18 nov. 2018

Buscadores para Instagram (OSINT)

Hace ya tiempo que tenía pendiente hablar de alguna herramienta sencilla para realizar las primeras aproximaciones de monitorización y búsqueda dentro de la red social Instagram, así que ¡aquí estamos con mis palabras mágicas de hoy!

Ya casi todo el mundo conoce bien a esta red social, especialmente a raíz de haber sido comprada por Facebook en el 2012, lo que le ha generado unos magníficos beneficios para una de las redes sociales más pioneras y a Instagram le ha servido para aumentar su popularidad.

Por aquel entonces ya se observaba que las nuevas generaciones eran mucho más visuales que hasta el momento, algo confirmado especialmente con las sorprendentes cifras de vídeos vistos por YouTube.

Nacía así una nueva generación de redes sociales, cuyo tirón inicial lo introdujo Pinterest, hoy totalmente especializada o dirigida hacia el e-commerce.

La novedad que introducía Instagram, además de centrarse sólo en dispositivos móviles, era la posibilidad de capturar un momento concreto de la vida en formato imagen (por aquel entonces estática), que además se podía modificar y mejorar con diferentes filtros. Se apelaba así a la conocida frase popular de "una imagen vale más que mil palabras".

El éxito fue tan rotundo, que la capacidad de reducir esa realidad a una foto fija revolucionó el uso de las redes y los móviles, a los que forzó a mejorar las cámaras para poder compartir mejores fotografías.

Hoy en día, Instagram se ha reinventado a sí misma, rompiendo el estatismo de la foto fija para poder registrar momentos en movimiento con pequeños vídeos (lo que sería una evolución de los viejos .gif animados). Y por supuesto, ha encontrado un mercado muy interesante en las grandes marcas, especialmente de retail, que utilizan a los influencer para dar a conocer sus productos.

Pero además del ámbito más marketiniano, Instagram se utiliza cada vez más por los ciudadanos para expresar su opinión, sus sentimientos, su vida, etc. De manera que poco a poco se va convirtiendo en una herramienta más que permite cierta comprensión de las tendencias sociales.

a) Todo son imágenes

El principal reto de esta red social es el hecho de que la información base está en formato imagen, por lo que, aunque tengas la posibilidad de descargarte los datos, se dificulta el scraping.

Esto obliga a tener que realizar monitorizaciones avanzadas de imagen, algo que no está al alcance de cualquier analista.

b) El engaño de los hashtag

El hábito de usar los hashtag viene de la red social Twitter, por lo que podemos caer en la creencia de que su uso es similar, sin embargo no es así:
  • Por ejemplo, en Twitter no es normal incluir más de 5 o 6 hashtag acompañando a texto, entre otras cosas, porque pierdes caracteres, mientras que en Instagram lo normal es incluir fotos con más de 4 hashtag, incluso a veces 10.
  • Los hashtag de Instagram están más centrados en mencionar ciudades, ideologías, hobbies, momentos, etc., como por ejemplo #capitalismo o #GoodFood; frente a los de Twitter que buscan más el impacto de ideas singulares con gran carga emocional, como por ejemplo #ascodedia y que representan más a proclamas o lemas.
Si bien es cierto que el abuso de los hashtag genéricos en Instagram están impulsando que aparezcan singularidades para diferenciarse, siguen siendo dominantes. Así pues, en los hashtag genéricos se mezcla todo tipo de contenido y obliga a un análisis mayor del mismo.

c) Se comparte poco y se abusa del "me gusta"

Otra de las cuestiones es que en Instagram no existe como tal la viralización como conocemos en Twitter. Los trend topics, están relacionados con el uso continuado de los hashtag y no tanto con que un mensaje determinado se comparta de forma masiva.

A cambio, si en Twitter conseguir 100 me gusta es todo un record, en Instagram puede ser algo más o menos normal y se puede conseguir con una mayor dilatación del tiempo. Twitter se mueve mucho más rápido, por lo que es complejo conseguir que se pueda llegar a leer un mensaje, salvo que se esté viralizando. Mientras, en Instagram, el ritmo es más lento, con una media baja de publicación de mensajes (publicar uno al día es propio más de los influencers que del ciudadano común), lo que permite que aumenten los "me gusta" a lo largo de los días (algo impensable en Twitter, que se mueve en franjas virales de 24 horas máximo).

