23 may. 2019

Compañias siguen bloqueando a #Huawei

No mucho después de que la orden ejecutiva del presidente Trump entrara en vigencia, más y más compañías con sede en los Estados Unidos han comenzado a cumplir con dicha orden. Estas empresas están cortando los negocios con el gigante tecnológico chino y algunas compañías han pedido a los empleados que dejen de utilizar los suministros de Huawei hasta nuevo aviso.

Google fue la primera compañía en actuar en este sentido, ya que bloqueó la licencia de Android a Huawei. Pero la lista de tales compañías se está haciendo cada vez más grande. Si bien muchos de los nombres son en su mayoría de Estados Unidos, algunas compañías no estadounidenses también se están alejando de Huawei.
  • Google - suministra software de Android
  • Intel - suministra chips de servidor
  • Broadcom - suministra componentes para equipos de red
  • Qualcomm - suministra chips de CPU y módem para teléfonos inteligentes
  • Xilinx - suministra chips programables para dispositivos de red
  • Lumentum Holdings - Suministros de partes móviles
  • ARM Holdings– diseñador de chips móvil líder
  • Infineon Technologies - suministra chips
  • EE Limited - la compañía de telecomunicaciones más grande de Europa
  • Vodafone - operador móvil líder en el Reino Unido
Continuaremos expandiendo esta lista a medida que siga apareciendo.

Suena sorprendente al principio porque ARM tiene su sede en el Reino Unido. Pero según la BBC, la razón detrás de este movimiento es que algunos de sus diseños contienen tecnología de origen estadounidense. La compañía también tiene varias oficinas en los Estados Unidos.

Una historia similar se aplica a Infineon Technologies, con sede en Alemania, que dice que algunos de sus suministros provienen de los Estados Unidos. Sin embargo, una parte importante de los suministros no pertenece a los EE. UU. y Huawei podría hacer los ajustes necesarios para solucionar la situación, dijo un portavoz a Bloomberg.

Huawei es posiblemente el jugador más grande de 5G en este momento. Y para eso, actualmente depende de muchos proveedores en los Estados Unidos que pueden proporcionar componentes de calidad a precios asequibles.

Si Huawei se enfrenta a un contratiempo debido a la guerra comercial entre Estados Unidos y China, afectaría o retrasaría el lanzamiento de la tecnología 5G no solo en los Estados Unidos sino también en China.

Un nombre que no está en esta lista en este momento es Microsoft, que proporciona el software de Windows a Huawei. La compañía no ha anunciado ninguna prohibición, pero ya no incluye las computadoras portátiles Huawei en su sitio web.

Además, en la parte de hardware, los chips que se ejecutan dentro de estas computadoras portátiles están fabricados por Intel o AMD, ambas compañías estadounidenses. Por lo tanto, agrega otro nivel de dificultad para Huawei, que en este momento hace que algunas de las mejores computadoras portátiles con Windows.

Si bien se le ha otorgado a Huawei una extensión de 90 días para proporcionar actualizaciones de software a teléfonos con Android y mantener el "funcionamiento continuo de las redes y equipos existentes", esta es una extensión estrecha que no parece aplicarse a las licencias de Windows para computadoras portátiles.

Fuente: Fossbytes

El 20% de los Docker más populares están mal protegidos

La virtualización por contenedores está ganando mucha popularidad entre los administradores de sistemas. Estos contenedores nos permiten poner en marcha un determinado servicio (por ejemplo, un servidor web, o un sistema de bases de datos) virtualizando un sistema operativo (Linux) muy básico con los recursos mínimos para mover dicho servicio, y nada más. Cada contenedor se diseña pensando especialmente en desempeñan una tarea concreta, evitando conflictos entre servicios y ahorrando la mayor cantidad de recursos posible. Docker es una de las plataformas más populares para la virtualización por contenedores, y también si no tenemos cuidado puede ser de las más peligrosas.

La mayoría de los contenedores de Docker montan una distribución Linux mínima (concretamente Alpine Linux) sobre la cual instalan un determinado servidor y sus dependencias. Esta configuración se empaqueta y se sube a la red de manera que cualquiera pueda descargar el contenedor y, con un par de clics, ponerlo en funcionamiento en cualquier equipo, servidor o infraestructura, ya que no existen restricciones en cuanto al hardware.
Virtualizar con Docker

Alpine Linux, el sistema operativo de la mayoría de contenedores Docker, viene sin clave para root

La firma de seguridad Talos, de Cisco, ha lanzado un aviso de seguridad en el que informa de la vulnerabilidad CVE-2019-5021, un fallo bastante grave que está haciendo que casi el 20% de los contenedores Docker que hay en la red listos para utilizar estén sin ninguna contraseña de root. Incluso han publicado un script para verificarlo.

