Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

22 sep. 2017

OWASP ZSC: generador de ShellCodes

Una shellcode es un pequeño código Assembly el cual puede ser utilizado como un payload o parte de él en una explotación de software. Además, en otros ámbitos también son utilizados: el propio malware o la fase de bypass de antivirus, son claros ejemplos. La posibilidad de personalizar las shellcodes es algo interesante, desde el punto de vista ofensivo, ya que nos permite poder evadir y hacer más difícil la posible detección o contramedida en este caso.

La herramienta OWASP ZSC utiliza nuevos encodes y métodos que, al principio, tendrán una menor detección por parte de los antivirus. OWASP ZSC permite generar miles de shellcodes de forma dinámica, a través del uso de encodes aleatorios. La herramienta puede ser descargada desde su Github.

Con esta herramienta, OWASP, ha trabajado en la creación de nuevos métodos de ofuscación. Esto lo llevaron a cabo durante el último Google Summer of Code. Además, se está buscando penetrar en el área de shellcodes para macOS, lo cual hace que esta herramienta gane en interés. Lógicamente, aún no está, desde mi punto de vista, a la altura de herramientas como msfvenom, pero si el proyecto sigue adelante, la cosa promete.
Sin duda, OWASP ZSC es una herramienta que debemos llevar en la mochila del pentesting, ya que es un gran complemento a msfvenom. Además, el listado de shellcodes proporcionado desde Shell Storm ayuda a enriquecer el proceso. Si no lo has probado, te recomendamos que la pruebas.

Contenido completo en fuente original El Lado del Mal

Herramientas de seguridad Open Source de Netflix

Hace ya tres años del primer lanzamiento de software de Open Source que lanzó el equipo de Netflix Cloud Security. A día de hoy, cuentan con más de a 15 proyectos de código abierto , y como no, Netflix lo esta haciendo realmente bien en este ámbito también (He de reconocer que soy un gran admirador de la cultura Netflix y de su gran trabajo).

Muchas de las herramientas que ha lanzado el equipo de Netflix tienen como objetivo facilitar la seguridad en organizaciones de desarrollo de software de alta velocidad y distribuido, siendo la automatización una parte importante del enfoque. Actualmente, la escalabilidad, la velocidad y la integración deberían ser las claves que permiten que la empresa se mueva rápido.

