6 dic. 2016

Obtener datos de tarjetas de crédito en 6 segundos [Paper]

Investigadores de la Universidad de Newcastle han publicado un nuevo mecanismo de ataque, denominado Distributed Guessing Attack [PDF] mediante el cual dicen que puede robar los datos de una tarjeta de crédito/débito en tan sólo seis segundos.

Las tarjetas se han convertido en un medio de pago en línea de facto. Esto también ha dado lugar a un aumento en el número de fraudes. ¿Qué métodos de seguridad se están adoptando para garantizar una transacción segura sin dinero en efectivo?

El estudio publicado en el IEEE Security & Privacy Journal muestra cómo se puede evitar todas las medidas de seguridad supuestamente implementadas para garantizar la seguridad de las transacciones en línea.

Sorprendentemente, esta intervención podría ayudar a los ciberdelincuentes a buscar números de tarjetas de crédito, códigos de seguridad, fechas de caducidad y otra información en tan sólo 6 segundos.

El ataque utiliza la respuesta (positiva o negativa) de la página de pago del comerciante para "adivinar" los datos y explora dos debilidades. En primer lugar, los sistemas de pago actuales no detectan múltiples solicitudes inválidas de la misma tarjeta desde diferentes sitios web. Esto implica que se pueden realizar conjeturas "ilimitadas"distribuyendo" la carga desde miles de sitios web. En segundo lugar, como los comerciantes proporcionan varios campos para introducir los datos, se puede adivinar de un campo a la vez.

Estas dos características facilitan las cosas a los atacantes y se pueden obtener todos los detalles de la tarjeta de crédito en cuestión de segundos, lanzado el ataque en varias páginas de pago. Con la ayuda de de ir "descartando" datos, puede verificar el número correcto de la tarjeta, el código de seguridad y el número de CVV desde diferentes sitios.
En el estudio, el ataque se llevó a cabo utilizando Firefox y scripts automatizados escritos en Java Selenium, un marco de automatización para navegadores web.

Después del estudio, los investigadores han notificado a Visa y otros sitios afectados y mientras que algunos sitios web han endurecido su configuración de seguridad, muchos optaron por ignorar esta advertencia.

Con el fin de mejorar la seguridad personal, los investigadores han sugerido que los titulares de tarjetas deben utilizar una sola tarjeta para los pagos en línea y reducir al mínimo el límite de gastos.

Fuente: FossBytes

5 dic. 2016

Regla 41: ahora el FBI puede "hackear" cualquier ordenador en el mundo

Los ordenadores del mundo acaban de ponerse todos juntos en una bandeja de plata a la espera de que el FBI y las agencias americanas decidan hackearlos. No importa dónde vivas, quien seas y no necesitan permiso de ningún juez para hacerlo.
La Regla 41 del Reglamento Federal de Procedimientos Criminales en Estados Unidos establece (o establecía hasta su modificación el jueves) los pasos que las agencias americanas, entre las cuales se encuentra el archiconocido FBI, deben de seguir a la hora de poner en marcha procedimientos de investigación electrónica. Hasta la modificación de la Regla 41, debían solicitar previamente una orden de registro a un juez en la misma jurisdicción en la que se estuviese cometiendo el delito.

El senado de Estados Unidos acaba de acallar las últimas protestas que trataban de impedir que se modificara la Regla 41 del Reglamento Federal de Procedimientos Criminales en Estados Unidos. Esta norma establece los pasos que las agencias de Inteligencia como el FBI deben seguir antes de poner en marcha procedimientos de investigación electrónica. Dicho en cristiano, la Regla 41 regula (o regulaba más bien) los hackeos del FBI.

Tras los cambios aprobados por la Corte Suprema en abril y su entrada en vigor el 1 de Diciembre, esto no hará falta nunca más. El cambio le otorga al FBI la capacidad de hackear cualquier ordenador e intervenir comunicaciones en cualquier parte del mundo con, únicamente una orden judicial de un juez federal. No importa el país en el que se encuentre el equipo en cuestión.

Además, con la modificación se permite el hackeo múltiple de equipos y no es necesario que exista sospechas de delito siempre y cuando sea necesario para la investigación.

El Departamento de Justicia ha argumentado que los cambios en la norma ayudarán a investigar a los delincuentes modernos de Internet, permitiendo a los investigadores acceder a ordenadores cuyas ubicaciones están “ocultas a través de medios tecnológicos“, como la red de anonimato Tor o VPNs.

