25 abr. 2017

La historia de dos delincuentes rusos: uno condenado y el otro protegido

Track2, el condenado

El conocido delincuente ruso Roman Seleznev, aka "Track2", ha sido condenado a 27 años de prisión en Estados Unidos, la mayor sentencia emitida hasta ahora contra un ciberdelincuente acusado de robo. Y es que hasta hace relativamente poco la justicia no tenía directrices para actuar contra ciberdelincuentes y condenarlos.
Sin embargo, poco a poco las leyes han ido actualizándose y adaptándose a los nuevos delitos de internet y las condenas son cada vez más duras. Seleznev fue detenido en 2014 en las Islas Maldivas con un ordenador que contenía los datos robados de más de 1,7 millones de tarjetas de crédito. La justicia americana acusa a este hombre, que actuaba con el pseudónimo de Track2, de robar a más de 3.700 empresas un valor aproximado de 169 millones de dólares.

Algunas de estas empresas, como Broadway Grill, tuvieron que cerrar porque no pudieron asumir las pérdidas del hackeo. Así, el juez considera probados 38 delitos entre los que se incluyen el de fraude en la red, daño intencionado a ordenadores protegidos, y robo de identidad, entre otros. Estos cargos suponen 27 años de cárcel, la mayor condena a un ciberdelincuente de la historia.

En una carta publicada en The New York Times, Seleznev echa la culpa de sus actos a su dura infancia —su madre murió cuando él tenía 17 años por una intoxicación etílica— y a un atentado terrorista que sufrió en Marruecos, que le mantuvo un año en cama y terminó con el divorcio de su mujer. En la misma carta Seleznev se confiesa arrepentido de su actos y asegura que su deseo es corregir el mal que ha hecho y comportarse "correctamente".

Slavic, el protegido

Evgeniy Mikhailovich Bogachev ha saqueado decenas de bancos, robado miles de cuentas corrientes y lanzado asaltos a escala planetaria. Por su captura, el FBI ofrece una recompensa de tres millones de dólares y dos tribunales de Estados Unidos le persiguen por fraude, lavado de dinero, robo informático y conspiración. Más conocido como "Slavic" o "lucky12345", es el ciberdelincuente más buscado del mundo. Pero nadie le detiene. De nada sirve que haya fotografías suyas por doquier, que se sepa dónde vive e incluso a qué dedica su tiempo libre. A sus 33 años, Bogachev y su media sonrisa pueden más que la maquinaria judicial y policial de la nación más poderosa del mundo.

Slavic se esconde en Rusia y en diciembre pasado fue incluido en el grupo sancionado por el presidente Barack Obama en relación con el ciberataque orquestado por el Kremlin para socavar la campaña electoral de Hillary Clinton. Aunque la Casa Blanca sólo se refería a él como delincuente común, en la orden, que también afectaba a cuatro altos cargos del servicio secreto ruso, se le prohibía viajar a Estados Unidos y se congelaban todas sus cuentas. Dos medidas sin efecto para quien ha hecho historia fuera de la ley.

Los informes del FBI y expedientes judiciales a los que ha tenido acceso El País, dibujan a Slavic como uno de los ciberdelincuente más disruptivos de todos los tiempos. Entre sus creaciones figura Cryptolocker, un virus que bloquea los ordenadores y obliga al pago de un rescate para su liberación. A finales de 2013, más de 234.000 ordenadores resultaron infectados. Un golpe por el que Bogachev recaudó en solo dos meses 27 millones de dólares.

El creador de Zeus

Pero su criatura más conocida y reverenciada es Zeus. Extremadamente sofisticado, este código maligno nació en 2006, cuando Bogachev sólo tenía 22 años. Desde entonces, con enorme pericia, lo ha ido modificando y mejorando hasta llegar a la versión Gameover. El troyano, considerado uno de los más peligrosos del planeta, actúa como un arma de doble filo. Por un lado, esquilma los datos bancarios y claves del ordenador que infecta. Y por otro, sin que el propietario lo sepa, pone el aparato al servicio de una red oculta (botnet, en el argot). Un universo de esclavos silentes que los delincuentes emplean libremente para todo tipo de fines.