Es responsabilidad de los desarrolladores asegurarse de que, una vez puesto en marcha el servicio, este está funcionando correctamente y de protegerlo. Sin embargo, que este contenedor venga sin contraseña de base ya es, de por sí, una brecha de seguridad, ya que, por desgracia, muchos auto-denominados "administradores de sistemas" no se paran a comprobar la seguridad cuando ponen en marcha un contenedor Docker.

En el siguiente enlace podemos encontrar la lista de contenedores Docker que se están distribuyendo sin contraseña. Como podemos ver, hay tipos de servidores importantes, como servidores web, bases de datos, sistemas de control de APIs, proxies, servidores OpenVPN, sistemas de alertas y más.

Docker es un gran avance, aunque debemos cuidar la seguridad

Docker ha sido, sin duda, una gran revolución a la hora de aislar servicios y poner en marcha servidores con unos pocos clics, además de que estos contenedores son totalmente portables, compatibles con cualquier tipo de hardware, modulares y muy optimizados. Sin embargo, la seguridad es uno de los pilares más débiles de este tipo de virtualización, y si no se cuida podemos acabar teniendo problemas muy serios.

Aunque es complicado conseguir acceso a un contenedor Docker desde fuera de la red (siempre y cuando esté bien configurado), no es imposible, y de hacerlo, al no tener ningún tipo de contraseña de root las probabilidades de una grave brecha de seguridad aumentan exponencialmente.

La falta de contraseña de root no es el único fallo de seguridad que pueden tener estos contenedores. En ocasiones también hay contenedores Docker con software desactualizado y vulnerable, así como con contraseñas débiles, fallos que igualmente pueden suponer un riesgo para nuestra seguridad.

Es de vital importancia que los responsables de estos contenedores añadan contraseñas a root en sus configuraciones, y no solo eso, sino que obliguen al usuario final a cambiar la contraseña por defecto para poder asegurar sus instancias. Asegurarnos de que el software está bien actualizado y bien configurado debe ser crucial para nuestra seguridad.

Fuente: RedesZone

22 may. 2019

Google almacenó contraseñas de usuarios de G Suite en texto plano desde 2005

Un error en la implementación de una función de hash de contraseñas de Google ha llevado a que la compañía haya almacenado, durante casi 14 años, contraseñas de varios usuarios de su suite para empresa G Suite en texto plano. Eso sí, a pesar de estar en texto plano, estaban guardadas en un entorno cifrado, aunque cualquier empleado de Google tenía acceso a ellas. Y como estos empleados, cualquiera que las localizase, aunque según la compañía no hay indicios de que esto haya sido así.
google g suite plaintext password
Según ha confirmado Suzanne Frey, Vicepresidenta de ingeniería de confianza de Google Cloud, el fallo afecta solo a los usuarios de pago de G Suite, por lo que los que usan los productos de Google en sus versiones gratuitas no están afectados.

La práctica habitual de seguridad es cifrar las contraseñas que se almacenan en servidores internos, para que ni los empleados de las compañías que las utilizan puedan acceder a ellos. Y en este caso se ha dado el fallo porque los clientes de empresa en 2005, cuando se dio por primera vez (aunque pasó desapercibido hasta hace poco), los administradores de sistemas querían herramientas para poder establecer y recuperar las contraseñas de forma manual. Esta herramienta es la que fallaba y es la que fallaba a la hora de utilizar la función hash que desordenaba y enmascaraba la contraseña antes de cifrarla.

Según apuntan desde Google, han realizado una investigación para ver el alcance del fallo, y no han encontrado evidencias de accesos no autorizados a las contraseñas. Tampoco han detectado un uso fraudulento de las credenciales de G Suite afectadas. No obstante, la compañía no ha querido correr riesgos y lleva ya unas semanas trabajando con los administradores de sistemas de las cuentas afectadas para que cambien sus contraseñas.

Además, en los casos en los que la compañía está completamente segura de que las contraseñas estaban en texto plano y los administradores no han hecho nada, las ha reseteado directamente para que sus usuarios las tengan que cambiar de manera forzosa.

Aparte de este fallo, Google descubrió otro similar el pasado mes de enero. En este caso, se almacenaron contraseñas en texto plano por un periodo máximo de dos semanas, y la compañía notificó a los administradores de los sistemas afectados para que cambiasen la clave de acceso, además de corregir el fallo.

Fuente: Muy Computer Pro

Nuevo 0-Day en Windows 10 permite elevación de privilegios

SandboxEscaper vuelve a publicar sin avisar un nuevo ataque de elevación de privilegios en Windows 10. Lo consigue a través de la importación del viejo formato de creación de tareas programadas .job de un Windows XP a un Windows 10. Desde finales de 2018, esta investigadora tiene un largo historial de pruebas de concepto que publica con detalles y sin previo aviso. Con ellas consigue principalmente elevar privilegios en el sistema.