Netflix lo esta haciendo realmente bien, y por que no, fijarnos en como lo están haciendo en el ámbito de la seguridad. Y por ello, os dejo las aplicaciones que el equipo de seguridad de Netflix ha desarrollado:
  • Security Monkey fue la primera versión del equipo OSS de Netflix por Junio de 2014. Security Monkey es una herramienta para monitorear la seguridad en entornos cloud (originalmente y como entorno más importante, AWS - Amazon Web Services), incluyendo análisis y respuesta a configuraciones erróneas, vulnerabilidades y otros temas de seguridad. En marzo de 2017, los ingenieros de Google agregaron el soporte de Google Cloud Platform a Security Monkey .
  • Scumblr , Sketchy y Workflowable fueron anunciadas y lanzadas en conjunto en Agosto de 2014. Juntos, sirven como una plataforma de contribución y flujo de trabajo en inteligencia de seguridad de varios recursos en Internet (por ejemplo, vertederos de credenciales, relevancias de medios sociales), pero que ha evolucionado para convertirse en la plataforma de automatización principal del equipo de seguridad de Netflix. Scumblr es una aplicación web que te permite configurar varias búsquedas web y recopilar y actuar sobre dichos resultados. Sketchy es una API basada en tareas para tomar capturas de pantalla y rastrear texto de sitios web, y Workflowable es una joya de Ruby que añade funcionalidad de flujos de trabajo flexibles a las aplicaciones de Ruby on Rails.
  • FIDO , (Lanzada en Mayo de 2015) , o Fully Integrated Defense Operation es una herramienta para la respuesta automatizada de incidentes de seguridad . Comenzó como un experimento hace muchos años para ver cómo la vinculación en la API del sistema de asistencia técnica podría acelerar la respuesta a los incidentes de malware, y finalmente evolucionó en el sistema para la orquestación de respuestas de seguridad dentro de nuestro entorno corporativo de Netflix. En este momento, FIDO está obsoleto por parte de Netflix y el código ya no se mantiene, aunque sigue estando disponible, siendo una de las grandes joyas de la aportación.
  • Sleepy Puppy (Lanzada en Agosto de 2015) es una herramienta para gestionar las cargas útiles y la propagación de cross-site scripting (XSS) a lo largo del tiempo, ayudando a los equipos y hackers de seguridad de aplicaciones a rastrear y evaluar el impacto de los problemas XSS (históricamente uno de los tipos más extendidos de vulnerabilidad de aplicaciones web ). También se lanzó por parte de Netflix una extensión para Burp Proxy , una herramienta popular para las pruebas de seguridad en aplicaciones web.
  • Lemur , es un sistema para agilizar y automatizar la gestión y supervisión de certificados SSL / TLS, fue lanzado en septiembre de 2015 . La gestión de certificados PKI y SSL ha sido un problema históricamente difícil, y es por ello que el equipo de seguridad de Netflix desarrolló Lemur. En la conferencia AppSecUSA se cubrió el uso de Lemur en contexto de la gestión de TLS en toda la empresa y en AWS ,como ejemplo de cómo automatizar la seguridad.
  • BLESS (Lanzada en Mayo de 2016), o Servicio SSH efímero de bastionado de Lambda, es una Autoridad de Certificado SSH (CA) que funciona con la función AWS Lambda y que se utiliza para firmar claves públicas SSH. El uso de una CA SSH proporciona una variedad flexible de opciones como autorizador, especialmente en entornos de gran escala y de rápido movimiento como Netflix o empresas de gran tamaño.
  • HubCommander (Lanzada en Febrero de este mismo año) es un framework de bot Slack utilizados para la gestión basada en ChatOps de las organizaciones GitHub . Permite proporcionar autoservicio simple basado en Slack para varias acciones GitHub de nivel administrativo, manteniendo el control de acceso y un registro de auditoría. Pero que aunque el mantenimiento de GitHub era su intención original, sus nuevas versiones son un framework de bot más general.
  • Stethoscope (Lanzada a la vez que HubCommander) es un sistema que recopila información sobre diversos temas de seguridad relacionados con el usuario final (por ejemplo, seguridad de dispositivos) y proporciona a los usuarios finales consejos claros y útiles para mejorar la seguridad. Netflix lo usa para alinearse con la cultura de brindar a los empleados la libertad y el contexto para administrar con seguridad sus propios dispositivos.
  • BetterTLS (Lanzada en Abril de 2017) es un conjunto de pruebas para clientes HTTPS que implementan la verificación de la extensión de certificado de restricciones de nombre. Utilizado para identificar y ayudar a corregir los problemas de implementación en las tan variadas ofertas de TLS de varios proveedores.
  • Repokid y Aardvark (Junio ​​de 2017) son herramientas que simplifican y agilizan el proceso de implementación de mínimo privilegio en AWS IAM (Identity and Access Management). Estas herramientas funcionan observando activamente los servicios de AWS que utilizan un rol de IAM y recortando los permisos eliminando el acceso a los servicios no utilizados.
  • Repulsive Grizzly y Cloudy Kraken son herramientas que lanzadas el mes de julio para el proyecto Skunkworks, se esta haciendo público el código, pero no se estan planeando actualizaciones periódicas o mantenimiento a largo plazo. Estas herramientas ayudan a simular ataques DDoS en los entornos de Netflix , con Repulsive Grizzly simplificando la coordinación y la ejecución de pruebas y Cloudy Kraken actuando como framework de orquestación AWS para escalar las pruebas.
Estos son los 15 proyectos de Open Source que Netflix a liberado, los cuales podemos seguir su evolución en GitHub o la cuenta @NetflixOSS en Twitter.

Fuente: Ciberseguridad

21 sep. 2017

Correo falso de AFIP infecta usuarios argentinos

El pasado 12 de septiembre FireEye publicó información sobre un exploit 0-Day que utiliza la vulnerabilidad en .NET Framework identificada como CVE-2017-8759. SI bien esta vulnerabilidad ya dispone de la respectiva actualización de seguridad lanzada el martes pasado por Microsoft, según mencionan en el blog de FireEye, este exploit fue utilizado para distribuir el malware FINSPY en Rusia.

