Categoría : Herramientas de Seguridad

Inicio/Archivo por Categoría Herramientas de Seguridad (Page 5)

Día Internacional de la Seguridad Informática

Los juegos on-line, la internet de las cosas (IoT) , y las estafas en las redes sociales aparecen encabezando la lista de preferencias de los ciberatacantes, a la hora de atentar contra nuestra instalaciones.

Con decenas de millones de practicantes en el mundo entero, en su gran mayoría jóvenes sin mayor temor de ingresar a cualquier sitio que se les ponga a tiro, los juegos on-line están entre las más buscadas brechas de los piratas. Mortal Kombat X, Minecraft o Gran Thef Auto V son los que más han recibido ataques en los últimos tiempos, según publica elandroidelibre.com.

La internet de las cosas (IoT) es un área de gran preferencia para ataques, y requiere de protocolos seguros, advierten los expertos. Recuerdan que sin ellos, o con nula protección detallada, nuestras comunicaciones están casi a la vista de cualquier hacker.

En cuanto a las estafas en las redes sociales, el problema es más de corte “humano” ya que se basa más en la confiabilidad y el engaño que en falta de seguridad en la web. Desde timos en supuestas webs de las grandes cadenas, con gangas y obsequios que nos invitan a cliquear sin mucha detención, a situaciones como la web Ashley Madison que dejó a la vista 44 millones de potenciales infieles a su pareja, todo es posible, si no estamos atentos.

Cada día más necesidad de protección

El último día de noviembre como fecha anual para recordar la creciente necesidad de protección fue una idea original de la “Association for Computer Machinery” de Estados Unidos, lanzada en 1988.

El Día Internacional de la Seguridad de la Información. Su propósito era que en ese día se recordara, a todo el que utiliza la tecnología, la necesidad de proteger sus sistemas, sus programas y su información, lo que de inmediato logró la aceptación de los países más desarrollados y con el tiempo se han ido sumando otros.

La idea original es que el último día de noviembre se desarrolles actividades conjuntas a nivel institucional, educativo y en las empresas a la búsqueda de optimizar los buenos hábitos en materia tecnológica con las mejores intenciones para el año entrante.

Fuente: La red 21

El Malware YiSpecter abusa de los certificados de iOS para incertar Adwares en Apple.

Los investigadores advirtieron que la salida del malware WireLurker  en noviembre cuyo blanco eran las plataformas de Apple podría llegar a ser un acertijo para los desarrolladores del malware en Mac e iOS. Mientras WireLurker fue rápidamente aplastado y resultó ser bastante benigno, sus autores demostraron cómo el abuso de los certificados de desarrolladores empresariales emitidos por Apple era un medio eficaz para obtener el código malicioso en iPhones con jailbreak e iPads.

Otra amenaza llamada YiSpecter aparentemente ha seguido el ejemplo de WireLurker y ha combinado el uso de certificados emitidos bajo el Programa de Empresa de Apple iOS Developer con el abuso de APIs privadas para mover el adware en dispositivos iOS jailbreak, principalmente en China y Taiwán.

Claud Xiao, investigador de Palo Alto Networks, publicó un informe sobre el malware, que al parecer ha estado en estado salvaje durante 10 meses y tiene tasas de detección pobres en los servicios de seguridad como VirusTotal.

De manera similar a WireLurker, YiSpecter abre una puerta trasera a un conjunto de servidores de comando y control y devuelve los datos del dispositivo teniendo la capacidad de instalar y poner en marcha nuevos troyanos a algunas aplicaciones que sobreviven eliminación secuestrando otras aplicaciones con el fin de mostrar anuncios, buscar el cambio por defecto de la configuración en Safari, cambiar los marcadores y las páginas abiertas en el navegador móvil. El trabajo es en gran medida difundir un adware pornográfico.

A diferencia WireLurker, que se extendió desde Macbooks infectados a los dispositivos iOS, YiSpecter se propaga en un puñado de maneras, beneficiado en gran medida de la legitimidad de los certificados, uno de los cuales ya ha sido revocado por Apple.

“Creemos que todos son legítimos”, dijo el director de Palo Alto del investigador Ryan Olson. Los certificados cuestan $ 299 y están disponibles únicamente para los negocios controlados y verificados que deseen desarrollar aplicaciones empresariales para iOS. “Estos están destinados para su distribución interna. La distribución de aplicaciones de esta manera no es lo que pretende Apple, y por qué los están revocando”.

