7 feb. 2016

Píldora formativa Thoth 33 ¿Cómo se usan los registros de desplazamiento en la cifra?

Con fecha 1 de febrero de 2016 se publica en el canal YouTube de la UPM la píldora formativa 33 del proyecto Thoth, segunda píldora de la serie sobre cifrado en flujo. La píldora de 33 lleva por título ¿Cómo se usan los registros de desplazamiento en la cifra?.

Un registro de desplazamiento es un sistema, circuito o memoria de n celdas en las que se almacena un bit. En su estado inicial, la secuencia de esos bits se conoce como semilla. Al ritmo que marca un reloj, el contenido de cada celda se desplaza y envía ese bit a la celda siguiente. Así, la última celda de la cadena pierde su valor y la primera celda de la cadena se queda vacía. El bit que se pierde formará parte de una secuencia de bits que se transmite y que en nuestro caso servirá como clave para cifrar.

Todos los vídeos del proyecto Thoth cuentan con un archivo SRT original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo Podcast MP3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Dr. Jorge Ramió, Dr. Alfonso Muñoz
Directores del proyecto Thoth

Fuente: http://www.criptored.upm.es/thoth/index.php

6 feb. 2016

Sitios de Wordpress infectados para agregar publicidad

Investigadores de Sucuri vieron un aumento en el número de sitios de WordPress afectados por una estafa de publicidad "masiva" este fin de semana.

En este ataque se inyecta un fragmento de código JavaScript en el sitio afectado. Mediante este script se carga un iFrame que muestra un anuncio publicitario cuando se visita el sitio. Cada anuncio contiene un enlace afiliado, ayudando a los autores (delincuentes) a obtener ingresos.

Este malware se encuentra en múltiples servidores y actualiza con frecuencia el código inyectado. Por esta razón muchos webmasters están experimentando reinfecciones constantes de sus archivos .js.

El malware intenta infectar todos los archivos .js accesible del sitio. Por lo tanto, para limpiar un sitio no es suficiente eliminar o reemplazar un script. En otras palabras, se necesita aislar todo el sitio y limpiar/actualizar todos ellos al mismo tiempo... O recuperarlo desde un backup. Además, se necesita solucionar la vulnerabilidad que permitió la infección inicial.

El ataque actual parece estar enfocado en obtener ingresos mediante publicidad de programas afiliados pero se podría utilizar para infectar equipos a través de páginas web hackeadas.

Hay multitud de formas a través del cual los delincuentes podrían haber ganado acceso al sitio web y plantar el código: contraseña débil, ambientes compartidos o WordPress y sus plugins desactualizados.

Si bien puede no estar relacionado, se ha publicado una nueva versión de WordPress 4.4.2 que solucionan un par de cuestiones de seguridad.

Fuente: HeatSoftware

Medidas de seguridad contra Ransomware [Informe]

El CCN-CERT ha hecho público un nuevo Informe de Amenazas IA-01/16 Medidas de seguridad contra Ransomware, en el que da a conocer determinadas pautas y recomendaciones de seguridad para ayudar a prevenir y gestionar los incidentes de este tipo, cada día más numerosos y agresivos. De hecho, sólo en 2015, el Sistema de Alerta Temprana en Internet (SAT-INET) del CERT Nacional Gubernamental gestionó 500 incidentes relacionados con este tipo de ataques (frente a los 200 de 2014).
Tal y como recoge el informe, en los últimos años, las acciones dañinas de este tipo de malware han ido evolucionando dando lugar a una nueva generación de ransomware denominados "file encryptors", cuyo principal objetivo es cifrar la gran mayoría de documentos del equipo. En este caso, la principal herramienta de extorsión será el pago de cierta cantidad de dinero a cambio de la clave que permitirá recuperar (descifrar) los ficheros originales. Las acciones ofensivas de ciertos tipos de ransomware pueden resultar muy dañinas y en un entorno corporativo pueden ser devastadoras, con consecuencias que pueden agravarse aún más si se cuenta con dispositivos de backup directamente conectados con el equipo infectado, ya que algunos tipos de ransomware comprueban cada una de las unidades montadas así como recursos compartidos de red para cifrar también su contenido.