Otros, en cambio, como el Senador Ron Wyden considera los cambios de la Regla 41 como "uno de los mayores errores en la política de vigilancia en años".
Comprometer la seguridad de nuestros equipos podría abrir la puerta a ataques de terceros. ¿Y si el gobierno daña las protecciones de los ordenadores para poder registrarlas? Creo que si realmente tienen la capacidad de desactivar millones de protecciones para hacer sus investigaciones eso puede convertirse en una seria amenaza para la seguridad.

Gracias a haber permanecido sentado sin hacer nada, el Senado ha permitido esta expansión de los poderes de hackeo y vigilancia. Tarde o temprano, el FBI empezará a hackear a las víctimas de un ataque botnet o un hackeo masivo saldrá mal y dañará dispositivos o los sistemas de un hospital entero y pondrá vidas en peligro. Entonces será cuando los ciudadanos que respetan la ley nos preguntarán en qué demonios estábamos pensando.
Fuente: Derecho de la Red | Reuters y TheHackerNews

Orfox y Orbot, navegador web con privacidad mejorada gracias a Tor

Orfox es un navegador web disponible para los usuarios de dispositivos con sistema operativo Android que permite navegar de forma segura haciendo uso de la red Tor. De forma complementaria también hay que destacar el módulo Orbot.
Orbot ofrece la posibilidad de que cualquier aplicación haga uso de la red Tor de una forma sencilla y casi transparente para el usuario. Esto quiere decir que el usuario podrá seleccionar qué aplicación hace uso de este proxy para evitar que su navegación sea sometida a tracking. Orbot cuenta con una API que permite que los desarrolladores de aplicaciones de este sistema operativo puedan integrar las funciones de Tor de una forma más o menos sencilla. Facebook DuckDuckGo o F-Droid son algunos ejemplos de aplicaciones que ya se han valido de esta API.

Pasando a hablar del segundo protagonista, Orfox es un navegador web que permite que el usuario de terminales y tabletas Android puedan disfrutar de una navegación mucho más segura. Cifrado y anonimato son dos palabras que van de la mano. HTTPS y NoScript son dos elementos que también poseen una presencia vital en este software.

A diferencia de otros navegadores web, hay que decir que el que nos ocupa posee una serie de configuraciones activadas por defecto con el fin de garantizar la privacidad de la información desde el primer momento. Es decir, una política muy distinta de la de una inmensa mayoría de aplicaciones, donde las funciones de seguridad importantes están desactivadas, siendo el usuario el que las debe activar de forma manual.

Orfox y Tor Browser comparten código

Tor Browser comparte código con el navegador web Firefox. Podría decirse que tiene lo mejor de este en lo que respecta a rendimiento con la pincelada de la red Tor. Orfox está basado en este y por lo tanto su funcionamiento debería similar o mejor. Añaden que sí que se han realizado pequeñas modificaciones, pero con el fin de garantizar la compatibilidad con la mayoría de las versiones Android y evitar de esta forma problemas en su funcionamiento.

Desde luego que si buscas mejorar la seguridad durante la navegación web y la privacidad de los datos sin lugar a dudas este es el navegador web más acertado.

Fuente: RedesZones | GitHub

Desmantelan Avalanche, red criminal operativa por más de 6 años [Europol]

Europol y autoridades alemanes informaron de la desarticulación de "Avalanche" (1, 2, 3), la mayor red mundial de robots destinada al fraude y al robo de datos en internet tras una investigación de cuatro años en la que han participado 41 países.

Avalanche era una red Double Fast Flux con servidores Bullet-Proof para construir y administrar Botnets. Más de 20 familias de malware diferentes utilizaban esta infraestructura criminal operativa en 30 países y a través de la creación automática de dominios con de Algoritmos de Generación de Dominio (DGA).
Según explicó la Fiscalía de Verden (norte de Alemania) en un comunicado, han sido incautados 600 servidores y alrededor de 800.000 dominios y se ha identificado a 16 personas sospechosas de participar en la dirección de la red en diez países, centrada en los clientes de bancos por internet.

Sobre siete de esos sospechosos pesa ya una orden de prisión emitida por la justicia alemana, acusados de fraude y de constituir una organización criminal.

En una comparecencia ante los medios, el ministro alemán de Interior, Thomas de Maizière, mostró su satisfacción por una operación "sin precedentes" contra las redes delictivas en el ciberespacio.

Los investigadores vinculan a los sospechosos con la infraestructura "Avalanche", una de las bandas más prolíficas del mundo, operativa desde el año 2009 y dedicada al "phishing". Calculan que cada semana la red de robots podía enviar hasta un millón de correos con archivos dañinos o direcciones de internet fraudulentas a través de los cuales infectaban el ordenador del receptor y éste pasaba a formar parte de la red de "Avalanche".

