18 oct. 2021

Copa Tianfu: hackean iOS 15, Chrome, Windows; Ubuntu, VMWare, etc.

Hackers (de sombrero blanco) ganaron 1,88 millones de dólares en el concurso de hacking de la Copa Tianfu en China, al encontrar vulnerabilidades en software populares. Incluso hackearon un iOS 15 completamente parcheado que se ejecuta en iPhone 13.

La Copa Tianfu es el concurso de hacking más importante celebrado en China. La edición de este año tuvo lugar los días 16 y 17 de octubre en la ciudad de Chengdu y los participantes tuvieron tres intentos de 5 minutos para demostrar sus hazañas. El ganador es la empresa de seguridad Kunlun Lab, que ganó U$S 654.500 con el asombroso experto @mj0011 CEO de Cyber-Kunlun & Kunlun Lab y ex CTO de Qihoo360 y fundador del equipo 360Vulcan.

La edición de este año incluyó una lista de 16 posibles objetivos, los participantes demostraron con éxito exploits contra 13 de ellos:

  • Windows 10: 5 veces
  • Adobe PDF Reader - 4 veces
  • Ubuntu 20 - 4 veces
  • Parallels VM - 3 veces
  • iOS 15 - 3 veces
  • Apple Safari - 2 veces
  • Google Chrome - 2 veces
  • Enrutador ASUS AX56U - 2 veces
  • Docker CE - 1 vez
  • VMWare ESXi - 1 vez
  • Estación de trabajo VMWare - 1 vez
  • qemu VM - 1 vez
  • Microsoft Exchange: 1 vez

Uno de los exploits demostrados en el concurso atrajo inmediatamente la atención de los medios de comunicación: es un exploit de ejecución remota de código sin hacer clic contra un iOS 15 completamente parcheado que se ejecuta en el último iPhone 13. El Chian Pangu ganó el bono individual más alto de la historia en esta competencia por este exploit, U$S 300.000.

Los participantes también demostraron una cadena de exploits de ejecución remota de código contra Google Chrome, esta es la primera vez que se demostró este tipo de exploit en la Copa Tianfu.

Fuente: Security Affairs

Yellow Team vs Orange Team vs Green Team

Además de los conocidos conceptos de equipos ROJO, AZUL y PÚRPURA, April Wright (aka @aprilwrighta) presentó algunos otros tipos de equipos en una charla de Blackhat llamada, "El NARANJA es el nuevo Púrpura".

Louis Cremen (aka @proxyblue)también hizo un gran artículo sobre el trabajo de April en una publicación titulada "Introducción a la rueda de colores de seguridad de la información".

En esa charla, presentó el concepto del YELLOW Team, que son los Constructores, y luego los combinó con el Azul y Rojo para producir los otros colores. Las interpretaciones de estas interacciones se pueden combinar en la Pirámide BAD, que es una forma puramente derivada del trabajo de April.

Tampoco importa mucho que se asigne la palabra "equipo" a todos estos colores, ya que en la mayoría de los casos se trata de modos de pensar o funciones, en lugar de grupos de personas dedicadas. El Amarillo, por ejemplo, ya tiene un nombre: se llaman Desarrolladores.

Un resumen de los colores de las funciones de seguridad

  • Yellow = Constructor
  • Red = Atacante
  • Blue = Defensor
  • Green = el Constructor aprende del Defensor
  • Purple = el Defensor aprende del Atacante
  • Orange = el Constructor aprende del Atacante

Problemas comunes con las interacciones del equipo rojo y azul

Lo ideal es que los equipos rojo y azul trabajen en perfecta armonía entre sí, como dos manos que forman la capacidad de aplaudir. Al igual que el Yin y el Yang o el Ataque y la Defensa, los equipos Rojo y Azul no podrían ser más opuestos en sus tácticas y comportamientos, pero estas diferencias son precisamente las que los hacen parte de un todo sano y eficaz. Los Equipos Rojos atacan y los Equipos Azules defienden, pero el objetivo principal es compartido entre ellos: mejorar la postura de seguridad de la organización.

Algunos de los problemas comunes con la cooperación del equipo Rojo y Azul incluyen:

  • El equipo Rojo se considera demasiado élite para compartir información con el Equipo Azul.
  • El equipo Rojo es empujado dentro de la organización y se neutraliza, restringe y desmoraliza, lo que finalmente resulta en una reducción catastrófica en su efectividad.
  • El equipo Rojo y el equipo Azul no están diseñados para interactuar entre sí de forma continua, como una cuestión de rutina, por lo que las lecciones aprendidas de cada lado se pierden efectivamente.
  • La administración de seguridad de la información no ve al equipo Rojo y Azul como parte del mismo esfuerzo, y no hay información, administración o métricas compartidas entre ellos.

Es más probable que las organizaciones que sufren de una o más de estas dolencias piensen que necesitan un Equipo Púrpura para resolverlas. Pero "Purple" debe considerarse como una función o un concepto, más que como un equipo adicional permanente. Y ese concepto es cooperación y beneficio mutuo hacia un objetivo común.

