24 de abr. de 2015

El #ciberacoso, una tendencia que crece en redes sociales


Los que se apropiaron del espacio son adolescentes que canalizaron la necesidad de mostrarse en un foro administrado por una persona anónima. Las imágenes de alto contenido erótico y pornográfico invaden por estos días diferentes soportes digitales sin ningún tipo de control: la situación fue alertada a UNO por sus lectores a través de mensajes. Llegar hasta el material no demandó mucho esfuerzo ni tiempo, solamente disponer de una cuenta de Twitter. Una vez dentro de ella es posible acceder (sin ningún tipo de filtro ni restricción) a imágenes de jóvenes desnudas -en su mayoría-, aunque también aparecen varones exhibiendo sus partes íntimas.

Cada fotografía posteada está acompañada de un mensaje en tono agresivo revelando información privada y lo más grave es que se publica la identidad de la persona.

Los “protagonistas” de esta nueva modalidad que los expertos denominan ciberacoso o grooming son jóvenes que en muchos casos desconocen la peligrosidad que representa tamaña exposición. No caben dudas de que la divulgación de las fotos le confiere mayor cantidad de seguidores a la cuenta, pero no se quedan atrás los “chismes” o “escraches” que los usuarios publican brindando datos personales y hasta lugares físicos donde suceden los supuestos hechos, tales como escuelas, clubes, entre otros.

Límites desdibujados

Para los chicos la presión del grupo para ver quién conquista más chicas lleva a que en algún momento empiecen a desparramar esas cosas que empieza en la intimidad, en una relación de pareja o algo parecido: para estimularse se empiezan a mandar fotos y después a eso lo hacen circular”, indicó a UNO sobre el tema la psicóloga Fernanda Spessot.

La profesional instó a reflexionar sobre un tema que conlleva un peligro del que no se toma conciencia. “El tema del grooming, de la prostitución infantil, de la trata de persona, de la pedofilia, representan un delito. Muchas veces toman como anzuelo estas fotos robadas”, alertó. Y señaló que lo que empieza como un juego para mostrarse ante los demás excede todos los límites.
“El uso de contenido erótico, sexual, de adultos, utilizando figuras de menores es pedofilia”, sentenció.
En su abordaje de la problemática también expuso la falta de conocimiento que tienen los jóvenes en diferentes aspectos. “Los límites ya no existen, entre lo que es delito, entre lo que es intimidad, entre privacidad y público, parecería ser que se desdibujó por completo. Y en cuestiones que tienen que ver con la sexualidad habla mucho de la falta de educación sexual. Hay una hiperestimulación, o hiperexposición en todos lados, desde lo que vemos por la tele hasta lo que vemos en las revistas. Y por otro lado, son cabecitas que están en crecimiento, que lo manejan como pueden y de acuerdo a sus características. Un adolescente por definición va a hacer lo que hace el resto”, agregó.


Contenido completo en Uno Entre Ríos y en El Pais (Uruguay)
Imagen: Flickr

82% de las organizaciones esperan un ciberataque

De acuerdo al estudio de ISACA y la conferencia RSA, el 82 por ciento de las organizaciones esperan un ataque en 2015, sin embargo continúan en una laguna donde existe personal cada vez menos calificado e incapaz de manejar amenazas complejas o entender el sector en el que se desempeñarán. Más de uno de tres (el 35 por ciento) son incapaces de ocupar las posiciones. Estos son algunos de los descubrimientos clave del estudio: "Estado de la Ciberseguridad: Implicaciones para el 2015", un estudio conducido por ISACA, organización global líder en ciberseguridad, y RSA Conference, importante organizador de eventos de seguridad.
Basados en la encuesta global realizada a 649 gerentes o profesionales de TI y ciberseguridad, el estudio muestra que el 77 por ciento de los encuestados han experimentado un ataque y perciben que éstos incrementaron de manera exponencial en en 2014; (un 82 por ciento) podría ser objetivo de un ataque en 2015. Al mismo tiempo, estas organizaciones están lidiando con un número reducido de talentos disponibles. Solo el 16 por ciento considera que al menos la mitad de sus solicitantes están calificados; 53 por ciento expresa que puede tardar hasta seis meses en encontrar un candidato calificado; más de un tercio deja la vacante sin ningún candidato idóneo.

