8 jul. 2020

Libro "Microservices Security in Action" (2x1)

Las aplicaciones de Microservicios son colecciones de componentes independientes que "funcionan como un sistema". Asegurar los puntos finales y las API requiere nuevos enfoques de seguridad tanto en la infraestructura como en el código.

A medida que los microservicios continúan cambiando los sistemas de aplicaciones empresariales, los desarrolladores y arquitectos deben aprender a integrar la seguridad en su diseño e implementación. Debido a que los microservicios se crean como un sistema de componentes independientes, cada uno un posible punto de falla, pueden multiplicar el riesgo de seguridad.

El libro "Microservices Security in Action" de Prabath Siriwardena y Nuwan Dias (mirror) enseña cómo abordar los desafíos de seguridad específicos de microservicios en todo el sistema. Esta guía práctica incluye abundantes ejercicios prácticos con herramientas de código abierto líderes en la industria y ejemplos con Java y Spring Boot.
No confundir ese libro "Microservices Security in Action" con este otro también llamado "Microservices Security in Action" de Morgan Bruce y Paulo A. Pereira.

Ambos libros son un buena lectura complementaria a nuestro curso de "Seguridad en API y Serverless basado en OWASP" que brindaremos a partir de la última semana de julio.

Después de una introducción directa a los desafíos de la seguridad de los microservicios, se analizan los fundamentos para asegurar tanto el perímetro de la aplicación como la comunicación de servicio a servicio. Siguiendo un ejemplo práctico, se explora cómo implementar y proteger microservicios detrás de un Gateway API, así como cómo acceder a microservicios a los que accede una Aplicación de Página Única (SPA - Single-Page Application).

En el camino, los autores y expertos en seguridad de software arrojan luz sobre conceptos importantes en la comunicación de microservicios y API. También se analiza cómo implementar microservicios de forma segura utilizando tecnologías de vanguardia, como Kubernetes, Docker y los de servicios de Istio. Muchos ejercicios prácticos aseguran el aprendizaje a medida que se avanza, y esta guía sencilla se resume con una revisión del proceso de seguridad y mejores prácticas.

Fuente: Manning

DevSecOps para todos: E-book, encuesta y evento (for free)

DevSecOps Latinoamerica (@devsecops_latam) es la comunidad latinoamericana que conecta el mundo de desarrollo y seguridad en un mismo lugar.
La misión de esta comunidad es educar y permitir a los ingenieros de software integrar la seguridad en sus prácticas de desarrollo, mejorar y adaptar el mundo de seguridad satisfaciendo las necesidades de innovación y agilidad demandada hoy por hoy por los métodos como DevOps y Lean Start UP.

Recientemente han publicado una encuesta para abrir una serie de estudios sobre el Estado del Arte de DevSecOps en la region de latinoamerica, y busca investigar para conocer la adopción de las prácticas de DevSecOps, y el papel que juega este cambio cultural en la seguridad de las organizaciones.
Además, en este momento se encuentran organizando el evento #DSOLATAM2020, una conferencia anual dedicada a difundir la cultura DevSecOps en la region, del 27 al 31 de julio conferencias. Este es el primer evento de este tipo, con más de 30 hs de conocimiento, participanets de 20 países y más de 30 oradores.


Finalmente, en base a este tipo de estudios, desde hace tiempo, la comunidad viene publicando distintos e-book gratuitos que se pueden ver y descargar a continuación.

E-book DevSecOps "KEEP CALMS AND DEVSECOPS"

Vemos a muchas personas hoy por hoy hablar de DevOps o de DevSecOps sin conocer conceptos como CALMS los cuales fueron los pilares fundamentales para todo este cambio cultural. En este Ebook buscamos brindarles una introduccion en el concepto.


E-book DevSecOps "Security testing Automation

Desde DevSecOps Latinoamerica, en esta ocasion les compartimos este nuevo e-book generado en colaboracion con equipo de Cloud Legion, esperamos que puedan disfrutarlo leyendolo tanto como nosotros disfrutamos escribiendolo...


E-book DevSecOps "Infraestructuras Agiles el corazón de DevOps en IT OPS"

Desde DevSecOps Latinoamerica, En esta entrega vamos a revisar de punta a punta el concepto de INFRAESTRUCTURA ÁGIL y como se relaciona con DevOps y DevSecOps pero sobre todo como ayudo a los equipos de Ops ha lograr sinergia con los equipos de Dev...


