3 dic 2022

"72% de las organizaciones siguen siendo vulnerables a Log4j" [Tenable]

La vulnerabilidad Log4j (CVE-2021-44228) continúa presentando una gran amenaza para las organizaciones un año después de que la Apache Software Foundation la hiciera pública. Si bien la cantidad de ataques que se han publicado en estos doce meses dirigidos al fallo ha sido menor de lo que muchos esperaban, el 72% de las organizaciones siguen estando expuestas.

Según los datos que maneja Tenable a partir de más de 500 millones de pruebas, el 72% de las organizaciones sigue siendo vulnerable a Log4Shell, como comúnmente se conoce a esta vulnerabilidad crítica. Otros hallazgos clave de los datos incluyen:

  • El 28% de las organizaciones de todo el mundo han remediado Log4Shell por completo a partir del 1 de octubre de 2022, una mejora de 14 puntos desde mayo de 2022.
  • El 53% de las organizaciones eran vulnerables a Log4j durante el período de tiempo del estudio, lo que subraya la naturaleza omnipresente de Log4j y los esfuerzos continuos necesarios para remediar, incluso si previamente se logró la remediación completa.
  • A partir de octubre de 2022, el 29% de los activos vulnerables vio la reintroducción de Log4Shell después de lograr la remediación completa.
  • Algunas industrias están en mejor forma que otras, con la ingeniería (45%), los servicios legales (38%), los servicios financieros (35 %), las organizaciones sin fines de lucro (33%) y el gobierno (30 %) a la cabeza con la mayoría de las organizaciones totalmente remediado. Aproximadamente el 28% de las organizaciones de infraestructura crítica definidas por CISA se han remediado por completo.
  • Casi un tercio de las organizaciones de América del Norte han remediado completamente Log4j (28%), seguidas de Europa, Medio Oriente y África (27%), Asia-Pacífico (25%) y América Latina (21%).
  • De manera similar, América del Norte es la región superior con el porcentaje de organizaciones que han remediado parcialmente (90%), Europa, Medio Oriente y África (85%), Asia-Pacífico (85%) y América Latina (81%).

Un alto porcentaje de sistemas sigue aún sin parches contra esta brecha, por lo que las organizaciones deben afrontar importantes desafíos. El hecho de que la biblioteca de código abierto Log4j se utilice en casi el 64% de las aplicaciones Java, y solo la mitad de ellas se haya actualizado a una versión completamente reparada, significa que los atacantes seguirán intentándolo.

Desde la aparición de Log4Shell en diciembre de 2021, los investigadores de seguridad la han considerado como una de las vulnerabilidades más importantes de los últimos años debido a su prevalencia y la relativa facilidad con la que los atacantes pueden explotarla. 

En las semanas posteriores a su descubrimiento, las organizaciones reasignaron recursos e invirtieron decenas de miles de horas en esfuerzos de identificación y solución. Un departamento federal informó que su equipo de seguridad dedicó 33.000 horas solo a la respuesta de vulnerabilidad de Log4j.

Según los datos de la telemetría de Tenable, uno de cada diez activos era vulnerable a Log4Shell en diciembre del pasado año. Servidores, aplicaciones web, contenedores y dispositivos IoT estaban ampliamente expuesto a esta brecha. Un año después, los datos muestran una mejora, con un 2,5% de los activos vulnerables, si bien el 29% de estos activos tuvo repeticiones de Log4Shell después de que se remediara completamente.

Según apunta el director de seguridad de la compañía, Bob Huber, conseguir remediar una brecha así completamente es muy difícil para una vulnerabilidad tan generalizada ya que no se trata de un proceso único. "Si bien una organización puede haber solucionado el problema por completo en algún momento, y ha agregado nuevos activos a sus entornos, es probable que se encuentre con Log4Shell una y otra vez", destaca Huber.

Por tanto, los expertos destacan que erradicar Log4Shell es una batalla continua que requiere que las organizaciones evalúen continuamente sus entornos en busca de fallos, así como otras vulnerabilidades.

Alrededor del 28% de las organizaciones de todo el mundo han solventado completamente Log4Shell. Además, el 53% de las organizaciones han sido vulnerables a Log4j durante el último año, lo que subraya la naturaleza omnipresente de esta brecha y la necesidad de realizar esfuerzos continuos para solventarlo, incluso si ya se solucionó previamente.

No en vano, a partir del pasado mes de octubre, 29% de los activos vulnerables vio la reintroducción de Log4Shell después de conseguir solucionarlo completamente. Algunas industrias lo están resolviendo mejor que otras, como la ingeniería, los servicios legales y financieros, las ONG y el gobierno, que están a la cabeza en lo que a la resolución completa de este problema se refiere.

