiFi anclaje de red o zona interactiva. La herramienta se pone en marcha y empieza a detectar redes inalámbricas. Seleccione el ID que se requiere. La herramienta analiza el ID y muestra el proceso de rotura, finalmente, dará con una contraseña falsa. Los desarrolladores indican claramente que la herramienta esta hecha para la diversión y realmente no piratea contraseñas WiFi.

Calificación de Usuarios Google Play: 3.7

6. Hacking WiFi prank

Enlace de Descarga de Google Play:  https://play.google.com/store/apps/details?id=dab.NewAndroidapps.hackerwifi

Descripción: La nueva versión 2016 trabaja en los mismos fundamentos y está destinada a ser una herramienta de broma. La herramienta libre de seguridad va a generar claves de contraseña Wi-Fi gratuitos. A continuación, pretende introducirse en la configuración de su red WiFi imitando el proceso de codificación normalmente inicializado por los programadores. Cuando se carga la aplicación, aparece una lista de redes WiFi. Los usuarios de Android tienen la opción de seleccionar una red en particular y la contraseña de la aplicación de hackers WiFi para Android funciona en segundo plano para generar una entrada WiFi gratuita. La simulación está destinado a ser un ejercicio que genera de forma aleatoria contraseñas falsas.

Calificación de Usuarios Google Play:  3.8

7. Hack WiFi Password 2016 (PRANK)

Enlace de Descarga de Google Play : https://play.google.com/store/apps/details?id=com.agun.hacifi.icon2016

Descripción: Ahora es posible impresionar a los amigos rompiendo la diferencia entre la red Wi-Fi y la producción de contraseñas que parezcan auténticos pie de página que en realidad son animaciones falsas. El proceso es muy profesional, donde se le permite a los usuarios elegir entre WEP, WEP2 y otros cifrados antes de ejecutar la aplicación. WiFi Password Hacker Android es básicamente publicado en el mercado como un programa pirata para bromas. La broma es especialmente eficaz cuando se hace frente a los vecinos. Lo mejor es mantenerlos informados.

Calificación de Usuarios Google Play: 4.0

8. WiFi Password 2016

Enlace de Descarga de Google Play:  https://play.google.com/store/people/details?id=109700732332428497706

Descripción: El Android tiene que ser compatible con el RUTEO para inicializar la aplicación. Los desarrolladores sugieren instalar FramaRoot o KingRoot dentro del Foro de XDA para preparar el móvil Android para el RUTEO antes de instalar la aplicación. Básicamente memoriza la contraseña y no pretende introducirse en el producto sistema de contraseñas basura WiFi para cualquier red. Los desarrolladores han lanzado una versión profesional sin anuncios que básicamente realizan las mismas funciones.

Calificación de Usuarios:  3.9

9. Anonymous - Hacking O.S.

Enlace de Descarga de Google Play:   https://play.google.com/store/apps/details?id=com.The404Corporation.GamesSlot5

Descripción: Los desarrolladores lo llaman un juego que simula un sistema operativo anónimo que produce códigos de hackers con nombres divertidos como Galleta, Barra de Herramientas, y Decypher añadidos al sistema. El equipo de desarrolladores es conocido por ofrecer actualizaciones automáticas semanales creando más y mejores simulaciones.

Calificación de Usuarios Google Play: 4.7

10. Hacker Wi-Fi Password Prank

Enlace de Descarga de Google Play: https://play.google.com/store/apps/details?id=com.artprank.wifi.password.finder.prank.free

Descripción: Al igual que otros dispositivos de piratería WiFi, el simulador produce contraseñas falsas de una manera muy profesional mostrando en realidad IDs de redes WiFi y a continuación, generando contraseñas para cualquiera de los identificadores de la lista. La aplicación  Wifi Password Hacker para Android fue lanzada en el 2015, pero ha generado suficiente buena voluntad como una divertida herramienta destinada a hacer bromas. La aplicación ha recibido una buena dosis de comentarios positivos clasificado entre las mejores herramientas de broma en el 2016 también.

Calificación de Usuarios Google Play:  4.1

11. WiFi Hacker Password Prank

Enlace de Descarga de Google Play:  https://play.google.com/store/apps/details?id=com.inesapps.prank.wifi.hacking.password

Descripción: La aplicación se conecta con redes cercanas. Los usuarios pueden hacer clic en cualquier red disponible y ejecutar la aplicación como un programador. El proceso es claramente visible para las personas puedan seguir el proceso y las contraseñas de imitación en realidad aparecen al final del ejercicio. Los desarrolladores indican claramente que el WiFi Password Hacker Android es para fines de entretenimiento y en realidad no hackear ningún router inalámbrico.

