21 ene. 2018

Skyfall y Solace, ¿primeros ataques basados en Meltdown y Spectre?

Las peores vulnerabilidades del año, incluso probablemente de la historia de la informática, han sido Meltdown y Spectre, dos fallos de seguridad presentes en la arquitectura de prácticamente todos los procesadores modernos (Intel, AMD y ARM) que no solo han puesto en jaque la seguridad de todos los sistemas informáticos, sino que incluso su solución implica una pérdida en el rendimiento de los procesadores, especialmente en servidores con grandes cantidades de peticiones I/O simultáneas.
Las vulnerabilidades Meltdown y Spectre suponen un grave riesgo para la seguridad de los sistemas, sin embargo, hasta el momento son teóricas ya que, aunque demostradas, no se habían conseguido explotar, hasta ahora.

Siguiendo con nombres de películas de James Bond, hace algunas horas ha aparecido una nueva página web en la que se habla de Skyfall y Solace, dos nuevos ataques informáticos, de los que aún no se ha revelado información por motivos de seguridad, que se explotan a través de las vulnerabilidades de los procesadores de Intel, AMD y ARM.

Skyfall and Solace

More vulnerabilities in modern computers.

Following the recent release of the Meltdown and Spectre vulnerabilities, CVE-2017-5175, CVE-2017-5753 and CVE-2017-5754, there has been considerable speculation as to whether all the issues described can be fully mitigated.
Skyfall and Solace are two speculative attacks based on the work highlighted by Meltdown and Spectre.

Full details are still under embargo and will be published soon when chip manufacturers and Operating System vendors have prepared patches.

Watch this space...

Como podemos ver en dicha página web por el momento, no se sabe nada al respecto. Tan pronto como se levante el "embargo" podremos conocer más datos sobre estos nuevos ataques informáticos, datos que se publicarán en la misma página web que os hemos enlazado antes y que, por supuesto, os explicaremos con detalle aquí.

Al margen de que estos dos nuevos ataques parecen un scam/hoax, tarde o temprano apareceran nuevas vulnerabilidades o se logrará explotarlas más fácilmente, por ejemplo a través de JavaScript con este simple código disponible en línea.

La amenaza es real, y por lo tanto, es vital corregir Meltdown y Spectre para evitar daños mayores. Poco a poco, los parches van llegando a todos los sistemas operativos (eso sí, no libres de polémica en cuanto a la pérdida de rendimiento) de manera que los usuarios puedan tener una primera capa de protección contra estos fallos.

Sin embargo, aún pasará bastante tiempo hasta que todos los parches lleguen a los usuarios de forma definitiva, no se pierda rendimiento y todo vuelva a ser como antes, quedando Meltdown y Spectre como dos anécdotas ya que, como bien sabemos, al igual que en ocasiones anteriores, al final seguiremos sin aprender nada de todo esto.

Por su lado, hace unas horas, Intel ha admitido que incluso sus procesadores más nuevos están teniendo problemas de reinicios imprevistos cuando se les aplica estos parches.

Fuente: RedesZone

20 ene. 2018

Cómo funcionan los clonadores de tarjetas en cajeros automáticos

Hoy nos vamos a centrar en el lado tecnológico de los clonadores de tarjetas. ¿Cómo funciona esa tecnología que se queda con todos los datos de nuestra tarjeta para dejarnos sin saldo en nuestras cuentas o con importantes deudas en cuestión de segundos? Conozcamos a fondo cómo funciona y precauciones que podemos tomar para no caer en la trampa.

Skimming, tu tarjeta ya no es segura

La clonación de tarjetas y el robo de los datos que contienen sus bandas magnéticas, skimming en su término en inglés, se produce en muchas ocasiones en cajeros automáticos, aunque también han salido a la luz casos de trabajadores de establecimientos que contaban con un segundo lector de tarjetas además del propio datáfono de la tienda para realizar dicho robo de datos.

Los cajeros preferidos por los delincuentes son los no situados en las propias oficinas bancarias, ya que éstos suelen ser los más vigilados. Los malhecheros prefieren cajeros callejeros, cuanto menos frecuentados mejor, para situar en el lector de tarjetas un segundo lector camuflado bajo la misma apariencia que el original, que será el que posteriormente recuperarán para obtener toda la información de las tarjetas que por él hayan pasado.