Ahora, está siendo utilizado para infectar a través de correo electrónico a usuarios de AFIP, la Administración Federal de Ingresos Públicos de Argentina y se está utilizando para distribuir el malware Betabot.

El correo electrónico y el archivo adjunto

El correo electrónico falso dice provenir de la AFIP [[email protected]] pero en realidad es enviado desde un servidor vulnerado con una dirección IP asignada a Gualberto L. (vtcc[.]com[.]ar - 186.121.171.235), un proveedor de servicios de Internet (ISP) con sede en Argentina.
El mensaje describe un manual que viene anexo en el correo. El archivo adjunto es un archivo ZIP, y ese archivo contiene un archivo RTF (Rich Text Format) con .DOC como extensión de archivo. Fiel a su palabra, el archivo RTF efectivamente contiene un anexo al documento oficial de AFIP que cubre el tema pero también contiene un exploit para CVE-2017-8759 y simplemente abrir el archivo con Microsoft Word el equipo (si es vulnerable) se infectará.
Al abrir el documento RTF se crear, mediante Powershell, un archivo ejecutable que corresponde al malware Neurevt.A/Betabot. El malware se aloja en C:\ProgramData\SystemMicrosoftDefender2.1\[random characters].exe y queda persistente a través de la modificación del registro de Windows.
Luego de la infección se realizan peticiones HTTP a varios servidores en EE.UU., Sudáfrica y Vietnam sobre el puerto TCP 8007 (classupdate[.]punkdns[.]top:8007).

Conclusión: no descargar el correo, no abrir el ZIP, no abrir el DOC... Actualizar .NET inmediatamente.

Fuente: ISC

Por apoyar el DRM, la W3C pierde a su aliado, la Electronic Frontier Foundation (EFF)

Una norma que implementa un sistema de control de contenidos (DRM) integrado al navegador dividió a las posiciones de los especialistas dentro de la W3C, el ente rector de los estándares de la World Wide Web creada por Tim Berners Lee.

La World Wide Web Consortium (W3C) el organismo rector de las reglas de la Web, acaba de perder a uno de sus miembros más destacados, la Electronic Frontier Foundation (EFF), tras el anuncio del estándar Encrypted Media Extensión.

Este es un protocolo para la implementación de contenido con DRM en los navegadores web. También conocidos como gestión de derechos digitales, los DRM (Digital Rights Management) están conformados por diversas tecnologías y programas utilizados para controlar y limitar el acceso a las obras digitales y dispositivos electrónicos, con el objetivo de impedir que los usuarios compartan los contenidos de forma ilegal.

El DRM tiene sus detractores: la EFF considera que estas tecnologías impiden el control de lo que puede hacer o no un usuario con los contenidos y dispositivos que son de su propiedad; la industria ha ido en un sentido similar con el audio, por ejemplo, abandonando formatos con DRM y privilegiando el MP3, que no tiene control de copia.

El impacto por la decisión de la W3C fue tal que el anuncio determinó la salida de la W3C de la Electronic Frontier Foundation (EFF). "Todo el problema que tenemos aquí es muy técnico, relativamente aburrido pero, a su vez, es un tema de suma importancia. La W3C utiliza su conocimiento y autoridad moral para crear un sistema que controla a las personas", dijo Cory Doctorow, representante de la EFF ante la W3C, citado por el sitio Gizmodo.

Qué se discute

De forma visible, lo que se discute en este punto es la decisión de la W3C de permitir que los navegadores web puedan administrar los contenidos protegidos por DRM sin la intervención de complementos externos, como ocurre ahora con el Adobe Flash o el Silverlight de Microsoft.

La implementación de EME tiene entre sus beneficiarios a Netflix, Microsoft, Google y Apple. Si bien el DRM cayó en desuso en plataformas como iTunes de Apple, EME fue una propuesta considerada vital para el despliegue de las plataformas de streaming de audio y video por sobre los complementos propietarios de Adobe y Microsoft utilizados a la fecha: permite que estos servicios de distribución de contenido digital funcionen en cualquier navegador moderno, sin agregados, al tiempo que asegura a las compañías cierta protección contra la piratería.