Calificación de Usuarios Google Play:  4.0

12. WiFi Password Hacker Prank

Enlace de Descarga de Google Play:  https://play.google.com/store/apps/details?id=com.droid.developer.wifipassword

Descripción: Simula el proceso de hackeo de una red inalámbrica en un móvil Android, la aplicación se llama Hacker Prank y sorprenderá a sus amigos por el proceso de formación de imágenes que se muestra. Los usuarios pretenden ejecutar la aplicación cerca de la red Wi-Fi y luego seleccionar un ID específico. Un cuadro de diálogo aparecerá con la contraseña Wi-Fi. La aplicación simulada se distribuye de forma gratuita y es una de las mejores herramientas Android de hackeo de contraseña WIFI.

Calificación de Usuarios Google Play: 4.1

Los usuarios están realmente conscientes que todas estas aplicaciones están destinadas a hacer bromas y realmente no producen una secuencia de contraseñas genuinas para redes Wi-Fi. Todos ellos están listados en Google Play y calificados por los usuarios en base a la experiencia que han tenido en jugarle bromas a sus amigos.

 Fuente:https://drfone.wondershare.com

Noticias de seguridad informática

OSSEC Wazuh, un monitor de seguridad para redes de ordenadores

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/ossec-wazuh-un-monitor-de-seguridad-para-redes-de-ordenadores/
TAGS: OSSEC, redes

Cada vez es más frecuente ver cómo las grandes empresas trabajan con enormes redes de ordenadores, tanto físicas (formadas por servidores y hosts) como en la nube. Sin embargo, estas redes a menudo se ven amenazadas por piratas informáticos que buscan comprometer los datos de las compañías y, si pueden hacerse con información confidencial que, posteriormente, venderán al mejor postor. Las amenazas siempre se esconden donde menos lo esperamos, y por ello, las grandes redes de ordenadores deben contar con monitores de seguridad capaces de detectar cualquier amenaza que pueda esconderse en la red, como es el caso de OSSEC Wazuh.

Antes de empezar a hablar de Wazuh debemos conocer el proyecto OSSEC. Este proyecto empezó a funcionar en 2004 y fue comprado por Trend Micro en 2009 manteniendo naturaleza gratuita y de código abierto. El proyecto OSSEC es una herramienta de detección de intrusos a nivel de red (HIDS) de código abierto, multiplataforma y escalable que cuenta con un potente motor de análisis, funciones de análisis de logs, comprobaciones de integridad, supervisión del registro de Windows y la detección de rootkits en tiempo real, entre otras de sus funciones.

OSSEC Wazuh, un fork de OSSEC reforzado y que cumple con las normativas de seguridad

Wazuh, también conocido como OSSEC Wazuh, es una completa herramienta derivada directamente de los repositorios OSSEC de manera que se pueda brindar un soporte completo a la red, cumplir con las normativas de seguridad y dotar a la herramienta de varias funciones de administración adicionales. Esta plataforma cumple sin problemas con las funciones de monitor y control de sistemas e implementa además módulos HIDS (para detectar intrusos en las redes) mejorados y funciones de seguimiento y control de estado de servidores para ofrecer a los usuarios una completa solución de monitor y seguridad totalmente de código abierto y, sobre todo, con soporte especializado.

Wazuh aporta una serie de características y módulos adicionales de código abierto al proyecto OSSEC como:

• OSSEC Wazuh Ruleset – Incluye el kit de reglas necesarias para que la herramienta sea capaz de cumplir con las normas PCI DSS v3.1 y CIS, así como con otras reglas adicionales para detectar posibles amenazas y poder descifrar el tráfico para un análisis a bajo nivel. Estas reglas se actualizan periódicamente.


• OSSEC Wazuh fork – Ofrece capacidades de registro JSON extendidas para una integración más fácil con herramientas de gestión de registros (logs) de terceros. También se incluyen modificaciones de los binarios OSSEC para implementar la RESTful API.


• OSSEC Wazuh RESTful API – Se utiliza para monitorizar y controlar toda una instalación OSSEC, Esta API proporciona una interfaz para controlar el administrador desde cualquier máquina capaz de enviar una petición HTTP.


• Cuenta con una serie de paquetes precompilados para facilitar su instalación en sistemas como RedHat, CentOS, Fedora, Debian, Ubuntu y Windows.


• Scripts Puppet para automatizar todo el proceso de implementación y configuración de la infraestructura.


