Friday, 30 September 2016

Cómo realizar análisis de APK con AppMon

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/como-realizar-analisis-de-apk-con-appmon/
TAGS: AppMon

Existen muchas herramientas que permiten analizar rápidamente el comportamiento de las muestras móviles, con el objeto de facilitar la tarea de analistas, testers y pentesters. En el caso de Android, una de esas aplicaciones es AppMon, que a través de la instrumentación de código permite acceder al registro de funciones utilizadas y sus respectivos parámetros.


A lo largo de este artículo echaremos un vistazo a su funcionalidad.



¿Cómo funciona AppMon?


Esta aplicación hace uso de potente entorno de instrumentación dinámica multiplataforma del cual ya hemos hablado en pasadas ocasiones: Frida. Con base en esta plataforma, AppMon incluye una serie de scripts que permitirán a los analistas espiar los eventos que la aplicación estudiada va generando en el sistema, cuyos resultados podrán luego ser visualizados a través de una interfaz web con filtros de búsqueda y ordenamiento.


Además, AppMon incluye scripts que permiten realizar una intrusión dentro de la aplicación modificando su normal curso de acción, como se muestra en el siguiente video. Claro que cada analista podrá también incluir sus propios scripts en la herramienta.


https://www.youtube.com/watch?v=MNUK-pYVTY0

Además, permite instrumentar aplicaciones tanto en Android como iOS y, heredando la flexibilidadde Frida, puede ejecutarse en diferentes plataformas (Linux, Mac OS, y Windows con algunos cambios al código).



Instalación de la aplicación


Los prerrequisitos para correr AppMon son obviamente instalar Frida y además algunos módulos de python, lo que puede hacerse con el siguiente comando:


sudo -H pip install argparse frida flask termcolor


Luego podemos copiar el proyecto desde el repositorio en Github o descargar el correspondiente archivo comprimido. Si se está trabajando en un equipo Windows, además se deberá modificar la ruta absoluta definida en la variable merge_script_path del archivo appmon.py para apuntar a la carpeta temporal en el sistema de archivos de Windows o bien otra carpeta que el usuario desee. Por ejemplo, podría quedar de la siguiente manera:


merge_script_path = ‘C:/Users/<nombre_usuario>/AppData/Local/Temp/merged.js’


Deberemos crear nuestro emulador con una versión de Android 4.4.x ya que Frida solo ha sido demostrado estable para estas versiones, para luego transferir los archivos de Frida e iniciar el servidor, como lo hemos hecho con anterioridad en el tutorial para instrumentar apps.


¡Listo! Ahora debemos instalar la aplicación que deseamos analizar. Lo mejor es hacerlo vía adb ya que algunos emuladores inicializan la aplicación cuando se instala vía drag and drop y si no estamos listos para correr el comando de AppMon puede que nos perdamos de registrar funcionalidad crítica.



Análisis de la muestra


Pondremos a correr una muestra de Android/Torec.A, un malware capaz que registrar mensajes y llamadas del terminal, entre otra información crítica, y comunicarse vía Tor. El Android Manifest de la aplicación nos indica que el nombre del paquete es com.baseapp. Necesitaremos este dato para poder indicar a AppMon qué proceso interceptar.


Entonces, emitimos por consola los comandos que se ven a continuación:


comandos appmon


Si estamos en Windows, la consola se verá como se indica en la siguiente imagen. Podemos ver que AppMon crea un servidor sencillo con python que por defecto se inicializa en el puerto 5000, donde podremos luego acceder a la interfaz web de filtrado, pero solo después de que vemos la indicación por consola que algo ha sido dumpeado.


dump


Entonces podremos abrir el navegador, seleccionar del listado la aplicación que deseamos analizar y luego presionar “Next”.


img_3


img_4


Se abrirá un registro de eventos en el cual podremos ver algunas operaciones que tuvieron lugar en el sistema en el corto tiempo de ejecución:


img_5


Ahora realizaremos el mismo proceso con una muestra de Android/Monitor.Rasatremon.A, un aplicación “espía de enamorados” con mucha incidencia en Brasil. Instalamos la aplicación e iniciamos la instrumentación:


img_6


Luego de utilizar por un rato la aplicación podemos ver los resultados en el navegador, entre los que encontramos el detalle completo de los paquetes de red que han sido enviados con el protocolo HTTP:


img_7


Esta es una pequeña demostración de lo que AppMon puede lograr. Del mismo modo, esta aplicación permite recuperar claves de cifrado y muchos otros parámetros según la necesidad del analista. En definitiva, una gran aplicación para reducir el tiempo de análisis.


Fuente:http://www.welivesecurity.com/


Noticias de seguridad informática

El escáner de vulnerabilidades Nmap 7.30 ya se encuentra disponible

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/el-escaner-de-vulnerabilidades-nmap-7-30-ya-se-encuentra-disponible/
TAGS: Nmap

Nmap es un programa de código abierto desarrollado originalmente para llevar a cabo rastreo de puertos pero que, a día de hoy, es una completa suite de herramientas y scripts para analizar la seguridad de una red informática en busca de todos los hosts conectados a ella e identificar en casa uno de ellos los puertos abiertos, los posibles fallos existentes o distintas vulnerabilidades que puedan comprometer la seguridad tanto de la red como de los hosts conectados a ella.


Las redes y el concepto de seguridad informática cambian muy a menudo y, por ello, es necesario que las herramientas de análisis de redes y seguridad, como Nmap, se actualicen periódicamente para soportar los nuevos protocolos, como el nuevo IPv6, y poder analizar la seguridad de los sistemas frente a las nuevas, y cada vez más complejas técnicas de ataque que llevan a cabo los piratas informáticos.


Ahora, 6 meses más tarde desde el lanzamiento de la última versión estable, la 7.12, hace algunas horas, los responsables del proyecto han liberado una actualización bastante grande, registrada como la versión 7.30, la cual llega con nuevas funciones, características y mejoras, especialmente pensando en el nuevo protocolo IPv6.



Novedades del nuevo Nmap 7.30


La primera de las novedades es que ahora esta versión ha añadido a su lista un total de 12 nuevas huellas de rastreo de sistemas operativos especialmente diseñadas para la identificación de hosts en redes IPv6. Además, se han incluido varios nuevos scripts NSE desarrollados por la comunidad, alcanzando así un total de 541 scripts disponibles para llevar a cabo las auditorías de seguridad.


Además, también se ha actualizado el driver de captura de paquetes para Windows, Npcap, a la versión 0.10.r2 y las librerías básicas del programa incluyen un gran número de pequeñas correcciones para garantizar el correcto funcionamiento de la aplicación, especialmente en este sistema operativo.


Igual que se han incluido cambios en el núcleo de Nmap, también se ha actualizado su interfaz gráfica, Zenmap, solucionando un gran número de pequeños fallos detectados en esta y, además, corrigiendo algunos errores de programación en Lua y varias vulnerabilidades en los algoritmos de cifrado y añadiendo soporte para las librerías LibreSSL.


Zenmap - Nmap 7.30


Podemos consultar la lista completa de cambios de Nmap desde su changelog oficial, al final de esta entrada. En caso de querer descargar esta nueva versión, podemos hacerlo de forma totalmente gratuita desde su página web principal en sus versiones para Windows, macOS y Linux.


Fuente: http://www.redeszone.net


Noticias de seguridad informática

CatchApp, una herramienta capaz de descifrar los mensajes de WhatsApp

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/catchapp-una-herramienta-capaz-de-descifrar-los-mensajes-de-whatsapp/
TAGS:

WhatsApp es el cliente de mensajería más utilizado en todo el mundo con más de mil millones de usuarios en todo el mundo. A través de este cliente de mensajería solemos enviar prácticamente cualquier tipo de información con una supuesta privacidad de manera que las comunicaciones queden totalmente privadas de extremo a extremo, especialmente tras la implementación del cifrado actual. Sin embargo, es posible que la plataforma no sea tan segura como pensamos y sí sea posible descifrar los mensajes de WhatsApp gracias a una herramienta hacking creada por Wintego: CatchApp.


