Un hacker en Corea (I)

Este post fue originalmente publicado en ElevenPaths como parte de una serie de artículos que cuentan los 3 meses que viví en Corea del Sur, estudiando Ciberseguridad en la Universidad de Corea.

---

Por esas extrañas coincidencias de la vida, el pasado mes de julio fui seleccionado para realizar una beca de estudio sobre Ciberseguridad en Corea del Sur, tres meses desde octubre a diciembre.

Las primeras reacciones que recibí al anunciar la noticia fueron muy simpáticas e inocentes:

• ¿Vas a ir y volver cada 15 días? Hay que notar que desde Argentina son 19.000 Km de distancia y 32 horas de viaje. Por la diferencia horaria de 12 horas, los primeros días se vive al revés y el jetlag es difícil de superar. Una curiosidad: si se hace un agujero en Argentina, casi se llega a Corea del Sur. Literalmente estamos en las antípodas y no solo por la distancia, ya lo veremos.
• ¿La del Sur es la buena no? Depende para quien.
• ¿Ya te echaron de ElevenPaths? No, al contrario, fueron quienes me respaldaron durante estos tres meses y me hicieron sumamente fácil el proceso de estudiar y trabajar con 12 horas de diferencia. A todos ellos GRACIAS, hicieron mucho más que demostrar que la innovación es nuestro principal motor.
• ¿Qué vas a comer? No lo sé.
• ¿De ahí viene el Gangnam Style y el K-Pop? Sí, pero esa es otra historia.

Éstas y otras preguntas del mismo calibre, serían la primera demostración de lo poco que conocemos sobre Asia y su cultura. Todo lo demás estaba por llegar.

A Corea del Sur lo llaman “el milagro sobre el Río Han” y no en vano este río es una metáfora de su historia, política y economía. El Río Han (Hangul: 한강) nace en Corea del Norte y, paradójicamente, este río que ha sido de tanta importancia para el crecimiento del país, también marca un límite natural entre las dos Corea -Norte y Sur, separados por decenas de problemas- y los dos Seúl -Norte y Sur unidos por decenas de puentes-.

Corea tiene una historia rica y milenaria marcada por centenares de guerras, uniones y desencuentros con sus vecinos, principalmente China, Japón y Rusia. La historia no hace más que repetirse y su presente está marcado por cientos de políticas, normas y procedimientos gubernamentales relacionados al e-Government, la ciberguerra y la ciberdefensa.

Por eso, estudiar ciberseguridad en la Universidad de Corea no es lo mismo que estudiarlo en otro país. Dicen que Corea del Sur es uno de los países más atacados del mundo por sus hermanos, los del Norte. Dicen que Corea del Norte es el país con mayor cantidad de atacantes del mundo; un país que, sin embargo no tiene Internet. Dicen, y es difícil debatir los “dicen”, incluso estando en el lugar.

Corea del Sur es las antípoda de occidente en la cultura, las costumbres, las comidas, los horarios, las ideas, la educación, la tecnología - de allí son Samsung y LG - y la política, que desde octubre estuvo marcada por el proceso de Impeachment de su presidenta Park Geun-hye, que actualmente se encuentra suspendida por supuesto tráfico de influencias… Y, el idioma, el cual estuve estudiando tres meses y por supuesto con el cual perdí la batalla.

El primer día de Universidad ya hace la diferencia: en Corea hace 16 años pensaron una política de ciberseguridad para el país, crearon laboratorios de investigación, entrenaron a su personal y crearon carreras de grado y postgrado en ciberseguridad en varias Universidades y escuelas superiores del país. Estos estudios contemplan aspectos técnicos, legales y de gestión, es decir todo lo que cualquier profesional de seguridad de la información debe conocer.

Para realizar una mejor selección de los futuros profesionales y crear un semillero de expertos, se busca cerebros en las escuelas secundarias y, a partir de los 16 años, estos pequeños nuevos hackers son entrenados en programas especiales para que no se desvíen ética y moralmente y su conocimiento técnico pueda ser aprovechado por el estado. La historia de Corea y la informatización comienza en la década del 70, les sirvió como base para establecer su democracia actual y es interesante remarcar que el proceso siempre fue pensado con la seguridad como base, por la gran cantidad de incidentes relacionados con China y Corea del Norte. Por eso sus políticas de estado contemplan:

• Security: aquellos riesgos contra el estado y el territorio. 
• Safety: riesgos contra los ciudadanos. 
• National Cybersecurity: engloba los dos anteriores y es representado por decenas de organismos nacionales entre los que se puede mencionar KISA, NSRI, NCSC y NCIS. 
• Legislación: todo el proceso de ciberseguridad fue implementado pensando primero en las leyes nacionales; no como un parche a la tecnología, sino como una estrategia para el crecimiento del país.

Por todo lo anterior Corea del Sur tiene leyes de delitos informáticos desde principios de los 80 y ejecuta simulacros de ciberguerra (CyberWarfare) desde los 90. Además, estas leyes alcanzan la protección de las más de 3.000 Infraestructuras Críticas (70% nacionales) desde 2001 y las mismas son reevaluadas cada año para contemplar los nuevos riesgos y desafíos técnicos.

Finalmente, Corea considera fundamentales las siguientes políticas para las organizaciones, tanto públicas como privadas:

1. Creación de un SGSI basado en ISO 27000 pero adaptado a las necesidades del país y que debe ser implementado y certificado por cualquier organización que manipule información sensible. 
2. Cualquier organización que adquiera o desarrolle software y lo publique en un sitio web, es auditado en base a las buenas prácticas de OWASP y, si las mismas no se cumplen, la página puede ser dada de baja hasta que lo haga. 
3. Al software desarrollado en Corea, se le realizan análisis Black-box y White-box basados en Common Criteria. 
4. El estudio de la criptografía que los ha llevado a desarrollar ARIA, un algoritmo simétrico propio basado en AES y que es utilizado en todo el país. Seguramente habrá decenas de otros algoritmos, pero los mismos no son públicos. 
5. Utilización global de la firma digital para los 50 millones de ciudadanos con un “cyberID” para cada uno de ellos, el cual facilita los trámites públicos del e-Government y sí, también la ciber-vigilancia en pro de la Seguridad Nacional.

Sin embargo, los ciudadanos y el gobierno no utilizan software libre y el uso de Internet Explorer con ActiveX es el estándar para cualquier actividad oficial o particular. ¿Por qué? La respuesta es sencilla y también contradictoria: al ser los primeros en implementar políticas de firma digital para el e-Government, se vieron obligados a utilizar las herramientas disponibles a principios de siglo. Actualizar dicha infraestructura a la tecnología actual es costoso, aunque ya se encuentran en dicho camino.

En la próxima entrega de esta serie veremos cómo hizo Corea para implementar estas políticas a nivel nacional respetando tres principios básicos: la colaboración internacional en la lucha contra el cibercrimen; la protección de la privacidad de los datos del ciudadano (PII); y la protección de las infraestructuras críticas, en un país rodeado de "enemigos naturales" y cuyo nivel de informatización hace de la seguridad de la información sea prioridad para el gobierno.

Un hacker en Corea (II)
Un hacker en Corea (III)
Un hacker en Corea (y IV)

Lic. Cristian Borghello, CISSP-CCSK-MVP
ElevenPaths Argentina

Seguir leyendo...

Database Benchmark: herramienta para stress test de bases de datos.

Dentro de la seguridad informática, la disponibilidad es un factor muy importante que normalmente se le suele menospreciar. Entendemos por disponibilidad, a la garantía de que los usuarios autorizados puedan acceder a la información y recursos de red, cuando los necesiten. La disponibilidad es un factor imprescindible un servidor de bases de datos.

Database Benchmark es una de las herramientas más potentes de código abierto, diseñadas para stress test de bases de datos, con la capacidad de manejar grandes flujos de datos. La aplicación realiza dos escenarios de prueba principales:

• Inserción de gran cantidad de registros generados aleatoriamente con claves secuenciales o aleatorias. 
• Leer los registros insertados, ordenados por sus llaves. 

Database Benchmark es una herramienta de stress test muy potente. Los principales parámetros que mide son:

• La velocidad de inserción de todos los registros generados (con valores secuenciales o aleatorios).
• La velocidad de lectura de todos los registros insertados ordenados por su clave.
• El tamaño de la base de datos después de insertar y leer.
• Cada base de datos probada debe ser capaz de realizar esta prueba simple, insertar los registros generados y leerlos, ordenados por sus claves. 

Las bases de datos actualmente soportadas son: Access, Aerospike, BrightstarDB, CassandraDB, Couchbase, Db4objects, Firebird, HamsterDB, LevelDB, MongoDB, MS SQL Server, MS SQL Server Compact, MySQL, Oracle BerkeleyDB, OrientDB, Perst, PostgreSQL, RavenDB, Redis, ScimoreDB, SQLite, STSdb 4.0, STSdb 3.5, TokuMX, VelocityDB y Volante.
Las principales características de Database Benchmark son:

• Generadores de datos avanzados, algoritmos optimizados que proporcionan flujos de datos cercanos a la vida real. 
• Visualización Gráfica de todos los parámetros supervisados. 
• Exportación de resultados, generando informes detallados y resumidos, en formatos CSV, JSON y PDF, que ayudan a un análisis más profundo. 
• Informe en línea que permite enviar los resultados de las pruebas y comparar los resultados con otros.  Interfaz intuitiva y fácil de usar. 

