23/11/2014

Plugins y Themes de CMS con puertas traseras

Cuando se descarga un programa pirateado se corre el riesgo de terminar infectando la computadora sin saberlo, pues es normal que vengan acompañados de regalos indeseados. Algo similar ocurre a nivel web con los llamados Nulled Scripts, estos son aplicaciones, themes y plugins modificados (pirateados) que no incluyen las limitaciones o licencias de los autores originales, por lo cual se pueden utilizar de forma gratuita.

Generalmente los webmasters que los utilizan saben que pueden venir con enlaces ocultos, presentar alguna vulnerabilidad o generar algún tipo de problema. Pero aún así son muy populares.

La empresa de seguridad Fox-IT ha publicado un informe en PDF con los resultados de una investigación que vienen realizando desde hace algún tiempo. Se encontraron con miles de themes y plugins modificados para WordPress, Joomla y Drupal que son utilizados en campañas de Black Hat SEO.

Todo comenzó con el análisis de un servidor que presentaba un tráfico sospechoso, descartando algunas de las posibles razones descubrieron rápidamente que se debía a un plugin de Joomla que el administrador del sitio había instalado recientemente.

El plugin venía con una puerta trasera y no se había descargado desde su fuente original, sino desde un sitio de terceros que ofrecía (y ofrece porque aún está online) gratuitamente todo tipo de themes y plugins modificados (nulled).

Fuente: Spam Loco

Rompiendo Google... en dos empresas

La noticia original proviene de la filtración de un borrador de la propuesta al Financial Times, Google break-up emerges from Brussels, y a estas horas está recogida ya en todas partes: una propuesta del Parlamento Europeo que parece tener el apoyo tanto del grupo popular como del socialista, y que propone una separación obligatoria de Google bajo la ley anti-monopolio, en dos compañías que supuestamente recogerían sus actividades de búsqueda en un lado, y comerciales en el otro. Los mejores resúmenes y opiniones los he encontrado en GigaOM, European Parliament reportedly wants Google to be broken up, y en sentido contrario, en Techdirt, EU Parliament wants to break up Google… because it’s big & American or something.

El estudio de tan drástica medida tiene bastante lógica si consideramos la evolución del Parlamento Europeo desde las últimas elecciones: frente a la postura negociadora del español Joaquín Almunia, que redundó en tres intentos de acuerdo con la compañía que fueron subsiguientemente rechazados, ha emergido una línea mucho más dura protagonizada originalmente por parlamentarios alemanes que solicita a la Comisión Europea medidas mucho más contundentes frente a una Google que considera una amenaza. La opinión de la sucesora de Almunia en la comisaría de Competencia, la danesa Margrethe Vestager era antes de acceder a su cargo que la ruptura de Google no podía llevar a cabo de acuerdo con la legislación vigente, de modo que la postura parece ser buscar un cambio legislativo que la permita.

La ruptura forzada en función del abuso de las leyes anti-monopolio es una medida extrema, que ha sido tomada en escasas ocasiones. La más conocida fue, sin duda, la de AT&T en las Baby-Bells en 1982. Con posterioridad, se han propuesto otras, como la de IBM o la de Microsoft, que nunca llegaron a tener efecto, todas ellas en los Estados Unidos. El acuerdo general parece ser el de plantear la medida cuando existe un daño claro a los consumidores, un supuesto que resultaría como mínimo complicado plantear en este caso. El dominio de un mercado, que en el caso de Google en la Unión Europea llega a porcentajes superiores al 90%, no es por sí solo una razón para plantear que existe un abuso de posición monopolística: las leyes no deben penalizar el hecho de tener un buen producto que es preferido por los consumidores, sino la existencia de estrategias destinadas a reducir la oferta de productos competidores mediante tácticas que puedan ser consideradas anti-competitivas. En principio, si puede ponerse fin al uso de ese tipo de tácticas, que en el caso de Google podrían efectivamente existir, no debería plantearse una medida tan drástica. Pero en el caso de la Unión Europea, sencillamente, todo puede pasar. Habrá que estar atentos.