CatchApp es una aplicación desarrollada por la empresa israelí Wintego con el fin de ser capaz de capturar y descifrar los mensajes de WhatsApp sin que la víctima sea consciente de ello. Esto es posible gracias a que esta herramienta cuenta crea un punto de acceso Wi-Fi falso y recopila todo el tráfico que viaja a través de él.


Además, todo lo necesario para utilizar esta herramienta es capaz de ocultarse perfectamente en una mochila, por lo que permite situarse a tan solo unos metros de la víctima para interceptar y descifrar los mensajes de WhatsApp que envía y recibe.


CatchApp - Plataforma para descifrar los mensajes de WhatsApp



CatchApp captura el tráfico y es capaz de descifrar los mensajes de WhatsApp gracias a un ataque MITM


Aunque no se conocen muchos datos sobre el funcionamiento interno de esta herramienta, a grandes rasgos, la herramienta se encarga de interceptar el tráfico que genera WhatsApp mediante un ataque “man-in-the-middle” (MITM) y, una vez en el medio de la comunicación, consigue descifrar, prácticamente en tiempo real, las conversaciones que se envían y reciben a través de dicha herramienta.


Aunque en teoría con el actual algoritmo de cifrado de WhatsApp esto no debería ser posible, la revista Forbes asegura que la herramienta es capaz de descifrar los mensajes de WhatsApp tanto en Android como en iOS, incluso con las versiones más recientes del cliente de mensajería.


CatchApp es tan solo una herramienta del completo kit de herramientas hacking de Wintego, llamado WINT. Mientras que esta está especialmente desarrollada para los mensajes de WhatsApp, gracias a las otras herramientas de WINT es posible recopilar prácticamente cualquier tipo de contenido del sistema de la víctima, por ejemplo, los correos electrónicos, otros chats de otras aplicaciones, perfiles de las redes sociales, calendarios, fotografías y mucho más gracias a que, en silencio, consigue los credenciales de acceso de las diferentes cuentas, inicia sesión en ellas y descarga el contenido para el atacante.


WINT - Plataforma de espionaje hacking


Si estamos pensando en comprar esta herramienta de hacking, debemos saber que no está a la venta. Los creadores no han dado ninguna pista sobre el producto final, sobre el precio y sobre el público hacia el que estará enfocado, pero lo más seguro es que no será una herramienta que pueda estar al alcance de cualquiera, sino que más bien estará enfocada para organizaciones como la NSA, el FBI o cualquier miembro de policía del mundo.


Fuente: http://www.redeszone.net/


Noticias de seguridad informática

Apple comparte metadatos de iMessage con las autoridades

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/apple-comparte-metadatos-de-imessage-con-las-autoridades/
TAGS: NSA, Spy

Un software del que la compañía ha sacado pecho en numerosas ocasiones, abogando para ello al cifrado extremo a extremo que ofrece, algo muy preciado hoy en día. Sin embargo, no todo es oro lo que reluce y se ha podido saber que cierta información que se envía en las conversaciones de iMessage se envía de forma paralela a servidores de Apple.


Algunos de los datos que se recogen son los inicios de nuevas conversaciones, la introducción de número de teléfono en las conversaciones, determinando si este pertenece al servicio de mensajería o no,… En definitiva, es información que en caso de requerimiento judicial se ofrece a las autoridades, permitiendo determinar cuándo y con quién he mantenido una conversación en el servicio, los números de teléfono que he intercambiado en estas o incluso la dirección IP desde donde lo he hecho.


Sobre todo este último punto permite a las autoridades trazar una ruta geográfica que ha seguido el usuario gracias a las dirección de red asignada en cada momento. Pero tampoco hay que echarse las manos a la cabeza, ya que este tipo de peticiones en la mayoría de las ocasiones no prosperan por lo que resulta complicado acceder a esta información de forma sencilla.



Apple se cura en salud con iMessage


Aunque obviamente están recopilando información, sí que es verdad que parece una recopilación selectiva, pensando en ofrecer algo a las autoridades y así evitar que dispongan de acceso a otra mucho más sencilla que la que se puede ofrecer. En definitiva, se están cubriendo las espaldas frente a futuras peticiones judiciales. Lo que sí que es verdad es que han mentido en el aspecto de que no se realizaba ningún tipo de recopilado de información de las conversaciones, defendido por activa y por pasiva por las voces más representativas de la compañía de la manzana mordida.


imessage-comparte-informacion-usuario



La propia compañía es ahora la que recopila la información


Cuando Snowden filtro la información sobre la trama de espionaje que se realizó a gran escala, se vio que la NSA tenía “barra libre” para recopilar información. Sí es verdad que la situación no ha cambiado demasiado, pero al menos ahora la información recopilada y que se mostrará en un futuro la decide la propia compañía y no es una responsabilidad que recae en manos de las autoridades.


Han indicado que esta información solo se almacena durante un periodo de 30 días, aunque expertos de la materia creen que se trata de una afirmación que les permite en cierta forma cubrirse las espaldas frente a posibles críticas.


Fuente: http://www.redeszone.net


Noticias de seguridad informática

Thursday, 29 September 2016

Así es la vulnerabilidad de la página web de la Registraduría

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/asi-es-la-vulnerabilidad-de-la-pagina-web-de-la-registraduria/
TAGS: Web

La IP de la web de la entidad no está oculta, lo que, según expertos en seguridad, es una falla grave que facilita el acceso a hackers para preparar ataques y alterar la información.


El ataque informático del que fue víctima la página de la Registraduría el pasado 28 de septiembre prendió las alarmas, por tratarse del lugar en que se almacenará la información que resulte de la votación del plebiscitoel próximo domingo, que es el mecanismo con el que el Gobierno busca la refrendación de los acuerdos con las Farc en La Habana.


El Espectador conoció, a través de un sencillo ejercicio, un punto de vulnerabilidad considerado como muy grave y que podría poner en riesgo la información de la votación del plebiscito. Se trata de que la IP de la página web no está oculta y puede ser utilizada por hackers, a través de ensayos, para encontrar otras IP abiertas que alojen otra información, como los resultados.


En el ejercicio, se hizo la consulta de un lugar de votación y se borró la dirección hasta dejar solo la dirección IP 200.116.226.13.  Luego, al cambiar el 13 por el 14 al final de la IP, que es una práctica básica y extendida hecha por quienes realizan ataques informáticos, se tuvo acceso al sitio en el que se alojará la información de resultados.


[embed]https://www.youtube.com/watch?v=_w40TmG_LSA[/embed]

Según explicó un experto en seguridad informática, que pidió reserva de su nombre, estas IP no deberían ser públicas, debido a que facilitan el acceso a hackers para preparar ataques y hacen la página vulnerable para alteración de la información. “Normalmente, en los procesos electorales esta información se encuentra en IP distintas. Si los hackers tiene esta información puede buscar paso a paso cuáles IP están abiertas”, señala.


Sin embargo, aunque esta situación no significa en sí que el acceso de un usuario en la red permita la modificación de resultados, sí abre la puerta a que se puedan planear con tiempo las estrategias para un ataque cibernético. Lo más seguro es que estos sitios se alojen en IP diferentes y solo se hagan públicas unos minutos antes de que se empiece a hacer el conteo de los votos.


También se comprobó que, por ejemplo, la IP 200.116.226.11 da acceso a los servidores destinados para el uso de los jurados de votación. El experto en seguridad señala que aún es posible corregir este error “cambiando el direccionamiento de todas las páginas y no dejar visibles las IP".


El pasado miércoles 28, cuando muchas personas intentaban consultar su lugar de votación o si eran jurados de votación, le aparecía que su información estaba siendo actualizada o que sus cédulas pertenecían a personas muertas. Aunque la Registraduría señaló que se trataba de un problema técnico, expertos consultados por El Espectador aseguraron que se trató de un ataque cibernético a la web de la entidad.


El hecho motivó las críticas del Centro Democrático, partido que encabeza la oposición a los acuerdos entre el gobierno y las Farc, que señaló que no había garantías en el plebiscito y envió una carta al fiscal general Néstor Humberto Martínez. “El Comité de campaña por el No por el partido del Centro Democrático denuncia que a cuatro días del plebiscito se presentan graves problemas con la página de internet de la Registraduría que constituyen una falta de garantías para la realización de la jornada electoral”, se escribió en la misiva.