Database Benchmark puede utilizarse como un punto de vista adicional para evaluar el motor de almacenamiento  apropiado para los sistemas críticos. La aplicación contiene todas las herramientas necesarias, que un administrador de base de datos, necesita para realizar un análisis de rendimiento detallado.

Fuente: Gurú de la Informática

Seguir leyendo...

OpenVPN 2.4, soportará cifrado AEAD en AES-GCM

OpenVPN es uno de los softwares más utilizados para crear redes privadas virtuales (VPN). Este software que es de código abierto, está disponible para múltiples plataformas como sistemas operativos de escritorio, sistemas operativos para móviles como Android y iOS con su aplicación oficial, así como en routers y otros dispositivos empotrados. OpenVPN 2.4 está muy cerca de ver la luz en su versión estable, y tiene un cambio muy importante, el soporte AEAD.

Actualmente la última versión de OpenVPN disponible es la OpenVPN 2.3.14, sin embargo, están desarrollando una versión nueva 2.4 con importantes cambios. Ahora la versión 2.4 está en fase Release Candidate 2, por lo que muy pronto veremos la versión final “stable”. Si estás interesado en ver el listado de cambios completos de esta nueva versión OpenVPN 2.4, puedes acceder a este enlace:

OpenVPN y AEAD. ¿Qué es esto?

Aunque el listado de cambios y mejoras es muy amplio, nosotros nos vamos a detener en estas dos partes:

• Add AEAD cipher support (GCM)
• Make AEAD modes work with OpenSSL 1.0.1-1.0.1c

Normalmente los cifrados simétricos solo proporcionan confidencialidad, pero no proporcionan ni autenticidad ni tampoco integridad, por eso se suelen usar en conjunción con el cifrado asimétrico y funciones hash. AEAD significa Authenticated Encryption with Associated Data, esto hace que los algoritmos de cifrado simétricos como AES, si utilizan un modo de operación GCM (Galois/Counter Mode) nos proporcionará tanto confidencialidad, como autenticidad e integridad.

En esta nueva versión OpenVPN 2.4 han incorporado la característica AEAD para el canal de datos. Anteriormente en el canal de control, se podía establecer una conexión TLS con AEAD sin ningún problema. Este canal de control sirve para la gestión de las claves criptográficas que posteriormente se usarán en el canal de datos, también se encarga del establecimiento seguro de la conexión y de la renovación de las claves.

Si probáis a poner la siguiente línea en nuestro servidor/cliente OpenVPN, estaréis utilizando AEAD en el canal de control:

tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

Sin embargo, en el canal de datos no tenemos por ningún sitio "GCM", únicamente tenemos varios AES de diferentes longitudes de clave, y con diferentes modos de operación:

Por supuesto, también tenemos disponibles otros algoritmos de cifrado simétrico, pero GCM se utiliza en AES. Con esta nueva versión, se ha añadido AES-256-GCM para utilizar AEAD en el canal de datos. ¿Cómo lo podemos utilizar en OpenVPN? Simplemente añadimos en la configuración lo siguiente:

cipher AES-256-GCM

Y automáticamente estaremos utilizando AEAD también en el canal de datos, de esta manera, dotaremos a nuestra conexión VPN de una mayor seguridad.

Fuente: RedesZone

Seguir leyendo...

Hallados tres 0-Day críticos en PHP 7, uno sin parche (Actualiza!)

Investigadores de seguridad de Check Point han descubierto tres vulnerabilidades 0-Day críticas en PHP 7 que podrían permitir tomar el control total sobre el 80 por ciento de los sitios web que ejecutan esta última versión de PHP.

Las vulnerabilidades residen en el mecanismo de serialización de PHP 7, el cual ya había sido encontrado vulnerable en PHP 5, permitiendo comprometer sitios web de Magento, vBulletin, Drupal, Joomla!, Pornhub y otros servidores web en los últimos años. Las vulnerabilidades permiten el envío de cookies y datos manipulados al cliente.

Si bien los investigadores descubrieron defectos en el mismo mecanismo, las vulnerabilidades en PHP 7 son diferentes de las encontradas en PHP 5.

• CVE-2016-7479—Use-After-Free Code Execution
• CVE-2016-7480—Use of Uninitialized Value Code Execution
• CVE-2016-7478—Remote Denial of Service

Estos fallos con similares a otra vulnerabilidad (CVE-2015-6832) detallada en agosto por Check Point. Las dos primeras vulnerabilidades permitirían tomar el control total del servidor y la tercera podría explotarse para generar un ataque de negación de servicio (DoS).

Según Yannay Livneh, del equipo de investigación, ninguna de las vulnerabilidades mencionadas estaba siendo utilizada actualmente por atacantes. Los investigadores reportaron las tres vulnerabilidades [PDF] al equipo de seguridad de PHP en septiembre, y este emitió los parches para dos de los tres fallos el 13 de octubre y el 1 de diciembre respectivamente, pero uno de ellos permanece sin parches.

Con el fin de garantizar la seguridad del servidor web, se recomienda a los usuarios que actualicen sus servidores a la última versión de PHP.

Fuente: The Hacker News

Seguir leyendo...

Construir un escáner de dispositivos conectados a Internet

En el post de hoy me gustaría iniciar una cadena de artículos sobre escaneo de dispositivos conectados a Internet, con la idea de que podáis introduciros en el campo del Footprint y el Fingerprint de activos (al más puro estilo Shodan) y construiros vuestras propias bases de datos de información.

En Internet existen varias aproximaciones de empresas y particulares que han intentado resolver el complejo problema de obtener un listado lo más actualizado posible, con todos los activos conectados a Internet (webcams, impresoras, ftps, servidores web, scadas, etc. etc.), y uno de ellos, Shodan.io, es el que parece haber logrado los mejores resultados, ya que actualmente es el buscador más utilizado para estas tareas. Por ello, lo primero que haremos hoy será aprender de los mejores, y estudiar que tipo de información obtienen, y cómo podríamos obtenerla nosotros.

Tened en cuenta varias cosas antes de meternos en harina. Hay infinidad de formas de obtener la información que vamos a ver en este post, pero nos interesará la más óptima. ¿Por qué? La respuesta es sencilla, ¿os habéis planteado los millones de IPv4 e IPv6 existentes en Internet y el tiempo que tardaríamos en analizarlas todas? ¿Y que cuando acabásemos, es altamente probable que muchos hosts ya no existan, y habrá que volver a escanear? ¿Sí? ¡Me alegro! Es el primer paso para reconocer que no es una labor trivial, y por ello son pocos los servicios existentes en la actualidad.

Por otro lado, tenemos el gran problema del almacenamiento. ¿Dónde almacenaríamos todos estos TB de información? Es por ello que en esta cadena de posts solo veremos una base, con fines académicos, para que podáis aprender a caminar solos, y escanear una parcelita controlada de Internet, que podáis almacenar de forma sencilla en cualquier disco duro que tengáis por casa.

Contenido completo en fuente original Flu-Project:

• Construyendo nuestro propio escáner de dispositivos conectados a Internet. Parte 1
• Construyendo nuestro propio escáner de dispositivos conectados a Internet. Parte 2
• Construyendo nuestro propio escáner de dispositivos conectados a Internet. Parte 3
• Construyendo nuestro propio escáner de dispositivos conectados a Internet. Parte 4
• Construyendo nuestro propio escáner de dispositivos conectados a Internet. Parte 5 
• Construyendo nuestro propio escáner de dispositivos conectados a Internet. Parte 6

Seguir leyendo...

Google alerta de la necesidad de habilitar el protocolo HTTPS en enero

A partir del próximo mes, la compañía etiquetará como "no seguras" las páginas web que no incluyan el protocolo de cifrado HTTPS. La compañía comenzó ayer a enviar mensajes a los webmasters, advirtiéndoles de los cambios que tendrán lugar a partir de enero de 2017.

Este es el plan: a partir de enero con la llegada de Chrome 56, los campos de contraseñas o números de tarjetas de crédito en sitios no cifrados serán etiquetados como "no seguro".

De momento, no hay una fecha concreta para la que los webmasters tengan todas sus páginas web migradas a HTTPS, pero el movimiento es un primer paso en un plan a largo plazo para marcar claramente una alerta de riesgo sobre todos los sitios HTTP independientemente de su contenido.

Google ha publicado un una guía para comenzar basado en sus reportes de transparencia.

Fuente: Silicon

Seguir leyendo...

Necesidad de reforma de la Ley de Protección de los Datos Personales en Argentina

El proceso de reflexión se desarrolló en el marco de los trabajos de la Dirección Nacional de Protección de Datos Personales y formó parte de la plataforma Justicia 2020 del Ministerio de Justicia y Derechos Humanos de la Nación.

La ley Argentina sobre protección de los datos personales (Nº 25.326) fue sancionada en octubre del 2000. Sin duda, los cambios de la tecnología en los últimos quince años impactaron en la protección de la privacidad. Asimismo, presenciamos un nuevo contexto normativo internacional, particularmente por los recientes cambios ocurridos en Europa. Por estas razones, la DNPDP inició un proceso de reflexión sobre la necesidad de una reforma a la ley citada. Este proceso fue convocado dentro del programa de "Justicia 2020" del Ministerio de Justicia y Derechos Humanos de la Nación.

