23 may. 2015

Kit de eliminación de ransomware

A menudo las víctimas de ransomware terminan pagando a los delincuentes debido al miedo de perder sus archivos sensibles. El investigador de seguridad Jada Cyrus ha compilado un kit de eliminación de ransomware para ayudar a las víctimas a lidiar con las amenazas de este tipo y lograr desbloquear archivos cifrados, sin llegar a pagar a los delincuentes.
Este "Kit de eliminación de Ransomware" está disponible gratuitamente en línea y funciona descifrado diferentes tipos y variantes de ransomware:
  • CryptoLocker: herramientas de eliminación de CryptoLocker y mitigación de la amenaza
  • CryptoLockerDecrypt: herramienta de FireEye para descifrar archivos cifrados por el ransomware CryptoLocker
  • TrendMicro Ransomware RemovalTool: herramienta de eliminación de ransomware de TrendMicro
  • FBIRansomWare: descifrador del ransonware que dice provenir del FBI
  • CoinVault: herramientas de eliminación del ransomware CoinVault
  • TeslaCrypt: herramienta para la eliminación de esta variante del CryptoLocker ransomware
Usted nunca debe pagar el rescate. Esto sólo reforzará este tipo de ataques. Según informes de seguridad más, los criminales están haciendo grandes ganancias de ransomware."
Fuente: HackerNews

22 may. 2015

HackerOne: "Broker" para reportar bugs y ganar dinero con Bug Bounties

HackerOne es una plataforma que facilita la comunicación entre el equipo de seguridad de una empresa con profesionales o con principiantes en la seguridad informática también llamados hackers. Gracias a HackerOne se han corregido miles de fallos y actualmente se ha pagado 2.49 Millones de Dólares o 2.30 Millones de Euros.

Entre las empresas que podemos encontrar hay algunas muy famosas como Twitter, Yahoo!, Dropbox y la propia HackerOne inclusive. Además, hay un programa financiado por organizaciones preocupadas por la seguridad de los demás llamado Internet Bug Bounty, que básicamente está enfocado al reporte de bugs que afectan a todo Internet, como los casos de Heartbleed o ShellShock.

Del dinero que se paga por los bugs descubiertos un 20% se lo lleva HackerOne, como broker de reporte. A cambio de ese 20% HackerOne se hace responsable de que al hacker le llegue todo el dinero, evitando los formularios de impuestos y demás quebraderos de cabeza. Por lo que tu equipo no tiene que preocuparse en que los hackers sean pagados y puede centrarse en trabajar.

Fuente: Daniel Sesé - Un informatico en el lado del mal

Libro Cibercrimen: Un manual práctico para no caer en la red del crimen cibernético


El ciberespacio es un ámbito virtual en el que, desde hace algunos años, gran parte de la población está expuesta. Sin duda, esta inmersión, cada día más profunda, proporciona muchos beneficios a quien la practica pero también le expone a grandes peligros, de los que es preciso ser conscientes. Peligros que no sólo afectan al conjunto de la población sino que, incluso, se han cobrado víctimas célebres. El propio presidente de los Estados Unidos, Barack Obama, ha sido una de ellas. Pero también -entre muchas otras celebridades- la cantante Rihanna, la actriz Scarlett Johansson o el banco norteamericano JP Morgan.

Por ello, es necesario crear una conciencia colectiva -del mismo modo en que, de abuelos a padres e hijos, han ido pasando otras tomas de conciencia sobre cuestiones de nuestra vida- que, también en este ámbito, nos conmine a analizar las ventajas y los inconvenientes.

Ésta es la filosofía que ha empujado al catedrático de la Universitat Politècnica de Catalunya (UPC) Manel Medina y a la periodista especializada en seguridad informática Mercè Molist a escribir Cibercrimen. Una obra que tiene vocación de manual práctico para evitar que se pueda caer en la tela de araña que conforma el entramado del crimen en la red. El libro, que publica Tibidabo Ediciones, induce a aprender de "víctimas" de lo que se ha dado en llamar cibercrimen, y también de expertos en la materia, así como de los conocidos como CiberVigilantes, que cada día luchan contra las organizaciones malignas que buscan complicar la existencia de todo aquel que conecta su dispositivo informático.