Fuente:http://www.elespectador.com


Noticias de seguridad informática

Los ransomware que afectan a Android se vuelven más sofisticados

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/los-ransomware-que-afectan-android-se-vuelven-mas-sofisticados/
TAGS: android, Malware

Hasta hace poco lo que se entendía por “ransomware” en el sistema operativo móvil de los de Mountain View lo que hacía era bloquear la pantalla, es decir, secuestrar la funcionalidad del terminal. Sin embargo, esto ha dejado de ser así y ahora estas amenazas han evolucionado, suponiendo un verdadero problema para los usuarios de Android y los datos almacenados en estos dispositivos.


Sin ir más lejos, la amenaza Android.Lockscreen, aparecida en el mes de marzo del pasado año es un claro ejemplo de lo que hasta el momento se ha considerado ransomware en este sistema operativo. El malware bloqueaba la pantalla, introducía un código para su desbloqueo y solicitaba la llamada a un número de teléfono de tarificación especial para así obtener el código de desbloqueo. Además del sobrecoste de la llamada se instaba a ingresar cierta cantidad de dinero en una monedero Bitcoin para proceder al envío del código.


Pero las últimas versiones de esta amenaza permitían encontrar el código en el dispositivo infectado, procediendo a su desbloqueo de forma más o menos sencilla y sin pagar ninguna cantidad.


Pero en las últimas versiones se está utilizando un código pseudo-aleatorio de seis u ocho dígitos que se genera haciendo uso del método Math.random() de Java. Las versiones de Android afectadas son todas aquellas anteriores a Nougat, ya que esta posee protección para evitar que las aplicaciones de terceros instaladas en el dispositivo lleven a cabo el reseteo de la seguridad que protege la pantalla, fijando una nueva que el usuario desconoce.




De momento el cifrado de datos en Android queda lejos


Pero si se esperaba que se produjera un cifrado de la información al más puro estilo ransomware de sistema operativo Windows aún habrá que esperar para ver algo similar. La definición de ransomware por el momento no se ajusta a la funcionalidad, pero sí que es verdad que ahora resulta mucho más complicado proceder al desbloqueo de la pantalla, por no decir que resulta imposible y que la única solución será acceder al modo recovery del dispositivo y proceder a su restablecimiento a valores de fábrica.


Para no sufrir este tipo de problemas, los expertos en seguridad recomiendan no descargar aplicaciones desde fuentes desconocidas, es decir, tiendas no oficiales. Sin embargo, a la vista de los problemas sufridos por la propia Play Store, no parece que esta medida sea muy efectiva, o al menos fiable de cara a garantizar la seguridad de la tableta o terminal móvi


Fuente: http://www.redeszone.net/


Noticias de seguridad informática

El mayor ataque DDoS registrado ha secuestrado 150.000 cámaras de videovigilancia

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/el-mayor-ataque-ddos-registrado-ha-secuestrado-150-000-camaras-de-videovigilancia/
TAGS: 1 Tbps de tráfico, Ataque DDoS


Aunque los ataques DDoS o de denegación de servicio son utilizados desde hace mucho tiempo, parece que a medida que el Internet de la cosas y los dispositivos conectados forman más parte de nuestras vidas, este tipo de ataques está cogiendo cada vez mayor fuerza. Recordemos que este tipo de ataques son muy utilizados y efectivos a la hora de dejar fuera de servicio páginas o servicios online, que terminan colapsándose o cayéndose por el gran número de peticiones que recibe.




 Sin embargo, la gran cantidad de dispositivos conectados que nos rodean, estarían facilitando la labor de que este tipo de ataques cada vez fuesen mayores. La semana pasada veíamos como la web KrebsOnSecurity.com fue objetivo de un ataque DDoS de gran tamaño, ya que se cifró en 665 Gbps el tráfico, una magnitud que podría tumbar varias páginas o servicios en Internet.



ataque DDoS

Ahora, le ha tocado el turno al gigante proveedor de hosting francés OVH, que ha recibido un nuevo récord de ataque DDoS, ya que se ha registrado más de 1 Tbps de tráfico sumando todo el ancho de banda recibido. Según ha afirmado el fundador de la compañía, en este ataque habrían participado más de 150.000 cámaras IP de videovigilancia conectadas a Internet, dispositivos que ya han sido utilizados anteriormente para este tipo de ataques. Y es que cada cámara de este tipo, es capaz de genera entre 1 y 30 Mpbs de tráfico, por lo que el uso de más de 150.000 unidades junto con otras múltiples fuentes ha dado como resultado el ataque DDoS más grande visto en Internet.

Tantos las cámaras de videovigilancia como la gran mayoría de dispositivos IoT, todavía no cuentan con unos sistemas de seguridad lo realmente fuertes, de ahí que se conviertan en dispositivos fácilmente explotables para este tipo de acciones.

En una captura de pantalla publicada por Klaba, se puede apreciar como son muchos los ataques DDoS que sobre pasan y de largo los 100 Gbps, incluyendo algunos que incluso alcanzaron hasta 799 Gbps por sí solos. En total se estima que fuesen unos 152.000 dispositivos los que habrían sido utilizados para enviar estos ataques, donde la gran mayoría fueron cámaras de videovigilancia y algunas grabadoras de vídeo personales.

DDoS

De cualquier forma, el ataque que ha recibido OVH se ha convertido en el más grande conocido hasta el momento y deja claro que muchos de los dispositivos conectados de hoy en día son muy vulnerables a su secuestro para que sean utilizados en ataques DDoS o de denegación del servicio.

Fuente:http://www.adslzone.net/


Noticias de seguridad informática

Dos años más tarde, Shellshock sigue siendo un fallo muy atacado

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/dos-anos-mas-tarde-shellshock-sigue-siendo-un-fallo-muy-atacado/
TAGS: shellshock

Shellshock, conocido también como Bashboor, es uno de los fallos de seguridad más preocupantes de la historia de la informática presente en Bash desde sus primeras versiones (pero desconocido hasta hace dos años) que afecta a prácticamente todos los servidores Unix y Linux. Este fallo puede permitir a un atacante ejecutar comandos, incluso de forma remota, en el terminal, lo que puede utilizarse para ganar permisos dentro de un equipo afectado e incluso conseguir conectarse de forma remota a él, tomando el control del mismo.


Shellshock ha estado pasando desapercibido por los usuarios e investigadores de seguridad durante más de 20 años. Este fallo de seguridad fue detectado por primera vez el 24 de septiembre de 2014 y, aunque la mayoría de los servidores han actualizado sus sistemas para evitar verse afectados por la vulnerabilidad, en la práctica aún quedan muchos servidores vulnerables a este fallo de seguridad, lo que hace que, a pesar de haberse detectado hace ya dos años, sea aún uno de los fallos más explotados por los piratas informáticos.


Ataques Shellshock 2015-2016


Una vez detectado, el fallo fue registrado con CVE-2014-6271, sin embargo, no fue la única vulnerabilidad que afectaba a Bash, y es que en las semanas posteriores aparecieron nuevos fallos similares como CVE-2014-7186 y CVE-2014-7187 que, aunque se hubieran instalado los últimos parches de seguridad de Unix, seguían comprometiendo seriamente la seguridad de estos servidores. Incluso se ha demostrado cómo el fallo ha llegado incluso a afectar a Windows.



Si comparamos los valores de septiembre de 2015 con los de septiembre de 2016 podemos ver cómo el número de ataques de Shellshock es casi el mismo a pesar de haber un año de diferencia entre ambas fechas. Sin embargo, debemos tener en cuenta que es el valor más alto detectado este año, por lo que el resto de meses desde enero hasta la fecha ha tenido un número de infecciones muy inferior a los valores registrados el año pasado.



