Monday, 31 October 2016

Samsung Pay bajo la mira: compras ilícitas con tokens robados

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/samsung-pay-bajo-la-mira-compras-ilicitas-con-tokens-robados/
TAGS: red Wi-Fi, Samsung Pay

El último día de la pasada edición de ekoparty guardaba algunos ases bajo la manga. Uno de ellos fue Salvador Mendoza con su charla Samsung Pay: Números Tokenizados y sus Fallas, donde demostró ante un público entusiasmado que es posible robar tokens de autorización para realizar compras sin restricción desde otro dispositivo. Si eres de los que acostumbra a realizar pagos con su equipo Samsung Galaxy, mejor siéntate y lee esta nota.



En los zapatos de la víctima


Samsung Pay es un servicio que permite a los usuarios almacenar datos de sus tarjetas en su equipo Samsung Galaxy, para luego utilizar el teléfono como medio de emisión de pagos a través de la tecnología de transmisión de datos magnéticos (MST) y NFC. Al momento de realizar una compra, el usuario debe acercar el teléfono al lector de tarjetas para disparar la autorización, proceso que se realiza mediante le emisión de tokens. Una vez autorizado, el usuario puede realizar la compra, tras lo cual recibirá un mensaje en su equipo indicando el monto que se ha cargado a su tarjeta.


Infortunadamente, las cosas pueden no salir según lo planeado y la víctima podría recibir un mensaje indicando que ha comprado un ítem completamente diferente por un monto ilimitadamente mayor. Esto se debe a que el sistema proclamado seguro por Samsung parece estar plagado de vulnerabilidades.


f324c47c-d4fa-4328-894b-44e70a854495


Así, un atacante podría robar los tokens de autorización que son emitidos por el teléfono y utilizarlos para comprar otras cosas. Aún peor, los tokens no se encuentran restringidos a un determinado monto de compra y, en caso de no utilizarse, se mantienen válidos por 24 horas.



Múltiples fallas de seguridad


A lo largo de la presentación, Salvador expuso numerosas fallas de seguridad.


Samsung Pay ofrece la posibilidad de funcionar de manera offline; mientras no posee conexión, el teléfono tiene absoluto control sobre los tokens, pero el servidor puede determinar de alguna manera cuál es válido y cuál no cuando se recobra acceso a Internet. Esto indica que el proceso de generación de tokens no es realmente aleatorio como afirma la empresa, lo cual implica que el próximo token válido emitido por el teléfono puede ser adivinado por un atacante.


Lo anterior permite que un atacante pueda utilizar una tarjeta de crédito ajena para realizar compras sucesivas, capturando un único token desde el equipo móvil y generando con un algoritmo los próximos a ser autorizados. La razón para ello es que el único campo pseudoaleatorio del token incluye solo los últimos tres dígitos en un rango desde el 000 al 999, con lo que puede realizarse fácilmente un ataque de fuerza bruta. El resto de los campos de los tokens que son emitidos con una misma tarjeta virtual no experimentan variaciones, o lo hacen de manera determinística.


Al realizar su investigación, el orador también encontró que las bases de datos en las cuales se almacenan las tarjetas digitales no se encuentran verdaderamente cifradas, sino que se trata meramente de un esquema de sustitución de caracteres.


Finalmente, es usual que al viajar a otro país debamos declarar nuestro destino para desbloquear el uso de la tarjeta tradicional en dicho lugar. No obstante, Salvador pudo también demostrar que las tarjetas virtuales que se almacenan en el smartphone no son validadas respecto al país de origen, pudiendo un atacante utilizar tokens robados en un país para realizar compras en otrosin problema alguno.


https://youtu.be/EphR18sSjgA

Escenarios de compromiso


El conferencista detalló diferentes escenarios que podrían comprometer la seguridad de los usuarios. La primera demostración incluyó técnicas de Ingeniería Social, mediante las cuales el atacante lograba la proximidad necesaria al teléfono para robar un token, escondiendo un dispositivo fabricado para este fin bajo la manga de su camisa. El equipo enviaba los tokens robados a su correo electrónico para que luego fuesen utilizados si aún estaban activos, o bien sirviesen para adivinar otros.


https://youtu.be/QMR2JiH_ymU

El segundo escenario de ataque incluyó un jammer que, al colocarse junto a la terminal de pago, comienza a mandar señales MST para bloquear el modo de ingreso de datos del terminal, mientras roba los tokens generados por las personas que intentan utilizar el dispositivo para comprar. Nuevamente, los tokens robados serían enviados a la cuenta de correo electrónico del atacante que ahora dispone de un día para utilizarlos.


https://youtu.be/ytV7xNJP1o8

El tercer escenario demostró un compromiso en tiempo real desde una máquina expendedora a otra, conectando equipos a través de una red Wi-Fi.


https://youtu.be/zuDdb3XSupE

¿Parches de seguridad a la vista?


Hay malas noticias para los usuarios de Samsung Pay. Samsung ya ha sido notificada de estas vulnerabilidades, pero por lo pronto el ataque continúa siendo factible. Para evitar mayores problemas, es recomendable que estén sumamente atentos a las compras que son acreditadas a sus tarjetas hasta que un parche de seguridad sea desplegado por la firma.


En cuanto a otros servicios similares como Apple Pay, aparentemente los usuarios no corren riesgos en su utilización, al menos en lo que respecta a vulnerabilidades de este tipo. Según Salvador, el esquema de seguridad utilizado por este servicio fue correctamente implementado.


Fuente:http://www.welivesecurity.com/


Noticias de seguridad informática

CUENTAS DE TWITTER Y CORREOS DEL DESARROLLADOR DE NO MAN'S SKY SON HACKEADOS

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/cuentas-de-twitter-y-correos-del-desarrollador-de-no-mans-sky-son-hackeados/
TAGS: twitter

La cuenta de Twitter del desarrollador de No Man's Sky, Hello Games, fue supuestamente hackeado esta mañana, incluyendo tweets y correos electrónicos atribuidos al personal de Hello Games llamando al más reciente juego del estudio como "un misterio".


Tweets de Sean Murra, fundador de Hello Games, así como la cuenta de Hello Games han mencionado que el hackeo fue resuelto y que Hello Games ha resumido el control de sus cuentas. Un reporte de Kotaku afirma que el tweet inicial y declaraciones subsecuentes mandadas a varios medios fueron parte de un hackeo hacia el estudio. Las cuentas de Murray Hello Games han publicado en Twitter para decir que el hackeo se ha resuelto.


A las 5:48 am Hora del Pacífico, la cuenta de Hello Games en Witter mandó un mensaje diciendo "No Man's Sky fue un error". Algunos seguidores notaron que el tweet fue publicado en la cuenta de Linkedin de Sean Murray. La cuenta de Hello Games fue puesta como privada poco tiempo después, pero ya ha vuelto a reabrirse al público.



Sean Murray's tweets stating the company's server had been hacked.
Los tweet de Sean Murray declarando que el servidor de la compañía había sido hackeado.

Dos cuentes cercanas al desarrollo de No Man's Sky luego confirmaron a Kotakuque el tweet inicial, así como las siguientes declaraciones mandados a varios medios "fueron resultado de un hackeo". Kotaku también recibió un correo, el cual el sitio cree que es falso, también llamando al juego "un error" y que Murray quería "ofrecer disculpas por lo que no entregamos", ya que el juego no llegó a lo que había sido su visión artística. Dos miembros del equipo de Polygon, que nunca escribieron directamente a Murray, recibieron el mismo correo que Kotaku.


Una serie de tweets entre las cuentas de Murray y Hello Games declararon que el supuesto hack había terminado.


La cuenta de Murray publicó "...¿Sigues estando hackeado y así?" a la cuenta de Hello Games en Twitter, la cual respondió "100% no más hackeada... obviamente todos esos correos y tweets son falsos. De vuelta a trabajar".



Hello Games and Sean Murray's tweets saying the hack is over.
Los tweets de Hello Games y Sean Murray diciendo que el hackeo había terminado.

Hasta este momento, no queda totalmente claro que tweets o correos han sido declaraciones oficiales del equipo de Hello Games y cuales habían sido resultado del supuesto hackeo.


Fuente:http://latam.ign.com/


Noticias de seguridad informática

MultiVPN: Conoce este script para conectarte a varios servidores OpenVPN simultáneamente

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/multivpn-conoce-este-script-para-conectarte-varios-servidores-openvpn-simultaneamente/
TAGS: MultiVPN, OpenVPN

Cuando un cliente se conecta a un determinado servidor OpenVPN, puede decidir si en dicha conexión VPN queremos que todo el tráfico de Internet se redirija a través del túnel VPN, o hacerlo a través de nuestro propio ISP. Imaginad poder levantar varios túneles OpenVPN fácilmente para encadenar la redirección del tráfico por diferentes servidores para tener aún mayor privacidad, esto es lo que hace MultiVPN.