Famosos afectados

A estos nuevos delitos informáticos están expuestos los particulares pero especialmente las empresas, que son víctimas de ataques a sus ordenadores, teléfonos o tablets. Como por ejemplo, el mayor banco de los Estados Unidos -tal como se relata en Cibercrimen-, JP Morgan Chase, que en agosto de 2014 admitía haber sido 'hackeado' y haber sufrido el robo de nombres, direcciones, números de teléfono y direcciones de correo electrónico de más de 76 millones de clientes. Con este caso, se desmontó el mito de los bancos como último bastión de la seguridad. Y esto por no hablar del presidente de los Estados Unidos, Barack Obama, que pudo comprobar como su identidad en Twitter era sustraída, como atacada por Estado Islámico lo fue una homóloga, que pertenece al Mando Central del Ejército Norteamericano. Diferente, pero también producto del cibercrimen, es lo que les sucedió a la cantante Rihanna o a la actriz Scarlett Johansson cuando el 20 de septiembre vieron filtradas en Internet fotos íntimas que ellas habían remitido de forma privada a receptores concretos. Y estos son 2 de los 101 casos de famosos que detalla este libro, que se vieron afectados por lo que se dio en llamar "Celebgate".

Porque los peligros van desde el más elemental, como es el robo de identidad, hasta otros muchos, diríase que inimaginables. Son nuevas formas de delincuencia ante las que es preciso estar protegido.

Como se puede ver, pues, el factor diferencial de Cibercrimen en relación a otros libros escritos sobre la materia es que es el primero que hace un uso extenso, como herramienta de concienciación, de las noticias sobre ciberataques. Que, por cierto, cada día ocupan más espacio en los diferentes espacios informativos. Así pues, el libro, además, es fácil de leer y entender, al estar complementado con relatos, anécdotas y otros recursos que contribuyen a su amenidad. Los autores se explican diciendo que este tipo de noticias inquieta "de la misma forma que nos preocupa cuando hay accidentes de circulación, y buscamos cómo evitar las situaciones de riesgo y cómo reaccionar ante las mismas". Y para quien quiera saber más, Manel Medina y Mercè Molist ponen a disposición del público la dirección http://facebook.com/cronicasdelcibercrimen.

Los autores

Manel Medina es catedrático de la UPC desde el año 1992 y doctorado también por la École Polytechnique Fédérale de Lausanne (Suïza). Su currículum también indica, entre otros aspectos, que es experto en seguridad informática y firma-e reconocido internacionalmente. También es fundador del primer equipo de respuesta a incidentes de seguridad pública de España (esCERT-UPC) y asesor del Comité Europeo de Estandarización (CEN) y de la Unión Europea en la implantación de normativas para firmas electrónicas. Ha creado el primer servicio internacional europeo de validación de certificados de firmas e-.

Mercè Molist es autora de los libros Hackstory.es. La historia jamás contada del Underground Hacker en la Península Ibérica y Ciber@vis/Cibernov@tos. Actualmente trabaja en el Centro de Investigación para la Gestión Tecnológica del Riesgo y escribe en el diario El Mundo y en la revista La Marea. En los últimos 15 años ha colaborado en La Vanguardia, El País, CNR y Revista web, y también ha sido la co-organizadora del primer encuentro Hackmeeting en España.

El Ministerio de Seguridad envía SMS para buscar al profugo ESCOBAR AYLLON, TITO F (Argentina)

En el día de hoy recibimos varias consultas por un SMS proveniente del proveedor del servicio de telefonía celular que supuestamente fue enviado desde el Ministerio de Seguridad de Argentina.