"Es la red dañina más avanzada a la que nos hemos enfrentado", declaró el agente especial encargado de su investigación. Bajo el mando de Slavic, esta estructura llegó a tener sometidos un millón de ordenadores (el 25% en Estados Unidos) y se convirtió en la peor pesadilla a la que se haya enfrentado el FBI. El botín superó los 100 millones de dólares.

Tras un esfuerzo internacional mancomunado, la red fue desmantelada en 2014. Pero su creador, sobre el que pesa la mayor recompensa contra un cibercriminal, no pudo ser atrapado. Al igual que muchos delincuentes rusos su tranquilidad estaba asegurada lejos de Washington.

Un informe de seguridad ucranio sostiene que Slavic actúa bajo supervisión de una unidad especial del espionaje ruso. No es nada extraordinario. El Kremlin, que nunca ha aceptado estas acusaciones, lleva años empleando a los ciberdelincuentes para sus fines geopolíticos. También lo hizo, siempre según los informes de la inteligencia estadounidense, con Wikileaks. En el ciberataque que orquestó contra Clinton en la campaña electoral utilizó a la organización de Julian Assange para difundir el material robado.

En el caso de Slavic, la propia trayectoria y evolución del virus Zeus le conecta con estas prácticas. En el apogeo de su actividad, Bogachev peinaba la inmensa red de ordenadores cautivos a su disposición en busca de información confidencial: correos de altos cargos de la Policía turca, datos de inteligencia georgianos, documentos clasificados ucranios. "Desde hace tiempo se piensa que Bogachev tiene algún tipo de relación con personas cercanas a los servicios de inteligencia. Incluso cuando Rusia invadió Crimea, parte de la botnet se utilizó para buscar información en víctimas de Ucrania", explica el experto en ciberseguridad y jefe científico de Alien Vault, Jaime Blasco.

Slavic era y es un delincuente, pero no actúa sólo como tal. Su objetivo va más allá: un territorio pantanoso del que se sabe muy poco. El Kremlin calla y las autoridades estadounidenses evitan dar detalles de los ciberataques a Clinton. Como siempre, la oscuridad le ampara. Slavic puede seguir sonriendo.

Fuente: 20Minutos | El País

Así se usa el Bitcoin en fraudes

Actualmente casi para nadie es desconocido el concepto básico de Bitcoin y cada día ha tomado más fuerza en el mundo como una opción para manejar el dinero y garantizar las transacciones económicas sin depender directamente de las entidades financieras, tanto que Japón ya permite las negociaciones de esta criptomoneda.

Esto sin duda ha generado que las organizaciones cibercriminales busquen la manera de aprovechar este crecimiento en popularidad y parte del desconocimiento de su funcionamiento, para implementar nuevas metodologías de fraude a los usuarios nuevos y antiguos de esta criptomoneda y un incremento en los reportes de víctimas, por lo que empresas como ZeroFOX, WeUseCoin y otras, han hecho análisis de las principales formas de fraude en los que se han usado las Bitcoins en redes sociales y en Internet, las cuales se explican a continuación.

Esquemas de pirámides

Es uno de los más comunes y más distribuidos en el mundo, porque usa el crecimiento económico del precio de la moneda para prometer retornos de inversión muy altos en poco tiempo y por supuesto solicitando traer contactos a su pirámide. Este es el mismo fraude del mundo tradicional, llamado "Ponzi Scheme".

En el 2015 se condenó a 18 meses de prisión al creador de una de estas pirámides, que con mensajes en redes sociales y videos en youtube reclutaba víctimas a la red llamada "Bitcoin Savings and trust" con la cual en 3 años logró un aproximado de 100 víctimas y mover cerca de 9 millones de dólares.

Otro ejemplo es la pirámide CryptoDouble, que prometía a sus inversionistas un retorno del doble de su inversión en menos de 100 horas, con mensajes como estos en las redes sociales.
Tras dos meses de actividad en la red se detuvo la actividad de este fraude, dejando centenares de consumidores afectados y al menos 2233 BTC desaparecidos.

Existen muchos casos más como BITDonix y BITZilla, que usan una técnica antigua y tradicional de engañar a las personas con retornos de su inversión en poco tiempo y con poco esfuerzo, pero que ya no solo afectan a una región puntual o a una ciudad, sino que tienen la posibilidad de tener víctimas en todo el mundo.

