VUPEN mantuvo en secreto tres años una vulnerabilidad en IE

La empresa de seguridad francesa VUPEN ha revelado que mantuvieron en secreto una grave vulnerabilidad 0-Day en Internet Explorer (IE) durante al menos tres años, antes de revelarlo en el concurso de hackers Pwn2Own celebrado en marzo de este año.

Especialidad de VUPEN es descubrir vulnerabilidades de día cero y venderlas al mejor postor, típicamente a agencias de inteligencia y del gobierno y a la iniciativa Zero Day Initiative de HP.

La vulnerabilidad crítica afectada a las versiones 8, 9, 10 y 11 del navegador Internet Explorer y permite a los atacantes evitar remotamente la sandbox del modo protegido de IE y se puede aprovechar para obtener privilegios elevados en el sistema. La Sandbox es un mecanismo de seguridad utilizado para ejecutar una aplicación en un entorno restringido. Si un atacante es capaz de eludir este mecanismo, podría ejecutar código malintencionado en el equipo atacado.

Timeline de la vulnerabilidad

Según la revelación hecha por la empresa la semana pasada, la vulnerabilidad CVE-2014-2777 fue descubierta por la empresa el 12 de febrero de 2011 fue parcheada por Microsoft el mes pasado (MS14-03). En el medio pasaron tres años de 2011 a 2014 que Microsoft no había conocido la vulnerabilidad.

"La vulnerabilidad es causada debido a un manejo incorrecto de la direcciones cuando se llama a la función 'ShowSaveFileDialog()', que podría ser aprovechada por un proceso para escribir archivos en ubicaciones arbitrarias en el sistema y saltar la sandbox del modo protegido de IE" escribió la compañía.


VUPEN ha explotado varios objetivos en marzo en Pwn2Own incluyendo Chrome, Adobe Flash y Adobe Reader y Microsoft Internet Explorer, obteniendo ganancias por U$S400.000.

Fuente: The Hacker News

Curso computación y criptografía cuántica en el MOOC Crypt4you

Con el título Algoritmos Cuánticos, el 23 de julio de 2014 se publica la tercera y última lección del curso de Computación y Criptografía Cuántica en el MOCC Crypt4you, de los autores Dra. Alfonsa García, Dr. Francisco García y Dr. Jesús García, pertenecientes al Grupo de Innovación Educativa GIEMATIC de la Universidad Politécnica de Madrid, España.

En esta última lección los autores nos presentan una introducción a los principales algoritmos que usan computación cuántica con los siguientes apartados:
  • Apartado 3.1. Introducción
  • Apartado 3.2. Primeros algoritmos cuánticos
  • Apartado 3.3. Búsqueda no estructurada. Algoritmo de Grover
  • Apartado 3.4. Transformada cuántica de Fourier
  • Apartado 3.5. Algoritmo de Shor
  • Apartado 3.6. Test de autoevaluación
  • Apartado 3.7. Referencias bibliográficas y enlaces de interés
Otros cursos gratuitos completos en el MOOC Crypt4you:
Fuente. MOOC Crypt4you

Protocolo SPDY, ¿héroe o villano?

SPDY, para aquellos que aún no lo conozcan, es un nuevo protocolo desarrollado principalmente por Google que incorpora una mejora en la eficiencia de las comunicaciones y que, además, lleva asociado el cifrado por defecto de todas ellas.

De hecho, este cifrado por defecto es el que hace que merezca la pena analizar en detalle las consecuencias que tendría su implementación desde una perspectiva de seguridad, puesto que SPDY ha servido como base para los primeros borradores del futuro HTTP 2.0.

En primer lugar, y basándonos en el análisis realizado por Jorge Dávila Muro en su artículo titulado "La Internet opaca de SPDY" [PDF] publicado en el número 110 de la revista SIC (junio 2014), habría que destacar que este nuevo protocolo ya se encuentra implementado en la mayoría de los navegadores (Chrome, Safari, Firefox, Opera...) e incluso por algunos servidores (pocos, pero significativos, como Google Search, Facebook o Twitter). No obstante, mientras se realiza la transición de todos los servidores a SPDY, será necesario contactar con unos servidores que ejerzan de traductores entre HTTP 1.1 y HTTP 2.0 (habiendo sido Google [lógicamente], la primera organización en poner este tipo de servidores proxy a disposición de los usuarios).
Por tanto, para analizar las consecuencias de SPDY tendremos que tener en cuenta dos momentos muy distintos:
  • La fase transitoria durante la que unos servidores proxy nuevos conocerán todos los detalles de navegación de los usuarios, puesto que deben realizar la traducción de HTTP 2.0 a HTTP 1.1.
  • La fase final en la que todas las comunicaciones de los usuarios con los servidores a los que se conectan se encontrarán cifradas, utilizando el conocido protocolo TLS (y las cabeceras comprimidas con el algoritmo DEFLATE).