Fuente: Enrique Dans

22/11/2014

Google publica Chrome 39 y corrige 42 vulnerabilidades

Google ya no sorprende con sus actualizaciones de Chrome, prácticamente todos los meses nos ofrecen una nueva versión. En octubre publicaba Chrome 38, y poco más de un mes después anuncia la nueva versión 39 del navegador. Se publica la versión 39.0.2171.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 42 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido el soporte para 64 bits en Mac, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 42 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 42 vulnerabilidades, solo se facilita información de 13 de ellas.

Una vulnerabilidad de falsificación de la barra de direcciones (CVE-2014-7899), un error que permite la navegación a los intentos que no tienen la categoría de navegable (CVE-2014-7905), una vulnerabilidad de doble liberación en Flash (CVE-2014-0574) y otro problema por memoria sin inicializar en Skia (CVE-2014-7909).

Otras vulnerabilidades están relacionadas con el uso después de liberar memoria en pdfium (CVE-2014-7900 y CVE-2014-7902), en plugins pepper (CVE-2014-7906) y en blink (CVE-2014-7907). Dos vulnerabilidades por desbordamiento de entero en pdfium (CVE-2014-7901) y en media (CVE-2014-7908). Y vulnerabilidades de desbordamiento de búfer en pdfium (CVE-2014-7903) y en Skia (CVE-2014-7904).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-7910). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 41.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Fuente: Hispasec

Actualización de seguridad en Wordpress 4.0.1

Se acaba de liberar una actualización importante de seguridad de Wordpress 4.0.1. Todas las instalaciones que soporten actualizaciones automáticas serán actualizadas a la versión inmediatamente superior (3.9.2 a 3.9.3, 3.8.4 a 3.8.5 y 3.7.4 a 3.7.5) pero a pesar de todo se recomienda encarecidamente que se actualice a la última y más reciente versión 4.0.1; la nueva versión corrige además 23 bugs de la versión 4.0 y algunas mejoras como una mejor validación de los datos EXIF de las imágenes subidas.

En cuanto a los problemas de seguridad hay tres de tipo Cross-site Scripting que podrían comprometer un sitio web vulnerable, engañar a un usuario para que cambie la contraseña o provocar una denegación de servicio.

Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel e insistimos en la importancia de actualizar a la mayor brevedad.

Más información en la web oficial, lista de tickets y el changelog.

Fuente: Daboweb

NotCompatible: botnet para Android

Una versión nueva, más sofisticada y más sigilosa del troyano NotCompatible para Android [PDF], sigue reforzando una de las más longevas y avanzadas redes de bots móviles que jamás haya existido (desde mediados de 2012).

Haciéndose pasar por un "parche de seguridad" y distribuido a las víctimas a través de descargas no autorizadas de sitios web comprometidos y correos electrónicos spam desde cuentas comprometidas, NotCompatible.C muestra muchos cambios en comparación con las variantes anteriores.

El malware sirve como un proxy, y la red de bots (que se cree disponible para renta) es utilizada para campañas de spam, compra masiva de boletos, ataques de fuerza bruta (principalmente contra sitios WordPress) y para acceder a shells C99.

"Los operadores de malware para móviles no han hecho mucho para proteger su infraestructura o sus comunicaciones. NotCompatible.C, sin embargo, emplea una arquitectura de servidor de dos niveles", Tim Strazzere de Lookout explica la resistencia de la red de bots:
"El servidor de comando y control de la puerta de enlace utiliza un enfoque de balance de carga en el que los dispositivos infectados con direcciones IP de distintas regiones se filtran y segmentan geográficamente, sólo los clientes autenticados pueden conectarse. Este modelo no sólo brinda eficiencia de uso para el cliente, nuestra investigación sugiere que también ayuda en la prevención del descubrimiento. Tenemos la sospecha de que la puerta de enlace C2 hace más difícil para los sistemas de análisis de comportamiento e investigadores localizarlos a través del tráfico."
Además, todas las comunicaciones entre los clientes y los servidores de comando y control son cifradas y virtualmente indistinguibles de tráfico cifrado legítimo, señaló.