El profesional ideal de ciberseguridad resulta de tres aspectos fundamentales: educación formal, experiencia práctica y certificaciones.

"El estudio sobre ciberseguridad revela un ambiente en donde predomina los riesgos de seguridad y empeora cada día por la falta de talento afín al perfil. ISACA está colaborando de manera cercana con la iniciativa privada y el gobierno con el objetivo de cerrar esta brecha entre los requerimientos de los profesionales de ciberseguridad", expresó Robert E Stroud, CGEIT, CRISC, Presidente internacional de ISACA y Vicepresidente de Estrategia e Innovación en CA Technologies.

En tanto que los incidentes de ciberseguridad incrementan, es importante examinar el contexto que los rodea. La colaboración entre RSE Conference e ISACA explora los elementos más actuales de los ataques, fallas, estructura de seguridad, presupuesto y políticas.

"Los descubrimientos de la encuesta reflejan la retroalimentación que hemos tenido de nuestros expositores y asistentes. RSA Conference 2015 reúne a profesionales, expertos y ejecutivos para compartir información sobre los últimos ataques e intercambiar estrategias de comunicación. Este año los temas más importantes incluyen la detección y respuesta a las brechas de seguridad, maneras prácticas de poner en marcha inteligencia contra amenazas y el entendimiento del ‘factor humano’", expresó Fahmida Y. Rashid, editor en jefe de RSA Conference.

El estudio revela que las organizaciones están experimentando ataques más deliberados y falta de confianza en la habilidad de su equipo. El top cuatro de autores de amenazas en 2014 son: cibercriminales (46 por ciento) intrusos no maliciosos (41 por ciento), hackers (40 por ciento), intrusos maliciosos (29 por ciento). El 64 por ciento está preocupados sobre el Internet de las cosas y menos de la mitad duda que los equipos de seguridad tengan la capacidad de detectar y responder a amenazas complejas de seguridad.

A pesar de las brechas, esta área especializada está creciendo de manera prominente dentro del negocio. El reporte del estado de ciberseguridad 2015 refleja un perfil de puesto que crece en visibilidad y atracción:
  • El 79 por ciento expresa que su junta directiva está preocupada por su ciberseguridad.
  • Cerca de un tercio reporta al CEO (20 por ciento) o a la junta directiva (11 por ciento).
  • El 55 por ciento emplean a un director en jefe de seguridad.
  • El 56 por ciento empleara más tiempo en ciberseguridad en 2015 y el 63 por ciento dice que su equipo de ejecutivos brindan apoyo para la seguridad de la organización.
"Si existe una luz en esta crisis es la oportunidad para profesionales graduados y los que buscan un cambio de carrera. Los profesionales de la ciberseguridad son responsables de proteger el activo más valioso de la empresa: la información. Y aquellos que destacan en su campo pueden comenzar a formar una carrera profesional. Estado de la ciberseguridad: Implicaciones para 2015”, está disponible para su descarga gratuita, conducido del 20 al 29 de enero del 2015, la encuesta tiene un +/- 3.8 por ciento de margen de error al 95 por ciento de nivel de confiabilidad.

ISACA apoya al Instituto Nacional de Estándares de Tecnología (NIST) proveyendo retroalimentación sobre el marco de referencia de cibersguridad Cybersecurity Nexus en 2014. CSX es un recurso global que ayuda a identificar, desarrollar la habilidad para la una fuerza de tarea entrenada en ciberseguridad. La conferencia CSX de Norteamérica tomará lugar del 19 al 21 de octubre en Washington DC.