Estos datos evidencias que Log4Shell es un riesgo de seguridad endémico con el que las organizaciones deberán lidiar algunos años más. Aunque hayan conseguido solventarlo completamente, las instancias vulnerables de Log4j permanecerán en los sistemas durante muchos años y llevará a que las organizaciones estén en riesgo de sufrir ataques en el futuro.

Fuente: Tenable

2 dic 2022

Certificados para Android usados para firmar malware

Todas las apps de Android están firmadas por un certificado. Pero esto no garantiza su identidad, sino su integridad. En la práctica implica que son certificados autofirmados por el propio creador de la app.

De modo que una vez se firma una aplicación, esto garantiza su integridad y todas las actualizaciones posteriores deben ser firmadas con el mismo certificado. De lo contrario, virtualmente se estaría creando otra app igual en su código, pero diferente a efectos del sistema operativo. ¿Y qué pasa si se firman dos aplicaciones diferentes con un mismo certificado? Que pueden comunicarse entre ellas y funcionar como si compartiesen espacio de memoria.

Las aplicaciones de sistema también están firmadas. Estas corren con un ID de usuario muy privilegiado (android.uid.system) que tiene acceso a casi todo el sistema sin mayor problema. Son apps que no necesariamente interactúan con el usuario y que normalmente carga el fabricante del teléfono para gestionarlo y darle el sabor o interfaz del sistema Android propio y personalizado de cada marca.

¿Qué ha pasado?

Lo que ha pasado es que Google ha anunciado que ha encontrado malware firmado con certificados legítimos. Y esto tiene dos consecuencias muy graves:

  • Este malware puede actuar con los mayores privilegios. Puede declarar que quiere ejecutarse con el mismo user ID que otra app firmada con su mismo certificado, puesto que se da por hecho que el autor es el mismo. El malware disfruta así en Android de muchísimos privilegios que no tiene habitualmente el malware habitual en este sistema operativo.
  • Los certificados robados pertenecen a apps de Samsung, LG, Revoview y Mediatek. Esto significa que se los han usurpado de alguna forma. La teoría más plausible ahora mismo es que hayan robado la clave privada, puesto que es poco probable que la hayan deducido de alguna manera.

El malware parece que no ha estado disponible en Google Play. Google ha anunciado simplemente los hashes de los malware. Hay algo extraño que queda por aclarar. Las apps maliciosas son de al menos 2016, cuando se enviaron a VirusTotal. En concreto se trata de este certificado:

Pero al descargarse y analizar su certificado, se comprueba que pertenecen a esos fabricantes de móviles Android.

Contenido completo en fuente original BlogThinkBig

#ChatGPT, Chatbot de OpenAI ¿la muerte de los programadores?

Estamos cerca de cerrar el 2022 y, con todo lo que hemos visto, podríamos decir que este ha sido un año muy importante para la inteligencia artificial (IA). Los avances de esta disciplina de las ciencias de la computación han sido sustanciales. En el campo de la IA generativa hemos visto programas fantásticos de generación de imágenes como DALL-E 2, IMAGEN, Stable Diffusion 2.0 y Midjourney.

Desde Dall-E a Midjourney, pasando por Stable Diffusion, 2022 ha dejado grandes avances en el terreno de las conocidas como inteligencias artificiales generativas, programas capaces de interpretar una orden expresada en lenguaje natural y producir una imagen -o incluso un vídeo-, a partir de ellas, imitando estilos concretos e imaginando los distintos elementos presentes en la escena con coherencia.

Y, cuando ya parecía que habíamos visto suficiente, OpenAI acaba de presentar un modelo de lenguaje llamado ChatGPT que interactúa de forma conversacional. En otras palabras, un chatbot cuyo funcionamiento es tan avanzado que muchos creen que podría convertirse en una amenaza para Google y otras herramientas web. Hay incluso quienes describen a su funcionamiento como "mágico".

ChatGPT, una herramienta de chatbot construida por la empresa de investigación de IA OpenAI, fue lanzada el 30 de noviembre, y fue diseñada para interactuar "de forma conversacional" con la capacidad de responder a preguntas de seguimiento e incluso admitir errores,

según la empresa.

El más avanzado de todos estos modelos es GPT-3, creado por OpenAI en 2020 y entrenado con miles de millones de textos provenientes de la web, miles de libros y la propia Wikipedia. El proyecto OpenAI ofrece acceso a este modelo a través de una API, que permite integrarlo en todo tipo de herramientas de software o servicios web.