Para dar transparencia y publicidad a este proceso, se optó por compilarlo de manera estructurada y por temas en el documento "Ley de Protección de los Datos Personales en Argentina (Sugerencias y aportes recibidos en el proceso de reflexión sobre la necesidad de su reforma. Agosto-Diciembre 2016)".

El documento refleja las sugerencias y opiniones de los distintos actores que acudieron a la convocatoria de la DNPDP y tiene como principal objeto el de constituirse en un insumo importante para una futura discusión sobre las reformas necesarias para mejorar la protección de los datos personales en Argentina.

Para acceder al documento, click aquí

Fuente: Ministerio de Justicia y Derechos Humanos

Seguir leyendo...

Seguridad de las comunicaciones GSM

A día de hoy nadie duda de que las comunicaciones móviles no son cien por cien seguras.
Si nos damos una vuelta por las CONs más famosas podemos ver que son numerosos los ataques contra GSM/GRPS/UMTS y reciéntemente LTE.

Seguridad de las comunicaciones inalámbricas en la empresa

En el entorno empresarial, cuando hablamos de seguridad en las comunicaciones inalámbricas directamente pensamos en Wireless y/o Bluetooth, pero no somos conscientes de que un atacante a día de hoy, no necesita hacer una gran inversión económica para poder realizar con éxito un ataque a nuestros dispositivos móviles y por ende a los dispositivos que hagan uso también de las tecnologías GSM.

Aunque todos estos ataques ya se expusieron en la charla sobre seguridad en comunicaciones móviles de Hack & Beers (Slides en SlideShare) Un atacante podría llegar a realizar ataques de:

• Interceptación de las comunicaciones
• Ataques de denegación de servicio (jamming attacks)
• Ataques pasivos a CCCH (Common Control Channel) que permita a un atacante extraer suficiente información para conseguir con éxito su propósito
• Etc.

Para realizar un estudio teórico y/o práctico de las comunicaciones móvil no hace falta hacer un gran desembolso económico, con el abaratamiento de los dispositivos SDR y aplicaciones como YateBTS o OpenBTS por menos de 500€ se puede comenzar a experimentar con esta tecnología.

Continuar leyendo en Digimodes:

• Seguridad de las comunicaciones GSM
• (Seguridad en las comunicaciones móviles (Parte I)  
• Seguridad en las comunicaciones móviles (Parte II)
• Seguridad en las comunicaciones móviles (Parte III))

Seguir leyendo...

Disponible la Distro Parrot Security 3.3 para Pentesting

Parrot Security es una distribución Linux basada en Debian que busca abrirse un hueco entre las suites de Hacking Ético y como distribución para auditar la seguridad de sistemas y redes. Esta distribución pone a disposición de los usuarios todo lo necesario para poder comprobar la eficacia de las configuraciones y medidas de seguridad de nuestra red.

Esta nueva versión no se trata de una gran actualización repleta de grandes novedades, sino que más bien se trata de una actualización menor de mantenimiento, donde se han actualizado todas las aplicaciones y en la que se han corregido varios fallos menores que llevaban molestando a un gran número de usuarios desde el lanzamiento de la versión 3.2.

Novedades del nuevo Parrot Security 3.3

La primera de las novedades es que el Kernel, o núcleo, de esta distribución Linux ya sido actualizado a la versión de Linux 4.8. Además, también se ha actualizado la herramienta Anonsurf para poder navegar de forma anónima desde esta suite (algo similar a Tails, aunque no tan drástico) y, con el fin de cubrir el mayor número de vulnerabilidades, el kit de exploits Metasploit ha sido también actualizado a la versión 4.13.

Otra de las novedades más interesantes, especialmente de cara a los usuarios más avanzados, es que las librerías del compilador GCC (GNU Compiler Collection) han sido actualizadas a la versión 6.2, igual que toda la distribución se ha pasado a utilizar PHP 7.

Además, como no podía ser menos, todas las herramientas de esta suite de Hacking Ético han sido actualizadas a sus correspondientes versiones más recientes y se han solucionado una serie de fallos de menor importancia tanto en el escritorio MATE como en el kernel y en el multitouch.

Fuente: RedesZone

Seguir leyendo...

Libro gratuito "Hacking y manipulación de paquetes IPv4 con Python y Scapy"

Este es un libro multimedia con vídeos, ilustraciones, códigos fuente e imágenes interactivas, que hará que el lector aprenda de forma práctica y muy visual  El autor de libro es Daniel García (cr0hn), experto en seguridad, hacking y redes.

Scapy es una de las herramientas de manipulación de paquetes más importantes. Además cuenta con la añadida cualidad de poder usarse como librería en nuestro propio software, permitiéndonos diseñar programas basándonos en él.

Este libro consta un contenido teórico acotado, pero suficiente, para que el alumno puede entender todos los conceptos explicados: desde la base hasta los aspectos más avanzados.

Aprenderá a desenvolverse con soltura en la línea de comandos y el CLI de Scapy. La paralelización de tareas y los entresijos de los hilos de Python: limitaciones, características, cuándo usarlos y cuándo no es conveniente.

Practicará con autómatas de estados finitos: diseñándolos e implementándolos usando Scapy y su Automaton. Todo ello sin necesidad de aprender las compleja teoría matemática que lo envuelve.

El libro se puede descargar desde aquí y aquí.

Seguir leyendo...

Adios Cyanogen, larga vida a Lineage

Después de una serie de contratiempos, Cyanogen Inc., la compañía que en un momento parecía ser la única competencia posible Google, anunció el jueves que cierra todos sus servicios. De acuerdo a su entrada en el blog, "la compañía abandona todos los servicios y el apoyo de Cyanogen-supported nightly builds a más tardar 31/12/16".

El anuncio también menciona que el proyecto de código abierto y el código fuente se mantendrá a disposición de cualquier persona que desee seguir Cyanogen personalmente.

Como Cyanogen  Inc. tiene todas las marcas asociadas con CyanogenMod, el proyecto no puede continuar en la forma actual. Como resultado, el equipo de CyanogenMod está haciendo esfuerzos para salvar el código fuente CM.

El equipo de CyanogenMod está utilizando el código para desarrollar un nuevo sistema operativo de código abierto llamado Lineage y en la página web del proyecto se llaman a sí mismos como una continuación de Cyanogen. "Que una empresa retire su apoyo a un proyecto de código abierto, no significa que este tenga que morir", dicen.

La desaparición de CyanogenMod es triste y ahora vamos a tener que esperar el siguiente intento del equipo.

Fuente: FossBytes

Seguir leyendo...

Firefox solo ofrecerá actualizaciones para XP y Vista hasta septiembre (Actualiza!)

Aunque todavía no hay fecha concreta, Mozilla ya planea terminar de forma definitiva con el soporte para las versiones antiguas de Windows. Anunciará la fecha a mediados de 2017 y aproximadamente marzo, los usuarios de Windows XP y Vista se moverán automáticamente a la versión de soporte extendido Firefox (ESR).

Son varias las versiones de Windows que Microsoft ha ido lanzando desde la creación de Windows XP y Windows Vista. Pero todavía existen usuarios reticentes en actualizar sus sistemas, o en comprar equipos nuevos.

El problema reside en que, a medida que la propia compañía que desarrolla este software va reduciendo su soporte, aumentan las amenazas de seguridad.

Por eso, la Fundación Mozilla está reclamando a los internautas que navegan con Firefox que adopten "una versión de Windows que sea soportada por Microsoft. Los sistemas operativos no soportados no reciben actualizaciones de seguridad, tienen exploits conocidos y es peligroso que los uses", alerta la compañía.

De hecho, Mozilla ya ha comunicado que, "a efectos de planificación, las empresas que utilizan Firefox deben considerar septiembre de 2017 como la fecha de finalización del soporte para Windows XP y Vista".

A día de hoy, el navegador de Mozilla continúa siendo compatible con ambas versiones. Pero la intención es dejar de ofrecer soporte para las dos en un futuro más cercano que tardío.

De momento se sabe que el próximo mes de marzo de 2017 los usuarios de Windows XP y Vista pasarán al soporte extendido de la Firefox Extended Support Release. Y, hasta septiembre, seguirán recibiendo actualizaciones de seguridad sin que tengan que mover un dedo. Eso sí, hacia el ecuador del año Mozilla debería anunciar por fin la fecha en la que terminará el soporte para las versiones antiguas de Windows.

Fuente: Silicon

Seguir leyendo...

El "firewall humano", clave para la ciberseguridad en empresas

Los usuarios son el eslabón "más débil" de la seguridad en una empresa, por lo que habría que educar ese "cortafuegos humano" ya que es la primera línea de defensa ante los ataques a la seguridad cibernética, según ha explicado el director regional de Intel Security en España, Javier Perea.

"Todos esos ataques requieren de la intervención del usuario, de alguien que clique en el ‘link’ malicioso, se descargue un archivo infectado o introduzca una memoria USB que acceda a las bases de datos", ha comentado Perea en declaraciones a EFEfuturo.