El dispositivo recibe un archivo de configuración desde el servidor de comando y control el cual incluye apuntadores a los demás servidores que se utilizan para controlar la botnet, pero también a otros clientes infectados. De esta manera puede ponerse en contacto con éstos últimos en caso de que su comunicación con los servidores de la lista haya sido bloqueada o impedida (por ejemplo, los servidores se han dado de baja por aplicación de la ley).

Además de ser una molestia obvia y un peligro para los usuarios de teléfonos regulares, NotCompatible también representa una amenaza para las redes corporativas.

"Creemos que NotCompatible ya está presente en muchas redes corporativas ya que hemos observado, a través de la base de usuarios de Lookout, cientos de redes corporativas con dispositivos que se han encontrado con NotCompatible" compartió Strazzere.

A pesar de que aún no se ha descubierto si se utiliza para atacar a redes protegidas, un dispositivo infectado con el malware que se conecte a la red de alguna organización, puede ser utilizado para enumerar equipos vulnerables dentro de la red, aprovechar vulnerabilidades, búsqueda de datos expuestos y otros.

Fuente: UNAM

21/11/2014

¿Los gobiernos te vigilan? Descúbrelo con Detekt

Después de declaraciones tan contundentes como las que suele hacer Edward Snowden, y de datos tan significativos como los que apuntan a que los gobiernos son los responsables del 87% del ciberespionaje, a más de uno se le habrá pasado por la cabeza la idea de que su ordenador también podría estar infectado con algún tipo de spyware gubernamental.

Para sacarnos de dudas ha sido lanzado Detekt, un nuevo software gratuito y de código abierto que protegerá nuestros equipos de los programas de spyware más utilizados por las agencias gubernamentales. La aplicación, desarrollada por el investigador de seguridad alemán Claudio Guarnieri, ha sido lanzada en asociación con Amnistía Internacional y diferentes organizaciones pro derechos civiles y de protección al consumidor.

La función de Detekt es la de escanear y analizar nuestros equipos para detectar si estamos infectados con alguno de los programas de ciberespionaje más utilizados por los gobiernos. Esta herramienta será de especial utilidad para todos los periodistas y activistas que, según Amnistía Internacional, son espiados en docenas de países alrededor del mundo.

Algunos de estos malwares espía, como el programa FinSpy desarrollado por la empresa FinFisher, son capaces de leer nuestros correos electrónicos, monitorizar nuestras conversaciones por Skype, extraer archivos de nuestros discos duros o sacarnos una foto utilizando la cámara web de nuestro ordenador.

Amnistía Internacional avisa de que lo más normal es que los desarrolladores de spyware reaccionen al lanzamiento de este programa, y que actualicen sus aplicaciones para evitar que sean detectadas. Por eso la asociación avisa de que, aunque los análisis de Detekt en nuestro equipo den negativo, podríamos igualmente estar infectados.

Fuente: GenBeta y Amnistía Internacional

Arrestan a los creadores de WireLurker, el malware para Mac OS X

Tres individuos han sido arrestados en China, sospechosos de haber estado involucrados en la creación y distribución de WireLurker, un malware que apunta a usuarios de Apple descubierto a principios de mes.
Los sospechosos, identificados por sus apellidos Wang, Lee y Chen, según reporta Security Week, quedaron bajo custodia el pasado jueves 13 de noviembre. Así lo confirmaron autoridades de Beijing.