Shellshock, una vulnerabilidad mucho más grave y explotada que Heartbleed


Otro de los peores fallos de seguridad de la historia de la informática ha sido Heartbleed, un fallo anterior al de Bash en la caché de los servidores OpenSSL que podía permitir a un atacante leer y recuperar información alojada en la memoria del servidor, como contraseñas, claves privadas u otro tipo de información sensible, sin necesidad siquiera de iniciar sesión en el servidor.



Sin embargo, si comparamos el número de ataques de Shellshock con el de Heartbleed podemos ver cómo en el último año su actividad puede considerarse prácticamente nula.


Shellshock contra Heartbleed


Aunque Shellshock ha sido una vulnerabilidad a nivel mundial, los países más afectados por ella han sido Estados Unidos y Japón, y los piratas informáticos la han aprovechado para atacar, en casi un 75% de las veces, servidores de empresas de telecomunicación e informática y servicios financieros.


Ojalá pudiéramos decir que tanto Heartbleed como Shellshock son solo una pesadilla pasada, pero, por desgracia, no podemos.


¿Crees que estas dos vulnerabilidades siguen siendo un grave problema para la seguridad de las telecomunicaciones?




Fuente: http://www.redeszone.net/


Noticias de seguridad informática

Wednesday, 28 September 2016

Security Hole, un puzle cyberpunk que saca el hacker que llevas dentro

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/security-hole-un-puzle-cyberpunk-que-saca-el-hacker-que-llevas-dentro/
TAGS: cyberpunk, Security Hole

En este juego nos convertiremos en un hacker que ayuda a una inteligencia artificial colando un virus por agujeros de seguridad. Lo analizamos y te contamos nuestras impresiones.


Que la seguridad informática y los hackers son algo que cada vez está más introducido en nuestra sociedad es un tema que ya hemos tocado muchas veces. La cultura popular ha aceptado el universo en el que se mueven estos elementos con los brazos abiertos: películas, series de televisión y videojuegos no han podido escaparse a su encanto. Precisamente de videojuegos vamos a hablar en ese artículo, ya que tardaba en aparecer algo que aprovechase este tirón para colar algo con una trama relacionada.Bienvenidos al mundo de Security Hole, el juego donde nos convertiremos enhackers que tienen que ir sorteando barreras para llegar al final.


Este videojuego ha sido desarrollado por el estudio ruso AnRaEl —que lo define como "un juego cyberpunk"— y ha sido lanzado para Windows, OS X, Linux, SteamOS y Android. En un principio Security Hole nació como resultado de una forma de intentar conseguir encontrar una mecánica de juego fácil de implementar que pudiese llegar a todos los públicos. Esa era la idea base de su creador Andrey Demskiy, que finalmente ha parido un curioso puzle que usa el hacking como telón de fondo.


Antes de continuar vale la pena señalar que Security Hole ha ganado varios premios en su país de origen, lo que de cara al mundo indie doméstico le da bastante credibilidad. Ahora nos toca a nosotros decidir si realmente el juego puede vivir a la altura de las expectativas que crea.





[embed]https://www.youtube.com/watch?v=fzVRZ3fL45E[/embed]


Security Hole quiere poner a prueba tu mente


Antes de entrar en detalles vale la pena señalar que Security Hole es un puzle por encima de todo. Tramas aparte y a pesar de contar con una historia que intenta transmitir al jugador, esto es un juego de habilidad diseñado para poner sus capacidades mentales y su inteligencia a prueba. Y como no podría ser de otra manera, la dificultad se incrementa de manera exponencial. Me estoy adelantando, empecemos por el principio.

En Security Hole básicamente te encarnarás a ti mismo. Una inteligencia artificial se pierde en la web tras pegarse una buena temporada saltando entre servidores, con lo que recurrirá a ti y a tu ordenador para volver al lugar de donde vino. Lo primero que sabremos de ella —porque, además, se nos presenta a esta IA como un ente de género femenino— es que escapa de alguien o algo, no nos especifica qué. Tendremos que ocultarla en nuestro disco duro, así que ¿cómo lo haremos? Pues hackeando nuestras propias medidas de seguridad, por supuesto. A partir de ahí nos veremos envueltos en una trama que puede significar el fin de la raza humana, que por supuesto tendremos que evitar.

Una vez hayamos entablado contacto con esta IA entraremos en un tutorial que nos enseñará qué debemos hacer para superar cada fase. Por así decirlo, contaremos con una pieza poliédrica cuya forma irá cambiando para saltar los controles del sistema operativo. Esta pieza funciona como una especie de virus al que tendremos que ayudar a cruzar por diversas barreras. Al principio tendremos que esconder a SyBry, la IA que se quiere quedar a vivir en nuestro disco duro, saltando estos obstáculos. Más adelante tendremos que ayudarla a llegar al final de la aventura.

Esta es SyBry, la IA a la que protegemosEsta es SyBry, la IA a la que protegemos

Así se juega a Security Hole


Quedándonos con el asunto de la pieza formada por poliedros de la que acabamos de hablar, lo que tendremos que hacer será rotarla para que encaje en las aberturas de seguridad del sistema —de ahí el título del juego—. Conforme pasemos cada una de ellas la pieza irá aumentando de tamaño e irá aumentando su forma, con lo que cada vez será más difícil dar con la posición adecuada para que pueda entrar por donde nosotros le indiquemos.

Aparte de esto, entre niveles nos encontraremos con pequeños interludios que nos harán buscar una coincidencia entre una pieza en blanco y sin volumen en el centro de la pantalla y cuatro piezas definidas que la rodean. Es la forma que tiene Security Hole de decir que estamos crackeando una contraseña —aunque es más sencillo hacerlo de esta manera, por supuesto—.

Las mecánicas no pueden ser más simples y, si bien pueden ser repetitivas, no llegan a provocar un cansancio excesivo. De hecho se nota bastante que el juego, donde mejor puede funcionar, es en el mercado móvil. Aunque yo he utilizado un mando para mi prueba del juego, se nota bastante que ha sido diseñado para controles táctiles. Probablemente la experiencia en un dispositivo Android sea mejor que en un PC, aunque la mía no ha sido mala en absoluto.

Uno de los interludios entre nivelesUno de los interludios entre niveles

Security Hole en general es correcto, pero mejorable


El gameplay en sí no está mal, pero tiene otros aspectos en los que el juego es mejorable. Por culpa de alguna decisión no tomada con la suficiente convicción el aspecto de Security Hole sufre un poco, y eso le resta puntos en el apartado visual. Es un diseño correcto, pero otros títulos indie cuidan muchísimo este apartado. Me viene a la cabeza el caso de Limbo, por ejemplo. Por otra parte, que los diálogos entre el jugador y SyBry transcurran en una terminal de Linux me ha parecido un detalle muy interesante.

La historia en sí está bien planteada, si bien la forma en que se despliega el guion no acaba de cuadrar. Está bien que el dev quiera dejar puntos abiertos en la trama para sugerir al jugador la necesidad de avanzar con ella, pero los cortes se podrían haber planteado haciendo que tuvieran algo más de coherencia. Aún así, es complicado hacer un buen storytelling. Más complicado es cuando hay un equipo de personas reducido trabajando en un único proyecto. En cualquier caso y como ya he dicho, anima al jugador a avanzar con lo que cumple con su propósito.

La forma adecuada de enfrentarse a Security Hole es la de invertir tiempo en un buen juego de puzles que engancha lo suyo y que ofrece retos interesantes a nuestra mente. Ahora bien, por lo que he podido probar no está dirigido a los jugadores más hardcore. El público que más y mejor lo disfrutará probablemente será el casual, que busca algún desafío ocasional sin implicarse demasiado con las tramas.

No obstante, si lo que quieres es un buen juego de habilidad que te ponga tus capacidades mentales a prueba y crees que puede ser un buen candidato entonces puedes comprar Security Hole en Steam.




Noticias de seguridad informática

Herramienta de análisis de malware automatizado de aplicaciones Android.