El informe "Hacking the Human OS" [PDF], elaborado por la empresa de seguridad informática Intel Security en colaboración con el Centro Europeo del Cibercrimen de la Europol, revela que las últimas técnicas de ingeniería social puestas en marcha por los cibercriminales son cada vez más sofisticadas y difíciles. Tienen en el punto de mira a los trabajadores de la empresa objeto del ataque.

Se trata del primer análisis enfocado en las técnicas de ingeniería social empleadas para estos ataques cibernéticos, según Perea, ya que cuando se publican esta clase de informes se hace "hincapié en los aspectos técnicos pero se deja de lado al usuario".

Concienciar y educar al usuario

Este informe quiere destacar la importancia de concienciar y educar al usuario, para que asuma la seguridad de los datos como un hecho cultural.

Perea recomienda a los trabajadores que "alerten sobre un comportamiento sospechoso", y que no se sientan "culpable" de caer en la trampa de un ataque de "phishing" (suplantación de identidad en línea).

El director regional de Intel Security ha informado de que el 18 % de los ataques de "phishing" masivos tienen éxito, razón por la que los atacantes emplean esta táctica de persuasión para el robo de credenciales o información comprometida de una empresa.

Fuente: EFE Futuro

Seguir leyendo...

Dejó que le roben el móvil para hacer un documental del ladrón

El estudiante de cine Anthony van der Meer sufrió el robo de su iPhone, y solo de pensar que un desconocido tenía todos sus datos personales, le preocupó mucho. ¿Qué tipo de persona roba un móvil? ¿Dónde terminan? Estas eran sus mayores preguntas. Para responderlas, Anthony dejó a propósito que le robaran otro móvil, pero esta vez hizo un seguimiento del ladrón usando una aplicación oculta, y creó un interesante documental sobre todo el proceso.

"Encuentra mi móvil" fue posible gracias a una app de spyware llamada Cerberus. Utilizándola, Anthony pudo seguir y controlar de forma remota su móvil, siempre que estuviera encendido y conectado a internet. Escuchó las llamadas del ladrón, leyó sus mensajes, hizo fotos y grabó tanto audio como vídeo. Luego, Anthony comprimió todo en un curioso documental de 21 minutos, en el que resalta lo fácil que es espiar a alguien en la era digital. El vídeo ya ha sido visualizado por casi 5 millones de personas.

La última información muestra que su móvil reapareció en Rumanía.

Fuente: BoredPanda

Seguir leyendo...

4MRecover: distribución Linux para recuperación de datos

4MRecover es un pequeño sistema operativo, basado en 4MLinux, que nos brinda acceso principalmente a dos conocidas herramientas para la recuperación de archivos eliminados de discos duros. La primera de ellas es TestDisk, una herramienta que nos permite recuperar las tablas de particiones dañadas de nuestros discos duros y todos sus datos, y la segunda de ellas PhotoRec, una herramienta especializada en la recuperación de fotos y otros archivos individualmente.

Hace algunas horas, el responsable de esta distribución ha liberado una nueva versión beta de la próxima versión 4MRecover 21, la cual se caracteriza por incluir la versión más reciente de la herramienta de recuperación de datos TestDisk 7.0, junto a PhotoRec 7.0, especializada en la recuperación de fotografías (y otros formatos) y utiliza como sistema operativo base 4MLinux 21.0.

Esta nueva versión beta de 4MRecover 21 se puede descargar en forma de imagen ISO de tan solo 35 megas.

Además de 4MRecovery, el responsable de 4MLinux cuenta con una serie de pequeños sistemas, agrupados bajo el nombre "4MRescueKit", para permitirnos tener siempre a mano un completo sistema operativo de mantenimiento y recuperación:

• Antivirus Live CD, un antivirus para desinfectar un disco duro infectado.
• BakAndImgCD, pensada para hacer copias de seguridad e imágenes de discos duros.
• 4MParted, un Linux basado, principalmente en GParted para gestionar particiones.
• 4MRecover, el mencionado sistema para recuperar datos de discos duros.

 Fuente: RedesZone

Seguir leyendo...

Forensic CTF Writeup: Baud, James Baud (I)

La informática forense es una disciplina amplia y compleja, que requiere de conocimientos profundos y en muchos casos casi milimétricos de algunas áreas. Afortunadamente, de un tiempo a esta parte los retos forenses para afinar nuestras habilidades han aumentado, y a día de hoy tenemos una buena cantidad disponible de ellos para aprender, practicar y mejorar.

Aquí tenéis los últimos que han llegado a mis manos:

• Digital Forensic Challenge Images – Ali Hadi
  http://www.ashemery.com/dfir.html#Challenge2
• GrrCON 2016 DFIR Challenge
  https://ir.e-corp.biz/home
• Forensic CTF: "Baud.. James Baud..."
  https://betweentwodfirns.blogspot.com.es/2016/11/forensic-ctf-baud-james-baud.html

Con un día libre por delante, he decidido jugar un poco con el último. ¿Por qué? Porque simple y llanamente, Bond es mucho Bond y me ha picado la curiosidad.

Para hacer el reto más interesante, vamos a intentar resolverlo por duplicado, empleando en un caso únicamente Windows y en el otro solo Linux. El objetivo es presentar las distintas formas de hacer las cosas en cada uno de los SO, centrándonos primero en qué información tenemos que conseguir y luego en cómo conseguirla (uno de los mandamientos de la informática forense).

• SecurityArtWork - Parte I
• SecurityArtWork - Parte II

Seguir leyendo...

TeleBots: ataques destructivos dirigidos a empresas

En la segunda mitad de 2016, los investigadores de ESET identificaron un conjunto de herramientas maliciosas únicas que se utilizaron en ciberataques dirigidos contra objetivos de alto valor en el sector financiero ucraniano. Creemos que el principal objetivo de los atacantes que usaron estas herramientas es el sabotaje cibernético. En este artículo describimos los detalles de la campaña.

Nos referiremos a la banda detrás del malware como TeleBots, aunque es importante aclarar que estos atacantes, así como el conjunto de herramientas que utilizan, comparten una serie de similitudes con el grupo BlackEnergy, responsable de los ataques a la industria energética ucraniana perpetrados en diciembre de 2015 y enero de 2016. De hecho, pensamos que el grupo BlackEnergy ha evolucionado y se ha convertido en el grupo Telebots.

Aunque es importante aclarar que estos atacantes, así como el conjunto de herramientas que utilizan, comparten una serie de similitudes con el grupo BlackEnergy, responsable de los ataques a la industria energética ucraniana perpetrados en diciembre de 2015 y enero de 2016. De hecho, pensamos que el grupo BlackEnergy ha evolucionado y se ha convertido en el grupo Telebots.

Contenido completo en fuente original WeLiveSecurity

Seguir leyendo...

Exfiltración de datos por DNS con Dnsteal

Dnsteal es una herramienta de exfiltración de datos de DNS, esencialmente un servidor DNS falso que permite extraer de forma furtiva archivos de la máquina de una víctima a través de peticiones DNS.

Está programado en Python y está disponible en Github:  https://github.com/m57/dnsteal

Sus características principales son:

•  Soporte para varios archivos
•  Compresión Gzip soportada
•  Soporta la personalización de subdominios
•  Permite personalizar bytes por subdominio y la longitud del nombre de archivo

Fuente: HackPlayers

Seguir leyendo...

El ejército zombie de dispositivos conectados que puso en jaque a Internet

Millones de afectados en Estados Unidos y Europa, un país entero sin conexión a Internet y la caída de varios de los principales sitios y servicios online del mundo fueron la carta de presentación de la "botnet" Mirai, un malware que encuentra, infecta y domina a dispositivos hogareños para usarlos en ataques, que marcó un antes y un después en estos incidentes y obliga a fabricantes y gobiernos a elevar las medidas de seguridad.

"Alguien está aprendiendo cómo derribar Internet", alertó a comienzos de septiembre, en su blog, Bruce Schneier, uno de los principales referentes a nivel global sobre seguridad informática. El experto se refería a un incremento en los ataques distribuidos de denegación de servicios (DDoS) contra compañías encargadas de proveer "la infraestructura básica que hace que Internet funcione".

No daba cuenta de un nuevo tipo de ataque, ya que los DDoS se utilizan desde hace años para dar de baja servidores provocándoles la pérdida de conectividad, al saturarlos mediante una enorme cantidad de accesos que consumen su ancho de banda, los sobrecargan y los voltean. La alarma de Schneier, en cambio, alertaba sobre la magnitud de los mismos.

Su advertencia comenzó a tomar cuerpo ese mismo mes. El proveedor de hosting francés OVH quedó fuera de la red después de que a sus servidores ingresara un tráfico de casi 1,5 Tb por segundo; una semana después, el blog del periodista especializado en seguridad informática Brian Krebs fue blanco de otro enorme ataque de 665 Gb por segundo.

En ambos casos, la novedad residió en que los ataques no provinieron de PCs infectadas, sino de "Mirai", una botnet -una red de cámaras y otros aparatos hogareños conectados a la Internet de las Cosas- compuesta por más de 100.000 dispositivos, en la que los hackers aprovecharon vulnerabilidades de seguridad de esos equipos para dirigir su tráfico contra las víctimas.