Cuando un cliente se conecta a varios servidores OpenVPN puede ser por varios motivos, el primero de ellos es redirigir el tráfico a través de los diferentes túneles, otro motivo puede ser la administración de cada uno de los servidores de forma segura a través del túnel, ya que en la tabla de enrutamiento del propio cliente estará la ruta que deben seguir todos y cada uno de los paquetes.


Otra razón para hacer esto es por ejemplo realizar un escaneo de puertos distribuido contra un objetivo, de esta forma, podremos lanzar múltiples escaneos de puertos desde diferentes direcciones IP públicas, de tal forma que el IDS/IPS de nuestro objetivo no nos detecte tan fácilmente y nos bloquee.


servidor-vpn



MultiVPN: Un sencillo script que usa OpenVPN para levantar túneles


En HackPlayers han lanzado un sencillo script que nos permitirá conectarnos de forma fácil y rápida a través de varios túneles OpenVPN, podremos seleccionar el número de VPN concurrentes que queremos lanzar y se encargará de importar los archivos .conf y .ovpn del software OpenVPN para proceder con su ejecución y conectarnos al servidor VPN que tengamos configurado en dicho fichero de configuración.


¿Cómo sabremos por qué túnel va a pasar todo el tráfico? Igual que ocurre en los routers, por la métrica. Si lanzamos los túneles VPN con diferente métrica, unos túneles tendrán prioridad sobre otros, a mayor métrica ese túnel tendrá menor prioridad.


El modo de funcionamiento de MultiVPN es muy sencillo, simplemente tendremos que copiarlo al directorio donde tengamos los archivos de configuración de OpenVPN, a continuación lo deberemos ejecutar de la siguiente manera:








1sudo bash multivpn.sh



Necesitará permisos de superusuario o permisos para levantar el túnel VPN, ya que cuando ejecuta OpenVPN necesita permisos de administrador para cambiar las rutas del sistema operativo. Este script es compatible con cualquier sistema operativo basado en Linux como Debian, Arch Linux, distribuciones de Ubuntu e incluso Mac OS X, simplemente deberemos poder ejecutar scripts en bash y tener el software OpenVPN instalado.


Podéis copiar este script directamente desde el blog de HackPlayers y pasarlo a vuestro sistema operativo, no olvidéis darle permisos de ejecución cuando lo creéis.


Os recomendamos visitar nuestra sección de redes y seguridad informática donde encontraréis manuales de configuración para proteger vuestras comunicaciones.




Noticias de seguridad informática

Colapsan la centralita de emergencias hackeando varios iPhone con un tweet

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/colapsan-la-centralita-de-emergencias-hackeando-varios-iphone-con-un-tweet/
TAGS: Ataque DDoS, iPhone


Lamentablemente los hackeos y las brechas de seguridad relacionadas con la telefonía móvil están a la orden del día. Y si no que se lo digan a la centralita de emergencias de un condado estadounidense, que se ha visto colapsada por las numerosas llamadas recibidas en un corto intervalo de tiempo de decenas de iPhone hackeados. Más allá del colapso, lo realmente interesante de todo este asunto es el método utilizado por el joven hacker detenido para propiciar esta cascada de llamadas a los teléfonos de emergencias.







Aunque este hackero es bastante poca cosa si lo comparamos con el gran ataque DDos sufrido la pasada semana por los principales gigantes de internet, un ataque que pone de manifiesto lo endeble de los sistemas de seguridad de servicios que guardan datos muy valiosos de millones de usuarios.


Un enlace de twitter, el desencadenante del hackeo de varios iPhone


Hace unos días la centralita del teléfono de emergencias de Arizona quedo colapsada por un gran número de llamadas recibidas en pocos minutos. Todas estas llamadas evitaron que se recibieran las llamadas de emergencia reales durante unos minutos, después de haber sido atacada en un momento puntual. Al menos esto es lo que intuía la policía al comprobar que estas llamadas eran falsas y no derivaban en ningún tipo de aviso de emergencia. Los policías del Condado de Maricopa rastrearon las llamadas falsas y se encontraron con la sorpresa de que todas ellas provenían de un enlace publicado en un tuit.


Hackeo-Viber


Estos mensajes habían sido publicados por un tal Meetkumar Hiteshbhai Desai. Este joven hacker había detectado una brecha de seguridad de Javascript por la que se podía forzar a través de iOS a los iPhone a llamar a un determinado número de teléfono. Esto es lo que comenzaron a denunciar algunos usuarios en distintos tuits, avisando a otros tuiteros de que pulsar uno de estos enlaces había originado hasta 19 llamadas a los servicios de emergencia. Como os podéis imaginar, si multiplicamos una media de 20 llamadas por las decenas o centenares de personas que pulsaron estos enlaces, se puede entender el rápido colapso de la centralita.


hacker-apple


El joven hacker ha declarado a la policía que sólo tenía la intención de extender este error para darle notoriedad y como aquel que dice “echarse una risas”. Este joven incluso ha reconocido que cuenta con otro enlace que además obliga a bloquear y reiniciar el iPhone de forma instantánea. Sin duda lo más inquietante de todo esto es la relativa facilidad con la que se puede manipular, en este caso un iPhone, a distancia con propósitos casi nunca buenos.


Fuente:http://www.movilzona.es/








Noticias de seguridad informática

Sunday, 30 October 2016

Rex, un troyano para Linux con una botnet con poca difusión

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/rex-un-troyano-para-linux-con-una-botnet-con-poca-difusion/
TAGS: Rex, un troyano para Linux

Las amenazas disponibles para Linux son cada vez más frecuentes. Rex es un claro ejemplo de troyano destinado a afectar los equipos que poseen estas distribuciones. Aunque Rex posee cierto grado de sofisticación en lo referido a funciones, hay que decir que el problema que posee en estos momentos es su grado de difusión que es más bien nulo dado el tamaño que tiene Internet.


Detrás de la amenaza se encuentra una botnet de apenas 150 dispositivos, lo que complica y mucho las labores de difusión. Obviamente, llegado a este punto existen dos opciones: la primera es intentar formar tu propia red de equipos zombie, y la segunda es recurrir a una ya existente. La ventaja de hacer uso de la segunda opción es que los efectos serán inmediatos, sobre todo a nivel de difusión, algo complicado si decides partir de cero.


El troyano que nos ocupa apareció a mediados del mes de agosto y destaca por disponer de funciones más que interesantes. Desde el minado de criptomonedas, pasando por ataques de denegación de servicio o la comunicación con otros equipos infectados utilizando el protocolo P2P DHT.


fysbis-nuevo-virus-para-linux-1



Rex utilizado como herramienta de penetración en sistemas


Ya hemos citado las funciones más destacables. Generalmente, este tipo de amenazas se utilizan para vincular los equipos a una botnet y utilizarlos para llevar a cabo ataques de denegación de servicio. Pero este no es el caso y los expertos en seguridad han detectado como la amenaza se utiliza para gestionar los equipos infectados y realizar un control de este, como si se tratase un troyano de acceso remoto.


Drupal, WordPress y Magento son algunos de los CMS que se ven salpicados por esta amenaza. Pero su actividad no se limita solo a sitios web, ya que expertos en seguridad han comprobado que incluso routers domésticos o dispositivos pertenecientes al IoT podrían verse afectados, puntualizando que muchos de estos poseen una versión de Linux aunque esté modificada.



Adoptado parte del código de Mirai


El ataque que muchos servicios de Internet ha sufrido durante la pasada semana se debió a este amenaza. Expertos confirman lo que desde un principio se temía, ya que parte del código que permite el análisis de los puertos de red y servicios disponibles a través de Internet pertenece a esta amenaza.


Pero por el momento parece que la integración del código no ha sido la mejor, y una prueba de ello es que la botnet apenas ha crecido desde el mes de agosto aunque las funciones sean sofisticadas, quedando demostrado que si quieres difundir malware de forma exitosa debes disponer de una botnet con presencia que lo sustente.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Saturday, 29 October 2016

Katana: Conoce este framework para realizar pentesting en sistemas

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/katana-conoce-este-framework-para-realizar-pentesting-en-sistemas/
TAGS: Katana, pentesting

En el mundo de la seguridad informática, los frameworks son una gran herramienta para automatizar lo máximo posible el trabajo de un pentester. Katana es un completo framework escrito en Python para realizar test de penetración en sistemas. El punto fuerte de Katana es que está diseñado para que sea simple y su estructura se comprenda fácilmente para cualquiera que lo use.


El framework es de código abierto, podemos modificarlo y compartir nuestras modificaciones. El objetivo de Katana es ser una herramienta para servir a los profesionales de la seguridad informática y que realicen su trabajo rápidamente. Katana se actualiza continuamente, por lo que si lo vais a utilizar es fundamental que os descarguéis la última versión directamente desde su página en GitHub.