• Ofrece contenedores Docker para virtualizar fácilmente toda la plataforma.

Podemos obtener más información sobre Wazuh desde la página web principal del proyecto, desde donde también podemos acceder a una completa documentación sobre OSSEC Wazuh donde se nos explican todas sus funciones y características y la puesta en marcha de esta plataforma.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Debugging con Radare2: cambiando el comportamiento de una amenaza

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/debugging-con-radare2-cambiando-el-comportamiento-de-una-amenaza/
TAGS: Debugging, Radare2

Muchas veces los ciberdelincuentes utilizan lenguajes de programación como C, C++ y Delphi para desarrollar amenazas informáticas. Pero una vez compiladas, no hay forma de extraer el código fuente de estas tecnologías, lo cual presenta cierta complejidad para los investigadores de seguridad al momento de comprender qué intenciones tiene una amenaza y a partir de ello desarrollar una solución para eliminarla.

Supongamos que nos encontramos en presencia de una amenaza que contiene técnicas antidebugging en su código para evitar que algún usuario descubra su actividad en un equipo. A continuación, podemos observar que nuestra aplicación “crack_me_353T” evaluará si se encuentra siendo depurada o no y, dependiendo de esa condición, se ejecutará el mensaje correspondiente.

Para iniciar Radare2 en modo debug, debemos ejecutar el siguiente comando en consola: radare2 –Ad, donde con la letra “A” se analizarán diferentes aspectos del ejecutable y con “d” ejecutamos la aplicación en modo debug. Luego de haber ejecutado la aplicación, con “dc” le indicamos a radare2 que continúe corriendo el programa.

Como mencionamos anteriormente, el software identificó que lo estaban depurando y lo evidencia con un mensaje en consola:

Como primera instancia, analizaremos el programa estáticamente; para ello iniciaremos nuevamente en una consola radare2 más el archivo con el que estemos trabajando. Una vez que la herramienta haya cargado, utilizaremos aaa para que realice un análisis de todo el ejecutable, para luego emplear afl, comando que nos listará todas las funciones encontradas por la herramienta. En dicha lista, podemos destacar “sym.main” que es la función principal del programa:

Abriendo el modo visual de radare2 sobre la función “sym.main”, tendremos la estructura del código en instrucciones de bajo nivel, pero de una modo más agradable, ayudando al usuario identificar determinadas estructuras, como por ejemplo bucles o condicionales. Si prestamos atención en las dos últimas líneas del primer bloque tenemos:

0x0804847a     85c0           test eax, eax

 0x0804847c     7913           jns 0x8048491

En la primera línea se verifica si el contenido de registro EAX es menor a 0. De ser así, se establecerá el SF (sign flag) en 1. En la segunda línea nos encontramos con la operación JNS (Jump on No Sign), esto quiere decir que si el SF es igual a 0 el programa continuará en la dirección que se indica (0x08048491), de lo contrario, no realiza el salto y continúa con la próxima operación.

En resumen, si el registro SF se encuentra en uno (SF=0x00000001), el programa determinará que se encuentra siendo depurado. Caso contrario, SF contiene el valor cero (SF=0x00000000), lograremos eludir la protección de anti debugging. En la siguiente captura podemos ver con más claridad lo desarrollado:

Como ya conocemos qué condiciones y valores se establecen durante la ejecución, tenemos los datos necesarios para modificar el binario y lograr dar el salto a la dirección 0x08048491, para obtener como resultado el mensaje “We Live Security!”.

Como mencionamos, JNS es un salto condicional. Por lo tanto, podríamos reemplazar esa instrucción por otra, JMP (Jump), quedándonos como resultado la línea en hexadecimal ed 13. Para modificar el binario necesitamos utilizar un editor hexadecimal y para nuestra suerte, con Radare2 podemos realizar esta acción.

Utilizando -Aw abrimos el ejecutable en modo de escritura. Luego debemos situarnos sobre la dirección que queremos editar; el comando adecuado para esto es s más la dirección de memoria. Como vemos en la captura que se encuentra más adelante, haciendo uso de pd y la cantidad debytes que deseemos podemos mostrar en consola el desensamblado del binario que hemos indicado.