Billeteras falsas

Para los que desconocen el término "wallets" o billeteras, es el software que se requiere para realizar los intercambios financieros con Bitcoins, cada usuario del sistema requiere tener su propia billetera y para hacer el pago, requiere conocer la billetera destino, sin embargo esto también es lo que provee la característica de anonimato del servicio, pues la creación de la billetera en algunos contextos no requiere dar la información de su propietario y cada persona puede tener el número de billeteras que desee.

Esto lo saben muy bien los delincuentes y crean servicios donde se ofrece la creación y gestión de las billeteras, con un cobro bajo por las transacciones. Los usuarios que desconocen el funcionamiento del sistema creen que al igual que en el sistema financiero tradicional, cada transacción paga una tasa mínima establecida por la entidad, pero en el sistema transaccional de las criptomonedas no es así, este valor es definido por el mercado.

Muchas de estas billeteras funcionan perfectamente por meses o por años, sin embargo en realidad son usadas para distribuir malware en los equipos o en las redes de sus víctimas, en otros casos, son usadas para realizar transacciones de Bitcoin que no son del usuario y en el caso más común, para después de un tiempo transferir todo su contenido a otras billeteras y así desaparecer la inversión.

Casas de cambio falsas (Exchange)

Las organizaciones criminales que se dedican a este tipo de estafas han demostrado tener un profundo conocimiento del funcionamiento de las casas de cambio (Exchange) y de los mecanismos de transacciones en línea que usan las entidades financieras tradicionales. Suelen ser sistemas complejos que funcionan de dos formas, la primera es ofreciendo intercambios inmediatos de Bitcoin a dólares a muy buenas tasas y el segundo método es declarando pérdidas o robos al sistema, ya sea durante la transacción de la víctima o a todo el sistema.

En la primera forma del fraude realizada con casas de cambio, el usuario que desea hacer el intercambio de criptomoneda a dinero físico, se inscribe de forma gratuita e ingresa los datos de la entidad bancaria donde desea que le hagan la transferencia del equivalente a las Bitcoins que se van a cargar en una billetera que le indica el sitio. Una vez se termina el proceso, las Bitcoins son trasferidas a esa billetera pero no se recibe ningún dinero en la entidad.
En la segunda forma del fraude que se realiza con las casas de cambio, se encuentra en sitios en línea que indican llevan tiempo en operación y sin problemas de funcionamiento o de reportes de fraude, sin embargo de un momento a otro reportan que han sido víctimas de ciberdelincuentes o robo de criptomonedas, como sucedió en el 2014 con Cryptsy, quien reportó la perdida de entre 13.000 y 30.000 Bitcoin y después se comprobó que esto no sucedió y que fue una estrategia para defraudar a muchos usuarios de la criptomoneda.

En conclusión, las criptomonedas han generado un gran cambio en los sistemas financieros del mundo pero su auge y crecimiento ha generado que sean objetivos de la ciberdelincuencia y que sean aprovechados para generar fraudes de escala mundial. Por lo que los usuarios tienen que ser cautelosos para manejar sus inversiones y para creer en las ofertas que fluyen por las redes sociales y por Internet donde prometen ganancias exorbitantes en corto tiempo.

Es necesario recordar que uno de los principios de las criptomonedas es garantizar la seguridad y el anonimato de sus usuarios, por lo que antes de invertir se deben revisar muy cuidadosamente la reputación de los sitios, el manejo de las billeteras y todo lo que pueda investigar, para garantizar que su inversión es segura.

Diego Espitia - @dsespitia

24 abr. 2017

Integración de #Eternalblue y #Doublepulsar de #ShadowBroker a #Metasploit

El pasado viernes 14 de Abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al Arsenal de la NSA. Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c.

Sheila A. Berta (@UnaPibaGeek) de ElevenPaths publicó en Exploit-DB un paper, también con versión en inglés, en el que se explica cómo explotar la vulnerabilidad Eternalblue & Doublepulsar para obtener una Shell apoyándose en Powershell Empire para lograr, posteriormente, un Meterpreter de Metasploit. Gran trabajo, sin duda, de Sheila.