La investigación académica se había hecho antes de que WireLurker demostrara el potencial de abuso en torno a estos certificados,  Olson dijo que esperaba ver algunos ataques que  traten de imitar este enfoque. El aumento de la atención en el tema, en particular, de la mano de WireLurker, causó la respuesta de Apple para los iOS 9 recientemente liberados  con una característica que obliga a los usuarios que deseen ejecutar una aplicación firmada pasar por un par de “aros” adicionales. El desarrollador, por ejemplo, debe dar  confianza a la aplicación en la configuración del dispositivo para poder correr la misma.

“Usted no sólo haga clic en Aceptar, usted tiene que cavar en la configuración si desea confiar en los desarrolladores. Este es el tipo de función que impide este tipo de ataque de tener éxito “, dijo Olson.

El uso de APIs privadas para instalar aplicaciones maliciosas también es preocupante, ya que puede ser utilizado para llevar a cabo una serie de operaciones sensibles, Xiao de Palo Alto escribió, que son ciegos al mecanismo de distribución de la empresa de Apple. YiSpecter se compone de cuatro componentes, todos los cuales están firmados.

Al abusar de APIs privadas, estos componentes “descargar e instalar” de un comando y servidor de control (C2), escribió Xiao. “Tres de los componentes maliciosos utilizan trucos para ocultar sus iconos de “salto en pantalla” de iOS, lo que impide al usuario encontrarlos y eliminarlos. Los componentes también utilizan el mismo nombre y logotipos de aplicaciones del sistema para engañar a los usuarios de energía iOS “.

YiSpecter no es una amenaza para App Store. Se mueve a través de una serie de canales distintos que presentan como una alternativa al reproductor multimedia QVOD muy  popular  y utilizado para intercambiar y ver pornografía en China. Una vez QVOD fue cerrada por la policía en abril, los atacantes detrás de YiSpecter se dirigieron a aquellos usuarios con el malware.

El más interesante método de propagación de YiSpecter es su abuso de la práctica llevada a cabo por los ISP locales que inyectan JavaScript y publicidad HTML en el tráfico.

“Los proveedores de Internet jugaron un papel en él, pero probablemente pensaron que sería sólo la publicación de anuncios”, dijo Olson.

YiSpecter también se extendió a través del gusano Lingdun, el malware que utiliza falsos certificados VeriSign y Symantec para eludir los sistemas de detección. Lingdun es una amenaza de Windows y se utiliza sobre todo para introducir software en PCs con Windows. Un número de sitios y mensajes a las redes sociales de distribución de aplicaciones subterráneas también fueron introducidos por  YiSpecter, dijo Palo Alto.

YiSpecter es el último de una notable racha de ataques contra las diversas plataformas de Apple, comenzando con XcodeGhost y la vulnerabilidad publicada la semana pasada de Gatekeeper en OS X.

Fuente: ThreatPost

Kaspersky Lab detecta ataques cibernéticos a telecajeros en México

El sector bancario es uno de los que mayor cantidad de ataques informáticos sufre y México no es la excepción. Razones más que obvias salen a relucir y según las predicciones de Kaspersky Lab para el 2015, dichos ciberataques dirigidos a través de software maliciosos que les permiten suministrar dinero directamente de los cajeros automáticos aumentarían.

Costin Raiu, director del equipo de Análisis e Investigación Global deKaspersky Lab, comentó que los días en que las bandas de ciberdelincuentes enfocadas exclusivamente en robar dinero de los usuarios finales habían acabado. “Ahora, los delincuentes atacan directamente a los bancos porque es ahí es donde se encuentra el dinero”.

Este pronóstico fue validado hace unos días con el descubrimiento de GreenDispenser, un malware descubierto por investigadores de la industria que le permite a un atacante la capacidad de vaciar el dinero de cajeros automáticos infectados.

Según los análisis, el código malicioso se conecta al middleware XFS (extensiones para servicios financieros) implementado en varios ATMs basados en Windows.  Esta plataforma permite la interacción entre el softwarey los dispositivos periféricos de un cajero automático, como el teclado de PIN o dispensador de efectivo.

Una vez instalado, el cajero automático muestra un mensaje de ‘fuera de servicio’ en la pantalla. Mientras los clientes regulares no podrán utilizar el ATM, los atacantes que ingresen los códigos PIN correctos podrán vaciar todo el dinero de los cajeros automáticos y borrar el malware utilizando un proceso de eliminación profundo, dejando poco o ningún rastro de cómo el ATM fue vulnerado.

Aunque por ahora el malware solo ha sido detectado en México, se anticipa que también se empleará en otros países de la región.

Fabio Assolini, analista sénior de Kaspersky Lab, señala que los cibercriminales de América Latina están invirtiendo constantemente en el desarrollo de nuevo código malicioso para cajeros automáticos y advierte que los bancos e instituciones financieras de la región deben de estar atentos a esta gran amenaza.

