Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática (Page 14)

La forma más sencilla de cifrar mensajes: esta extensión de Chrome

¿Eres de los que siente que la privacidad en Internet no existe? Entonces ShadowCrypt es para ti. Una extensión de Chrome desarrollada por investigadores en la universidades de Berkeley y Maryland, en Estados Unidos, que permite que los usuarios puedan enviar mensajes cifrados a través de sitios como Gmail, Facebook, Reddit y Twitter.

Al instalarla, es compatible con más de 14 páginas web diferentes. Se pueden generar diferentes claves de cifrado para cada uno. La persona que recibe el mensaje podrá verlo solo si tiene la extensión instalada y cuenta con la clave, de lo contrario, ni el operador del sitio podrá verlo. En el vídeo abajo podrás ver cómo funciona.

El proyecto está aún en etapa de investigación y desarrollo, pero ya puedes instalar la extensión desde la Chrome Web Store aquí. Es importante mencionar que aún tiene algunos puntos a mejorar. Al cifrar un tweet, por ejemplo, el espacio para el mensaje se reduce a 45 caracteres. El resto del espacio lo ocupa el código de encriptación.

Sin embargo, ShadowCrypt es una muestra de lo que todos los sitios de comunicación deberían estar haciendo para resguardar los datos de sus clientes. De lo contrario, seguiremos viendo casos de fallos de seguridad de aplicaciones y otros servicios que, supuestamente, protegen la información de sus usuarios. [vía Technology Review]

Imagen: Maksim Kabakou / Shutterstock

Visto en: Gizmodo

Los USB tienen una vulnerabilidad muy peligrosa y casi invisible

Ya se conocía lo sencillo que podía ser contaminar una unidad de almacenamiento que se conecte a través de puertos USB a los ordenadores. Pero ahora han encontrado que cualquier dispositivo con USB, bien sea un ratón o un teclado puede ser utilizado por los hackers para acceder a los ordenadores personales con ataques que pueden evadir todo tipo de protecciones de seguridad conocidas.

Esto es lo que ha desvelado Karsten Nohl, investigador de SR Labs, una firma de seguridad de Berlín. Nohl apuntó que los hackers pueden cargar software malicioso en los firmware de los USB a través de pequeños chips que vienen en los dispositivos con USB. Lo peor de este es que no se detecta porque a ese nivel no hay escudos de protección.

«No puedes saber de dónde ha venido el virus. Es casi como un truco de magia», ha dicho dijo Nohl. Este hallazgo demuestra que los errores de software de estos pequeños componentes, invisibles para el usuario promedio, son extremadamente peligrosos si los cibercriminales logran cómo explotarlas.

Nohl ha realizado ataques escribiendo códigos maliciosos en los chips de control de USB unidades de memorias y de smartphones. Una vez que se conecta el dispositivo al ordenador, el software «malvado» puede registrar las pulsaciones del teclado, espiar comunicaciones y eliminar datos.

El investigador, que describirá todo el proceso de hallazgo y ataque en su conferencia en el Black Hat de las Vegas la semana próxima, apunta que los equipos no detectan estos virus porque los antivirus están diseñados sólo para analizar malware escrito en memoria y no en el firmware que controla el funcionamiento de estos dispositivos.

Nohl ha dicho que no estaría sorprendido si las agencias de inteligencia como la Agencia de seguridad nacional (NSA) ya hayan averiguado cómo lanzar ataques utilizando esta técnica. El investigador ha podido en sus pruebas tener acceso remoto a un ordenador, cambiar la configuración DNS de la red, y eneseñar a la máquina a enrutar el tráfico de internet a través de servidores de internet maliciosos. Una vez que el ordenador se infecta puede ser utilizado para infectar todo los dispositivos USB que se conecten a ese equipo.

El hacker que hackeó el iPhone y la PlayStation 3, es contratado por Google

George Hotz, más conocido como Geohot, es bastante conocido por haber sido el primero en desbloquear el iPhone, además de por hackear la PlayStation 3, tras lo cual se enfrentó en una pelea legal con Sony. Esta pelea terminó con un compromiso por parte de Geohot para no vulnerar más productos de la empresa.

Ahora este hacker tiene 24 años, además de un futuro prometedor, ya que ahora forma parte de Google como integrante del Project Zero, un grupo de expertos en seguridad del que comentaré mas adelante a detalle. Este grupo se encarga de buscar vulnerabilidades en software.

Project Zero nació con la idea de detectar bugs como “Zero-Day”, los cuales son aprovechadas por criminales y agencias de seguridad. El hackeo del iPhone o de la PS3 no fueron las únicas cosas que le dieron a Hotz la entrada a Google. Hotz ya encontró algún bug de Chrome y lo hizo público a principios de año.

