Categoría : Herramientas de Seguridad

Inicio/Archivo por Categoría Herramientas de Seguridad (Page 7)

Whatsapp: un supuesto mensaje de una cafetería roba información personal

WhatsApp, al ser utilizada por millones de usuarios, es uno de los blancos más interesantes para hackers. En esta oportunidad desde Kaspersky Labemitieron una alerta donde informan que se está utilizando un mensaje para robar información.

El mensaje llega supuestamente de Starbucks ofrece una promoción. No es de Starbucks y lo único que hará es robar información personal.

Según el mensaje se regalan US$500 para consumir en la tienda local. Todo si se contesta una encuesta. Para eso hay que entrar a un link y ahí es donde se le robará información al usuario.

 

0009929390

 

Fuente: minutouno

Vulnerabilidad en SMB en Windows permite robo de credenciales

En la Conferencia Black Hat, un equipo de expertos liderado por Jonathan Brossard presentaron una vulnerabilidad en el protocolo SMB de Microsoft [PDF] utilizado para compartir archivos en redes locales. La vulnerabilidad afecta a todas las versiones de Windows, incluyendo Windows 10 y puede ser explotada a través de Internet, algo que los investigadores creían imposible.

SMB es un protocolo de 21 años de edad creado por IBM, que permite compartir archivos e impresoras en una red. Desde su creación, ha evolucionado y llegado a la versión 3.0, que se suministra ahora en la mayoría de los Windows. La mayoría de las veces este protocolo se utiliza en redes empresariales, junto al algoritmo de autenticación NTLMv2, que permite a los usuarios autentificarse rápidamente en servidores Windows.

La vulnerabilidad descubierta por el equipo de Brossard permite extraer las credenciales de usuario desde un dominio de Windows cerrado, utilizando una técnica de ataque llamada SMB Relay, basicamente un MitM para datos SMB. Mientras esta técnica generalmente trabajaba sólo en LAN, debido a que la mayoría de redes empresariales se han ampliado para incluir infraestructuras cloud, el ataque puede realizarse a través de conexiones a Internet.

La fuga de credenciales sucede cuando un usuario está tratando de leer un correo electrónico, acceder a una página Web utilizando el navegador o haciendo cualquier cosa que implique abrir una dirección URL. La vulnerabilidad se encuentra en una DLL específica que permite a un atacante realizar un ataque de retransmisión SMB, obtener las credenciales del usuario, romper el hash de la contraseña y luego utilizarlas para robar información de la red pasando como un usuario normal.

Como señala Brossard, todas las versiones de IE son vulnerables, incluyendo el nuevo navegador Edge, siendo este “el primer ataque contra Windows 10 y su navegador Spartan”.

Además, otras aplicaciones vulnerables incluyen Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec Norton Security Scan, AVG Free, BitDefender Free Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub, TeamViewer, Dropbox y muchas otros aplicaciones.

La investigación también incluye técnicas de mitigación [PDF], pero según Brossard, el más eficiente sería definir configuraciones de Firewall personalizados, para prevenir fugas de datos a través de SMB.

Fuente: Segu.Info

Se publica OpenSSH 7.0

OpenSSH es una variante abierta del protocolo SSH, que permite la conexión segura a equipos remotos, y llegó por primera vez al mundo *Nix en 1999, cuando fue implementado en OpenBSD 2.6. Desde entonces su adopción creció hasta el 100 por ciento puesto que todas las distros de Linux la implementan en la actualidad, aún cuando SSH liberó su código fuente luego del éxito de esta variante abierta.

Como herramienta de comunicación y de seguridad, es esencial mantenerla siempre actualizada y por eso es importante destacar que hace pocas horas se produjo la llegada de OpenSSH 7.0. Una versión que trae numerosas mejoras y actualizaciones de seguridad, a la vez que comienza a recorrer el camino hacia versiones futuras y próximas en las cuales algunos elementos irán cambiando y por ello se ofrece importante información al respecto.

Una de las cuestiones que se modifican respecto a versiones anteriores de OpenSSH es la de la opción PermitRootLogin, que ha sido cambiada de “yes” a “prohibit-password”, con lo cual únicamente podremos loguearnos como root si tenemos una clave SSH instalada en el servidor, eliminando el ingreso de contraseña por teclado y con ello aumentando muchísimo nuestra seguridad. Se ha eliminado el soporte para SSH versión 1, ya completamente obsoleto a estas alturas, y también sucede lo propio con el formato de certificados V00, que estaba hasta ahora por cuestiones de retrocompatibilidad.