Sheila formuló una pregunta interesante en su paper y es: ¿Por qué Eternalblue & Doublepulsar? La respuesta es sencilla, ya que entre los exploits que se publicaron, Eternalblue es el único que se puede utilizar para atacar sistemas Windows 7 y Windows Server 2008 R2 sin necesidad de autenticación. Por lo que, Eternalblue es el exploit que nos permitirá aprovecharnos de un fallo de seguridad en el protocolo SMB para que, posteriormente, Doublepulsar pueda inyectar remotamente, por ejemplo, una DLL, ya que existen otras posibilidades.

Dicho esto, el pasado jueves mis compañeros Sheila y Claudio Caracciolo (@holesec) se preguntaron por la posibilidad de hacer una migración del exploit Eternalblue que es utilizado en Fuzzbunch en el leak a Metasploit.

El gusto por la seguridad y por la tecnología nos puede y nos pusimos de forma rápida y ágil manos a la obra en ElevenPaths. Ha sido divertido pasar unas horas locas trabajando en esto e intentando hacer un módulo que pueda ayudar a auditar los sistemas Microsoft dónde Eternalblue sigue presente.

La herramienta está disponible en el repositorio de Github y en el siguiente vídeo tienes una demostración de este módulo funcionando.

Contenido completo en fuente original El Lado del Mal

Actualizaciones de seguridad de Oracle, abril 2017

Oracle ha liberado para sus clientes una nueva actualización de seguridad de varios de sus productos. Estas actualizaciones de Abril 2017, es una de las cuatro previstas para este año, vienen a solventar múltiples vulnerabilidades (300) encontradas hasta la fecha en diferentes productos de la compañía:

Oracle Database, Oracle Application Server, Oracle Secure Backup, Oracle E-Business Suite, Oracle Java SE, Solaris, Oracle VM VirtualBox, Oracle Financial Services Analytical Applications Infrastructure, etc.

Desde la empresa recomiendan parchear lo antes posible las diferentes versiones afectadas, ya que el aprovechamiento de esos fallos por parte de usuarios malintencionados podría comprometer seriamente la integridad del sistema.

Más información y descarga de actualizaciones.

TrueOS: sistema operativo de escritorio basado en FreeBSD

TrueOS (ISO) es un sistema operativo orientado a escritorio, pero con opciones y características más propias de los sistemas operativos para servidores. Este sistema operativo TrueOS está basado en FreeBSD, una distribución de Unix muy conocida y que está orientada a la seguridad y estabilidad.
TrueOS tiene como base FreeBSD-CURRENT, esto significa que recibe las últimas actualizaciones de este sistema base, actualizaciones de seguridad, drivers e incluso los paquetes disponibles para FreeBSD también son compatibles con TrueOS. Este sistema operativo trae también un nuevo paquete de drivers y controladores para los nuevos chipsets de Intel, por lo que si tienes un ordenador con los últimos procesadores de Intel no tendrás ningún problema en usar TrueOS.

Otras características muy interesantes de este sistema operativo es que utiliza la librería criptográfica LibreSSL, no utiliza OpenSSL ya que consideran que esta librería no es del todo segura debido a las decenas de bugs aparecidas recientemente. Las actualizaciones de este sistema operativo se realizan en el entorno de arranque, y nunca tocan el sistema operativo en sí. También tenemos Linux DRM 4.9 que es compatible con las últimas GPU Intel Graphics Broadwell y Skylake, asimismo también tenemos disponibles ports y paquetes precompilados con más opciones.

Cifrado en TrueOS: Carpeta de usuario y todo el disco

La seguridad de los datos es un aspecto muy importante para los desarrolladores de este sistema operativo, por este motivo TrueOS nos permitirá cifrar los directorios personales de cada usuario gracias a PersonaCrypt. Gracias a esta característica no solo protegeremos todos nuestros datos, sino que podremos migrar nuestra carpeta completamente cifrada a otro sistema TrueOS fácilmente y empezar a usarla como si lo hiciésemos en el sistema de origen, de hecho, podremos llevar siempre todos nuestros datos en una memoria USB sin problemas, ya que todo su contenido estará cifrado. Por supuesto, TrueOS soporta el cifrado completo del disco duro o SSD a través de GELI, de esta manera tendremos todos nuestros datos totalmente a salvo de usuarios que intenten hacerse con nuestro disco duro de manera física.

