25 sep. 2016

Actualización crítica de OpenSSL

OCSP (Online Certificate Status Protocol) es un protocolo cuyo objetivo es el de verificar que un certificado digital de una web determinada es válido, y que no ha sido revocado, OCSP utiliza otros métodos que no son el uso de CRL (Lista de Revocación de Certificados).

El investigador de seguridad Shi Lei, de Qihoo 360 de China, ha encontrado una vulnerabilidad crítica de denegación de servicio en OpenSSL en la forma en que implementa OCSP y puede ser explotada si se utiliza la configuración por defecto e incluso si OpenSSL no soporta OCSP .

Esta vulnerabilidad ha sido catalogada como la más crítica de los últimos 14 años, su identificador es CVE-2016-6304 y puede ser explotada remotamente. La vulnerabilidad consiste en que se pueden enviar grandes paquetes "OCSP Status Request" a un determinado servidor durante la negociación de la conexión, esto causaría un consumo tan elevado de memoria que podría provocar una denegación de servicio en el servidor.

Es necesario actualizar la librería a la última versión OpenSSL 1.1.0a y, si no se puede actualizar, es posible mitigar este fallo con la opción "no-ocsp" o directamente filtrarlo en el IDS/IPS de la organización.

Además de este fallo, OpenSSL 1.1.0a soluciona otras 14 vulnerabilidades entre las que se encuentran las de SWEET32, publicada el mes pasado y que afecta a los protocolos Triple-DES (3DES) y Blowfish.

Un detalle muy importante es que la versión OpenSSL 1.0.1 dejará de tener soporte a finales de este año, por lo que es recomendable migrar a la versión de OpenSSL 1.0.2 e incluso a la 1.1.0.

Fuente: ThreatPost

24 sep. 2016

Se revela cómo Snowden superó el examen al grupo de hackers de élite (TAO) de la NSA

Antes de dejar Hawaii y filtrar miles de documentos clasificados del Gobierno estadounidense, Edward Snowden intentó entrar en el TAO, el secreto grupo de operaciones especiales de la NSA. Un cuerpo de "hackers de élite" que se encargan de realizar tareas que requieran habilidad o recursos fuera de lo común en las comunidades de espionaje estatal.

TAO —operaciones de acceso a medida por sus siglas en inglés— lleva operando desde 1998, y tiene más de 1.000 trabajadores, tanto civiles como militares, que van desde especialistas en ingeniería electrónica hasta analistas de inteligencia. Entre sus operaciones, destaca la capacidad para interceptar routers y servidores durante la entrega a su comprador, y añadir medidas físicas y de software como instalación de chips propios o puertas de entrada, antes de llegar a su destino.

Otro de las operaciones públicamente conocidas del TAO fue prestar parte de su tecnología al GCHQ —la agencia de ciberinteligencia británica, equivalente a la NSA— para hackear Belgacom, el operador de Internet belga que proveía acceso a la Comisión Europea, el Consejo Europeo y al Parlamento Europeo.

Cuando Edward Snowden intentó ser aceptado en este grupo de élite era por entonces un miembro junior dentro de los contratistas que trabajaban para la NSA. Durante años la NSA se negó a que hiciera el examen, pero acabó concediendo la prueba. Tras suspender el examen, Snowden solicitó volver a intentarlo, y un tiempo después pasó el examen con nota, pero rechazó el puesto.

Ahora se revela por primera vez, que Edward Snowden consiguió acceder a los documentos que contenían las preguntas y respuestas del examen en el ordenador de un compañero.