Pero también, para sus detractores, es una baterra en una Web que nació libre desde su diseño mismo.
"Las reglas de la W3C han sido maltratadas las empresas millonarias que irrumpieron el orden establecido. Con EME ahora se aseguran que nadie los someterá a presiones", dijo Doctorow en un comunicado publicado por la EFF. "Enfrentaremos esta pelea con el resto del mundo, sin nuestros amigos de la W3C, que han sido los pioneros y creadores de la Web, pero que ya no se preocupan por estos asuntos", dijo el representante de la EFF, para luego anunciar su renuncia al consorcio encargado de regular las reglas y estándares de la World Wide Web creada por Berners Lee.

Fuente: La Nación

20 sep. 2017

Actualiza a WordPress 4.8.2 y Joomla! 3.8.0

WordPress 4.8.2

Se ha publicado la versión de WordPress 4.8.2 de seguridad y mantenimiento. Las versiones anteriores se ven afectadas por estos problemas de seguridad:
  • Consultas inesperadas e inseguras que podrían conducir a SQL Injection en el Kernel de WP.
  • Varias vulnerabilidades de XSS (Cross-site Scripting) en otros módulos.
  • Varias vulnerabilidades de Path Traversal.
  • Una redirección abierta en el editor de usuario.
Además de los problemas de seguridad anteriores, WordPress 4.8.2 contiene 6 revisiones de mantenimiento para la serie 4.8. Para obtener más información, consulte las notas de la versión o consulte la lista de cambios.

Joomla! 3.8.0

Joomla! lanza su nueva rama, la versión 3.8 que viene con una capa de compatibilidad para la futura versión 4.0 y, además de 300 mejoras, se han solucionado también dos problemas de seguridad.

Se recomienda actualizar a la mayor brevedad ya que la rama 3.7.5 es vulnerable a una inyección LDAP que permitiría tomar el control de Joomla! en 20 segundos.



19 sep. 2017

OptionsBleed, bug similar a Heartbleed (PARCHEA!)

Heartbleed es una de las peores vulnerabilidades a las que se ha enfrentado Internet. Descubierto en abril de 2014, este fallo de seguridad en OpenSSL permitía a cualquier usuario conseguir volcados de memoria de cualquier servidor, volcados en los que podía haber todo tipo de información personal, como, por ejemplo, contraseñas. La magnitud de este fallo de seguridad fue tal que, a día de hoy, aunque está más o menos controlado, sigue habiendo miles de servidores vulnerables conectados a Internet. Ahora, una nueva vulnerabilidad similar (en cierto modo), llamada OptionsBleed, vuelve a amenazar Internet, esta vez, por culpa del servidor web Apache.

Las conexiones HTTP pueden hacer llamadas a varios métodos (como GET y POST, los métodos más utilizados), pudiendo recurrir al método OPTIONS para ver una lista completa con los métodos que tenemos disponibles y podemos utilizar.

Tal como dice Hanno Bock en The Fuzzing Project, al enviar una petición OPTIONS a las webs más visitadas a nivel mundial según el ranking Alexa, la respuesta, en la mayoría de los casos, viene con un parámetro "Allow" y repetición de "HEAD". Esto puede ser fruto de un desbordamiento de búfer, igual a como ocurría en una primera instancia con OpenSSL y que, finalmente, dio lugar a Heartbleed.
Aunque de momento no hay un exploit ni una prueba de concepto de este fallo de seguridad, todo apunta a una especie de nuevo Heartbleed, esta vez de la mano del servidor web Apache. De conseguirse explotar, esta vulnerabilidad podría permitir a cualquier atacante conseguir piezas arbitrarias de memoria que podrían contener información sensible, tanto del propio servidor (contraseñas, por ejemplo), como de los usuarios que lo visitan.

El experto de seguridad que ha dado con esta vulnerabilidad, se ha puesto en contacto con la mayoría de las compañías potencialmente vulnerables a este fallo, y tan solo una ha devuelto el correo, siendo, además, bastante reacia a colaborar en la investigación

Dentro del Alexa Top 1 Million, tan solo 466 webs se han encontrado como vulnerables a este fallo, aunque al no ser un fallo determinista, puede haber muchos más servidores vulnerables en la lista.