El modelo ChatGPT goza de una serie de características avanzadas que están siendo el motor de su repercusión en Internet. Una de ellas es que está abierto al público. Cualquier persona que ingrese a chat.openai.com/ e inicie sesión con su cuenta de OpenAI puede probarlo gratuitamente. El chatbot es capaz de responder a una amplia variedad de temas, recordar e incluso admitir errores.

A diferencia de otros modelos de lenguaje que se basan en patrones estadísticos, ChatGPT utiliza lo que se denomina "aprendizaje profundo" (una técnica de aprendizaje automático que utiliza redes neuronales artificiales para analizar y comprender grandes cantidades de datos). Esto le permite comprender el contexto y la estructura del lenguaje humano, y generar respuestas naturales en conversaciones en tiempo real.

Pero no es perfecto. Como no puede buscar información en Internet, su conocimiento se limita a los datos con los que ha sido entrenado. También puede proporcionar información falsa e incluso arrojar respuestas violentas o contenido inadecuado. OpenAI sabe esto y admite que ha aplicado filtros para evitarlo. Los comentarios de los usuarios deberían ayudar a mejorar el funcionamiento y seguridad del modelo.

Sin embargo, algunos usuarios de Twitter se han dado cuenta de que el bot podría ser utilizado tanto para el bien como para el mal, ya que puede ser incitado a revelar lagunas en los contratos inteligentes.

Stephen Tong, cofundador de la empresa de auditoría de contratos inteligentes Zellic, pidió a ChatGPT que le ayudara a encontrar un exoloit, presentando un trozo de código de contrato inteligente. El bot respondió señalando que el contrato tenía una vulnerabilidad de reentrada en la que un hacker podría retirar repetidamente los fondos del contrato, y proporcionó un ejemplo de cómo solucionar el problema.

Otras personas han compartido sus resultados del chatbot después de haberlo incitado con contratos inteligentes vulnerables. El usuario de Twitter devtooligan compartió una captura de pantalla de ChatGPT, que proporcionaba el código exacto necesario para arreglar una vulnerabilidad del contrato inteligente Solidity, y comentó "todos nos vamos a quedar sin trabajo".

Con la herramienta, los usuarios de Twitter ya han empezado a bromear con que ahora son capaces de poner en marcha negocios para la auditoría de seguridad simplemente utilizando el bot para comprobar las debilidades de los contratos inteligentes.

Cointelegraph probó ChatGPT y descubrió que también puede crear un contrato inteligente de ejemplo a partir de una solicitud utilizando un lenguaje sencillo, generando un código que aparentemente podría proporcionar recompensas de staking para los tokens no fungibles (NFT) basados en Ethereum.

El CEO de OpenAI, Sam Altman, tuiteó que la herramienta era "una demo temprana" y que es "en gran medida un lanzamiento de investigación".

Fuente: Xataka | CoinTelegraph

1 dic 2022

Lastpass dice que accedieron a datos de sus clientes (pero no a las contraseñas)

LastPass dice que atacantes desconocidos violaron su almacenamiento en la nube utilizando información robada durante un incidente de seguridad anterior de agosto de 2022. LastPass está detrás de uno de los software de gestión de contraseñas más populares y afirma que lo utilizan más de 33 millones de personas y 100.000 empresas.

La compañía agregó que, una vez dentro, los actores de amenazas también lograron acceder a los datos de los clientes almacenados en el servicio de almacenamiento comprometido.

"Recientemente detectamos una actividad inusual dentro de un servicio de almacenamiento en la nube de un tercero, que actualmente comparten LastPass y su afiliado, GoTo", dijo la compañía. "Hemos determinado que una parte no autorizada, utilizando información obtenida en el incidente de agosto de 2022, pudo acceder a ciertos elementos de la información de nuestros clientes".

Lastpass dijo que contrató a la firma de seguridad Mandiant para investigar el incidente y notificó a la policía sobre el ataque. También señaló que "las contraseñas de los clientes no se han visto comprometidas y permanecen cifradas de forma segura gracias a la arquitectura Zero Knowledge de LastPass. Estamos trabajando diligentemente para comprender el alcance del incidente e identificar a qué información específica se ha accedido", agregó Lastpass.

Incumplimiento dos veces en un año

Este es el segundo incidente de seguridad revelado por Lastpass este año después de confirmar en agosto que el entorno de desarrollo de la empresa fue violado a través de una cuenta de desarrollador comprometida.

El aviso se publicó días después de que BleepingComputer se comunicó con la empresa y no recibió respuesta a las preguntas sobre una posible infracción.

En los correos electrónicos enviados a los clientes en ese momento, Lastpass confirmó que los atacantes habían robado el código fuente y la información técnica patentada de sus sistemas.

