24 feb. 2017

El Proyecto Linux soluciona falla de seguridad de 11 años de antigüedad que da al atacante privilegios root

El equipo de desarrollo de Linux ha corregido una falla de seguridad en el kernel de Linux que puede ser explotada para conseguir privilegios de ejecución de código nivel root, desde un proceso de bajo privilegio.

La falla de seguridad descrita con el identificador CVE-2017-6074, fue descubierta por el pasante de Google Andrey Konovalov utilizando syzkaller, una herramienta de auditoría de seguridad desarrollada por Google.

La falla afecta todos los kernel liberados en los últimos 11 años

De acuerdo a Konovalov, la falla de seguridad afecta a todos los kernel Linux, desde la versión 2.6.14, liberada en octubre de 2005, si bien solo la probó y confirmó en versiones desde la 2.6.18 publicada en septiembre de 2006.

El pasante de Google dice que el problema fue introducido en el kernel cuando el equipo de Linux añadió soporte para el Protocolo de Control de Congestión de Datagramas (DCCP) en la versión 2.6.14.

A nivel técnico, la falla es una vulnerabilidad de doble liberación (double free), un tipo de falla de seguridad que ocurre cuando una aplicación libera la misma dirección de memoria dos veces, lo cual en algunos casos lleva a errores de memoria.

Esto es exactamente lo que sucedió esta vez, Konovalov encontró la forma de explotar el soporte de DCCP de Linux para ejecutar código en el kernel desde un proceso no privilegiado. Los detalles técnicos de la falla están presentados en detalle aquí y aquí.

Falla solucionada la semana pasada

El equipo de seguridad de Linux reparó la falla la semana pasada [1, 2] y los cambios ya fluyeron a varias distribuciones de Linux, como Ubuntu, que ya publicó las actualizaciones.

Konovalov dijo que publicará código de explotación como prueba de concepto, en pocos días, de modo que los usuarios tengan más tiempo de actualizar sus sistemas.

El kernel de Linux últimamente plagado de fallas antiguas 

En los últimos meses, el proyecto Linux reparó varias fallas de seguridad que permanecieron ocultas por muchos años en el kernel de Linux.

En diciembre de 2016, el equipo Linux reparó CVE-2016-8655, una falla de seguridad que fue introducida en agosto de 2011, que también permitía al atacante obtener acceso root.

En octubre de 2016, el equipo Linux reparó el muy comentado exploit Dirty COW, registrado como CVE-2016-5195, el cual los investigadores encontraron que afectaba a todas las versiones de Linux publicadas durante los últimos nueve años, desde 2007.

Si bien la explotación Dirty COW fue utilizada en ataques reales antes que fuera reparada, no hay evidencia que indique que la falla de Konovalov ya haya sido usada.

Traducción: Raúl Batista para blog Segu-Info
Autor: Catalin Cimpanu
Fuente: BleepingComputer

22 feb. 2017

Cómo se usa la tecnología en Corea del Norte

Corea del Norte es uno de los países más aislados del mundo. Sus veinticinco millones de habitantes se ven obligados a realizar verdaderas proezas tanto de ingenio como de valor para enviar y conseguir información. .

Estrella Roja: el Ubuntu Coreano

En Corea del Norte se usa un sistema operativo llamado Red Star OS que es una versión modificada del sistema operativo libre Ubuntu y equipado con un navegador basado en Firefox.

Con casi veinte años de desarrollo (empezó en 1998) el SO Estrella Roja es una versión modificada de sistema operativo libre Ubuntu, con una interfaz KDE 3 y arquitectura operativa i386 de 32 megabytes.

El Estrela Roja viene equipado con un navegador basado en Mozilla Firefox (Naenara) para acceder a Kwangmyong, una suerte de internet cerrada y controlada. También incluye funciones básicas como editor de texto, reproductor de música y video, como también juegos. Algo para destacar es que Estrella Roja incluye por defecto Wine, un programa que sirve para emular en sistemas operativos libres las funciones y software de Windows.
Las funcionalidad está bajo estricta vigilancia del gobierno y advierte cuando la persona está tratando de modificar la configuración del sistema operativo.Si se intenta desactivar el antivirus, por ejemplo, la computadora mostrará un mensaje de error o se reiniciará.