Además, si lo que quiere el delincuente es clonar esa tarjeta, crearse una a la semejanza de la original pero con otro nombre para hacer compras en comercios físicos, también necesitan el PIN de la tarjeta, información no contenida en ella. Para ello el método más empleado es el de colocar una cámara escondida que grabe como el usuario teclea su PIN en el cajero.

Cómo se obtienen los datos de las tarjetas

Todo lo relatado hasta ahora es relativamente sencillo, basta con adentrarse en las profundidades de internet para empezar a hacer el mal. En la deep web, y en webs de acceso fácil, se pueden obtener lectores que se asemejan a los empleados por numerosos bancos en sus cajeros, teclados también muy similares o las cámaras para grabar como el usuario introduce su número PIN.

Una vez la tarjeta del usuario ha pasado por lector el skimmer ya tiene gran parte de la fechoría completada, ya que la información de la tarjeta está ahí, sin encriptaciones que superar. La banda magnética, presente en todo tipo de tarjetas bancarias a pesar de la llegada del chip y las tarjetas contactless, tiene tres pistas en las que según la ISO 7811 se graba toda la información necesaria.
Datos
Imagen de BrushIndustries
Es en la primera pista donde se concentra toda la información que un skimmer ansía. Los primeros caracteres son los que contienen el número de la tarjeta. Tras un primer separador se encuentra el nombre completo del titular de la misma y de seguido se encuentra la fecha de caducidad y el último dato relevante para hacer compras por internet con cualquier tarjeta, código de seguridad o CVV.

Todo el material que usan los skimmers es material lícito pensado para otros usos pero que éstos usan para cometer delitos

Con esa información, el skimmer ya tiene todo lo necesario para hacer el mal, ya sea fabricándose su propia tarjeta física con dichos datos (aunque necesitaría el PIN para hacer compras presenciales), usando los datos conseguidos para realizar compras online o lo que hacen muchos de estos delincuentes, vendiendo los datos a otros usuarios interesados en la deep web.

Y si alguien piensa que trasladar los datos obtenidos de una tarjeta de crédito a una nueva tarjeta es un paso complicado en blanco se confunde. En internet es sencillo comprar el dispositivo necesario para ello, ya que el mismo dispositivo se puede requerir para fines totalmente lícitos como crear tarjetas de acceso. Ir con una tarjeta en blanco a un comercio y comprar con ella, por mucho que contenga datos, sería extraño, pero tampoco es complicado estampar una tarjeta para que aparente ser una tarjeta bancaria más y no levantar sospechas.
Minicámara
Igualmente, si el skimmer quiere usar la tarjeta para compras en tiendas físicas necesitará el PIN. Para ello son capaces de esconder diminutas cámaras en distintos elementos que asemejan pertenecer al propio cajero para pasar desapercibidas. De nuevo, dar con una cámara para dicha función que permiten grabar vídeo a una tarjeta microSD, con una autonomía de hasta 10 horas, es sencillo, no siendo cámaras dedicadas para ello exclusivamente. También las hay incluso con conectividad WiFi, por no hablar de aquellos delincuentes que usaron un iPod Nano.

¿Un problema resuelto con las nuevas tarjetas?

Actualmente, en muchos países, es difícil encontrarse con tarjetas bancarias que no cuenten a la vez con banda magnética y chip, cuando no son también contactless. El problema para dejar atrás la banda magnética, que como hemos visto es un elemento totalmente inseguro, es que para ello todo el mundo tiene que adaptar sus cajeros, por el lado de los bancos, sus tarjetas y los datáfonos, por el lado de los comercios, para poder leer los chips.
Adopción de tarjetas con chip a nivel mundial
Y por mucho que los bancos, tarjetas y tiendas de nuestro alrededor puedan estar adaptados, si viajamos nos podríamos encontrar bancos y/o tiendas no adaptados o usuarios con tarjetas sin chip, por lo que mientras el chip no sea aceptado globalmente no podremos dejar atrás la banda magnética. Pero la pregunta es, ¿es más seguro el chip que la banda magnética? La respuesta es un claro sí.

Los chips de las tarjetas con circuito integrado están cifrados y al menos de momento han demostrado ser seguros

EMV es el nombre con el que se conoce a las tarjetas con circuito integrado, aunque dichas siglas únicamente responden a las compañías que establecieron dicho estándar (Europay, Mastercard y Visa) aunque posteriormente a ellas se han unido otras empresas. Toda la información contenida en los chips de las nuevas tarjetas está protegida mediante el uso de algoritmos de cifrado como Triple-DES, SHA o RSA, que por lo menos hasta el momento han demostrado ser infranqueables, por lo que acceder al contenido del chip y duplicarlo es imposible, por ahora.