Fuente: ISACA

OSINT: buscando "inteligencia" en Internet

Es conocido que los programadores no son (somos) dioses, y cada vez que se nos atasca un código, tenemos que recurrir a nuestros compañeros para que nos echen un cable. Y aún así, siempre hay casos en los que necesitamos recurrir a expertos en la materia, o a la sabiduría eterna de Internet, una gran cantidad de sitios web dónde siempre habrá algún código similar en el que apoyarnos, o algún administrador o programador más ducho en el tema que sepa iluminarnos el camino.

El problema en estos casos es que cuando compartimos estos códigos fuentes en Internet, no siempre sanitizamos de forma adecuada los contenidos de las variables, comentarios, direcciones IPs, dominios, ... ¡incluso contraseñas!, exponiendo de forma temeraria la seguridad de la información de nuestra empresa, o incluso de nuestros clientes. Por ello, en las labores de investigación OSINT es habitual que se analicen todos estos sitios web de ayuda a los programadores, en busca de fugas de información de empresas, y la verdad que es muy sorprendente ver la cantidad de datos que se escapan de nuestro control, por intentar resolver un problema.

Flu-Project ha publicado una serie de artículos relacionados a cómo buscar información  en Internet, haciendo uso de OSINT:
Rootbyte también ha publicado un artículo para hacer OSINT en redes sociales con herramientas como OSINTstalker (FBstalker - Feostalker) y cree.py.

23 de abr. de 2015

Actualización crítica de Wordpress 4.1.2

Está disponible desde el repositorio de WordPress o desde vuestro panel de administración, la versión 4.1.2 de WordPress catalogada como actualización crítica de seguridad. Tal y como informan desde WordPress, se ha solventado principalmente un XSS por el cual un atacante anónimo podía comprometer la seguridad del sitio web para versiones anteriores a la 4.1.2.

Además, se han solucionado otros problemas de seguridad de Cross-site Scripting y SQL Injection.

Debido al impacto de estas vulnerabilidades, os recomendamos actualizar a la mayor brevedad posible (aunque algunos según comprobamos, ya se están actualizando de forma automática).

Fuente: Daboweb

Probar la vulnerabilidad de 'redirección a SMB' que afecta a Windows

Seguro que ya habéis oído hablar de una vulnerabilidad (todavía sin parchear) que ha "descubierto" la empresa Cylance mediante la cuál se pueden enviar los hashes de las credenciales de un usuario de Windows a un servidor SMB malicioso mediante redirecciones HTTP.

Realmente la vulnerabilidad inicial data de 1997 cuando Aaron Splanger se dió cuenta de que para acceder a un recurso "img src="\\1.2.3.4\compartido\imagen.jpg" se enviaban los datos de autenticación, por aquel entonces con el débil LANMAN.

Ahora Cylance "ha descubierto" que el API de URLMon.dll que utilizan muchas aplicaciones también envía los hashes de autenticación cuando se intenta acceder a recursos SMB con "file://1.2.3.4..." mediante redirecciones HTTP (típicamente 301 y 302). Eso sí los hashes con NTLMv2, no tan débiles pero si susceptibles a ataques de diccionario o fuerza bruta, un auténtico "tesoro" para un MiTM. Os recomiendo que echeis un vistazo a la entrada de Sergio de los Santos en el blog de Eleven Path donde se explica muy bien.

Sin embargo el objetivo de esta entrada es comprobar a nivel práctico la explotación de la vulnerabilidad siguiendo la PoC del Whitepaper de Cylance [PDF].
El escenario es un ataque MiTM: partiendo que previamente se ha envenenado el caché ARP o DNS, las peticiones HTTP de la víctima se redirigirán al servidor del atacante que a su vez las enviará a un servidor SMB local que obtendrá los hashes.