El Informe recoge una pequeña introducción así como un listado de medidas preventivas frente a este tipo de código. Posteriormente, y para el caso de haberse producido una infección, se ofrece una serie de medidas generales, junto con la forma de comunicar el incidente y una valoración de escenarios. La restauración de ficheros y el descifrado del ransomware, son los dos últimos capítulos de este informe.

Acceso a Informe.

Fuente: Comunicado CCN-CERT (2-02-2016)

5 feb. 2016

Cuckoo Sandbox 2.0: analizar malware sin riesgo a infectarte

Cuckoo Sandbox es una herramienta de código abierto desarrollada en 2013 para facilitar a los usuarios el análisis forense del malware, pudiendo conocer más información (qué hace, a qué componentes afecta, qué conexiones realiza, etc) sobre las diferentes piezas de software malicioso que circulan por la red sin peligro de caer víctimas de los piratas informáticos, todo ello desde un cajón de arena, sandbox, totalmente aislado del sistema principal.
Gracias a su diseño modular, vamos a poder personalizar tanto el proceso como las etapas y la presentación de los informes según lo extenso que queramos que sea el análisis del malware. Esta herramienta se encarga de configurar correctamente los límites del sistema (sandbox) de manera que el usuario pueda configurar en entorno donde se ejecutará el malware para un comportamiento personalizado.

Con el fin de poder analizar el malware de la forma más segura y exhaustiva posible, los responsables del desarrollo de Cuckoo Sandbox han liberado la nueva versión 2.0 de su plataforma, una versión mucho más segura y completa que la primera y gracias a la cual vamos a poder analizar a fondo cualquier herramienta maliciosa (o no maliciosa, para detectar comportamientos extraños), vital para entender la forma de pensar y de trabajar de todo tipo de piratas informáticos, las motivaciones y sus objetivos de cara a protegernos lo mejor posible.

Novedades en Cuckoo Sandbox 2.0

Las principales características que se han incluido en esta actualización son:
  • Permite analizar y monitorizar aplicaciones compiladas para 64 bits, en Windows.
  • Cuckoo Sandbox es capaz de analizar aplicaciones de Mac OS X, Linux e incluso de Android.
  • Se integra con otras herramientas de análisis y seguridad como Suricata, Snort y Moloch.
  • Intercepta y descifra el tráfico TLS/HTTPS.
  • Es capaz de identificar el tráfico que se enruta hacia otras redes, e incluso el que viaja a través de VPN.
  • Cuenta con una base de datos con más de 300 técnicas diferentes para identificar comportamientos sospechosos en el malware.
  • Refleja los cambios que ocurren con el malware durante el análisis.
  • Extrae y analiza las direcciones URL presentes en los volcados de memoria.
  • Permite la posibilidad de ejecutar procesos adicionales en máquinas virtuales para un análisis futuro.
  • Nos facilita una nota de "maldad", según lo peligroso que sea el malware.
Para finalizar, como ocurre siempre con el software, se han solucionado numerosos fallos detectados en las versiones anteriores y se han aplicado una serie de mejoras y optimizaciones en toda la plataforma para que los análisis sean lo más rápidos y seguros posibles, reduciendo al mínimo infectarnos por un fallo en la herramienta.

Cuckoo Sandbox 2.0 aún se encuentra en fase Release Candidate debido a que algunas de las herramientas de la plataforma se encuentran en fase de pruebas. En los próximos meses es posible que veamos dos versiones RC más antes de llegar a la versión estable de la que, sin duda, es la mayor actualización de la plataforma desde su lanzamiento.

Si estamos interesados en utilizar esta herramienta o probar la nueva Release Candidate 2 de Cuckoo Sandbox, podemos descargarla de forma gratuita desde el siguiente enlace.