El mensaje, tal como se muestra en la imagen proviene del proveedor de telefonía y puede leerse el siguiente texto:
"BUSCADO: Minist de Seguridad Solicita la colaboracion para dar con ESCOBAR AYLLON TITO F. Si tiene informacion contactar al 0800-555-5065 http://goo.gl/J5trdh"
El mismo mensaje fue recibido por distintas personas, con distintos proveedores de servicio e inicialmente podría tratarse de un "MalSpam via SMS" que mediante una campaña masiva tratara de infectar cientos de equipos celulares o realmente provenir del Ministerio de Seguridad.

Para corroborarlo verificamos el enlace acortado mediante VirusTotal y también verificamos que el enlace acortado redireccionaba al sitio oficial del Ministerio de Seguridad: http://info.minseg.gob.ar/sebusca/index.html. Este enlace finalmente nos lleva a la búsqueda de un prófugo de la Justicia por el que se ofrece una recompensa por cualquier dato que ayude a capturarlo.
Como siempre aconsejamos desde Segu-Info, se debe tener especial cuidado a que enlaces ante de hacer clic. Sobre todo si es un enlace acortado del que no tenemos certeza de su origen ni donde nos llevará. Así como en este caso el enlace lleva a información oficial, también podría llevarnos a un sitio de phishing o un sitio malicioso que descarga malware al celular.

@adolfofioranell de la Redaccion de Segu-Info

21 may. 2015

Lista de herramientas de análisis de malware

Reporte sobre Manejo de Identidad Privilegiada (PIM)

En los próximos años se espera ver un fuerte crecimiento en el mercado global de gestión de identidad privilegiada (Privileged Identity Management - PIM); así como las PYME, las grandes organizaciones y sectores del gobierno aumentaran el uso de este tipo de soluciones para mejorar sus operaciones de negocio y la productividad.

Una de los principales motores que contribuirá a este crecimiento es el aumento de los requisitos de cumplimiento estrictos para las organizaciones tanto interna como externamente. Una creciente conciencia de las amenazas cibernéticas y la necesidad de seguridad avanzada dentro de las organizaciones están dando lugar a un aumento en la atracción del mercado.

El informe de Gestión de Identidad Privilegiada Global 2015-2019 publicado por BeyondTrust predice que se espera que el robo de datos aumente en intensidad y complejidad. El informe trata los siguientes puntos:
  • La perspectiva de crecimiento del mercado mundial PIM 2015-2019
  • El análisis de los segmentos de usuarios finales
  • ¿Quiénes son los 5 mejores proveedores en el mercado PIM ?
  • Las ventajas de la implementación de una solución PIM
  • Los factores clave del mercado
  • Principales tendencias del mercado
Fuente: BeyondTrust

Vulnerabilidad en Safari permite ataques de phishing

Un investigador ha demostrado un nuevo exploit que permite engañar a los usuarios de Safari de iOS y OS X, haciéndolos creer que están visitando un sitio cuando en realidad el navegador se está conectado a una dirección totalmente diferente. Un bug muy similar al reportado ayer en Chrome para Android.

La Prueba de Concepto fue publicada recientemente y hace que la barra de direcciones de Safari muestre "dailymail.co.uk" en la barra de direcciones aunque el navegador muestra el contenido de "deusen.co.uk". El exploit funciona en versiones totalmente parcheadas de iOS y OS X.
Atacantes maliciosos podrían usar este truco para engañar a los usuarios de Safari para realizar ataques de "phishing" o intentar instalar malware. Si bien código de demostración no es perfecto y puede generar algunos comportamientos extraños en el iPad Mini, muchos usuarios seguramente no detectarían ningún comportamiento inusual.

Un análisis rápido de la demostración permite ver que se basa en un JavaScript que fuerza al navegador a visitar una URL cada cierto tiempo:
[script]
function f()
{
location="dailymail.co.uk/home/index.htm…"+Math.random();
}
setInterval("f()",10);
[/script]
La vulnerabilidad fue descubierta por "insider3", el mismo investigador que en febrero reportó un bug similar en Internet Explorer y Jeremiah Grossman, CTO de la empresa de seguridad White Hat, lo ha llamado un "hack inteligente"