Entonces, tal vez haya un compromiso del Equipo Púrpura, donde un tercero analiza cómo sus equipos Rojo y Azul trabajan entre sí y recomienda soluciones. O tal vez haya un ejercicio del equipo Púrpura, donde alguien monitorea ambos equipos en tiempo real para ver cómo funcionan. O tal vez haya una reunión del equipo Púrpura, donde los dos equipos se unen, comparten historias y hablan sobre varios ataques y defensas.

El tema unificador es lograr que el equipo Rojo y Azul estén de acuerdo en su objetivo compartido de mejora organizacional y no introducir otra entidad más en la mezcla.

Piense en Purple Team como un consejero matrimonial. Está bien que alguien actúe en ese papel para arreglar la comunicación, pero bajo ninguna circunstancia debe decidir que la nueva forma permanente para que el esposo y la esposa se comuniquen es a través de un mediador.

Resumen

  • Los Red Teams emulan a los atacantes para encontrar fallas en las defensas de las organizaciones para las que trabajan.
  • Los Blue Teams se defienden de los atacantes y trabajan para mejorar constantemente la postura de seguridad de su organización.
  • Una implementación del Red/Blue Team que funcione correctamente incluye el intercambio regular de conocimientos entre los equipos para permitir la mejora continua de ambos.
  • Los Purple Team se utilizan a menudo para facilitar esta integración continua entre los dos grupos, que no aborda el problema central de que los equipos rojo y azul no comparten información. El equipo Púrpura debe conceptualizarse como una función de cooperación o un punto de interacción, y no como una entidad superada e idealmente redundante.
  • En una organización madura, todo el propósito del equipo Rojo es mejorar la efectividad del equipo Azul, por lo que el valor proporcionado por el equipo Púrpura debería ser parte natural de su interacción en lugar de ser forzado a través de una entidad adicional.
  • Si combina Amarillo (Constructores) con Rojo y Azul, puede terminar con otras funciones, como Verde y Naranja, que ayudan a difundir la mentalidad de atacante y defensor a otras partes de la organización.

Notas

Todos estos términos pueden aplicarse a cualquier tipo de operación de seguridad, pero estas definiciones específicas están sintonizadas con la seguridad de la información.

Fuente: Daniel Miessler

17 oct. 2021

Reporte de familias activas de ransomware

Según ha revelado un análisis exhaustivo de 80 millones de muestras relacionadas con ransomware realizado por VirusTotal, se han descubierto que, en 2020, hubo hasta 130 familias diferentes de ransomware activas y la primera mitad de 2021, con Israel, Corea del Sur, Vietnam, China, Singapur, India, Kazajstán, Filipinas, Irán y el Reino Unido emergiendo como los más afectados.

VirusTotal, atribuyó una parte significativa de la actividad al grupo de ransomware como servicio (RaaS) GandCrab (78,5%), seguido de Babuk (7,61%), Cerber (3,11%), Matsnu (2,63%), Wannacry (2,41%), Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) y Reveon (0,70%).

"Los atacantes están utilizando una variedad de enfoques, incluido las botnet y otros troyanos de acceso remoto (RAT) como vehículos para entregar su ransomware", dijo Vicente Díaz, de VirusTotal Threat Intelligence. "En la mayoría de los casos, utilizan muestras de ransomware nuevas o nuevas para sus campañas".

Algunos de los otros puntos clave descubiertos en el estudio son los siguientes:

  • GandCrab representó la mayor parte de la actividad de ransomware en los dos primeros trimestres de 2020, y la familia de ransomware Babuk generó un aumento de infecciones en julio de 2021.
  • El 95% de los archivos de ransomware detectados eran ejecutables basados ​​en Windows o bibliotecas de vínculos dinámicos (DLL), mientras que el 2% estaban basados ​​en Android.
  • Alrededor del 5% de las muestras analizadas se asociaron con exploits relacionados con la elevación de privilegios de Windows, la divulgación de información de SMB y la ejecución remota.
  • Emotet, Zbot, Dridex, Gozi y Danabot fueron los principales artefactos de malware utilizados para distribuir ransomware.

Los hallazgos se producen a raíz de una ola implacable de ataques de ransomware dirigidos a la infraestructura crítica, con bandas de ciberdelincuentes que persiguen agresivamente a las víctimas en sectores críticos, incluidos los operadores de oleoductos e instalaciones de atención médica, incluso cuando el panorama ha sido testigo de un cambio continuo en el que los grupos de ransomware evolucionan, se dividen, se reorganizan con nuevos nombres, o desaparecer del radar para evadir el escrutinio.

En todo caso, la explosión de nuevas familias de malware ha atraído a nuevos actores a participar en estos lucrativos esquemas, convirtiendo el ransomware en un modelo de negocio criminal rentable.

"Si bien las grandes campañas van y vienen, existe una línea de base constante de actividad de ransomware de aproximadamente 100 familias de ransomware que nunca se detiene", dice el informe. "En términos de distribución de ransomware, los atacantes no parecen necesitar exploits más que para la escalada de privilegios y la propagación de malware dentro de las redes internas".

Futente: VirusTotal

15 oct. 2021

Delincuentes clonan la voz con IA y roban U$S 35m #deepvoice

Según información publicada por la revista Forbes, se utizaron voces "deepfake" para engañar a un empleado del banco haciéndole creer que estaba haciendo una transacción comercial legítima asociada con el banco.