¿Podemos hacer algo para evitar la clonación de nuestras tarjetas?

La seguridad al 100% no existe, y es que cada vez los skimmers disimulan con mayor acierto, para nuestro mal, los elementos necesarios para hacerse con los datos de una tarjeta, aunque si hay ciertas precauciones que podemos tomarnos para ponérselo más complicado. La primera de ella es desconfiar de cajeros que no conozcamos o que sean accesibles desde la calle. Los que están lejos o fuera de oficinas bancarias, en lugares de poco tránsito, son los que más fácilmente se pueden manipular.

Una vez estemos frente al cajero conviene comprobar si el lector en el que vamos a introducir la tarjeta o si el teclado parecen ser los originales del cajero. Cada vez los lectores o teclados simulados son más realistas, pero a la mínima sospecha deberíamos buscarnos otro cajero. Una de las recomendaciones más habituales es tapar con una mano el momento en el que tecleamos el PIN, por si nos grabase una cámara, y una más moderna es usar los lectores contactless de los cajeros más modernos, si es posible, ya que de esa manera será imposible que nos dupliquen la tarjeta.

Fuente: Xataka

19 ene. 2018

Botnet Satori ataca Rigs de minado de Ethereum

Una nueva variante de la botnet Satori ha llegado y está afectando a las plataformas de minería Claymore. Su función es reemplazar las credenciales del propietario del dispositivo, con las del atacante. Esto afecta a Ethereum, que como sabemos es una de las criptodivisas más conocidas. De hecho es la segunda que más capitalización tiene hoy en día. Una vez más el mundo de las criptomonedas en el ojo de los ciberdelincuentes.

Botnet Satori

La botnet Satori apareció a principios de diciembre de 2017 y era una versión muy modificada del malware Mirai IoT DDoS. No usó ataques de fuerza bruta para entrar en dispositivos usando credenciales débiles y predeterminadas, como el Mirai original. Pero sí usó el código de exploit para hacerse cargo de los dispositivos que se ejecutan con credenciales fuertes, pero usando un firmware anterior.

La botnet escaneó los puertos 52869 (vulnerabilidad CVE-2014-8361 en dispositivos basados en Realtek SDK) y 37215 (CVE-2017-17215 zero-day en los routers Huawei).

Utilizando solo estos dos exploits, Satori acumuló entre 500.000 y 700.00 bots. Al ver el peligro inmediato, los grupos de seguridad de Internet reaccionaron y bajaron los servidores de C&C originales de Satori a mediados de diciembre, dos semanas después de su aparición.
Ahora, casi tres semanas después de que la botnet quedara silenciada, los investigadores de Netlab han descubierto una nueva variante de Satori [1, 2, 3, 4].

Nuevo exploit

Esta nueva versión mantiene los viejos exploits, pero también agrega otro nuevo. El tercer exploit fue una sorpresa total para los investigadores porque no tenía como objetivo IoT ni dispositivos de red, como las cargas útiles anteriores de Satori.

En su lugar, Satori escaneó en busca del puerto 3333 e implementó un código de explotación específico para el software de minería de criptomonedas Claymore.

Netlab no ha publicado detalles sobre el código de explotación para evitar nuevos abusos, pero ha indicado que Satori se enfoca en una vulnerabilidad que afecta la interfaz de administración del software de minería Claymore que permite a los atacantes interactuar con el dispositivo sin necesidad de autenticarse.

Minería de Claymore

El atacante interrumpe y cambia la configuración minera de Claymore a una de las suyas que mina Ethereum, una de las criptomonedas que más ha crecido en las últimas semanas.
Como sabemos, en los últimos tiempos han surgido muchos ataques relacionados con las criptodivisas. Su auge en los últimos meses ha invitado a muchos usuarios entrar e invertir. Esto también ha hecho que se convierta en un mercado apetecible para los ciberdelincuentes.

La minería oculta también es un tipo de malware que se ha popularizado últimamente. Ya vimos un artículo donde hablábamos de cómo podemos saber si una web está minando criptodivisas mientras navegamos en ella. Es una técnica que en ocasiones es legítima (las páginas avisan de ello) pero en otras muchas ni siquiera los dueños de esos portales están al tanto. Ciberdelincuentes se aprovechan de los equipos de la víctima para minar este tipo de divisas digitales.