WireLurker fue la primera amenaza conocida capaz de infectar iPhones que no han sido liberados, es decir, que no tienen proceso de jailbreak. ESET la detecta como OSX/WireLurker.A y luego de su análisis, se determinó que infecta usuarios a través de la tienda china de aplicaciones de terceros para Mac denominada Maiyadi. Una vez en la iMac o Macbook, espera que se produzca una conexión vía USB de un iPhone o iPad, y en cuanto se conecte el dispositivo al equipo, WireLurker se propagará al dispositivo.

Palo Alto Networks informó que también se ha encontrado una versión para Windows de este malware, que ESET detecta como Win32/WireLurker.A.

Según investigadores de la compañía, se identificaron 467 aplicaciones maliciosas, que para mediados de octubre habían sido descargadas cerca de 350 mil veces por usuarios chinos de la tienda Maiyadi. Una vez que, vía conexión USB, pasa (por ejemplo) de una Mac a un iPhone, WireLurker instala apps maliciosas capaces de robar información de los dispositivos, incluso en aquellos sin jailbreak. Esto es posible ya que los atacantes usaron certificados corporativos, es decir, aprovecharon la técnica de Apple que permite a las empresas instalar software especial en los dispositivos de sus empleados.

Según afirma la Oficina Municipal de Seguridad Pública de Beijing en su cuenta de Sina Weibo, los tres sospechosos conspiraron para desarrollar el malware en busca de ganancias ilegales, y luego de la detención, el sitio usado para distribuir el malware ha sido dado de baja.

Nuevamente, vemos cómo esfuerzos policiales y de autoridades de aplicación de la ley siguen esforzándose para desbaratar amenazas informáticas y dar de baja redes criminales. Hace poco, vimos cómo el FBI, Europol y el Departamento de Seguridad Nacional de los Estados Unidos, en conjunto con otros, ejecutaron un operativo en el que dieron de baja el mercado ilegal Silk Road 2.

Fuente: WeLiveSecurity

Firing Range: herramienta de Google para encontrar XSS

Google lanzó una herramienta de prueba de seguridad llamada Firing Range, destinada a analizar la eficacia de las herramientas de analisis Web y evaluarlas con una amplia gama de pruebas contra Cross-site Scripting (XSS) y algunas otras vulnerabilidades web muy comunes.

Firing Range proporciona un entorno de prueba muy básico para probar la eficacia de las herramientas de detección de vulnerabilidad XSS. Según Google, el 70 por ciento de los errores encontrados por su programa de recompensa son defectos relacionados a este tipo de vulnerabilidades. Además de las vulnerabilidades XSS, el nuevo escáner también analiza otros tipos de vulnerabilidades incluyendo Clickjacking, inyecciones en Flash, contenido de HTML/JS mixto y Cross-origin Resource Sharing.

La herramienta fue desarrollada por Google con la ayuda de los investigadores de seguridad del Politecnico di Milano. La idea es construir una herramienta en desarrollo continuo que permita agregar a mayor cantidad de errores posibles.


En la Google Test Automation Conference (GTAC), la empresa señaló que detectar vulnerabilidades XSS a mano es como beber del océano y según indican, la diferencia con otras herramientas está en la capacidad de automatización, lo que hace que sea más productiva su utilización: Firing Range se basa en una colección de patrones de fallos extraídos de vulnerabilidades encontradas In-the-Wild y observadas por Google.

Actualmente Google se encuentra desarrollando una herramienta de auditoría de vulnerabilidades para uso interno (a la que llaman Inquisition) para la cual necesitaban casos reales de vulnerabilidades para probar su eficacia.

Firing Range es una aplicación Java construida sobre Google App Engine y su código está disponible Github y se puede utilizar desde public-firing-range.appspot.com.

Fuente: The Hacker News

20/11/2014

Operación Toohash: ataque dirigido a empresas

Los expertos de G Data Security Labs han descubierto una campaña de spyware: TooHash [PDF], un ataque cibernético dirigido a empresas y organismos. El objetivo del ataque es robar información sensible de las empresas elegidas como blanco. Para ello usan un "lanza-phishing", un tipo refinado de phishing con un objetivo claro.