La historia, que proviene de un documento judicial recién descubierto. Tuvo lugar en enero pasado, cuando el gerente de la sucursal del banco de Emiratos Árabes (no se ha hecho público cual) recibió una llamada telefónica aparentemente normal. La persona que estaba al otro lado del teléfono afirmó ser el director de una gran empresa con la que el gerente había hablado anteriormente y que además sonaba igual que ellos, afirma el documento judicial. Esto, junto con lo que parecían ser una serie de correos electrónicos de la empresa y de su abogado, convenció al gerente de la sucursal de que iba a cerrar un gran negocio por valor de 35 millones de dólares. Posteriormente, siguiendo con las órdenes de la persona que había llamado, comenzó a realizar una serie de transferencias de dinero de la empresa a varias cuentas.

Desafortunadamente, todo resultó ser una sofisticada estafa. Lo que no sabía era que había sido engañado como parte de una elaborada estafa, en la que los estafadores habían utilizado tecnología de "deep voice" para clonar el discurso del director, según un documento judicial desenterrado por Forbes en el que U.A.E. ha buscado la ayuda de investigadores estadounidenses para rastrear U$S 400.000 de fondos robados que ingresaron en cuentas con sede en EE.UU. mantenidas por Centennial Bank. Los investigadores de Dubai creen que fue un plan elaborado, que involucró al menos a 17 personas, que envió el dinero robado a cuentas bancarias en todo el mundo.

Esta no es la primera vez que sucede algo así. En 2019, una empresa energética en Reino Unido sufrió un destino similar: los estafadores lograron robar unos 243.000 dólares haciéndose pasar por el director ejecutivo de la empresa. Y, según expertos en inteligencia artificial, tampoco es probable que vaya a ser la última vez.

Varias nuevas empresas tecnológicas están trabajando en tecnologías de voz de inteligencia artificial cada vez más sofisticadas, desde Aflorithmic de Londres hasta Respeecher de Ucrania y Resemble.AI de Canadá. La tecnología causó revuelo en los últimos meses con la revelación de que el difunto Anthony Bourdain tenía su voz sintetizada para un documental sobre su vida. Mientras tanto, reconociendo el potencial de uso malintencionado de la IA, un puñado de empresas, como la firma de seguridad Pindrop, valorada en 900 millones de dólares, ahora afirman que pueden detectar voces sintetizadas y así prevenir fraudes.

Los "deep fakes" de vídeo y de audio representan el fascinante desarrollo tecnológico del siglo XXI, pero también son increíblemente peligrosas y representan una gran amenaza para los datos, el dinero y las empresas”, dijo a Forbes Jake Moore, experto en ciberseguridad. Actualmente estamos viendo cómo actores malintencionados utilizan su experiencia y recursos para acceder a lo último en tecnología para manipular a personas que, inocentemente, desconocen el alcance de estas tecnologías de ‘deep fake’ e incluso su existencia. Está claro que la tecnologías "deep fake" se han vuelto tremendamente buenas en su trabajo; como estos vídeos de Tom Cruise.

¿Deberíamos regularlo? Podría ser una buena idea, aunque los críticos están divididos sobre qué camino deben tomar estas nuevas leyes. Algunas personas dicen que estas leyes crearían más problemas de los que resuelven, mientras que otros argumentan que podrían afectar la libertad de expresión y libertades creativas. De todas formas, parece algo que deberíamos resolver pronto, antes de que este tipo de robos bancarios se conviertan en la nueva normalidad.

Fuente: Forbes

Google rastrea 270+ actores de amenazas esponsoreados por 50+ Estados

El Grupo de Análisis de Amenazas (TAG) de Google dijo que están rastreando a más de 270 actores de amenazas respaldados por el gobierno de más de 50 países, y agregó que ha enviado aproximadamente 50.000 alertas de intentos de phishing o malware patrocinados por el estado a los clientes desde principios de 2021.

Las advertencias marcan un aumento del 33% desde 2020, dijo el gigante de Internet, y el aumento se debe principalmente al "bloqueo de una campaña inusualmente grande de un actor ruso conocido como APT28 o Fancy Bear".

Además, Google dijo que interrumpió una serie de campañas montadas por un grupo de atacantes patrocinado por el estado iraní que se rastreó como APT35 (también conocido como Charming Kitten, Phosphorous o Newscaster), incluido un sofisticado ataque de ingeniería social denominado "Operación SpoofedScholars" dirigido a grupos de expertos, periodistas y profesores con el objetivo de solicitar información confidencial haciéndose pasar por académicos de la Escuela de Estudios Orientales y Africanos de la Universidad de Londres (SOAS).

Los detalles del ataque fueron documentados públicamente por primera vez por la firma de seguridad empresarial Proofpoint en julio de 2021.

Otros ataques ​​involucraron el uso de una aplicación VPN infectada de software espía cargada en Google Play Store que, una vez instalada, podría aprovecharse para desviar información confidencial como registros de llamadas, mensajes de texto, contactos y datos de ubicación de los dispositivos infectados. Además, una táctica inusual adoptada por APT35 se refería al uso de Telegram para notificar a los atacantes cuando los sitios de phishing bajo su control han sido visitados en tiempo real a través de JavaScript malicioso incrustado en las páginas.