Así pues, ¿cuál es la mejor aproximación cuando inicias la fase de obtención de información? La inteligencia de descubrir los hashtag clave sobre aquello que monitorizas, sea del tema que sea.

Para conseguirlo te propongo de herramientas complementarias que pueden ayudarte. La idea es que las utilices para ir refinando qué hashtag son los que realmente te resultan de interés.

WEBSTAGRAM - https://web.stagram.com/

Con esta herramienta, podrás analizar qué hashtag contienen la palabra que buscas o sus derivados. Además, te muestra cuántos post hay asociados, lo que te permitirá conocer qué palabra es la más usada o está teniendo más éxito dentro de la red.

Por ejemplo, si buscas #Madrid, te encontrarás derivadas del tipo #Madridcity #realmadrid, #madridgrafias, etc. Así tendrás un mapa completo relacionado con tu keyword.

DISPLAYPURPOSES - https://displaypurposes.com/

Esta conocida herramienta para elegir el mejor hashtag y conseguir más seguidores, te permite relacionar el hashtag que usas con aquellos con los que se suele correlacionar con más frecuencia. Eso sí, sólo funciona para hashtag muy populares y elimina el ruido, por ejemplo del spam, (lo que no te interesa si justo estás analizando esto), aunque sí existe el hasthtag #spam y sus derivados (donde encuentras "algunas curiosidades"). Todo es cuestión de saber buscar.

Incluye un grafo cluster que además te permite comprender mejor las temáticas relacionadas con él.

Por ejemplo, en este caso, #Madrid se suele correlacionar casi siempre con #spain y #españa. Y tiene dos clúster principales, el de abajo relacionado con fútbol y el de arriba con turismo y ocio.

Por supuesto, si tienes opción de acceder o crear algún programa que te ¿ permita bajarte en csv todos los hashtag con sus correlaciones podrás profundizar mucho más. Pero tal vez estos dos buscadores te permitan empezar.

Fuente: Magic Words of Intelligence

17 nov. 2018

Prowler: herramientas de defensa de Amazon Web Server

Esta lista contiene una gran cantidad de herramientas defensivas, ofensivas, DFIR, de auditoría, etc. para AWS.
Prowler: AWS CIS Benchmark Tool es un repositorio de herramienta de evaluación de mejores prácticas de seguridad, auditoría, fortalecimiento y análisis forense de AWS y sigue los lineamientos del CIS Amazon Web Services Foundations Benchmark y verificaciones adicionales.

Contenido

Dentro del Repositorio tenemos más información sobre ellas y aquí hay otras herramientas similares.

Fuente: Prowler

16 nov. 2018

Error de Gmail permite manipular el remitente

Este error se basa en la forma en la que Gmail controla la estructura del remitente, "De:". De ser explotado, se podría poner cualquier dirección de e-mail de forma arbitraria en este campo. Esto podría confundir a los usuarios sobre correos que han mandado y a quién.

Este fallo ha sido descubierto por el investigador de seguridad Tim Cotten. Ha visto recientemente este problema después de que un empleado de su compañía viera algunos mensajes dentro de su cuenta de Gmail que no recordaba haber enviado.Rápidamente este investigador de seguridad se puso a intentar ver la procedencia del problema. Encontró que realmente estos correos no habían sido enviados desde la cuenta del trabajador. Por el contrario, fueron recibidos a través de una cuenta externa y posteriormente se archivaron en la carpeta de Enviados de forma automática.
El motivo del error lo descubrió después de ver la estructura del encabezado "De:". Aquí mostraba una anomalía, ya que contenía la dirección del remitente junto a la del destinatario.

El investigador informa de que al estructurar el campo "De:" para introducir la dirección del destinatario junto al texto, Gmail lo que hace es filtrar y organiza el mensaje como si hubiera sido enviado por el destinatario.

Según informan desde Bleeping Computer, Tim Cotten se puso en contacto con Google y, al momento de escribir este artículo, el problema sigue existiendo y no ha sido solucionado.