Fuente: RedesZone | Bleeping Computer

18 ene. 2018

Mozilla restringe todas las nuevas funciones de Firefox a HTTPS únicamente

Mozilla ha realizado una declaración innovadora a principios de esta semana. Ha anunciado que todas las funciones basadas en la web que se enviarán con Firefox en el futuro se deben hacer a través de una conexión segura HTTPS. Una apuesta importante por este protocolo de seguridad. Según explicó Anne van Kesteren, ingeniera de Mozilla y autora de varios estándares web abiertos, de forma inmediata todas las nuevas características que están expuestas en la web deben restringirse a estas conexiones seguras.

Firefox apuesta por el HTTPS

HTTP será inseguro en Firefox 59. HTTPS cifra la conexión para protegerla contra la manipulación o el espionaje. Muchos factores como las búsquedas de Google y las propias compañías de navegadores, empujan a que cada vez la cifra de páginas que optan por el HTTPS se vea en aumento año tras año. Esto significa que si Firefox agrega soporte para un nuevo estándar o función a partir de ahora, si ese estándar o función lleva a cabo las comunicaciones entre el navegador y un servidor externo, esas comunicaciones deben realizarse a través de este protocolo. En caso contrario ese estándar o función no funcionará en el navegador Firefox.
La mayoría de los navegadores web marcarán los sitios web que no son HTTPS como inseguros a partir de 2018. Este plan ya está en marcha. Google Chrome, por ejemplo, marca los sitios HTTP con contraseña o campos de tarjetas de crédito como inseguros. Mozilla, por su parte, ha anunciado planes para depreciar el HTTP no seguro en Firefox. Además resalta las páginas HTTP con campos de contraseña.

Eso sí, hay que destacar que la decisión no afecta los estándares y funciones ya existentes. Pero Mozilla espera que todas las características de Firefox "se consideren caso por caso" y que se muevan lentamente a contextos seguros (HTTPS) exclusivamente en el futuro.

La decisión se produce después de un impulso continuo de los fabricantes de navegadores para obligar a los propietarios y desarrolladores de sitios web a adoptar HTTPS como estado predeterminado para la Web.

Mozilla ha sido tremendamente útil en este sentido a través del proyecto Let’s Encrypt, que admitió desde el principio.

Crecimiento

Casi el 65% de las páginas web cargadas por Firefox en noviembre usaban HTTPS, en comparación con el 45% de finales de 2016, de acuerdo con los números de Let’s Encrypt. Sin duda se trata de un incremento considerable y que irá a más en los próximos meses.

Además de aplicar una regla de solo HTTPS para nuevos estándares y funciones, Mozilla entiende que debe cambiar la mentalidad y los hábitos de trabajo de los desarrolladores web cotidianos.

Por ello, Mozilla también planea agregar herramientas de desarrollador a futuras versiones de Firefox. Pretende así permitir las pruebas sin un servidor HTTPS. Esto ayudará a los desarrolladores a implementar sitios y aplicaciones compatibles con HTTPS. Incluso para las funciones más antiguas (WebVR, API de solicitud de pago, etc.) que no se han implementado de manera estricta solo con HTTPS en Firefox.

Fuente: RedesZone | Bleeping Computer

Oracle corrige 237 vulnerabilidades en su boletín de enero

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejmplo y llevar a cabo una denegación de servicio en MySQL Server.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
  • Application Express, versiones anteriores a 5.1.4.00.08
  • Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
  • Converged Commerce, versión 16.0.1
  • Hyperion BI+, versión 11.1.2.4
  • Hyperion Data Relationship Management, versión 11.1.2.4.330
  • Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
  • Java Advanced Management Console, versión 2.8
  • Java ME SDK, versión 8.3
  • JD Edwards EnterpriseOne Tools, versión 9.2
  • MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
  • MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
  • MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
  • MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
  • MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
  • Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
  • Oracle Agile Engineering Data Management, PLM, PLM MCAD
  • Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
  • Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
  • Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
  • Oracle Banking Payments, versiones 12.3.0, 12.4.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Communications
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
  • Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
  • Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
  • Oracle Financial Services
  • Oracle FLEXCUBE
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
  • Oracle Health Sciences Empirica
  • Oracle Hospitality
  • Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Hyperion Planning, versión 11.1.2.4.007
  • Oracle Identity Manager
  • Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
  • Oracle iPlanet Web Server, versión 7.0
  • Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
  • Oracle Java SE Embedded, versión 8u151
  • Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
  • Oracle JRockit, versión R28.3.16
  • Oracle Mobile Security Suite, versión 3.0.1
  • Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
  • Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
  • Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
  • Oracle Retail Fiscal Management, versión 14.1
  • Oracle Retail Merchandising System, versión 16.0
  • Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
  • Oracle Secure Global Desktop (SGD), versión 5.3
  • Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
  • Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
  • Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
  • Oracle WebCenter Content, Portal, Sites y Server
  • Oracle X86 Servers, versiones SW 1.x, SW 2.x
  • OSS Support Tools, versiones anteriores a 2.11.33
  • PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
  • Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
  • Siebel Applications, versions 16.0, 17.0
  • Solaris, versiones 10, 11.3
  • Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13
A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:
  • La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.
  • La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.
Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.