Su objetivo principal eran clientes de bancos que hacían trámites en internet y que fueron estafados 5.000 euros de media cada uno, según la Fiscalía de Verden.

De acuerdo con las denuncias presentadas, se estima que el dinero defraudado por esta red ronda los 6 millones de Euros en 1.336 actos delictivos, aunque los daños reales serán mucho mayores. Sólo en Alemania la red consiguió controlar los ordenadores de más de 50.000 víctimas.

En la investigación han participado junto a Alemania el FBI, el Departamento de Justicia de EEUU y autoridades judiciales de 39 países de todo el mundo.

Con apoyo de las oficinas europeas de Eurojust y Europol se han realizado redadas en diez países.

Según informó la Fiscalía de Verden, los sospechosos identificados proceden de diez países diferentes por lo que no será posible llevarlos a todos ante la justicia alemana ante la falta de acuerdos de extradición.

Fuente: El Mundo

4 dic. 2016

Google publica Chrome 55 y corrige 36 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 55. Se publica la versión 55.0.2883.75 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 36 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 36 nuevas vulnerabilidades, solo se facilita información de 26 de ellas (12 de gravedad alta, nueve de importancia media y cinco bajas).

Se corrigen vulnerabilidades por Cross-site Scriptings en Blink, salto de la política de mismo origen en PDFium y en SVG, acceso a datos privados en V8, escritura fuera de límites en Blink y en PDFium, uso de memoria después de liberarla en PDFium y en V8, descubrimiento de archivos locales en DevTools, salto de la protección de descarga de archivos.

Otros fallos corregidos residen en un uso de datos sin validar en PDFium, falsificación de direcciones en Omnibox, desbordamiento de entero en ANGLE y en PDFium, acceso a archivos locales en PDFium y problemas con Content Security Policy (CSP).

Se han asignado los CVE-2016-5203 al CVE-2016-5226, CVE-2016-9650 y CVE-2016-9651.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-9652). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 70.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Fuente: Hispasec

3 dic. 2016

Mirai: más de un millón de afectados en Europa

Conexiones de Alemania e Inglaterra experimentaron dificultades debido a una serie de ataques dirigidos contra proveedores de red mediante Mirai, una "botnet" que se aprovechan "de miles o millones de dispositivos" hogareños.

Más de un millón de conexiones en Alemania e Inglaterra experimentaron esta semana dificultades en sus conexiones a Internet debido a una serie de ciberataques dirigidos contra proveedores de red mediante Mirai, una "botnet" que se aprovechan "de miles o millones de dispositivos" hogareños y que "ha marcado un antes y un después" en la magnitud de los ataques, según un especialista en seguridad informática.

Las 100.000 conexiones afectadas en el Reino Unido -reportadas el jueves por el diario inglés The Guardian- se suman a los más de 900.000 clientes de la empresa de telecomunicaciones Deutsche Telekom que experimentaron durante los últimos domingo y el lunes en Alemania problemas con la telefonía IP, la navegación web y la televisión por Internet.

Detrás de estos ataques se encuentra la Mirai, una "botnet" (como se denomina a la red de dispositivos infectados) que aprovecha la vulnerabilidad de la seguridad de equipos hogareños -cámaras, módems, heladeras- conectados a Internet: los infecta y los controla para usarlos con el fin de lanzar ataques de denegación distribuida de servicio (DDoS).

Estos DDoS buscan dar de baja sitios o servicios online provocándoles la pérdida de conectividad, al saturar sus servidores mediante una enorme cantidad de accesos que consumen el ancho de banda de la red de la víctima; así, los servidores se sobrecargan y dejan de estar accesibles.

"Este tipo de ataques se aprovechan de miles o millones de dispositivos que cualquiera de nosotros puede tener en casa y que hacen uso de IoT (Internet de las cosas), y con el uso de software capaz de multiplicar el ancho de banda, estos ataques son realmente muy poderosos", señaló en diálogo con Télam el especialista en seguridad informática Cristian Borghello.

"La botnet Mirai funciona de esta manera y en los últimos meses los delincuentes la han mejorado de forma significativa, aprovechando distintas vulnerabilidades y 'exploits' que se aprovechan de los dispositivos antes mencionados", agregó.

Si bien "conocer el número preciso de equipos detrás de este tipo de ataques no es sencillo, en este caso se puede estimar según el tipo de dispositivo que se está utilizando, y según distintas fuentes corresponden a al menos 10.000 módems de banda ancha en Irlanda y de una marca especifica", precisó.