En cualquier caso, si un atacante decide utilizar la dirección del destinatario en el encabezado "De:", hay algunas pistas que alertan de que algo va mal. Veríamos ese correo en la bandeja de entrada y además, la copia en la carpeta Enviados, aparece con el asunto en negrita.

Además de esta problemática, Cotten también informó de que los atacantes podrían aprovechar este fallo para enviar links maliciosos. También informó de que sería técnicamente posible agregar cualquier dirección de correo al encabezado entre comillas. Esto permitiría falsificar al remitente. 

En definitiva, este error de Gmail podría permitir modificar el remitente de un correo. Es previsible que la conocida plataforma de correos electrónicos solucione este problema. Sin embargo al tiempo de escribir este artículo todavía no había sido resuelto.

La seguridad y privacidad son aspectos importantes para los usuarios de este tipo de servicios. En un artículo anterior explicamos cómo saber si hay algún intruso en nuestra cuenta de correo electrónico. De esta manera podríamos evitar posibles riesgos para nuestra privacidad y seguridad.

Fuente: Bleeping Computer

15 nov. 2018

iPhone X, S9 y Mi6 hackeados en Pwn2Own 2018

En la competencia de hacking móvil Pwn2Own 2018 celebrada en Tokio del 13 al 14 de noviembre, los hackers demostraron una vez más que incluso los teléfonos inteligentes totalmente parcheados, que ejecutan la última versión del software de los fabricantes, pueden ser hackeados.

Tres de los principales teléfonos inteligentes emblemáticos, iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, se encontraban entre los dispositivos que fueron hackeados con éxito en el concurso anual hacking móvil organizado por Zero Day Initiative (ZDI) de Trend Micro, lo que le dio a los hackers un total de U$S325.000. recompensa.
Pwn2Own Mobile Hacking Competition
Equipos de piratas informáticos participaron de diferentes países o representaron a diferentes compañías de seguridad cibernética que revelaron un total de 18 vulnerabilidades de día cero en dispositivos móviles creadas por Apple, Samsung y Xiaomi, así como también vulnerabilidades diseñadas que les permitieron controlar completamente los dispositivos específicos.

Apple iPhone X con iOS 12.1 - ¡HACKED!

Un equipo de dos investigadores, Richard Zhu y Amat Cama, que se llamaron a sí mismos Fluoroacetate, descubrieron y lograron explotar un par de vulnerabilidades en un iPhone X de Apple completamente parcheado a través de Wi-Fi.

El dúo combinó una vulnerabilidad just-in-time (JIT) en el navegador web de iOS (Safari) junto con un error de escritura out-of-bounds que les permitió escapar la sandbox, escalar previlegios y eliminar datos del iPhone con iOS 12.1.

Para su demostración, la pareja optó por recuperar una foto que se había eliminado recientemente del iPhone, lo que sin duda fue una sorpresa para la persona de la imagen. La investigación les ganó U$S50.000.

El equipo de Fluoroacetate también intentó explotar la banda base en el iPhone X, pero no pudo hacer funcionar su exploit en el tiempo asignado.

Otro equipo de investigadores de MWR Labs (una división de F-Secure), con sede en el Reino Unido, que incluía a Georgi Geshev, Fabi Beterke y Rob Miller, también apuntó al iPhone X en la categoría de navegador, pero no logró poner en funcionamiento su vulnerabilidad en el tiempo asignado. De todos modos ZDI dijo que adquirirá esas vulnerabilidades a través de su programa general de bugs.

Samsung Galaxy S9 - ¡HACKED!

Además del iPhone X, el equipo de Fluoroacetate también atacó el Samsung Galaxy S9 explotando una vulnerabilidad de desbordamiento de memoria en el componente de banda base del teléfono y obteniendo una ejecución del código. El equipo ganó otros U$S 50.000 en premios en efectivo por este logro.

"Los ataques de banda base son especialmente preocupantes, ya que alguien puede elegir no unirse a una red Wi-Fi, pero no tienen tal control al conectarse a la banda base", escribió Zero Day Initiative en una publicación de blog.

El equipo de MWR descubrió otras tres vulnerabilidades, que las combinaron para explotar con éxito el Samsung Galaxy S9 a través de Wi-Fi al obligar al dispositivo a un portal cautivo sin ninguna interacción del usuario.