También se dice que el actor de la amenaza se hizo pasar por funcionarios políticos al enviar "mensajes de correo electrónico no maliciosos en el primer contacto" modelados en torno a las conferencias de Seguridad de Munich y Think-20 (T20) Italia como parte de una campaña de phishing para atraer a personas de alto perfil a visitar sitios web fraudulentos.

"Durante años, este grupo ha secuestrado cuentas, desplegado malware y utilizado técnicas novedosas para realizar espionaje alineado con los intereses del gobierno iraní", dijo Ajax Bash de Google TAG.

Fuente: THN

Aplicaciones de mensajería por si Facebook vuelve a fallar… o te preocupa la privacidad

Las aplicaciones de mensajería instantánea se han convertido en imprescindibles para una buena parte de internautas. Son junto a los navegadores web el software más usado y si hablamos de dispositivos móviles, son omnipresentes para todas las tareas de comunicaciones, chat de texto, voz y vídeo, además del envío de contenido multimedia.

WhatsApp es la aplicación más conocida y usada de todo el gran grupo de aplicaciones de mensajería alcanzando los 2.000 millones de usuarios. Es probablemente el servicio más transversal en cuanto a grupos de edad y habitualmente es la puerta de entrada a grupos de población menos digitalizados.

Los datos de uso que ofrece son asombrosos y las últimas estadísticas hablan de 100.000 millones de mensajes enviados diariamente; la consulta diaria por el 70% de usuarios y los casi 40 minutos de uso que de media le dedica al día cada uno de ellos.

Facebook es un ‘monstruo’ sin solución

La compra de WhatsApp por Facebook supuso una concentración que a nuestro juicio perjudicó a la industria y a los propios usuarios de la aplicación. Por supuesto, la firma de Zuckerberg quiere rentabilizar la inversión y no es de fiar. No es el único, pero Facebook es el mayor «traficante de datos» mundial y ha incumplido todas las normas legales y morales violando por acción u omisión el derecho a la privacidad de sus usuarios, con el escándalo de Cambridge Analytica como la culminación de unas prácticas indeseables.

La red social ha recopilado, utilizado y vendido datos de sus usuarios a terceros sin conocimiento ni consentimiento de estos. Del sector que hablamos y aunque solo uses WhatsApp, debes saber que tus datos son cedidos a Facebook obligatoriamente. Y todas las promesas de ‘cambio’ se han quedado en muy poco. Esta misma semana la compañía ha tenido que comenzar a lidiar con una grave denuncia donde se le acusa de priorizar los beneficios sobre la lucha contra los discursos de odio, desinformación y otros, consciente de sus efectos perniciosos para sus usuarios. Va a traer cola.

Y otro problema. La concentración de servicios masivos que están a manos de Facebook es alarmante y nadie en su sano juicio (los reguladores que dicen defender la competencia y a los usuarios) debería haber aprobado las adquisiciones de WhatsApp e Instagram.

La caída global de los servicios de Facebook de esta semana ha demostrado las peligrosas repercusiones que tiene depender de un monstruo como este. En mensajería instantánea, además de WhatsApp, hay que decir que Facebook acumula otros 1.300 millones de usuarios de Messenger que también se quedaron sin servicio durante unas cuantas horas.

Aplicaciones de mensajería alternativas

Más allá de WhatsApp y Telegram, hay otro grupo de aplicaciones sumamente interesante como para no tener que depender de Facebook. Como puedes imaginar y seguro has comprobado alguna vez, es muy difícil cambiar usuarios de una plataforma a otra. Aunque sean mejores técnicamente, cuenten con más funciones, sean más seguras o más cuidadosas con los datos personales. Esas son las alternativas que te vamos a recordar en este artículo.

Signal, la que más crece

Signal es un servicio de mensajería gratuito que ofrece chat de video, voz y texto, llamadas de voz y vídeo con cifrado de extremo a extremo, así como transferencias seguras de archivos y fotos. Con funciones similares a WhatsApp y una interfaz muy sencilla de usar típica en este tipo de aplicaciones, funciona bajo el protocolo Signal Messaging Protocol, ampliamente reconocido como el protocolo de mensajería más seguro disponible.

Más importante aún es la mínima información que el servicio recopila, solo el número de teléfono, la fecha que se unió al servicio y en la que se inició la sesión por última vez. Cualquier otro dato, como la lista de contactos, los grupos a los que perteneces o cualquier otro tipo de contenido se cifra y almacena en dispositivo. Como resultado, nadie, incluido el personal de Signal, puede ver ninguno de estos datos sin acceso físico a tu dispositivo.

Por si esas ventajas fueran pocas, Signal es un desarrollo Open Source, lo que significa que su código está disponible en línea para escrutinio público y cualquier cuestión de privacidad o fallo de seguridad puede ser verificado por los expertos. De hecho, el sistema de cifrado interno de WhatsApp está construido con el código de Signal.

Promocionado por Edward Snowden, Jack Dorsey o el tecnólogo Bruce Schneier, Signal es un proyecto que depende de una organización independiente sin ánimo de lucro, que no depende de ninguna gran tecnológica y que se mantiene con donaciones voluntarias. Está disponible gratuitamente para dispositivos móviles Android y los de Apple, así como PCs Windows, Mac y Linux. Desde el anuncio del cambio de política de Whatsapp sobre la cesión de los datos a Facebook las descargas de Signal se han disparado un 4.200%. Actualmente es el gran nombre en mensajería instantánea aunque está alejada del número de usuarios de WhatsApp o Telegram.