Fuente: Redes Zone

Error de configuración en Apache expone servicios ONION

Un estudiante de informática encontró un error de configuración en el servidor web Apache, el cual potencialmente podría desenmascarar la verdadera identidad de dominios .ONION y servidores ocultos detrás de la red TOR.

Aunque la brecha se informó en Reddit hace meses, el problema se hizo público después de un tweet de Alec Muffet, un ingeniero muy conocido de Facebook.
Los servicios TOR Hidden (.onion) funcionan en la Deep Web, tienen un nombre de dominio especial de 16 caracteres alfanuméricos que termina con ".onion", están ocultos a la navegación tradicional y sólo son accesibles a través de la red TOR. Un sitio .onion se puede alojar sobre cualquier servidor web pero si se eligió Apache, entonces se podría ser vulnerable porque la configuración de Apache por defecto expone a los servidores TOR ocultos.

Según el informe, la mayoría de las distribuciones de Apache tienen el módulo mod_status habilitado de forma predeterminada, lo que podría revelar la verdadera identidad de los dominios .onion y ponerlos en riesgo de ser identificados. Este módulo ayuda a los administradores del servidor a controlar la salud del servidor web mediante una interfaz HTML y es accesible mediante un navegador web en localhost: http://localhost/server-status/

Sin embargo, funcionamiento del módulo en TOR puede resultar en la exposición de la página de estado del servidor  al mundo exterior. Esta página brinda datos sensibles del backend como la configuración del servidor, tiempo activo, uso de recursos, tráfico total, hosts virtuales y peticiones HTTP activas y es más que suficiente para averiguar la ubicación del servidor.

Cómo deshabilitar módulo mod_status en Apache

Si se está utilizando dominios .onion es recomendable desactivar el módulo mod_status.
sudo ap2dismod status
Con esto, si se solicita el estado del servidor, se dará un error 403 o 404.

Fuente: The Hacker News

4 feb. 2016

Reporta el robo de identidad y consigue tu plan de acción personal en RobodeIdentidad.gov

Anualmente, millones de personas se ven afectadas por el robo de identidad. Podría comenzar con un cargo misterioso en tu tarjeta de crédito, una factura que no reconoces, o una carta del IRS que dice que ya recibiste te reembolso de impuestos — aunque no lo hayas recibido.

Si alguien usa tu información para hacer compras, abrir cuentas nuevas o conseguir un reembolso de impuestos, eso es un robo de identidad. Recuperarse del robo de identidad suele requerir tiempo y persistencia. Es por eso que el anuncio de hoy de la FTC es muy importante: Con las nuevas funciones de RobodeIdentidad.gov es más fácil reportar y recuperarse del robo de identidad.

Cuando uses RobodeIdentidad.gov para reportar un problema, obtendrás un plan de acción personal que:
  • Te guía en cada paso del proceso de recuperación.
  • Hace un seguimiento de tus avances y se adapta a tu situación cambiante.
  • Completa previamente los formularios y cartas por ti.
Cualquiera sea tu situación específica de robo de identidad, RobodeIdentidad.gov te puede ayudar. El sitio web tiene información — y planes de acción — para más de 30 tipos de robo de identidad, incluyendo el robo de identidad infantil y el robo de identidad relacionado con impuestos.

De hecho, este anuncio se produce en medio de la Semana de Concientización sobre Robo de Identidad Relacionado con Impuestos, una campaña nacional que aumenta el nivel de concientización sobre los delincuentes que tratan de robarte tu reembolso de impuestos.

Fuente: FTC

Chrome marcará páginas HTTP no seguras con "X"

Las compañías buscan cualquier mejora que permita mejorar de alguna manera la seguridad de los usuarios mientras navegan por Internet. Los responsables de Google Chrome quieren dar un paso más y han confirmado que pronto los sitios web HTTP se marcarán por defecto con una X para indicar que la página en la que nos encontramos no es segura.
Aunque todavía no se sabe cuándo se pondrá en práctica dicha medida, fuentes cercanas a la compañía ubicada en Mountain View han apuntado a finales del año 2016 como la fecha límite para que esto se ponga en práctica. En un principio la idea pensaba incluirse a finales del año 2014 pero tras la aparición de diferentes problemas y desavenencias entre los miembros del proyecto se decidió posponer a una fecha posterior, así que ahora esperemos que esta nueva sea la definitiva.