Esto sirve para ayudar a desmontar que Snowden fuera un "agente extranjero", pues sería mucho más útil dentro del TAO si en realidad estuviese trabajando para China o Rusia, por dar dos ejemplos. Pero nos recuerda que Snowden no era un "gran hacker" como algunas veces es representado en la prensa generalista. Simplemente era el administrador de Sharepoint, la herramienta de colaboración de Microsoft.
La mayor parte del daño causado por Snowden desde dentro de la NSA fue consiguiendo claves de acceso de sus compañeros
Snowden consiguió los datos de acceso de una docena de compañeros simplemente pidiéndoselos para, según Fred Kaplan, "solucionar algunos problemas técnicos".
Los métodos de Snowden recuerdan a algunos en la comunidad de seguridad a la actitud de James Kirk, el protagonista de Star Trek, superando el "Kobayashi Maru" una prueba imposible de aprobar que el cadete superó pre-programando los sistemas del examen. Superar el examen de acceso al TAO es similar en su dificultad, así como los métodos de Snowden con una solución "externa". Hacerlo porque eres el administrador de Sharepoint —y tienes acceso "fácil" a los documentos— es la versión barata del mismo.

Este caso también dice pocas cosas del nivel interno de la NSA, considerando que tuvieron que hacer análisis forense en los ordenadores personales de Snowden para darse cuenta del hackeo, ya cuando había abandonado Hawaii camino a Hong Kong.

Fuente: Hipertextual

23 sep. 2016

Los archivos de Shadow Brokers se filtraron por un error de la NSA

El pasado 15 de agosto se anunciaba un hecho que llamaba la atención en el mundo de la seguridad informática, ya que un grupo de hackers, autodenominado Shadow Brokers, aparecía en escena asegurando que habían logrado obtener una gran cantidad de archivos que pertenecían a la división de espionaje de la Agencia de Seguridad Nacional de los Estados Unidos (NSA), un hecho que desde un inicio parecía sospechoso debido a sus inusuales métodos, pero que al final se acabo confirmando por varias fuentes, entre las que se destacan Edward Snowden y Cisco.

Hoy después de varios días de silencio respecto a este hackeo, en Reuters aseguran haber hablado con cinco personas relacionadas con la investigación que está llevando a cabo la NSA para encontrar el origen de la filtración, donde en un giro "inesperado" de las cosas se está dando a conocer que la misma NSA habría sido la responsable del hackeo debido a un "error" de uno de sus empleados.
El "error" habría sucedió hace tres años

Hay que destacar que desde que se dio a conocer el hackeo, la NSA no se ha pronunciado al respecto para confirmarlo o desmentirlo, por lo que resulta interesante conocer algunos de los detalles de la investigación en curso, la cual se inicio con dos teorías: por un lado se pensaba que se trataba de una nueva filtración de Snowden, y por otro lado se apuntaba a la posible responsabilidad de Rusia, quien habría logrado entrar a los cuarteles generales de la agencia en Fort Meade, Maryland.

Ahora esas dos teorias se han descartado por completo al descubrir que un empleado, quien ya no trabaja para la agencia desde hace algunos años, habría dejado sus credenciales habilitadas en un ordenador remoto durante una misión hace tres años, credenciales que habrían sido encontradas por hackers rusos quienes hasta ahora han entrado a los servidores de la NSA para extraer los archivos y programas de espionaje.

La realidad es que todo suena como guión de película de espías, ya que el responsable del descuido ha reconocido su error, donde no es el único involucrado porque otras personas en esa misión habrían ocultado el error, algo que ahora se descubre es algo habitual en la agencia, porque según la investigación no es la primera vez que alguien en la NSA comete este tipo de descuidos.

Desde que se descubrió el hackeo el pasado agosto, la NSA habría afinado sus sensores para detectar el uso de sus herramientas fuera de suelo estadounidense, lo que también serviría para rastrear a adversarios rusos y chinos quienes suelen realizar ataques cibernéticos con mayor frecuencia; pero hasta el momento no han detectado ningún tipo de actividad por lo que se decidió no informar a los fabricantes estadounidenses que podrían ser afectados por el uso de estas herramientas, como el caso de Cisco y Fortinet.

Dentro de esta investigación aún no hay pruebas contundentes de que Shadow Brokers esté relacionado con el gobierno ruso, hasta el momento todas sus suposiciones sin fundamento, lo que ha llevado a que varios analistas y críticos sospechen de que se trata de una estrategia, muy mal diseñada, de la misma NSA y el gobierno de Obama, lo que hasta cierto punto tendría lógica ya que un grupo de hackers con dichas herramientas habría vendido de forma inmediata y en secreto, no como sucedió donde las herramientas se publicaron para llamar la atención de todo el mundo en búsqueda de un supuesto comprador.