E-book DevSecOps "Introduccion a Devops y DevSecOps"

Desde DevSecOps Latinoamerica, nos agrada compartir este e-book introductorio en la tematica de DevOps y como de la mano a ese cambio cultural se suman los SecOps, unificando el termino DevSecOps. Focalizando el mensaje que la seguridad es resposabilidad de todos.


Informe "50 Influential DevSecOps Professionals"

Desde DevSecOps Latinoamerica queremos compartirles la alegría de tener a Christian Ezequiel Ibiri y Luciano Moreira da Cruz seleccionados en la lista de los "50 Influential DevSecOps Professionals" este reconocimiento solo nos impulsa a seguir adelante.


E-book DevSecOps "Los casos de no exito de DevSecOps"

Aprendemos más de los fracasos que de los éxitos. Cuando algo sale como se esperaba, usamos ese proceso como una plantilla mental para futuros proyectos. El verdadero aprendizaje llega a través de la crisis. Si algo sale mal, tenemos que revolver, experimentar, hackear y seguir nuestro proceso.

Este e-book se publicará en los próximos días...


Fuente: DevSecOps Latinoamérica

7 jul. 2020

Freta: Microsoft lanza Free Linux Forensics y Rootkit Malware Detection Service

Microsoft ha anunciado Freta, una nueva iniciativa de uso gratuito destinada a descubrir evidencia forense de sabotaje en sistemas Linux, incluidos rootkits y malware intrusivo que de otro modo podrían pasar desapercibidos.

La oferta en la nube, denominada Project Freta, es un mecanismo forense de memoria basado en instantáneas que tiene como objetivo proporcionar una inspección de memoria volátil de sistema completo automatizada de instantáneas de máquinas virtuales (VM), con capacidades para detectar software malicioso, rootkits dekernel y otras técnicas de malware sigiloso como el proceso de ocultación. El proyecto lleva el nombre de la calle Freta de Varsovia, el lugar de nacimiento de Marie Curie, la famosa físico franco-polaco que trajo imágenes médicas derayos X al campo de batalla durante la Primera Guerra Mundial.

"El malware moderno es complejo, sofisticado y está diseñado con la no capacidad de descubrimiento como principio básico", dijo Mike Walker, director senior de New Security Ventures de Microsoft. "El Proyecto Freta tiene la intención de automatizar y democratizar el análisis forense de VM hasta el punto en que cada usuario y cada empresa puedan barrer la memoria volátil en busca de malware desconocido con solo presionar un botón, sin necesidad de configuración".

El objetivo es inferir la presencia de malware desde la memoria, al mismo tiempo ganar ventaja en la lucha contra los actores de amenazas que implementan y reutilizan malware sigiloso en los sistemas objetivo por motivos ulteriores y, lo que es más importante, hacen que la evasión sea inviable y aumenten el desarrollo. costo de malware en la nube no detectable.

A tal efecto, el "sistema de detección confiable" funciona abordando cuatro aspectos diferentes que harían que los sistemas sean inmunes a tales ataques:
  • Detectar la presencia de un sensor de seguridad antes de instalarse
  • Residir en un área que está fuera de la vista del sensor.
  • Detectando la operación del sensor y, en consecuencia, borrándose o modificándose para escapar de la detección, y
  • Alterar las funciones del sensor para causar sabotaje
Abierto a cualquier persona con una cuenta de Microsoft (MSA) o Azure Active Directory (AAD), Project Freta permite a los usuarios enviar imágenes de memoria (.vmrs, .lime, .core o .raw) a través de un portal en línea o una API. Esto genera un informe detallado que profundiza en diferentes secciones (módulos del núcleo, archivos en memoria, posibles rootkits, procesos y más) que se pueden exportar a través del formato JSON.

Microsoft dijo que se centró en Linux debido a la necesidad de tomar sistemas de huellas digitales en la nube de una manera independiente de la plataforma a partir de una imagen de memoria codificada. También citó la mayor complejidad del proyecto, dada la gran cantidad de kernel disponibles públicamente para Linux. Esta versión de lanzamiento inicial de Project Freta es compatible con más de 4.000 kernel de Linux.