Fuente: Hispasec

ProtonVPN: VPN gratuita para PC y Android

Gracias a las conexiones VPN es posible conectarnos a Internet de forma segura y anónima, cifrando nuestro tráfico de extremo a extremo entre nuestro ordenador o dispositivo y el servidor VPN remoto y ocultando nuestra identidad y nuestra ubicación. A pesar de que existen una gran cantidad de servidores VPN, no todos son igual de seguros ni respetan igual la privacidad que otros. Por ello, a la hora de elegir un VPN seguro y anónimo es necesario realizar una investigación previa que nos demuestre que el servicio es realmente seguro y anónimo, que no colabora con gobiernos y que no guarda registros de la actividad de los usuarios. Y un ejemplo de esto es ProtonVPN.

ProtonVPN es un servidor VPN desarrollado por los responsables de ProtonMail, el servidor de correo electrónico totalmente seguro y anónimo, con el fin de ofrecer a los usuarios un servidor VPN con el que proteger sus conexiones con la misma fiabilidad que su servidor de correo y, además, que puedan utilizar de forma gratuita.

Desde las primeras fases de prueba, hace ya 7 meses, esta plataforma se ha ganado la confianza de los usuarios, tanto al utilizarla de forma gratuita, a pesar de sus limitaciones, como al hacerlo en el modo "Premium", pudiendo navegar de esta forma a máxima velocidad. Hasta ahora, este servidor VPN solo estaba disponible para PC, sin embargo, los responsables de ProtonVPN no han querido perder la oportunidad de abrirse hueco en los smartphones de los usuarios más preocupados por su seguridad y privacidad, lanzando así este servicio VPN gratuito para Android.

ProtonVPN llega a Android como un VPN gratuito e ilimitado

ProtonVPN AndroidComo hemos dicho, los responsables de ProtonVPN acaban de lanzar una aplicación totalmente gratuita de este servidor VPN para Android que permite a los usuarios proteger sus conexiones desde sus dispositivos móviles, ocultar su identidad, evitar el rastreo y poder saltarse cualquier restricción geográfica o de contenido que le aplique su red.

Esta aplicación ya está disponible en la Play Store, por lo que los usuarios interesados en ella pueden descargarla sin coste alguno en sus dispositivos.

La red de servidores de ProtonVPN es similar a la de la red Tor, ya que la compañía la ha configurado para que el tráfico viaje de forma cifrada a través de varios túneles cifrados a los distintos servidores repartidos por todo el mundo, aumentando la privacidad y complicando tanto rastrear a los usuarios como realizar ataques de red dirigidos.

A diferencia de otros servidores VPN gratuitos, ProtonVPN no muestra anuncios a los usuarios, no instala malware sin su permiso y, lo más importante, ni vende información sobre sus usuarios a terceras empresas a diferencia de otros servidores VPN como PureVPN.

Como hemos dicho, de momento este servicio VPN solo está disponible para Android, además de para PC. Los usuarios de otras plataformas, como iOS, tendrán que esperar, aunque, de momento, los responsables de ProtonMail no han hecho declaraciones sobre si tienen intenciones, o no, de llevar su VPN a iOS.

 Fuente: Redes Zone

17 ene. 2018

¿Cuál es la contraseña de alerta de misiles de Hawai?

El descubrimiento de este incidente contribuye a poner aun más en entredicho los protocolos de seguridad en Estados Unidos.

Los habitantes de Hawai amanecieron el sábado con una alerta que rezaba "Una amenaza de misil balístico se dirige hacia Hawai. Busque un refugio inmediatamente. Esto no es un simulacro". El aviso recibido en los teléfonos móviles de decenas de miles de personas despertó el pánico en el archipiélago pero, afortunadamente, se trataba de una falsa alarma.