Estos módems "eran o son vulnerables a ataques remotos a través del puerto TCP 7547", añadió, y detalló que de los 47 millones de dispositivos con ese puerto abierto que hay en el mundo, 831.979 están en la Argentina.

"Obviamente no todos corresponden a módems o dispositivos vulnerables, pero da una buena idea de la cantidad potencial que podrían ser", continuó Borghello, director del Proyecto ODILA.

Según informó The Guardian anoche, las proveedoras comprometidas en los ataques que dejan a sus clientes sin Internet son Post Office, con más de 100.000 afectados; KCom, con alrededor de 10.000; y TalkTalk, uno de los principales proveedores británicos que si bien confirmó haber sido atacado no precisó cuántos clientes fueron afectados.

En tanto, los clientes alemanes de Deutsche Telekom afectados el domingo y lunes fueron tantos (900.000) que incluso la canciller Anegla Merkel afirmó que estos incidentes "son parte de nuestro día a día y debemos aprender a vivir con ellos".

Los ataques son similares a los que a finales de octubre experimentó el proveedor de direcciones DNS estadounidense Dyn, que hizo caer un número importante de conexiones a Internet en Estados Unidos y Europa y afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian y The New York Times, entre muchos otros.

Ninguno de estos ataques fue reivindicado por algún grupo ni derivó en el robo de datos o dinero, por lo que expertos consultados por medios especializados afirman que el fin de los mismos no es otro que generar caos al voltear Internet.

"Mirai efectivamente ha marcado un antes y un después en el tamaño de las botnets, en el tipo de dispositivos utilizados (ahora una cámara, heladera o un televisor puede formar parte del ataque) y en el volumen y ancho de banda utilizado", afirmó Borghello.

"Por eso en los últimos meses el ancho de banda observado no ha parado de crecer, pasando desde los 500Gbps, capaz de bajar la red de un país pequeño, duplicando a 1 Tbps contra el proveedor OVH en Francia", continuó, y sostuvo que "se cree que en un futuro cercano los ataques DDoS podrían alcanzar anchos de banda superiores a los 10 Tbps utilizando dispositivos IoT".

Fuente: Telam

2 dic. 2016

¿Cómo se mueven 100 PetaBytes de datos? Amazon lo explica con Legos

Cuando se trata de mover una gran cantidad de datos a través de internet el proceso puede ser largo y lento, incluso utilizando conexiones rápidas: «mover petabytes o exabytes [miles de terabytes o miles de petabytes, respectivamente] de archivos gráficos, registros financieros, imágenes por satélite o datos científicos con una conexión a internet puede llevar años e incluso decenios. E invertir en ampliar las conexión para un centro de datos del cual se van a migrar los datos es caro y difícil de justificar», dice Jeff Barr en AWS Blog.

Para este tipo de escenarios es para lo que Amazon ha presentado su AWS Snowmobile: un contenedor de 14 metros convertido esencialmente en un gigantesco disco duro externo con 100 Petabytes de capacidad — miles de terabytes o millones de gigabytes.

Una vez contratado el servicio el camión viaja de Amazon hasta el centro de datos del cliente que desea migrarse a AWS (Amazon Web Services), se conecta a él con conexiones físicas (cables y/o fibra) de hasta 1 Terabit por segundos (conexiones múltiples de 40 Gigabits por segundo) y empieza a succionar todos los datos: en unos 10 días se llenan los 100 Petabytes del Snowmobile.
El contenedor (que está reforzado, aislado y y climatizado) es la versión hermano mayor de un servicio parecido que ya ofrecía Amazon, el AWS Snowball, un trasto del tamaño de un pequeño electrodoméstico que Amazon ofrece con el mismo fin: trasladar datos (hasta 80 teras en este caso) desde un centro de datos ya existente al servicio en la nube de Amazon.

Así que igual que hace diez años un caracol era más rápido que un ADSL moviendo datos de un lugar a otro, también un camión es más rápido (o al menos más económico) moviendo cantidades ingentes de información.

Fuente: Microsiervos | AWS Snowmobile – Move Exabytes of Data to the Cloud in Weeks

Gooligan: roba más de un millón de cuentas de Google

Los datos de autenticación de más de un millón de cuentas de Google fueron robadas por un malware llamado Gooligan, según alertó la empresa Check Point.
Se trata de un software malicioso que ataca a los móviles y roba los datos de autenticación. De ese modo, obtiene acceso a Gmail, Google Play, Google Drive y Google Fotos entre otros programas del gigante informático.