En este caso, lanzó el código de una vulnerabilidad y prueba de concepto (PoC) para una nueva vulnerabilidad que afecta al sistema operativo Windows 10. Esta es su quinta versión de vulnerabilidad pública 0-Day en Windows [1, 2, 3] en menos de un año.
Publicado en GitHub, la vulnerabilidad aprovecha un problema de escalamiento de privilegios que podría permitir a un atacante local o malware obtener y ejecutar código con privilegios de sistema administrativo en las máquinas seleccionadas, lo que finalmente permitirá que el atacante obtenga el control total de la máquina.

La vulnerabilidad reside en el Programador de Tareas, una utilidad que permite a los usuarios de Windows programar el inicio de programas o secuencias de comandos en un momento predefinido o después de intervalos de tiempo especificados.

El código de explotación de SandboxEscaper hace uso de SchRpcRegisterTask, un método en el Programador de tareas para registrar tareas en el servidor, que no verifica correctamente los permisos y, por lo tanto, puede usarse para establecer un permiso arbitrario de DACL (lista de control de acceso discrecional).

Para el exploit, se llama a la función _SchRpcRegisterTask para registrar la tarea (en la prueba de concepto utiliza los antiguos "schtasks.exe" y "schedsvc.dll" para hacerlo, pero se podría llamar directamente. Luego manipula los permisos con SetSecurityInfo para obtener privilegios de SYSTEM sobre ficheros en los que en principio un usuario no debería poder manipular.

Un programa malintencionado o un atacante con pocos privilegios puede ejecutar un archivo .job con formato incorrecto para obtener privilegios de System, lo que eventualmente le permite al atacante obtener acceso completo al sistema de destino. SandboxEscaper también compartió un video de prueba de concepto que muestra el nuevo exploit de día cero de Windows en acción.

La vulnerabilidad ha sido probada y se ha confirmado que funciona correctamente en una versión totalmente parcheada y actualizada de Windows 10, 32 bits y 64 bits, así como Windows Server 2016 y 2019.

Pero esto no acaba aquí. Según ha indicado la desarrolladora, aún tiene otros cuatro exploits Zero-Day que pretende divulgar y/o vender por U$S60.000.

Actualización 23/05: menos de 24 horas después de revelar públicamente esta vulnerabilidad 0-Day, SandboxEscaper ha lanzado dos nuevos exploits para otras dos vulnerabilidades 0-Day. Estas nuevas vulnerabilidades afectan el servicio de Informe de errores de Windows e Internet Explorer 11.

Fuente: THN

Firefox 67: control sobre las extensiones y bloqueo del minado de criptomonedas

En esta nueva versión, además de WebRender, que busca sustituir a Gecko como motor de renderizado de Mozilla Firefox, el navegador ha incorporado algunos cambios y novedades interesantes que queremos destacar. Sin ir más lejos, tendremos más control sobre las extensiones y bloqueo del minado de criptomonedas.

Mozilla lanza Firefox 67 con las novedades y cambios esperados: un nuevo control para evitar que las extensiones instaladas funcionen en modo privado. Esto será así por defecto, pero el usuario podrá cambiar el ajuste desde el menú de extensiones. Las extensiones instaladas hasta la actualización no se verán afectadas por los cambios.

En la funcionalidad de las capturas de pantalla, se ha eliminado la posibilidad de subirlas a Internet. A partir de esta versión, anunciada a principios de año, los usuarios de Mozilla Firefox podrán seguir utilizando la herramienta nativa de capturas de pantalla, pero deberán elegir únicamente entre la posibilidad de guardarlas en su propio disco duro.

El bloqueo de contenido malicioso es una parte crucial de los navegadores. Con Firefox 63 se introdujo la posibilidad de bloquear ciertos elementos, pero con Firefox 67 se amplían las posibilidades. Sin ir más lejos, los usuarios podrán bloquear los scripts de minado de criptomonedas y también las técnicas de fingerprinting para rastrear a los usuarios.

A partir de esta versión, el instalador de Firefox utilizará un perfil dedicado para este proceso. Hasta ahora utilizaba un perfil existente, pero esto generaba algunos problemas al compartirse con otras instalaciones del sistema (como versiones Beta y otras).

Finalmente, se ha activado Firefox lanzará WebRender para más velocidad y rendimiento, pero sólo al 5% de los usuarios. Estos deben tener el sistema operativo Windows 10 y una tarjeta gráfica de Nvidia. Este control se puede activar manualmente poniendo en "True" el ajustes gfx.webrender.all.

Ahora tenés el poder de bloquear los anuncios de video que se reproducen automáticamente cuando abrís artículos y enlaces. Además, Firefox aumentó la protección contra los rastreadores de publicidad.

Compartí archivos grandes de forma segura con Send

Usá un enlace cifrado para compartir archivos grandes (hasta 2.5 GB) con tu cuenta Firefox. También podés configurar cuándo vence el enlace, para que tu información no se quede en la nube para siempre.