En una actualización posterior, la empresa reveló que los atacantes detrás de la brecha de seguridad de agosto mantuvieron el acceso interno a sus sistemas durante cuatro días hasta que fueron desalojados.

Fuente: BC

Mira el mundial Qatar gratis (pero desde el FIFA 23) 😄

Miles de vietnamitas querían ver el Mundial de Qatar sin tener que pagar la suscripción de un servicio de cable, por lo que muchos recurrieron al típico truco de buscar enlaces gratis en internet. Al final, las promesas de ver el Mundial de Qatar gratis les condujeron a una serie de canales de YouTube en los se prometía la retransmisión de los partidos estrella de la Copa del Mundo.

Hasta aquí nada raro. Los diferentes canales ofrecían los partidos con títulos atractivos como Live Germany-Japan on 23/11 Group E World Cup 2022. Y, en realidad estaban retransmitiendo en directo dichos partidos. El problema es que eran falsos. Tan falsos que los usuarios estaban viendo eran partidos del FIFA 23 pixelados y con narración vietnamita.

Por si esto fuera poco, la situación es todavía más desternillante. Debido a que muchas regiones de Vietnam tiene problemas de conexión, el vídeo estaba borroso al principio, y no eran streaming directo del juego, sino que estaban como grabados de una pantalla.

La copa del Mundo de Qatar, sí, pero en FIFA 23

Otro problema es que, además, incluían comentarios vietnamitas como las de las retrasmisiones legítimas. Un combo perfecto que tuvo a miles de espectadores viendo durante un buen rato un partido totalmente falsos. Así lo ha contado uno de los afectados al medio vietnamita vnexpress

"Hasta que leí los comentarios de la transmisión en vivo y vi primeros planos de las caras de los jugadores, no me di cuenta de que eran filmaciones del videojuego FIFA 23",

Y no fueron unos pocos incautos los que cayeron en esta trampa, ideada para, supuestamente, sacar dinero a través de la inserción de anuncios de YouTube. Decenas de miles personas acabaron viendo partidos falsos en YouTube de la Copa del Mundo.

Hubo lives en YouTube con partidos falsos con casi 40.000 espectadores al mismo tiempo, todos con retransmisiones de partidos borrosos del FIFA23. En la sección de comentarios, lógicamente, miles los usuarios se quejaban de la farsa.

Al final una cosa está clara, estafa de por medio o no, los canales emitían los partidos que el título de los vídeos prometían. No era lo que esperaban, pero al menos eran partidos. Solo que no del Mundial de Qatar. Tampoco de jugadores reales.

Fuente: Hipertextual

30 nov 2022

7 millones de perfiles de Twitter publicados

Más de 5,4 millones de registros de usuarios de Twitter que contienen información no pública robada mediante una vulnerabilidad de API reparada en enero se han compartido de forma gratuita en un foro under. Los datos consisten en información pública recopilada, así como números de teléfono privados y direcciones de correo electrónico que no deben ser públicas.

Además de los 5,4 millones de registros a la venta, también hubo 1,4 millones de perfiles de Twitter adicionales para usuarios suspendidos recopilados mediante una API diferente, lo que eleva el total a casi 7 millones de perfiles de Twitter que contienen información privada. Pompompurin dijo que este segundo volcado de datos no se vendió y solo se compartió de forma privada entre unas pocas personas.

Un investigador de seguridad también reveló otro volcado de datos masivo, potencialmente más significativo, de millones de registros de Twitter, lo que demuestra cuán ampliamente abusaron de este error los actores de amenazas.

En julio pasado, un actor de amenazas comenzó a vender la información privada de más de 5,4 millones de usuarios de Twitter en un foro por 30.000 dólares. Si bien la mayoría de los datos consistía en información pública, como ID de Twitter, nombres, nombres de inicio de sesión, ubicaciones y estado verificado, también incluía información privada, como números de teléfono y direcciones de correo electrónico.

Estos datos se recopilaron en diciembre de 2021 mediante una vulnerabilidad de la API de Twitter revelada en el programa de recompensas de HackerOne que permitía a las personas enviar números de teléfono y direcciones de correo electrónico a la API para recuperar la ID de Twitter asociada.

Usando esta identificación, los actores de la amenaza podrían extraer información pública sobre la cuenta para crear un registro de usuario que contenga información pública y privada, como se muestra a continuación.

No está claro si se filtró la divulgación de HackerOne, pero BleepingComputer dice que varios actores de amenazas estaban utilizando el error para robar información privada de Twitter. Después de que BleepingComputer compartiera una muestra de los registros de usuarios con Twitter, la empresa de redes sociales confirmó que había sufrido una violación de datos mediante un error de API solucionado en enero de 2022.