Fuente: Reuters | Xataka

22 sep. 2016

Yahoo admite el robo de datos de 500 millones de cuentas

El gigante de Internet Yahoo acaba de reconocer que ha sufrido un robo masivo de datos que ha afectado a 500 millones de cuentas de usuarios, uno de los mayores hackeos de la historia. Los piratas han robado información personal, como fechas de nacimiento, direcciones de correo electrónico, números de teléfono o contraseñas, según ha manifestado el grupo en un comunicado, en el que añade que los datos bancarios o de las tarjetas de crédito de los usuarios no se vieron afectados.

Yahoo asegura que está trabajando en estrecha coordinación con los servicios de seguridad de Estados Unidos para intentar esclarecer todos los extremos de este robo de información, que fue perpetrado en 2014. Aunque la firma asegura en su comunicado que no hay evidencias de que el ataque y robo haya sido patrocinado por un Estado, la agencia Reuters mantiene que esa es la principal sospecha.

La firma subraya que el intruso ya está fuera de los sistemas de Yahoo y que se han tomado todas las medidas para asegurar de nuevo las cuentas pirateadas. Además, recomienda que los usuarios que no han cambiado sus contraseñas desde 2014 lo hagan tan pronto como sea posible, y que también modifiquen las preguntas y respuestas de seguridad

Este verano Yahoo aseguró que estaba investigando la supuesta incursión de un atacante autodenominada "Peace", que aseguró tener las credenciales privadas de 200 millones de usuarios de los servicios de Yahoo desde 2012. Peace vende los datos personales, cuentas de correo electrónico y contraseñas en la dark web por 3 bitcoins, equivalentes a unos 1.800 dólares (en este momento).

La infiltración puede tener implicaciones en el acuerdo de compra de Yahoo por parte del gigante de las telecomunicaciones Verizon. Esta empresa, que ya controla AOL, pagará 4.830 millones de dólares (el equivalente a 4.396 millones de euros) por el corazón del negocio de la compañía fundada por Jerry Yang y Dave Filo. Marissa Mayer, que asumió el mando hace cuatro años rodeada de una gran fanfarria, fracasó en su intento por resucitarla.

Fuente: El País

Cada cuatro segundos un empleado descarga malware en el servidor de su empresa

Check Point ha hecho públicos sus últimos análisis a través de dos informes: Check Point 2016 Security Report y Exploits at the Endpoint: SANS 2016 Threat Landscape Study.
Para realizar el Check Point 2016 Security Report, los investigadores de Check Point han analizado la actividad de más de 31.000 gateways en todo el mundo. A partir de esa base, han obtenido datos sobre los tipos de malware conocidos y desconocidos al que las empresas se enfrentan, las tendencias en ciberataques, y el impacto del aumento de los dispositivos móviles en las compañías. Además, han conseguido medir las consecuencias los fallos de seguridad y los gastos adicionales que suponen, más allá de los costes de reparación.

El estudio SANS 2016 Threat Landscape Study se ha realizado conjuntamente con el grupo de educación e investigación sobre ciberseguridad SANS Institute. En él se ha entrevistado a más de 300 profesionales TI y de seguridad de todo el mundo. Estas encuestas han servido para conocer qué amenazas se encuentran las empresas en su día a día, cuándo y cómo se convierten en incidentes de seguridad, qué tipo de ataques tienen un mayor impacto y los retos más importantes a los que se enfrentan en lo que respecta a la ciberseguridad.

