setMFT y afset, el malware que ayudó a robar The Interview a Sony

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/setmft-y-afset-el-malware-que-ayudo-robar-interview-sony/
TAGS: Sony Pictures

Nuevas pruebas sobre el ataque informático a Sony Pictures han arrojado nueva luz sobre las herramientas que se utilizaron. Hoy hemos conocido dos de ellas.

¿Recuerdas el hack que expuso la base de datos de Sony Pictures? ¿El que resultó en miles de correos electrónicos filtrados en la red? Pues se están conociendo más detalles de dicho ataque un año después de que este tristemente célebre ataque se produjese.

Vamos a recapitular un poco… No se sabe exactamente cuánto tiempo estuvo Sony Pictures sufriendo el ataque, aunque se especula con que se produjese durante más de un año antes de que se descubriese en noviembre de 2014. Los hackers decían haberse llevado más de 100 terabytes de datos de Sony, y después de abrir brecha implementaron Wipe, un malware que borra datos de los servidores sin dejar rastro.

Se especuló con que el ataque se hubiese producido por culpa de la película The Interview, en la que dos periodistas estadounidenses se infiltraban en Corea del Norte para asesinar al presidente y líder de la nación, Kim Jong-Un, a petición de la CIA.

Al principio no había pruebas públicas que identificasen a los hackers que estuviesen tras el ataque. El gobierno estadounidense acusó directamente a Corea del Norte del ataque, pero no se encontraron pruebas. En cualquier caso, la industria de Hollywood quedó en entredicho tras estos ataques, ya que al final se retrasó el estreno en cine de la película.

El retraso de The Interview se retrasó por estos ataques / Travis Wise editada con licencia CC 2.0

Los responsables del ataque construyeron una coartada virtual casi perfecta, hasta que alguien la reventó. Al final resultó que Guardians Of Peace —el supuesto grupo hacker norcoreano— resultó no ser tal. Tal y como ya comentamos en estas mismas páginas, el autor intelectual del ataque fue una ex-empleada buscando venganza.

Nuevas evidencias del ataque a Sony Pictures

Según se ha recogido en The Register, dos investigadores de la empresa Damballa han encontrado pruebas de las herramientas usadas por los hackers para evitar que se los detectase mientras intentaban abrir una brecha en la seguridad de los servidores de Sony Pictures. Una de ellas es una conocida como setMFT, que puede ser usada por un hacker para hacer algo llamado timestomping, lo que cambia las fechas asociadas a los archivos y evita que aparezcan ante investigadores que busquen pruebas de un ataque.

Otra herramienta que se descubrió fue la que se conoce como afset, que también se utiliza para hacer timestomping y que también intenta ocultar pruebas de un hack a los encargados de la seguridad informática. Los investigadores de Damballa han comentado que la herramienta “no funcionaba completamente, de forma que no ocultaba todos los archivos que debía”.

De momento estas han sido las dos herramientas que se han encontrado mediante el análisis forense del ataque, pero debería salir mucho más a la luz conforme la investigación avance.

Fuente:http://www.malavida.com/

Noticias de seguridad informática

Vonteera, un troyano que bloquea la instalación de antivirus en Windows

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/vonteera-un-troyano-que-bloquea-la-instalacion-de-antivirus-en-windows/
TAGS: Adware, troyano, Vonteera

La variedad de amenazas existentes nos permite encontrarnos con algunas circunstancias curiosas. Expertos en seguridad han detectado un adware que se ha convertido en un troyano y que evita que se instalen herramientas de seguridad en el equipo utilizando certificados y el control de cuentas de Windows. Se le conoce con el nombre de Vonteera.

Para encontrar los inicios de este hay que retroceder cuatro años, cuando investigadores lo analizaron y determinaron que se trataba de un simple adware que una vez llegaba al equipo insertaba anuncios en las páginas que visualizaba el usuario, provocando la descarga de aplicaciones no deseadas si este hacía click en estos. Tras varios años con muy poca repercusión en Internet, los responsables de este han tomado la decisión de modificar el código y convertirlo en un auténtico troyano que puede resultar muy peligroso si no hemos instalado una herramienta de seguridad.