Por aquella ya ganó una recompensa de 150.000 dólares. Ahora Geohot se une a un grupo de expertos que en el pasado han encontrado bugs en Flash, Office, iOS, OS X y más, todos ellos son liderados por el ingeniero de seguridad, Chris Evans. En principio Project Zero no solo va a buscar bugs en software de Google.

Los fallos los van a buscar en todo tipo de software. En el momento que se encuentren con un bug, estos informarán a la compañía responsable del software para después otorgarle un periodo de entre 60 y 90 días para corregir ese error. Este plazo podría reducirse a una semana si el fallo ya está siendo explotado. Si la compañía no hace nada para solucionarlo, Google hará público el bug en su blog.

El software de Google en gran medida depende de terceros, por lo que esta es una razón de peso para que Project Zero haga su trabajo. Flash es uno de los plugins más inseguros y viene integrado en Chrome, por lo que seguro que tendrán un ojo puesto sobre el.

Via:  BBC  |  Mikerod

Nueva vulnerabilidad en Whatsapp permite suplantar la identidad del remitente

Gracias a este tipo de noticias es que cada vez me alegro mas de haber migrado a Telegram y poco a poco ir dejando la red de Whatsapp.

Hoy WhatsApp volvió a ser el centro de atención en materia de seguridad por una nueva vulnerabilidad que ha sido descubierta por dos hackers españoles y que permite al atacante suplantar la identidad del remitente del mensaje. Pese a todo, dijeron que es un fallo complicado de utilizar y no está al alcance del usuario medio, lo que tampoco me deja tranuilo ya que la comunidad internacional de seguridad es bastante amplia y alberga tanto a White Hats como Black Hats.

Jaime Sánchez y Pablo San Emeterio son 2 conocidos hackers españoles especializados en la búsqueda de vulnerabilidades en diferentes aplicaciones donde su último descubrimiento tiene que ver con el servicio de mensajería más utilizado del mundo, WhatsApp.

Estos dos hackers han detectado un fallo muy importante en la conocida aplicación de mensajes ahora en manos de Facebook por la que un atacante puede modificar el remitente de un determinado mensaje de WhatsApp para simular que es otra persona la que nos envía un mensaje, por ejemplo un amigo, y hacernos caer así en alguna trampa mediante el envío de un link o de un archivo que contenga software malicioso. Además, la posibilidad de modificar el remitente sin dejar rastro puede tener otras consecuencias en diferentes ámbitos, como por ejemplo si se aportan los mensajes como prueba en demandas de divorcio, acoso, calumnias, etc.

O en un caso mas serio, se podría presentar una denuncia por amenazas ofreciendo como prueba falsos mensajes de alguien a cuyo teléfono ni siquiera se ha tenido acceso físico. Basta con saber el número de la victima. El teléfono que se hackea es el receptor del mensaje, que hace ver que han llegado mensajes de números que jamás enviaron nada.

Desde ya que mas allá de llevarle una broma a alguien, las implicancias jurídicas de este tipo de acciones serían las mas fuertes ya que los jueces ni siquiera podrían aceptar como evidencia o prueba admisible este tipo de mensajes electrónicos en un proceso judicial ya que existe la forma de demostrar que los mensajes pudieron haber sido plantados a propósito por un tercero para implicar al imputado y así plantear la duda razonable y ganar el juicio.

Cito a continuación algo que comento un buen amigo de la FIADI cuando lo entrevistaron en España y me gustó lo que dijo ya que es algo que lo comento siempre con mis estudiantes del Diplomado de Delitos Informáticos e Informática Forense, “La justicia no está preparada, no existe a día de hoy la figura de un Juez 2.0”, (Cuando entrevistaron a Federico Bueno de Mata, profesor de Derecho Procesal de la Universidad de Salamanca y premio extraordinario de tesis sobre la prueba electrónica).

Bueno ya estaremos viendo que sorpresas más nos depara esta tan usada aplicación Whatsapp. De momento y para que lo vayan pensando o para los que estén indecisos les presento algunas razones de porque deberían mudarse a Telegram.

whatsapp-vs-telegram

Hexorbase Excelente herramienta de auditoria y administración de múltiples bases de datos

HexorBase es una aplicación de base de datos diseñada para la administración y la auditoria de varios servidores de bases de datos de forma simultánea desde una ubicación centralizada, es capaz de realizar consultas SQL y ataques de fuerza bruta contra servidores de bases de datos (MySQL, SQLite, Microsoft SQL Server, Oracle y PostgreSQL).