“Cada minuto se crean miles de millones de nuevas conexiones, lo que hace de nuestro mundo un lugar más conectado y global. Las nuevas tendencias como el cloud, la movilidad y el internet de las cosas cambian la forma en la que proveemos, consumimos y segurizamos la tecnología”, explica Amnon Bar-Lev, presidente de Check Point. “Cada día hay una mayor cantidad de malware inmune a las técnicas tradicionales de seguridad. Bajo esta premisa, ser un líder en ciberseguridad requiere estar un paso por delante de aquello que no se puede ver, conocer y controlar para poder prevenir los ataques antes de que sucedan.”

Los dos informes – Check Point Security Report 2016 y SANS 2016 Threat Landscape Study – presentan un amplio punto de vista acerca del ecosistema de amenazas en su totalidad – desde la red hasta el endpoint. Algunos de los descubrimientos clave de ambos estudios son:
  • El malware desconocido continúa creciendo y evolucionando de forma exponencial. En comparación con el año pasado, los investigadores han descubierto nueve veces más malware desconocido que ataca a las empresas. Uno de los principales motivos son los empleados, que descargan un nuevo malware desconocido cada cuatro segundos. En total, se han descubierto cerca de 12 millones de nuevas variantes de malware al mes. En los dos últimos años se han descubierto más nuevas amenazas que en los diez anteriores
  • La seguridad está rezagada en lo que respecta a los dispositivos móviles. Los smartphones y las tablets representan el 60% del tiempo invertido en los medios digitales. Los dispositivos móviles en la empresa representan tanto un punto de acceso como un milagro en la productividad corporativa. Uno de cada cinco empleados es responsable involuntario de un ataque a través de malware móvil o de una conexión Wi-Fi maliciosa
  • Los endpoints son el origen de la mayoría de las amenazas. Según las empresas consultadas, los endpoints fueron la principal causa de brechas de seguridad. Los cibercriminales atacan el email en un 75% de los casos. Por otro lado, el 39% de los ataques a los endpoints ha traspasado los firewalls de las redes corporativas y el 85% de las amenazas se descubren una vez han penetrado en la empresa.
Ambos informes coinciden en destacar que la base consiste en construir la mejor arquitectura de seguridad. Las empresas tienen que enfrentarse a las complejas amenazas presentes y futuras. Los investigadores de Check Point han encontrado un denominador común en la prevención de amenazas avanzadas: la protección de dispositivos móviles y la segmentación de redes para monitorizarlas exhaustivamente.

Fuente: DiarioTI

Error de tranferencia de zonas permite conocer los 28 sitios de Corea del Norte

TL;DR Project ha conseguido acceder a la red de internet de Corea del Norte, uno de los países más herméticos del mundo, debido a un error en sus DNS. La información publicada en GitHub dice que los norcoreanos solo cuentan con 28 sitios web a los que acceder en internet.

De ellos, uno es una página de recetas de cocina, otra es la de la agencia de noticias oficial del país y otra parece una red social. De esas 28 páginas web, hay muchas a las que nadie ha conseguido acceder.
En el informe se explica que "uno de los servidores de primer nivel de Corea del Norte se ha configurado accidentalmente para permitir transferencias globales". Esta transferencia es un mecanismo para replicar bases de datos a través de un conjunto de servidores DNS.

El fallo fue detectado por uno de los mecanismos de la plataforma que se dedica a tratar las transferencias de zona. "Esto nos da una mejor idea de los dominios de Corea del Norte y DNS de nivel superior", concluye el escrito. Junto al comunicado, GitHub ofrece un listado completo de los 28 sitios web que existen en Corea del Norte.

Fuente: El País

21 sep. 2016

Logran controlar un auto de Tesla Motors de forma remota

Con modelos con mayor conectividad, los autos pasaron a formar parte del universo de desarrollos que son susceptibles de un ataque informático. Eso fue lo que demostraron un grupo de investigadores chinos del Keen Security Lab, que forman parte del gigante tecnológico Tencent, tras analizar un Tesla Model S, uno de los modelos eléctricos de la automotriz estadounidense liderada por Elon Musk.
En las pruebas realizadas los investigadores lograron controlar de forma remota varias de las funciones del Model S, tales como activar el limpiaparabrisas, ajustar los espejos retrovisores, abrir el baúl, intervenir en el sistema de entretenimiento e información del vehículo o activar los frenos. Las vulnerabilidades detectadas podían darle al atacante la posibilidad de acceder a todas estas funciones en todos los estados del vehículo, tanto estacionado como en movimiento, según el reporte publicado en el blog oficial de Keen Security Lab (video).