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/herramienta-de-analisis-de-malware-automatizado-de-aplicaciones-android/
TAGS: aplicaciones Android, Malware

CuckooDroid es una extensión de Cuckoo Sandbox marco de análisis de software de código abierto para la automatización de análisis de archivos sospechosos de malware. Es un sistema automatizado, multiplataforma, para la emulación y análisis basado en la popular zona de pruebas Cuckoo y varios otros proyectos de código abierto. Proporcionando la inspección APK tanto estática como dinámica, así como evadir ciertas técnicas como: detección de entorno virtual, extracción de clave de cifrado, inspección SSL, huella de llamada de API, firmas básicas de comportamiento y muchas otras características. El marco es altamente personalizable y extensible aprovechando el poder de la gran comunidad de Cuckoo existente.


cuckoo


Cuckoo Sandbox es un sistema de análisis de malware de código abierto. Esta aplicación permite analizar cualquier archivo sospechoso y en cuestión de segundos, Cuckoo proporcionará resultados detallados que describen lo que resultaría cuando se ejecuta dentro de un entorno aislado.

El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas.

Cuckoo genera un puñado de diferentes datos brutos, que incluyen:



  • Las funciones nativas y API de Windows llamadas huellas.

  • Las copias de los archivos creados y eliminados del sistema de ficheros.

  • Volcado de la memoria del proceso seleccionado.

  • Volcado completo de memoria de la máquina de análisis.

  • Capturas de pantalla del escritorio durante la ejecución del análisis de malware.

  • Volcado de red generado por la máquina que se utiliza para el análisis.


A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir:



  • Informe JSON.

  • Informe HTML.

  • Informe MAEC.

  • Interfaz de MongoDB.

  • Interfaz HPFeeds.


Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee.

Fuente:http://www.gurudelainformatica.es/


Noticias de seguridad informática

¿Cuál son las complicaciones en destrucción de documentos en hospitales?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/cual-son-las-complicaciones-en-destruccion-de-documentos-en-hospitales/
TAGS: Destrucción de documentos
Médicos, hospitales y otros que ofrecen servicios médicos tienen todo tipo de información personal sobre los pacientes. Dado que muchos servicios son prestados a crédito, muchas veces tienen datos que caen bajo las leyes que exigen confidencialidad y ciertos métodos de destrucción de documentos, tales como la trituración.

También, obviamente, mantienen registros sobre las condiciones y las historias clínicas de sus pacientes. Esos datos se consideran privados y deben mantenerse así. Sin embargo, los médicos se enfrentan a un dilema. Ellos están obligados a mantener  los datos de un período de tiempo. Después, tienen que hacer esfuerzos de buena fe para destrucción de documentos de forma adecuada y en el momento adecuado.

Esos períodos y condiciones difieren de un estado a otro, pero en general, el período es con frecuencia de muchos años. Algunos permiten mover documentos en papel en un medio de almacenamiento a largo plazo, seguido por la destrucción de documentos después de cinco años. Reglamentos, como la mayoría de las leyes, son complejos. Una vez los datos en papel ha quedado obsoletos, ya sea por muerte, la reubicación o cualquier otro cambio de estado, se pueden transferir o simplemente destruir. Que, de nuevo depende de las regulaciones específicas de destrucción de documentos como HIPAA (Health Insurance Portability and Accountability Act)

Los pacientes también se encuentran en un dilema similar. La destrucción de documentos es una de las maneras más rentables de hacer eso, pero a menudo puede ser importante retener los datos al tiempo que destruyen del medio original. Entonces, es útil tener un escáner.

Si una condición médica o un historial han jugado un papel en una demanda, el problema se vuelve aún más complejo la destrucción de documentos. Las demandas pueden tardar años en resolverse. Incluso después de que se alcance un juicio, la parte perdedora puede incumplir el pago de la factura después de algunos meses o años. Para ejecutar la sentencia original, a veces requiere no sólo una copia de los documentos legales originales sino los registros médicos que se utilizan en el caso.

Las pequeñas empresas tienen en una nueva elección cuando se trata de la destrucción de documentos, la mayoría de las empresas de destrucción de documentos se te presentarán una lista de servicios y tarifas que pueden llevar a la quiebra tu presupuesto! Contamos con servicio afuera y entrega de servicios de destrucción de documentos que le puede ahorrar de un 20 a un 65% que es lo que otros cobran si usted puede dejar sus documentos en sus instalaciones.

 
Noticias de seguridad informática

Tuesday, 27 September 2016

Facebook se mete en el terreno de la seguridad con una herramienta de código libre

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/facebook-se-mete-en-el-terreno-de-la-seguridad-con-una-herramienta-de-codigo-libre/
TAGS: facebook, SQL


La seguridad es uno de los principales contras que tiene utilizar Windows. Al ser el sistema operativo más utilizado en todo el mundo, es el que más ataques recibe con el fin de penetrar ilícitamente en el sistema y obtener datos e información tanto a nivel de usuarios como a nivel de empresas. Es por ello que las organizaciones se gastan cientos de millones de dólares en seguridad, y Facebook quiere sacar tajada de ello.





Es por ello que ha lanzado para Windows su herramienta OSquery. Esta herramienta es un framework de código libre creado por la propia Facebook que permite a las empresas encontrar malware o conductas maliciosas en sus redes. Hasta hoy, esta herramienta sólo estaba disponible en Linux y Mac OS X. La propia Facebook lo lleva ya utilizando un tiempo cuando quiere monitorear los MacBook conectados a su red.


osquery



Cualquier ordenador conectado a una red


OSquery es un software multiplataforma que escanea cualquier ordenador que haya conectado a la red y analiza y almacena cualquier detalle de su conexión con la red. Las peticiones basadas en SQL que hace el programa permite al equipo de seguridad analizar comportamientos a bajo nivel y encontrar rápidamente un comportamiento malicioso o aplicaciones vulnerables dentro de su infraestructura.


Básicamente, lo que consigue este software es que se pueda convertir una infraestructura local en una base de datos, convirtiendo la información que proporciona el sistema operativo a la red a un formato que pueda ser consultado como peticiones tipo SQL. Esta función es clave para analizar errores, para diagnosticar sistemas, errores a nivel global de la red, y arreglar problemas de rendimiento.



Exitazo en GitHub


El proyecto, gracias a que es código abierto, está disponible desde 2014 en GitHub en su versión para sistemas operativos de Linux como Ubuntu o CentOs, y ordenadores con Mac OS X, donde se ha convertido en uno de los proyectos más populares en esta popular red de código abierto.


osqueryi


La herramienta funcionaba muy bien, pero no estaba disponible para el sistema operativo más utilizado en este tipo de redes, por lo que es ahora su momento de brillar gracias a la publicación de esta herramienta para el sistema operativo de Microsoft, después de muchos meses de peticiones por parte de los desarrolladores.


Para empezar a programar con el kit de desarrollo de OSquery es necesario ver la documentación oficial, junto con el entorno de desarrollo, y un simple script. Después de instalarlo, se puede empezar a programar directamente. Os dejamos también el blog oficial.


Fuente:http://www.adslzone.net




Noticias de seguridad informática

10 cosas que no debes hacer nunca en la red Tor

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/10-cosas-que-no-debes-hacer-nunca-en-la-red-tor/
TAGS: red, red Tor, TOR

La Deep Web o también conocida como Internet profunda alberga millones de páginas web que no están indexadas en los buscadores convencionales como Google o Bing. Ello significa que no es un contenido visible para los motores de búsqueda y por tal motivo, esconde sitios web que no quieren que sean descubiertos.


Según los expertos, es unas 400 veces mayor que la web superficial, y es conocida por esconder actividades relacionadas con la delincuencia, pero también alberga webs de datos científicos, bases de datos de gobiernos, documentos, imágenes o vídeos. Si deseas adentrarte en ella puedes hacerlo a través de la denominada red Tor, pero debes saber que también corres determinados riesgos, por lo que conviene que tengas en cuenta las siguientes recomendaciones.


CIBER-MEDIATRENDS



No utilizar Tor con Windows


Nunca utilices Windows como navegador cuando decidas adentrarte a la red Tor. Esta Internet profunda se ejecuta bien con el sistema Linux y es más seguro.



No incluir información personal


Ni correo electrónico, nombre, direcciones, número de teléfono, ni por supuesto, tarjeta de crédito, deben de desvelarse en la Deep Weeb. No sirve de nada que navegues por una red encriptada si revelas datos reales por los que puedan identificarte.