Telegram, la mayor alternativa

Telegram es la mayor alternativa a WhatsApp llega de una aplicación que acaba de superar los 500 millones de usuarios gracias al éxodo de la app de Facebook (25 millones de nuevos usuarios en 72 horas). Lo que en un principio era poco más que un clon de WhatsApp más seguro, ha terminado por convertirse en un software completísimo. De hecho, siempre ha ido por delante de WhatsApp en características, en tecnología y por supuesto en seguridad y privacidad.

La llevamos años recomendando y de hecho la usamos por sus funciones avanzadas como plataforma de comunicación para ofrecerte canales de seis de nuestros portales, desde MC a MCPRO pasando cómo no por muylinux donde lo iniciamos.

Telegram recopila menos datos que WhatsApp (aunque no tan pocos como Signal) y no entrega nada a Facebook. La aplicación tiene chats cifrados de extremo a extremo, pero los chats predeterminados también se almacenan en los servidores de Telegram. Si deseas un chat real con cifrado de dispositivo a dispositivo se puede usar el Modo secreto. Una vez habilitado, los mensajes solo se almacenan en tu dispositivo aumentando la privacidad. En cualquier modo, no obstante, si una persona elimina un mensaje, se elimina de ambos dispositivos.

Como Signal, el código fuente de Telegram es abierto liberado bajo licencia GPL v3 y cualquier puede revisarlo en GitHub. Está disponible gratuitamente para dispositivos móviles (Android, iPhone, iPad y hasta para Windows Phone), así como para ordenadores personales con aplicación para PCs Windows, macOS y Linux que bate por goleada desde hace años a la versión equivalente de WhatsApp. También tiene versión web.

Threema, de pago, pero segura

Si la mayoría de apps son «gratuitas» y algunas como WhatsApp el pago viene camuflado con tus datos, Threema no se corta y es de pago, eso sí a un precio insignificante como tarifa única de 2,99 dólares que muchos usuarios pagaríamos gustosos si funciona como promete.

Threema ofrece cifrado de extremo a extremo para todos los datos que se mueven a través de su servicio. Ello incluye mensajes, videollamadas, archivos e incluso actualizaciones de estado. La aplicación no escatima en funciones y cuenta con los mensajes de texto habituales, llamadas de voz, videollamadas, intercambio de archivos, grupos, listas y acceso a un cliente web de escritorio. Threema no recopila ningún dato de usuario y no muestra ningún anuncio publicitario.

Una aplicación creada en Suiza y con uso de servidores exclusivos alojados allí, que permite chatear de forma totalmente anónima ya que ni siquiera es necesario vincular un número de teléfono o correo electrónico a su cuenta (son opcionales). El servicio genera una ID aleatoria cuando comienzas a usar la aplicación que otros usuarios pueden usar para comunicarse contigo. Está disponible para Android (si quieres con una APK sin pasar por Google Play Store), iOS y navegadores web.

Threema completó recientemente una transición al software de código abierto, y el código se audita regularmente para que el usuario pueda estar seguro de que no hay nada bajo el capó que pueda comprometer el anonimato.

Keybase, la más privada

No es para todos los usuarios, pero los más preocupados por la privacidad quizá no vayan a encontrar otra como esta. Keybase comenzó como un directorio para claves de identificación públicas y privadas, pero también tiene un componente de mensajería instantánea que se puede usar para mensajería privada y grupales.

Keybase es una aplicación de código abierto y utiliza criptografía de clave pública para proteger los mensajes. Los mensajes, los medios y las transferencias de archivos están protegidos de tal manera que incluso Keybase no puede leer los mensajes. Debido a que está basada en identificadores de clave pública, también se puede usar de forma anónima. Está disponible de forma gratuita para Android, iOS, Windows, Linux y Mac.

Wire, empresarial

Es una suite de colaboración empresarial con mensajería segura, capacidades de chat grupal, intercambio de archivos y otras funciones, que ofrece una versión gratuita llamada Wire Personal de uso gratuito.

Para crear una cuenta debe proporcionarse una dirección de correo electrónico o un número de teléfono. Este desarrollo registra algunos datos, pero no en la medida en que lo hace WhatsApp. Cuenta con cifrado de extremo a extremo y está desarrollado bajo un modelo de código abierto.

Las aplicaciones de mensajería instantánea se han convertido en imprescindibles para una buena parte de internautas. Son junto a los navegadores web el software más usado y si hablamos de dispositivos móviles, son omnipresentes para todas las tareas de comunicaciones, chat de texto, voz y vídeo, además del envío de contenido multimedia.

WhatsApp es la aplicación más conocida y usada de todo el gran grupo de aplicaciones de mensajería alcanzando los 2.000 millones de usuarios. Es probablemente el servicio más transversal en cuanto a grupos de edad y habitualmente es la puerta de entrada a grupos de población menos digitalizados.