Fase transitoria

El hecho diferencial de esta fase se deriva de la existencia de unos nuevos jugadores en la arquitectura de Internet, unos servidores proxy, que a modo de pasarela canalizan todas las comunicaciones de los usuarios y que tienen conocimiento de las comunicaciones realizadas a diferencia del resto de actores (para los que las comunicaciones están cifradas) al encargarse de traducir entre versiones de protocolos HTTP.

Esta circunstancia supone, claramente, un riesgo para la privacidad de las comunicaciones, en tanto en cuanto, todas las comunicaciones llegarán en claro a dichas pasarelas que se encargarán de adaptarlo a SPDY. No obstante, no deberíamos presuponer que es una situación peor que la actual, en la que todo el mundo puede escuchar las comunicaciones de una persona. En la transición, solo serán las pasarelas, y cualquiera puede implementar pasarelas. Por ejemplo, si los ISPs crearan estas pasarelas, estaríamos en una situación idéntica a la actual. Si utilizamos otras pasarelas, entonces tendremos que "confiar" en los operadores de esas pasarelas.

No obstante, ¿podremos confiar en estos nuevos actores? ¿se les podrá imponer algún tipo de requisito a sus operadores, tipo "que no puedan utilizar la información que gestionan para otros fines distintos a los propios de la pasarela"? En ese caso, ¿quién debería hacerlo y quién podría tutelar que se cumplen?

Finalmente, esta nueva actividad no deja de ser también una oportunidad para aquellos que provean servicios con confianza, ¿por qué no crear "pasarelas" robustas y confiables en el marco de la UE que sean utilizadas por los usuarios que deseen utilizar pasarelas "de confianza"?

Fase final

En este momento, la situación mejorará claramente, puesto que todas las comunicaciones serán secretas y se podrá asegurar la privacidad de las mismas, puesto que se cifrarán punto a punto (siempre quedarán riesgos como ataques man-in-the-middle, o vulneración de los extremos de las comunicaciones - troyanos, etc.) pero al menos, todo lo relativo a las escuchas pasivas se verá reducido, siendo necesario vulnerar un extremo o la connivencia del mismo para escuchar la comunicación.

Por tanto, en general, la confianza debería mejorar puesto que los usuarios podremos estar tranquilos de que las comunicaciones que mantenemos son secretas y solo se conocen por nosotros y por aquellos con los que nos comunicamos y que no pueden ser "espiadas" de manera masiva (tipo NSA).

Reflexión final

Hablando con algunos colegas sobre el protocolo y las motivaciones de Google para impulsar SDPY creo que tengo un punto de vista quizás, un poco diferente.

En mi opinión, está claro que Google está intentando escapar del efecto negativo que el "caso NSA" está teniendo sobre la confianza de los usuarios en los servicios de Internet, asegurándose de que nadie (ni siquiera la propia Google) podrá acceder al contenido de las comunicaciones (para que tampoco el gobierno americano pueda usar la Patrioct Act) y en este sentido creo que, claramente, tendrá un efecto sobre las prácticas habituales de seguridad nacional: A partir de SPDY no se podrán hacer "escuchas pasivas" de las comunicaciones y será necesario que cuando el Estado quiera escuchar mis comunicaciones tenga que "atacar" mis dispositivos de comunicación (smartphone, tablet, PC..) - algo que, por otra parte, no les es ajeno, o eso me parece. Evidentemente esto es mucho menos "eficiente", pero también es mucho menos "intrusivo" y supondrá una acción mucho más orientada de las "escuchas" a objetivos específicos (lo que será más fácil de justificar).

Fuente: Antonio Ramos - Twitter

UK: los menores que practiquen #sexting serán castigados como delincuentes sexuales

Los adolescentes que compartan contenidos eróticos (sexting) podrían ser procesados. Así se lo ha hecho llegar la policía de Nottinghamshire a los menores de 18 años por medio de una carta, según informa The Guardian.