También está en el proceso de agregar una capacidad de sensor que permite a los usuarios migrar la memoria volátil de máquinas virtuales en vivo a un entorno fuera de línea para un análisis posterior y más herramientas de toma de decisiones basadas en inteligencia artificial para la detección de amenazas.

Se puede acceder al portal de análisis en línea aquí. La documentación completa del Proyecto Freta está disponible aquí.

Fuente: THN

DuckDuckGo espia(ba) a sus usuarios de Android a través del favicon

DuckDuckGo es una de las mejores alternativas a Google. Este buscador estadounidense afirma ser más seguro que Google al no guardar información personal, ni tampoco compartirla con terceros. Tampoco utilizan tracking para mostrar anuncios personalizados ni rastrean la información navegando en incógnito. Sin embargo, acaban de pillar al buscador rastreando las visitas realizadas por el usuario.

Así lo ha descubierto el hacker ético @cowreth, que ha vuelto a analizar un fallo reportado en GitHub hace un año y al que se le restó importancia, y que afirmaba que las webs visitabas por el usuario acababan filtrándose a los servidores de DuckDuckGo.

El favicon de las webs que visitamos, recopilado por DuckDuckGo

El fallo consiste en que la aplicación de DuckDuckGo para Android recopila todos los dominios que el usuario visita. Cuando visitamos una web, la web llama a su propio servidor o comprueba la caché local del usuario del ordenador para descargar el favicon, mostrando en la pantalla del usuario cualquiera de las dos sea más reciente.

Sin embargo, en la app para Android, en lugar de solicitar el favicon a través de la web visitada o de la caché local del navegador, realiza una llamada a su propio servidor. Con ello, transfiere el historial de navegación del usuario a sus servidores sin que tenga permiso para ello. En julio del año pasado decían que este comportamiento era normal y que "confiásemos en ellos porque no recopilan ni comparten información personal, ya que está en su política de privacidad".

El problema es que nada de eso es un motivo convincente para almacenar los datos de las webs que visitan los usuarios en un servicio diferente a la caché local del navegador. Con los datos, la app puede organizar perfiles de usuarios basados en sus preferencias, y también pueden averiguar las direcciones IP desde las que se visitan esas páginas.

Su creador ha reconocido el fallo y promete arreglarlo

Tras la lluvia de críticas, el fundador y CEO de DuckDuckGo, Gabriel Weinberg, afirma que es la primera vez que tiene conocimiento de este fallo, y que van a solucionarlo de inmediato pasando a almacenar los favicons de manera local en el móvil. El cambio dice que lo aplicarán lo antes posible. El bug ya se ha solucionado.

Además, ha querido dejar claro que no han recopilado ninguna información personal en el proceso, que sus servicios están cifrados, y que cualquier información personal, como la dirección IP, queda desechada automáticamente siempre. No obstante, reconoce que lo más lógico es que esta información quede almacenada de manera local y que no llegue nunca a sus servidores, motivo por el cual van a realizar el cambio lo antes posible.

Es una pena que haya tenido que pasar un año y hayan tenido que acumularse quejas en medios y redes sociales para que hayan decidido implementar este cambio. DuckDuckGo es el buscador por defecto en navegadores como Tor Browser, y por ello la privacidad debe estar garantizada en todo momento.

Fuente: ADSLZone

6 jul. 2020

Magecart: grupo norcoreano Lazarus roba tarjetas de crédito de tiendas estadounidenses

Una nueva investigación indica que el grupo de delincuentes informáticos Lazarus, asociado al Estado de Corea del Norte, ha estado robando información de tarjetas de pago de clientes de grandes minoristas en los Estados Unidos y Europa durante al menos un año.

La actividad fraudulenta, que los investigadores atribuyen al grupo de atacantes Lazarus (Hidden Cobra), utilizó sitios web legítimos para filtrar los datos robados de la tarjeta de crédito y camuflar la operación.

Robar información de tarjetas de crédito de clientes de tiendas en línea se ha convertido en una amenaza creciente en los últimos años. Estos se conocen como ataques de MageCart y los actores de amenazas confían en scripts maliciosos (skimmers web) que copian la información confidencial de la página de pago.