Luego se mejora la compatibilidad para Portable OpenSSH y se corrigen varios bugs, y entre los cambios que se irán implementando en las próximas versiones podemos mencionar la eliminación de las claves RSA de menos de 1024 bits (cabe destacar que el mínimo actual es de 768 bits), y algunos cifrados que serán eliminados por defecto como es el caso de Blowfish-CBC, Cast128-CBC, Rijndael-CBC para AES y todas las variantes de ARCfour.

Fuente: Segu.Info

Vulnerabilidades de cross-site scripting en IBM Domino Web Server

IBM ha publicado actualizaciones destinadas a solucionar tres vulnerabilidades de cross-site scripting en IBM Domino Web Server 8.5.x y 9.0.x.

Se trata de tres vulnerabilidades de cross-site scripting en el servidor web de IBM Domino. En uno de los casos cuando se encuentra configurado para webmail (CVE-2015-1981), otro de los casos permitiría una redirección abierta (CVE-2015-2014) y un último fallo cuando la plantilla Domino Directory está disponible sobre http (CVE-2015-2015).

Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.

IBM ha publicado actualizaciones en IBM Domino 9.0.1 Fix Pack 4 y en Domino 8.5.3 Fix Pack 6 Interim Fix 8.

Para 9.0.1

http://www-01.ibm.com/support/docview.wss?uid=swg24037141

Para 8.5.3

http://www.ibm.com/support/docview.wss?uid=swg21663874

El cross-site scripting en la plantilla se corrigió en la versión Domino 9.0.0 de la plantilla Domino Directory (pubnames.ntf).

La vulnerabilidad de redirección abierta se ha corregido en Domino 8.5.3 Fix Pack 6 Interim Fix 9 y Domino 9.0.1 Fix Pack 4. Para habilitar la corrección se debe añadir la configuración de inicio (DominoValidateRedirectTo=1) en el notes.ini del servidor Domino.

Más información:

Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)

http://www-01.ibm.com/support/docview.wss?uid=swg21959908

Security Bulletin: IBM Domino Web Server contains two vulnerabilities (CVE-2015-2014, CVE-2015-2015)

http://www-01.ibm.com/support/docview.wss?uid=swg21963016

Fuente: Hispasec

El futuro de la seguridad en Android pasa por Google Play Services

En medio de todo el lío de la seguridad en Android nadie parece dar con una solución definitiva para este problema pero, ¿y si ya hubiera una solución? ¿Y si Google Play Services fuera la respuesta a todos los problemas en Android?

GooglePlayServices

Las dos últimas semanas para Android no han sido las más fáciles. Desde la grave vulnerabilidad de Stagefright a otra descubierta dos días después, para finalmente rematar con un descuido de seguridad con nuestra huella dactilar por parte de los fabricantes, el sistema operativo de Google ha sido puesta en evidencia por su fallos de seguridad. Y lo peor es que no parece haber una solución, no sólo para este caso, sino para la seguridad en Android en general.

Sí, es cierto que el caso de Stagefright ha sido algo beneficioso para Android, pero ya lo dijo Ron Amadeo: el Armageddon de seguridad en Android puede llegar cualquier día, y la preparación tanto por parte de Google como por los OEM es muy insuficiente. Lo de que Google pase los updates a los fabricantes y esperemos semanas e incluso meses a que lleguen es algo inadmisible, y si éstos últimos no van a hacer nada para mejorar esta situación Google ha de tomar los mandos, y quizás tenga la solución para todo desde hace tiempo en sus filas: Google Play Services.

Google Play Services ya es utilizado para que los servicios de Google funcionen en cualquier dispositivo sin importar su versión pero, ¿y si se puede estirar más su funcionalidad?
Fuente: Bloomua I Shutterstock.

Sin ponernos demasiado técnicos, la función de Google Play Services es simple pero tremendamente útil: permite un acceso total a las APIs de Google entre aplicaciones para que, sin importar la versión de Android que posea el usuario, Play Services sirva como puente entre una aplicación y una API de Maps, Localización, Drive, entre muchas otras. Sin embargo, lo verdaderamente importante de Google Play Services es su alcance: entre un 95 y un 99% de dispositivos con Android tiene instalado Google Play Services, desde Android 2.2 Froyo hasta 5.1 Lollipop, la versión más reciente.