Luego, el equipo usó una redirección insegura y una carga de aplicación insegura para instalar su aplicación personalizada en el dispositivo Samsung Galaxy S9 de destino. MWR Labs fue recompensado con U$S 30.000 por su logro.

Xiaomi Mi6 - ¡HACKED!

Fluoroacetate no se detuvo. El equipo también logró explotar con éxito el teléfono Xiaomi Mi6 a través de NFC. "Al usar la función touch-to-connect, forzaron al teléfono a abrir el navegador web y navegar a una página web especialmente diseñada. Durante la demostración, ni siquiera nos dimos cuenta de que la acción estaba ocurriendo hasta que fue demasiado tarde. En otras palabras, un usuario no tendría oportunidad de evitar que esta acción ocurra en el mundo real".
Por esta vulnerabilidad el equipo ganó otros U$S30.000 en premios.

En el día 2 de la competencia, este equipo de también utilizó con éxito una vulnerabilidad de desbordamiento de entero en el motor de JavaScript del navegador web del teléfono inteligente Xiaomi Mi6 que les permitió eliminar una imagen del dispositivo. Ganaron otros U$S 25.000.

MWR Labs también probó el teléfono Xiaomi Mi6 y combinó cinco errores diferentes para instalar silenciosamente una aplicación personalizada a través de JavaScript, omitir la lista blanca de la aplicación e iniciarla automáticamente.

Para lograr su objetivo, los hackers obligaron al navegador web predeterminado del teléfono Xiaomi Mi6 a navegar a un sitio web malicioso, cuando el teléfono se conectaba a un servidor de Wi-Fi controlado por ellos. La combinación de las vulnerabilidades le otorgó otros U$S 30.000.

El día 2, el equipo de MWR combinó una falla en las descargas junto con una instalación de aplicación silenciosa para cargar una aplicación personalizada y eliminar algunas imágenes del teléfono. Esto les valió otros U$S 25.000.

Por su parte, un investigador independiente, Michael Contreras, logró explotar una vulnerabilidad de confusión de tipo JavaScript para obtener la ejecución de código en el teléfono Xiaomi Mi6. Se ganó U$S 25.000.

Fuente: THN

RAT FlawedAmmyy, uno de los más destacados en 2018

Los investigadores de seguridad de Check Point han mostrado las 10 amenazas de malware más importantes que han detectado. Aquí han recopilado informes sobre ransomware, mineros ocultos, troyanos y malware muy diverso. Entre todos ellos, en esa lista top 10, se encuentra FlawedAmmyy.

En marzo pasado, los investigadores de Proofpoint descubrieron un troyano de acceso remoto llamado FlawedAmmyy que se ha utilizado desde principios de 2016 tanto en ataques de correo electrónico altamente dirigidos como en campañas masivas de múltiples millones de mensajes. Los ataques restringidos se dirigieron a la industria automotriz, entre otros, mientras que las grandes campañas de spam malicioso parecen estar asociadas con el actor de TA505, responsable de muchos ataques a gran escala desde al menos 2014.
Lo más destacado del asunto es que por primera vez en la historia, un troyano de acceso remoto se ha colado en la lista de las 10 amenazas de seguridad más importantes.

No se trata de una amenaza reciente, ya que lleva existiendo desde principios de este año. Ofrece al ciberdelincuente un acceso completo al equipo de la víctima. Está basado en un software de acceso remoto legítimo, por lo que permite al atacante obtener una puerta trasera en el sistema y poder robar archivos, credenciales, etc. Incluso podría realizar capturas de pantalla o grabar vídeos.

Este troyano ha sido distribuido de varias formas. Un ejemplo es a través de campañas masivas de Spam, haciendo uso de la botnet Necurs. También ha sido difundido a través de correos electrónicos maliciosos que contenían phishing.

Como hemos mencionado, una de las formas por las cuales se distribuye FlawedAmmyy es a través del correo electrónico. Hay que prestar mucha atención a los e-mails que recibimos. Especialmente cuando vienen de contactos desconocidos o cuando traen archivos adjuntos.