Los datos de uso que ofrece son asombrosos y las últimas estadísticas hablan de 100.000 millones de mensajes enviados diariamente; la consulta diaria por el 70% de usuarios y los casi 40 minutos de uso que de media le dedica al día cada uno de ellos. Como los «danones» cuando hablamos de yogures, WhatsApp se ha convertido en marca propia y su nombre a menudo se usa -incorrectamente- para definir el tipo de servicio.

Wickr Me, grado militar

Como el anterior, no es un desarrollo demasiado conocido (aunque está disponible desde hace unos cuantos años) ni está destinado a un consumo masivo porque pone la privacidad y seguridad por delante de cualquier otra función al igual que hace Keybase, pero un paso más allá, ya que promete seguridad "grado militar" en las comunicaciones y de hecho ha sido recomendado para uso por cuerpos militares tras ser verificado por prestigiosos equipos de investigación de seguridad.

Wickr Me usa cuentas anónimas, sin información de cualquiera identificación personal en el registro, sin almacenamiento de metadatos y sin que el desarrollador tenga acceso a cualquier información o contactos. Todos los datos que se envían, sean mensajes de texto o voz, vídeos o imágenes, están protegidos por un cifrado fuerte de extremo a extremo. Una de las características distintivas de este desarrollo es que todos los mensajes y archivos adjuntos se autodestruyen después de un periodo de tiempo que pueden fijar los usuarios.

El desarrollo es de código abierto y éste se encuentra disponible en GitHub para auditoria comunitaria. Está disponible gratuitamente para Android, iOS, Windows, Linux y Mac, aunque tiene algunas limitaciones en el número de participantes en grupos (hasta 10) o en llamadas de audio o vídeo (solo 1). La versión Wickr Pro es de pago y permite desplegar todo el potencial de este aplicación «ultra privada».

No faltan buenas aplicaciones de mensajería instantánea como habrás leído. El gran problema es cambiar a centenares de millones de usuarios de una plataforma a otra. El gran público es cómodo por naturaleza y le cuesta probar otra cosa a la que lleva usando años, y que como WhatsApp funciona y en sus grupos están la mayoría de sus familiares, amigos o conocidos.

Pero deben explorarse alternativas. Facebook es un ‘monstruo’ insaciable y sin solución. Cualquier empresa puede sufrir problemas de infraestructura o ciberataques, pero en el caso de Facebook una caída de servicios supone dejar fuera de juego a medio Internet por su enorme concentración de aplicaciones. De la privacidad ya está todo dicho.

Fuente: Muy Computer

14 oct. 2021

Informe sobre datos recogidos por Google en Android

Un equipo de investigadores universitarios del Reino Unido (University of Edinburgh, UK 2Trinity College Dublin, Ireland) ha publicado un estudio que pone de manifiesto los problemas de privacidad que surgen al utilizar smartphones Android.

Los expertos se han centrado en los dispositivos Android de Samsung, Xiaomi, Realme y Huawei, así como en LineageOS y /e/OS, dos forks de Android que pretenden ofrecer un soporte a largo plazo y una experiencia sin Google.

Con la excepción de /e/OS, el resto de variantes de Android transmiten cantidades sustanciales de información al desarrollador del sistema operativo y también a terceros (Google, Microsoft, LinkedIn, Facebook, etc.) cuyas aplicaciones vienen preinstaladas, incluso cuando están mínimamente configuradas y el teléfono está en reposo.

Como indica la siguiente tabla resumen, los datos sensibles del usuario, como los identificadores persistentes, los detalles de uso de las aplicaciones y la información telemétrica, no sólo se comparten con los fabricantes del dispositivo, sino que también van a parar a varios terceros, como Microsoft, LinkedIn y Facebook.

Y para empeorar las cosas, Google aparece en el extremo receptor de todos los datos recogidos casi en toda la tabla. Es importante señalar que se trata de la recopilación de datos para la que no hay opción de exclusión, por lo que los usuarios de Android están indefensos ante este tipo de telemetría.

Esto es especialmente preocupante cuando los vendedores de teléfonos inteligentes incluyen aplicaciones de terceros que recopilan datos de forma silenciosa incluso si no son utilizadas por el propietario del dispositivo, y que no pueden ser desinstaladas.

En el caso de algunas de las aplicaciones integradas en el sistema, como miui.analytics (Xiaomi), Heytap (Realme) e Hicloud (Huawei), los investigadores descubrieron que los datos cifrados pueden descifrarse en ocasiones, lo que supone un riesgo para los ataques de tipo Man-in-the-Middle (MitM).

Como señala el estudio, incluso si el usuario restablece los identificadores publicitarios de su cuenta de Google en Android, el sistema de recogida de datos puede volver a vincular trivialmente el nuevo identificador al mismo dispositivo y añadirlo al historial de seguimiento original.

La mayoría de los usuarios de Android siguen atrapados en un flujo interminable de recopilación de datos, que es donde los reguladores y las organizaciones de protección de los consumidores tienen que intervenir y poner fin a esto.