Asegura que si "comparten imágenes indecentes podrían terminar en el registro de delincuentes sexuales".

La medida la han tomado porque la unidad de investigación de explotación sexual asegura que recibe informes diarios sobre imágenes de desnudos que se envían los adolescentes a través de sus teléfonos móviles.

En la carta la Policía advierte que se ha abierto una investigación contra una adolescente que envió una foto en "topless" de sí misma a su novio.

El novio de la chica, quien envió la imagen a sus amigos después de que rompieran la relación, también ha recibido una advertencia.

La Policía argumenta que existe una gran preocupación debido a la gran cantidad de denuncias que están recibiendo a diario. “Es crucial que los menores de 18 años sepan que todos los sitios de internet redes sociales están siendo monitorizados”.

"Si una persona tiene más de 10 años y distribuye una imagen indecente puede ser arrestada, acusada y castigada por este delito. Si son declarados culpables, a continuación, serán registrados como delincuentes sexuales".

Destacando que las imágenes son casi imposibles de eliminar de la red después de que hayas sido colgadas, la Policía aseguró: "La reputación online de una persona necesita protección y es necesario hacer a todas las escuelas de Nottinghamshire conscientes de ello".

Fuente: La Información

Batalla por la privacidad

Por María Gabriela Ensinck | Para LA NACION

En Trascendence, identidad virtual, su más reciente película, Johnny Deep interpreta a un especialista en inteligencia artificial que hace un backup de su mente en una computadora..., que tras su muerte cobrará existencia autónoma y ubicua.

Sin entrar en la ciencia ficción, cada día, nuestros pensamientos, preferencias y emociones se ven reflejados en miles de posteos, fotos tageadas, tuits, likes, correos electrónicos y búsquedas online. Muchas veces no somos nosotros, sino nuestros amigos, contactos o seguidores y sus amigos, contactos y seguidores quienes suben y replican toda esa información, que circula fuera de nuestro control en la nube.

El sueño de una Internet de las cosas, en la que el televisor, la heladera y hasta la ropa que usamos estén interconectados y nos solucionen temas domésticos, como qué cocinar, o nos recomienden ofertas para comprar online, se está volviendo realidad y pesadilla.

"Hoy somos 6500 millones de habitantes, con 6500 millones de equipos conectados. En 2020 seremos 8000 millones de personas con 150 mil millones de cosas conectadas, y habrá 57 bytes de información por cada grano de arena en el mundo", profetiza Jim Reavis, especialista en Seguridad y Privacidad online y cofundador de la ONG Alianza para la Seguridad en la Nube (CSA, por sus siglas en inglés).

Con una Web cada vez más móvil y ubicua, mantener la privacidad de los datos personales se ha vuelto una utopía. Y la sensación de estar siendo espiado se convirtió en certeza, sobre todo después de que el ex técnico de la Agencia de Seguridad Nacional estadounidense (NSA) Edward Snowden revelara, en junio de 2013, cómo el gobierno de su país sigue el rastro de mandatarios, empresas e individuos a través de la Web.

El costo de la privacidad

Acceder a información y los servicios en Internet parece gratis, pero no lo es. A cambio de este beneficio, los usuarios entregan gran cantidad de información sobre sus necesidades, hábitos e intereses, lo que alimenta un bombardeo publicitario segmentado con cada búsqueda o mensaje online.

Hasta el momento, el modelo de negocios de Internet ha funcionado de esta manera, pero "en el futuro es probable que convivan varios esquemas, y muchos usuarios preferirán pagar para navegar en la Web a cambio de que sus datos no sean recolectados", dice Brendon Lynch, jefe oficial de privacidad de Microsoft.

Los consumidores están cada vez más preocupados por su privacidad online, según surge del informe Privacy Index, elaborado por la compañía tecnológica EMC, para el que encuestó a 15.000 usuarios de Internet en 15 países. Según este estudio, sólo un 27% de las personas está dispuesto a ceder cierto grado de privacidad a cambio de "servicios más convenientes y personalizados". Sin embargo, este porcentaje varía según el país. Mientras un 61% de los encuestados en la India dijo abiertamente que estaría dispuesto a ceder privacidad a cambio de mayor conveniencia, sólo un 36% de los alemanes opinó lo mismo. En México y Brasil (el estudio no incluye a la Argentina), ese porcentaje se acerca al 50 por ciento.