Pompompurin, el propietario del foro de hacking Breached, le dijo a BleepingComputer este fin de semana que ellos eran los responsables de explotar el error y crear el volcado masivo de registros de usuarios de Twitter después de que otro actor de amenazas conocido como 'Devil' compartiera la vulnerabilidad con ellos.

En septiembre, y ahora más recientemente, el 24 de noviembre, los 5,4 millones de registros de Twitter ya se han compartido de forma gratuita en el foro. Pompompurin ha confirmado a BleepingComputer que estos son los mismos datos que estaban a la venta en agosto e incluyen 5.485.635 registros de usuarios de Twitter.

Estos registros contienen una dirección de correo electrónico privada o un número de teléfono y datos recopilados públicos, incluidos el ID de Twitter de la cuenta, el nombre, el nombre de pantalla, el estado verificado, la ubicación, la URL, la descripción, el número de seguidores, la fecha de creación de la cuenta, el número de amigos, el número de favoritos, recuento de estados y URL de imagen de perfil.

Si bien es preocupante que los actores de amenazas publicaron los 5,4 millones de registros de forma gratuita, supuestamente se creó un volcado de datos aún mayor utilizando la misma vulnerabilidad.

Este volcado de datos contiene potencialmente decenas de millones de registros de Twitter que consisten en números de teléfono personales recopilados con el mismo error de API e información pública, incluido el estado verificado, nombres de cuenta, ID de Twitter, biografía y nombre de pantalla.

La noticia de esta violación de datos más significativa proviene del experto en seguridad Chad Loder, quien primero dio la noticia en Twitter y fue suspendido poco después de publicar. Posteriormente, Loder publicó una muestra redactada de esta violación en Mastodon.

BleepingComputer obtuvo un archivo de muestra de este volcado de datos de Twitter previamente desconocido, que contiene 1.377.132 números de teléfono para usuarios en Francia. Desde entonces, hemos confirmado con numerosos usuarios en esta filtración que los números de teléfono son válidos, verificando que esta violación de datos adicional sea real. Además, ninguno de estos números de teléfono está presente en los datos originales vendidos en agosto.

Pompompurin también confirmó con BleepingComputer que no eran responsables y que no sabían quién creó este volcado de datos recién descubierto, lo que indica que otras personas estaban usando esta vulnerabilidad de API.

BleepingComputer se enteró de que este volcado de datos recientemente descubierto consta de numerosos archivos divididos por países y códigos de área, incluidos Europa, Israel y EE. UU.

El archivo consta de más de 17 millones de registros y estos datos se pueden utilizar potencialmente para ataques de phishing dirigidos a obtener acceso a las credenciales de inicio de sesión, es esencial analizar cualquier correo electrónico que afirme provenir de Twitter.

Fuente: BC

29 nov 2022

Utiliza TikTok "Invisible Body" y termina infectado

TikTok es, sin duda, uno de los medios de comunicación social más populares y, como consecuencia, los delincuentes informáticos no se quedan atrás aprovechando las tendencias para engañar a sus víctimas. Actualmente, uno de los desafíos de TikTok, Invisible Challenge, está siendo explotado para instalar malware en miles de dispositivos y robar sus contraseñas, cuentas de Discord e incluso billeteras de criptomonedas.

Este desafío requiere que los usuarios se filmen desnudos mientras usan el filtro "Invisible Body" de TikTok, que elimina el cuerpo del video y lo reemplaza con un fondo borroso.

Como un medio para capitalizar esto, los actores de amenazas están creando videos de TikTok que ofrecen una herramienta de "desfiltrado" que elimina el efecto inicial para exponer los cuerpos desnudos (reales) de los TikTokers.

Como ya habrás adivinado, este software es falso y en realidad instala el malware W4SP Stealer, (aka WASP Stealer -Discord Token Grabber-) conocido por robar cuentas, contraseñas y tarjetas de crédito de Discord almacenadas en navegadores, billeteras de criptomonedas e incluso archivos de la computadora de la víctima.

Estos videos que promocionan el eliminador de filtro falso recibieron más de un millón de visitas, mientras que uno de los servidores Discord del actor de amenazas reunió a más de 30.000 miembros.

En un informe publicado por la firma de seguridad Checkmarx, se dan como ejemplo dos videos particulares publicados por los atacantes. Los investigadores determinaron que los usuarios de TikTok ahora suspendidos @learncyber y @kodibtc crearon los videos para promocionar una aplicación de software para "eliminar el cuerpo invisible del filtro" que se ofrece en un servidor Discord llamado Space Unfilter. Los videos rápidamente ganaron espectadores y, por lo tanto, potenciales víctimas.