“Los criminales de la región, especialmente en México y Brasil, están organizados y generalmente operan con cibercriminales de otros países buscando infectar al mayor número de cajeros automáticos. Ellos emplean su conocimiento local con técnicas de malware exportadas de los países de Europa del este para crear ataques locales únicos”.

Además, lo que empeora esta situación, según el experto, es que la mayoría de los cajeros automáticos todavía corren en sistemas operativos antiguos que son fáciles de infectar, como Windows XP o Windows 2000.

Analistas de Kaspersky Lab prevén este ataque como una tendencia que seguirá en crecimiento. Durante el primer trimestre de 2015, Kaspersky Lab reveló a Carbanak, la APT (amenaza persistente avanzada) que había robado hasta mil millones de dólares, iniciando una era de ataques estilo APT en el mundo de la ciberdelincuencia.

En el 2014, Kaspersky Lab informó acerca de la campaña de fraude cibernético Luuuk que se enfocaba en los clientes de un banco europeo importante. En el periodo de sólo una semana, los ciberdelincuentes robaron más de medio millón de euros de cuentas del banco.

Luego, en octubre de ese mismo año, el equipo de Análisis e Investigación Global de Kaspersky Lab reveló los ataques de malware de delincuencia cibernética Tyupkin  que se centraban en cajeros automáticos de todo el mundo. Este códigomalicioso infectaba a los cajeros automáticos y les permitía a los atacantes vaciar las máquinas mediante una manipulación directa, con el cual robaron millones de dólares sin utilizar ni una tarjeta de crédito.

Expertos de Kaspersky Lab recomiendan siempre mantener actualizados los sistemas de punto de venta o cajeros automáticos e instalar una solución antivirus ya que el factor común en la mayoría de los ataques es el sistema operativo. La tecnología Dafult Deny incluida en Kaspersky Antivirus bloquea la ejecución de programas ejecutables desconocidos.

Kaspersky Lab detecta y neutraliza a GreenDispenser como Trojan-Banker.Win32.GreenDispenser.a 

Fuente: cioal

Cisco parchea el servicio bypass, vulnerabilidad en el sistema IOS

Cisco realizo su habitual ronda semestral de parches para iOS este miércoles, el software que la empresa utiliza para la mayoría de sus routers y switches.

Avisos de seguridad de este mes reconocieron cuatro vulnerabilidades, tres que podrían conducir a la cancelación de servicios, y otro que podría dejar que un atacante pudiese pasar sin problemas a través de una autenticación de usuario (bypass).

La vulnerabilidad de pasar a través de la autentificación de usuario (bypass) surgió de una aplicación incorrecta de la SSH versión 2 del protocolo en el software IOS y IOS XE. Si se explota, un atacante, suponiendo que conocían el nombre de un usuario legítimo configurado para la autenticación de usuario basada en RSA, y la clave para el usuario podría conectarse con los privilegios del usuario. Cisco hace hincapié en que esto es simplemente una vulnerabilidad de la autentificación de usuario (bypass) en iOS, no una situación en la que el atacante sería capaz de obtener privilegios.

Dado que el error sólo afecta a la autenticación de usuarios RSA, los usuarios finales pueden desactivar la funcionalidad para mitigarlo, o simplemente aplicar el parche.

La negación de vulnerabilidades de servicios madre en gran parte de los problemas de IPv4 e IPv6 es manejada por el software.

Uno es el resultado de un procesamiento inadecuado de paquetes IPv4 que requieren traducción de direcciones de red (NAT) y multiprotocolo Label Switching (MPLS) de procesamiento – si un atacante remoto no autenticado envió el paquete IPv4 que pudieran provocar un reinicio del dispositivo. Otros dos están en la función de seguridad y espionaje IPv6 en IOS y IOS XE – si los atacantes enviaron un paquete mal formado, o una inundación de tráfico, también podrían causar un dispositivo se recargara.

Los parches son los primeros para el software en seis meses, siendo que  Cisco IOS realiza parches en gran cantidad dos veces al año, en marzo y septiembre.

El mes pasado, la empresa advirtió a los clientes de la empresa que los atacantes estaban tratando de explotar los dispositivos iOS. Los hackers no estaban explotando alguna vulnerabilidad específica, que al parecer estaban usando credenciales válidas, que les daba la posibilidad de subir imágenes ROMMON maliciosas, y tener el acceso permanente a los dispositivos.