Fuente: ZDNET

Gestión de riesgos de seguridad en servicios de valores

Las consecuencias adversas significativas asociadas con los ataques cibernéticos se ven con demasiada frecuencia en muchas industrias, servicios y entornos de infraestructura.
Este documento "Cyber Security Risk Management in Securities Services" [PDF] publicado por International Securities Services Association (ISSA) proporciona una evaluación de las amenazas y riesgos específicos y explica por qué ISSA considera que esta amenaza es real y requiere un enfoque urgente y constante para quienes operan en este espacio.

En su Informe de Riesgos Globales para 2018 [PDF] el Foro Económico Mundial (WEF) consideró que los ataques cibernéticos ocupan el tercer lugar en los 10 principales riesgos desde una perspectiva de probabilidad y el sexto en términos de impacto.
Sin embargo, el Grupo de Trabajo de ISSA cree que los principales ataques cibernéticos provocados por el deseo de interrumpir materialmente la infraestructura clave son los más importantes y de mayor impacto de las amenazas que enfrentan. Los administradores de valores son la infraestructura del sector de inversión, las empresas de servicios financieros importantes a nivel mundial y nacional, junto con los servicios públicos de toda la industria (como SWIFT) y su interrupción podrían tener un efecto adverso importante. Efecto sobre el flujo de dinero a nivel nacional e internacional como ya se ha visto en el caso de SWIFT.

Si bien los ataques cibernéticos de alto perfil dentro del sector de servicios financieros demuestran que una motivación principal ha sido el robo de dinero a través de los mecanismos de pago a través del sector de Servicios de Pago, el propio sector de Servicios de Valores es un generador importante de movimientos de dinero, particularmente a través de la liquidación de operaciones con valores, eventos de renta y acciones corporativas.

Las firmas de servicios de valores tienen datos importantes de clientes que incluyen detalles de cuentas a los que se realizan los pagos. El flujo de caja de valores se conoce (por ejemplo, las fechas de pago de dividendos) y se publica. El riesgo de alteración fraudulenta de estos registros de cuenta, sabiendo que los pagos se realizarán en fechas establecidas, es un posible factor motivador para un ciberataque.

El riesgo aumenta aún más si un administrador de valores presta servicios en los que los pagos / movimientos de efectivo no son esperados o controlados de manera inmediata por el receptor del pago.

El robo de valores puede considerarse menos atractivo para los atacantes cibernéticos que un fraude relacionado con el pago dado que el beneficio financiero requiere que los valores se intercambien por dinero (y, por lo tanto, se retrasará, lo que puede resultar en más tiempo para que el administrador de valores identifique y detenga la fraude). Sin embargo, las transacciones libres de pagos de entregas de valores pueden ocurrir fuera del intercambio y no siempre tienen controles coincidentes. Un análisis de los ataques cibernéticos muestra que los atacantes están preparados para ser pacientes.

Además del robo de activos y efectivo, los administradores de valores también pueden estar expuestos al robo de datos. Los libros, registros y bases de datos proporcionados brindan a los atacantes la oportunidad de obtener datos que incluyen inversiones de clientes, detalles de cartera, desempeño y estrategia, información de relaciones y acuerdos de tarifas. Los datos robados por los atacantes cibernéticos pueden llevar a importantes demandas de rescate junto con daños materiales a la reputación. La amenaza cibernética que representan los estados nacionales y el crimen organizado también está aumentando. El ciberespacio sigue siendo un dominio operacional preferido para una amplia gama de espionaje industrial y un medio para que algunos estados nacionales respalden sus objetivos de política económica.1 Estos actores de amenazas, si tienen éxito, pueden permanecer residentes en los sistemas de información de un gestor de valores para obtener información para extranjeros objetivos de política.

Se puede descargar el documento completo desde aquí.

14 nov. 2018

Adobe parchea vulnerabilidades en Acrobat (una PoC pública)

Adobe ha publicado su actualización de seguridad mensual de los martes para el mes de noviembre. Esta actualización contiene parches para Flash Player, Adobe Acrobat y Reader, y Photoshop CC.

Ninguna de estas vulnerabilidades permite la ejecución de código remoto, pero todas ellas pueden dar lugar a una divulgación de información. Se recomienda encarecidamente que los usuarios actualicen para estar protegidos de estas vulnerabilidades.

APSB18-39: Actualizaciones de seguridad disponibles para Flash Player.