Una vez que los usuarios se unen al servidor Discord, ven un enlace publicado por un bot que los dirige a un repositorio de GitHub que aloja el malware. El ataque ha tenido tanto éxito que, según BleepingComputer, el repositorio malicioso ha alcanzado el estado de "proyecto GitHub de tendencia" y, aunque desde entonces ha cambiado de nombre, actualmente tiene 103 estrellas y 18 bifurcaciones.

Los archivos del proyecto contienen un archivo por lotes de Windows (.BAT) que, al ejecutarse, instala un descargador del malware W4SP y un archivo readme  que enlaza con un video de YouTube que brinda instrucciones sobre cómo instalar la herramienta de eliminación de filtros TikTok.

Los analistas de Checkmarx descubrieron además el uso de múltiples paquetes de Python alojados en PyPI, incluidos "tiktok-filter-api", "pyshftuler", "pyiopcs" y "pydesings", y se agregan nuevos cada vez que se informa y elimina los paquetes antiguos. El paquete malicioso imita el código original pero contiene una modificación para instalar el malware W4SP en el host.

La instalación del paquete finalmente da paso a W4SP Stealer, un ladrón de información diseñado para exfiltrar cuentas de Discord, contraseñas, billeteras criptográficas y otros archivos de interés hacia un Webhook de Discord.

Fuente: BC

28 nov 2022

Proyecto OWASP Secure Headers Project

El OWASP Secure Headers Project (también llamado OSHP) describe los encabezados de respuesta HTTP que una aplicación web puede usar para aumentar su seguridad. Una vez configurados, estos encabezados de respuesta HTTP pueden impedir que los navegadores modernos se encuentren con vulnerabilidades fácilmente prevenibles.

Los encabezados HTTP son bien conocidos y también muy "despreciados". Buscando un equilibrio entre usabilidad y seguridad, los desarrolladores implementan funcionalidades a través de las cabeceras que pueden hacer que las aplicaciones sean más versátiles o seguras. Pero en la práctica, ¿cómo se implementan los encabezados? ¿Qué sitios siguen las mejores prácticas de implementación? ¿Grandes empresas, pequeñas, todas o ninguna?

El proyecto OWASP Secure Headers tiene como objetivo proporcionar elementos sobre los siguientes aspectos relacionados con los encabezados de seguridad HTTP:

Activos

❌ Obsoletos

Todas las herramientas proporcionadas por OSHP están reunidas en su repo de GitHub y una presentación del proyecto está disponible en Youtube.

Finalmente, OWASP proporciona un conjunto de pruebas mediante la herramienta VENOM para validar la configuración de encabezados de respuesta de seguridad HTTP contra las recomendaciones brindadas.

Fuente: OWASP

11 millones de números de teléfono a la venta en foros

Un grupo de ciberdelincuentes ha puesto a la venta casi 11 millones de números de teléfono con cuenta de WhatsApp en España a través de foros de hacking para realizar ataques de smishing y vishing.

  1. Colombia 17.957.908
  2. México 13.330.561
  3. España 10.894.206
  4. Perú 8.075.317
  5. Brasil 8.064.916
  6. Chile 6.889.083
  7. Bolivia 2.959.209
  8. Argentina 2.347.553
  9. Guatemala 1.645.068
  10. Uruguay 1.509.317
  11. Panama 1.502.310
  12. Costa Rica 1.464.002
  13. Ecuador 310.259

El objetivo consiste en comprar estos números de teléfono y llevar a cabo ciberataques para suplantar la identidad de otros usuarios y cometer fraudes.

CyberNews indica que la plataforma de mensajería instantánea habría sido el objetivo de los estafadores, además, uno de los actores maliciosos ha puesto a la venta los números actualizados de casi 487 millones de usuarios en todo el mundo.

El pasado 16 de noviembre, el ciberdelincuente publicó un anuncio en el foro BreachForums para poner a la venta una base de datos de 2022 con 487 millones de números de teléfono. CyberNews afirma que 84 países han sido protagonistas de este ataque, como España, República Checa, Gana, Lituania, Ecuador, Hungría, Guatemala, Túnez, Serbia, Chipre, Turquía, Bulgaria, Puerto Rico y Canadá.

¿Son válidos los números de teléfono?

Los actores de amenazas no revelaron de qué manera recopilaron los datos, pero afirmaron que todos los números provenían de usuarios activos de WhatsApp y se habrían obtenido a través de procesos de scrapping. Los investigadores pidieron a los actores de amenazas que probaran la calidad de su mercancía con una muestra de datos, para que pudieran verificar si el anuncio decía la verdad. El vendedor presentó una muestra de los datos que contenían, según Cybernews, números de usuario válidos 1.097 del Reino Unido y 817 de EE.UU.