Fuente:  threatpost

Adobe corrige 23 vulnerabilidades críticas en Flash Player

Adobe ha publicado una actualización de Flash Player el cual se encargó de corregir 23 vulnerabilidades críticas en el software, muchas que pueden provocar la ejecución de códigos.

La versión 18.0.0.231 y versiones anteriores de Flash Player para Windows y Mac, Microsoft Edge e Internet Explorer 11 en Windows 10 e Internet Explorer 10 y 11, se ven afectados de acuerdo con un boletín de seguridad publicado por Adobe éste lunes.

Mientras que la compañía no tiene conocimiento de ataque a través de estas vulnerabilidades, Adobe está animando a los usuarios a actualizar a la nueva versión 19.0.0.185, ya sea a través de Centro de descarga de la compañía, o por medio de la actualización automática.

La mayoría de las vulnerabilidades, 18 de 23, podrían provocar la ejecución de códigos, advierte Adobe. Otros podrían resultar en la divulgación de información, origen de políticas y fugas de memoria, según el boletín.

Algunas de las revisiones son más de carácter preventivo, incluyendo una actualización que agrega controles de validación adicionales para asegurarse de que Flash Player rechaza contenido malicioso de las API, y también fortalece la mitigación para defenderse contra las corrupciones.

Diez de las vulnerabilidades se acreditan a los investigadores Google Project Zero, incluyendo un puñado encontrado por  ex miembros de Project Zero Chris Evans, Ben Hawkes, y James Forshaw, por nombrar algunos. Vulnerabilidades adicionales que se están parcheando fueron descubiertas por un grupo de hackers Chinos “Equipo Keen”, que trabajó con Zero Day Initiative de HP, e investigadores que trabajan con el Equipo de Investigación de Alibaba Seguridad y el laboratotio Xuanwu, entre otros.

Este es el segundo mes consecutivo en el que Adobe ha llevado a cabo más de 20 parches para Flash. El mes pasado se realizaron correcciones por más de 30 vulnerabilidades en la plataforma, incluyendo varios que se podría utilizar para tomar el control de un equipo que ejecute una versión antigua del flash.

Fuente: threatpost

Google anuncio formalmente su intención de deshabilitar el protocolo SSLv3 y el algoritmo RC4

Como era de esperar, Google anunció formalmente su intención de alejarse del cifrado de flujo RC4 y el protocolo SSLv3 esta semana, citando una larga historia de las debilidades de ambos.

Adam Langley, un ingeniero de seguridad de la empresa, anunció los planes a través de una entrada en su blog el jueves. Si bien no hay una línea de tiempo concreto, Langely insistió en que Google está tratando de eliminar el soporte para RC4 y SSLv3 en todos sus servidores frontend, Chrome, Android, webcrawlers y servidores SMTP, en mediano plazo.

El hecho de que la compañía está buscando cortar lazos con ambos medios no debería ser una sorpresa.

El Grupo de Trabajo de Ingeniería de Internet condenó SSLv3 en un documento de normas de Internet durante el verano, que calificó de “no es suficientemente segura”, y agregó que “cualquier versión de TLS es más segura que SSLv3.”

Como señala Langely en el blog, RC4 tiene 28 años, y si bien le fue bien en las primeras salidas, ha sido el blanco de múltiples ataques en los últimos años, incluyendo algunos que pueden conducir a TLS sesión de compromiso y cookie decryption.

Como parte del interruptor de Google también ha anunciado un conjunto de normas mínimas para los clientes TLS de cara al futuro. De acuerdo con el post, Google va a requerir lo siguiente de los dispositivos:

  • TLS 1.2 must be supported.
  • A Server Name Indication (SNI) extension must be included in the handshake and must contain the domain that’s being connected to.
  • The cipher suite TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 must be supported with P-256 and uncompressed points.
  • At least the certificates in https://pki.google.com/roots.pem must be trusted.
  • Certificate handling must be able to support DNS Subject Alternative Names and those SANs may include a single wildcard as the left-most label in the name.

“Si su servidor de cliente TLS, servidor web o correo electrónico requiere el uso de SSLv3 o RC4 entonces el tiempo para actualizar fue hace algunos años, pero más vale tarde que nunca. Sin embargo, tenga en cuenta que sólo porque usted podría estar usando RC4 hoy no significa que su cliente o sitio web dejarán de funcionar” Langley escribió.

Langely anunció planes superficiales de desaprobar RC4 a principios de este mes, lo que confirma que la cifra podría ser desactivada, probablemente estable en torno a enero o febrero el 2016.

Fuente:  threatpost

Google corrigió la ultima vulnerabilidad del Lockscreen de Android

El aburrimiento llevó John Gordon a descubrir una técnica que pasa por alto el LockScreen en su dispositivo Android.