Pero a pesar de su preocupación por la privacidad, muy pocos usuarios actúan realmente en consecuencia. El 62% de los encuestados no cambia regularmente sus contraseñas, el 33% no personaliza las opciones de privacidad en las redes sociales y el 39% no usa password para bloquear sus equipos móviles. No obstante, la mayoría ha tenido malas experiencias: un 25% dice haber sufrido el hackeo de su cuenta de correo electrónico, el 18% perdió o le fue robado su teléfono móvil, y al 17% le hackearon su cuenta en las redes sociales.

Y aquí se da otra paradoja. Más de la mitad de los usuarios (60%) considera que el gobierno y las compañías proveedoras de Internet son las principales responsables de velar por la privacidad de los datos. Sin embargo, el nivel de confianza en la capacidad y ética de estas organizaciones es del 58 y 49 por ciento.

El encanto de lo efímero

Las redes sociales fugaces como Snapchat o el aplicativo Slingshot de Facebook, que permiten enviar mensajes e imágenes con fecha de caducidad, o que se autodestruyen después de ser vistos, tienen cada vez más adeptos. En el primer caso se trata de una red social para compartir imágenes y videos, que desaparecen luego de ser vistos. En el aplicativo de Facebook, el contenido también se autodestruye, pero para poder verlo el usuario tiene que mandarle una foto o un video a su interlocutor.

También la aplicación de mensajería instantánea WhatsApp tiene su competidor más discreto. Se trata de HushHushApp, un aplicativo para chatear sin revelar el número de teléfono o correo electrónico. Todos los mensajes y archivos enviados están cifrados y se puede definir contacto a contacto quién puede ver si estamos o no conectados, o si hemos leído o no el mensaje.

Al contrario de lo que suele pensarse, los más jóvenes son quienes más se ocupan de su privacidad online. Una encuesta del Instituto de Internet de la Universidad de Oxford entre 2000 usuarios británicos reveló que el promedio de edad de quienes nunca habían comprobado su configuración de privacidad en las redes sociales es bastante alto: 43 años. Por el contrario, la edad promedio de quienes sí lo hacían es de 26. En el extremo están los adolescentes: casi el 95% de los encuestados de 14 a 17 revisan lo que comparten con su vida social y con quién, y ajustan su configuración de privacidad según la ocasión.

Reputación online

"Información privada no es lo mismo que información secreta. Y de hecho las personas quieren compartir información, pero en un entorno controlado -destaca Lynch-. Cada persona tiene derecho a elegir con quién comparte qué información."
Un concepto nuevo, el de la reputación online, está cobrando cada vez más importancia para las personas. "Cada uno de nosotros crea su imagen digital, a través de opiniones en blogs, foros, tuits, fotos, videos y links que recomendamos. Otras personas pueden aportar sus comentarios, tagearnos en imágenes, y así contribuyen a moldear positiva o negativamente esta imagen", apunta Jacqueline Beauchere, responsable de Seguridad Online en Microsoft y vicepresidenta de la Alianza Nacional para la Ciberseguridad (NCSA).

"Periódicamente debemos revisar la configuración de seguridad y privacidad en nuestras redes sociales, y determinar quién puede ver nuestra información y agregar comentarios", recomienda la especialista. Es conveniente separar el perfil profesional del personal, y para esto hay redes sociales diferentes: Facebook y Flickr son más apropiadas para las cuestiones personales, y Linkedin para cuestiones profesionales y de negocios.

Contenido completo en fuente original La Nación

Havex: malware que ataca al sector energético

Personal de F-Secure descubrió tras años de investigación un troyano que ataca principalmente a empresas industriales del sector energético, al controlar de manera remota los servidores.

La compañía de seguridad informática expuso que el troyano denominado Havex es una herramienta de control remoto genérica (RAT, por sus siglas en inglés).
El troyano es capaz de infectar los sistemas de control industrial de Scada (supervisión, control y adquisición de datos), con capacidad de desactivar presas hidroeléctricas, sobrecargar las centrales nucleares e incluso apagar la red eléctrica de un país con solo pulsar un botón.

Según un comunicado de la firma, los expertos consideran que Havex tiene un específico interés en sistemas de control industrial y utiliza un innovador enfoque para comprometer a las víctimas. El equipo de F-Secure realizó un análisis [PDF] en el que descubrió que los ciberdelincuentes además de usar los métodos de infección tradicionales, como los "exploits" y correos electrónicos de "spam", también utilizan uno nuevo eficaz para difundir Havex RAT y llevar a cabo espionaje.