Vonteera, que así es como se ha bautizado, una vez se instala en el equipo realiza la modificación de los permisos de la cuenta del usuario evitando que las herramientas de seguridad se instalen. Para asegurarse de que esto no se produzca recopila la información de 13 certificados que pertenecen a antivirus y ubicándolos en una lista negra.

Los certificados que se han visto afectados son: Avast, AVG, Avira, Baidu, Bitdefender, ESET, ESS Distribution, Lavasoft, Malwarebytes, McAffee, Panda Security, TreatTrack Security y Trend Micro.

Vonteera inyecta su código en los navegadores web

Tras garantizar que el usuario no instale herramientas de seguridad, el troyano se encarga de inyectar su código en los navegadores web instalados para mostrar de forma periódica anuncios que distribuyen software no deseados. Internet Explorer, Chrome, Safari, Opera o Firefox se pueden ver afectados por igual, tal y como han detallados los expertos en seguridad. Está claro que la amenaza no es capaz de desactivar las herramientas de seguridad, por lo tanto, el problema para el usuario radica en que esta sea capaz de esquivar estas o bien que llegue al equipo y en este no exista una ya instalada, siendo imposible para el usuario instalarla.

Si existe un antivirus en el sistema es probable que este detecte la presencia de este y bloquee su instalación. Sin embargo, en el caso de no disponer uno y sufrir la infección será necesario restaurar el sistema a un estado anterior.

Lo que aún no está del todo claro es la vía de difusión de esta amenaza, creyendo desde las empresas de seguridad que la descarga de aplicaciones desde páginas web infectadas podría ser el origen.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

TrueCrypt obtiene excelentes resultados en una nueva auditoría alemana

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/truecrypt-obtiene-excelentes-resultados-en-una-nueva-auditoria-alemana/
TAGS: BitLocker, TrueCrypt

TrueCrypt es una de las herramientas de cifrado gratuitas y de código abierto más conocidas de la red. Esta herramienta permitía crear volúmenes de datos cifrados y seguros, evitando así que usuarios no autorizados pudieran acceder a los datos. Hace ya algún tiempo, de repente, y por motivos que aún se desconocen, los desarrolladores decidieron abandonar el proyecto alegando “graves vulnerabilidades” en el programa y recomendaban utilizar alternativas privativas como BitLocker. Desde entonces son bastantes las empresas de seguridad que han estado auditando el programa para comprobar su seguridad real, una seguridad que incluso a día de hoy es excelente.

Hace 6 meses, el gobierno alemán comenzó a auditar la herramienta con el fin de poder demostrar si realmente era seguro cifrar datos con ella o, de lo contrario, poseía graves vulnerabilidades en el código tal como se confirmaba. Esta nueva auditoría ha sido llevada a cabo por el BSI alemán y por varios institutos tecnológicos del país.

Tras 6 meses de pruebas y revisión, los resultados de esta nueva auditoría de seguridad demuestran que tanto el programa como sus algoritmos son incluso más seguro de lo que se había demostrado en un primer estudio. Una vez más se demuestra que no existe ninguna evidencia de puertas traseras colocadas deliberadamente (por el FBI, por ejemplo) ni ningún defecto grave que comprometa la seguridad y privacidad de los datos.

Los únicos puntos a destacar de la nueva auditoría de TrueCrypt son que la calidad del código se puede mejorar (aunque estamos hablando de un software libre, con varios colaboradores, lanzado en 2004, hace más de 11 años) y que tampoco estaría mal refactorizar ciertas funciones y mejorar la documentación del código, sin embargo, el programa cumple perfectamente con su función y, una vez más, se demuestra que es totalmente seguro.

Aún se desconoce el por qué de la mentira de los fundadores del proyecto, el abandono del desarrollo y la liberación de la última versión capada en funciones 7.2, aunque, gracias a su naturaleza de código abierto, no tardaron en aparecer herramientas derivadas del proyecto original.

Alternativas a TrueCrypt que aún siguen en desarrollo

Varios desarrolladores comenzaron a crear sus propias versiones derivadas adaptando el código de la versión 7.1a de TrueCrypt. Aunque al principio aparecieron varias aplicaciones diferentes dignas de suceder a este líder en criptografía, finalmente podemos hablar de dos, las principales que han continuado su desarrollo y se han ganado la confianza de los usuarios.