Contenido completo en fuente original HackPlayers

Campaña infecta con #Ransomware #CTBlocker

Hace dos días que están llegando correos malspam (spam maliciosos) durante horario laboral a las direcciones de los empleados de varias organizaciones. Esta es una campaña de ataque orientada a propagar distintas muestras del troyano tipo ransomware CTBLocker.

Algo que hace impracticable un ajuste sencillo del filtrado spam es que todos los correos son distintos. Tanto remitente, asunto, cuerpo, servidor de origen y el archivo adjunto malicioso.
Todos los MalSpam de la campaña son distintos
Los archivos adjuntos que traen estos correos también tienen todos distinto nombre.
Cada adjunto con distinto nombre
Estos archivos se caracterizan por ser siempre un ZIP que dentro contiene un archivo CAB que a su vez contiene un archivo ejecutable SCR. En definitiva es este último el cual es la carga maliciosa. Parecería tratarse en principio de un Downloader o Troyano.
Detalle de un malspam, su adjunto y baja detección VirusTotal.com
Como sucede con campañas de ataque bien preparadas, estos archivos no son prácticamente detectados por ningún antivirus, o apenas muy pocos. Solo después de un día quizás lo detectan un poco más del 30% de los AV. Al menos dentro de lo que se puede analizar en VirusTotal.

No fue hasta después de completada la jornada de ayer que una mayor cantidad de detecciones sobre las primeras muestras indicaron que podría tratarse de un Downloader que descarga Ransomware en particular quizás una variante de CTBlocker según se deduce por las detecciones de algunos pocos antivirus que así lo clasifican (McAfee, Panda, ViRobot) en distintas muestras enviadas. Luego de la infección, este troyano cifra todos los archivos de datos del disco, sin posibilidad de recuperación.

También en España dan cuenta que la campaña de malspam trae un downloader que descarga CTBlocker tal como comentan aquí y aquí.

Medidas de prevención

  • Bloquear ingreso de adjuntos ejecutables: en las organizaciones recomendamos el bloqueo de adjuntos ejecutable. Si bien esto puede no se factible es una muy buena prevención general realizada en el gateway de correo o servidor antispam. De tal forma se previene el ingreso de cualquier adjunto malicioso.
  • Mantener respaldos actualizados y fuera de línea: no solo para esta amenaza es necesario mantener respaldo/backup de todos los archivos de trabajo. Y en particular para estas amenazas que dichos respaldos no estén en linea permanentemente sino solo cuando se realizan.
  • Aconsejar a usuarios prácticas seguras: trabajar activamente con los usuarios recomendando no abrir ni descargar adjuntos o enlaces en correos, tanto sea de la organización como en el correo personal vía web.
  • Mantener actualizado el antivirus y advertir sobre la escasa efectividad que tiene para la detección temprana de variantes nuevas de malware y por ello la necesidad de la colaboración activa de cada usuario.
Y para remediaciones se pueden ver todo lo recomendado en nuestras guías:
Raúl de la Redacción de Segu-Info

22 de abr. de 2015

Nuevas actualizaciones "opcionales" de Windows de abril

Ayer, Microsoft publicó un segundo lote de actualizaciones "opcionales" de abril. La página de soporte de Microsoft listas 34 parches en total, todos ellos son opcionales, lo que significa que no solucionan problemas de seguridad críticos y no se instalan automáticamente, deben instalarse manualmente.

La mayoría de los parches están dirigidos a Windows 8.1 y Windows Server R2 2012, pero algunos también mencionan a Windows 7.

Microsoft no proporciona muchas explicaciones y solo menciona que estas actualizaciones resuelven problemas en Windows. Por ejemplo, una actualización resuelve un problema en la forma en que Windows muestra mensajes de error en cuentas de dominios y otro aborda problemas de conectividad Wi-Fi en Windows 8.1.