Red de exfiltración

Mientras investigaban los robos de tarjetas de pago, los investigadores de la compañía de seguridad web Sansec descubrieron que los skimmers se cargaban desde dominios que servían malware en ataques exitosos de spear-phishing atribuidos a la actividad de delincuentes informáticos de Corea del Norte (RPDC), el grupo Lazarus en particular.

Este intercambio de la infraestructura junto con características de identificación únicas en el código ayudó a conectar los puntos y marcar los ataques de robo de tarjetas a Corea del Norte.

Las víctimas incluyen el gigante de accesorios Claire, Wongs Jewellers, Focus Camera, Paper Source, Jit Truck Parts, CBD Armor, Microbattery y Realchems. Sin embargo, la lista es mucho más grande e incluye docenas de tiendas.

Para cubrir sus huellas, los atacantes comprometieron sitios web de negocios legítimos para volcar la información de la tarjeta robada. Según los hallazgos de Sansec, el actor secuestró sitios pertenecientes a una agencia de modelos italiana (Lux Model Agency), una librería en Nueva Jersey, una tienda de música vintage de Teherán.

Registrar nombres de dominio similares a los de las tiendas de víctimas es otra táctica que parece dar frutos para Hidden Cobra. La imagen a continuación muestra los nodos de exfiltración (rojo) que los piratas informáticos de la RPDC utilizaron para recopilar información de la tarjeta de pago de las víctimas (verde).

Conectando los puntos

Los dominios de exfiltración han sido vinculados a los ataques cibernéticos de la RPDC por parte de múltiples compañías de ciberseguridad. Sirvieron a la distribución de malware después de las campañas de phishing que ocurrieron poco antes o después de los incidentes de descremado web:
En una campaña descubierta el 23 de junio de 2019, un skimmer en una tienda de EE.UU. para repuestos de camiones tenía una cadena codificada de doble base64 para "clientToken". La codificación específica y el intento de disfrazar la carga útil robada como "clientToken" forman una característica de identificación única, señala el informe.

Durante los siguientes meses, el mismo script malicioso infectó a varias docenas de tiendas para robar tarjetas. En otra campaña entre febrero y marzo de 2020, el grupo delictivo registró dominios que pueden confundirse fácilmente con los de Claire, Focus Camera y PaperSource. Más tarde, Sansec descubrió que los sitios de las tres marcas se habían visto comprometidos con malware de eliminación de pagos y los dominios falsos cargaron el script y recopilaron los datos recolectados.

Los investigadores admiten que existe la posibilidad de que estos ataques puedan ser el trabajo de otros actores, no relacionados con la RPDC, pero la posibilidad de control simultáneo sobre el mismo conjunto de sitios web secuestrados es poco probable. Una razón es que estos atacantes generalmente reclaman a la víctima para sí mismos y cierran la puerta a otros actores parcheando la vulnerabilidad que les dio acceso inicial.

Sansec cree que la RPDC ha llevado a cabo actividades de skimming digital a gran escala desde al menos mayo de 2019, como un medio alternativo para ganar dinero.

Fuente: BC

5 jul. 2020

Vulnerabilidad en F5 con puntaje CVSS 10/10 (Parchea CVE-2020-5902!)

La ejecución remota de código en dispositivos F5 BIG-IP expone a gobiernos, proveedores de la nube, ISP, bancos y muchas compañías de Fortune 500 a posibles intrusiones. F5 Networks, uno de los mayores proveedores mundiales de equipos de redes empresariales, ha publicado un aviso de seguridad esta semana advirtiendo a los clientes que corrijan una falla de seguridad peligrosa que es muy probable que se explote.

La vulnerabilidad afecta el producto BIG-IP de la compañía. Estos son dispositivos de red multipropósito que pueden funcionar como sistemas de configuración de tráfico web, balanceadores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL.
Identificado como CVE-2020-5902, Mikhail Klyuchnikov, investigador de seguridad de Positive Technologies, encontró el error BIG-IP y lo notificó en privado a F5. El error es una vulnerabilidad de Ejecución Remota de Código (RCE) en la interfaz de administración de BIG-IP, conocida como TMUI (Traffic Management User Interface). Los atacantes pueden explotar este error a través de Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP.

Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP malintencionada al servidor vulnerable. Los atacantes no necesitan credenciales válidas para atacar dispositivos, y una explotación exitosa puede permitir a los intrusos ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código arbitrario de Java, y eventualmente llevar a los atacantes a obtener el control total sobre El dispositivo BIG-IP.
La vulnerabilidad es tan peligrosa que recibió la rara puntuación de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSSv3. Este puntaje significa que el error de seguridad es fácil de explotar, automatizar, puede usarse en Internet y no requiere credenciales válidas o habilidades avanzadas de codificación para aprovecharlo.

Como coincidencia, esta fue la segunda falla 10/10 CVSS en un dispositivo de red divulgada esta semana, luego de que se revelara una falla crítica similar que afectaba a los dispositivos VPN y firewall de Palo Alto Networks el lunes.

Parchea urgente!

El Comando Cibernético de los Estados Unidos emitió una advertencia al sector privado y gubernamental esta semana para corregir el error de Palo Alto, ya que esperaban que los delincuentes informáticos estatales extranjeros intentaran explotar la vulnerabilidad. Una agencia de seguridad cibernética de EE.UU. no emitió ninguna advertencia oficial, pero el error F5 no es menos grave y es tan peligroso como el de Palo Alto.

"La urgencia de reparar este [error] no puede ser subestimada", dijo esta semana en Twitter Nate Warfield, un ex ingeniero de F5 Networks, y actualmente investigador de seguridad en Microsoft.

Actualmente, según una búsqueda de Shodan, hay alrededor de 8.400 dispositivos BIG-IP conectados en línea, ya hay scripts de nmap, exploits funcionales y ataques registrados in-the-wild.

Como el proceso de actualización puede ser traumático, mientras tanto, se puede limitar el acceso a TMUI por IP. La información de CVE-2020-5902 BIG-IP TMUI RCE está disponible aquí, con información sobre versiones y parches de firmware vulnerables.

Fuente: ZDNet

4 jul. 2020

"123456", esto es porqué las contraseñas deben desaparecer

En uno de los mayores estudios de reutilización de contraseñas de este tipo, un análisis de más de mil millones de credenciales filtradas descubrió que una de cada 142 contraseñas es la clásica cadena "123456".

El estudio, realizado el mes pasado por el estudiante de ingeniería informática Ata Hakçıl, analizó las combinaciones de nombre de usuario y contraseña que se filtraron en línea después de la violación de datos en varias compañías.

Estos "volcados de datos" han existido durante más de media década, y se han ido acumulando a medida que nuevas empresas están siendo hackeadas. Los volcados de datos están fácilmente disponibles en línea, en sitios como GitHub o GitLab, o se distribuyen libremente a través de foros de hackeo y portales de intercambio de archivos.

A lo largo de los años, las empresas tecnológicas han estado recopilando estos volcados de datos. Por ejemplo, Google, Microsoft y Apple han recopilado credenciales filtradas para crear sistemas de alerta internos que advierten a los usuarios cuando utilizan una contraseña "débil" o "común".

Resultados del estudio

El mes pasado, Hakçıl, un estudiante turco que estudiaba en una universidad de Chipre, descargó y analizó más de mil millones de credenciales filtradas. El descubrimiento principal fue que el conjunto de datos de credenciales de 1.000.000.000+ incluía solo 168.919.919 contraseñas únicas, de las cuales más de 7 millones eran la cadena "123456".

Esto significa que una de cada 142 contraseñas incluidas en la muestra que Hakçıl analizó era la contraseña más débil que se conoce hoy en día, siendo la cadena "123456" la contraseña en línea más comúnmente reutilizada durante los últimos cinco años seguidos, y contando.

Además, Hakçıl también descubrió que la longitud promedio de la contraseña suele ser de 9,48 caracteres, lo cual no es bueno, pero tampoco es terrible, ya que la mayoría de los expertos en seguridad recomiendan usar contraseñas el mayor tiempo posible, y generalmente en el ámbito de 16 a 24 caracteres o más.

Pero la longitud de la contraseña no fue el único problema que descubrió Hakçıl. El investigador turco dijo que la complejidad de la contraseña también era un problema, ya que solo el 12% de las contraseñas contenían un carácter especial.