Después de estos incidentes, un hacker conocido como "Anna-senpai" abrió el código de esta botnet y lo subió a Internet para que cualquier persona que quisiera pudiera usarlo.

Mirai aprovecha "una vulnerabilidad de dispositivos de Linux conectados a Internet", en referencia al sistema operativo que tienen muchos de los aparatos de la Internet de las cosas; primero "escanea todo, prueba y entra en todos los (dispositivos) que son accesibles", a los que infecta y domina, explicó a Télam Alfredo Adrián Ortega, desarrollador de software que trabaja para la empresa de antivirus Avast.

Así, esta botnet crea lo que especialistas denominaron un "ejército zombie de dispositivos conectados", que permanece latente hasta que se usa para lanzar un ataque.

Como sucedió el 21 de octubre, cuando Mirai se empleó contra los servidores de Dyn, un proveedor de direcciones DNS, y volteó durante casi un día entero no solo un gran número de conexiones en Estados Unidos -primero en la costa este, aunque luego se esparció hacia el otro extremo-, sino que afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian, The New York Times, CNN, Guardian.co.uk, HBO Now, PayPal, Pinterest, Playstation Network, Storify.com, The Verge, Fox News, Soundcloud, WSJ.com, time.com, xbox.com, dailynews.com, BBC, y CNBC.com, entre otros.

Ortega relativizó la advertencia de Schneier al señalar que Mirai "no puede tirar toda Internet", aunque afirmó que "sí puede tirar partes. Y por ahí son partes fundamentales. Partecitas que te joroban la vida". Como hacker, "vos detectás cuál es la parte crítica, tres o cuatro servidores. Rompés esos y afectás un montón de usuarios, por ejemplo de telecomunicaciones, servicio de energía, etcétera. Servidores críticos", remarcó.

Eso fue lo que pasó en noviembre, cuando la misma botnet se empleó para voltear toda la infraestructura de Internet de Liberia: con un tráfico de más de 600 Gbs apuntado contra las dos empresas copropietarias de la única fibra que entra al país africano, la conexión quedó inutilizada durante al menos la semana que duró el ataque.

Las siguientes víctimas fueron europeas. Entre los últimos días de noviembre y los primeros de diciembre, más de 900.000 clientes alemanes de Deutsche Telekom y alrededor de 100.000 clientes de las telcos británicas Post Office, KCom, TalkTalk, experimentaron dificultades en sus conexiones a Internet.

Según el especialista en seguridad informática Cristian Borghello, por la dimensión del ancho de banda empleado en estos ataques "Mirai efectivamente ha marcado un antes y un después en el tamaño de las botnets, en el tipo de dispositivos utilizados (ahora una cámara, heladera o un televisor puede formar parte del ataque) y en el volumen y ancho de banda utilizado".

Ninguna entidad reivindicó estos ataques, que tampoco derivaron en el robo de datos ni dinero. Según Ortega, detrás de estos episodios hay "amateurs": "Te das cuenta que son amateurs porque lo primero que hicieron fue atacar a Krebs, que es lo último que tenés que hacer. Estaban probando", analizó, y sostuvo que "estas botnets no son tan efectivas porque no se pueden usar para, por ejemplo, robar datos bancarios o información personal. Porque se usan con dispositivos como cámaras o routers, que por otro lado no tienen antivirus, lo que la vuelve muy persistente".

"Aún hoy continúan los ataques con Mirai, aunque parte de la botnet la han dado de baja. Hay clones no tan grandes que usan la misma vulnerabilidad", continuó el experto, para quien "lo interesante es que esto va a seguir y va generar que salgan leyes" que obliguen entre otras cosas a "poner password por defecto a los fabricantes".

Es que estos aparatos tienen vulnerabilidades por ejemplo en "las contraseñas, que son texto plano y están hardcodeadas (incrustadas directamente en el código fuente)", y las medidas de seguridad no se incrementan por "una cuestión de costo-beneficio", una ecuación en la que "los fabricantes se centran en que a los equipos les dure la batería y no mucho más", sostuvo Fernando Spettoli, vicepresidente de Seguridad para Latinoamérica de Equifax.

Según Borghello, "se cree que en un futuro cercano los ataques DDoS podrían alcanzar anchos de banda superiores a los 10 Tbps utilizando dispositivos IoT".

Mientras tanto, para mandatarios como la canciller alemana Angela Merkel, estos incidentes "son parte de nuestro día a día y debemos aprender a vivir con ellos".

Fuente: Telam

Seguir leyendo...

Nuevas versiones de OpenSSH, Joomla! y Wordpress

Los responsables de este kit de herramientas han liberado, como hemos dicho, el nuevo OpenSSH 7.4. Esta versión llega 4 meses y medio más tarde desde el lanzamiento de la anterior versión y una de las novedades más importantes de esta versión es la eliminación del soporte para las conexiones que utilicen el protocolo inseguro SSHv1 ya que el nuevo SSHv2 es más seguro, más eficiente y portable. Además, SSH 2 es compatible con las conexiones SFTP.

También se ha eliminado el soporte para 3DES-CBC y para la compresión pre-autenticación al ser una técnica desarrollada y utilizada en los años 90 pero que, a día de hoy, no solo es inútil y lleva 10 años sin utilizarse, sino que además que podía exponer la seguridad.

Además de las eliminaciones anteriores, esta nueva versión de OpenSSH cuenta con un nuevo modo llamado "Proxy multiplexing", inspirado en PuTTY, y con una nueva opción dentro del apartado "sshd_config" llamada DisableForwaring que puede ser utilizada para desactivar distintos sockets como TCP, X11, tunnel, agent y dominios Unix.

Por último, esta nueva versión soluciona algunos errores encontrados en las distintas aplicaciones que lo forman e incluye también soporte para el intercambio de claves "Curve25519-SHA256", incluye las directivas ClientAliveCountMax y ClientAliveInterval y, además, ha sido configurado para rechazar por defecto las claves RSA de menos de 1024 bits.

Joomla! 3.6.5

Esta nueva actualización de Joomla! 3.6.5 viene a solucionar tres problemas de seguridad, dos de consideración baja y uno de consideración alta y tres errores. Además el sistema ha visto reforzada la seguridad para evitar que el usuario pueda comprometer el sitio con mayor facilidad.

Wordpress 4.7

La versión 4.7 de WordPress, llamada "Vaughan" en honor al vocalista de jazz Sarah "Sassy" Vaughan, está disponible para su descarga o actualización desde el panel de administrador de WordPress.

Esta nueva versión incorpora bastantes novedades, un nuevo tema Twenty Seventeen, cabeceras con vídeo, posibilidad de usar diferentes idiomas para distintos usuarios, nueva caja para personalizar el CSS, creación de páginas desde el personalizador, vista previa de PDF y mucho más (lista completa en español en AyudaWP).

Se puede ver una lista completa de novedades en la correspondiente página del codex.

Fuente: RedesZone | Daboblog

Seguir leyendo...

Wycheproof: un proyecto para verificar todas las Crypto Libraries

No todas estas librerías son realmente seguras, y, por ello, Google ha lanzado un nuevo proyecto llamado Wycheproof, llamado así por la montaña más pequeña del mundo.

Wycheproof es un proyecto desarrollado y mantenido por el grupo especializado en seguridad informática de Google, Google Security Team, pero, realmente, no es un producto oficial de la compañía. Este proyecto nace debido a que Google, igual que muchas otras compañías y plataformas, hacen uso de librerías criptográficas de terceros para brindar cifrado a sus plataformas y aplicaciones, sin embargo, en el cifrado, el más mínimo fallo puede tener unas consecuencias catastróficas para la seguridad, consecuencias que no de pueden asumir.

Wycheproof es, entonces, un conjunto de pruebas independientes que buscan en las principales librerías criptográficas fallos conocidos o comportamientos inesperados de manera que puedan conocer de antemano la existencia de estos errores de seguridad y ponerlos solución lo antes posible.

Este conjunto de pruebas funciona con prácticamente todos los algoritmos modernos y los más populares, entre otros:

• AES-EAX
• AES-GCM
• DH
• DHIES
• DSA
• ECDH
• ECDSA
• ECIES
• RSA

Y, entre los 80 tipos de ataques diferentes que se incluyen, podemos destacar:

• Ataques de curva no válida (Invalid Curve)
• Números no repetidos en los esquemas de firmas digitales
• Ataques Bleichenbacher

Estos tests son de código abierto (aunque aún no están todos publicados a falta de corregir algunos fallos encontrados en varios algoritmos) y podemos acceder a ellos a través de GitHub.

En las 80 pruebas iniciales que han realizado los ingenieros de seguridad de Google han podido encontrar más de 40 errores en librerías ampliamente utilizadas, por ejemplo, cómo era posible recuperar la clave privada en implementaciones muy utilizados de algoritmos DSA y ECDHC.

Los expertos de seguridad de Google decidieron utilizar Java como ecosistema para Wycheproof, principalmente, porque utiliza un entorno común para el cifrado, lo que permite, desde una única plataforma, analizar todos los casos posibles. De todas formas, ellos mismos recomiendan el uso de OpenJDK, la alternativa libre al Java de Oracle.

Los ingenieros de Google recuerdan que, aunque un algoritmo pase las pruebas, eso no significa que sea totalmente seguro, sino que, simplemente, no es vulnerable a los tests que se han realizado, pero puede haber otras vulnerabilidades.