"Recientemente se ha utilizado para llevar a cabo espionaje industrial contra una serie de empresas en Europa que utilizan o desarrollan programas y maquinaria industrial", refiere el comunicado.

Este método consiste en hackear los sitios web de compañías de software y buscan aplicaciones legales vulnerables en las que instalan el troyano; el usuario, al aceptar la descarga del archivo denominado mbcheck.dll, realmente está aceptando el virus RAT. Advierte que una vez instalado el malware, los atacantes usan el servidor de control para el troyano que da instrucciones a los ordenadores infectados de que descarguen y ejecuten otros componentes del software infectado.

La mayoría de las empresas que fueron víctimas de los ataques se encuentran en Europa, aunque también existiría al menos una ubicada en California, añade la empresa de seguridad en línea de Finlandia.

Fuente: Plan Informativo

Sistema Operativo TAILS vulnerable a de-anonimación

El equipo de análisis de vulnerabilidad de Exodus Intelligence ha advertido que el sistema operativo TAILS (recomendado por Snowden) tiene una serie de vulnerabilidades críticas que pueda exponer la identidad de sus usuarios.

TAILS es un sistema operativo basado en Debian, parcialmente patrocinado por TOR y diseñado para ser usado por periodistas y cualquiera que quiera mantener sus comunicaciones privadas y anónimas.

"TAILS está compuesto por numerosos componentes y el equipo de Exodus quedó muy impresionado con la implementación y el uso de distintas tecnologías de seguridad en la plataforma y, debido a esta cantidad de mecanismos entrelazados, es difícil identificar fácilmente un área débil en particular".

TAILS recientemente ha lanzado la versión 1.0.1 pero Exodus publicó un tweet diciendo que el nuevo código aún tiene vulnerabilidades RCE y de de-anonimación.

Exodus tiene su negocio basado en vender vulnerabilidades 0-Day y sus clientes incluyen el Departamento de defensa y DARPA. Si bien la compañía dijo que aún no está vendiendo esta información, liberaría los detalles sobre los 0-Day en una serie de entradas en su blog la semana que viene, antes de una presentación que la compañía dará en Black Hat.

Cristian de la Redaacción de Segu-Info

Mensaje "Su Internet está parcialmente bloqueada" en Modem Zyxel de Arnet

Actualizado el 24/07 a las 20hs con la solución temporal del problema.


En las últimas horas hemos recibido decenas de denuncias de usuarios de Arnet (Argentina) que no logran conectarse a Internet y que reciben el mensaje de "Su Internet está parcialmente bloqueada" cada vez que desean ingresar a un sitio web.
 Como se puede ver, el bloqueo solicita el pago de U$S150 a través de Bitcoin para realizar el desbloqueo. Lo primero que se debe hace es NO se debe pagar.

El bloqueo se realiza independientemente del dispositivo y/o sistema operativo utilizado (sucede lo mismo en Windows, Linux, iOS o Android) por lo que inicialmente es de suponer que no se trata de un malware tipo ransomware, como supusimos al principio en nuestro Foro. Aquí están los mismos problemas relacionados en una búsqueda en Internet.

Luego de recibir correos y Twits a @SeguInfo de varios afectados, todos coincidían en que el problema parecía generarse sólo en clientes de Arnet con un Modem ADSL modelos "Zyxel P-660HW-T1" y "Zyxel "P-660HNU-TX".

Adicionalmente muchos usuarios mencionan que el problema se soluciona temporalmente cambiando los DNS por defecto a los de Google (8.8.8.8 y 8.8.4.4), a los de OpenDNS (208.67.222.222 y 208.67.220.220) a los de cualquier otra compañia. El problema reaparece luego de un corto lapso de tiempo.

Al parecer (no está confirmado) el bloqueo se origina luego de explotada una vulnerabilidad de Cross-site Request Forgery (CSRF) en los modems mencionados, pública desde mayo pasado y todavía sin solución por parte de la empresa Zyxel. Es de suponer que los afectados seguirán apareciendo, a medida que quien lo esté explotando vaya ganando mayor cantidad de accesos (y Arnet no detenga el ataque).