En la mayoría de los casos, los usuarios eligieron contraseñas simplistas, como usar solo letras (29%) o números (13%). Esto significaba que alrededor del 42% de todas las contraseñas incluidas en el conjunto de datos de mil millones eran vulnerables a ataques rápidos de diccionario que permitirían a los actores de amenazas obtener acceso a las cuentas sin ningún esfuerzo o dificultad técnica.

Los resultados completos del estudio están disponibles en GitHub (junto a los diccionarios utilizados), con un breve resumen a continuación:
  • De más de 1.000.000.000 de líneas de vertederos, se filtraron 257.669.588 como datos corruptos (galimatías en formato incorrecto) o cuentas de prueba.
  • Mil millones de credenciales se reducen a 168.919.919 contraseñas y 393.386.953 nombres de usuario.
  • La contraseña más común es 123456. Cubre aproximadamente el 0.722% de todas las contraseñas (alrededor de 7 millones de veces por mil millones)
  • Las 1.000 contraseñas más comunes cubren 6.607% de todas las contraseñas.
  • Con la mayoría de las contraseñas de 1 millón, la tasa de aciertos está en 36.28%, y con la tasa de aciertos de 10 millones de contraseñas más comunes es de 54.00%.
  • La longitud promedio de la contraseña es de 9.4822 caracteres.
  • El 12.04% de las contraseñas contienen caracteres especiales.
  • El 28.79% de las contraseñas son solo letras.
  • 26.16% de las contraseñas son minúsculas solamente.
  • El 13.37% de las contraseñas son solo números.
  • El 34.41% de todas las contraseñas terminan con dígitos, pero solo el 4.522% de todas las contraseñas comienzan con dígitos.
  • El 8.83% de las contraseñas son únicas: solo se encontraron una vez.
  • La longitud promedio fue de 9.7965 caracteres.
  • Sorprendentemente, solo una fracción de estas contraseñas no tiene sentido.
  • Solo el 7.082% de estas contraseñas contienen caracteres especiales: las coincidencias de descanso ^[a-zA-Z0-9]$
  • El 20.02% de estas contraseñas son solo letras, y el 15.02% son solo minúsculas.
  • La longitud promedio de las contraseñas en minúsculas fue de 9.3694 caracteres.
Fuente: ZDNet

HTTP-revshell: controla el equipo de la víctima a través de un canal encubierto

Héctor de Armas (aka 3v4Si0N) presentó la herramienta HTTP-revshell que consiste en la utilización de un canal encubierto (covert channel) para obtener control sobre el equipo víctima a través de peticiones web y de esta forma evadir soluciones como un IDS, IPS y AV.

Covert channel es la manipulación de un protocolo de comunicación (en este caso HTTP y HTTPS) para enviar información de una manera fuera de la especificación del protocolo.

HTTP-revshell se ha desarrollado para ser utilizada en ejercicios de RedTeam y/o pentest para poner a prueba las capacidades de detección de las soluciones de seguridad que una empresa puede tener implementadas.

Comenzamos con la instalación de la herramienta. Lo primero, descargar el repositorio que se encuentra en la siguiente URL: https://github.com/3v4Si0N/HTTP-revshell

Para realizar una pequeña muestra de cómo funciona se puede ingresar a HackPlayers.

3 jul. 2020

Secuestran información de bases de datos MongoDB y piden rescate

Un cibercriminal se infiltró en 22.900 bases de datos MongoDB poco seguras, eliminó su contenido y dejó una nota de rescate indicando que exige un pago en bitcoins a cambio de los datos. Si el rescate no se paga dentro de dos días, el atacante amenaza con notificar a las autoridades a cargo de hacer cumplir el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea.
Según ZDNet, medio que dio a conocer la historia, el cibercriminal detrás de esta operación está utilizando scripts automáticos para buscar en Internet las instalaciones de MongoDB expuestas a Internet sin protección por contraseña, eliminando su contenido y solicitando el pago de 0.015 en bitcoins (equivalente unos US$140) para devolver los datos.