Fuente: RedesZone | Google Security Blog

Seguir leyendo...

¿Twitter contra el espionaje o contra la ley?

En octubre pasado Twitter cortó el acceso a su API pública a la compañía Media Sonar, dedicada al desarrollo de servicios de vigilancia de la red social. Para ello ha alegado que la política de la compañía exige proteger a sus usuarios de la recolección encubierta de datos personales por parte de las fuerzas del orden. Y es que Twitter constituye, junto a Instagram, la mayor fuente primaria de datos geolocalizados a los que pueden recurrir las fuerzas de seguridad. Y están dispuestas a gastar millones para lograrlo.

Twitter ya había tomado medidas en el pasado contra otras dos compañías estadounidenses similares (Geofeedia y Snaptrends) por idéntica razón. Además, los responsables de Media Sonar fueron avisados de que si intentaban crear una nueva clave para la API, ésta también se suprimiría "y se tomarían otras medidas según proceda".

Según Twitter, estas empresas no respetaron la política de Twitter sobre el uso de herramientas de espionaje, alentando a los departamentos de policía a monitorear específicamente las actividades de activistas afroamericanos, evidencia que fue confirmada por la Unión Americana de Libertades Civiles del Norte de California.

Esta compañía fue fundada en 2012, con sede en Ontario (Canadá) y proporciona inteligencia basada en el data-mining para todo tipo de organizaciones, pero parte de su negocio consiste en la venta de software de vigilancia a departamentos de policía de todo Estados Unidos. Se sabe que al menos 19 cuerpos de policía de ámbito local adquirieron licencias del software de Media Sonar (por unos 10.000 dólares) entre 2014 y 2016.

Según la compañía, su software está "diseñado específicamente para facilitar la aplicación de la ley" y según su material promocional "incluye una lista de términos más usados en los medios sociales que pueden ayudar a identificar la actividad ilegal y las amenazas a la seguridad pública". Pero la Unión Americana de Libertades Civiles de Carolina del Norte denunció que, al igual que ocurría con Geofeedia y Snaptrends, las herramientas de software ofrecidas por Media Sonar estaban enfocadas a la monitorización de la actividad social de activistas afroamericanos vinculados al movimiento #Blacklivesmatter.


Fuente: Daily Dot | TicBeat

Seguir leyendo...

Pagaron U$S 300 mil por la base de datos de Yahoo!

300.000 dólares fue el monto abonado por dos grandes emisores de spam involucrados en tácticas de espionaje, por los datos robados el pasado mes de agosto de los listados y base de datos de Yahoo. Los responsables (al parecer) fueron cinco personas.

En lo que es el segundo robo masivo de datos que sufre la compañía Yahoo!. Ahora las cuentas de mil millones de usuarios, con todos los datos posibles que estas puedan contener, están en poder de ciberdelincuentes que trabajan en la Deep Web, quienes abanaron 300.000 dólares, según datos recabados por The New York Times.

Andrew Komarov, jefe de inteligencia de la firma de seguridad InfoArmor, declaró al diario que tres compradores, entre ellos dos prominentes emisores de spam y otro que podría estar involucrado en tácticas de espionaje, compraron toda la base de datos a un grupo de 5 delincuentes que se cree radicado en Europa oriental.

Añadió el experto en seguridad, que la base de datos todavía continúa en venta, aunque las ofertas por el listado o base de datos ha disminuido en alrededor de 20.000 dólares, debido a que Yahoo! ha forzado a sus usuarios a restablecer las contraseñas y se vio forzado a hacer público este segundo hackeo.

Además de nombres completos, contraseñas, fechas de nacimiento y números de teléfono, la base de datos también contiene preguntas de seguridad y direcciones de correo electrónico de respaldo que ayudan en el restablecimiento de contraseñas olvidadas.

En Yahoo! aún no sabem quién se hizo con todos los datos obtenidos en el ciberataque en 2013, calificado como el mayor sufrido nunca por cualquier empresa. La compañía ha declarado a la opinión pública que "no ha podido verificar las afirmaciones de Komarov", mientras el FBI ya está investigando el asunto.

El organismo policial ha decidio investigar y hacerse cargo, ya que se descubrió que en los datos robados también se encontraron más de 150.000 detalles de empleados del gobierno estadounidense y militares, lo que significa que los hackers podrían atacar las cuentas de esos usuarios para amenazar la seguridad nacional.

Aunque es muy difícil de probar, el FBI sospecha de un grupo de ciberdelincuentes rusos, chinos y norcoreanos, agrupados en una especie de "fraternidad" llamada "Serpiente Roja", que además tendría vínculos con hackers que trabajan con Wikileaks y Julian Asange.

Fuente: CIOAL

Seguir leyendo...

Configura HTTPS con el generador de Mozilla

El protocolo HTTPS nos proporciona cifrado punto a punto, por lo que cualquier información que viaje a través de Internet tiene confidencilidad y también autenticación. Hoy en día desplegar una web con HTTPS es realmente fácil y rápido, no obstante, si no sabes hacerlo Mozilla ha creado una SSL Configuration Generator que nos ayudará para configurar tu servidor web de una manera fácil y rápida.

Mozilla SSL Configuration Generator

Esta herramienta gratuita de Mozilla nos permitirá configurar el protocolo HTTPS fácilmente, generando automáticamente una configuración basada en varios parámetros que nosotros podemos configurar.

Software soportado por Mozilla SSL Configuration Generator

El software soportado por esta herramienta son los principales servidores web que la gran mayoría de páginas web utilizan, como por ejemplo Apache, Nginx y por supuesto Lighttpd, uno de los más utilizados en los routers ya que es muy liviano. También soporta la configuración del software HAProxy que nos permite desplegar un servidor Proxy web HTTPS, asimismo también es compatible con AWS ELB.

Configuración de los diferentes niveles de seguridad

Esta herramienta nos permite configurar diferentes niveles de seguridad, si por ejemplo queremos incorporar la máxima seguridad posible con los nuevos algoritmos criptográficos, debemos elegir la opción “Modern“. Si queremos soportar también algoritmos algo más antiguos pero también bastante seguros, elegiremos la opción “Intermediate“. Si tenemos que dar acceso a nuestro servidor web a navegadores y sistemas operativos antiguos que no soportan la nueva criptografía, no nos quedará más remedio que seleccionar "Old".

En la opción "Modern" podremos utilizar como mínimo Firefox 27, Chrome 30, Internet Explorer 11 en Windows 7, Opera 17, Safari 9, Android 5.0 y Java 8. Por lo que la compatibilidad es muy alta, no solo sirve para las últimas versiones lanzadas recientemente.

¿Qué versiones configuramos?

Para configurar el servidor web con HTTPS se necesitan principalmente dos software: el servidor web y OpenSSL. Esta herramienta nos permite seleccionar la versión del servidor web que nosotros estamos utilizando, de esta forma, nos autogenerará una configuración compatible con la versión que tenemos nosotros desplegada. Respecto a OpenSSL también podremos fijar la versión que nosotros utilizamos en el sistema, esto es fundamental ya que si usamos una versión algo antigua no tendremos acceso a los nuevos algoritmos criptográficos.

¿Habilitamos HSTS? Sí, por supuesto!

Mozilla SSL Configuration Generator nos permite configurar el protocolo HSTS (HTTP Strict Transport Security), simplemente con seleccionarlo nos generará la configuración apropiada para nuestro servidor web.

Recomendamos acceder a la página web oficial de Mozilla SSL Configuration Generator, donde podrás ver en detalle todas las configuraciones que te proporciona esta herramienta.

Fuente: RedesZone

Seguir leyendo...

Tráfico 24 horas de un nodo de salida de Tor

La red Tor es una de las redes que proporcionan anonimato más utilizada del mundo, de hecho, la NSA ha llegado a asegurar que quienes usan esta red anónima y Linux en sus equipos son unos extremistas. Nada más lejos de la realidad, en el blog Follow The White Rabbit han realizado una profunda investigación de 24 horas en un nodo de salida de Tor que ellos mismos han creado.

¿Cómo es la arquitectura de la red Tor?

Cuando un usuario se conecta a la red Tor a través de los nodos de entrada, todo el tráfico va cifrado. El tráfico que va de nodo a nodo dentro de la red Tor, también va cifrado, estos nodos son los llamados Relay Node. Sin embargo, donde la red Tor es vulnerable es en los nodos de salida, y es que todo el tráfico que viaja desde el nodo de salida a Internet va sin cifrar, por lo que se podría realizar un Man In The Middle para capturar toda la información.

Si queréis saber más sobre Tor, os recomendamos ver el siguiente vídeo de Francisco Rodríguez de INCIBE y de Manu Guerra de la Policía Nacional.

La investigación: 24 horas monitorizando un nodo de salida de Tor

Dos miembros del equipo del blog Follow The White Rabbit han montado un nodo de salida de Tor, este servidor lo han montado en un VPS del proveedor OVH, en concreto, han escogido el más barato que tan solo vale 3 euros. Después de configurar todo el software básico de la máquina, y el propio Tor, se convirtieron en nodos Relay de Tor hasta que "ascendieron" a ser un nodo de salida, donde sí podrían empezar con la investigación.