Fuente: ADSLZone

21 may. 2019

¿Qué ocurre cuando un empleado se lleva la base de datos de clientes?

El desorden digital no es solo una preocupación para las empresas sino también para los trabajadores. ¿pueden nuestros hábitos diarios ayudarnos a entender qué se debe tener en cuenta para minimizar el riesgo que el desorden digital representa en el trabajo?

Kaspersky Lab ha preguntado a los trabajadores de todo el mundo cómo se pueden manifestar esos hábitos en la organización de su nevera y se ha detectado que esta puede indicar el riesgo de seguridad del desorden digital. Así, el 88% de los encuestados españoles afirma tener una nevera organizada mientras que el 96% afirma lo mismo respecto a su vida digital en el puesto de trabajo. Además, prácticamente el mismo porcentaje de los que reorganiza su nevera antes de las vacaciones (83%), también lo hace con sus archivos digitales (88%), mientras que más de dos tercios (70%) de los que han comprado el mismo artículo para meterlo en la nevera dos veces, por accidente, cifra cercana al 60% que ha tenido dificultades para localizar un documento o archivo mientras trabajaban.

Hacer un seguimiento de qué datos disponen los empleados de una empresa, dónde, cuándo y cómo tienen acceso a estos es muy complicado. Sin embargo, no bloquear los datos online puede causar más de un quebradero de cabeza. ¿Te has planteado alguna vez que un antiguo empleado pueda estar utilizando información de tu empresa para su propio beneficio? O, en el peor de los casos, ¿que pueda llegar a dañarlos e incluso borrarlos? La recuperación de esos datos supone un tiempo y un esfuerzo que se podría haber dedicado a tareas más productivas. Los datos revelan que estamos ante un problema real: el 76% de los encuestados españoles confiesa, según la encuesta de Kaspersky Lab, haber trabajado con documentos que contienen diferentes tipos de datos confidenciales: direcciones, fechas de nacimiento, información financiera, etc.

A esto hay que sumar la posible divulgación de archivos protegidos por derechos de autor, secretos comerciales y cualquier otro dato confidencial de una empresa. Ciberdelincuentes e incluso los propios competidores pueden utilizarlo en su propio beneficio. Las consecuencias pueden traducirse en sanciones y demandas de los clientes, como resultado de la violación de un acuerdo de confidencialidad (NDA) o de la legislación de protección de datos.

Aquí, la generación Z desempeña un papel protagonista, aunque no tanto como podríamos pensar en un principio. Si se comparan los hábitos de los jóvenes de 18 a 24 años en el trabajo con los mayores de 55 años, hay algunas diferencias claras. El grupo más joven tiene también muchas más probabilidades de haber encontrado accidentalmente información confidencial -incluyendo datos sobre salarios, datos bancarios o contraseñas- en el trabajo (77% de los más jóvenes frente al 23% de los de mayor edad) pero también han experimentado más problemas al buscar ficheros o archivos de trabajo (85%) que la generación más mayor (42%). Sin embargo, preguntados acerca de si han compartido alguna vez su usuario y contraseña de un dispositivo de trabajo con un compañero, la edad no marca gran diferencia entre los encuestados españoles (38% de la generación más joven frente al 31% de los mayores de 55 años). En la cultura actual de espacios abiertos y formas colaborativas de trabajo, los empleados no ponen límites y lo comparten todo, lo que apunta a la necesidad de fomentar una educación sobre los ciber riesgos entre los trabajadores
Kaspersky Lab recomienda a las empresas una serie de prácticas de seguridad de datos:
  • Establecer una política de acceso para los activos de la empresa, incluidos los buzones de correo electrónico, las carpetas compartidas y los documentos online: todos los derechos de acceso deben cancelarse tan pronto como el empleado haya abandonado la empresa.
  • Recordar las normas de ciberseguridad de forma periódica al personal de la empresa, para que entiendan lo que se espera de ellos y se conviertan en algo natural.
  • Utilizar el cifrado para proteger los datos corporativos almacenados en los dispositivos. Realizar copias de seguridad de los datos para garantizar que la información esté a salvo y se pueda recuperar si se produce un incidente.
  • Fomentar buenos hábitos de contraseñas entre los empleados, como no utilizar los datos personales o compartirlos con alguien dentro o fuera de la empresa. La función de administrador de contraseñas de un producto de protección puede ayudar a mantener las contraseñas seguras y los datos confidenciales a salvo.
  • Si se está acostumbrado a trabajar con servicios cloud, se puede elegir una solución de ciberseguridad cloud que se adapte al tamaño de la empresa: Kaspersky Endpoint Security Cloud para pequeñas y medianas empresas y Kaspersky Small Office Security para empresas con menos de 25 empleados. Ambos combinan una gestión sencilla con características de protección probadas para todos los dispositivos de los empleados.
El informe de Kaspersky "Sorting Out Digital Clutter In Business" está disponible en .