No se debe confundir con la distribución latinoamericana "Estrella Roja GNU Linux" anteriormente también llamada "Red Star".

Notel: un DVD portátil (casi) ilegal

La información cultural está tan controlada como el resto de la información. El consumo cultural de los ciudadanos está confinado a aquello que quieren los líderes del partido gobernante y poco màs. Por es que, cuando salió al mercado el DVD portatil Notel, los tenían mucho que festejar. En 2014 se aprobó la venta legal de estos dispositivos pero, tal y como en occidente lo requiere un arma, tener este reproductor portátil requiere de una identificación y un permiso especial.

La popularidad de estos dispostivos es muy alta porque permite a los ciudadanos, gracias a su capacidad de reproducir muchos formatos diferentes, consumir de contrabando información y bienes culturales extranjeros. Graacias a su unidad USB, permite reproducir al mismo tiempo un pendrive y un DVD y así desviar la atención de los reguladores.

Tablet Woolim: tableta con Android made in Corea

Especialistas de la empresa de seguridad informática alemana ERNW afirman que el objetivo de esta tableta coreana es similar al de Estrella Roja: controlar la distribución del "contrabando" de información. La tableta es fabricada en China, pero el software es de manufactura norcoreana, a partir de Android. La unidad no incluye chips para wifi y cuesta cerca de US$ 200.

Okryu: el Amazon coreano

El comercio, como todo lo demás, está fuertemente regulado en el país coreano. Pero hace dos años emergió por primera vez un marketplace digital para la compra de productos a través de la intranet estatal. Okryu es una suerte de Amazon donde los norcoreanos podrán adquirir desde medicinas hasta otros productos de consumo habitual de fabricación local que se ofrecen en las tiendas y centros comerciales.

Según la agencia de noticias estatal KCNA, los usuarios pueden hacer sus compras a través de sus teléfonos inteligentes en este sitio web, que cuenta con funciones de búsqueda y en el que también se ofrece la posibilidad de pedir comida a domicilio de algunos de los restaurantes más populares del país, según la agencia.

Kwangmyong: Internet de Corea del Norte

Internet global está reservado para unos pocos. El resto de la población tiene acceso a una intranet nacional amurallada llamada Kwangmyong. Es un servicio gratuito de uso público. Esa pequeña red tiene alrededor de 5.500 sitios web, por lo que los usuarios solo ven lo que el gobierno quiere que vean.

Fuente: Infotechnology

21 feb. 2017

USB Killer destruye computadoras y móviles

Hemos hablado en un par de ocasiones de USB Killer. Este pendrive es capaz de destruir cualquier ordenador al que sea conectado a través del puerto USB. Después de una actualización que recibió a finales de 2015, ahora la nueva versión llega más completa que nunca y capaz de destrozar cualquier móvil, incluidos los iPhone.

USB Killer V3

El concepto de memorias USB asesinas no es algo nuevo. Simplemente hay una empresa que se dedica a comercializarlos como productos. Esta empresa ahora ha lanzado la versión USB Killer 3.0, o V3, que además de ser capaz de cargarse cualquier ordenador, ahora también permite destruir móviles.

Los pendrivers USB Killer tiene la apariencia de una memoria USB normal y corriente, pero en su interior cuenta con unos condensadores que, una vez se conecta el USB al ordenador o móvil, se cargan. En cuestión de segundos, el pendrive descarga una corriente eléctrica de más de 1.000 voltios en el dispositivo en el que está conectado, friendo el puerto al que está conectado el 100% de las veces, así como el dispositivo al que está conectado el 95% de las veces.

Destruye cualquier puerto USB por 50 euros

El nuevo USB Killer V3 cuesta 50 euros, y es 1,5 veces más potente que su predecesor y puede lanzar hasta 12 sobrecargas por segundo, además de ser resistente ante sistemas que estén protegidos e intenten destrozar el propio USB Killer. La empresa que lo fabrica tiene sede en Hong Kong, y ha recibido certificación CE europea y de la FCC americana, lo cual quiere decir que es seguro para humanos utilizar el dispositivo y que no vas a recibir una descarga eléctrica si lo usas (la versión anterior sí podía dar descargas).