El troyano tiene la apariencia de aplicaciones legítimas como de ellas son Perfect Cleaner, StopWatch y WiFi Enhancer, según detalló el Wall Street Journal. Cuando se bajan estas app, se instalan, junto con ellas, otras aplicaciones que roban las contraseñas y nombres de los usuarios.
Google habría borrado ya las aplicaciones malignas, contactado a los usuarios que han sido alcanzados por Gooligan, anulado tokens y reforzado la protección en los procesos de verificación.

Según explicó Check Point, se trataría de una versión nueva de un malware para Android que fue descubierto, el año pasado, por investigadores en el App SnapPea. Se puede comprobar si una cuenta está comprometida accediendo al siguiente sitio: https://gooligan.checkpoint.com/.

Fuente: Infobae

1 dic. 2016

Millones de hogares alemanes sin Internet por Botnet Mirai

Alemania hubiera preferido quedarse sin luz, agua o gas antes que sin Internet. Ni Facebook, ni whatsapp web, ni juegos sociales online, correo electrónico, o televisión. Una tarde de domingo aburrida con un router de casa que no funciona. ¿Qué ocurrió?

El ataque comienzó el domingo 27 de noviembre a las 17 horas. Los routers de casa conectados a la operadora alemana Deutsche Telekom (DT) no funcionan y se reinician cada 15/20 minutos. El ataque continúa el lunes a las 08:00 horas. A las 12 horas de la mañana, parece que se ha restablecido el sistema. Las primeras 72 horas son cruciales para que la empresa determine el origen del hecho y pueda ofrecer una respuesta.

Después del suceso, parece que ya se van sabiendo más datos. Los routers de casi un millón de hogares en Alemania presentan una vulnerabilidad que fue aprovechada y explotada por, aparentemente, la "Botnet #14", de la red Mirai. Parece que esta red sigue buscando dispositivos con vulnerabilidades que den sustento a sus ataques y ahora ha encontrado a estos routers.

Están examinando el tráfico de los routers infectados de la marca Zyxel para saber hacia donde apunta el ataque y cómo se ha generado. La empresa Deutsche Telekom utiliza un protocolo X (el real, es un protocolo denominado TR-064) para acceder al router a través del puerto, 7547 (que está sospechosamente abierto en el router). Incluso se puede hacer una búsqueda por Shodan y ya hay módulo para Metasploit.

Hace unas semanas, se publicó Exploit Database una vulnerabilidad referida al protocolo en cuestión, TR-064, perteneciente al firmware vulnerable del "Eir D1000 Wireless Router" y aunque no se conoce que este modelo haya sido aún explotado, sí lo ha sido el de la marca Zyxcel que lleva el mismo protocolo en el firmware.

Fuente: Register

Shift+F10 permite saltar Bitlocker durante una actualización de Windows

BitLocker es la herramienta de cifrado de discos de Microsoft que permite a los usuarios proteger todos los datos de los mismos y garantizar que, sin la correspondiente contraseña, el disco y el sistema operativo no pueden arrancar, quedando los datos asegurados.

Un experto de seguridad ha hecho público un fallo en el proceso de upgrade de Windows 10 que puede permitir a un atacante con acceso físico al sistema saltarse las protecciones de BitLocker y conseguir abrir un terminal con el máximo nivel de privilegios son tan solo pulsar dos teclas.

Durante el proceso de "Feature Update" (antes denominado Upgrade) de Windows 10 se habilita en el sistema una imagen conocida como Windows PE desde la que ejecutar las tareas de configuración correspondientes y, para evitar problemas, desactiva BitLocker en todas las unidades, lo que permite a un usuario que, si pulsa Shift + F10 durante el proceso de actualización, se abra un terminal CLI con el máximo nivel de privilegios (SYSTEM) y con acceso completo al disco sin cifrar ni proteger.
El proceso de actualización regular no efectado y Microsoft ya está solucionando el problema para la próxima versión.

Este fallo de seguridad puede ser explotado en varias circunstancias, por ejemplo, cuando en una empresa de empieza a actualizar un equipo con Windows 10 y, mientras esto ocurre, dejan de lado el ordenador, lo que puede permitir a otro usuario recuperar datos almacenados en el disco o, en incautaciones policiales donde estos se encuentran con un disco cifrado con BitLocker y necesitan acceder a los datos de él.

Durante las pruebas, este experto ha conseguido explotar la vulnerabilidad y lanzar el terminal en todas las versiones de Windows 10, tanto la RTM como la 1511 Anniversary Update y la 1607 November Update, así como en las últimas compilaciones Insider.

Fuente: Redes Zone