Fuente:
DiarioTI

Comprometen más de 29 botnets de IoT con credenciales débiles

Un hacker con nick 'Subby' se hizo con más de 29 botnets de IoT en las últimas semanas haciendo fuerza bruta sobre los paneles de backend de sus servidores C2, debido a que éstos usaban credenciales débiles.
"Ahora, esta teoría ha sido llevada a la práctica por un threat actor llamado Subby, que ha hecho fuerza bruta al menos contra 29 IoT C2s y los ha comprometido utilizando credenciales extremadamente triviales", escribió Ankit Anubhav, investigador de seguridad de NewSky Security. "Según lo compartido por el threat actor, se puede ver que las credenciales utilizadas son bastante débiles".

Subby le dijo a Anubhav que algunos de los C2 asociados con las redes de bots de IoT estaban usando credenciales muy comunes, incluyendo "root: root", "admin: admin" y "oof: oof".

En una entrevista con Anybhav, Subby explicó que la mayoría de las redes de bots de IoT que él hackeaba fueron creadas por script kiddies que habían seguido tutoriales online.

"Es obvio por qué esto está sucediendo. Un gran porcentaje de operadores de botnets simplemente siguen tutoriales que se han extendido en la comunidad o están disponibles en YouTube para configurar su botnet. Al seguir estos tutoriales, no cambian las credenciales predeterminadas. Y si cambian las credenciales, la contraseña que suministran es generalmente débil y, por lo tanto, vulnerable a fuerza bruta", dijo Sabby a Anybhav.

Subby explicó que obtuvo el control de un total de más de 40.000 dispositivos en solo una semana, un "poder de fuego" desconcertante que podría ser objeto de abuso por parte de varios threat actors.

"En la primera semana de fuerza bruta, superé los 40.000 dispositivos. Posiblemente fue un número bastante inflado debido a las duplicidades. Está bien documentado que a los operadores de redes de bots les gusta aumentar su contador de bots. Estimo que el número está más cerca de 25.000 dispositivos únicos. Pude obtener un gráfico de tráfico de red fiable producido del tráfico generado de todas las redes de bots combinadas y fue un poco menos de 300 gbit/s", continúa Subby.

Sabby explicó que inicialmente hackeó las botnets de IoT para ver la eficiencia de usar fuerza bruta contra paneles de administración de C2 para hacerse con una red de bots, en lugar de usar exploits.

En definitiva, Sabby demostró que es muy fácil para los actores construir botnets de IoT que podrían usarse para muchas actividades maliciosas.

Fuente: HackPlayers | SecurityAffairs

Lo que se sabe de Huawei, Android y AOSP hasta ahora

La relación entre Google y Huawei se tambalea debido a la última orden ejecutiva firmada por el presidente Donald Trump el pasado jueves, y todo parece indicar que veremos pronto sus consecuencias. Según informa Reuters y confirma The Verge, Google ha decidido suspender con Huawei aquellos negocios que requieran transferencia de hardware y software, salvo aquellos cubiertos por licencias open source.

De confirmarse lo que dice Reuters, esta decisión dejaría a Huawei sin acceso a actualizaciones de Android y los próximos teléfonos de la firma fuera de China perderían además el acceso a diversas aplicaciones de Google, como la Play Store y Gmail.

Google ya se ha pronunciado al respecto, al igual que Huawei. Ambas compañías confirman que en los teléfonos actuales no habrá muchos cambios, pero dejan la incógnita sobre qué pasará en futuros modelos. Con la información disponible, intentamos explicar qué va a pasar con los teléfonos de Huawei, y atención porque otros como Intel y Qualcomm también podrían sumarse al veto. Aquí puedes leer toda nuestra cobertura sobre este caso.

Huawei seguirá teniendo acceso a Play Store y sus actualizaciones en los móviles actuales, por lo que el caso que te planteamos es el que nos encontraríamos ante una ROM AOSP (o una ROM personalizada por Huawei) sin presencia alguna de Google. No obstante, las próximas versiones contarían con una nueva versión de Android basada en AOSP

En primer lugar, al encender el teléfono, no nos encontraríamos con el asistente de configuración de Google. Huawei tendría que darle una vuelta al actual (el cual es una modificación sobre la base del de Google), ya que no podría incluirse la página en la que se nos invita a incluir nuestra cuenta de Google.
Ante este escenario, cabe explicar y aclarar qué es AOSP, el verdadero Android puro, sin servicios de Google. ¿Podría funcionar un Huawei o cualquier otro Android con esta ROM? Si las aplicaciones en Android son instalables de forma externa, ¿podríamos instalar las apps de Google aparte si la compañía las prohibiese?