El nuevo USB Killer V3 estrena también el color negro y un diseño más discreto que su predecesor, que era blanco y con un logo que llamaba la atención. El color negro es más sutil y permite pasarlo por controles sin llamar mucho la atención. Aun así, si eres despistado y tienes miedo de que puedas conectarlo sin querer al ordenador, también se sigue vendiendo la versión en color blanco.

Además del USB Killer por 50 euros, por 15 euros más tenemos un set de adaptadores para USB Tipo C, micro USB y Lightning. A pesar de que parecía que el USB Tipo C iba a estar protegido de este tipo de ataques, no parece que la nueva especificación lo haya solucionado. Tanto el USB Tipo C como Lightning cierran las líneas de transferencia hasta que pueden identificar la identidad del dispositivo que se ha conectado. USB Killer se salta este proceso mediante algún tipo de emulación, según afirman en la empresa; pero no han dado más detalles al respecto.

Fuente: ADSLZone | Ars Technica

Algo, VPN segura y fácil de configurar

Algo VPN es un conjunto de scripts diseñados para simplificar al máximo la creación de conexiones privadas personales IPSEC VPN. Estos scripts han sido configurados con las máximas medidas de seguridad por defecto, funcionan con prácticamente todos los servidores y proveedores de servicios en la nube y no requiere un software cliente para establecer las conexiones.

Las principales características de Algo son:
  • Utiliza IKEv2. No funciona con otras configuraciones menos seguras como L2TP, IKEv1 o RSA.
  • Nos permite usar solo una suite de cifrado a elegir entre AES-GCM, SHA2 HMAC y P-256 DH. No depende exclusivamente de TLS.
  • Genera automáticamente configuraciones para dispositivos móviles, incluso para iOS. No depende de Tor, OpenVPN u otros servidores potencialmente peligrosos.
  • Cuenta con scripts para ayudarnos a crear y borrar usuarios.
  • Podemos instalarlo en nuestro propio servidor o automáticamente en servidores DigitalOcean, Amazon, Google o Azure, entre otros.
De esta manera, Algo nos permite crear nuestras propias conexiones VPN donde prima la seguridad. Los desarrolladores de este conjunto de script recalcan que su principal finalidad no es ofrecer anonimato ni ayudar a los usuarios a evadir la censura, así como tampoco protegernos de los organismos de seguridad como la NSA o el FBI.
Este proyecto fue anunciado por primera vez a finales de 2016, sin embargo, desde entonces ha estado en fase de desarrollo. Hasta ahora.
Recientemente, los responsables de Algo han considerado dar el salto a la rama estable y presentar así la versión final de su proyecto. Esta versión, disponible en GitHub como código abierto (como no podía ser menos), ya cuenta con todo lo necesario para descargar, configurar y empezar a funcionar.

Aunque en la página del proyecto nos vienen unas detallas instrucciones sobre su puesta en marcha y configuración, a grandes rasgos el proceso se puede resumir en montar nuestro propio servidor, instalar las dependencias para macOS o Linux, según nuestro sistema operativo, descargar el script, crear los usuarios que queremos editando el fichero "config.cfg" y, por último, ejecutar "./algo" para instalar y arrancar el servidor VPN.
VPN Algo

Como podemos ver, el proceso no puede ser más sencillo y, por defecto, tendremos la máxima seguridad posible en una red VPN. Sin embargo, recordamos que si lo que estamos buscando es evadir la censura o proteger nuestra privacidad, debemos buscar otras alternativas ya que si la VPN pasa a través de un servidor privado o registrado a nuestro nombre, pues realmente no nos protege demasiado.

Fuente: Redes Zone

20 feb. 2017

Alemania prohíbe la muñeca CAYLA "por espiar"

La Agencia Federal de Redes de Alemania ha prohibido en el país la muñeca "Cayla", al considerar que el micrófono y la conexión de bluetooth integrados en el juguete lo convierten en un posible instrumento de espionaje no permitido por la ley.

"Objetos que ocultan cámaras o micrófonos y que pueden transmitir datos de forma inadvertida amenazan la esfera privada de las personas", manifestó en un comunicado el presidente de la Agencia, Jochen Homann.

La entidad ha pedido a los comercios que retiren la muñeca, pero ha dejado claro que no actuará contra los padres aunque la ley alemana de telecomunicaciones prohíbe la posesión de ese tipo de dispositivos, además de su fabricación y distribución.