Compatible con una gran cantidad de distribuciones Linux


Este framework es compatible con una gran cantidad de distribuciones basadas en Linux, en algunas distros todas las dependencias de este framework ya están instaladas, pero en otros tendremos que instalarlo nosotros mismos manualmente. Algunas de las distribuciones compatibles que no necesitan instalar dependencias son Kali Linux, la popular distribución de auditorías informáticas, Parrot OS, Wifislax y por supuesto BlackArch Linux. Otras distribuciones compatibles sin las dependencias instaladas son Raspbian, Ubuntu y por supuesto Debian.


Kali Linux



Herramientas necesarias para sacar el máximo partido a Katana Framework


Para poder sacar el máximo partido a este framework, necesitaremos tener instaladas en nuestro sistema una gran cantidad de herramientas de terceros. A continuación tenéis el listado completo de dependencias de Katana:




  • nmap

  • aircrack-ng

  • arpspoof

  • apache2

  • mysql

  • ssh

  • dhcpd

  • hostapd

  • ettercap

  • xterm

  • default-jre


Si nuestro sistema operativo está basado en Debian y usáis APT para descargar las aplicaciones desde los repositorios, podéis descargar directamente este script para instalar todas las dependencias automáticamente.

Instalación de Katana en nuestro sistema


La descarga e instalación de Katana es realmente fácil y rápida, ya que está basada en Python, los desarrolladores de este framework lo han preparado todo para que la instalación sea muy cómoda instalando incluso las dependencias necesarias:


view source

print?






1git clone <a href="https://github.com/PowerScript/KatanaFramework.git">https://github.com/PowerScript/KatanaFramework.git</a>




2cd KatanaFramework




3sudo sh dependencies




4sudo python install



Una vez instalado, ya tan solo tendremos que ejecutarlo y meternos en su consola para ejecutar los diferentes comandos para realizar el pentesting. En la página oficial del proyecto Katana en GitHub tenéis un pequeño manual de uso con las principales opciones de este framework.

Os recomendamos acceder a nuestra sección de seguridad informática donde encontraréis manuales de cómo proteger vuestros sistemas, además, también podéis acceder a nuestra sección de redes donde tenéis manuales sobre cómo crear VPN y proteger vuestras comunicaciones.


Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Todo lo que debes saber sobre los ajustes de seguridad de Facebook

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/todo-lo-que-debes-saber-sobre-los-ajustes-de-seguridad-de-facebook/
TAGS: facebook



Así que te creaste una cuenta de Facebook hace unos pocos años. Puede que la configuraras bien, comprobando todos los ajustes de privacidad y de seguridad disponibles y haciendo elecciones cuidadosas. Pero ¿has abierto los ajustes desde entonces? O, sé sincero, ¿te los saltaste el primer día y prometiste buscar tiempo para comprobarlos más adelante? En cualquier caso, este artículo es para ti.



Facebook cambia a menudo los ajustes de seguridad y privacidad (muchos dicen que lo hacen demasiado a menudo). Por ello, tiene sentido revisarlos de vez en cuando por si han cambiado alguna opción. En este artículo, explicaremos al detalles los ajustes de seguridad de Facebook.



Ajustes de seguridad


Hay dos formas acceder a estos ajustes. La más rápida es hacer clic en el icono del mundo en la parte superior derecha (sueles utilizarlo para consultar las últimas notificaciones) y seleccionar Configuración. Otra forma no tan rápida es haciendo clic en el icono de la flecha cercano el del mundo y buscando Configuración en la lista desplegable.


Dentro de la Configuración, selecciona la opción Seguridad. Aquí verás la lista de ajustes que te ayudará a proteger tu cuenta. Si quieres leer una descripción detallada de algún ajuste, haz clic en Editar.




¿Qué significan todos estos ajustes?


Permite que te los expliquemos (todos merecen tu atención).


Alertas de inicio de sesión. Facebook almacena una lista de los ordenadores, dispositivos y navegadores que sueles utilizar para conectarte a tu cuenta. Activa las alertas de la red social para recibir notificaciones a tu correo electrónico cuando se detecte una autorización desde un nuevo dispositivo. De este modo, se te alertará si un indeseable inicia sesión con tu cuenta. Si eso sucede, cambia tu contraseña para impedir su acceso. Recomendamos que actives esta característica tan útil.



Aprobaciones de inicio de sesión. Este es el doble factor de autenticación de Facebook. Tras activar esta característica, la primera vez que inicies sesión en la red social desde un nuevo dispositivo recibirás un PIN digital por mensaje de texto y deberás introducirlo junto con tu contraseña. Es una pequeña molestia que vale la pena por la tranquilidad que da. ¡Altamente recomendable!



Aquí también puedes recibir 10 códigos de “emergencia” de un solo uso. Te serán útiles en el caso de que no puedas recibir un mensaje de texto. Por ejemplo, si has perdido tu smartphone y quieres cambiar tu contraseña de Facebook (pero no puedes porque no tienes tu teléfono). En esta situación te alegrará tener dichos códigos.


Generador de códigos. Con esta característica puedes usar códigos desde la aplicación móvil de Facebook en lugar de recibir mensajes de texto o elegir otra aplicación para ello. Si ya utilizas un buen generador de códigos (como por ejemplo, Google Authenticator), ¿por qué no enlazarlo con Facebook también?



Utilizarla o no es cosa tuya, pero te recomendamos que, al menos, la pruebes.


Contraseñas de aplicación. Necesitarás esta opción si utilizas tu cuenta de Facebook para iniciar sesión con servicios y aplicaciones de terceros, si tienes activado en tu cuenta el doble factor de autenticación y si esas características no se llevan bien entre sí. En su lugar, puedes obtener aprobaciones de inicio de sesión para cada aplicación. Puedes leer más sobre el tema aquí.



Clave pública. En esta opción, puedes publicar tu clave pública OpenPGP. Si lo haces, la clave aparecerá en la información de tu cuenta. Así, tus amigos podrán usarla para enviarte mensajes cifrados (por lo que si alguno llegará a manos equivocadas, ningún destinatario no intencionado podrá leerlo).



En resumen, así es cómo funciona. Recibes dos claves, una pública y una privada. Tus amigos y conocidos usan la pública para cifrar los mensajes que te envían. Cuando recibes un mensaje de este tipo, usas tu código secreto para descifrarlo. Este método se llama cifrado asimétrico (cifrar los mensajes con una clave y descifrarlo con otra).


En la práctica, no es muy conveniente, pero funciona. Incluso si alguien hackea tu correo electrónico, no podrá leer tus conversaciones, siempre y cuando tu seas el único poseedor de la clave privada.


Aquí es también donde puedes activar la opción para que Facebook cifre cualquier correo electrónico que te envíe.


Tus contactos de confianza. Aquí puedes seleccionar que los usuarios pidan ayuda si pierdes el acceso a tu cuenta. En dicho caso, los llamarás y les pedirás que te den una contraseña de un solo uso. Introdúcela y se restaurará tu acceso. Esta es una explicación más detallada de cómo funciona todo.



Ten en cuenta que la seguridad de tu cuenta dependerá de tus contactos de confianza, por lo que debes elegir gente de la que te fíes.


Dispositivos reconocidos. Esta es la lista de navegadores y aplicaciones de los dispositivos que utilizas para iniciar sesión en Facebook. Cuando te conectas a la red social desde uno de estos dispositivos, Facebook no te enviará una alerta de inicio de sesión.



De todos modos, no olvides limpiar la lista de vez en cuando. Y, definitivamente, hazlo si pierdes algún dispositivo.


Dónde has iniciado sesión. Esta característica tan útil te permite comprobar los dispositivos en los que tienes la sesión de Facebook iniciada. ¿Usaste la red social desde el PC de un amigo y se te olvidó cerrar sesión? O peor, ¿en un ordenador público de la biblioteca? ¿Has visto alguna sesión sospechosa y estás seguro de que no la iniciaste tú? Ciérralas todas (y cambia la contraseña).



Contacto de legado.Los contactos de legado son personas que pueden cuidar tu página en el caso de que mueras: podrá fijar una publicación en tu biografía, responder a nuevas solicitudes de amistad o actualizar tu foto de perfil. Esta persona no publicará mensajes en tu nombre. Aquí puedes leer más sobre esta característica.



Desactivar tu cuenta. Si quieres tomarte un respiro de Facebook, puedes desactivar tu cuenta temporalmente. Tus publicaciones se ocultarán, pero podrás volver cuando quieras tan solo con volver a iniciar sesión en Facebook.



(También puedes borrar tu cuenta de Facebook para siempre, pero esa opción no está disponible en la Configuración. Aquí tienes el enlace secreto para ello).



Otras dos opciones útiles


En la Configuración, elige la opción General. Además de tu información personal, puedes comprobar cuando fue la última vez que cambiaste tu contraseña. Te recomendamos encarecidamente que cambies tus contraseñas de vez en cuando (y, por supuesto, que uses combinaciones de confianza).