Tras 24 horas capturando únicamente cabeceras de los paquetes para saber qué visitaban los usuarios, vieron que el tamaño de estos logs eran de casi 30GB, se conectaron a Internet a través de su nodo más de 776.000 direcciones IP únicas de 221 países distintos.

Los usuarios que pasaron a través de su nodo de salida visitaron algunas páginas con dominio .es, por ejemplo visitaron Qtravel, Amazon, el traductor de Google e incluso Trivago.

Según esta investigación, los países que más han usado sus nodos de salida han sido Estados Unidos, Rusia, Francia, Holanda y Japón, el protocolo más utilizado en un 99,6% ha sido TCP, de los cuales un 66,4% han sido visitas a webs bajo HTTP (puerto 80), y un 32,3% visitas a webs bajo HTTPS (puerto 443).

Os recomendamos visitar el artículo 24 horas en la vida de un nodo de salida de Tor donde encontraréis todos los detalles técnicos de cómo han montado este nodo de salida, y más datos estadísticos sobre el tráfico que ha pasado por su nodo.

Fuente: RedesZone | Follow The White Rabbit

Seguir leyendo...

Nueve de cada 10 responsables de ciberseguridad están desbordados

Intel Security presentó el 13 de diciembre su informe de amenazas: McAfee Labs Threats Report: December 2016. El estudio da a conocer cómo las empresas están utilizando los centros de operaciones de seguridad (SOC), los avances que ha experimentado el ransomware a lo largo de 2016 e ilustra cómo los ciberdelincuentes están creando malware de difícil detección al infectar el código legítimo con los troyanos con el objetivo de permanecer ocultos siempre que sea posible. La edición del mes de diciembre detalla, asimismo, el crecimiento del ramsomware, el malware móvil, los macro malware, así como otras amenazas destacada acaecidas en el tercer trimestre de 2016.

"Uno de los retos más difíciles a los que se enfrenta la industria de la ciberseguridad es identificar las acciones maliciosas de código que ha sido diseñado para comportarse como si fuera un software legítimo", comenta Vincent Weafer, vicepresidente de McAfee Labs de Intel Security. "Cuanto más auténtico parezca un fragmento de código, más probable es que éste pase desapercibido. La necesidad de ocultar la actividad maliciosa está impulsando una tendencia hacia la ‘Trojanización’ de aplicaciones legítimas. Estos desarrollos suponen una carga de trabajo cada vez mayor en el SOC de una organización, donde el éxito radica en la capacidad para detectar, buscar y erradicar rápidamente los ataques en curso".

La situación del SOC en 2016

A mediados de 2016, Intel Security encargó un estudio con el fin de entender mejor las formas en que las empresas utilizan los centros de operaciones de seguridad (SOC), cómo han cambiado con el tiempo y cómo evolucionarán en el futuro. Tras más de 400 entrevistas con profesionales de la ciberseguridad de diferentes empresas, industrias y países, el estudio revela:

• Aumento de incidentes. El 67% de los encuestados reconoce que se ha producido un aumento en los incidentes de seguridad.
• Sobrecarga de alertas. Las organizaciones no son capaces investigar correctamente el 25% de sus alertas de seguridad,
• Problemas de clasificación. El continuo aumento de alertas y ciberataques provoca que un 93% de los encuestados sea incapaz de clasificar todas las amenazas potenciales.
• Causas de este incremento. De los encuestados que informaron de un aumento en los incidentes, el 57% afirma que son atacados más a menudo, mientras que el 73% cree que son capaces de detectar mejor los ataques.
• Señales de amenazas. Para el 64% de los encuestados, las señales de detección de amenazas más comunes continúan siendo los puntos de control de seguridad tradicionales: antimalware, firewall y sistemas de prevención de intrusiones.
• Proactivo vs. Reactivo. La mayor parte de los encuestados afirma ir avanzando en el objetivo de alcanzar una estrategia de seguridad proactiva; pese a ello, el 26% sigue operando en modo reactivo.
• Adversarios. El 68% de las investigaciones en 2015 involucraron a una entidad específica, ya sea como un ataque externo dirigido o como una amenaza interna.
• Causas para la investigación. Los encuestados consideran que el malware genérico ha encabezado la lista de incidentes (30%), seguido de ataques malware dirigidos (17%), ataques a las redes (15%), pérdidas de datos originados por incidentes internos (12%), amenazas internas (10%), ataques directos de otros países (7%) y hacktivismo (7%).
• Los encuestados han manifestado que la mayor prioridad para el crecimiento y la inversión de los SOCs es mejorar la capacidad de respuesta ante posibles ataques; ello incluye la capacidad de coordinar, remediar, erradicar, aprender y prevenir la reaparición de estos ataques.

Fuente: DiarioTI

Seguir leyendo...

Zero-day para Ubuntu y Fedora permite ejecución de código

Según se recoge en BetaNews Ubuntu y Fedora son vulnerables a los exploits de día cero. A través de estas vulnerabilidades un atacante puede ejecutar cualquier tipo de código en un ordenador objetivo.

El investigador de seguridad Chris Evans ha publicado detalles de un exploit que puede comprometer sistemas Linux. Todo lo que hace falta es usar un archivo de audio malicioso, a través del cual se puede secuestrar un PC.

En la web de Chris Evans leemos lo siguiente:

Presento aquí un exploit completo, que funciona y confiable para distribuciones Linux actuales (Ubuntu 16.04 LTS y Fedora 25). En el caso de Fedora funciona como una descarga maliciosa. Se aprovecha de efectos secundarios sutiles en cascada que e priori parecen difíciles de explotar pero que termina presentando bonitas posibiliades de explotación 100% fiables.

El exploit se aprovecha de una vulnerabilidad en la librería Game Music Emu usada en emuladores de consolas antiguas, a través del cual se permite que un atacante pueda ejecutar cualquier tipo de código en el ordenador. 

La ejecución de código se haría a través de un archivo de audio especialmente diseñado, que bastaría con renombrar con extensión *.flac o *.mp3 para engañar al usuario. Evans ha publicado vídeos mostrando un ataque de ejemplo en Fedora 25 usando Google Chrome, que muestra cómo uno de estos archivos puede abrir y controlar la calculadora, por ejemplo:
Evans comenta que el problema radica en una falta de sandboxing, es decir, de tener preparado un entorno seguro en el que ejecutar los programas para que el resto del sistema no se vea comprometido. También dice que es probable que funcione en otras distribuciones.

Tres semanas atrás, Evans publicó otros zero-day con consecuencias similares. En este caso, Evans también publicó el código parcheado.

Fuente: Technow | BetaNews

Seguir leyendo...

BackdoorMan: encontrar scripts PHP y shells maliciosos

BackdoorMan es un toolkit de código abierto escrito en Python por Yassine Addi y destinado a ayudar a los sysadmins a encontrar scripts PHP y shells maliciosos, ocultos y sospechosos en un servidor, automatizando todo el proceso de detección.

Recordar que es bastante común que cuando se logra comprometer un sitio se ubique un backdoor pues puede dar acceso continuo al sitio (persistencia) incluso si los propietarios del sitio cambian las contraseñas.

Los scripts de un backdoor varían de 100 líneas de código hasta incluso 1 ó 2 líneas y se pueden fusionar en cientos de archivos lo que hace muy difícil descubrirlos, especialmente si el backdoor está inactivo. Hay maneras y herramientas comunes que se pueden utilizar, como grep, pero BackdoorMan automatiza todo y hace más fácil la identificación de código malicioso.

Características

• Detección de shells mediante una base de datos de firmas
• Reconocimiento de backdoors web
• Detección del uso de funciones y actividades sospechosas de PHP
• Uso de servicios externos junto a sus funcionalidades
• Uso de nimbusec shellray API (detección de webshells online y gratuita para archivos PHP https://shellray.com)
• Rendimiento alto de reconocimiento de webshells
• Comprobación de los archivos PHP sospechosos en línea
• Fácil, rápido y confiable
• Clasificación de webshells por comportamiento
• Servicio gratuito de nimbusec
• Uso de VirusTotal Public API (servicio gratuito en línea que analiza archivos y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware)
• Uso de UnPHP (el decodificador en línea de PHP: UnPHP es un servicio gratuito para analizar código PHP ofuscado y malicioso - http://www.unphp.net)
• Eval + gzinflate + Base64
• Desofuscador recursivo
• Función personalizada y soporte de Regex

Fuente: HackPlayers

Seguir leyendo...

Utilizan WordPress para realizar ataques DDoS de tráfico cifrado

Según Kaspersky, varios grupos de criminales han empezado a realizar ataques DDoS en los que el tráfico viaja cifrado, algo que complica mucho más la tarea de detección y mitigación de estos ataques, hasta el punto de que, prácticamente, son imposibles de bloquear.

Para llevar a cabo estos ataques, los delincuentes hacen uso de los conocidos Pingback, una función diseñada para enviar una notificación a los autores de los blogs cada vez que se les menciona en otro portal. Los atacantes han encontrado la forma de falsificar estas notificaciones con remitentes falsos de manera que son capaces de realizar un gran ataque DDoS HTTP GET Flood Attack sin necesidad de utilizar botnets, simplemente con un blog. Si, además, a este blog le implementas un protocolo HTTPS, todo este tráfico HTTP GET queda cifrado y es muy complicado de detectar y diferenciar del tráfico real.