La vulnerabilidad ya ha sido registrada con el código CVE-2017-9798, aunque, de momento, se encuentra en fase de análisis por parte del NIST.

Si utilizamos Apache 2.2, este experto de seguridad nos facilita un parche temporal hasta que se analice la vulnerabilidad, se acepte y llegue un parche oficial de la mano de Apache.

Aunque la vulnerabilidad es similar en la técnica a Heartbleed, en realidad no es tan grave como esta, y es que, además de afectar a un pequeño número de hosts en todo el mundo, los volcados de memoria que devuelve son mucho menores a los que devolvía Heartbleed. Pero es un fallo real, un fallo del que hay que preocuparse e intentar solucionar cuanto antes, y es que, al final, los grandes ataques informáticos siempre vienen a través de estas pequeñas vulnerabilidades.

¿Cómo probarlo?

Simplemente con...
curl -D - -X OPTIONS http://localhost

Returns:
HTTP/1.1 200 OK
Date: Thu, 22 Jun 2017 08:40:07 GMT
Server: Apache
Allow: GET,HEAD,POST,OPTIONS,HEAD,HEAD
Content-Length: 0
Content-Type: httpd/unix-directory

Esto debería devolver UN solo "Allow: HEAD".

Otro ejemplo:
for i in {1..100};
do curl -sI -X OPTIONS https://www.google.com/ | grep -i "allow:";
done
O con esta PoC script en Python.

Teoría y práctica

Explotar OptionsBleed en teoría es sencillo: solo hay que realizar una petición OPTIONS al servidor para disparar la vulnerabilidad. En la práctica, la vulnerabilidad no es determinista, es decir, no devuelve siempre el mismo resultado dados los mismos datos de entrada. Por ello su reproducción es difícil.

Se sabe con seguridad que la vulnerabilidad es causada por un fallo en la implementación de la directiva Limit. Los métodos disponibles en el servidor (aquellos que la respuesta de OPTIONS comunica) se pueden establecer a nivel global en la configuración. Usando Limit, además, se puede limitar su uso por recurso, usando un fichero .htaccess.

El problema ocurre cuando establecemos una directiva Limit sobre un método que no hemos registrado en la configuración global. Es más, en general cualquier método no valido sobre el que se define esta directiva directiva en un fichero .htaccess provoca la fuga de información.

OptionsBleed no es HeartBleed. Es necesario tener una cierta configuración y que el servidor se encuentre en condiciones específicas para la explotación. Sin embargo, tiene un riesgo añadido: en servidores Apache compartidos, un usuario puede incluir un fichero .htaccess manipulado para facilitar deliberadamente la explotación y descubrir secretos del resto de usuarios.

Actualizaciones de productos

Fuente: The Fuzzing Project | Hispasec

Laboratorio de explotación de Apache Struts

Seguro que la mayoría, sino todos, habéis oído la noticia sobre la que hasta la fecha parace ser la mayor filtración de datos. Me refiero a Equifax, una de las tres empresas en EEUU que se encargan de monitorizar el crédito o la solvencia de los habitantes de dicho país. El problema incluso ha ido más haya de EEUU, y también se han visto comprometidos datos de argentinos (por distintos motivos), canadienses y del Reino Unido.

Según la nota de prensa publicada por Equifax, el "culpable" de la penetración en sus sistemas fue un fallo que seguridad en Apache Struts, que Equifax no parcheo a tiempo. Si buscas en Google, hay miles de sitios que han reportado este suceso y no es la intención de esta entrada escribir sobre lo mismo.

El motivo de esta entrada es la de compartir con vosotros otro de los magníficos laboratorios de prácticas creado por Pentester Lab, en este caso relacionado con la vulnerabilidad anteriormente mencionada. Como de costumbre, el laboratorio consiste en una máquina virtual que te puedes descargar desde aquí.

Si tienes la curiosidad de como se explota esta vulnerabilidad, bájate la ISO y a jugar.