Asimismo, aquí encontrarás la opción Descarga una copia de tu información. A menudo publicamos cosas importantes en las redes sociales, pero puede que se nos olvide guardarlas en otra parte: por ejemplo, fotos y vídeos de una ceremonia de matrimonio o fotos con tu bebé. Si pierdes tus archivos por alguna razón, al menos podrás recuperar los que publicaste en Facebook (y esta característica te ahorra el tener que repasar muchas de las publicaciones).


Finalmente, nos gustaría añadir que los delincuentes usan a menudo Facebook para enviar mensajes basura y enlaces maliciosos. En esta publicación explicamos cómo sucede y cómo evitarlo.






Noticias de seguridad informática

Web Cookies es una herramienta que te permite escanear las cookies de cualquier web

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/web-cookies-es-una-herramienta-que-te-permite-escanear-las-cookies-de-cualquier-web/
TAGS: Herramienta, Web Cookies Scanner

Las cookies son pequeños archivos de datos que al visitar una página web se descargan automáticamente al ordenador, eso sirve para que el sitio web compruebe si anteriormente se ha visitado el sitio web, o si hemos iniciado sesión con nuestros credenciales no tener que volver a iniciar sesión.


Las cookies también puede ser consideradas como un atentado contra la privacidad de los usuarios cuando navegamos por Internet, de hecho, en España salió una ley en la que cualquier sitio web ubicado en nuestro país tenga que poner un aviso de cookies y que el usuario las acepte, tal y como podéis ver si entráis en RedesZone.net en modo incógnito.


Debido a que las cookies permiten identificar a un usuario de cara a un sitio web, es recomendable siempre borrar todas las cookies al cerrar el navegador, de hecho, se puede impedir aceptar cookies de las webs aunque esto podría ocasionar un mal funcionamiento, por lo que no es del todo recomendable.


Web Cookies Scanner es una herramienta online y gratuita que nos permite verificar todas las cookies HTTP, Flash, almacenamiento HTML5 e incluso cookies de sesión que se almacenan en nuestro navegador. Gracias a esta herramienta, podremos verificar también si un sitio web utiliza las denominadas super-cookies.


Lo primero que debemos hacer es entrar en la página web Web Cookies para comprobar un determinado dominio, si por ejemplo ponemos www.redeszone.net escaneará esta web en busca de cookies de sesión, persistentes y de terceros dominios.


web_cookies_scan_1


Una vez que pinchamos en “Check” tardará unos minutos en escanear la página web en busca de cookies, en la parte inferior nos aparecerá un enlace para agregar los resultados a marcadores y visitarlo más tarde, esto es ideal para no tener la web abiertas durante varios minutos.


web_cookies_scan_2


Una vez que haya hecho el escáner de las cookies web, veremos algo como esto:


web_cookies_scan_redeszoneNos indicará todas las cookies del sitio web, en la parte inferior tendremos una leyenda que nos explica los diferentes tipos de cookies que pueden utilizar las páginas web. Si hacemos scroll veremos las características de una cookie específica, y nos muestra en detalle qué hace esa cookie exactamente, incluso nos da información de cuándo expira esa determinada cookie.


Si por ejemplo escaneamos el dominio de Google, tendremos 2 cookies persistentes y una de terceros, en la parte inferior tendremos el análisis detallado de las cookies y qué hacen cada una.


web_cookies_scan_googleFuente:http://www.redeszone.net


Noticias de seguridad informática

Friday, 28 October 2016

Lockscreen, un virus para Android que se camufla como un “launcher”

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/lockscreen-un-virus-para-android-que-se-camufla-como-un-launcher/
TAGS: Lockscreen, ransomware

Poco a poco las amenazas creadas para el sistema operativo Windows se están migrando al perteneciente a los de Mountain View. Lockscreen es uno de los ransomware más importantes y sus propietarios han tomado la decisión de dotarlo con nuevas funcionalidades, sobre todo buscando que la amenaza sea difícil de detectar a simple vista.


La persistencia frente a reinicios del dispositivo es algo muy importante, pero a la vez también es complicado, ya que el Gigante de Internet introdujo cambios para limitar los procesos existentes en el arranque del terminal móvil o tableta. Por lo tanto, ante este conconveniente, lo que han hecho es crear un launcher que posee el código malicioso que ejecuta la amenaza en cada reinicio. De esta forma se garantizan la persistencia y no levantan sospechas entre los usuarios, sobre todo aquellos más inexpertos con este tipo de dispositivos.


Los expertos en seguridad han analizado la amenaza, llegando a la conclusión de que los ciberdleincuentes introducen parte del código malware en este launcher, mientras que el resto se encuentra repartido en varios archivos del sistema de ficheros. Para ser más exactos, en muchos dispositivos al pulsar el botón de “Home” del dispositivo, el usuario puede elegir entre los lanzadores instalados en el sistema, siendo uno nombrado como “Android” el que se identifica con esta amenaza.


Esto quiere decir que la amenaza solo se ejecutará si este se encuentra seleccionado, de lo contrario sí estará presente en el sistema pero no se ejecutará. Para prevenir que esto suceda, conviene seleccionar el propio del sistema operativo o bien aquellos que sean conocidos.


lockscreen-virus-android-se-camufla-como-launcher



Lockscreen se puede eliminar de forma sencilla


Pero el ransomware no deja de ser un programa, lo que quiere decir que aparecerá de alguna forma en el Gestor de Aplicaciones, y más si en esta ocasión cuelga de un launcher. Buscando “Android” en este apartado del sistema operativo podremos seleciconar este software y proceder a su desinstalación, aunque no se garantiza que se eliminen todos los archivos. Para realizar el proceso de forma segura sería conveniente restablecer el dispositivo a valores de fábrica.


Fuente:http://www.redeszone.net/


 
Noticias de seguridad informática

WinDivert: herramienta de código abierto para el análisis de paquetes

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/windivert-herramienta-de-codigo-abierto-para-el-analisis-de-paquetes/
TAGS: análisis de paquetes, seguridad web, WinDivert
Los analizadores de red, también conocido como Packet sniffers, se encuentran entre las herramientas de red más populares que están en el del kit de herramientas de cualquier ingeniero de seguridad web. Un analizador de red permite a los usuarios capturar los paquetes de red a medida que fluyen dentro de la red de la empresa o Internet.

Los ingenieros de seguridad web suelen hacer uso de analizadores de red para ayudar a descubrir, diagnosticar y solucionar problemas de la red, pero también son utilizados por los hackers para obtener acceso a la información y datos confidenciales del usuario. Muchas empresas de seguridad web como IICS iicybersecurity usan estas herramientas para averiguar os problemas de seguridad web.

Windows Packet Divert (WinDivert) es un analizador de paquete de modo de usuario de para Windows Vista, Windows 2008, Windows 7 y Windows 8.

 

Con WinDivert los expertos de seguridad web se pueden escribir programas en modo de usuario que capturan y modifican o eliminan paquetes de red enviados a / desde la red de Windows.

En resumen, WinDivert puede:

  • la captura de paquetes de red

  • filtrar y destruir paquetes de red

  • escuchar los paquetes de red

  • (Re) inyectar paquetes de red

  • Modificar paquetes de red


 

WinDivert puede ser usado para implementar filtros de paquetes en modo de usuario, analizadores de paquetes, firewalls, NAT, VPN, aplicaciones tunneling, etc. Según los expertos de seguridad web, si necesitas interceptar y modificar paquetes, entonces WinDivert es para ti.

Las características de WinDivert incluyen:

 

- Los modos de interception, sniffing, or dropping

- Apoyo a loopback (localhost) el tráfico

- Totalmente compatible con IPv6

- Capa de red

- API sencilla y potente

- Alto nivel de lenguaje para filtración

- Prioridades al filtro

 

 

windivert

WinDivert en modo de packet-sniffing es similar a Winpcap. A diferencia de Winpcap, WinDivert es totalmente compatible con el tráfico de captura de loopback. Por otra parte, WinDivert apoya la interceptación de paquetes que con Winpcap no puede hacer. Los cursos de seguridad web deben cubrir herramientas como WinDivert y Winpcap durante los cursos ya que son muy importante para cualquier experto de seguridad web.

 

https://reqrypt.org/windivert.html
Noticias de seguridad informática

WiGig, el nuevo WiFi que verás en móviles el próximo año

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/tecnologia/wigig-el-nuevo-wifi-que-veras-en-moviles-el-proximo-ano/
TAGS: WiFi, WiGig
No se trata de un estándar de WiFi nuevo, pero sí de un tipo que comenzaremos a ver en un gran conjunto de nuevos dispositivos a lo largo del próximo año. La WiFi Alliance ha confirmado que a partir de 2017 tanto teléfonos móviles, como portátiles, routers y todo tipo de dispositivos, empezarán a  salir al mercado siendo compatibles con WiGig, un nuevo estándar que dobla velocidad y que servirá, entre otras muchas cosas, para soportar la realidad virtual sin cables.