Además de los problemas de saturación del ancho de banda, el uso de conexiones HTTPS supone un consumo de recursos mucho mayor al de las conexiones HTTP, por lo que el hardware de la víctima también puede verde afectado a la hora de intentar procesar estos recursos, quedando mucho más fácilmente fuera de servicio.

El estándar HTTPS no permite a terceros descifrar y analizar el tráfico, por medidas de seguridad, por lo que, por el momento, estos ataques son prácticamente indetectables e imposibles de bloquear. Habrá que ver si, con el tiempo, las principales empresas de seguridad encuentran la forma de proteger a sus clientes de estos ataques que, sin duda, dejarán marca en 2017.

Fuente: RedesZone

Seguir leyendo...

Disponible Tor Browser 6.0.8 con mejoras de seguridad

Hace algunas horas, Tor Project ha liberado una nueva actualización de su navegador para la red Tor, conocido como Tor Browser, que implementa una serie de mejoras necesarias para garantizar la máxima seguridad y privacidad de los usuarios al conectarse a esta red distribuida.

En esta nueva versión se ha centrado en actualizar los principales complementos utilizados para establecer esta red y evitar el envío de datos que puedan identificar a los usuarios. Entre ellos, el navegador web, Firefox, ha sido actualizado con los últimos parches de seguridad a la versión 45.6 ESR y, además, se ha añadido la última versión de Tor, 0.2.8.11, TorButton, 1-9-5-13 y HTTPS Everywhere 5.2.8. También se han corregido 5 fallos en el navegador que, aunque no estaban relacionados principalmente con la seguridad, sí podían exponer la privacidad de los usuarios y, además, hacer que la experiencia de uso del navegador no fuera óptima.

Al ser la red Tor una red tan atacada y peligrosa, es de vital importancia que todos los usuarios que utilicen este navegador instalen cuanto antes esta nueva versión para poder seguir manteniendo la máxima seguridad y privacidad, al menos, dentro de lo que nos permite esta red.

También se ha publicado Alpha de Sanboxed Tor Browser

Mientras que la versión estable de este navegador es la 6.0.x, Tor Project lleva un tiempo trabajando en la próxima gran actualización de este navegador, que será la versión 6.5. Esta versión incluirá las nuevas versiones de Tor, Torbutton y Firefox en el momento de su lanzamiento con el fin de permitirnos hacer uso de las nuevas medidas de seguridad de esos complementos.

Esta nueva versión se puede descargar también desde el enlace anterior, aunque, como hemos dicho, es una versión alpha especialmente publicada para pruebas y no recomendable para trabajar con ella en producción.

Debido al gran número de ataques informáticos contra los usuarios de la red Tor, tanto por parte de piratas informáticos como de organizaciones como el FBI, Tor Project ha desarrollado un nuevo navegador que blinda aún más la seguridad de sus usuarios y les protege de todo tipo de ataques informáticos, conocido como Sandboxed Tor Browser. Sin embargo, aún se encuentra en una fase muy temprana de su desarrollo, habiendo publicado hace escasas horas la primera alpha pública del mismo, conocida como versión 0.0.2.

 Fuente: RedesZone

Seguir leyendo...

Una vulnerabilidad en Facebook Messenger dejaba mensajes a la vista de cualquiera

Un experto en seguridad ha detectado un error en Facebook Messenger que permitía a los atacantes modificar su código html y acceder así a los mensajes privados.

Aunque WhatsApp sea la aplicación de mensajería instantánea por excelencia, la plataforma Facebook Messenger no se queda atrás, ya que mil millones de usuarios la emplean al mes para comunicarse. De ahí que la red social esté poniendo tantos recursos para incorporarle funcionalidades que la hagan cada vez más atractiva.

Sin embargo, en Facebook no habían reparado en una vulnerabilidad de su servicio de chat que estaba permitiendo que ciberatacantes accedieran sin restricción ninguna a las conversaciones de los usuarios y a todos los archivos que en ellas se compartieran.

Así lo ha denunciado un experto en seguridad de la firma Cynet. La vulnerabilidad, que ha bautizado como “Originull”, radica en el hecho de que los chats de Facebook se administran desde un servidor ubicado en {number} -edge-chat.facebook.com, que está separado del dominio real de Facebook (www.facebook.com).

Según el experto, la comunicación entre JavaScript y el servidor se realiza mediante la interfaz XML HTTP Request (XHR). Para acceder a los datos que llegan desde 5-edge-chat.facebook.com en JavaScript, Facebook tiene que agregar:

• Cabecera "Access-Control-Allow-Origin"
• Cabecera "Access-Control-Allow-Credentials" con un valor "real"

Pero el error viene cuando en la cabecera (Header) que identifica el origen el atacante envía "null" (de ahí lo de "Originull") y obtiene un valor nulo en la cabecera de credenciales, saltándose así las comprobaciones de identidad y accediendo a los mensajes privados de Facebook desde un sitio web externo.

Para aprovecharse de esto, el atacante ólo tiene que engañar al usuario con un cebo para que visite una web infectada, en el que si hace clic, sus conversaciones privadas quedan automáticamente expuestas, ya sea desde la app de Facebook o de la versión web.

Esta vulnerabilidad, que ya ha sido parcheada por Facebook, podría afectar a otras webs que emplean controles de restricción de origen nulo y exponer a los visitantes del sitio web a elementos maliciosos.

Fuente: TicBeat

Seguir leyendo...

Contraseñas del ransomware Popcorn: "si el infectado infecta a otros, su liberación es gratis"

MalwareHunterTeam ha descubierto una nueva variante de ransomware bastante curiosa. En ElevenPaths han analizado las nuevas versiones mejoradas que cometen varios errores interesantes, entre ellos, el que permite conocer su contraseña de descifrado. Esta muestra llama la atención porque en teoría ofrece dos fórmulas para descifrar los ficheros: o bien pagando, o bien si el propio infectado consigue infectar a dos o más personas que paguen el rescate.

La funcionalidad básica es la de siempre: se cifran un buen montón de ficheros según su extensión, y se pide un rescate por ello de 1 bitcoin (por encima de la media que se suele exigir habitualmente).

Lo que hace nuevo este ransomware, es ofrecer dos vías para descifrar el contenido: La vía "normal" en la que se paga un rescate, y la vía "nasty" (así la denominan ellos mismos) en la que si se envía un enlace a un ejecutable a dos personas, se infectan y pagan, se te dará un código "gratis" para poder descifrar tu contenido.

Un "plan amigo" de difusión en la que el atacante se "asegura" dos infecciones por el precio de una, y un método de difusión más eficaz, puesto que las víctimas elegidas por el usuario infectado siempre estarán más predispuestas a ejecutar el enlace de un conocido. Otra cosa es que pague (supuesta condición para que se aplique el "descuento").

También destacar que el ransomware apela a la sensibilidad de la víctima, asegurando que el dinero irá para una buena causa: paliar los efectos de la guerra de Siria. Se ha llamado "popcorn" porque la primera versión utilizaba el dominio popcorn-time-free.net, pero ya no es así en las últimas versiones.

La contraseña

Si se desemsambla el código con ILSpy por ejemplo, se puede observar la línea que contiene la contraseña en Base64. Una rápida decodificación nos permitirá obtener la contraseña y los datos de vuelta. No hemos creado una herramienta específica para conseguirlo porque es más que probable que el atacante cambie rápidamente su estrategia y además, no parece un malware muy avanzado por ahora ni difundido (si alguien está infectado, que nos contacte, por favor). De hecho, el día anterior la contraseña de sus primeras versiones era siempre "123456". 

Como se ha mencionado, la contraseña se supone (junto con el resto de variables) incrustada por el servidor en el momento de creación del ejecutable. Tras el análisis que hemos realizado, resulta ser un hash MD5 del que aún no conocemos a qué responde. El hash MD5 está triplemente codificado con Base64 en el código.

El resultado de la decodificación es la contraseña que se puede introducir en el diálogo correspondiente para descifrar los datos sin necesidad de pagar.

El plan amigo

Lo que más ha llamado la atención es el "nasty way" para descifrar los archivos. Se supone que si se envía a dos conocidos el enlace ejecutable y estos pagan, se te dará el código de desbloqueo. Muy inteligente para obtener una rápida expansión, pero creemos que falso. El código no contiene ninguna instrucción para comprobar que esto ocurre automáticamente. A no ser que toda la inteligencia corra del lado del servidor (cosa que dudamos) no podemos garantizar (ni hemos evidenciado técnicamente que ocurra) que esto sea así y por tanto tiene muchas más posibilidades de tratarse de un simple bulo para esparcir más el malware.

De hecho, los ejecutables generados no contienen información sobre quién los ha recomendado en su interior, solo el hecho de ser creados bajo una URL que sí contiene el ID de la víctima inicial… pero observando toda la tramoya del sistema, su mala programación, las promesas no cumplidas (cuentas atrás amenazantes que finalmente no borran nada...), lo inestable de su infraestructura y "artesanía" en general, la navaja de Ockham nos inclina pensar que todo es falso, y no existe ningún mecanismo para controlar esto.

Contenido completo en fuente original ElevenPaths

Seguir leyendo...