Huawei continuará teniendo acceso al sistema operativo Android ya que es un sistema open source y abierto a todos, sin embargo Google eliminaría a Huawei el acceso a sus servicios. Una decisión que también afectaría en que Google dejaría de ofrecer asistencia técnica a Huawei y soporte en relación con Android.

Según explica Reuters, en Google todavía se está discutiendo internamente los detalles sobre servicios concretos. Por parte de Huawei, todavía están estudiando el impacto que tendrán las acciones aprobadas por el Departamento de Comercio de los Estados Unidos. En respuesta a la orden ejecutiva de la Administración Trump, Huawei comunicó que "están dispuestos a colaborar con el gobierno de EEUU y proponer medidas efectivas para garantizar la seguridad del producto".

Si finalmente Google decide cortar su relación con Huawei, el fabricante chino se quedará sin acceso a las actualizaciones de Android Q para sus actuales teléfonos, ya que estas dependen de la propia Google.

La marca podría seguir utilizando la base de Android (AOSP) que se puede utilizar de manera libre, pero sus próximos dispositivos tendrían que ofrecerse únicamente con su tienda de aplicaciones propia. Huawei dejaría de ofrecer el "Android de Google" en sus terminales, para pasar simplemente a ofrecer un fork de Android con sus propios servicios.

Si el informe de Reuters es correcto, los próximos teléfonos de Huawei se quedarían sin acceso a las aplicaciones de Google. Es decir, llegarían con EMUI y sus distintas aplicaciones propias, pero no tendrían preinstaladas las aplicaciones de Google ni los Google Mobile Services (Google Play Store, entre otras).
A principios de marzo, Richard Yu, CEO de Huawei, ya afirmó que en caso de tener que dejar de trabajar con Android disponían de un plan B. Aunque por supuesto, preferían trabajar con los ecosistemas de Google y Microsoft.

¿Qué es AOSP (Android Open Source Project)?

Si quieres vender un móvil Android has de pasar por la certificación de Google. Con cada versión de Android, se publica un documento en el que se explican los requisitos mínimos, asegurando así que cualquier terminal que los cumpla, funcionará correctamente (dentro de estos mínimos). Además de esta certificación, es necesario pasar también por una segunda, en la que se comprueba que el dispositivo cumple los requisitos para ser distribuido a nivel comercial.

Aparte de estos mínimos, Google ha logrado crear servicios imprescindibles para muchos usuarios como Google Chrome, Gmail, YouTube… Para alojarlos, junto al resto de aplicaciones, creó Google Play Store, la tienda de aplicaciones de Google.

Sin embargo, cuando se habla de Android hay que diferenciar claramente entre dos versiones: AOSP (Android Open Source Project), la base abierta disponible para todo el mundo y el Android con los servicios de Google, que se ofrece en los móviles de la mayoría de fabricantes.
<
Para entender la diferencia entre estas versiones hay que ir al origen mismo de Android. No debemos entender Android como un sistema operativo, sino como una plataforma móvil compuesta de una base, AOSP, a la que debemos sumar los Google Mobile Services y las Google Apps. Mientras que la base AOSP es abierta, el resto de componentes pertenece directamente a Google y queda bajo su regulación. Cuando se habla de "Android puro" en realidad nos referimos tradicionalmente a un "Android puramente Google".

Huawei, como miembro de la Open Handset Alliance desde 2008, tiene acceso al código de AOSP pero hoy en día ofrece en sus teléfonos el sistema Android de Google. Es decir, la base AOSP más los servicios y aplicaciones de Google. Tres pilares clave a los que después Huawei, al igual que otros fabricantes, añade sus propias aplicaciones.

AOSP está compuesto por múltiples niveles; el kernel linux, las distintas librerías hasta las capas más superficiales como el gestor de descargas o el panel de notificaciones. AOSP dispone también de aplicaciones básicas como un navegador, una alarma o una aplicación de fotos. Pero Google en vez de actualizar estas versiones abiertas, lo que ha hecho ha sido crear alternativas propias y subirlas a Google Play.

Con el bloqueo de Google, Huawei podría seguir utilizando la base AOSP pero se quedaría sin todos los paquetes adicionales de Google. Hablamos de Google Play, pero también Chrome, Gmail, Youtube y los Play Services para sincronizar toda la información. Estas aplicaciones por si solas ya representarían una dura pérdida para Huawei, pero es todavía más significativo si tenemos en cuenta que con las nuevas versiones de Android, las innovaciones han ido a parar a la parte de Google y no tanto al propio núcleo abierto de AOSP.

Un Huawei basado en AOSP perdería servicios como la sincronización automática de las fotos, las APIs de localización, los servicios de desbloqueo inteligente, Google Play Games, la compatibilidad con Android Auto, Android Webview, el soporte a Chromecast e incluso herramientas tan importantes como Google Play Protect, una capa de seguridad responsable de que los móviles Android de hoy en día sean mucho menos vulnerables a los ataques.