Las ventajas de WiGig son muchas, aunque su principal es que nos permitirá casi doblar la velocidad actual que es capaz de alcanzar el WiFi que tenemos hoy día. Pero también cuenta con una particularidad que la limita: su alcance. Según la WiFi Alliance, el WiGig es una tecnología que sólo funciona bajo un alcance inferior a 10 metros, dado que sólo ha sido pensado para que se saque partido dentro de una sala.

wigig

Esta tecnología está pensada sobre todo para la realidad virtual sin cables. La actual realidad virtual nos obliga a estar conectados por multitud de cables al ordenador o la consola, pero con WiGig comenzarán a salir gafas de realidad virtual o aumentada que no precisen de cables para comunicarse con la red, dado que con WiGig la velocidad será suficiente. Pero además de su uso para la realidad virtual o aumentada, WiGig también será ideal para el streaming de vídeo en nuestros móviles o para vídeos en 4K.

WiGig también se basa en el nuevo estándar 802.11ad que es capaz de alcanzar velocidades de hasta 8Gbps, frente al estándar 802.11ac que alcanza como máximo los 4,5Gbps. Aunque llegue con los primeros terminales a lo largo de 2017, todavía precisará de unos años hasta que se estandarice.

Fuente:http://computerhoy.com/
Noticias de seguridad informática

Un nuevo ataque “code injection” afecta a todas las versiones de Windows

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/un-nuevo-ataque-code-injection-afecta-todas-las-versiones-de-windows/
TAGS: AtomBombing, code injection

Los ataques contra los usuarios de Internet y los sistemas operativos son cada vez más complejos. Ya sea por un despiste o por utilizar malas técnicas de programación, cada poco tiempo aparecen nuevas vulnerabilidades y fallos de seguridad que obligan a las desarrolladoras a actualizar sus aplicaciones. El problema llega cuando los fallos de seguridad que se descubren no tienen solución, igual que el nuevo fallo detectado por un grupo de expertos de seguridad y que afecta por igual a todas las versiones de Windows.


Los expertos de seguridad de EnSilo han detectado una nueva vulnerabilidad que afecta por igual a todas las versiones de Windows, y de la que no nos podemos proteger, que ellos han denominado como AtomBombing. Este fallo de seguridad ha recibido este nombre debido a que se explota a través de las “atom tables” del sistema operativo para facilitar el almacenamiento y el acceso a los datos entre aplicaciones.


De esta manera, los piratas informáticos pueden crear un exploit muy sencillo que inyecte en estas tablas código malicioso de manera que, cuando una aplicación intente recuperar dicha información, estará cargando automáticamente el código malicioso en la memoria. De esta forma, un atacante podría llegar a tomar capturas de pantalla, acceder a las contraseñas de las víctimas e incluso llevar a cabo otro tipo de ataques BiTM (Browser in The Middle).


windows-laptop


Para que esta vulnerabilidad se pueda explotar, los piratas informáticos deberán hacer uso de diferentes técnicas de “ingeniería social” de manera que engañen a los usuarios para que estos ejecuten el binario malicioso que les permita explotar este fallo de seguridad, algo que, por desgracia, no suele ser muy complicado.



Una vulnerabilidad sin parche para Windows ni solución ya que, en realidad, no es una vulnerabilidad.


Por el momento, no existe ninguna forma efectiva ni para protegerse de este fallo de seguridad ni para solucionarlo de forma definitiva. Según los expertos en seguridad, esta vulnerabilidad no es realmente una vulnerabilidad, porque se trata de un problema muy difícil de tratar.


Según los expertos de seguridad, la única forma de protegerse frente a este fallo es que las desarrolladoras de las principales suites de seguridad del mercado actualicen sus productos de manera que estos sean capaces de detectar las llamadas maliciosas a la API de las tablas atómicas que las permita evitar, antes de que sea demasiado tarde, la posible actividad maliciosa.


Para protegernos nosotros mismos, lo que debemos hacer es prestar atención a los archivos que descargamos y ejecutamos de manera que, cuando detectemos cualquier fichero que pueda ser sospechoso, evitemos ejecutarlo y, así, evitemos que los piratas informáticos puedan ejecutar malware en nuestro sistema.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Comodo publica su software gratuito para el análisis forense de malware

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/comodo-publica-su-software-gratuito-para-el-analisis-forense-de-malware/
TAGS: Comodo, Malware

Una de las aplicaciones esenciales a la hora de utilizar un sistema informático, especialmente si nos conectamos a Internet desde él, es un sistema antivirus o software de seguridad. Sin embargo, un antivirus convencional con un motor basado en firmas no nos protege del malware zero-day, el tipo de malware más peligroso, especialmente de cara a empresas, quienes necesitan un departamento de seguridad y una serie de herramientas de análisis forense (de un precio muy elevado) para ser capaces de protegerse de este malware. Ahora, la empresa de seguridad Comodo quiere acabar con esto.


Hace algunas horas, los responsables de Comodo han publicado una nueva herramienta totalmente gratuita de análisis forense, llamada Comodo Advanced Endpoint Protection, que busca ofrecer a las grandes empresas la posibilidad de detectar posibles amenazas y vulnerabilidades en sus infraestructuras antes de que sea demasiado tarde y puedan, así, protegerse contra los piratas informáticos que amenazan su negocio.


Tal como aseguran los responsables de Comodo, esta es la única herramienta que analiza el 100% de los archivos, incluso aquellos con extensiones y formatos desconocidos, pudiendo permitir a los responsables de la seguridad si estos son inofensivos o tienen alguna cosa que pueda levantar sospechas y ser un peligro potencial. Esta herramienta además bloquea la ejecución de archivos desconocidos hasta que estos son analizados y reciben el visto bueno. Esto permite clasificar el 100% de los archivos como “buenos” o “malos”, evitando que cualquier archivo sospechoso, incluso el malware aún desconocido o creado específicamente para infectar una sola empresa, pueda llegar a ejecutarse.


Como hemos dicho, esta herramienta es totalmente gratuita tanto para usuarios como para grandes empresas (que es, precisamente, a quien va dirigida) y podemos descargarla desde el siguiente enlace.


comodo_ccloud_main



El futuro de la seguridad informática pasa por la regla de “bloquear todo” igual que Comodo Advanced Endpoint Protection


El nuevo Comodo Advanced Endpoint Protection utiliza la regla de bloquear todo por defecto. De esta manera, todos los programas y procesos que se vayan a ejecutar o cargar en la memoria deben pasar antes los análisis forenses de la herramienta de manera que se pueda deducir si son archivos totalmente fiables (y, solo entonces, se ejecutan) o hay sospechas de que pueda ocultar algo en su interior (dejándolo bloqueado y pidiendo intervención del administrador).


El malware cada vez es más complejo, en todos los aspectos, y cada vez a las empresas de seguridad les cuesta más identificarlo en los primeros momentos de su actividad debido a las completas técnicas de ofuscamiento y a los sistemas que impiden que el malware sea analizado.


Aunque de momento las soluciones de seguridad más prestigiosas aguantan, no es descabellado pensar que en los próximos años estas empiecen a utilizar un sistema en el que todo se bloquee por defecto salvo que reciba expresamente el visto bueno de la herramienta de seguridad (lo que se conoce como “lista blanca”) igual que hace la nueva herramienta de análisis forense Comodo Advanced Endpoint Protection.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Thursday, 27 October 2016

Usuarios sufren un hackeo en iMessage y reciben mensajes en chino

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/usuarios-sufren-un-hackeo-en-imessage-y-reciben-mensajes-en-chino/
TAGS: Apple, iMessage


Hoy en día los intentos de phishing y los ataques informáticos son una de las mayores amenazas que sufren los usuarios cada vez que intentamos navegar por Internet. Recientemente, algunos usuarios de Apple están recibiendo ataques informáticos en su servicio de Apple iMessage. Numerosos clientes de Apple están realizando quejas de que su ID de Apple fue hackeado. El proceso fue el siguiente: el usuario recibe una notificación en su iPhone mediante iMessage donde se le notifica que su ID está siendo utilizado en otro dispositivo.



Los mensajes recibidos en iMessage están escritos en chino


Imagen de usuarios con sus cuentas ID de Apple hackeadas. Fuente: Twitter/hilarion
Imagen de usuarios con sus cuentas ID de Apple hackeadas. Fuente: Twitter/hilarion

Apple todavía no ha ofrecido una respuesta oficial al incidente ya que todavía se desconoce el alcance del hackeo, sin embargo, confirmó que fueron bastantes los ataques. Uno de los medios de comunicación más famosos en EE.UU. especializados en tecnología como Mashable habla directamente de un hackeo informático. Precisamente, fue uno de sus redactores uno de los primeros en recibir un mensaje en su cuenta de iMessage, el mensaje estaba escrito con caracteres chinos e indicaba que su Apple ID y número de teléfono estaban siendo usados en un nuevo Mac. Para evitar la notificación tenía que darle a OK, una vez lo hizo recibió cantidad de SMS y mensajes en su cuenta.