Fuente: ArsTechinica

20 may. 2015

Logjam: nueva vulnerabilidad crítica en TLS

Después de las vulnerabilidades de criptografía HeartBleed, Poodle y FREAK, se ha hecho público un nuevo ataque que permite leer y modificar los datos sensibles que están siendo enviados a través de conexiones cifradas TLS. La vulnerabilidad ha sido bautizada como Logjam y potencialmente puede afectar a cientos de miles de sitios protegidos por HTTPS, servidores de correo y otros servicios ampliamente utilizados en Internet.
Un equipo de investigadores del Instituto Francés INRIA, Microsoft Research, Johns Hopkins University, University of Michigan, y University of Pennsylvania descubrió Logjam hace unos meses y ahora publicaron el informe técnico Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice [PDF] que detalla el defecto.

Logjam permite realizar ataques MitM y hacer un downgrade a DHE_EXPORT de conexiones cifradas entre el usuario y el servidor Web o de correo electrónico para utilizar llaves de 512 bits, consideradas extremadamente débiles y que pueden ser fácilmente descifradas. Por eso, Logjam puede ser definido como un primo de FREAK, divulgada a principios de marzo.

FREAK es una falla en la aplicación, pero Logjam se basa en una falla en el diseño básico del protocolo TLS, haciendo que todos los navegadores actuales y algunos servidores web y de correo que usan TLS pueden establecer conexiones inseguras.

Logjam puede ser explotado en un subconjunto de servidores que admiten el algoritmo criptográfico de intercambio de claves Diffie-Hellman que permite que los protocolos HTTPS, SSH, SMTPS, IPsec negocie una clave secreta entre el cliente y el servidor.

Razones por las cuales preocuparse por la vulnerabilidad Logjam:
  • El fallo permite que un atacante "engañe" a un navegador web para que crea que está utilizando una llave normal, no la versión DHE_EXPORT.
  • Con sólo 512 bits disponibles, muchos sistemas vuelven a generar los mismos números primos y claves, lo que hace más fácil el ataque.
  • El fallo ha estado presente durante más de 20 años, afectando a HTTPS, SSH, IPsec, SMTPS y otros protocolos basados en TLS.
El fallo afecta a cualquier servidor que soporte el cifrado DHE_EXPORT y casi todos los navegadores modernos. Un 8,4% de los sitios más conocido son vulnerables.
Protocol Vulnerable to Logjam
HTTPS — Top 1 Million Domains8.4%
HTTPS — Browser Trusted Sites3.4%
SMTP+StartTLS — IPv4 Address Space14.8%
POP3S — IPv4 Address Space 8.9%
IMAPS — IPv4 Address Space8.4%
Al igual que FREAK, Logjam es otro exploit que se aprovecha de los estándares de cifrado legados e impuestos por el gobierno de Estados Unidos en la época de los años 90. El régimen fue estandarizado por la administración Clinton para que el FBI y otras agencias de inteligencia de Estados Unidos -como la NSA- puedan romper con facilidad el cifrado utilizado por entidades extranjeras.

El paper señala que "Para cumplir con estos estándares, en los años noventa las restricciones de exportación de Estados Unidos sobre criptografía, SSL 3.0 y TLS 1.0 redujo la resistencia de la suite de cifrado DHE_EXPORT a la generación de números primos de 512 bits".

Espionaje de la NSA a VPN

No hay constancia de que el fallo haya sido explotado In-the-Wild pero existe la posibilidad de que agencias gubernamentales se hayan valido para realizar espionaje. Según los documentos filtrados por Edward Snowden en 2009, la NSA tiene un programa llamado TURBULECE que permite realizar ataque Man in the Middle a conexiones VPN aprovechando una vulnerabilidad desconocida. Ahora algunas pruebas indican que podría tratarse de Logjam.

Comprobar la vulnerabilidad

Al momento de escribir el presente, algunos navegadores aún son vulnerables al ataque siendo Internet Explorer el único que no lo es. Mientras, el equipo de seguridad de Google ya está trabajando para aumentar la exigencia de SSL en Chrome a 1024 bits.