Fuente: Cyberhades

Equifax explica brecha de seguridad y despide a dos gerentes

En un comunicado de prensa publicado la noche del viernes, Equifax revela nuevos detalles sobre la brecha de seguridad que expuso los datos personales de más de 143 millones de usuarios. La empresa anunció además el despido con efecto inmediato de sus CIO (Chief Information Officer) y CSO (Chief Security Officer).

Equifax indica que la brecha fue parcialmente descubierta el 29 de julio cuando su equipo de seguridad observó "tráfico sospechoso" en su portal online de resolución de disputas en EEUU. La empresa intentó proteger el sitio desactivando los puertos de entrada y salida de datos, pero al día siguiente, 30 de julio, detectó nueva actividad sospechosa, que motivó la decisión de desconectar totalmente el servidor de Internet.

Una exhaustiva revisión interna reveló que los atacantes habían intervenido el servidor a través de una vulnerabilidad en Java Apache Struts, software con el que operaba el citado portal de resolución de disputas y quejas de usuarios. Una vez parcheada la aplicación, Equifax conectó nuevamente el portal web, junto con encargar a Mandiant, subsidiaria de FireEye, un análisis forense de la situación.

La investigación realizada por Mandiant concluyó que los atacantes tuvieron acceso a la red de Equifax entre el 13 de mayo y el 30 de julio de 2017. Este acceso fue posible debido a que Equifax, por descuido u olvido, no parcheó sus aplicaciones basadas en Struts. En particular, no instaló el parche que corregía una vulnerabilidad de Struts identificada como incidencia CVE-2017-5638. Al ser descubierta y notificada por CERT, la vulnerabilidad tenía grado "día cero"; es decir, que no contaba con un parche disponible, factor que obliga a las empresas afectadas a extremar las precauciones. Aparte de CERT, el Departamento de Seguridad Nacional, dependiente del gobierno estadounidense, emitió una alerta sobre la vulnerabilidad.

En su nota de prensa del viernes, Equifax asegura haber estado consciente de la vulnerabilidad y del parche de marzo, y que se esforzó por identificar y parchear los sistemas de la infraestructura de TI de la compañía. Este esfuerzo fue insuficiente ya que la empresa no parcheó el sistema que finalmente fue intervenido por desconocidos.

El viernes, Equifax también anunció el despido inmediato de dos altos ejecutivos. El CIO David Webb será reemplazado por Mark Rohrwasser, actual director de operaciones internacionales de TI. La CSO, Susan Mauldin, será reemplazada por Russ Ayres, quien anteriormente se desempeñó como vicepresidente de TI.

Fuente: DiarioTI

CloudFlare Edge Pass, extensión para reducir la cantidad de CAPTCHAs

Los usuarios que se conecten a la red Tor o a los servicios VPN regularmente, seguramente hayan notado un aumento en los CAPTCHAs de CloudFlare siempre que estén conectados a estas redes.

Dependiendo de los sitios que visitemos, de la red en la que estemos conectados y de cómo se configure el sitio, es posible que tengamos que resolver captchas con bastante frecuencia y a veces en cualquier página que abramos en ese sitio en particular. Para ello han desarrollado CloudFlare Edge Pass, una extensión muy interesante.
Cloudflare Edge Pass es una extensión oficial para los navegadores Firefox y Chrome, dos de los más utilizados mundialmente. Ha sido diseñada para reducir el número de captchas de CloudFlare. Esto es así gracias a que almacena cookies e información del usuario y son reautilizados.

Esto ya lo tenía el complemento de Firefox CloudHole. Sin embargo en esta ocasión, esta utilidad realiza un desvío de las páginas al navegar. Un sistema diferente, aunque con el mismo propósito y manteniendo algunas similitudes.

Reducir el número de captchas

Básicamente, está diseñado para que se reduzca el número de cuestionarios que se lanzan en los dispositivos de conexión a la red Tor o servicios VPN.