Si Huawei decide presentar un móvil basado en AOSP, deberá desarrollar por su propia cuenta herramientas equivalentes a las de Google. Pero claro está, en Google llevan trabajando desde hace años en estos servicios.

Claro está, AOSP sí dispone de una capa de seguridad, pero es a través de los 'Google Security Services' donde Google analiza y verifica miles de aplicaciones para dar una capa extra de seguridad. Afortunadamente, desde agosto de 2015 se ofrecen parches mensuales de seguridad de AOSP. Una capa de seguridad ofrecida tanto por Google como por los propios fabricantes. Debido a esta naturaleza abierta de los parches de seguridad, Huawei podrá seguir ofreciendo actualizaciones de seguridad a sus dispositivos.

Para incluir estos servicios de Google en un terminal Android que se vaya a comercializar, es necesario pagar un canon. Por lo general, la mayoría de los fabricantes lo pagan, ya que los servicios de Google son necesarios para que un usuario medio pueda utilizar el móvil. No obstante, algunos fabricantes como Xiaomi no incluyen estos servicios en la ROM china, situándonos ante el escenario que hoy muchos se plantean, ¿cómo sería un Huawei sin Google?

Por parte de Huawei, algunos usuarios se preguntan si sería posible crear un fork como MIUI que, en países como China, funciona sin servicios de Google. De hecho, en esta ROM podemos instalar las aplicaciones de Google de forma sencilla, aunque al tratarse de un bloqueo por parte de Google, no sabemos aún si este método funcionaría en los móviles de Huawei. A la pregunta de si un nuevo fork es viable, la respuesta es que sí y, de hecho, Huawei ya tiene planes para un nuevo sistema operativo para reemplazar a Android.
Fuente: Xataka I, II, III

20 may. 2019

The hacker's hardware toolkit: catálogo con más de 100 gadgets para hackers

Yago Hansen (@yadox) ha compartido "The hacker's hardware toolkit" que fue presentado en #HITBAMS2019 y #HITBHaxpo. Se trata de un catálogo con una gran colección de dispositivos de hardware para hackers, pentesters y red teamers.

Incluye más de 120 gadgets clasificados en ocho categorías diferentes y superan los U$S10.000:
  1. Mini Computers: La mejor selección de mini PCs, mini placas base, etc. Las mejores herramientas para manejar todos los demás periféricos de hardware de tus proyectos.
  2. RF: Las mejores herramientas para hackear, analizar, modificar o responder a cualquier señal de radiofrecuencia. Herramientas para hackear controladores inalámbricos, GPS, teléfonos celulares, señales satelitales, etc. 
  3. Wi-Fi: El kit de herramientas para un experto en Wi-Fi como Yago. Estas herramientas permiten el sniffing en modo monitor, enumeración, inyección, etc. Algunas herramientas como deautenticadores y amplificadores solo deben usarse en entornos de laboratorio. 
  4. RFID / NFC: Bonita colección de herramientas profesionales y para principiantes para investigar sobre las tecnologías RFID y NFC basadas en tarjetas contactless LF (baja frecuencia) y HF (alta frecuencia), etiquetas y tarjetas. Herramientas de hacking para controles de acceso, garajes, tiendas, etc. 
  5. HID / Keyloggers: HID (hardware input devices) como los ratones y los teclados USB están abiertos a un ataque de inyección de pulsaciones de teclas (keystrokes). Muchos de estos dispositivos como rubberducky, badusb, badusb ninja, etc. están aumentando sus capacidades y efectividad. Los keyloggers de hardware siguen siendo una de las mejores opciones para la captura de credenciales. 
  6. Network: Los routers pequeños, los taps y otros dispositivos de red similares basados en Linux pueden ser el compañero perfecto para un pentesting interno. Aquí encontraremos muchos mini routers basados en OpenWRT / LEDE que se pueden personalizar para pentesting de red. 
  7. BUS: Hay muchas tecnologías y protocolos de bus diferentes, y un hacker de hardware debe poseer muchas herramientas para descubrir y "hablar" con dichos buses. Algunas de las categorías incluidas aquí son: hacking de automóviles, hacking de placas base y PCB, industrial, etc. 
  8. Accesorios: No son suficientes solo las herramientas anteriores para crear nuestro dispositivo de hacking propio. Si vamos a construir un sistema funcional, también necesitaremos muchos accesorios como baterías, cargadores, gps, sensores, DC-DC, equipos de laboratorio, etc. 
El catálogo puede descargarse en formato PDF desde aquí.

Nota del autor: aclarar que este NO es un catálogo comercial, incluso si se ve así.
Yago no tiene ningún interés personal en vender ninguna de las herramientas mostradas, sólo compartir muchas de las herramientas que ha usado para diferentes propósitos de hacking. Cualquier herramienta que no esté disponible para ser comprada online, será excluida del catálogo. Todas las herramientas muestran un precio aproximado y una tienda online donde se puede comprar. Todos los códigos OCR incluyen el enlace a una tienda online que se envía a Europa y, por supuesto, no son maliciosos.