Ahora sí, como mencionamos antes, tenemos que modificar el valor “79” por “eb” y por lo tanto, conwx eb13 reemplazamos los hexadecimales que necesitamos. Nuevamente volvemos a imprimir el desensamblado y podemos observar que el binario ya se encuentra modificado:

Ahora, debemos verificar si los cambios que realizamos fueron los correctos para que el ejecutable no identifique que se encuentra siendo depurado. Una vez más, corremos la aplicación en mododebug y como resultado final, podemos observar que el mensaje ha cambiado. Esto quiere decir que logramos que el flujo de ejecución del programa sea diferente del que teníamos al principio:

Como puedes ver, esta es una de tantas técnicas o procedimientos que podríamos realizar al momento de aplicar ingeniería inversa sobre un código malicioso, como así también eludir metodologías de anti virtualización y de esta manera profundizar y comprender completamente el objetivo de una amenaza. La ingeniería inversa muchas veces es empleada para desarrollar productos que sean compatibles con otros sin conocer detalles de desarrollo de éstos últimos, y es empleada para comprobar la seguridad de un software para detectar y mitigar efectos no deseados en estos.

Claramente Radare2 no tiene nada que envidiarle a otras aplicaciones open source o de pago, como lo son OllyDbg, GNU Debugger, Immunity Debugger o IDA Pro, entre las más conocidas, ya que nos brinda todo lo que necesitamos para encarar y llevar a cabo una investigación.

Fuente:http://www.welivesecurity.com/

Noticias de seguridad informática

Así es UKI, el chip NFC que integra claves criptográficas en tu cuerpo

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/asi-es-uki-el-chip-nfc-que-integra-claves-criptograficas-en-tu-cuerpo/
TAGS: chip North Sense
La ciencia ficción está a punto de convertirse en una realidad. Gracias al biohacking los seres humanos llevaremos chips integrados en el cuerpo como UKI, que colocará claves de cifrado bajo nuestra piel.

Puede que las películas de ciencia ficción estén a punto de hacerse realidad. Puede que, dentro de no mucho tiempo, los dispositivos móviles que ahora llevamos en los bolsillos acaben por ser como otro miembro más de nuestro cuerpo. Actualmente se pueden encontrar nuevas tecnologías que permitirían que gran parte de la información que tu teléfono contiene se almacenase en un chip implantado bajo tu piel. Ya existen ejemplos de esto mismo que contamos y que comentaremos más adelante, que nos han hecho plantearnos cuánto le falta al ser humano para acabar convertido en algo más que humano. ¿En un cíborg, quizá?

Pero este artículo no va de eso. No queremos enzarzarnos en disertaciones filosóficas que, por muy interesantes que puedan ser, no llevan a ninguna parte. Eso tendremos que reservarlo para otra ocasión. El propósito de estas líneas no es otro que hablar de Amal Graafstra, fundador de la empresa Dangerous Things y de sus interesantes proyectos en estos aspectos.

Una de sus propuestas es UKI, un chip de seguridad compatible con NFC que se implanta bajo la piel. Este pequeño aparato electrónico permite a cualquier usuario que lo lleve integrar claves criptográficas en su cuerpo, tema que vamos a intentar tratar con más profusión aquí.

https://www.youtube.com/watch?v=0s5muI14wHM#t=13

¿Qué es UKI y para qué sirve?

Como casi todo el mundo hoy en día, tienes una identidad física y una digital. La identidad física es la que acompaña a tu persona y que se puede leer en tu DNI: quién eres, dónde naciste, quiénes son tus padres, dónde vives... Por otro lado tu identidad digital habla de tus cuentas de correo electrónico, las tiendas online donde compras, las redes sociales de las que formas parte y demás. Con UKI lo que se pretende escombinar la identidad física y la identidad digital.

Según se ha publicado en Motherboard se están desarrollando otras aplicaciones para UKI que van desde usos orientados al tráfico rodado, a llevar encima carteras de bitcoins. En teoría hay más aplicaciones en camino que deberían ver la luz cuando UKI sea lanzado al público en 2017, pero por ahora Graafstra cree que los pagos y el tráfico son los dos principales leit motivs de su invento.

Cuando piensas en la posibilidad de librarte de tus llaves y tu cartera, estás hablando de algo que cualquier persona de a pie puede respaldar. (Amal Graafstra)

El kit de Dangerous Things para implantarse UKI es relativamente barato -cuesta unos 100 dólares-, pero el público todavía no se siente del todo cómodo con la tecnología implantable y es totalmente comprensible. A nadie le gusta que le pinchen como una aguja, menos aún que le coloquen un chip bajo la piel.

UKI no es el primer chip de su clase

El biohacking todavía parece ser algo muy lejano en el tiempo, pero ya ha habido personas que se han implantado piezas electrónicas en su cuerpo. El primero de todos fue el ingeniero Kevin Warwick, que en 1998 se colocó a sí mismo un chip en su cuerpo y dio lugar a todos los casos de hacking corporal que han venido después.