Un portavoz de Google ha declarado lo siguiente sobre las conclusiones del estudio:

Aunque apreciamos el trabajo de los investigadores, no estamos de acuerdo en que este comportamiento sea inesperado: así es como funcionan los smartphones modernos.
Como se explica en nuestro artículo del Centro de ayuda de los servicios de Google Play, estos datos son esenciales para los servicios básicos del dispositivo, como las notificaciones push y las actualizaciones de software, en un ecosistema diverso de dispositivos y versiones de software.
Por ejemplo, los servicios de Google Play utilizan los datos de los dispositivos Android certificados para respaldar las funciones principales del dispositivo. La recopilación de información básica limitada, como el IMEI de un dispositivo, es necesaria para ofrecer actualizaciones críticas de forma fiable en todos los dispositivos y aplicaciones Android.

Fuente: Teknofilo

13 oct. 2021

Documentos argentinos a la venta. Desmienten que se hayan hackeado la web de los DNI

Luego de que circularan en redes sociales capturas de pantallas que mostraban un presunto hackeo a la base de datos del Registro Nacional de las Personas (RENAPER), que cuenta con los datos de los DNI de las más de 45 millones de personas en el país, el organismo aseguró que sus sistemas de seguridad informática no fueron vulnerados. Según el RENAPER, hubo un uso indebido de una clave otorgada a un organismo público y se formalizó una denuncia penal

Desde el organismo dijeron: "El Registro Nacional de las Personas formalizó ayer una denuncia penal ante el Juzgado en lo Criminal y Correccional Federal N° 11 Secretaria N° 22 tras detectar que, mediante el uso de claves otorgadas a organismos públicos, en este caso el Ministerio de Salud, se filtraron imágenes como perteneciente a trámites personales realizados en el RENAPER. Desde el organismo dependiente del Ministerio del Interior se confirmó que se trató de un uso indebido de usuario o robo de la clave del mismo, y que la base de datos no sufrió vulneración o filtración alguna de datos".

El sábado 9 de octubre el RENAPER tomó conocimiento de que un usuario de Twitter identificado con el nombre de @aniballeaks -cuenta que fue denunciada y que actualmente se encuentra suspendida- había publicado en dicha red social las imágenes de 44 individuos, entre los cuales se encontraban funcionarios y personajes públicos de conocimiento en general”, explicaron desde el organismo que depende de Ministerio de Interior.

Según su versión, algunas de las publicaciones poseerían el número de trámite del Documento Nacional de Identidad asociado a dicha imagen. "De un primer análisis, se pudo identificar a las imágenes como perteneciente a trámites personales realizados en el Registro Nacional de las Personas", agregaron.

"Confirmando lo sucedido, el equipo de seguridad informática del RENAPER realizó una consulta sobre las 44 personas involucradas a fin de relevar los últimos consumos realizados mediante el uso del Sistema de Identidad Digital (SID) sobre dichos perfiles, detectando que 19 imágenes habían sido consultadas en el exacto momento que eran publicadas en la red social Twitter desde una conexión autorizada de VPN (Virtual Private Network) entre el RENAPER y el Ministerio de Salud de la Nación, y todas las imágenes habían sido consultadas recientemente desde esa misma conexión", indicaron.

Tras ese protocolo lograron determinar que "dicha conexión habría realizado varias consultas individuales a las bases de datos del Renaper entre las 15:01 y las 15:55 mediante el servicio de validación de datos del SID el cual, una vez invocados el DNI y Sexo de la persona, devuelve a la persona que consulta todos los datos impresos en el Documento Nacional de Identidad, incluyendo imagen y otros datos personales, los cuales luego fueron subidos inmediatamente a la red social Twitter, sin el consentimiento del Titular de los mismos".

Luego de este análisis preliminar, confirmaron los especialistas, se descartó de plano un ingreso no autorizado a los sistemas o una filtración masiva de datos del organismo", aseguró el RENAPER, y agregó: "Asimismo, se detectó que un usuario autorizado individual habría utilizado de forma indebida para fines personales el servicio de validación de identidad a través de un certificado habilitado del Ministerio de Salud de la Nación, conectándose a través de la correspondiente VPN, con usuario y contraseña".

Según pudo saber este medio son ocho las personas que pertenecen a la cartera que dirige Carla Vizzotti que quedaron bajo la lupa judicial. Esto es porque eran quienes tenían acceso a la clave desde la cual se hicieron las consultas que luego se publicaron en redes sociales.

Fuente: La Nación

MysterySnail: vulnerabilidad crítica en Windows (Parchea!)

En octubre, Microsoft ha publicado 74 correcciones de seguridad, incluido un error Zero-Day explotado activamente en Win32k. Se incluyen soluciones para un total de cuatro fallas de día cero, tres de las cuales son públicas. Los productos afectados por la actualización de seguridad de octubre incluyen Microsoft Office, Exchange Server, MSHTML, Visual Studio y el navegador Edge.

Los errores de día cero se identifican como CVE-2021-40449, CVE-2021-41338, CVE-2021-40469 y CVE-2021-41335. La primera está siendo aprovechada activamente por atacantes: MysterySnail.

CVE-2021-26427 es una vulnerabilidad RCE en Microsoft Exchange Server que recibió una puntuación CVSSv3 de 9, la más alta en esta versión del martes de parches. La vulnerabilidad se atribuye a Andrew Ruddick del Centro de Respuesta de Seguridad de Microsoft, así como a la Agencia de Seguridad Nacional (NSA). A pesar de la alta puntuación de CVSS, el aviso señala específicamente que la vulnerabilidad solo sería explotable desde una red adyacente. En abril, a la NSA también se le atribuyó el descubrimiento de cuatro vulnerabilidades de RCE en Microsoft Exchange Server.