Obviamente, nos referimos únicamente a aquellos que usan Android con los servicios de Google, por lo que forks como el de Amazon quedan fuera de este grupo de dispositivos. Por eso, aunque no cuentes con las novedades de Android per se si cuentas con una versión antigua, podrás disfrutar de todas las APIs de Google, lo que también beneficia a Google al haber más gente que utiliza sus productos. Pero ¿y si se le pudiera dar más poder a Google Play Services? ¿Y si se pudiera utilizar el alcance de esta aplicación no sólo para mejorar el ecosistema de Android, sino para mejorar su seguridad?

Imaginemos una situación hipotética pero plausible: una nueva vulnerabilidad embebida en el sistema en sí, extendida a todas las versiones de Android. Google podría coger simplemente deslizar una nueva actualización de Google Play Services a través del Play Store que incluyera un fix para este exploit, y dejar que la aplicación se ocupara del resto sin tener que dar cuentas a los fabricantes, incapaces de hacer llegar una actualización a todos sus dispositivos, incluyendo los antiguos y ya abandonados. Sería algo rápido, seguro y sobre todo, con un alcance amplio, algo muy demandado a Android, la cual deja (o dejaba) a dispositivos con tres años a su merced en cuestiones de seguridad.

El problema no es la seguridad en Android per se, sino en hacer llegar lasupdates cuando lo necesitan: lo antes posible.Por supuesto, esta solución es puramente teórica y puede ser que incluso insuficiente: quizás haya algún exploit imposible de corregir mediante este método, por lo que se tendría que buscar otro camino. También existe el riesgo de que, si se pudiera hacer entrar todo tipo de código en Android a través de Google Play Services, los desarrolladores de malware intenten explotar esta vía de entrada para hacer aún más daño al sistema operativo, por lo que Google Play Services debería estar “blindado” para que sólo Google introduzca modificaciones mediante esta vía, ya sea mediante una forma de identificación que sólo Google pudiera emitir o algo similar.

Esto nos deja con otro tema preocupante: si Google puede introducir cualquier tipo de dato en mi dispositivo Android, por definición también se podría sacar datos, algo que puede dejar aún más en evidencia a Google a la hora de respetar la privacidad de los datos, por lo que Google Play Services no sería una solución definitiva. Sea como fuere, una cosa está clara: la situación de seguridad de Android tiene que ser corregida de inmediato y, en el caso de que Google pudiera convertir en realidad lo de Google Play Services, ya fuera mediante permisos root o incluyéndolo directamente en la raíz de Android, puede ahorrar a la compañía de Mountain View muchos quebraderos de cabeza. Ahora es cuestión de llevarlo a la práctica.

Fuente: Hipertextual

Mozilla publica Firefox 40 y corrige 21 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 40 de Firefox, junto con 14 boletines de seguridad destinados a solucionar 21 nuevas vulnerabilidades en el navegador. 

Hace mes y medio que Mozilla publicó la versión 39 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Entre otras, la nueva versión incluye soporte para Windows 10 y se emite un aviso si se visita una página conocida por contener software malicioso.

Por otra parte, se han publicado 14 boletines de seguridad (del MSFA-2015-79 al MSFA-2015-92). Cuatro de ellos están considerados críticos, siete altos, dos moderados y uno de gravedad baja; que en total corrigen 21 nuevas vulnerabilidades en el navegador.

Las vulnerabilidades críticas residen en un uso después de liberar memoria en la reproducción de MediaStream (CVE-2015-4477), diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-4473 alCVE-2015-4474), diversos desbordamientos en el tratamiento de vídeo MPEG4 y dos desbordamientos en la librería Libvpx al descodificar vídeo WebM (CVE-2015-4485 y CVE-2015-4486).