Tres días después del ataque, la imagen del responsable de operar la alerta de misiles de Hawai se volvió viral. Se trata de una instantánea tomada por la agencia Asociated Press el pasado mes de julio en la que el hombre posa su puesto de trabajo. Al fondo, se encuentra su pantalla de ordenador con un post it pegado. En dicho post it, aparece una contraseña manuscrita que resulta legible al ampliar la imagen.
A password for the Hawaii emergency agency was inadvertently published in an @AP photo in July 2017 after being written on a post-it note. https://t.co/nQSzg8rX3q / pic.twitter.com/No2ECUXOQy / 16 de enero de 2018
Un descubrimiento ha contribuido a poner aún más en entredicho la profesionalidad de la Agencia de Emergencias de Hawai y que ha desatado un debate en Estados Unidos sobre la seguridad informática de un organismo oficial tan sensible, así como interrogantes sobre cómo pudieron cometer el error de mostrar sus contraseñas en una imagen pública.

Sin embargo, la publicación de la contraseña no fue responsable de la falsa alarma del sábado. Su activación se debió a otro mal uso: al parecer, según ha informado la Agencia de Emergencias de Hawai, el fallo se produjo porque un empleado se confundió a la hora de hacer clic en el menú de opciones de su ordenador, que cuenta con una interfaz anticuada y confusa. En lugar de hacer clic sobre la opción del simulacro (Drill, en inglés), seleccionó la opción de lanzar la alerta real.

La falsa alarma del pasado sábado se produjo en un clima de tensión nuclear sin precedentes desde la guerra fría fruto de la escalada verbal entre el presidente de Estados Unidos, Donald Trump, y el dictador norcoreano, Kim Jong Un.

Sin embargo, la de Hawai no se fue la primera falsa alerta nuclear del mundo. Durante la Guerra Fría, un fallo en una pieza de tan sólo 40 centavos provocó que los sistemas de radar de Estados Unidos avisaran por error de que 2.200 misiles balísticos soviéticos se dirigían hacia Estados Unidos. En la Unión Soviética, también vivieron una crisis nuclear similar en la que una anomalía atmosférica confundió a su sistema de radar, que avisó de varios lanzamientos contra el territorio soviético.

Fuente: El Mundo

Skygofree, un spyware muy poderoso de Android

Un grupo de investigadores Kaspersky Lab ha revelado una spyware denominado "Skygofree", utilizado desde el 2014 para atacar Smartphones, robar chats de WhatsApp, grabar conversaciones y espiar los mensajes de texto de las víctimas, así como también llamadas telefónicas, audios, eventos de agenda y ubicación geográfica de dispositivos.
Este malware generalmente se propaga a través de sitios web comprometidos que imitan a los operadores móviles más conocidos, incluidas las empresas británicas Three y Vodafone. Si bien el código interno del malware ha cambiado a lo largo de los años, los investigadores dicen que se puede utilizar para dar a los delincuentes control remoto total del dispositivo infectado.

Descubierto en octubre de 2017, esta avanzada herramienta de espionaje se ha vinculado a una empresa de TI çitaliana que ofrece a sus clientes un software legal de interceptación y vigilancia. Kaspersky Lab comparó la empresa con Hacking Team, que fue el centro de una violación masiva de datos en 2015 y luego fue acusado de vender spyware a gobiernos represivos. Nikita Buchka y Alexey, analistas de seguridad, escribieron en el blog de Kaspersky el día de hoy:
El implante Android Skygofree es una de las herramientas de spyware más poderosas que jamás hayamos visto para esta plataforma (…) Como resultado del proceso de desarrollo a largo plazo, existen múltiples capacidades excepcionales: uso de exploits múltiples para obtener privilegios de root, una estructura de carga compleja, y funciones de vigilancia nunca antes vistas, como la grabación de audio circundante en ubicaciones específicas.
La última versión del Skygofree contiene 48 comandos para diversas formas de espionaje. Uno de ellos, "geofence", y solo graba audio cuando el objetivo se encuentra en una ubicación específica. Otro comando, llamado "WiFi", podría usarse para interceptar los datos que fluyen a través de una red inalámbrica. Skygofree también podría usarse para tomar imágenes usando las cámaras de dispositivos.