Esta actualización (CVE-2018-15978) parchea una vulnerabilidad de divulgación de información en Adobe Flash Player para Windows, macOS, Linux y Chrome OS. No se sabe si esta vulnerablidad estaba siendo usada activamente o que información es divulgada.

Esta vulnerabilidad fue descubierta por el investigador J00sean y fue parcheada en la versión 31.0.0.148.

APSB18-40: Actualizaciones de seguridad de Adobe Acrobat y Reader

Esta actualización (CVE-2018-15979) parchea una vulnerabilidad en Adobe Acrobat y Reader que puede llevar a la filtración de la contraseña hasheada NTLM de un usuario.

Esta vulnerabilidad fue descubierta por EdgeSpot que determino que la vulnerabilidad original CVE-2018-2993 nunca fue arreglada y que el PoC de Checkpoint seguía funcionando.

Esta vulnerabilidad esta parcheada en las últimas versiones de Acrobat y Reader.

APSB18-43: Actualizaciones de seguridad disponibles para Adobe Photoshop CC

Adobe ha lanzado actualizaciones de seguridad (CVE-2018-15980) para la versión 19.1.6 y anteriores de Adobe Photoshop CC. Esta vulnerabilidad fue descubierta por la iniciativa ZeroDay de TrendMicro y puede dar lugar a divulgación de información.

Esta vulnerabilidad ha sido parcheada en las versiones 19.1.7 y 20.0 de Photoshop CC.

Fuente: BleepingComputer

"El Ransomware es la principal ciberamenaza" [Europol]

El Ransomware mantiene la supremacía como la principal ciberamenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de Europol, Internet Organised Crime Threat Assessment (IOCTA) correspondiente a 2018.

El informe, "tiene como objetivo informar a los responsables de la toma de decisiones a nivel estratégico, político y táctico en la lucha contra la ciberdelincuencia, con el objetivo de dirigir el enfoque operativo para la aplicación de la ley en la UE", dice el informe de Europol, el órgano encargado de coordinar, apoyar y facilitar las operaciones de los cuerpos policiales europeos a nivel de la Unión.

Al igual que con otros tipos de malware, los ciberataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como mostró WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.

Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.

Cómo prevenir el Ransomware

un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos.

Por ello, si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es imprescindible para frenarlo. Te recordamos algunos consejos imprescindibles para frenarlo:
  1. Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows.
  2. Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
  3. Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  4. Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
  5. Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
  6. Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
  7. Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
  8. Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .EXE con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
  9. Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.
  10. Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio "limpio" y no tener que pagar el "rescate" exigido por estos ciberdelincuentes.

Otro tipo de malware en crecimiento

Europol señala en su informe otro tipo de malware en tendencia al alza. Uno de ellos es el cryptojacking, un ataque que requiere muchos menos recursos y gran rendimiento y es utilizado aprovechando las máquinas de las víctimas para explotar las criptomonedas.
Europol también espera que los kits de explotación como el principal vector de ataque de infecciones sigan disminuyendo, siendo reemplazados lentamente por otras técnicas y métodos más modernos, como el Protocolo de escritorio remoto (RDP), la ingeniería social y el correo no deseado o spam, con el Phishing como protagonista de las técnicas de ataque.

Las violaciones de datos también han aumentado después de la entrada en vigor del GDPR de la UE en mayo de 2018, el mayor cambio normativo de privacidad de las últimas dos décadas y un cambio de rumbo en la manera de recopilar y manejar los preciados datos personales.

Fuente: Europol

CAINE 10: nueva versión de esta distro para análisis forense

Algo más de un año después del lanzamiento de CAINE 9 llega la nueva versión de esta distro de Linux. Como sabemos, se trata de una distribución que podemos ejecutar como Live-CD y también poder instalar en nuestro equipo. Está orientada especialmente en el análisis forense.

Cuenta con un gran abanico de opciones disponibles. Ofrece una interfaz gráfica sencilla e intuitiva. Hay que mencionar que el proyecto de CAINE es totalmente de código abierto y gratuito.