La primera de ellas, y más fiel al programa original es VeraCrypt. Esta aplicación es sin duda la que ha conseguido un desarrollo mucho más rápido y fiable, siendo probablemente la mejor opción, a día de hoy, para sustituir al proyecto original ya que, entre otras características, Veracrypt aún es totalmente compatible con los contenedores originales, aunque cuenta también con su propio empaquetado.

Otra opción que no podemos pasar por alto es CipherShed, un proyecto que, aunque aún se encuentra en desarrollo, adapta el código del proyecto original de TrueCrypt 7.1a a una nueva herramienta libre con un nuevo mantenimiento.

Fuente:http://www.redeszone.net/

Noticias de seguridad informática

Pearson VUE steal information, provider of Microsoft, Oracle and Cisco

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/pearson-vue-steal-information-provider-microsoft-oracle-cisco/
TAGS: MICROSOFT, Oracle and Cisco

Pearson VUE, a company dedicated to the preparation and issuance of certificates to clients include Microsoft, Oracle and Cisco, confirmed to have been a victim of theft. In its official statement , he reported that "an unauthorized third party inserted malware "in its systemCredential Manager , used to manage certificates and professional licenses.

The company explained:

The unauthorized third unduly granted to certain information relating to a limited number of our users.

Our analysis to date indicates that this problem is isolated in the Credential Manager Pearson VUE system. There are no indications that other systems have been affected.

Meanwhile, the investigation continues into the hands of the proper authorities and an external forensic team to determine the extent of the specific elements and data involved and the origin of the incident. "Because the Credential Manager system is custom-designed to meet specific customer needs, we are working to understand how this incident could have affected each of our customers," continued the statement.

Others to keep out intruders, Pearson VUE decided to leave offline the system until further notice and is offering free help and support to potential victims lines, though not believed to have leaked information too sensitive - at least, not security numbers social or details of credit cards used for payments.

Subtract see what comprises the "certain information" that the attackers gained access; probably consist of names, addresses and e-mail and phone numbers.

And as often happens in similar cases, when cybercriminals make databases of enterprise customers, it is important to alert potential affected that there is the possibility that they are contacted by scammers trying to get a little more information - or even, some economic return through a scam . Therefore, it is recalled that the company will not request personal information through e-mails or phone calls.

Apologizing for the incident, Pearson VUE concluded: "The customer privacy is a priority for us and we take this responsibility very seriously."

fuente:http://www.welivesecurity.com/

Noticias de seguridad informática

Diferentes tipos de formatos de la imagen de un disco duro virtual

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/diferentes-tipos-de-formatos-de-la-imagen-de-un-disco-duro-virtual/
TAGS: proveedor de seguridad informática

Vamos a hablar sobre formatos de disco duro virtual con ayuda de expertos de un proveedor de seguridad informática. El disco duro de una máquina virtual se implementa como los archivos, que viven en su sistema de archivo nativo de la máquina host. MS Virtual PC y MS Virtual Server soportan los tipos de formatos de discos duros virtuales mencionados a continuación:

Fijo - La imagen de disco duro fijo es un archivo en particular, que se corresponde con el tamaño del disco virtual. Digamos por ejemplo, si un usuario ha creado un disco duro virtual particular de 2 GB, entonces su máquina va a crear un archivo host, que sería alrededor de 2GB. Este espacio que se asigna para los datos es entonces seguido por la estructura del pie de página. El tamaño de archivo completo es realmente el tamaño del disco duro en el host OS, añadida al tamaño del pie de página explica expertos de un proveedor de seguridad informática. Debido a la limitación del tamaño del sistema de archivos de host, este tipo de disco duro puede ser algo limitado. Por ejemplo, en algunos sistemas de archivos FAT32, el tamaño máximo de disco duro virtual es alrededor de 4 GB.