SysAdm: Administración remota y segura de manera fácil

Este sistema operativo incorpora SysAdm, una nueva forma de administrar nuestros sistemas ya sean servidores, sistemas basados en la nube o de escritorio. Este sistema nos permitirá utilizar REST o WebSockets de manera cifrada para controlar todos los aspectos del sistema operativo, podremos gestionar las actualizaciones, gestión del software, administrar usuarios, copias de seguridad y mucho más. SysAdm es ideal para empresas, ya que es una solución escalable y que gestiona fácilmente diferentes aspectos de los equipos.

OpenZFS: Uno de los mejores sistemas de archivos también en este sistema para escritorio

FreeBSD es sinónimo de ZFS, uno de los mejores sistemas de archivos también está disponible en TrueOS. Este sistema de archivos incorpora copy-on-write y auto-reparación para proporcionar una integridad de los datos perfecta. Gracias a este sistema de archivos podremos crear snapshots en cualquier momento, ideal para restaurar dichos snapshots si hacemos una configuración errónea, hemos eliminado algo sin querer o simplemente hemos hecho algo que no deberíamos haber hecho. Simplemente con ejecutar la recuperación del snapshot creado ya tendremos el sistema como antes. Por último, soporta diferentes niveles de ZRAID para introducir redundancia de datos en el sistema de escritorio.

También podéis ver una completa guía de usuario de este sistema, ideal para saber de antemano las principales opciones de configuración.

Fuente: RedesZone

23 abr. 2017

Herramienta para detectar #DoublePulsar instalado en Windows vulnerables (Actualiza!)

Los delincuentes ya han comenzado a explotar las herramientas de hacking de la NSA filtradas el fin de semana pasado por ShadowBrokers y esto se ve facilitado porque hay cientos o miles de sistemas Windows vulnerables y expuestos a Internet.

El conjunto de herramientas de hacking está orientado a Windows XP, Windows Server 2003, Windows 7 y 8 y Windows 2012. Microsoft liberó los parches para todas las vulnerabilidades explotadas, pero aún existen riesgos en sistemas no compatibles, así como con aquellos que aún no han instalado los parches.

Múltiples investigadores de seguridad han realizado análisis en masa en los últimos días y han encontrado decenas de miles de computadoras Windows en todo el mundo infectadas con DoublePulsar, el implante espía de la NSA. Los investigadores han publicado una herramienta gratuita en GitHub para que cualquiera pueda usarla.

DoublePulsar es una puerta trasera utilizada para inyectar y ejecutar código malicioso en sistemas ya infectados, y se instala utilizando la vulnerabilidad EternalBlue que se dirige a los servicios de intercambio de archivos SMB en Windows (puerto 445). Para comprometer una máquina, se debe estar ejecutando una versión vulnerable del sistema operativo Windows con servicio SMB expuesto.

Los investigadores de la firma Suiza Binary Edge realizaron una búsqueda en Internet y detectaron más de 107.000 computadoras Windows infectadas con DoublePulsar. Otro análisis de Errata Security detectó aproximadamente 41.000 máquinas infectadas, mientras que los investigadores de Below0day detectó más de 30.000 máquinas infectadas, la mayoría de las cuales se encontraban en Estados Unidos.

Los sistemas que siguen utilizando plataformas fueras de ciclo de actualización como Windows XP, Windows Server 2003 e IIS 6.0 seguirán siendo vulnerables y víctimas de DoublePulsar.

Mientras tanto, los usuarios de Windows que no han aplicado MS17-010, se recomienda encarecidamente descargar e implementar los parches lo antes posible.

Fuente: Hacker News

22 abr. 2017

PINLogger: usar los sensores para robar el PIN del smartphone [Paper]

Los dispositivos móviles registran más datos de los que realmente necesitan. El problema es que ese registro no siempre se informa al usuario. Muchas aplicaciones piden permisos excesivos, y en el caso de los navegadores, extraen valores de los sensores integrados. Un grupo de investigadores de la Universidad de Newcastle demostró que es posible utilizar esto de forma maliciosa con un nuevo ataque llamado PINLogger [PDF], el cual interpreta datos de los sensores y calcula el número PIN con una precisión del 94 por ciento, y en apenas tres intentos.
Muchos juegos de Android e iOS solicitan acceso a los sensores del dispositivo móvil por cuestiones técnicas, pero algunos ejemplos directamente caen en lo abusivo. ¿Para qué quiere un juego ver mi calendario o mi lista de contactos? Lo primero que nos viene a la mente es esa palabra mágica: Publicidad. El usuario promedio no le da mucho valor a esos datos secundarios que genera, pero hay gente allá afuera dispuesta a pagar para obtenerlos y brindar "una experiencia más personalizada". Ahora, ¿qué pasa si alguien encuentra la forma de utilizar dichos datos con objetivos maliciosos?