Aunque podría decirse que se trata solo de un cambio a nivel de interfaz de usuario, en realidad la acompañan una gran cantidad de consecuencias. De entrada, muchos usuarios tenemos la fea costumbre de no considerar algo peligroso hasta que no se nos indica o se cataloga como tal. Los que hagáis uso de este navegador con frecuencia seguro que sabéis que Google Chrome solo advierte de peligro cuando ha detectado algo anómalo en una página web que utiliza HTTPS, permitiendo al usuario elegir entre abandonar el sitio web o bien acceder a este bajo su responsabilidad.

Con la llegada de esta nueva funcionalidad esto va a cambiar y ahora se advertirá al usuario cuando acceda a páginas HTTP y HTTPS con errores.

Esta medida busca entre otras cosas educar mucho mejor a los usuarios sobre la forma de navegar por páginas web y los peligros que pueden existir al acceder a aquellas que solo hagan uso de HTTP, sobre todo si hacen uso de datos personales o si poseen transacciones bancarias.

Si dispones de Google Chrome 48 puedes ver el funcionamiento

Tal y como se puede observar en la imagen anterior, se puede activar esta funcionalidad que por el momento se encuentra en desarrollo y ver cuál sería la apariencia del aviso tecleando en la barra de direcciones chrome://flags. La función está disponible para los usuarios que tengan al menos la versión 48 tanto para Windows, Linux, Mac OS X y las dos plataformas móviles más utilizadas (iOS y Android). El usuario podrá escoger entre tres comportamientos diferentes a la hora de mostrar el aviso de los contenidos seguros o no seguros.

Fuente: Redes Zone

Web Tracking: Cómo nos identifican y monitorizan en Internet

En este especial, quería recopilar todas las técnicas que habitualmente se están usando en el tercer entorno para identificar al usuario. Técnicas a veces basadas en la picaresca, en los diseños no contemplados, y en la tergiversación de su cometido, así como otras específicamente diseñadas para monitorizar nuestros movimientos en la red.

En esta carrera encontramos desde negocios digitales que implementan sistemas de Web Tracking con el objetivo de mejorar sus beneficios, pasando por medios que hacen uso de estas tecnologías para conocer mejor a sus usuarios y/o para mostrarles una publicidad más segmentada, y organizaciones políticas y militares que se aprovechan de estas herramientas para mantener un sistema de control, o desarrollar estrategias de espionaje a otras organizaciones o países.

Un escenario en el que el usuario tiene lamentablemente las de perder, habida cuenta de que como veremos, muchas de ellas son sencilla y llanamente incontrolables por nuestra parte.

Temario:
  • El negocio de la hipersegmentación
  • Tipologías de tracking de usuarios vía web
  • Tracking de cliente
  • Tracking basado en la inherencia
  • Tracking mediante factores exógenos
  • ¿Qué herramientas tenemos para protegernos de este tipo de técnicas
El contenido completo puede leerse en el Blog de Pablo Yglesias

3 feb. 2016

La mayor preocupación del jefe de los hackers de la NSA es IoT

Rob Joyce asegura que no duerme por la noche debido a las amenazas latentes de sistemas como aires acondicionados, que se han conectado sin la seguridad suficiente

La tendencia de conectar dispositivos como máquinas de aire acondicionado y cerraduras electrónicas a internet está facilitándole la vida a los hackers de la Agencia de Seguridad Nacional estadounidense (NSA, por sus siglas en inglés), pero también le está quitando el sueño a su director.

El responsable de la unidad de Operaciones de Acceso Personalizado de la NSA (TAO, por sus siglas en inglés), Rob Joyce, dirige lo que probablemente sea el grupo de hackers con mayores recursos del mundo. Su misión consiste en infiltrarse en redes informáticas para recopilar inteligencia exterior, y también poner a prueba las redes gubernamentales para mejorar su seguridad.