Cloudflare Edge Pass trabaja de forma silenciosa en segundo plano en su mayor parte. Permite omitir las páginas de desafíos de CloudFlare si ya se ha enviado una solución válida durante la sesión.
La extensión genera criptográficamente identificadores "ciegos" que son firmados por Cloudflare Edge cuando se resuelve un captcha. Estos identificadores son “descifrados” y almacenados por la extensión para su uso en el futuro. Son redimidos automáticamente cuando se ve una página de cuestionario futuro. El procedimiento de “descifrado” significa que los ficheros firmados y redimidos son criptográficamente desvinculables de la perspectiva de Cloudflare y, como tales, son adecuados para su uso junto con medidas de anonimato externas (como Tor / VPNs).
Esta extensión, como hemos indicado, está disponible tanto para Mozilla Firefox como para Google Chrome. Estos son dos de los navegadores más utilizados por los usuarios en todo el mundo. Se trata de una WebExtension que puede resultar útil para aquellos que naveguen a través de Tor o servicios VPN y estén cansados de tener que poner constantemente captchas para usar Internet.

Fuente: RedesZone | Ghacks

18 sep. 2017

CCleaner 5.33 comprometido y con malware (Actualiza!)

Ccleaner es una de las aplicaciones más completas para limpiar nuestro Windows y llevar a cabo las tareas de mantenimiento básicas. Hace escasos minutos, la empresa de seguridad Talos, de Cisco, acaba de publicar un informe en el que informa de una de las versiones de CCleaner comprometidas que están siendo utilizadas por delincuentes para distribuir el malware Nyetya entre los usuarios que confían en ellas.

Normalmente, las desarrolladoras suelen firmar digitalmente sus aplicaciones de manera que los usuarios finales puedan saber que están utilizando una aplicación legítima. Sin embargo, por diversas causas, puede que estas firmas caigan en manos de delincuentes, quienes las utilizan para firmar malware y hacerlo pasar por software legítimo, como acaba de ocurrir con este limpiador y optimizador de Windows.

El ataque, que ocurrió el 15 agosto y afectó a nivel global a 2,27 millones de equipos, se dirigió a los servidores de la empresa de seguridad informática Avast (propietaria de CCleaner) y fue descubierto el 12 de septiembre por investigadores de Cisco Talos, que hoy publicaron un reporte técnico del incidente.

Durante las pruebas de un nuevo software para la mitigación de exploits, los expertos de Talos detectaron una serie de avisos inesperados en el instalador legítimo de CCleaner, concretamente en la versión 5.33. Estas versiones maliciosas han estado llegando a los usuarios a través de los servidores de descarga legítimos sin levantar sospechas durante bastante tiempo y, aunque la versión de CCleaner es legítima, el propio instalador es quién oculta la sorpresa.
Ccleaner desactualizado
Aunque no se han facilitado demasiados detalles sobre cómo ha sido posible suplantar la firma del instalador de CCleaner, curiosamente este software utiliza una de las firmas inseguras de Symantec, de las que llevamos hablando ya algún tiempo. Aunque lo más probable es que los delincuentes hayan robado la firma, no se descarta que también hayan conseguido romper la seguridad de las mismas y suplantarlas, lo cual sería mucho más peligroso de cara a que los delincuentes podrían haber suplantado otras aplicaciones sin nisiquiera darnos cuenta de ello.

Cuando los expertos de seguridad de Talos analizaron el instalador de CCleaner, que se había descargado desde los servidores de la compañía, pudieron encontrar que, además de descargar este limpiador de Windows, el propio instalador descargaba un payload del tipo “Domain Generation Algorithm“, payload que, entre otras cosas, contenía las instrucciones necesarias para conectarse a un servidor C&C desde el que recibir órdenes.

Tanto CCleaner v5.33.6162 como CCleaner Cloud v1.07.3191, ambas versiones lanzadas el pasado mes de agosto, estaban comprometidas por este malware, y todos los usuarios que hayan descargado cualquiera de estas dos aplicaciones entre el 15 de agosto y el 12 de septiembre están infectados por este malware.

Los expertos de seguridad aseguran que los servidores de control ya fueron cerrados el pasado 15 de septiembre, por lo que la amenaza está, más o menos, controlada. De todas formas, se recomienda actualizar cuanto antes a la última versión, CCleaner 5.34, la cual ha eliminado ya este malware y vuelve a ser, aparentemente, segura.

Fuente: Talos