Si bien se trata de una variedad avanzada de malware, es probable que dicha herramienta solo se utilice para propósitos específicos, es decir, no de manera masiva. Kaspersky dijo que entre las personas afectadas, se encontraban personas residentes de Italia.

Fuente: Tekcrispy

Estafa viralizado en Twitter causó alerta por la seguridad de las "billeteras virtuales"

¿Cada cuánto entrás a tu home banking? Elena Paoloni, por suerte para ella, lo hace todas las semanas. Y este robo le pasó en tres días. Fueron 12 extracciones de $ 500 en distintos cajeros automáticos de la Provincia. ¿Le clonaron la tarjeta? No. Se volvió plástico el miedo que muchos sienten cuando dejan en la comanda del restaurante su tarjeta de débito y su DNI para que el mozo se la lleve.

¿Cómo le robaron? A través de una billetera virtual a su nombre que ella nunca pidió ni quiso tener. ¿Cómo logró que tapen el hueco de seguridad? Gracias a Twitter, con una atrapante historia en orden cronológico: desde que descubrió los $ 6.000 menos en su cuenta de "monotributista freelancer" en Comunicación, pasando por el momento en que detectó la "oportunidad que hizo al ladrón" y, como gran final, con la empresa admitiendo que va a corregir la falla con los bancos.

"(...) Quiero contarles cómo fue para que no les pase", dice uno de sus primeros tuits. Y arranca:
Un caso de estafa viralizado en Twitter causó alerta por la seguridad de las "billeteras virtuales"
Elena, con más de 13 mil seguidores, contó que para poder vincular la cuenta de Todo Pago a una cuenta de banco sólo se necesita la tarjeta de débito. "O una FOTO de una tarjeta de débito, que la sacás con un celular en un segundo", detalla. Y eso se puede hacer fácilmente en cualquier restaurante cuando el plástico se pierde de vista.

Ni siquiera es necesario sacarle una foto al DNI, ya que en el recibo que se queda el local hay que escribirlo debajo de la firma. Con esos dos datos y un mail falso, la cuenta de Todo Pago está lista. El sistema sólo necesita validar la tarjeta y que se active la cuenta desde un mail cualquiera. A ella le crearon uno en Gmail, contó.
Un caso de estafa viralizado en Twitter causó alerta por la seguridad de las "billeteras virtuales"
La usuaria de Twitter probó con Santander Río y con Galicia, y detectó que ninguno de los dos bancos le pedían una confirmación del alta de cuenta en la billetera electrónica y que, en su caso, no recibió ninguna notificación en su celular por las extracciones, pese a que sí linkearon la tarjeta a ese correo electrónico.
Un caso de estafa viralizado en Twitter causó alerta por la seguridad de las "billeteras virtuales"
Así fue como, sin la verificación desde Todo Pago ni del banco Galicia de que la titular es quien quería vincular esa cuenta con su dinero, los delincuentes abrieron la app, generaron el PIN y comenzaron a hacer las extracciones de a $ 500 en dos cajeros de Lanús.
Un caso de estafa viralizado en Twitter causó alerta por la seguridad de las "billeteras virtuales"
"Me podrían haber sacado muchísima más plata. Además de que, como freelancer monotributista, me sacás seis lucas es como matarme", tuiteó Elena, que perdió buena parte de sus ingresos, pero nunca el humor. ​"No dejen sus tarjetas de débito solas NUNCA", aconsejó.

Pero pese a esa "medida física", la viralización del robo que padeció cuando ni siquiera tuvo la intención de hacerse una billetera electrónica fue que la propia Todo Pago no sólo le contestó en Twitter, admitiendo que habían detectado su problema como "caso específico", sino que logró que le devolvieran la cuenta y hasta consiguió que la empresa le dijera que van a corregir la falla con los bancos.
Un caso de estafa viralizado en Twitter causó alerta por la seguridad de las "billeteras virtuales"
Ante la consulta de Clarín, en Prisma Medios de Pago, la empresa responsable de Todo Pago, reconocieron la estafa sufrida por la clienta. Y contaron que están investigando cómo se produjo. "No sabemos todavía cómo lo hicieron", admitieron.