¿Qué puede entregar el smartphone?

Para comenzar… el número PIN. El ataque PINLogger basado en JavaScript puede "escuchar" el movimiento y la orientación de un dispositivo Android sin el permiso del usuario, analizar el flujo de datos enviado por los sensores y, a través de una red neuronal, calcular el número PIN.

El estudio indica que enfrentado a un PIN de cuatro dígitos, PINLogger logra descubrir el número un 74 por ciento de las veces al primer intento, un 86 por ciento al segundo, y un 94 por ciento en el tercer intento. Al contrario de otros ataques, PINLogger no requiere la instalación de software en el smartphone. Todo lo que necesita es que un navegador con el código malicioso en una página web quede abierto mientras el usuario ingresa el PIN.

Por supuesto, la efectividad de PINLogger depende del nivel de acceso a los sensores que tenga el navegador, y esto varía mucho según el software y el sistema operativo. Los ejemplos compartidos se enfocan en iOS 8 y Android Lollipop, técnicamente sin soporte pero aún muy usados. En general, los navegadores más invasivos son los alternativos, con Baidu y CM Browser a la cabeza. De momento, el acceso vía JavaScript se limita a un par de sensores, pero esto podría cambiar en el futuro. Tal vez sea hora de implementar restricciones de acceso a sensores "por aplicación", un sistema de listas blancas, o por qué no, manipulación directa de los permisos.

Fuente: NeoTeo

21 abr. 2017

Chrome 58 soluciona Punycode

Google ha adelantado unos cuantos días el lanzamiento de Google Chrome 58 para poner a disposición de los usuarios sus últimas novedades en materia de seguridad. Esta nueva versión introduce un total de 29 parches de seguridad y soluciona 12 vulnerabilidades, además de añadir nuevas funciones para mejorar el rendimiento del navegador, tanto en el ordenador como en el móvil. Vamos a verlas en detalle.

Entre los fallos de seguridad arreglados encontramos uno bastante grave que comentamos a principios de semana, y que tenía que ver con que una web podía hacerse pasar por otra HTTPS real gracias a la forma en la que el Punycode se traducía en Chrome y en Firefox.

De esta manera, una web podía utilizar caracteres cirílicos, que a vista del usuario tal y como lo mostraba el navegador eran exactamente idénticos. A partir de ahora, ese fallo ya no ocurre, y se muestra el dominio real. La página https://www.xn--80ak6aa92e.com/ ya no se mostrará como https://apple.com

Solucionar todas estas vulnerabilidades han supuesto a Google, dentro de su programa de recompensas, más de 14.000 dólares.

Fuente: ADSLZone

Diversos routers Linksys vulnerables


La empresa IOActive publicó que varios modelos de routers Linksys tienen vulnerabilidades que se pueden explotar con diversos fines maliciosos. Los modelos son: EA2700, EA2750, EA3500, EA4500v3, EA6100, EA6200, EA6300, EA6350v2, EA6350v3, EA6400, EA6500, EA6700, EA6900, EA7300, EA7400, EA7500, EA8300, EA8500, EA9200, EA9400, EA9500, WRT1200AC, WRT1900AC, WRT1900ACS y WRT3200ACM.


De entre los usos maliciosos que pueden darse a estas vulnerabilidades, se halla la posibilidad de tomar control de los routers, y utilizarlos para crear una red de bots y organizar con ella un ataque DDoS.

Más de 7 mil de estos aparatos, distribuidos por todo el mundo, pero con el casi 70% de ellos en los Estados Unidos, se hallan en esta situación. Los investigadores Tao Sauvage y el independiente Antide Petit hicieron en 2016 un trabajo de ingeniería inversa y varias pruebas de penetración para detectar los problemas.