La Agencia especificó que su misión es informar del peligro que supone "Cayla", pero que no ha pedido a las jugueterías ningún dato para identificar a los compradores; asume que los padres serán "responsables" y que desactivarán la muñeca.

El problema de "Cayla"  radica en su conexión por Bluetooth, que permite a cualquier persona escuchar y grabar la conversación que se mantenga con la muñeca sin necesidad de estar presente.

La prohibición se ha hecho pública después de que el diario "Saarbrücker Zeitung" informara del caso, impulsado por un estudiante de Derecho de la Universidad del Sarre que envió un informe a la Agencia denunciando que la muñeca violaba la legislación nacional.

El pasado diciembre la Organización de Consumidores y Usuarios (OCU) de España también advirtió de "graves" fallos de seguridad para la privacidad en "Cayla", disponible en jugueterías y en internet.

La OCU se basaba en un estudio realizado por el Consejo de Consumidores Noruego (Forbrukerradet), que detectó “preocupantes fallos en torno a la seguridad y la privacidad de los menores a los que están dirigidos”.

La Agencia alemana explicó que está analizando otros juguetes: "Se trata de proteger a los más débiles de la sociedad", recalcó su presidente

Fuente: Nanduti

Nueva técnica para identificar navegadores web y usuarios en línea [Paper]

Los sitios web, los bancos, anunciantes supervisan las actividades en línea de los usuarios utilizando diferentes técnicas denominadas de forma general "fingerprinting", incluso en modo incógnito.

Ahora, un equipo de investigadores ha desarrollado recientemente una nueva técnica de "huellas dactilares de navegadores". Dicen que es la primera técnica confiable para rastrear con precisión a los usuarios de varios navegadores, basándose en información de las extensiones, los complementos, zonas horarias e incluso en los bloqueadores de anuncios. Esto hace que el método sea particularmente útil para los anunciantes, lo que les permite seguir publicando anuncios dirigidos a usuarios en línea.
La nueva técnica se puede encontrar en un trabajo de investigación titulado por Yinzhi Cao y Song Li de Lehigh University y Erik Wijmans de la Universidad de Washington en St. Louis.

Los métodos de huellas digitales conocidos anteriormente usualmente sólo funcionan en un único navegador, pero este nuevo método utiliza las características del sistema operativo y de hardware y es capaz de funcionar en varios navegadores. La nueva técnica se basa en muchas nuevas características del sistema operativo y del hardware, especialmente en las propiedas de la placa gráficas.
Websites Can Now Track You Online Across Multiple Web Browsers
Por ejemplo, la tecnología puede utilizarse para identificar la máquina mediante la realización de 20 tareas de WebGL utilizadas para renderizar gráficos 3D en navegadores web. Las características probadas actualmente incluyen la zona horaria, el número de núcleos de la CPU, la GPU, los valores de hash de los resultados de renderizado de la GPU, los complementos, las fuentes, el audio, la proporción y la profundidad de la pantalla, WebGL, bloqueo de anuncios, lienzo, cookies, codificación y lenguaje.

Los investigadores proporcionaron una demostración práctica y el código fuente en GitHub. Realizaron una prueba que incluyó 3.615 huellas dactilares y 1.903 usuarios y encontró que su método identificó con éxito el 99.2% de los usuarios. Por otro lado, la técnica para identificar el navegador, llamada AmIUnique, tuvo una tasa de éxito del 90,8%.

Además de los comercios, los bancos pueden utilizar esta técnica para comprobar si un usuario que inicia sesión en una cuenta en línea utiliza el mismo equipo que ha utilizado en visitas anteriores, asegurando de que el inicio de sesión es legítimo, incluso si el usuario utiliza una máquina diferente a la habitual.

Los investigadores planean presentar su trabajo en el Network and Distributed System Security Symposium programado para el 26 de febrero al 1 de marzo en San Diego, California.

Fuente: The Hacker News

19 feb. 2017

OpenSSL 1.1.0e soluciona una vulnerabilidad de alta gravedad

El equipo de desarrollo de OpenSSL hizo público a principios de semana que el pasado jueves lanzarían un nuevo parche de seguridad con el que solucionarían una vulnerabilidad grave en esta herramienta y, efectivamente, así ha sido. Hace algunas horas, los responsables del proyecto han publicado una nueva versión de la misma, OpenSSL 1.1.0e, la cual soluciona una vulnerabilidad de peligrosidad “alta” según los expertos en seguridad.