El cibercriminal fue incluso lo suficientemente "reflexivo" como para proporcionar una guía sobre cómo comprar bitcoins. Al parecer el atacante está usando múltiples billeteras de bitcoin y direcciones de correo electrónico, pero la redacción de la amenaza sigue siendo consistente. Si no se cumplen las condiciones, amenaza con filtrar los datos y contactar a los reguladores de GDPR.

Victor Gevers, un investigador de seguridad de la GDI Foundation, señaló al medio que los primeros ataques carecían de la función que eliminaba los datos. Una vez que el atacante se dio cuenta del error en su script, lo modificó y comenzó a borrar las bases de datos MongoDB. Se han registrado casos de ataques en los que se utiliza esta nota de rescate en particular desde abril de este año.

El investigador, cuyas responsabilidades incluyen informar sobre servidores expuestos, declaró que notó los sistemas borrados mientras revisaba bases de datos MongoDB que tenía programado reportar para que pudieran ser aseguradas. Según explicó Gevers a ZDNet, el 1 de julio solo pudo reportar una fuga de datos, cuando normalmente puede reportar al menos entre 5 o 10.

Si bien el rescate exigido puede parecer una suma insignificante, multiplíquelo por el número de bases de datos mal aseguradas y resulta que el actor malicioso está tratando de obtener casi US$ 3.2 millones en total. Aunque probablemente muchas de las entidades afectadas no ceda ante las demandas del atacante, la amenaza de alertar a las autoridades reguladoras del GDPR puede convencer a algunos a querer pagar, ya que el monto exigido es considerablemente bajo en comparación con las enormes multas que pueden imponer las autoridades reguladoras.

Bases de datos inseguras y mal configuradas difícilmente pueden considerarse algo poco común. De hecho, en el pasado hackers éticos dejaron "advertencias amistosas" en bases de datos Amazon S3 expuestas en la nube.

Más de 28.000 servidores fueron rescatados en una serie de ataques en enero de 2017, otros 26.000 en septiembre de 2017 y luego otros 3.000 en febrero de 2019. En 2017, Davi Ottenheimer, director senior de seguridad de productos en MongoDB, Inc., culpó de los ataques a los propietarios de bases de datos que no pudieron establecer una contraseña para sus bases de datos, y luego dejaron sus servidores expuestos en línea sin un firewall.

Los ataques que involucraron infiltraciones y el secuestro de la información almacenada en bases de datos en la nube para exigir el pago de un rescate han existido desde al menos 2016. Si usted es un administrador de una base de datos MongoDB que prefiere evitar tales intentos de extorsión, puede consultar este manual de seguridad de MongoDB o revisar nuestros cinco consejos generales para mantener sus bases de datos seguras.

Fuente: WeLiveSecurity

2 jul. 2020

Cientos de arrestados después de la toma de control de la red de mensajería cifrada EncroChat

Las agencias policiales europeas arrestaron a cientos de sospechosos en varios países, incluidos Francia, los Países Bajos, el Reino Unido, Noruega y Suecia, luego de infiltrarse en la red de comunicación móvil cifrada EncroChat utilizada por grupos del crimen organizado.

Los teléfonos EncroChat (dado de baja) utilizados por las redes criminales internacionales de todo el mundo para intercambiar datos cifrados y millones de mensajes venían con sistemas operativos duales (sistema operativo Android y sistema operativo EncroChat).

Los teléfonos también proporcionaban a los usuarios mensajes de autodestrucción, eliminación de pánico y contraseña, arranque seguro, protección contra manipulaciones y un motor criptográfico de hardware con certificación FIPS 140-2 resistente a la fuerza bruta. Los dispositivos EncroChat también pueden ser borrados remotamente por el revendedor o el servicio de asistencia previa notificación del cliente.

EncroChat vendía los cripto teléfonos por aproximadamente €1.000 cada uno en todo el mundo y los clientes podían obtener suscripciones de cobertura mundial de seis meses a un costo de €1.500 EUR con soporte 24/7.

Según la Agencia Nacional del Crimen (NCA) del Reino Unido, EncroChat tenía aproximadamente 60.000 usuarios en todo el mundo, con 10,000 de ellos activos solo en el Reino Unido.

Eliminación de grupos de crimen organizado

La operación fue un esfuerzo conjunto de agencias policiales y autoridades judiciales francesas y holandesas que pudieron desmantelar EncroChat con la ayuda de Europol y Eurojust.