No iniciar sesión en Facebook


No debes iniciar nunca sesiones en las redes sociales en las que tengas cuenta, tales como Facebook, Twitter o Instagram. Siempre podrás correr el riesgo de que alguien te identifique. Tampoco entres en webs comerciales ni muestres nunca tu cuenta del banco.



No accedas a cuentas personales


No accedas a cuentas personales a través de la red Tor porque los ciberdelincuentes podrán intentar acceder a tu dirección IP, o seguir el rastro de tu historial de búsquedas.


correo personal



Evita buscar en Google


No realices búsquedas en Google desde la red Tor. El gigante de los buscadores utiliza nuestro rastro para enviarnos publicidad y en la Internet profunda debes de usar otros buscadores. Algunas alternativas son Startpage o DuckDuckGo.



Desactiva JavaScript, Flash y Java


La Deep Web puede proteger casi todo tipo de información, pero no la que circula a través de JavaScript, Adobe Flash o Java. Estas herramientas tienen ciertos privilegios en tu ordenador y pueden descubrir tu identidad a partir de ellas.


chat-mediatrends



No modifiques la configuración de las aplicaciones


Modificar la configuración de las apps que tengas instaladas (en el caso de que accedas a través de latablet o móvil), es algo que tampoco debes hacer jamás en la red Tor. Harán que tu rastro sea sencillo de seguir.



No visites tu sitio web o blog


Si tienes un blog o web personal con visitas no accedas a ellos desde la Deep Weeb. Pueden identificarnos como el responsable gracias al relay de salidas. Además, debes colocar una extensión que elimine de forma automática las cookies de los sitios web que visites. Todas las precauciones son pocas.


blog-mediatrends4



No alternes Tor con WiFi abierto


No debes alternar Tor con una red de WiFi abierto. Utiliza ambos elementos a la vez para que ningúndistribuidor o ciberdelincuente pueda identificar nuestra dirección de IP del Mac o PC.



No te olvides del cifrado de extremo a extremo


Muy importante es no olvidarte de enviar toda la información cifrada y de forma segura. Tor encripta tu conexión pero no tus datos. Para asegurarte, LUKS ofrece protección de datos en sistemas Linux,y TrueCrypt también se puede utilizar para cifrar archivos y datos de forma segura.


Fuente:http://www.mediatrends.es/


Noticias de seguridad informática

¿Cómo detectar falsificación o alteración en imágenes JPEG?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/como-detectar-falsificacion-o-alteracion-en-imagenes-jpeg/
TAGS: análisis de imágenes JPEG, imágenes JPEG, seguridad de la información, seguridad informática
JPEG es un estándar de-facto en la fotografía digital. La mayoría de las cámaras digitales pueden producir imágenes JPEG, y muchas sólo pueden producir archivos en formato JPEG.

Algoritmo de análisis de formato JPEG


El formato JPEG es una fuente inagotable de datos que pueden ser utilizados para los fines de detección de imágenes falsas. El algoritmo de análisis de formato JPEG aprovecha la información almacenada en las diversas técnicas de meta-tags a su alcance en el comienzo de cada archivo JPEG. Estas meta-tags contienen información sobre quantization matrixes, Huffman code tables, chroma subsampling, y muchos otros parámetros, así como una versión en miniatura (miniatura) de la imagen completa. El contenido y la secuencia de dichos tags, así como que tags particulares están disponibles, dependiendo de la propia imagen, así como el dispositivo que lo capturó o el software que lo modificó según expertos de seguridad de la información.

El método de análisis básico verifica la validez de las EXIF tagse n el primer lugar en un intento de encontrar discrepancias. Esto, por ejemplo, puede incluir controles para las EXIF tags añadidas en el post-procesamiento por ciertas herramientas de edición, chequeos para fecha de capturar y la fecha de la última modificación, y así sucesivamente. Sin embargo, las EXIF tags pueden ser fácilmente falsificadas dice Mike Stevens experto de seguridad de la información de iicybersecurity IICS ; tan fácilmente en el hecho de que, si bien podemos tratar las discrepancias existentes EXIF como un signo positivo de una imagen que se está alterada, el hecho de que los tags están en orden y no aporta ninguna información significativa.

La solución de seguridad de la información correcta debe hacer un intento de descubrir discrepancias entre la imagen real y la información EXIF disponible, la comparación de las EXIF tags reales contra tags que se utilizan típicamente por un dispositivo determinado (uno que se especifica como un dispositivo de captura en EXIF tag correspondiente). Las empresas de seguridad de la información han recogido una amplia base de datos de EXIF tags producidas por una amplia gama de cámaras digitales, incluyendo muchos modelos de smartphones.

Además del análisis de EXIF, los expertos de seguridad informática revisan tablas de cuantificación en todos los canales de imagen. La mayoría de las cámaras digitales tienen un conjunto limitado de tablas de cuantificación; Por lo tanto, podemos descubrir discrepancias mediante la comparación de tablas de dispersión de la imagen real en contra de los que se esperan a ser producidas por una determinada cámara según expertos de seguridad informática.


 Algoritmo de efectos de Doble Quantization


Este algoritmo se basa en ciertos defectos de quantization que aparecen cuando se aplica la compresión JPEG más de una vez. Si un archivo JPEG se abrió, edito, a continuación, guardo, ciertos artefactos de compresión aparecerán inevitablemente explican expertos de seguridad de la información de International Institute of Cyber Security.

Con el fin de determinar el efecto de doble quantization, el algoritmo crea 192 histogramas que contienen transformación discreta de valores cosine Ciertos efectos de quantization sólo aparecerán en estos histogramas si una imagen se guarda en formato JPEG más de una vez. Si el efecto es descubierto, definitivamente podemos decir que la imagen fue editada (o, al menos, salvado por un editor gráfico) al menos una vez y una solución de seguridad informática debe detectar esto.

Algoritmo de análisis el nivel de error


Este algoritmo de seguridad informática detecta objetos extraños inyectados en la imagen original mediante el análisis de tablas de quantization de bloques de píxeles a través de la imagen. Quantization de ciertos objetos pegados (así como los objetos dibujados en un editor) puede diferir significativamente de otras partes de la imagen, sobre todo si uno (o ambos) con respecto a la imagen original o los objetos inyectados se comprimieron previamente en formato JPEG.

Algoritmo de detección de falsificación y clonación


Una práctica muy común de falsificado de imágenes es trasplantar partes de la misma imagen a través de la imagen. Por ejemplo, un editor puede enmascarar la existencia de un objeto determinado por "parches" con una pieza de fondo clonado a partir de esa misma imagen, copiar o mover los objetos existentes en torno a la imagen. Las tablas de quantization de las diferentes piezas se verán muy similares a las del resto de la imagen, por lo que se una solución de seguridad de la información debe emplear los métodos de identificación de bloques de imágenes que se ven artificialmente similares entre sí.

 

Algoritmo para detectar Calidad de imagen inconsistente



JPEG es un formato lossy. Cada vez que se abre la misma imagen y se guarda en el formato JPEG, algo de calidad visual aparente se pierde y aparecen algunos objetos explican expertos de seguridad informática. Puedes reproducir fácilmente el problema mediante la apertura de un archivo JPEG, guardarlo, ciérralo, a continuación, ábrelo y guardar de nuevo.

 

La calidad visual no está normalizada, y varía mucho entre los diferentes motores de compresión JPEG. Los diferentes algoritmos de compresión JPEG pueden producir muy diferentes archivos, incluso cuando se establece en su configuración más alta calidad según profesores de seguridad informática.

 

 
Noticias de seguridad informática

Cómo roban datos los delincuentes de forma inalámbrica

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/como-roban-datos-los-delincuentes-de-forma-inalambrica/
TAGS: red Wi-Fi, Wi-Fi

El peligro a menudo llega de donde menos te lo esperas. Por ejemplo, mientras estás alerta de los carteristas, los delincuentes pueden estar acercándose a ti de forma invisible, a través del wifi.