Apple ID en chino. Fuente: Mashable
Apple ID en chino. Fuente: Mashable

Otros usuarios también recibieron mensajes por lo visto relacionados con los casinos Macau. Varios afectados publicaron los mensajes en Twitter como las cuentas @Hilariony @aliceharv donde informaron del problema. Todos los problemas se evitaron al cambiar la contraseña de sus dispositivos, de esta forma, dejaron de recibir más mensajes y notificaciones. Lo mismo vale si os sucede a vosotros.


El ataque ha sido hace poco y todavía es pronto saber las medidas de Apple, sin embargo, sabemos que la compañía recompensará cualquier tipo de información o solución de problemas y ataques informáticos. ¿Vosotros habéis recibido algún mensaje solicitando vuestra ID de Apple? ¿Opináis que es un incidente aislado o es algo más grave?



 Fuente:https://apple5x1.com





Noticias de seguridad informática

Filtrado el firmware de Cellebrite para hackear móviles

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/filtrado-el-firmware-de-cellebrite-para-hackear-moviles/
TAGS: Cellebrite, hackear móviles, móvil bloqueado

Hay muchos motivos por los que intentar acceder a un móvil bloqueado. La Policía y otros cuerpos y fuerzas de seguridad tienen muchos, y esta necesidad ha creado un mercado para numerosas compañías que ofrecen la tecnología necesaria para ello. Una de las más destacadas es Cellebrite, especializada en firmware y hardware para hackear teléfonos móviles.


Cellebrite distribuye su tecnología para extraer datos de dispositivos móviles siguiendo un modelo de pago. Actualmente, las agencias de seguridad son sus principales clientes, un negocio que mantiene con relativo secretismo, sin facilitar a la ligera el firmware que se esconde detrás de sus productos.


Sin embargo, ahora éste ha sido filtrado por uno de sus distribuidores, McSira Professional Solutions. Con el firmware a mano, la competencia o los hackers intentarán fabricar sus propios programas para hackear teléfonos móviles a partir del de Cellebrite. En el código podrían encontrarse varias de las vulnerabilidades que Cellebrite explota para desbloquear móviles sin permiso de sus dueños.


touch_ued


Entre los productos filtrados por McSira están el firmware de UFED Touch y UFEC 4PC, dos herramientas que sirven para acceder a móviles bloqueados y extraer datos de ellos. Hasta ahora, Cellebrite se ha mostrado eficiente a la hora de hackear móviles Blackberry, Android y algunos modelos de Apple, aunque el iPhone 6 y el 7 aún están a salvo.


Tras el atentado de San Bernardino, el FBI  mantuvo una lucha con Apple para que la compañía facilitara el acceso al iPhone 5C del asesino. Aunque no lo hizo, el FBI logró acceder al mismo igualmente. Este hardware sólo se vende a agencias gubernamentales, con el objetivo de desbloquear móviles destruidos o cuyos propietarios no pueden colaborar.


Según han declarado un hacker a Motherboard, aún está examinando los archivos filtrados para ver qué se puede hacer con ellos. De momento ha conseguido hackear un iPad de prueba, aunque de forma muy limitada. Cellebrite alega que lo publicado en la web de McSira no es suficiente para crackear su software y poder crear un programa que permite acceder ilegalmente a otros teléfonos móviles, robados o no.


Fuente:http://computerhoy.com/


Noticias de seguridad informática

Cómo evitar que los hackers te espíen usando tu cámara web

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/como-evitar-que-los-hackers-te-espien-usando-tu-camara-web/
TAGS: cámara web, hackers

Sabemos que existe un verdadero riesgo de seguridad cuando Mark Zuckerberg se lo toma en serio. Aunque colocar un pedazo de cinta adhesiva es una manera bastante fiable de asegurarte de que nadie te observe a través de tu cámara web sin tu consentimiento, no es necesario depender de un método tan primitivo. Aquí tienes algunas aplicaciones que pueden asegurarte que no serás espiado.


En primer lugar tenemos Oversight para Mac, desarrollado por un ex-empleado de la NSA llamado Patrick Wardle. La aplicación trabaja en segundo plano buscando cualquier cosa fuera del o común en tu ordenador. Básicamente monitoriza los intentos de acceder a tu cámara web o micrófono, además de buscar amenazas de malware como OSX/Eleanor, OSX/Crisis y OSX/Mokes.






La web de Oversight nos dice que: “Aunque la luz LED de la cámara web se enciende cada vez que se activa la cámara para una nueva sesión de uso, muchas investigaciones han demostrado que existe malware que se puede infiltrar en esa sesión de Facetime, Skype o Google Hangouts (por ejemplo) y grabar tanto el audio como el vídeo de la llamada sin ser detectado”.


Usar Oversight no podría ser más sencillo. Una vez lo instales estará configurado para iniciar cada vez que enciendas tu Mac, y podrás acceder a él desde el icono con forma de sombrilla. Una alerta te avisará cada vez que tu micrófono o cámara web se activen e incluso te notificará de qué aplicación la está iniciando. Puedes presionar “Bloquear” si es algo que no reconoces.


Para los usuarios de Windows una de sus mejores opciones es Who Stalks My Cam, y la idea es similar. La herramienta se ejecuta en segundo plano mientras tu haces tu trabajo diario sin problemas y te avisará cuando exista algún intento de usar tu cámara web.






Además de bloquear malware Who Stalks My Cam también asegura poder “evitar cualquier proceso de espionaje, inhabilitarlos o desviarlos para que así tus datos y conversaciones estén seguros”, según sus responsables.


Al igual que en el caso anterior la instalación y configuración de esta app es realmente rápida y sencilla. Existe la opción de iniciar la aplicación cada vez que enciendas tu ordenador y puedes acceder a ella a través del área de notificaciones de Windows. Además de bloquear el acceso a la cámara web también lleva un registro de las veces que la uses, lo que puede ser bastante útil para los padres que prestan el ordenador a sus hijos.


Pero si no quieres darle acceso a tu cámara web a ninguna aplicación como esta, bueno, siempre te queda la alternativa con la cinta adhesiva.


Fuente:http://es.gizmodo.com/


 
Noticias de seguridad informática

Wednesday, 26 October 2016

Cómo solucionar la vulnerabilidad Dirty Cow en el Raspberry Pi

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/como-solucionar-la-vulnerabilidad-dirty-cow-en-el-raspberry-pi/
TAGS: Linux, Raspberry Pi

En los últimos días hemos hablado de Dirty Cow, una vulnerabilidad que lleva presente en el kernel de Linux desde 2007 y que puede permitir a un atacante conseguir permisos de root en el sistema operativo. Cualquier dispositivo que utilice un sistema basado en Linux, como los smartphones con Android e incluso un Raspberry Pi, son vulnerables a este fallo de seguridad y, por lo tanto, es recomendable instalar las últimas actualizaciones de seguridad lo antes posible si queremos evitar que piratas informáticos se pueden aprovechar de este fallo.


Raspbian es el sistema operativo oficial del Raspberry Pi. Este sistema se basa en Debian 9, Linux, y, por lo tanto, el vulnerable a este fallo de seguridad recién descubierto. Por lo general, el Raspberry Pi es un mini-ordenador pensado para funcionar como un servidor y estar conectado constantemente a Internet, por ello, es de vital importancia mantenerlo libre de vulnerabilidades, especialmente tras los últimos ataques informáticos contra todos los dispositivos del Internet de las Cosas.


Por lo general, actualizar el kernel de un sistema operativo Linux suele ser una tarea bastante complicada y pensada especialmente para usuarios avanzados, sin embargo, los responsables del Raspberry Pi, conscientes de los peligros de esta vulnerabilidad y de que no todos los usuarios tienen conocimientos suficientes como para aventurarse a actualizar el kernel por su cuenta, no han tardado en crear una solución rápida y sencilla para actualizar el kernel de su sistema operativo Raspbian y proteger así a los usuarios de este mini-ordenador de esta vulnerabilidad.


A continuación, os explicamos cómo actualizar el kernel del Raspberry Pi para protegernos de Dirty Cow.


dirty-cow-raspberry-pi



Instala fácilmente los últimos parches del kernel en el Raspberry Pi desde apt-get


Si tenemos instalado en nuestro Raspberry (1, 2, 3 o Zero) una versión reciente de Raspbian “Jessie”, podemos solucionar esta vulnerabilidad en tan solo unos segundos ejecutando los siguientes comandos en el terminal del dispositivo:



  • sudo apt-get update

  • sudo apt-get install raspberrypi-kernel

De esta manera, los repositorios de software de nuestra distribución se actualizarán y, a continuación, se descargará el nuevo paquete “raspberrypi-kernel” que se encargará de actualizar el núcleo del sistema operativo y dejar así nuestro Raspbian protegido. También recomendamos ejecutar “sudo apt-get upgrade” para instalar el resto de actualizaciones disponibles para todos los paquetes que tengamos instalados.