Después de infiltrarse en la red EncroChat, el Equipo Conjunto de Nnvestigación (JIT) pudo "interceptar, compartir y analizar millones de mensajes que se intercambiaron entre delincuentes para planificar delitos graves, información que examinó Europol y compartió con los socios de JIT la información intercambio a los países interesados. Un gran número de sospechosos también han sido arrestados en varios países que no participan en JIT pero que se vieron particularmente afectados por el uso ilegal de estos teléfonos por parte de personas activas en el crimen organizado, incluso en el Reino Unido, Suecia y Noruega", dijo el Europol. "Muchas de estas investigaciones estaban relacionadas con el tráfico internacional de drogas y actividades criminales violentas".
La información ya ha sido relevante en una gran cantidad de investigaciones criminales en curso, lo que ha resultado en la interrupción de actividades criminales que incluyen ataques violentos, corrupción, intentos de asesinato y transporte de drogas a gran escala. Ciertos mensajes indicaron planes para cometer crímenes violentos inminentes y provocaron una acción inmediata. La información se analizará más a fondo como una fuente de información única, dando acceso a volúmenes sin precedentes de nuevas pruebas para abordar profundamente las redes delictivas organizadas. Europol
La operación conjunta, conocida en Francia como Emma 95 y Lemont en los Países Bajos, permitió a las fuerzas del orden supervisar las comunicaciones entre miles de sospechosos y el resto de cientos en toda la UE.

En los Países Bajos, la investigación hasta ahora ha llevado:
  • al arresto de 60 sospechosos;
  • el desmantelamiento de 19 laboratorios de drogas sintéticas;
  • la incautación de docenas de armas de fuego (automáticas), relojes caros y 25 automóviles, incluidos vehículos con compartimentos ocultos, y casi 20 millones de euros en efectivo;
  • la incautación de drogas
    • más de 10.000 kilos de cocaína
    • 70 kilos de heroína
    • 12.000 kilos de cannabis
    • 1.500 kilos de metanfetamina
    • 160.000 litro de una sustancia utilizada para producir drogas sintéticas.
En el Reino Unido, la NCA, las Unidades Regionales de Delincuencia Organizada (UOC) y las fuerzas policiales utilizaron la información proporcionada por el JIT para arrestar a 746 sospechosos como parte de la mayor operación policial del Reino Unido denominada Operación Venetic y confiscada:
  • Más de £ 54 millones en efectivo criminal;
  • 77 armas de fuego, incluyendo un rifle de asalto AK47, metralletas, pistolas, cuatro granadas y más de 1.800 rondas de municiones;
  • Más de dos toneladas de medicamentos de clase A y B;
  • Más de 28 millones de pastillas de Etizolam (Valium callejero) de un laboratorio ilícito;
  • 55 autos de alto valor y 73 relojes de lujo.

Cómo se desmanteló EncroChat

La Gendarmería francesa y las autoridades judiciales comenzaron a investigar EncroChat en 2017 después de descubrir que estos dispositivos, que utilizan servidores franceses, fueron incautados regularmente en operaciones dirigidas al crimen organizado.

"Eventualmente, fue posible establecer un dispositivo técnico para ir más allá de la técnica de cifrado y tener acceso a la correspondencia de los usuarios", explicó el Europol.

En abril de 2020 se creó un equipo conjunto de investigación (JIT) entre Francia y los Países Bajos, con el apoyo de los escritorios holandeses y franceses en Eurojust y Europol.

Las reuniones de coordinación posteriores a la creación del JIT también involucraron a otros países que no eran miembros del JIT, incluidos Noruega, España, Suecia y el Reino Unido.

La operación terminó el 13 de junio de 2020, cuando el grupo detrás de la red EncroChat se dio cuenta de que la plataforma estaba infiltrada por agentes de la ley. Ese día, EncroChat envió una advertencia a todos los usuarios informándoles que desecharan sus teléfonos con urgencia y procedió a apagar los servidores.

"Si bien las actividades en EncroChat se han detenido, esta compleja operación muestra el alcance global de la delincuencia grave y organizada y la conectividad de las redes criminales que utilizan tecnologías avanzadas para cooperar a nivel nacional e internacional", dijo el Europol.

Fuente: BC