Desde Segu-Info recomendamos NO pagar el rescate y contactar a Arnet para que mitigue el problema hasta que la vulnerabilidad sea solucionada completamente o bien que cambie el modem a todos los clientes. Por otro lado recomendamos revisar y cambiar, en lo posible, las configuraciones por defecto del modem, hasta que haya más información al respecto. Es importante también considerar la posibilidad de no utilizar el modem Wifi brindado por Arnet (o cualquier otra compañia) para conectar todos los dispositivos del hogar a Internet, agregando un Router Wifi para las conexiones internas y hacia Internet.

Actualización 21:00: confirmado que las vulnerabilidades se encuentran los modems ADSL modelos "Zyxel P-660HW-T1" y "Zyxel "P-660HNU-TX" vertical y en la versión 3 utilizados por Arnet. Por ahora Arnet no se ha pronunciado públicamente sobre el tema.

Actualización 21:30: Arnet confirmó el problema y Banchiero nos informa que en la "opción 11" de la configuración del modem es posible ver las conexiones entrantes y salientes. Aquí se puede consultar el manual.

Actualización 22:00: mientras tanto, los usuarios afectados pueden reiniciar al modem y cambiar los DNS por defecto a los mencionados más arriba y realizar una renovación de la cache de DNS (DNSFlush) de la siguiente manera:

Windows:
ipconfig /flushdns

Linux:
sudo /etc/rc.d/init.d/nscd restart

Mac:
sudo killall -HUP mDNSResponder

Android:
http://fandroides.com/como-cambiar-automaticamente-los-dns-en-android/

iOS/iPhone/iPad:
http://www.macinstruct.com/node/558

Actualización 23/07 13:00: finalmente se ha confirmado que se trata de un ataque DNS Cache Poisoning a los servidores DNS de Arnet y mediante el cual se ha explotado la vulnerabilidad mencionada en los modelos de Modem Zyxel. Mediante la creación de un servicio HTTP, se redirige al usuario a la página del rescate que se muestra. Por ahora la página sólo parece pedir el rescate por dinero, pero se podría realizar cualquier otro tipo de ataque más activo, incluyendo redirección de usuarios, descarga de malware, robo de información, etc.

Actualización 23/07 22:00: al parecer Arnet ha soluciondo el problema y recomiendan reiniciar el modem para que todo vuelva a la normalidad.

Actualización 24/07 16:00: según informan varios usuarios, el problema continua y la empresa Arnet está trabajando en el caso activamente, por ahora con soluciones parciales.

Actualización 24/07 18:00: varias fuentes confirman que el ataque al modem modifica el Primary DNS Server y/o Secundary DNS Server a la IP 46.244.XX.19.

Actualización 24/07 20:00: alguien de Arnet (que ha solicitado anonimato) ha tenido la amabilidad de facilitarnos una solución temporal, por lo menos hasta que la empresa haga oficial el problema y decida proceder de acuerdo a lo que corresponde para proteger de forma adecuada a sus usuarios.

Nota: Segu-Info no se responsabiliza de este tutorial y de las consecuencias que el mismo pueda generar en la conexión del cliente.
  1. Antes se debe resetear el módem. En el orificio que esta en la parte superior introducir un escarbadientes y presionar el botón interno al menos 10 segundos, esperar a que el modem conecte.
  2. Abrir el navegador e ingresar a http://192.168.1.1/admin.html (cambiar la IP en caso de ser necesario).
    • User name: admin (en minúsculas)
    • Password: CalVxePV1! (respetar mayúsculas)
  3. Seleccionar Go to Advanced Setup, luego Apply. Aparece la gestión del modem como Administrador.
  4. En el menú de la izquierda seleccionamos Network y luego WAN. Verificar quen en la tercera opción del menú DNS Server este marcada la opción "Obtained from ISP" tanto en "Primary DNS" como en "Secundary DNS". En el caso de realizar algún cambio, seleccionar Apply.
  5. Seleccionar Network y luego LAN. Seleccionar la solapa DHCP Server y en la opción de Primary DNS Server y Secundary DNS Server deben colocarse el valor "0.0.0.0". Si figuran valores distintos, (como por ej. 46.244.XX.19) significa que el ataque modificó la IP de los DNS Server. Corregir y seleccionar Apply.
  6. Seleccionamos Security y luego Firewall: Activamos el Firewall a nivel Medium. Al parecer al activar al Firewall, el ataque no se vuelve a producir.
  7. Presionamos Apply y luego Logout arriba a la derecha. Reiniciamos el modem nuevamente desde el botón.
  8. Si todo salió bien no debería presentarse el problema nuevamente.
Cristian de la Redacción de Segu-Info