Como Debian aún no ha implementado la función de “hot-patching”, debemos estar pendientes del proceso y, una vez instalado el nuevo kernel, reiniciar el dispositivo de manera que, al volver a arrancar, estemos ya protegidos frente a la temida vulnerabilidad Dirty Cow que tanto amenaza nuestros sistemas en los últimos días.


Fuente:http://www.redeszone.net


Noticias de seguridad informática

¿Cómo hackear la red WPA empresarial con Air-Hammer?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/como-hackear-la-red-wpa-empresarial-con-air-hammer/
TAGS: Air Hammer, hack WPA empresarial, pentesting, Pruebas de Penetración
Ataques de fuerza bruta en línea contra la red WPA empresarial que parecen ser pasadas por alto, si no desconocidas, en la literatura actual sobre la seguridad de la red inalámbrica y en la comunidad de seguridad o pentesting en general. Aunque la red WPA empresarial a menudo se considera "más seguro" que WPA-PSK, que también tiene una superficie de ataque mucho más grande según expertos de pruebas de penetración. Mientras que las redes WPA-PSK sólo tienen una contraseña válida, puede haber miles de combinaciones de nombre de usuario y una contraseña válida que conceda acceso a una única red WPA empresarial. Acuerdo a reportes de pentesting, las contraseñas utilizadas para acceder a red WPA empresarial están comúnmente seleccionadas por los usuarios finales, muchos de los cuales seleccionan contraseñas extremadamente comunes.

[caption id="attachment_12392" align="alignnone" width="741"]air-hammer air-hammer[/caption]


Cómo funciona el Air Hammer


Air Hammer requiere como mínimo los siguientes parámetros para un hacer ataque:
  • La interfaz inalámbrica para ser utilizada

  • El nombre de la red (SSID) de la red inalámbrica esté a la que está destinada durante pruebas de penetración.

  • Una lista de nombres de usuario objetivo

  • Una contraseña o una lista de contraseñas para ser analizados para cada nombre de usuario


 

Air Hammer entonces intenta la autenticación en la red objetivo al tratar la contraseña proporcionada con cada nombre de usuario en la lista. Si se proporciona más de una contraseña, cada nombre de usuario es intentado con la primera contraseña antes de pasar a la siguiente contraseña.

Los expertos de pentesting han creado Air Hammer y dicen que interactuar con los nombres de usuario en lugar de las contraseñas es ventajoso porque:
  1. Hay una probabilidad mucho más alta que podamos adivinar la contraseña de al menos uno, de entre todos los usuarios de la organización que la probabilidad de que podemos adivinar la contraseña de un usuario único, específico en la organización.

  2. Debido a la cuenta de políticas de bloqueo comúnmente en su lugar, es posible hacer muchas veces más intentos de conexión dentro de un plazo determinado mediante la difusión de ellas a través de múltiples cuentas de usuario.


Después se descubrió un conjunto válido de credenciales, el nombre de usuario y la contraseña se muestran en la pantalla. En función de los parámetros utilizados, las credenciales opcionalmente se pueden guardar en un archivo de salida, y el ataque puede ser terminado en el primer éxito o permitido que continúe.

 

Cadena de ataque típico durante pentesting


La cadena de ataque típico durante pentesting para los ataques realizados con Aire-Hammer es la siguiente:

Identificar la red de destino y el mecanismo de autenticación en uso. La versión actual del Air Hammer sólo es compatible con PEAP / MSCHAPv2. Los investigadores de pruebas de penetración añadirán los mecanismos de autenticación adicionales en versiones futuras.

Generar una lista de nombres de usuario para su uso en el ataque. Identificar el formato de nombre de usuario utilizado por la organización. Las fuentes posibles incluyen:
  • Los nombres de usuarios almacenados dentro de los metadatos de los archivos disponibles en el sitio web de la empresa.

  • La primera mitad de direcciones de correo electrónico corporativo. (La parte antes de la "@").

  • Los nombres de usuario capturados durante un ataque "Evil Twin" de la red destino.

  • Hacer una lista de los nombres y apellidos de los mayoria de los empleados de la organización como sea posible. Las fuentes posibles: 1. El sitio web empresarial 3. Data.com 3. LinkedIn

  • El uso de la información obtenida de los pasos anteriores durante pentesting, generara una lista de nombres de usuarios potenciales.


Uso de Air-Hammer para descubrir las credenciales válidas.

Uso de credenciales descubierto para acceder a la red inalámbrica.

Muchas empresas de pentesting usan herramientas como de Air Hammer para hacer pruebas de penetración. Los expertos de pentesting de IICS International Institute of Cyber Security mencionan que desde credenciales la empresa WPA que son a menudo de dominio de las credenciales del usuario, utilice las credenciales descubiertas para acceder a sistemas adicionales en la red interna e iniciar ataques adicionales.

 

air-hammer2

https://github.com/Wh1t3Rh1n0/air-hammer/

 
Noticias de seguridad informática

El troyano GM Bot puede esquivar los sistemas de seguridad de Android 6

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-movil/el-troyano-gm-bot-puede-esquivar-los-sistemas-de-seguridad-de-android-6/
TAGS: foros de hacking, GM Bot

No es una amenaza nueva, pero sí que es verdad que parece que ha sufrido una inyección de novedades para poner en jaque a los usuarios que hacen uso de dispositivos con sistema operativo Android. Estamos hablando de GM Bot, del que expertos en seguridad han buscado desgranar algunos aspectos que pueden resultar muy interesantes.


En primer lugar, vamos a ponernos en situación. Para ello toca remontarse hasta el mes de octubre del pasado año, cuando apareció por primera vez esta amenaza, aunque su puesta en escena no fue para nada boyante. Ya en el año en el que nos encontramos, concretamente en el mes de febrero, los expertos en seguridad fueron capaces de sacar algunas conclusiones más, como que por ejemplo la mayor parte de su código derivaba de Mazar.


Pero desde entonces hasta la fecha en la que nos encontramos, el propietario de la amenaza no ha estado cruzado de brazos y ha incorporado mejoras en esta amenaza que esta llamada a afectar a los dispositivos equipados con sistema operativo Android.


La amenaza es capaz de interactuar con el sistema operativo, concretamente con archivos importantes que forman parte del entramado de archivos vitales. El troyano es capaz de controlar cuáles son las aplicaciones que se están ejecutando y que en estado se encuentran (es decir, si están en segundo plano o ejecución normal) y así llevar a cabo otro tipo de ataques, como por ejemplo phishing. Pero todo hay que decirlo, este tipo de ataques en los que se utiliza ingeniería social no son desconocidos y ya hemos disfrutado de más de uno, sobre todo si hablamos de amenazas que buscan conseguir los datos bancarios del usuario.


llegada-silenciosa-ransomware-android



GM Bot baneada en foros de hacking


A pesar de los duros reveses que está sufriendo en forma de baneo en diferentes foros, lo que dificulta sobre todo obtener la remuneración económica suficiente en forma de ventas, su propietarios continúa con el desarrollo de la amenaza y su punto de mira se encuentra en la actualidad en los dispositivos con versión 5 y 6 del sistema operativo Android.


Sobre cuál puede ser la vía de difusión, aún no está del todo claro, sobre todo porque no ha existido hasta el momento una campaña lo suficientemente agresiva como para tenerla en cuenta, pero su sitio podría estar en las tiendas de aplicaciones no oficiales.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Una nueva variante de Locky utiliza la extensión SHIT para renombrar los archivos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/una-nueva-variante-de-locky-utiliza-la-extension-shit-para-renombrar-los-archivos/
TAGS: extensión SHIT, nuevo ransomware

Uno de los ransomware más veteranos ha visto como una nueva versión está disponible en Internet. Locky ha sido sin lugar a dudas la referencia para muchos ciberdelincuentes a la hora de infectar los equipos de usuarios particulares, y con esta nueva versión permitirá infectar mucho más dispositivos con sistema operativo Windows, algo que sigue siendo la tónica predominante.


LOCKY, ZEPTO y ODIN han sido tres de las extensiones utilizadas para llevar a cabo el cifrado de los archivos durante las últimas versiones. Pero la principal novedad de esta última es precisamente este elemento, que pasa a ser SHIT. Los expertos en seguridad indican que esta variante busca sobre todo afectar a documentos y archivos de vídeo e imagen, atacando a unas carpetas muy concretas donde los usuarios acostumbran a dejar este tipo de documentos.


Pero por suerte para los usuarios la recuperación de los mismos no es muy complicada, ya que existe esta página web en la que el usuario debe enviar una copia del mensaje y un archivo cifrado, permitiendo encontrar una herramienta para realizar el descifrado de forma gratuita.


En apenas seis horas, la amenaza se ha distribuido a través de páginas web y campañas de correo electrónico spam, llegando a muchos países pertenecientes a Europa, incluido España, donde ya se han detectado las primeras infecciones.