Las fallas en los sistemas fueron detectadas luego de analizar durante tres meses al vehículo, y fueron reportadas al equipo de seguridad de Tesla Motors. La compañía confirmó las vulnerabilidades, pero dijo que el riesgo que pueden tener los usuarios del Model S son muy bajos, ya que requiere que el auto se encuentre cerca del acceso wi-fi malicioso. "Eso no impide que actuemos de forma rápida ante este tipo de incidentes, y nos comprometemos con la comunidad de investigadores de seguridad informática a corregir las vulnerabilidades en nuestros sistemas", dijo la compañía en un comunicado publicado en el sitio The Verge.

En el artículo se indicó que el Keen Lab comunicó las vulnerabilidades encontradas a Tesla, cuyo equipo de Seguridad de Producto confirmó las fallas, y ambos organismos trabajaron en solucionarlas para "garantizar la seguridad de manejo de los usuarios" de la empresa estadounidense.

De forma previa, las potenciales vulnerabilidades de los vehículos conectados fue reportado hace un año por la revista Wired, cuando un Jeep Cherokee pudo ser controlado de forma remota. Los ingenieros informáticos lograron controlar el aire acondicionado de forma remota, e incluso pudieron desactivar la transmisión y el acelerador en plena marcha.

Fuente: La Nación

Octava lección del MOOC Introducción a la seguridad informática y criptografía

Con fecha 21 de septiembre de 2016 se ha publicado la octava lección del MOOC Introducción a la seguridad informática y criptografía clásica, de título Algoritmos de cifra por sustitución
monoalfabética correspondiente al Tema IV: Algoritmos de Cifra Clásica.

URL Lección 8: http://www.criptored.upm.es/crypt4you/temas/criptografiaclasica/leccion8.html

En esta octava lección del MOOC, iniciamos el estudio de los sistemas de cifra por sustitución. Como ya sabes, son los que han tenido un mayor desarrollo en la historia de la criptografía clásica. La lección 8 está dedicada a la cifra monográmica (ciframos letra a letra) y monoalfabética (con un único alfabeto de cifrado) y dejaremos para la lección 9 la cifra monográmica polialfabética. Estudiaremos las operaciones de cifrado, descifrado y criptoanálisis de sistemas de cifra por desplazamiento puro, entre ellos el famoso sistema de cifra del César, sistemas de cifra por decimación pura y sistemas de cifra por multiplicación y adición, más conocida como cifra afín. Vas a comprobar que, además de cifrar y descifrar, la acción de un ataque elegante al criptograma o criptoanálisis basado en la redundancia del lenguaje, será muy sencilla.

En esta lección vamos a utilizar el software para prácticas de criptografía Criptoclásicos v2.1, desarrollado por D. Juan Contreras Rubio. Por favor, comprueba desde este enlace de descarga que tienes instalada la última versión, dado que se han hecho algunas actualizaciones.

La lección tiene como elementos multimedia de apoyo las píldoras formativas Thot 16 ¿Qué es la cifra del César?, Thot 17 ¿Qué es la cifra afín? y Thot 18 ¿Cómo se ataca la cifra por sustitución monoalfabética?
Dr. Jorge Ramió, Dr. Alfonso Muñoz
Directores del MOOC Crypt4you

"Los análisis de Big Data refuerzan la ciberseguridad preventiva" [Ponemon Institute]

La investigación, impulsada por Cloudera, revela que los profesionales de seguridad TI quieren herramientas que permitan análisis avanzados para detectar amenazas persistentes internas y avanzadas.