GameOver ZeuS volvió mediante spam

El malware GameOver ZeuS está de vuelta, sólo seis semanas después de una operaciones masiva del FBI que apuntaba a poner fin a esta botnet fuertemente vinculada al ransomware CryptoLocker.
De acuerdo a Sophos, ahora se está utilizando una nueva variante de Gameover ZeuS para crear una botnet a través de campañas de spam. El FBI actuó contra los delincuentes detrás de Gameover ZeuS a principios de junio ya que se estima que ha infectado a más de 500.000 máquinas en todo el mundo y está diseñado para robar datos financieros y personales de los sistemas comprometido. Gameover ZeuS es un mecanismo común de distribución de CryptoLocker y ahora parece que los delincuentes detrás de esta última variante han vuelto a viejos trucos como los correos adjuntos y el spam.

Algunas de las características de la versión anterior han sido retirados para hacerlo más simple y en particular la comunicación P2P a través de Fast-Flux. La última variante del malware intenta comunicarse con 1.000 nombres de dominio al día al fin de recibir instrucciones de su C&C y los delincuentes dejan hasta el último minuto para registrar dominios los que van a utilizar.

Hasta ahora se supone que hay pocos equipos infectados pero según Sophos, "En junio se detuvo al ruso Evgeniy Mikhailovich Bogachev de 30 años pero ahora no se sabe si alguien más adquirió el código fuente y no se sabe cómo evolucionará el tema".

Cristian de la Redacción de Segu-Info

Encuentran mecanismos de vigilancia ocultos en iOS

El científico forense Jonathan Zdziarski (aka "NerveGas") ha publicado las diapositivas de su charla "Identifying Backdoors, Attack Points, and Surveillance Mechanisms in iOS Devices" [PDF] presentada en la conferencia Hackers On Planet Earth (HOPE). En esta charla muestra la evidencia de que 600 million de dispositivos de Apple podrían estar siendo vigilados a través de aplicaciones no documentadas por la compañia.

Zdziarski ha trabajado como miembro del dev-team de muchos iOS jailbreaking recientes y es autor de cinco libros de O'Reilly, relacionados al hacking y seguridad de aplicaciones iOS.

En diciembre de 2013, el investigador de seguridad Jacob Appelbaum descubrió un programa de la NSA denominado DROPOUTJEEP que presuntamente daba control total al iPhone. El documento filtrado, con fecha de 2008, señaló que "se requiere instalar un malware mediante métodos de acceso cercano" (presumiblemente acceso físico para el iPhone) pero señalaba que se estaba trabajando en una capacidad de instalación remota en una versión futura.

En su charla, Zdziarski demuestra "un número de servicios indocumentados en todos los dispositivos iOS y de diseño sospechoso que facilitarían la recolección de información forense". También ofrece ejemplos de artefactos forenses que nunca deberían estar en un dispositivo sin consentimiento del usuario.
Según una diapositiva el iPhone es "razonablemente seguro" para un atacante típico y el iPhone iOS 7 y 5 son los más seguros de todo excepto para Apple y el gobierno. Señala que "Apple ha trabajado duro para asegurar que se pueda acceder a los datos del dispositivos, en nombre de la ley".

La presentación señala que las herramientas forenses comerciales como Cellebrite, AccessData, y Elcomsoft realizan una extracción profunda de datos utilizando estos servicios de "puerta trasera". Con los servicios indocumentados expuestos por Zdziarski (como "lockdownd", "pcapd" y "mobile.file_relay") se puede saltear copias de seguridad cifradas y acceder a través de USB, wifi y "tal vez por celular". Lo más sospechoso sobre estos servicios (y los datos que recogen) es que no están referenciados en ningún software de Apple, es poco probable que sea para depuración y se almacenadasen en formato RAW.

Existen dos soluciones de seguridad: a) establecer una contraseña compleja y b) instalar la aplicación Apple Configurator de Mac App Store, configurar restricciones Mobile Device Management (MDM) y eliminar todos los registros de sincronización (aka pair locking). Zdziarski señala que mientras el par de bloqueo puede eliminar las herramientas forenses comerciales, no ayudará si el dispositivo es enviado a Apple.

Cristian de la Redacción de Segu-Info