Al participar en una larga cadena de caracteres al azar en el campo de la contraseña después de abrir la aplicación de la cámara del teléfono, Gordon dijo que fue capaz de llegar a la pantalla de inicio y acceder finalmente a cualquier cosa almacenada en el dispositivo.

El “Hack” es una pesadilla en cuanto a privacidad y seguridad, aunque esto sólo se puede lograr si el atacante tiene acceso físico al dispositivo y la víctima utiliza una contraseña para bloquear el teléfono, en lugar de un PIN o patrón de líneas. El 9 de septiembre Google lanzó una actualización OTA de seguridad para “parchear” /corregir esta vulnerabilidad y varias otras existentes.

“En el entorno LockScreen hay muy poco lo que se puede hacer, por lo que con suficiente tiempo libre se puede casi probar todo lo que es posible. Todo comenzó cuando me aburría un día, hurgando en mi propio teléfono Android”, dijo Gordon, investigador de la Universidad de la Oficina de Seguridad de Información de Texas. “Me di cuenta de que podía llegar a la función copiar/pegar, que es algo que no esperas sea necesario o que este disponibles en la pantalla de bloqueo. A partir de ahí pensé en que me permitirá hacer esto que de otro modo no sería posible. Pegar cadenas de caracteres  largas pegar resultó ser la respuesta”.

La vulnerabilidad afecta a los dispositivos Android anteriores a la versión 5.1.1; las cadenas de caracteres excesivamente largos desestabilizan la aplicación de la cámara, provocando que se bloquee y abra la pantalla de inicio. Gordon dijo, sin embargo, que mientras que el atacante tendría acceso a aplicaciones que muestran en la pantalla principal, no se podrá acceder a un teclado y los botones suaves. Él, en cambio, utiliza el puente de depuración Android (BAD) para acceder a los datos almacenados.

“Usted tiene acceso sustancial sólo desde la desestabilización a la pantalla de inicio, puede ejecutar cualquier aplicación que quieras. Sin embargo, debido a la crisis que ya no tienen los botones blandos (atrás, home, menú, etc.) puede hacer la navegación más frustrante “, dijo Gordon. “Habilitar la depuración USB y la conexión con adb es sólo una manera de evitar que la frustración y realizar cualquier acción que desee en el teléfono.”

Gordon dijo que ha estado experimentando con una serie de técnicas que podrían conducir a escapes del LockScreen, y que ha reportado otras vulnerabilidades en el equipo de seguridad de Android que son explotados de manera similar. Esos errores aún no han sido parcheados/corregidos.

“La clave de la vulnerabilidad es que somos capaces de insertar un gran número de caracteres en el campo de contraseña, más de lo que nunca esperaba manejar”, dijo Gordon. “A medida que el número de caracteres crece hace que el proceso de LockScreen sea más lento y finalmente se desestabilice, dejando la pantalla principal expuesta.”

En un post a la página web de la Universidad de Texas, IOS, Gordon describió el ataque en detalle, junto con una demostración. Él comienza con la apertura de la ventana de llamada de emergencia con el fin de conseguir un teclado. A partir de ahí, empieza a escribir caracteres aleatorios, copiar y pegar, hasta que tiene una gran cadena en el portapapeles. Su siguiente paso es abrir la aplicación de la cámara, que todavía se puede acceder desde la pantalla de bloqueo, junto con un icono de configuración. Al hacer clic en ese icono se enciende una solicitud de contraseña. Gordon dijo que en ese punto se pegan cadenas de caracteres tantas veces como sea posible hasta que la interfaz de usuario se desestabiliza y desaparecen los “botones suaves”.

Finalmente, la aplicación de la cámara, se bloqueará y será expuesta la pantalla principal. Dijo que era entonces capaz de navegar a la aplicación ajustes, habilitada la depuración USB y acceder al dispositivo a través de adb.

“Por suerte, este comportamiento sólo está presente en el LockScreen de contraseña, una configuración poco común, siendo que las personas suelen usar el  PIN o patrón de líneas”, dijo Gordon. “Con eso dicho, las personas que son más conscientes y cuidadosas con la seguridad tienden a hacer uso de una contraseña completa, pensando que así estarán más protegidos, estando en este caso susceptibles al ataque.”

Gordon dijo que la falla fue confirmada y parcheada/corregida en los dispositivos Nexus de Google, los teléfonos Android de otros fabricantes podrían seguir vulnerables, aunque algunas compañías han mejorado las aplicaciones para que este ataque sea más difícil e realizar, dijo Gordon.

Fuente: Threatpost