Ponemon Institute ha hecho públicos los resultados de su primer estudio donde aborda la forma en que las organizaciones utilizan los análisis de big data para reforzar sus posturas de ciberseguridad. Estos resultados están basados en una encuesta en la que participaron 592 responsables de seguridad TI de empresas establecidas en Estados Unidos de diversos sectores. Esta investigación ha sido impulsada por Cloudera, proveedor de la plataforma de análisis y gestión de datos construida sobre ApacheTM Hadoop y de tecnologías open source.

El informe, Big Data Cybersecurity Analytics Research Report [PDF], proporciona numerosas conclusiones que los profesionales de seguridad pueden utilizar para comprender por qué sus compañeros de profesión consideran esenciales los análisis big data para mantener sus organizaciones seguras frente a una gran variedad de ataques y amenazas. Algunas de las conclusiones más significativas que han comentado los responsables son:
  • El 72 por ciento de los encuestados afirma que los análisis de big data han sido importantes para detectar ciberamenazas avanzadas.
  • El 72 por ciento sostiene que es imposible adelantarse a las amenazas utilizando análisis de big data con tecnologías tradicionales.
  • El 65 por ciento de los encuestados confirman que los análisis de big data son esenciales para crear y mantener medidas potentes de ciberseguridad.
"Los datos en los entornos empresariales contienen información de valor que puede ser utilizada para identificar y mitigar amenazas, pero en muchos casos es simplemente demasiado abrumador para extrapolarlo a algo útil", comenta el Dr. Larry Ponemon, Presidente y Fundador de Ponemon Institute. "Este estudio, el primero de su tipo, muestra que las organizaciones tienen la información necesaria para luchar contra las amenazas avanzadas y que cuando se usan los datos junto con las herramientas analíticas adecuadas, puede reducirse el riesgo en sus organizaciones".

APT, la detección de amenazas internas es la máxima prioridad

Según los encuestados, el machine learning y el análisis de comportamiento de usuario (UBA, por sus siglas en inglés) se encuentran en los primeros puestos en una clasificación de las características de la tecnología más prometedora de análisis de big data que favorece la ciberseguridad. Además, los pioneros de la ciberseguridad que utilizan análisis de big data han descubierto que tienen más seguridad en su habilidad para detectar malware o ransomware avanzado, dispositivos comprometidos (por ejemplo, robos de credenciales), ataques de día cero y amenazas maliciosas internas.

"Hoy en día, la información es el activo más valioso de una empresa. Por eso, la industria debe empezar a reconocer que las amenazas y los ataques son los problemas de datos y análisis más importantes que existen", afirma Rocky DeStefano, Cybersecurity SME de Cloudera. "Cuando las empresas tienen el poder de visualizar al enemigo, son capaces de actuar rápidamente para identificar, contener y eliminar problemas antes de que se conviertan en grandes brechas de seguridad".

Fuente: DiaioTI

20 sep. 2016

Robo de información: los qué, cómo y quiénes de las fugas de datos

En la mayoría de las organizaciones se producen fugas de datos. A veces los responsables son personas que pertenecen a la empresa, pero en su mayor parte los autores de los robos son agentes externos, y para sacar la información de la empresa se emplean múltiples formas y diversos canales. Las organizaciones intentan detener este flujo, cada una por sus motivos y con mayor o menor éxito.
Intel Security encargó el estudio Intel Security 2016 Data Protection Benchmark Study (Estudio comparativo de protección de datos, 2016) para conocer mejor a las personas que se ocultan detrás de estos robos, los tipos de datos que roban y las vías que emplean para su filtración. En este tema principal, analizamos los datos del estudio y exponemos nuestras conclusiones. Entre otras cosas, hemos observado lo siguiente:
  • El intervalo entre una fuga de datos y su detección es cada vez mayor.
  • Los proveedores de servicios sanitarios y los fabricantes son presas fáciles.
  • El método habitual de prevención de pérdida de datos es cada vez más ineficaz contra los nuevos objetivos de robo.
  • La mayoría de las empresas no vigila el segundo método más frecuente de fuga de datos.
  • La visibilidad es crucial.
Leer informe completo en Mcafee