Esta es una situación típica: digamos que quedas con unos amigos en un bar y picáis algo mientras decidís qué hacer luego. Puede que decidáis ir al cine. O al teatro. O a un concierto. Es entonces cuando os conectáis a una red wifi disponible y compráis online las entradas. Poco después, te das cuanta de que te han vaciado la tarjeta de crédito.


Suena horrible, ¿verdad? ¿No sería justo encontrar a los culpables y denunciarlos a la policía? Vale, intentémoslo: ¿recuerdas que mientras disfrutabas de la comida con tus amigos, los dos jóvenes de la mesa de al lado terminaban de tomarse su segundo café? Parecían normales, conversando tranquilamente y consultando su portátil de vez en cuando. Pero lo que no viste fue el equipamiento especial de su mochila, algo así:


https://www.youtube.com/watch?time_continue=125&v=LIUaZ4MXs7g

Estas personas fueron al bar no para tomar café y croissants, sino para robar los datos de los visitantes. Crearon una red wifi abierta para atraer a las víctimas y obtuvieron acceso a todo el tráfico enviado y recibido por los dispositivos de cualquiera que se conectara a su punto de acceso. Alguien accedió a la banca online y el delincuente obtuvo sus credenciales. La pareja de la mesa de al lado se conectó a Instagram para publicar un selfi y los delincuentes obtuvieron el acceso a su red social. Tu amigo comprobó su e-mail corporativo y, bueno, ya sabes a qué nos referimos.


Para llevar a cabo este tipo de robo no se necesitan grandes dotes de programación. Youtube tiene más de 300.000 vídeos que explican cómo hackear wifi. Además, el equipamiento necesario es barato (menos de 100 dólares). Al recibir tus datos bancarios y personales, los ciberdelincuentes pueden continuar con el ataque y sacar gran provecho.



Cómo funciona


Hay varias formas de recopilar información con la ayuda de wifi falso.


1. Rastrear el tráfico de la red
Un método muy viejo (escuchar por casualidad) que también funciona con el wifi. Los programas adicionales y las aplicaciones pueden convertir tu ordenador en un espía y, además, puedes adquirir online equipamiento especializado y potente. Así, podrás interceptar los datos transferidos de forma inalámbrica y pescar archivos útiles, como cookies y contraseñas.


Por supuesto, necesitarás una red sin cifrar o poco protegida (por ejemplo, que utilice el protocolo WEP) para espiar los asuntos de otros. Los protocolos WPA y, en especial, el WPA2 se consideran más fiables. Así es como “escucha por casualidad” un hacker.


wifi-10x10-fb


2. Crear un punto de acceso falso
Esto es lo que los delincuentes hicieron en nuestro ejemplo. La cuestión es que depositamos cierta confianza en los lugares que visitamos. Por ejemplo, confiamos que la comida de un bar no nos hará enfermar, que el personal será educado y que el wifi será seguro.


Los ciberdelincuentes se aprovechan de dicha confianza. Por ejemplo, a menudo verás muchas redes wifi en hoteles. Suelen crearlas en lugar populares cuya gran afluencia de visitantes crea una carga demasiado elevada como para que una red sea confiable. Pero no hay nada que impida que los delincuentes creen la red Hotel wifi 3, además de las ya configuradas Hotel wifi 1 y Hotel wifi 2.


De hecho, es una variación del método anterior. Los ordenadores y los dispositivos móviles suelen recordar a qué redes se han conectado anteriormente para poder volver a hacerlo automáticamente. A veces, los delincuentes copian los nombres de las redes populares (por ejemplo, los de las conexiones wifi gratuitas de las cafeterías o de cadenas de comida rápida) para engañar a los dispositivos.



¿Qué puedes hacer?


Te recomendamos que leas nuestro artículo que explica al detalle cómo usar redes wifi públicas de forma segura, pero por si acaso, aquí tienes cuatro reglas que debes seguir:


a) No confíes en redes desconocidas que no pidan contraseña.
b) Desactiva el wifi cuando no lo necesites.
c) Reduce la lista de las redes recordadas de vez en cuando.
d) No utilices la banca online y no inicies sesión en webs importantes en bares, hoteles, supermercados y otros lugares de poca confianza.


La buena noticia es que todos los usuarios de Kaspersky Internet Security Multi-Device y de Kaspersky Total Security Multi-Device pueden protegerse con la ayuda de nuestro nuevo componente Conexión segura. Si lo activas, Conexión segura cifrará los datos cada vez que te conectes a una red wifi pública y a otras redes de poca confianza.


Puedes configurar este componente y programarlo para que se active automáticamente cuando:



  • te conectes a una red wifi de poca confianza.

  • accedas a banca online y a sistemas de pago.

  • realices compras online;

  • utilices tu e-mail, tus redes sociales, aplicaciones de mensajería y otras fuentes de comunicación de Internet.

Fuente:https://blog.kaspersky.es/


 
Noticias de seguridad informática

Golpe bajo a los planes de Facebook: Alemania prohíbe transferir datos de WhatsApp

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/golpe-bajo-los-planes-de-facebook-alemania-prohibe-transferir-datos-de-whatsapp/
TAGS: facebook, WhatsApp


O aceptas o te quedas sin WhatsApp, así de tajante ha sido la decisión de los responsables de la popular aplicación de mensajería tras modificar sus términos para compartir información con Facebook. Este cambio no ha gustado a los usuarios, pero parece que tampoco a las autoridades. En Alemania se han puesto serios y la Comisión para la Protección de Datos y Libertad de la Información de Hamburgo ha prohibido a Facebook que transfiera los datos de WhatsApp.





Bajan las aguas revueltas para Facebook en Europa. La Comisión para la Protección de Datos y Libertad de la Información de Hamburgo ha ordenado a los responsables de la red social que dejen de recopilar y almacenar los datos de los usuarios de WhatsApp en territorio alemán. Además, deben eliminar cualquier rastro de los obtenidos en el pasado.


WhatsApp


Como sabemos, WhatsApp anunciaba un importante cambio en sus Términos de Servicio y la Política de Privacidad  el pasado 25 de agosto. Con ello, Facebook iba a tener acceso a nuestro número de teléfono y nos daba 30 días para aceptar las nuevas condiciones. En el cambio de política dejaban claro que “…al conectar tu número con los sistemas de Facebook, este podrá ofrecerte mejores sugerencias de amistades y mostrarte anuncios que te resulten relevantes –si tienes una cuenta con ellos.”



Proteger los derechos de 35 millones de usuarios de WhatsApp


Esta Comisión alemana ha señalado que Facebook estaría infringiendo la protección de datos al no haber obtenido la aprobación por parte de los 35 millones de usuarios de WhatsApp del país germano. En el texto que han publicado, cuentan que, desde la adquisición de WhatsApp por Facebook, siempre han dejado claro que no iban a compartir los datos.


La realidad es que esto no está sucediendo lo que constituye un delito que atenta contra las leyes nacionales de protección de datos, siguen contando. Desde Facebook se defienden señalando que cumplen con la ley europea de protección de datos y se muestran dispuestos a colaborar con esta organización alemana para resolver la cuestión cuanto antes.


Fuente:http://www.adslzone.net




Noticias de seguridad informática

PonyForx, un nuevo troyano para robar información está a la venta

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/ponyforx-un-nuevo-troyano-para-robar-informacion-esta-la-venta/
TAGS: exploit Neutrino, PonyForx

Los ciberdelincuentes continúan aprovechando la existencia de foros de compra y venta de este tipo de contenidos para poner a la venta sus creaciones y así obtener unos beneficios adicionales. PonyForx es uno de los últimos troyanos que está a la venta y que posibilitaría la recopilación de información de los equipos con sistema Windows que hayan sido infectados.


Conocido también como Fox Stealer, se trata de una amenaza que está disponible en la actualidad en su versión 1.0 y a la venta desde el pasado mes de agosto. Sus autores son los mismos que los de la conocido troyano Pony, poseyendo el primero todas las funciones de este último.