Otro ejemplo bastante sonado fue el del desarrollador sueco Patrick Lanhed, que se implantó en la mano un chip para hacer pagos digitales. Se trata de un componente electrónico tan grande como un grano de arroz, pero que permite tener almacenado en su interior distintos tipos de datos e información.

https://www.youtube.com/watch?v=b9T7YvCvCyQ

Otro caso en el que los implantes corporales se han convertido en actualidad fue el del chip North Sense, impulsado por Cyborg Nest. Este chip permite que los seres humanos tengan un sentido de la orientación similar al de los animales, vibrando cada vez que el usuario apunta al norte magnético. Dentro de la empresa que lo desarrolla podemos encontrar personalidades tan célebres como la de Neil Harbisson.

El futuro ya está aquí. Ahora sólo queda por saber si queremos ser parte de él o que sea parte de nosotros.

Fuente:http://www.malavida.com/

Noticias de seguridad informática

Cómo evitar que WhatsApp comparta nuestros datos con Facebook

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/como-evitar-que-whatsapp-comparta-nuestros-datos-con-facebook/
TAGS: facebook, WhatsApp

La nueva política de privacidad de WhatsApp, la aplicación de mensajería instantánea que compró Facebook en el 2014, otorga permisos a la red social para conectarse a la cuenta del usuario. Esto, dicho de otra forma, significa que Zuckerberg y compañía tendrán, a partir de ahora, más datos sobre sus usuarios. En un futuro próximo, Facebook nos sugerirá que añadamos a nuestra lista de amigos algunoscontactos almacenados en la agenda del smartphone.

El contenido de los mensajes de WhatsApp, como conversaciones e imágenes, están cifrados de extremo a extremo. Por lo tanto, la red social no podrá acceder a esta información, pero sí que podrá extraer otro tipo de datos, como números de teléfonos y otras informaciones relacionadas con el dispositivo del usuario y el sistema operativo.

La nueva política de privacidad de WhatsApp ha alimentado el descontento de buena parte de los usuarios. Los detractores argumentan que su número de teléfono no es una simple mercancía y que prefieren mantener separada su vida personal, la de las redes sociales, de la privada. Y es que en nuestras agendas telefónicas no solo guardamos el contacto de nuestros amigos, también el de compañeros del trabajo, jefes y clientes, por ejemplo.

A su vez, Facebook ha respondido que no revelará los números de teléfono en los perfiles de los usuarios. Por otro lado, ha reconocido que utilizará toda esta información para mejorar los algoritmos que sugieren amistades en la red social. En cualquier caso, aceptando la política de privacidad de la aplicación de mensajería instantánea, se nos animará a agregar a todo tipo de contactos de WhatsApp. Con todo, hay una alternativa para todos aquellos que prefieran mantener la independencia entre estas dos apps.

Los cambios llegarán de forma gradual a todos los usuarios a través de distintas actualizaciones de software. Por el momento, WhatsApp ofrece una solución para todos aquellos que quieran evitar compartir su número de teléfono y otras informaciones sensibles con Facebook. Proteger nuestros datos es muy sencillo.

¿Cómo evitar que Facebook acceda a los datos de WhatsApp?

El primer método para evitar compartir el número de teléfono con Facebook es tan básico como seleccionar “no” cuando WhatsApp nos pregunte si queremos vincular ambas cuentas. Esto sucederá una vez que la app de mensajería se actualice a la versión correspondiente, será entonces cuando el usuario tendrá que tomar una decisión al respecto.

A la izquierda, submenú en los ajustes de la cuenta de WhatsApp. A la derecha, notificación de los cambios en la política de privacidad de la aplicación. | cc:whatsapp

Por otro lado, si WhatsApp nos ha pedido permiso, hemos dicho que estamos “de acuerdo” ("agree") y ahora nos hemos arrepentido, todavía hay una fórmula para deshacer esto, aunquesólo tendremos un período de 30 días después de haber aceptado el intercambio de información para cambiar nuestra decisión.

Para ello, nos dirigimos a los “Ajustes” de WhatsApp, accedemos al submenú de “Cuenta” y en esta interfaz encontraremos (o no, depende de la versión de la app) la casilla “compartir la información de mi cuenta”. Si no queremos compartir el número de teléfono con Facebooksolo tenemos que desmarcar o desactivar esta casilla.

Fuente:http://computerhoy.com/

Noticias de seguridad informática