El medio de comunicación asegura haber contactado con el vendedor de la base de datos, quien le ha contado que vende la información de Estados Unidos por 7.000 dólares, la de Reino Unido por 2.500 dólares y los de Alemania por 2.000 dólares.

Tras preguntarle acerca del origen de esta base de datos, el vendedor no quiso dar detalles sobre el modo en que recopiló los números, aunque podría haberlo hecho mediante la denominada técnica de scrapping y la violación de los términos del servicio de WhatsApp.

Por otro lado, WhatsApp considera que la información sobre la filtración no tiene fundamento y entienden que no queda claro de dónde se han obtenido.

Multa a Meta por permitir el scrapping

La Comisión de Protección de Datos irlandesa (CPD) anunció el 28 de noviembre que ha multado a Meta, el desarrollador de Facebook, con 265 millones de euros por infringir el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. En concreto, la Comisión declaró que había multado a Meta por no haber diseñado Facebook de manera que protegiera a los usuarios de las violaciones de datos y por permitir a los "scrapers" robar datos centralizados de usuarios de Facebook

El anuncio se produjo tras una investigación de más de un año que comenzó en abril de 2021. La violación en sí se produjo incluso antes, a finales de 2019.

La filtración de datos se descubrió por primera vez cuando un informe de Tech Crunch reveló que cientos de millones de números de teléfonos de usuarios de Facebook figuraban en una base de datos de acceso público en línea. Aunque la base de datos fue retirada posteriormente por el alojamiento web, su existencia reveló que los datos de Facebook habían sido violados.

Fuente: CyberNews

26 nov 2022

Introducción a MITRE ATT&CK versión 12 (2022)

Por Josh Darby MacLellan

¿Alguna vez se ha preguntado cómo crear una lista priorizada de actores de amenazas? ¿O identificar qué tácticas y técnicas maliciosas son las más relevantes? ¿O qué controles de seguridad deberían mejorarse primero? La versión 12 del framework de MITRE ATT&CK acaba de ser lanzada y este post de Josh MacLellan lo ayudará a comprender qué es Framework y qué hay de nuevo.

¿Qué es MITRE?

MITRE es una organización sin fines de lucro con sede en los EE.UU. que apoya al gobierno federal en el avance de la seguridad nacional al proporcionar una variedad de servicios técnicos, cibernéticos y de ingeniería al gobierno. En 2013, MITRE lanzó un proyecto de investigación para rastrear el comportamiento de los actores de ciberamenazas, desarrollando un marco denominado Adversarial Tactics, Techniques, and Common Knowledge, o en forma abreviada: ATT&CK.

¿Qué es el framework MITRE ATT&CK?

MITRE ATT&CK contiene una taxonomía del comportamiento de los actores de amenazas durante el ciclo de vida de un ataque, dividida en 14 tácticas, cada una de las cuales contiene un subconjunto de técnicas y subtécnicas más específicas (que cubren el TT en TTP). El Framework se divide en tres matrices separadas, Enterprise (ataques contra las redes de TI y la nube de la empresa), Mobile (ataques dirigidos a dispositivos móviles) y sistemas de control industrial (ataques dirigidos a ICS).

El Marco contiene una gran cantidad de conocimientos basados ​​en observaciones del mundo real. La versión de octubre de 2022 de ATT&CK for Enterprise contiene 193 técnicas, 401 subtécnicas, 135 grupos de actores de amenazas, 14 campañas y 718 piezas de software/malware.

Cada técnica se puede explorar para revelar subtécnicas y existe una base de conocimiento completa de MITRE que alimenta las matrices. Esta base de datos contiene una cantidad colosal de información sobre grupos de actores de amenazas, malware, campañas, descripciones de técnicas y subtécnicas, mitigaciones, estrategias de detección, referencias para recursos externos, un sistema de identificación para seguimiento y mucho más.

¿Cómo se puede utilizar MITRE ATT&CK?

La forma en que usa MITRE ATT&CK Framework depende en gran medida del equipo y de sus flujos de trabajo. Los equipos de seguridad que a menudo confían en ATT&CK incluyen BLUE Teams, investigadores, respondedores de incidentes, analistas de inteligencia de amenazas cibernéticas; RED Teams, probadores de penetración, PURPLE Teams e ingenieros/evaluadores de herramientas, cada uno con sus propios casos de uso.