Hablando en San Francisco (EEUU) la semana pasada acerca de cómo operan equipos respaldados por el Gobierno como el suyo, Joyce explicó que el llamado internet de las cosas proporciona una importante ayuda cuando el grupo TAO necesita atacar un objetivo.

Señaló los sistemas de calefacción y aire acondicionado como ejemplos de dispositivos conectados a internet que ofrecen a los hackers nacionales una ruta para adentrarse en las organizaciones que los administradores de redes a menudo obvian. Joyce fue ponente en la conferencia de seguridad Enigma [video].

Sin embargo, Joyce dijo también que la mala seguridad de tales dispositivos es una de sus principales preocupaciones en cuanto a la seguridad de las redes.

En años recientes, los investigadores han encontrado que cientos de miles de sistemas de control industriales y comerciales, conocidos como sistemas SCADA, han sido alegremente conectados a internet sin las protecciones adecuadas, incluidas plantas energéticas y otras infraestructuras críticas.

"La seguridad de los SCADA es algo que me mantiene despierto por las noches", afirmó Joyce. Sugirió que podría necesitar de nuevas ideas procedentes de la academia, que trabaja en ideas más fundamentalmente innovadoras que la industria, para cambiar la situación.

El investigador de seguridad informática del Instituto Internacional de Ciencias Informáticas en Berkeley, California (EEUU) Nicholas Weaver, que asistió a la charla de Joyce, confirmó que había señalado un importante problema. En este área se producen con facilidad descubrimientos aterradores para los que escasean las soluciones. El experto aseguró: "No investigo los SCADA porque a mí me gusta dormir por la noche".

Los investigadores que sí trabajan en la seguridad de los SCADA han encontrado pruebas de que existen grupos que navegan por internet en busca de sistemas industriales en los que infiltrarse. Un informe reciente de la Iniciativa de Amenaza Nuclear declaró que muchas instalaciones de energía y armas nucleares no están adecuadamente protegidas contra los ataques informáticos.

Fuente: Technology Review

Cross-site Scripting (XSS) en #FacebookApesta al subir imágenes

Facebook es la red social más utilizada en todo el mundo. Gracias a ella podemos estar en contacto con nuestros amigos y conocidos en todo momento, sin embargo, la red social también cuenta con una gran información personal sobre cada usuario, lo que la convierte en un interesante objetivo para los piratas informáticos. Aunque los servidores de Facebook cuentan con una serie de medidas avanzadas para evitar ataques informáticos como, por ejemplo, la subida de archivos no permitidos a sus servidores, en ocasiones estas medidas fallan, brindando a usuarios no autorizados acceso a otras cuentas de usuario, tal como ha descubierto Jack Whitton.
Este investigador de seguridad de origen británico, ha detectado y reportado una vulnerabilidad crítica Cross-site Scripting (XSS) en Facebook que podía permitir tomar el control total de una cuenta mediante el uso de imágenes .png con cierto código HTML oculto en ellas (lo que se conoce como esteganografía).

Este investigador de seguridad ha conseguido engañar a los servidores de Facebook de manera que al subir la imagen .png modificada, de cara a los servidores se pensara que se trataba de una imagen real, sin embargo, al guardarse en ellos esta se convertía automáticamente a formato html, brindando acceso a una web modificada desde dentro de la red social, simplemente con un clic.

Tras conseguir evadir los sistemas de seguridad del CDN de Facebook, este investigador de seguridad finalmente consiguió subir la página HTML a través de un iframe, la cual, le permitió acceder a las cookies del usuario e interactuar con ellas, consiguiendo así acceso completo a la cuenta de la víctima.

La vulnerabilidad fue solucionada tan solo unas horas después del reporte y su correcta identificación. Además, este investigador de seguridad ha sido recompensado con 7.500 dólares del programa Bug Bounty por el descubrimiento y el reporte de la vulnerabilidad.

Fuente: RedesZone