Dinámico - Este tipo de imagen en el disco duro, básicamente es un archivo dinámico, que, en cualquier momento tiene el  tamaño de los datos originales que está escrito en él, añade el tamaño del encabezado y pie de página. En un disco duro dinámico, la asignación se realiza en bloques. Como pasa el tiempo y como más datos se escribe a él, el archivo sí mismo aumenta dinámicamente su tamaño asignando bloques. Por ejemplo, el tamaño de archivo que realiza una copia de un disco duro virtual de tamaño de 2 GB es inicialmente aproximadamente 2 MB de tamaño del sistema de archivos host. Estos tipos de discos duros suelen almacenar los metadatos que se utiliza para acceder a los datos de usuario que se guarda en el disco duro. El límite superior del tamaño del disco duro dinámico, es alrededor de 2040 GB. El tamaño real está limitado por el protocolo primario de hardware del disco. Por ejemplo, los discos duros dinámicos de ATA generalmente tienen límite de tamaño de 127 GB menciona expertos de un proveedor de seguridad informática. Cada momento, cuando se añade cualquier bloque de datos, el pie de página del disco duro dinámico tiene que ser transferido a la final de ese archivo. Ahora, como el pie de página del disco duro es una parte importante y fundamental de esa imagen en el disco duro dinámico, el pie de página en el disco duro se imita como el encabezado en la parte anterior del archivo con el propósito de redundancia.

Differencing - Este tipo de imagen de disco duro muestra el estado actual de disco duro virtual como una pila de todos los bloques modificados en comparación con la imagen original. Imagen de disco duro differencing no es independiente; sino que es la que depende de otra imagen de disco duro para ser completamente funcional explica experto de un proveedor de seguridad informática. La imagen original puede ser uno cualquiera de los tres tipos de imagen mencionados, que incluye otra imagen differencing del disco duro.

En próximo artículo vamos a cubrir mas sobre los formatos y cómo funcionan ellos.

Noticias de seguridad informática

Este dispositivo te protege de malware y ciberataques

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/este-dispositivo-te-protege-de-malware-y-ciberataques/
TAGS: Dojo

En un mundo cada vez más interconectado, los principales peligros a los que nos exponemos son el malware, los virus o los ciberataques. Estas amenazas pueden afectar a todos los dispositivos que tenemos conectados a la red, poniendo en riesgo la seguridad de nuestros datos e información privada.

Para proteger todos los aparatos conectados de nuestro hogar, una startup con sede en Israel ha desarrollado Dojo, un dispositivo de seguridad que tiene la capacidad de detectar todo tipo de malware o comportamiento anómalo en nuestra red doméstica.

Dojo es un pequeño dispositivo con forma de piedra que se conecta al router a través de un cable Ethernet para analiza el los flujos de datos y supervisar las actividades que se producen en la red, lo que le permite detectar posibles amenazas de seguridad.

En caso de que haya algún movimiento extraño, por ejemplo que un hacker intente infiltrarse a través de alguno de los aparatos conectados, o un terminal que esté enviando datos privados sin autorización, Dojo emitirá una alerta luminosa y te avisará de que hay un problema a través de la app para el smartphone, que tiene formato de chat para que sea muy fácil de usar.

De esta forma, el usuario puede monitorizar las amenazas en tiempo real y bloquear cualquier ataque antes de que comprometa la seguridad de la red doméstica.

Además, Dojo va aprendiendo del funcionamiento de tus dispositivos para identificar los patrones de comportamiento que definen su nivel de seguridad y sus vulnerabilidades más comunes, lo que le permite bloquear las amenazas antes de que se produzcan.

Si te interesa proteger tus aparatos conectados, este dispositivo que supervisa la seguridad de tu red doméstica está disponible para hacer una pre-reserva en Amazon.com por un precio de 99 dólares. Si todo va según lo previsto por sus desarrolladores, la entrega se llevará a cabo a partir del 8 de marzo de 2016.

Fuente:http://computerhoy.com/

Noticias de seguridad informática

Dell sigue la estela de Lenovo y preinstala adware en sus ordenadores

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/dell-sigue-la-estela-de-lenovo-y-preinstala-adware-en-sus-ordenadores/
TAGS: eDellRoot, Lenovo, SUPERFISH

Después del escándalo de Lenovo y Superfish, Dell ha creado su propia versión del monstruo llamada eDellRoot. ¿Preinstalar adware en los PCs es una moda?.

Dell se ha convertido en la nueva Lenovo. O eso o, al menos, están copiando sus malas prácticas para con los usuarios. En el caso de Lenovo era un bloatware conocido como Superfish el que venía preinstalado en sus equipos, y parece que Dell está haciendo lo mismo con este rogue bloatware.