Esta nueva vulnerabilidad ha sido denominada por los expertos como "Encrypt-Then-Mac renegotiation crash". Debido a este fallo de programación, es posible que si se intenta negociar el acuerdo con la extensión "Encrypt-Then-Mac" y esta no estaba incluida en el handshake original, podía hacer que todo OpenSSL dejara de funcionar en cualquiera de los dos extremos de la conexión, dependiendo del tipo de cifrado que se intentara aplicar.

Esta vulnerabilidad, bastante grave además según los expertos de seguridad, solo afecta a la rama 1.1.0 de OpenSSL, por lo que los usuarios de esta versión deben asegurarse de instalar lo antes posible la última versión disponible que, en este caso, es la versión 1.1.0e. Los usuarios de la versión 1.0.2 de OpenSSL no están afectados por esta vulnerabilidad.

Este fallo se dio a conocer el pasado 31 de enero de 2017, por lo que no ha pasado mucho tiempo hasta que ha sido solucionado.




Algunos expertos en seguridad informática están investigando si este fallo también afecta a las versiones de LibreSSL, alternativa mantenida por OpenBSD, o a BoringSSL, alternativa de la mano de Google, aunque, a simple vista, estas opciones no parecen afectadas por este fallo de seguridad.

Fuente: Redes Zone

18 feb. 2017

Hackean bancos de Polonia infectándolos a través de un Organismo Financiero Gubernamental

Esta semana ha saltado a la primera plana internacional el que ya está considerado como el mayor incidente de Ciberseguridad en la historia de Polonia: varios bancos del país han sido víctimas de un Malware y la fuente de la infección fue la Autoridad de Supervisión Financiera de Polonia (KNF), organismo oficial encargado precisamente de garantizar la seguridad en el sector financiero.

Por el momento se desconoce el número total de bancos afectados aunque se teoriza sobre unas 20 entidades distintas y se ha reportado la infección tanto de estaciones de trabajo como de servidores en varias instituciones bancarias de Polonia. Solamente se ha confirmado la exfiltración de datos e información confidencial y se ha descartado el robo de dinero o manipulación de cuentas bancarias, aunque el tráfico detectado contenía gran cantidad de datos cifrados por lo que es imposible discernir de momento el contenido.

La información es a día de hoy escasa y difusa, ya que está siendo controlada con cuentagotas para mitigar el posible pánico que pudiera desencadenar entre usuarios y clientes.

Hace poco aparecieron noticias sobre ataques a bancos polacos en el sitio de seguridad de Polonia ZaufanaTrzeciaStrona.pl (traducido al inglés aquí). El impacto de los ataques se describió con dramatismo, calificándolo como "el más serio", y los reportes iniciales fueron confirmados por dos artículos de Symantec y BAE Systems. Las instituciones afectadas son de diversas nacionalidades en todo el mundo y se extienden hasta Latinoamérica, incluyendo a México y Uruguay, con objetivos de alto perfil en el visor de los atacantes.

El detonante de la investigación fue la detección de tráfico inusual a localizaciones exóticas y el hallazgo de ciertos ejecutables cifrados en servidores de varias entidades, quienes al cotejar los resultados de sus análisis y las IOC dieron la voz de alarma.

El artículo de BadCyber escrito por varios analistas que han tenido acceso privilegiado a la investigación relata que el código de una librería Javascript de dicho servidor habría sido alterado para cargar un fichero Javascript o JSP externo alojado en un servidor remoto, aunque se desconoce cómo se habría logrado en primera instancia dicha modificación inicial.
Aun no está clara la autoría de estos ataques, pero los análisis forenses pertinentes dejan entrever que el problema se remonta a mediados de 2016, lo que significa que los bancos han sido víctimas del espionaje durante más de 6 meses.

El malware utilizado en Polonia usa packers comerciales y múltiple ofuscadores, recurre al cifrado de ficheros y tráfico, y en el momento de los análisis ningún Antivirus era capaz de detectarlo. El payload final tenía las funcionalidades de un RAT común.