La mayoría de los archivos descubiertos provienen de Taiwán. A partir del análisis de caracteres, los expertos en seguridad creen que el spyware también ha sido utilizado en otros objetivos en diversas regiones de China, ya que parte de los documentos en cuestión están escritos en chino simplificado, el cual se habla principalmente en China continental. Las soluciones de G DATA detectan el spyware como Win32.Trojan.Cohhoc.A y Win32.Trojan.DirectsX.A.

"El malware adjunto en el correo aprovecha específicamente una vulnerabilidad de Microsoft Office y descarga una herramienta de acceso remoto en el equipo comprometido", explica Eddy Willems, experto en ciberseguridad en G DATA. "En esta campaña hemos identificado dos tipos diferentes de malware. Ambos contienen componentes de espionaje cibernético verificados, tales como código de ejecución automática, listado de archivos, robo de datos, etc."

Durante su análisis, los expertos de G Data Security Labs han encontrado cerca de 75 servidores de control que son usados para administrar los equipos infectados. La mayoría de los servidores están localizados en Hong Kong y Estados Unidos.

"Sorprendentemente, no es difícil encontrar comprador para estos datos. Competidores o incluso servicios de inteligencia pueden pagar por ellos sin demasiados escrúpulos. La pérdida de datos puede suponer la quiebra comercial y financiera de cualquier empresa", concluye Willems.

Fuente: Muy Seguridad

Libro de Hugo Scolnik: Qué es la seguridad informática

Nuevo libro de Hugo Scolnik
Prácticamente no pasa un día sin que nos enteremos de noticias sobre una singular batalla global que abarca tanto a gobiernos, como a empresas e incluso individuos. Desde filtraciones de programas de vigilancia masiva por Internet, hasta la difusión de fotos y videos íntimos de celebridades, tomados de sitios de almacenamiento on line supuestamente seguros, escandalizan y ponen de relieve la vulnerabilidad de los usuarios del paraíso digital que construimos y al que estamos transfiriendo nuestra vida en forma de datos.

Porque creíamos en la inviolabilidad de nuestros dispositivos, la seguridad informática está cada vez más en el centro de las preocupaciones de todos. "Se vaticina que para el final de esta década existirán unos 22.000.000.000 de dispositivos conectados a Internet. Desde el amanecer de la civilización hasta 2003, se crearon más de 5 Exabytes (equivalentes a 5 x 1018 caracteres) de información. En la actualidad, esta cantidad se está generando cada dos días", escribe Hugo Scolnik.

Estos fenómenos son una consecuencia natural del desarrollo tecnológico, que implica grandes avances en el acceso a la información, y mejoras en el sistema productivo y la educación, pero al mismo tiempo presentan enormes desafíos a la privacidad, protección de datos personales, y múltiples posibilidades de delitos informáticos.

El libro Hugo Scolnik: Qué es la seguridad informática es revelador e imprescindible y nos permite entrever la novela de piratas y espías que se desarrolla tras bambalinas, explica cuáles son los artilugios que se emplean y, especialmente importante, ofrece medidas prácticas para protegernos.

Sobre el autor

Hugo D. Scolnik es Licenciado en Ciencias Matemáticas de la Universidad de Buenos Aires (UBA) y doctor en Matemática por la Universidad de Zurich. Es también el creador del Departamento de Computación (DC) de la Facultad de Ciencias Exactas de la UBA. Actualmente se desempeña como profesor consulto del DC y consultor especialista en criptografía. Además es titular de la Comisión Coordinadora de la Maestría en Seguridad Informática de la UBA. Es referente indiscutido de la computación e Internet en Argentina y Latinoamérica.

Fuente: UBA-Departamento de Computación