No se puede considerar un nuevo ransomware, solo una versión de Locky


https://youtu.be/erwXWHeifL4

En el vídeo se ha visto un ejemplo de lo que es capaz esta amenaza. Sin embargo, nada más lejos de la realidad, no nos encontramos ante una amenaza nueva sino una variante o actualización. Y es que son muchas las versiones de las que hemos podido disfrutar. Casi todas ellas poseen pequeños cambios con respecto a su predecesora, siendo más que suficiente muchas veces para que las herramientas de descifrado existentes en ese momento no puedan recuperar los archivos, o al menos de forma temporal.


Con respecto a los antivirus, hay que decir que en esta ocasión sí son capaces de detectar la amenaza, por lo que es recomendable disponer de una herramienta correctamente instalada y actualizada para evitar la infección y el posterior cifrado de los archivos.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática

Tuesday, 25 October 2016

Hold the backdoor: llega una nueva edición de ekoparty en Argentina

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/hold-backdoor-llega-una-nueva-edicion-de-ekoparty-en-argentina/
TAGS: Backdoor, ekoparty

Falta apenas un día para que comience ekoparty, la reconocida conferencia de seguridad que, en su edición número 12, se hará nuevamente en Buenos Aires. Desde ESET estaremos presentes como cada año, recibiendo a los asistentes en nuestro stand con desafíos técnicos para que demuestren sus conocimientos, a cambio de atractivos premios. Además, como WeLiveSecurity es media partner de la eko, haremos una cobertura detallada del evento, contándote sobre las investigaciones y los hallazgos presentados.


Esta vez, bajo el slogan “Hold the backdoor”, ekoparty tendrá lugar los días 26, 27 y 28 de octubreen Ciudad Cultural Konex (Sarmiento 3131, Ciudad de Buenos Aires).


Se dictarán 22 charlas traducidas simultáneamente entre inglés y español, además de ocho workshops sobre diversos temas relacionados a seguridad y hacking. Para más información, puedes ver el listado completo en el cronograma.


Si todavía no te haces una idea de lo que se vive en ekoparty, mira el siguiente video en el que resumimos la edición 2015:


https://youtu.be/9oR0d3sGZWA

En palabras de sus creadores, ekoparty permite a consultores, ejecutivos, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología reunirse y disfrutar de los descubrimientos más importantes, en un ambiente distendido y totalmente alocado (¡ideal para intercambiar conocimiento!).


A nosotros nos gusta ir y que nos acompañen; es por eso que publicamos un desafío técnico para premiar a quien lo resolviera correctamente con una entrada gratuita el evento. Afortunadamente, Everth J. Gallegos Puma fue el ganador y podrá asistir.


Así que te esperamos en el Konex y también aquí, en WeLiveSecurity, con una cobertura de ekoparty para que no te pierdas nada. Este año, además de nuestros ya clásicos pochoclos, habrá muchos regalos originales. Te damos una pista: tienen que ver con realidad aumentada.


Fuente:http://www.welivesecurity.com/


Noticias de seguridad informática

¿Cómo detectar si la red empresarial ha sido hackeado?

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/como-detectar-si-la-red-empresarial-ha-sido-hackeado/
TAGS: ciberseguridad, ethical hacking, IOC, IOC (indicator of compromise), Loki
lokiIOC (indicator of compromise) - una lista de datos de amenazas (por ejemplo, secuencias que definen las rutas de archivos o claves de registro) que pueden utilizarse para detectar una amenaza en la infraestructura mediante el análisis basado en software automatizado de ethical hacking.

Simples escenarios de ciberseguridad de uso del IOC implican localizar el sistema de archivos específicos usando una variedad de criterios de búsqueda: hash MD5, nombres de archivo, fecha de creación, tamaños y otros atributos. Además, la memoria puede ser buscada por diversos signos específicos de la amenaza y en registros de Windows pueden buscar registros específicos según expertos de ethical hacking de International Institute of Cyber Security.

Estos datos se pueden presentar en una variedad de formatos. Los diferentes formatos permiten que los datos se importen en diferentes soluciones de ciberseguridad y ethical hacking para proporcionar el tratamiento posterior de los indicadores. Un administrador de ethical hacking puede integrar IOCs tomado de los reportes en soluciones de ciberseguridad tales como:

  • Las soluciones de Endpoint Security

  • SIEM

  • IDS/IPS

  • HIDS/HIPS

  • Herramienta de investigación de ethical hacking sobre varios incidentes


Hay muchas soluciones comerciales de ciberseguridad para trabajar con IOC, pero en muchos casos las capacidades de los programas de código abierto similares son suficientes para comprobar en sistema en busca de signos de infección. Un ejemplo es Loki.

Loki es un sencillo y gratuito IOC scanner. Estos indicadores se pueden derivar de los informes de incidentes publicados, los análisis forenses o colecciones de muestras de malware en su laboratorio.Creado por expertos de ethical hacking, LOKI ofrece una forma sencilla de escanear tus sistemas de IOCs conocidos.

Es compatible con estos diferentes tipos de indicadores:
  • Hash MD5 / SHA1 / SHA256

  • Reglas de Yara (aplicado al archivo de datos y memoria de proceso)

  • Los nombres de archivo Hard indicador basados en la expresión regular

  • Los nombres de archivo Soft indicador basado en expresiones regulares


 

LOKI cuenta con algunas de las reglas más eficaces tomadas de los conjuntos de reglas de Thor APT escáner. Los expertos de ethical hacking, decidieron integrar una gran cantidad de reglas WebShell ya que incluso los mejores antivirus no pueden detectar la mayoría de ellos.

La base de firmas IOC no está cifrada o se almacena en un formato de propietario. Puede editar la base de firmas de por ti mismo y añadir tu propio IOCs. Ten en cuenta que los atacantes también pueden tener acceso a estas reglas en los sistemas de destino si usas el escáner y dejas el paquete en un sistema comprometido.

Puedes añadir fácilmente tus propios valores hash, las características de nombre de archivo y las normas de Yara para los conjuntos de reglas que vienen con él. Y por estos razones muchas empresas de de ciberseguridad usan productos como Loki. Otro escenario es el uso en un laboratorio forense. Escanear imágenes montadas con LOKI para identificar amenazas de ciberseguridad conocidas utilizando las definiciones proporcionadas por IOC.

Al final de la exploración LOKI genera un resultado de la exploración. Este resultado puede ser:
  • El sistema parece estar limpio.

  • ¡Objetos sospechosos detectados!

  • ¡Indicadores detectados!


 
Noticias de seguridad informática

Un malware utiliza los credenciales de administrador de Prestashop

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/un-malware-utiliza-los-credenciales-de-administrador-de-prestashop/
TAGS: Malware, Prestashop

La seguridad de las tiendas online deja aún bastante que desear. Mientras en otras ocasiones Magento era la protagonista, en el día de hoy ha cedido el testigo a aquellas que hagan uso de Prestashop. Expertos en seguridad han detectado que muchas webs que hacen uso de este software se han visto comprometidas por un virus informático que se ha hecho con el control del servidor.


Han añadido que el malware, una vez ha alcanzado el servidor, se preocupa en primer lugar de modificar los ficheros PHP de administración permitiendo la instalación de un keyloggerque se ejecutará de forma permanente. El archivo ./controllers/admin/AdminLoginController.php es una pieza clave que además de permitir el inicio de sesión se encarga de ofrecer el resto de funcionalidades al administrador del sitio web, de ahí que los ciberdelincuentes hayan elegido este como compañero de viaje de su amenaza. Esto le ofrece acceso a todo el texto que se introduzca, incluidas las contraseñas.


El malware ofrece todo lo necesario para iniciar sesión y disponer de control total sobre el servidor y el sitio web. La finalidad es muy clara, ya que se utilizará en un principio para distribuir otras amenazas, pero también buscarán la capacidad del servidor para actuar como herramienta de apoyo en ataques de denegación de servicio o incluso a la hora de difundir correo electrónicos spam.


prestashop-infectada-con-virus-informatico



Prestashop y la reutilización de contraseñas


Se trata de un problema muy frecuente, pero se repite día a tras día. Aunque los usuarios particulares acostumbran a realizar esta operación, resulta bastante grave que administradores de equipos de red o servidores también lo lleven a cabo, exponiendo la seguridad del equipo y de los datos de los usuarios que se alojan en él.


En un breve análisis realizado por expertos en seguridad, se ha comprobado como la inmensa mayoría de contraseñas no son seguras y son fáciles de adivinar, sobre todo teniendo en cuenta la cantidad de diccionarios existentes hoy en día.


El robo de información que realiza este malware, entre la que se encuentran las credenciales, provocaría que otros sistemas o servicios que hagan uso de las mismas se vean comprometidos sin ningún esfuerzo.


Fuente:http://www.redeszone.net/


Noticias de seguridad informática