Además de recopilar información existente en el equipo infectado este también es capaz de extraer la información de formularios de inicio de sesión. Pero esta no es la única información que se puede ver afectada, ya que los expertos en seguridad han confirmado que tanto los servidores FTP como los monederos Bitcoin se pueden ver afectados por la amenaza.


En la actualidad se está distribuyendo como un ejecutable .exe o bien una librería dinámica que está a la venta por 250 dólares.




PonyForx de la mano del exploit Neutrino


Los expertos del sector han confirmado que de momento los compradores de esta amenaza se están valiendo de exploits para distribuir este troyano y así que llegue de forma eficaz. Está programado en C++ y no requiere de la instalación de librerías adicionales, por lo que implica solo un proceso de instalación y la amenaza será capaz de funcionar y ganar persistencia en el sistema frente a reinicios y apagados.


El problema es que los propios usuarios somos los que fomentamos la creación de este tipo de amenazas. Ya no hablamos de ransomware, donde el pago de la cantidad solicitada permite proseguir con el desarrollo, sino que el robo de los datos y su posterior venta permite obtener unos beneficios que servirán para sufragar también el desarrollo de las actuales.


Fuente: http://www.redeszone.net


Noticias de seguridad informática

Monday, 26 September 2016

Malware en Libia: ataques dirigidos y sitios gubernamentales comprometidos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/malware-en-libia-ataques-dirigidos-y-sitios-gubernamentales-comprometidos/
TAGS: Libia, Malware

Este artículo describe los detalles que descubrimos durante el análisis de un malware que se centra en un país específico: Libia. La amenaza existe al menos desde 2012, y es usada en campañas maliciosas masivas y para realizar ataques dirigidos.


A pesar de la falta de sofisiticación en los aspectos técnicos del malware y sus mecanismos de propagación, los cibercriminales detrás han demostrado la habilidad de comprometer sitios gubernamentales con éxito. Esto, combinado con el foco en una región específica, hace a esta amenaza interesante desde la perspectiva de la investigación.



Mecanismo de propagación


Durante nuestra investigación observamos que, para campañas de propagación masiva, estos atacantes tienden a comprometer perfiles en redes sociales como Facebook o Twitter y publicar enlaces que dirigen a descargas de malware. La figura 1 muestra un ejemplo de una publicación de 2013 escrita en árabe libio, que indica que el primer ministro ha sido capturado dos veces, esta vez en una biblioteca. A este mensaje corto le sigue un enlace a un sitio gubernamental comprometido que, en ese entonces, propagaba malware:



publicación en Facebook con enlace a descarga de malware

Figura 1: Publicación en Facebook con enlace a descarga de malware




La figura 2 ilustra un ejemplo de una publicación con un enlace malicioso, hecha desde una cuenta de Twitter que simula ser de Saif Gaddafi:



twitter-malware-libya

Figura 2: Publicación en Twitter con enlace a descarga de malware




Además de campañas de propagación masiva, los atacantes están realizando ataques dirigidosmediante el envío de correos de spear phishing (phishing dirigido) con adjuntos maliciosos. Para convencer a las víctimas elegidas de que ejecuten el binario malicioso, se implementan técnicas clásicas de Ingeniería Social, como íconos de ejecutables de MS Word y documentos PDF, y extensiones dobles como .pdf.exe ocultadas en el nombre de archivo. En algunos casos, el malware puede mostrar un documento señuelo.


Para ayudar a los atacantes a identificar infecciones específicas o intentos de infección, el malware contiene una cadena de texto especial que llamamos ID de Campaña. Aquí hay un listado de IDs de Campaña que identificamos durante nuestra investigación:



  • book of eli – اختراق كلمات سر موزيلا

  • OP_SYSTEM_

  • OP_NEW_WORLD

  • OP_TRAV_L

  • ahmed

  • op_travel

  • op_ ahha

  • op_russia

  • op_russia_new

  • op_russia_old

  • karama

Detalles técnicos


El malware está escrito usando el framework .NET; el código fuente no está ofuscado. Algunas muestras contienen rutas de símbolos PDB que revelan el nombre original del malware usado por sus autores y posibles blancos.



libya malware pdb path

Figura 3: Ruta de símbolos PDB descubierta dentro del malware




El malware es un clásico troyano que roba información y puede ser desplegado en diversas configuraciones. Su versión completa puede registrar pulsaciones del teclado (capacidad de keylogger), recolectar archivos de perfiles de los navegadores Mozilla Firefox y Google Chrome, grabar sonido del micrófono, tomar capturas de pantalla, capturar fotografías desde la cámara web y recolectar información sobre la versión del sistema operativo y el software antivirus instalado. En algunos casos, puede descargar y ejecutar herramientas de recuperación de contraseñas de terceros, para tratar de obtener contraseñas guardadas en aplicaciones instaladas.


La mayoría de las muestras analizadas usan el protocolo SMTP para exfiltrar información a direcciones de correo electrónico específicas. La figura 4 muestra la función decompiladamake_email_mozela, usada por el malware para recolectar y enviar archivos de perfil de Mozilla Firefox.



decompiled-malware-code-libya-malware

Figura 4: Código decompilado del malware que contiene credenciales SMTP credentials




El hecho de que el código en la mayoría de las muestras contiene la misma dirección de destinosugiere que el malware es usado exclusivamente por un mismo individuo o grupo de personas.


De manera alternativa, el malware puede subir la información robada directamente a su servidor deC&C usando comunicación HTTP.



Decompiled malware code that is used to upload stolen data

Figura 5: Código decompilado del malware que es usado para subir información robada




Como es evidente en la figura 5, el malware se conecta al servidor worldconnection[.]ly y carga datos usando un script PHP. El nombre de dominio se registró en junio de 2016; el servidor usado por el malware está ubicado en Libia.



Conclusión


Analizamos un malware que estaba activo al menos desde 2012 en una región específica. Los cibercriminales detrás lo propagaban en forma masiva y cabe destacar que todavía se usa en ataques de spear phishing.


Fuente:http://www.welivesecurity.com/


Noticias de seguridad informática

Variante de un troyano evita la seguridad de Android 6.0 Marshmallow

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/variante-de-un-troyano-evita-la-seguridad-de-android-6-0-marshmallow/
TAGS: android, Android 6.0 Marshmallow, Malware, ransomware, troyano, Virus

Un grupo de expertos de la firma de seguridad Kaspersky Lab ha descubierto una modificación Gugi, un troyano bancario que tiene la capacidad de eludir las características de seguridad implementadas en Android 6.0 Marshmallow. 


La modificación de este malware le permite esquivar lasnuevas medidas para bloquear el phishing y evitar los ataques de ransomware con las que cuenta la versión 6.0 del sistema operativo para móviles de Google.


Las nuevas características para proteger a los usuarios obligan a que las apps tengan que tener permiso para superponer otras aplicaciones, y además es necesario solicitar la aprobación del usuario para llevar a cabo determinadas acciones, como enviar SMS o hacer llamadas por primera vez.


Sin embargo, gracias a la modificación detectada por Kaspersky Lab, ahora Gugi puede adquirir derechos sobre las apps, leer y enviar mensajes de o efectuar llamadas, aunque sus funciones más peligrosas son las de robar las credenciales bancarias y los datos de la tarjeta de crédito.


virus-android_1


El troyano se vale de un sistema de superposición de ventanas fraudulentas para engañar a las víctimas. Infecta los terminales Android a través de técnicas de ingeniería social, especialmente a través de mensajes de correo electrónico fraudulentos que contienen enlaces maliciosos.







Cuando el malware está instalado en el dispositivo, se hace con los permisos necesarios para efectuar sus acciones engañando al usuario. Esto lo hace mostrando una alerta para supuestamente solicitar que se autorice la superposición de la aplicación para los gráficos y las ventanas. En caso de validar la petición, el troyano bloqueará por completo el teléfono móvil. 

La gran mayoría de las víctimas de la nueva versión de Gugi son usuarios rusos. No obstante, desde Kaspersky Lab advierten que se está propagando muy rápidamente y que puede afectar a otros países. En la primera mitad del mes de agosto de 2016 el número de terminales infectados se multiplicó por diez respecto al mes de abril.






Noticias de seguridad informática