"Tenemos 300.000 billeteras en uso y es la primera vez que tenemos un caso de fraude -destacaron-. Lo que descubrimos es que el límite de $ 500 diarios para las extracciones de efectivo no funcionó en ese caso, y estamos investigando si fue producto del mismo hackeo"

"De todos modos, preventivamente, suspendimos la funcionalidad de retiro de plata por cajero para todos los clientes. Y decidimos elevar los estándares de seguridad. Desde este miércoles, para generar una orden de extracción, el titular de la cuenta va a tener que ingresar el alias CBU y el CUIL"

"¡Amigos, recuperé mi plata! ¡Vuelvo a ser una monotributista solvente! Gracias (...) Y, dato no menor: no me dijeron que la culpa es mía, cosa que hacen las empresas en general", cerró Elena.
Fuente: Clarín

16 ene. 2018

MaMi, spyware para macOS

Se ha descubierto un malware para macOS cuya característica principal es modificar los servidores DNS de la máquina infectada, y que incluye código con funcionalidades de espionaje.

Patrick Wardle, un experto en seguridad informática con un currículo que incluye a la NSA y la NASA, ha descubierto un spyware para macOS gracias al reporte de un usuario en el foro de Malwarebytes. Este usuario reportaba que su compañera de trabajo había instalado algo por accidente, y tras ello su configuración de servidores DNS permanecía fija apuntando a direcciones IP no deseadas.

El malware, bautizado como OSX/MaMi debido a una de los cadenas usadas en el código fuente, tiene dos funciones principales que destacan: el secuestro de la configuración de los servidores DNS para que apunten a servidores controlados por el atacante y la instalación de un certificado raíz. Lo primero permite (entre otras cosas) que cuando la víctima quiera visitar "google.com", sea el atacante quien responda a qué servidor debe acudir la víctima para descargar esa página web (con lo cual puede responder que acuda a un servidor diseñado para robar información).
En cuanto a la instalación de un certificado raíz, esto permite (si no existen medidas contra ello) que páginas web modificadas por el atacante aparezcan como legítimas cuando se usa HTTPS (el famoso "candadito verde"). Estas dos técnicas suelen ser usadas para llevar a cabo lo que se llama "ataque Man-in-the-Middle" (Hombre en medio). Con este ataque, el atacante puede modificar las webs a las que accede el usuario o robar información que circule entre la web y el usuario.

A pesar de que un ataque Man-in-the-Middle puede ser usado para inyectar anuncios en las páginas web que se visitan (produciendo un beneficio económico para el atacante), podemos afirmar con cierta seguridad que el objetivo principal es el espionaje. Básicamente, debido a que incluye funcionalidades como capturas de pantalla, descarga de archivos... Si bien es cierto que también incluye otras como simulación de ratón, ejecución remota de comandos y similares, usadas en herramientas de control remoto. Pero estas funcionalidades suelen introducirse en muchos tipos de malware, simplemente para que el atacante pueda realizar acciones manualmente en el ordenador infectado, si lo desea.
En el análisis presentado por Patrick Wardle, se comenta que estas funcionalidades espía no parecen ser ejecutadas automáticamente en la infección. Esto puede ser porque el malware está programado para hacerlo pero por alguna razón no ocurriese, o porque realmente estas acciones están pensadas para ser usadas manualmente por el atacante. También se comenta en el análisis que no es detectado por ningún antivirus de los existentes en Virustotal (link del reporte), aunque a la hora de escribir este artículo ya es detectado por 26 de los 59 motores de detección presentes.

El vector de infección todavía es desconocido, y el autor del análisis apunta a que probablemente se usan métodos poco sofisticados como correos maliciosos, alertas falsas de seguridad en la web y otros métodos de ingeniería social enfocados a los usuarios de Mac. La forma de desinfectarse se resume a dos puntos, según el análisis: eliminar los servidores DNS que configuró el malware (82.163.143.135 y 82.163.142.137) y eliminar el certificado raíz de nombre "cloudguard.me". Si bien es cierto que en el reporte original en Malwarebytes el usuario se quejaba de que volvían a aparecer estos DNS's tras quitarlos... Cuando un usuario ha sido infectado por un malware que permite descargar más malware y no se sabe qué se ha ejecutado realmente, lo ideal es reinstalar el sistema operativo.

Finalmente, respecto al origen de este malware, Patrick lo relaciona con DNSUnlocker, un malware de 2015 que cambiaba los servidores DNS para introducir publicidad en las webs que visitabas. Se basa en que MaMi usa dos servidores DNS en un rango de red muy cercano al que usaba DNSUnlocker, y que instala el mismo certificado raíz, "cloudguard.me". Al ser éste último un malware para Windows, MaMi sería una versión para macOS de DNSUnlocker con funcionalidad específica para este sistema operativo.

Fuente: Hispasec