Proyecto y términos para contribuciones: https://github.com/yadox666/The-Hackers-Hardware-Toolkit.

Fuente:  Yago Hansen

Nuevos ataques de Magecart a MyPillow, Amerisleep y a la revista Forbes

Los investigadores de ciberseguridad siguen revelado detalles de tres nuevos ataques de Magecart recientemente identificados dirigidos a los compradores en línea de las tiendas de ropa de cama MyPillow y Amerisleep y a la revista Forbes.

Magecart es un término genérico que los investigadores dieron a por lo menos 11 grupos de hacking diferentes que se especializan en implantar código malicioso en sitios web de comercio electrónico con la intención de robar en silencio los datos de las tarjetas de pago de sus clientes.

Magecart apareció en los titulares el año pasado después de que los atacantes llevaran a cabo varios ataques de alto perfil contra importantes compañías internacionales, entre ellas British Airways, Ticketmaster y Newegg.

Los delincuentes de Magecart utilizan un skimmer digital de tarjetas de pago, unas pocas líneas de código Javascript malicioso que insertan en la página de pago de los sitios web pirateados y que están diseñados para capturar la información de pago de los clientes en tiempo real y luego enviarla a un servidor controlado por un atacante remoto.

A principios de este año, los atacantes de Magecart también comprometieron a casi 277 sitios web de comercio electrónico en un ataque a la cadena de suministro al insertar su código de skimming en una popular biblioteca JavaScript de terceros de Adverline.

Ataques a MyPillow y Amerisleep

En un nuevo informe RiskIQ, los investigadores revelaron dos nuevas infracciones relacionadas con Magecart que comprometieron a los minoristas de ropa de cama en línea MyPillow y Amerisleep y robaron la información de pago de sus clientes. Los delincuentes implantaron un código digital de skimming en ambos sitios web y consiguieron robar las tarjetas de pago de sus clientes durante las transacciones en línea.
ciberseguridad, ciberataques - El nuevo MageCart ataca a los minoristas de ropa de cama MyPillow y Amerisleep
MyPillow fue violado por los atacantes de Magecart en octubre del año pasado, cuando los atacantes insertaron un script de skimming malicioso en el sitio que estaba alojado en un dominio similar (también conocido como TypoSquatting) con un certificado SSL de LetsEncrypt.

Otra empresa de colchones, Amerisleep, fue atacada varias veces en 2017 por los atacantes de Magecart para robar las tarjetas de sus clientes durante las transacciones en línea, pero volvió a ser víctima del ataque en diciembre de 2018, cuando los atacantes de Magecart alojaron código malicioso que contenía skimmers en una cuenta de Github.
El nuevo MageCart ataca a los minoristas de ropa de cama MyPillow y Amerisleep
A pesar de haber sido atacados durante varios meses, ni MyPillow ni Amerisleep emitieron ninguna alerta o declaración oficial advirtiendo a sus clientes sobre el ataque a Magecart que podría haber comprometido sus datos de pago.

Ataques a Forbes

Magecard consiguió inyectar un Javascript en Forbes que enviaba a sus propios servidores los datos de la tarjeta de crédito de cualquiera que quisiera suscribirse. Este es un éxito reciente del grupo al vulnerar una web muy popular, tras varios meses centrados en páginas menos populares pero probablemente, igual de productivas por volumen de páginas comprometidas.
Magecart y sus técnicas están evolucionando constantemente. Hace unos meses se descubrió que utilizan imágenes descargadas en cuyas propiedades se esconden los enlaces necesarios, por ejemplo.  Otras mejoras "interesantes" es que se "inyectan" en la página con fórmulas más sofisticada para activarse cuando se envían los datos de la tarjeta. Por ejemplo, están experimentando con el "hookeo" de la tecla "intro", y no solo el botón "submit".

A finales de 2018 se descubrió además que si encontraban código de otro grupo robando las tarjetas de crédito además de ellos en una web, le enviaban datos falsos.

Dado que los atacantes suelen explotar vulnerabilidades conocidas en el software de comercio electrónico en línea, se recomienda encarecidamente a los administradores de sitios web que sigan las mejores prácticas estándar, como la aplicación de las últimas actualizaciones y parches, la limitación de los privilegios para los sistemas críticos y el endurecimiento de los servidores web.

Los compradores en línea también deben revisar regularmente los estados de cuenta de sus tarjetas de crédito y de sus bancos en busca de actividades desconocidas. No importa lo pequeña que sea la transacción no autorizada que usted note, los usuarios afectados siempre deben reportarla a sus instituciones financieras inmediatamente.

Fuente: SerHacker