Los investigadores encontraron 10 vulnerabilidades, de bajo a alto nivel y algunas de ellas permitir sobrecargar el dispositivo, negarle acceso al propietario, cambiar configuraciones internas, además de convertir los sistemas en bots para organizar ataques distribuidos de negación de servicio. Los investigadores señalan que, de ser explotadas, las vulnerabilidades podrían repetir un escenario como el de Mirai, el año pasado.

Linksys ha trabajado con IOActive, ha solucionado las vulnerabilidades y ha emitido un anuncio público por lo que se recomienda actualizar a la brevedad.

Fuente: IOActive

20 abr. 2017

El SIDA, los troyanos y el ransomware

Al igual que el señor de la foto, Eddy Willems un evangelista de seguridad de la empresa alemana G Data, comencé mi historia con los virus informáticos allá por finales de 1988. En esa época todavía se llamaban "virus" y la gente pensaba que te podías infectar con ellos.

También podríamos pensar que el ransomware es una invención moderna, pero la idea (teórica y práctica) también tiene más de dos décadas, como se puede ver en la revista VirusReport de 1994, que rescaté de una caja que estaba dentro de un baúl...
Me acordé de esto viendo un twit en donde se informa de "un nuevo virus llamado ransomware":
Dejando de lado el tema de que seguramente esto lo escribió un Comnunity Manager y que en un twit de 140 caracteres no se puede explicar demasiado, debe remarcarse que el término "virus" ya es poco vintage y en la jerga técnica sólo se usa en casos muy específicos.
Lo realmente incorrecto es llamar virus a un ransomware que en realidad es un tipo de malware totalmente distinto (como lo es un troyano, un gusano, un adware o... un virus). Para resumir, un malware es una "bolsa de gato" con muchos tipos de programas dañinos dentro, uno de ellos es el ransomware.

Volviendo al tema, el primer ransomware "lo encontró" Eddy Willems en diciembre de 1989, cuando insertó un disquete de 51/4 en su computadora del trabajo. En este caso se ejecutó una aplicacion con un cuestionario sobre VIH/SIDA y de ahí que este virus recibiera el mismo nombre. Este debe ser el único caso en donde un virus informático (en realidad, y para no confundir, era un troyano) recibió el nombre de un virus biológico.

A los pocos días, y luego de varios reinicios, la computadora de Willems se bloqueó y comenzó a exigirle el pago de U$S189 en una cuenta de Panamá. Cuenta Willems que incluso pudo imprimir una factura.

Estrictamente hablando, ya en junio de 1989 se había iniciado una investigación judicial por casos similares porque asistentes a un Congreso Médico sobre SIDA en Montreal, Canadá también se habían infectados (sus computadoras) con un disquete enviado desde la Compañía panameña PC Cyborg Corporation.

El hecho es que miles de personas misteriosamente recibieron el disquette en todo el mundo, se infectaron y terminaron siendo testigos de lo que se cree fue el primer caso de virus/troyano/ransomware. Poco tiempo despúes, y debido al revuelo que se había armado, se identificó al biológo Dr. Joseph Popp como el responsable de la campaña contra el SIDA.

Este ransomware sólo cifraba los nombres de los archivos, no su contenido, por lo que restaurarlos era bastante sencillo y en un análisis en la revista VirusBulletin [PDF] de esa época se ofrecieron dos programas para eliminarlo de forma gratuita.

Luego, en 1996 los investigadores, Adam L. Young y Moti M. Yung descubrieron la manera de utilizar la criptografía de clave pública en el ramsomware, dando comienzo a la criptovirología [PDF] o, simplemente al cobro de rescate por archivos secuestrados/cifrados.

Finalmente, alrededor de 2005, comenzó el desarrollo de otro tipo de ransomware más dañino, como Gpcode/PGPCoder, Krotten (quizás el primer ransomware comercial) y Cryzip. En 2013 aparece Cryptolocker el cambio definitivo hacia un modelo de negocio anónimo y altamente rentable basado en criptomonedas como Bitcoin y otras.

Al igual que para Willems, este tipo de virus e historia es lo que me inició en la carrera de la seguridad de la información y, para no olvidarme, en 2006 lo escribí todo en la historia de los virus.

Y, ¿Uds como comenzaron?

Lic. Cristian Borghello CISSP - CCSK
Director Segu-Info