Además, también se han corregido otras vulnerabilidades de gravedad moderada debidos a un uso después de liberar en llamadas recursivas open() en un XMLHttpRequest en un SharedWorker (CVE-2015-4492), tres vulnerabilidades encontradas a través de inspección de código (CVE-2015-4487 al CVE-2015-4489), una escritura fuera de límites si el actualizador abre un archive MAR con un nombre específicamente creado (CVE-2015-4482), una sobreescritura de archivos arbitrarios a través de Mozilla Maintenance Service en Windows (CVE-2015-4481) y una lectura fuera de límites con archivos MP3 específicamente manipulados (CVE-2015-4475).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:

http://www.mozilla.org/es-ES/firefox/new/

o desde la actualización del navegador en Ayuda/Acerca de Firefox.

Más información:

Firefox Notes

Version 40.0

https://www.mozilla.org/en-US/firefox/40.0/releasenotes/

Mozilla Foundation Security Advisories

https://www.mozilla.org/en-US/security/advisories/

una-al-dia (03/07/2015) Mozilla publica Firefox 39 y corrige 22 nuevas vulnerabilidades

http://unaaldia.hispasec.com/2015/07/mozilla-publica-firefox-39-y-corrige-22.html

Fuente: Hispasec

Continuar leyendo

Orbot – la apk de TOR para dispositivos Android

Antes de entrar a explicar sobre esta poderosa herramienta estoy obligado a explicar brevemente que es TOR, la importancia de TOR y porque mi sorpresa al ver esta app disponible para celulares con Android, así que para no reinventar la rueda, decidí tomar prestado un estracto de un texto de Hipertextual.com y cito.

“Para muchos ya no es un secreto que la privacidad como la conocíamos en la era pre-Internet ya no es más que un antiguo recuerdo. No solo accedemos constantemente a entregar nuestros datos voluntariamente a redes sociales, servicios de almacenamiento, correo electrónico y demás hierbas, por el hecho de que son “gratuitos”; sino que muchos gobiernos violan la pizca de confidencialidad que puede existir entre el usuario y los proveedores de estos servicios monitorean toda nuestra actividad día a día, siendo el caso más descarado el de la NSA con su programa PRISM.

En otros casos los internautas necesitan proteger su identidad por múltiples razones, y no se puede andar navegando la web abiertamente dejando rastros por todos lados. Cuando se busca navegación segura y anónima, hay un nombre que surge de inmediato: Tor, una red de túneles virtuales, que protege las comunicaciones haciendo que reboten dentro de una red enorme mantenida por voluntarios al rededor del mundo.

Tor fue diseñado originalmente como un proyecto de enrutamiento del Laboratorio Naval de Investigación de los Estados Unidos con el fin de proteger las comunicaciones del gobierno. Hoy en día puede usarse por cualquier persona, por los militares, por periodistas, o por activistas que luchan contra la censura y son
perseguidos.”

orbot2Ahora entrando en materia, les comento que no pude esperar a probar esta pequeña pero poderosa app en nuestro tan atacado Sony Ericcson Xperia, el cual usamos para los labs de pentesting que todavía de milagro sigue funcionando.

La instalación es sencilla pero no basta con solo instalarlo, hay que realizar algunas configuraciones sencillas dentro las cuales te permite escoger las apps que deseas que salgan por TOR para navegar seguras o un modo “Torificar” (Proxificación Transparente) para que todas las apps de tu celular salgan cifradas por TOR, pero para esta opción necesitar acceso root al celular lo cual es un poco mas complicado para los usuarios comunes de la red.

Orbot es una aplicación gratuita de proxy cifrado que permite a otras aplicaciones utilizar el Internet de forma más segura.

Orbot usa Tor para cifrar el tráfico de Internet y luego la esconde a través de múltiples conexiones (rebotes) a una serie de ordenadores en todo el mundo.

Orbot es la única aplicación que crea una conexión a Internet verdaderamente privada. Como escribe el New York Times, “cuando una comunicación llega de Tor, nunca se puede saber de dónde o de quién viene”.

Creo que Orbot es una de las formas más segura de usar Internet en Android y puede usarse en sistemas Windows, Linux y OS X, a través de un navegador pre-configurado y portable, el browser bundle.

Para los geeeks del ciberespacio, los security gays, sean black hats, white hats, grey hats o simples internautas, es una opción mas que recomendada para navegar de alguna forma mas seguros.

Descarga:

Play Store de Android :: Orbot
Descarga Directa :: Orbot.apk
Website Oficial :: https://guardianproject.info/apps/orbot/

Hasta la próxima.