Ciertos analistas destacan como posible candidato a relacionar con dicho malware a una APT bautizada como "Bluenoroff" que fue detectada en 2016 y cuya incidencia se ha disparado en los últimos meses. El siguiente informe de ElevenPaths del pasado noviembre habla sobre dicha APT basándose en análisis realizados por Karspersky sobre una muestra obtenida de un ataque al Banco de Indonesia.

Según el citado documento, "Bluenoroff" fue el malware utilizado en los ataques contra el sistema SWIFT en Bangladesh, Indonesia, India y otros países del sudeste asiático, y presenta similitudes con otro usado previamente en ataques contra bancos en Vietnam.

Fuente: HackPlayers | We Live Security

17 feb. 2017

Los permisos de las aplicaciones de Android

Cuando se trata de malware, Android tiene un mecanismo de defensa muy bueno (el sistema de permisos de aplicaciones). Este sistema define una serie de acciones que una aplicación tiene permitidas (o no) para funcionar. Por defecto, todas las aplicaciones de Android funcionan en aislamiento de procesos (un entorno aislado). Si quieren acceder, editar o borrar información fuera de dicho aislamiento, necesitarán los permisos del sistema.
Los permisos se dividen en varias categorías, pero hablaremos solo de dos: normal y peligroso. Los permisos normales cubren acciones como el acceso a Internet, la creación de iconos, conexión Bluetooth, etc. Estos permisos se conceden por defecto y la aprobación del usuario no es necesaria.

Si una aplicación necesita uno de los permisos “peligrosos”, se requiere la confirmación del usuario. Entonces, ¿por qué se considera que algunos permisos son peligrosos? ¿De verdad son por naturaleza peligrosos? ¿En qué casos deberías permitirlos?

Contenido completo en fuente original Kaspersky

Dispositivos IoT infectados causan DDoS en una universidad

Una universidad cuyo nombre se desconoce (se ha ocultado por privacidad en el informe), ha sufrido un ataque DDoS de la mano de sus propios dispositivos IoT, según una previsualización del informe anual de violación de datos anual de Verizon.

Verizon Data Breach Digest es un informe anual que detalla algunos de los más extraños incidentes relacionados con la seguridad que la división Verizon Enterprise ha tratado en el último año.
El ataque DDoS fue causado por un malware que conectó con los dispositivos inteligentes de la universidad, les cambió su contraseña predeterminada y lanzó ataques de fuerza bruta para adivinar las credenciales de administración de los dispositivos cercanos. El informe explica que la red de bots fue de dispositivo a dispositivo atacando por fuerza bruta las contraseñas débiles o usando contraseñas (credenciales por defecto).

Los investigadores dijeron que los dispositivos hackeados iniciarán entonces un nivel anormalmente alto de búsquedas de DNS que inundaron el servidor DNS de la universidad, lo que a su vez provocó que el servidor dejara de atender muchas solicitudes de DNS, incluido el tráfico legítimo de los estudiantes. El equipo de TI de la universidad dijo que muchas de estas peticiones DNS secuestradas estaban relacionadas con dominios relacionados con marisco.

En todo el ataque, la buena noticia fue que la universidad había segmentado su red interna, y colocado todos los dispositivos IoT, como bombillas y máquinas expendedoras, en su subred separada.

Después de una inspección cercana de los registros de servidor y firewall, Verizon identificó cuatro direcciones IP sospechosas y cerca de 100 dominios maliciosos, previamente vinculados a una botnet de IoT. Esto permitió al equipo identificar el malware y vincularlo a una cepa previamente conocida.

Sabiendo con quién estaban lidiando, Verizon encontró una falla en el modo de operación del malware, que era el hecho de que el malware envió la nueva contraseña de administración del dispositivo vía HTTP no cifrado. Además, se utilizó la misma contraseña para todos los dispositivos infectados.

Esta falla permitió al personal de TI de la universidad registrar el tráfico de la red, capturar la nueva contraseña y escribir un script para revertir las acciones del malware.

Después de esto, sólo fue una tarea trivial eliminar la subred IoT de la universidad y lanzar el script para recuperar el control sobre todos los dispositivos IoT usando una contraseña personalizada.

La universidad dijo que más de 5.000 dispositivos inteligentes habían sido tomados durante este incidente. Más información sobre la respuesta y la mitigación del evento está disponible a través de una vista previa del informe 2017 de Verizon sobre la brecha de datos.

Fuente: BleepingComputer