Los investigadores de seguridad recomiendan a todos los administradores de servidores deben desactivar el soporte para las suites de cifrado de exportación DHE_EXPORT que permiten a las conexiones Diffie-Hellman ser degradados, y generar claves de 2048 bits. En un servidor se puede probar de la siguiente manera:
nmap --script ssl-enum-ciphers -p [port] [ip-address] | grep EXPORT
Los investigadores que descubrieron el fallo también han proporcionado a una guía detallada con instrucciones paso a paso para implementar seguridad Diffie-Hellman en TLS, así como más detalles técnicos de la vulnerabilidad en su página web.
El servidor también se puede probar mediante el sitio de Qualsys SSL Server Test.


Además, los autores han publicado una serie de videos con las pruebas de explotaciones exitosas de la vulnerabilidad.


A los usuarios se recomienda instalar las actualizaciones del navegador y correo electrónico en cuanto sean publicadas. Y, los desarrolladores deben utilizar las bibliotecas Diffie-Hellman superiores a 1024 bits.

Actualización: mientras se publican las actualizaciones correspondientes, para Firefox se puede deshabilitar temporalmente el protocolo DHE:

Fuente: HackerNews

IV Congreso Internacional de Ciberseguridad Industrial (Argentina)


Tras los éxitos del Primer y Segundo Congresos Iberoamericanos de Ciberseguridad Industrial celebrados en Madrid (España) en Octubre de 2013, en Bogotá (Colombia) Mayo de 2014 y Madrid (España) en Octubre 2014, donde se dieron cita casi 550 asistentes de la industria, y tras haberse convertido por ello, y por la calidad de sus contenidos y ponentes en el congreso internacional más relevante sobre la temática en el mundo hipano-hablante, como parte de su actividad, el Centro de Ciberseguridad Industrial (CCI) organiza el IV Congreso Internacional de Ciberseguridad Industrial, como evento de referencia para el mercado y como punto de encuentro de intercambio de conocimiento, experiencias y relaciones de todos los actores involucrados en este ámbito.

Este cuarto evento se celebrará en la Ciudad de Buenos Aires (Argentina) los próximos 2 y 3 de Junio y alrededor del mismo se organizarán una serie de talleres pre y post congreso que complementarán las temáticas abordadas en el mismo.

Durante el congreso se contará con servicio de traducción simultánea y todos los contenidos del congreso serán accesibles posteriormente a través de grabaciones exclusivas para los asistentes.

Este evento es arancelado y requiere inscripción previa. La agenda completa además de los ponentes pueden consultarse en la página web de CCI.

Vulnerabilidad en Android permite realizar ataques de phishing

Han descubierto una nueva vulnerabilidad en Chrome para Android 5.0 (Lollipop) y otras versiones anteriores del sistema operativo. El bug es grave porque permite realizar ataques de phishing y camuflar por completo la página falsa a la que se accede.

La vulnerabilidad, confirmada el Lollipop del sistema operativo, fue descubierta por Rafay Baloch, un investigador de seguridad de Pakistán, que lo demostró en un Samsung Galaxy S5 (demo). La vulnerabilidad está presente en la mayoría de dispositivos Android con Chrome y no solo en los probados con Lollipop o KitKat.

Tod Beardsley, de la empresa Rapid7, ha reproducido el problema y ha comprobado lo fácil que es mantener la apariencia de una página falsa cuando se desea hacerla pasar por la oficial: "Un atacante podría utilizar esta vulnerabilidad para convencer a la víctima que ingrese a un enlace y engañarlo para que entregue sus datos de acceso".

Para demostrar bug, crearon una página falsa de inicio de Google y establecieron que el contenido se cargaría desde "https://www.google.com/csi". El resultado es que la barra de navegación de Chrome muestra una dirección distinta a la que se está accediendo realmente.

Este agujero fue reportado el pasado mes de febrero y Google afirma haberlo cerrado en Lollipop y KitKat, pero no en el resto de versiones del OS. Así que la mejor forma de estar seguros es actualizar a la última versión (siempre que sea posible).

Fuente: Softpedia