CAINE 10 se basa en Ubuntu 18.04 de 64 bits y el Kernel es la versión 4.15.0-38. Esta versión puede iniciarse en modo seguro y, entre las cosas que más destaca, está la posibilidad de bloquear todos los dispositivos en bloque para utilizarlos solo en modo lectura. Con esto logramos que cualquier disco que conectemos esté libre de sufrir algún tipo de escritura accidental durante los análisis.
Esta nueva versión mejora la velocidad al arrancar. Utiliza para ello la RAM y podemos iniciar el sistema operativo en menos tiempo que en las versiones anteriores.

Agrega diferentes herramientas y novedades

Entre las herramientas que ha agregado podemos destacar Autopsy 4.9 o BTRFS. El servidor SSH viene deshabilitado de manera predeterminada, aunque podemos habilitarlo fácilmente en caso de que necesitemos utilizarlo. Ha agregado otras aplicaciones como Carbon14, OsintSpy, gMTP, ADB, Recoll, Afro, Stegosuite y otras muchas mejoras de software.

Muchas de estas herramientas están orientadas en la seguridad y análisis forenses, que es la base de CAINE 10. Además, algunas están pensadas para poder analizar sistemas Windows

Este sistema operativo está preparado para funcionar en cualquier sistema UEFI y Secure Boot. Podemos arrancar en modo BIOS o Legacy.

Esta distribución de Linux se basa en Ubuntu 18.04 de 64 bits (solamente) y podemos descargarla gratuitamente desde su página oficial.

Recientemente hablamos de Tsurugi Linux, una distribución creada para realizar análisis de malware y hacking ético.

Descargas: Caine10.0.iso (64 bit) (MD5 - SHA256 ) - Mirror GARR - Mirror HALIFAX - Mirror CFItaly - Torrent

Fuente: CAINE

13 nov. 2018

HTTP/3 ya está aquí

Si habías oído hablar de ello, hasta el momento, habrá sido como HTTP-over-QUIC. Porque hasta ahora se trataba de un protocolo experimental, pero finalmente será renombrado a HTTP/3 para convertirse en la tercera versión oficial del protocolo HTTP. Será además la segunda tecnología experimental desarrollada por Google que acaba convirtiéndose en protocolo HTTP de forma oficial, después que SPDY se convirtiera en la base de HTTP/2. Esta tercera iteración combina HTTP/2, TCP, UDP y TLS –entre otras cosas-.
HTTP-over-QUIC- es una "reescritura" del protocolo HTTP basándose en QUIC en lugar de TCP como tecnología esencial. El nombre, de hecho, es QUIC por "Quick UDP Internet Connections". La intención de Google es que QUIC se convierta en el sustituto, aunque de forma progresiva, tanto de TCP como de UDP.

La empresa quiere que QUIC reemplace lentamente tanto TCP como UDP como el nuevo protocolo de elección para mover datos binarios a través de Internet, y por buenas razones, ya que las pruebas han demostrado que QUIC es más rápido y más seguro debido a su implementación cifrada por defecto (el borrador actual del protocolo HTTP-sobre-QUIC utiliza el protocolo TLS 1.3 recientemente lanzado).

Ya se ha definido HTTP/3 con HTTP-over-QUIC ¿cómo afectará esto a Internet?

Desde Chrome 29 y Opera 16 ya está implementado el soporte para HTTP-over-QUIC; es decir, que estos dos navegadores web ya están preparados para la transición. En un inicio, tan solo los servidores de Google aceptaban este tipo de conexiones, pero Facebook ya ha comenzado a adoptar esta tecnología, por ejemplo. A estas alturas, el 31,2% de los 10 millones de webs más importantes son compatibles con HTTP/2, que es la iteración vigente del protocolo, mientras que tan solo un 1,2% son compatibles con el que será HTTP/3, HTTP-over-QUIC.

Las ventajas de HTTP/3 están en un aumento de la eficiencia y reducción de la latencia, así como una mayor seguridad. Como muestra el esquema que acompaña a este artículo, se logra una latencia cero en "segundas conexiones" con un mismo servidor, mientras que una primera llamada supone 100 ms de latencia en relación a una conexión idéntica, pero con TCP + TLS. El intercambio de paquetes es menor, luego la eficiencia en la comunicación es superior. Y la incorporación de TLS en el propio protocolo supone un importante paso hacia el frente en términos de seguridad.

Fuente:  ZDdnet