Cristian de la Redacción de Segu-Info

Informe sobre las amenazas para la seguridad de los sitios web [Symantec]

Este informe [PDF] está basado en los datos de Symantec Global Intelligence Network. Symantec cuenta con la fuente de datos más completa que existe sobre las amenazas en Internet: Symantec ™ Global Intelligence Network, un sistema compuesto por más de 41,5 millones de sensores de ataque que registra miles de incidencias por segundo.

El incidente más sonado de 2014 fue, sin duda, la vulnerabilidad Heartbleed, que sacudió los cimientos de la seguridad en Internet. En este caso, el quid del problema no era la sagacidad de los ciberdelincuentes, sino otra verdad incómoda: que ningún programa es infalible y, por lo tanto, hay que cuidar al máximo la seguridad de los sitios web con sistemas más avanzados y eficaces.

En el momento en que se redactó este documento en 2015, varios investigadores de seguridad ya habían identificado nuevas vulnerabilidades en la tecnología SSL/TLS. Todo esto convirtió a Internet en un auténtico campo de minas, y no hay razón para pensar que esta tendencia vaya a invertirse en 2015. Tanto las vulnerabilidades como los nuevos tipos de malware dejaron claro que las empresas deben volcarse por completo en mejorar la seguridad de los sitios web.

El informe completo se puede descargar desde aquí.

Fuente: Symantec

Cómo subir un JPG y comprometer un dominio Windows

El investigador de seguridad Marcus Murray descubrió un método para explotar un JPEG malicioso para comprometer servidores Windows y elevar privilegios sobre redes específicas.

El investigador ha demostrado el ataque en la conferencia RSA en San Francisco hace unos días y utilizó un JPEG malicioso para violar el sistema de una agencia de gobierno (no mencionada) que tenía un sitio web que permitía subir fotos.
Murray inyectó el contenido dañino en los atributos (metadatos) de una imagen JPEG y, una vez comprometido el destino, elevó sus privilegios para lograr compromete el controlador de dominio en la red, ganando control total sobre la red. Murray explotó esta técnica para subir un troyano tipo RAT creado con el popular Metasploit.
La técnica de ataque se basa en la falta de validación de entrada del lado del cliente, en los sitios que permiten subir archivos y cargar contenido dinámico malicioso en un archivo con extensión .JPG.

Fuente: Security Affairs

21 de abr. de 2015

FBI confisca laptop y baja de su vuelo a experto que demostró vulnerabilidades en aviones


Chris Roberts es uno de los expertos con mayor conocimiento en la industria de la ciberseguridad, actualmente es parte de la división de inteligencia y seguridad de One World Labs.

Este martes expuso sobre las vulnerabilidades de los sistemas tecnológicos utilizados en la aeronáutica civil en el canal Fox News. "Todavía podemos tomar los aviones del cielo gracias a las fallas en los sistemas de entretenimiento en vuelo. Muy simplemente podemos teorizar sobre cómo apagar un motor a 35.000 pies (10.668 m)". Inmediatamente el FBI reaccionó, abriendo una investigación al respecto. Esta es parte de su presentación en RSA.

Según explica Roberts, el pasado miércoles, a horas de aparecer en televisión, dos agentes del FBI y dos oficiales uniformados lo bajaron de un Boeing 737-800 de la compañía United Airlines, luego de aterrizar en Syracuse para interrogarlo por cerca de cuatro horas sobre hackeos de aviones, incautando su laptop y varios equipos.

El personal del FBI examinó si el avión había sido manipulado, además de inspeccionar a los otros pasajeros.

Roberts cuestionó las prácticas de los agentes y aseguró que en vez de buscar ayuda, el FBI quema los puentes de las personas como él que trabajan para construir relaciones con la comunidades de inteligencia "para identificar debilidades antes que se conviertan en un problema".

De hecho, el especialista viajaba justamente a una conferencia aeroespacial, invitado por un contratista de defensa de los Estados Unidos.

Fuente: FayerWayer
Imagen: Flickr