MysterySnail

A finales de agosto y principios de septiembre de 2021, Kaspersky detectó ataques mediante el uso de un exploit de elevación de privilegios en varios servidores de Microsoft Windows. El nuevo exploit está basado en otro más más antiguo y conocido públicamente desde 2016 (CVE-2016-3309), pero un análisis más detallado reveló que era un Zero-Day.

Este Zero-Day está usando una vulnerabilidad previamente desconocida en el controlador Win32k y la explotación se basa en gran medida en una técnica para filtrar las direcciones base de los módulos del kernel. Microsoft asignó CVE-2021-40449 a esta vulnerabilidad use-after-free en el controlador del kernel Win32k y fue parcheada el 12 de octubre de 2021, como parte del martes de parches de octubre.

Además de encontrar este día cero in-the-wild, Kaspersky analizó el malware utilizado junto con el exploit y descubrieron que se detectaron variantes del malware en campañas de espionaje generalizadas contra empresas de TI, contratistas militares/defensa y entidades diplomáticas.

Kaspersky llamó a este ataque MysterySnail. La similitud de código y la reutilización de la infraestructura C2 que descubrieron permite conectar estos ataques con el actor conocido como IronHusky y la actividad APT de habla china que se remonta a 2012.

Este exploit  de elevación de privilegios funciona en los siguientes productos de Windows:

  • Microsoft Windows Vista
  • Microsoft Windows 7
  • Microsoft Windows 8
  • Microsoft Windows 8.1
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows 10 (compilación 14393)
  • Microsoft Windows Server 2016 (compilación 14393)
  • Microsoft Windows 10 (compilación 17763)
  • Microsoft Windows Server 2019 (compilación 17763)
Fuente: ZDNet

12 oct. 2021

Banco Pichincha (EC) víctima de ciberataque

El Ministerio de Finanzas de Ecuador y Banco Pichincha, una de las entidades más grandes del país, fueron atacadas hoy por un grupo que los infectó con un ransomware.

Un grupo de delincuentes autodenominado "Hotarus Corp" se adjudicó el hackeo al Ministerio de Finanzas de Ecuador y al banco más grande del país, Banco Pichincha, a la vez que afirman haber robado datos internos.

Esta no es la primera vez que el banco es atacado por este grupo, porque ya en febrero de 2021 habían llevado a cabo una acción similar. En este momento la banda apuntó al Ministerio de Finanzas de Ecuador, el Ministerio de Economía y Finanzas de Ecuador, donde desplegaron un ransomware basado en PHP para cifrar un sitio que aloja un curso en línea dentro de la institución. En este momento habían utiliza el software Ronggolawe (también conocido como AwesomeWare). Poco después del ataque, los atacantes publicaron un archivo de texto que contenía 6.632 nombres de inicio de sesión y combinaciones de contraseñas hash en un foro.

En esta oportunidad, el banco confirmó el ataque en un comunicado oficial, pero afirma que fue un socio de marketing hackeado y no sus sistemas internos. Banco Pichincha continúa diciendo que "los atacantes utilizaron la plataforma comprometida para enviar correos electrónicos de phishing a los clientes para intentar robar información confidencial para realizar transacciones ilegítimas".

Hasta ahora, el Banco Pichincha no ha revelado públicamente la naturaleza del ataque. Sin embargo, fuentes de la industria de la ciberseguridad le han dicho a BleepingComputer que se trata de un ataque de ransomware con actores de amenazas que instalan Cobalt Strike en la red. Las bandas de ransomware y otros actores de amenazas suelen utilizar Cobalt Strike para obtener persistencia y acceso a otros sistemas en una red.

En una entrevista con BleepingComputer, el grupo de delincuentes informáticos cuestiona el estado de cuenta del banco y afirma que utilizó el ataque de la empresa de marketing como un trampolín hacia los sistemas internos del banco. Luego robaron los datos y utilizaron el ransomware para cifrar los dispositivos.

"Inicialmente entramos a una empresa que desarrolla aplicaciones web y marketing para el banco, luego de analizar códigos y datos nos dio la posibilidad de acceder a los sistemas internos del banco, fue allí donde usamos un ransomware, extrayendo toda la información posible. Una vez dentro, encontramos vulnerabilidades en las vulnerabilidades de sus aplicaciones en los puertos FTP y RDP que nos ayudaron a aumentar los privilegios. Actualmente solo está a la venta información bancaria, ya hemos vendido alrededor de 37.000 tarjetas de crédito a un grupo dedicado a esto, la información inicialmente será subastada o vendida por 250.000", dijo un operador de "Hotarus Corp" a BleepingComputer.", dijeron los actores de amenazas a BleepingComputer.

A través de este ataque, el grupo afirma haber robado "31.636.026 millones de registros de clientes y 58.456 registros confidenciales del sistema", incluidos números de tarjetas de crédito. Como prueba de su ataque, el grupo compartió varias imágenes de los datos presuntamente robados, incluida una carpeta de archivos.

Fuente: BC