Caso de uso Nº 1: investigar amenazas y ciclos de vida de ataques

MITRE ATT&CK Framework es una herramienta de investigación fenomenal. De un vistazo, aclara las etapas del ciclo de vida de un ataque al dividir el comportamiento del adversario en 14 tácticas. La capacidad de ampliar las subtécnicas y descubrir un tesoro oculto de descripciones y ejemplos hace que la comprensión de los ciberataques sea accesible para todos.

Esto beneficia a todos, desde los novatos que buscan aprender sobre los TTP hasta los veteranos curtidos en la batalla que desean actualizar su conocimiento del escenario de ataque (memorizar 401 subtécnicas requeriría una memoria sobrehumana).

Si su puerta de enlace de correo electrónico ha puesto en cuarentena varios correos electrónicos maliciosos que contienen malware desconocido, consulte MITRE ATT&CK Framework y, si el malware está allí, descubrirá qué técnicas está asociado con él, con referencia a ejemplos del mundo real. Esto puede ayudarlo a determinar qué es probable que el actor de amenazas esté tratando de lograr.

Con solo hacer clic en un botón, puede visualizar esos datos exportándolos a MITRE ATT&CK Navigator, una versión interactiva de MITRE ATT&CK Framework que recomendamos que explore (es gratis).

Caso de uso N° 2: seguimiento de actores de amenazas y evaluación de controles

El marco MITRE ATT&CK puede mapear las tácticas y técnicas más comunes utilizadas por los actores de amenazas de máxima prioridad. Puede escanear la sección "Grupos" de ATT&CK para obtener una lista de actores de amenazas comunes relevantes para su organización o sector. Luego puede exportar esa información al MITRE ATT&CK Navigator.

En Navigator, puede importar varias pestañas, cada una de las cuales contiene un grupo, y superponerlas, exponiendo las técnicas más comunes que utilizan sus principales amenazas (Navigator tiene funciones de puntuación y código de colores). Esto le permite concentrarse en las técnicas más peligrosas a las que se enfrenta su organización, lo que le ayuda a evaluar su cobertura de detección frente a las amenazas más frecuentes. Armado con este conocimiento, ahora tiene datos para reforzar el o implementar nuevos controles de seguridad o herramientas para mejorar sus defensas.

Caso de uso Nº 3: mapeo y respuesta a un ataque novedoso

¿Fue objetivo de un atacante con el que nunca has tratado antes? MITRE permite crear una capa personalizada de ATT&CK Framework en Navigator en función de la actividad maliciosa que ha observado en su red. Aquí hay un ejemplo de cómo puede verse:

  1. Detectas actividad sospechosa en la red. Se activan las alarmas de indicador de compromiso (IoC), se detectan malware y balizas C2.
  2. Investigas la actividad histórica y descubres evidencia de acceso inicial. Su organización recibió correos electrónicos de phishing, los empleados descargaron malware y hay IoC de movimiento lateral en la red.
  3. Cree una capa personalizada en MITRE Navigator para una visualización más clara de esta actividad.
  4. Esto marca el riesgo de exfiltración de datos como el próximo paso potencial para el atacante.
  5. Verifica e implementa métodos de detección y mitigaciones al combinar información de MITRE y sus controles internos.

Estos ejemplos solo rascan la superficie de lo que es posible con ATT&CK. Si desea obtener más información, consulte la página de inicio de MITRE.

¿Qué hay de nuevo con la versión 12 de ATT&CK?

Ahora que tenemos una base sólida en MITRE ATT&CK Framework, descubramos qué hay de nuevo en la última versión (12), lanzada el 25 de octubre de 2022.

Como la mayoría de las versiones anteriores, v12 contiene nuevas técnicas de ataque (por ejemplo, cuentas comprometidas: cuentas en la nube), así como actualizaciones de técnicas, grupos y software existentes en todas las matrices en función de la actividad adversaria observada. A diferencia de otras versiones, v12 agregó detecciones a la matriz ICS (reflejando la matriz Enterprise) e introdujo campañas.

MITRE define las campañas "como una agrupación de actividades de intrusión realizadas durante un período de tiempo específico con objetivos y objetivos comunes". Las campañas son útiles para detectar una evolución en los TTP, identificar tendencias en el cambio de tácticas y monitorear la introducción de nuevas técnicas y el uso sostenido de otras.

Cada campaña presenta una descripción de la actividad de intrusión (por ejemplo, países y sectores objetivo conocidos), comandos/pasos específicos tomados por los actores (lo que ayuda a identificar oportunidades de detección y mitigación), y se ofrecen en formato de archivo STIX.

Hay más para aprender sobre esta interesante función, que puede hacer usando este enlace.

Fuente: Feedly