Llega un momento en el que el asunto del bloatware a los fabricantes se les empieza a ir de las manos, y este muy bien podría ser el caso. Es una traición a la confianza del usuario el preinstalaradware en un ordenador nuevo, y lo cierto es que tanto Dell como Lenovo van a pagar —o ya están pagando en el caso de Lenovo— a nivel de ventas este asunto.

Lenovo y Superfish, más publicidad y más dinero

La historia de Lenovo y Superfish viene de muy antiguo. Ya de por sí nunca ha existido una gran confianza en los productos informáticos chinos, y este asunto de Superfish terminó de dinamitar la confianza entre oriente y los usuarios occidentales.

Lenovo fue la primera tecnológica a la que se le descubrieron estas prácticas / Motohiko Tokuriki editada con licenciaCC 2.0

Superfish se encontraba preinstalado de serie en muchos ordenadores y empezaba a funcionar en cuanto el usuario hacía uso de su máquina. Este malware funcionaba inyectando publicidad en los navegadores de los usuarios y ejecutando un ataque man-in-the-middle, otorgándose a sí mismo permisos de superusuario para instalar un proxy capaz de producir certificados SSL “trucados” cada vez que se necesite una conexión segura.

Estos certificados trucados son necesarios para que se pueda mostrar publicidad al usuarioincluso en conexiones seguras, y Lenovo lleva retirando Superfish de sus productos desde el pasado mes de enero del presente año. Eso, sin embargo, no quita para que la confianza de los usuarios en la marca resultase muy dañada.

Dell y eDellRoot, el último escándalo

Volvamos a la actualidad y a Dell. El fabricante estadounidense ha sido cazado introduciendo unrogue bloatware similar a Superfish en sus preinstalaciones de Windows. La alarma ha saltado en Twitter, donde un usuario llamado Joe Nord ha descubierto esto:

Este malware se instala concediéndose a sí mismo permisos de administrador, y ha sido descrito con más profundidad por Nord en su blog, donde comenta que se puede parecer mucho a Superfish y donde ha escrito lo siguiente:

El certificado de eDellRoot expira en 2039 y se usa para todos los propósitos. Esto es mucho más poderoso que cualquier certificado legítimo DigiCert, lo que aún me genera más curiosidad.

eDellRoot podría ser spyware

El problema con los permisos que se concede eDellRoot es no saber qué actividades de espionaje puede hacer, al contrario que el caso de Superfish, que “sólo” se dedicaba a inyectaradware en los ordenadores de los usuarios sin su consentimiento expreso.

Nord siguió estudiando el certificado de seguridad, que decía que el usuario tiene una clave privada que se corresponde con la de eDellRoot. Llama la atención que el usuario sea el que tenga esta clave privada según Windows, ya que debería estar mucho mejor protegida y el usuario no tendría que tener acceso a ella. Lenovo cometió la audacia de usar la misma clave privada en todos los ordenadores infectados con Superfish, y Nord no podía evitar preguntarse si Dell habrá hecho lo mismo.

¿Es eDellRoot legítimo?

Es imposible determinar si el CA de eDellRoot viene de la propia empresa. Todos los certificados con permisos de administrador están siempre autofirmados, con lo que eDellRoot básicamente dice que eDellRoot es un CA legítimo. Sin embargo, que una clave privada pueda tener acceso a un ordenador es malo.

El asunto de eDellRoot también ha generado un considerable revuelo en Reddit, donde un usuario conocido como Rotorcowboy ha montado un revuelo considerable al, prácticamente, confirmar las sospechas de Joe Nord: según este usuario, Dell ha usado la misma clave en todos los ordenadores. El propio Rotorcowboy ha intentado contactar con Dell por Twitter con este resultado:

¿Cómo saber si mi Dell está infectado?

De momento Dell no se ha pronunciado sobre el tema. Por ahora, si tienes un ordenador Dell te aconsejamos que hagas lo siguiente para saber si tu ordenador está infectado: ve a Inicio, teclea certmgr.msc, acepta el control de cuentas de usuario que saldrá, ve a Entidades de certificación raíz de confianza, entra en la carpeta Certificados y busca una entrada que se llameeDellRoot. Si la tienes, la empresa a la que le has comprado el PC te acaba de gastar una broma de mal gusto.

Fuente:http://www.malavida.com/

Noticias de seguridad informática