Esta poderosa herramienta permite enrutamiento de paquetes a través de proxies e incluso permite pivotear a través de Metasploit para comunicarse con servidores de forma remota que están ocultos dentro de las subredes locales. Sin duda alguna una muy buena opción a la hora de realizar un Pentesting.

HexorBase01

HexorBase ya viene instalada en Kali Linux pero si deseas hacer tu propia instalación en el sistema operativo de tu preferencia, trabaja muy bien en Linux como en Windows bajo los siguientes requisitos:

  • python
  • python-qt4
  • cx_Oracle
  • python-mysqldb
  • python-psycopg2
  • python-pymssql
  • python-qscintilla2

Para instalarla solo hay que descargarse el .deb desde:

https://code.google.com/p/hexorbase/downloads/list

Y ejecutar:

root@host:~# dpkg -i hexorbase_1.0_all.deb

HexorBase03

Cualquier consulta pueden dejar sus comentarios.

Dyreza, el nuevo troyano bancario capaz de saltarse SSL

Un nuevo troyano bancario, al que se denominó Dyreza o Dyre, tiene la capacidad de saltear el protocolo SSL para simular conexiones seguras en sitios de entidades financieras. Su código está diseñado para que funcione de manera similar a Zeus, la conocida botnet diseñada para robar de información bancaria, y al igual que otras amenazas similares, utiliza una técnica conocida como browser hooking para interceptar el tráfico entre la máquina de la víctima y el sitioweb de destino. Puede hacer esto en Internet Explorer, Google Chrome y Mozilla Firefox.

Se propaga a través de campañas de spam, en mails con asuntos como “Su ID de pago FED TAX [número aleatorio]” y “RE: Recibo #[número aleatorio]“, según la publicación de Peter Kruse, Partner & Security Specialist de CSIS, la compañía responsable del hallazgo.

El mensaje lleva adjunto un archivo zip, que descarga el malware detectado por ESET comoWin32/Battdil.B al equipo infectado y se conecta al C&C. Básicamente, cuando está infectado, el usuario piensa que está ingresando sus credenciales en el sitio legítimo de su banco utilizando el protocolo SSL, pero Dyreza redirige el tráfico a sus propios servidores. Para hacerlo, utiliza un ataque Man In The Middle que le permite interceptar el tráfico no cifrado y ver todos los datos que se envían.

dyreza-unpacked

Tal como explica el sitio Redes Zone, una vez que el troyano ha ha sido instalado, se coloca entre uno de los procesos que deben ser ejecutados en el inicio del sistema operativo. Lo primero que trata de hacer es establecer una serie de conexiones con unas ubicaciones que han sido localizadas en Lituania y Estonia. Una vez que estas se han establecido, se mantiene a la espera de que exista tráfico web en el navegador del equipo.

Al parecer, los atacantes detrás de Dyreza han creado una infraestructura para transferir el dinero desde las cuentas de las víctimas una vez que sus credenciales fueron robadas. Según Kruse, CSIS localizó algunos de los servidores C&C de la amenaza, y descubrió una red de “mulas” con cuentas en Riga, Latvia. Se trata de gente que accede a almacenar fondos robados por un corto período de tiempo en sus propias cuentas, para luego transferirlos a otro lado.

El mes pasado había aparecido Zberp, otro troyano diseñado para robar información bancaria, que combinaba los códigos fuente de Zeus y Carberp. Esto nos da un indicio de cómo los cibercriminales siguen perfeccionando sus ataques buscando maneras de obtener rédito económico.Kruse plantea una duda: los responsables de Dyreza, ¿lo utilizan para beneficio propio o están “alquilándolo” para que ayude a perpetrar otras campañas, tal como sucedió con Zeus?

Autor Sabrina Pagnotta, ESET

DragonJAR Security Conference 2014

Desde ya hace unas semanas que tengo este post en el tintero y por diversas razones del trabajo, reuniones, idas y venidas que no he podido sacarlo pero lo posteo ahora antes que se me venza el tiempo.

Dragonjarcon

El próximo 5 de mayo dará inicio uno de los eventos más esperados en Colombia sobre Seguridad Informática, Hacking y demás ramas afienes.

El DragonJAR Security Conference si bien es la primera vez que se realiza bajo este nombre ya tiene su historia desde el 2012 cuando fuí invitado por Jaime Andrés Restrepo y Jhon Cesar Arango al ACK Security Conference en la hermosa ciudad de Manizales, donde como dice Lorenzo Martínez, fue le-gen-da-rio ya que pasamos momentos increibles, coincidió justo con mi #cumpleaños 😀  y dio inicio a un excelente grupo de amigos y profesionales de la seguridad, el #Securityroom donde a la fecha este grupo sigue conectado y creciendo con nuevos colegas.

Este año a la cabeza de Jaime Andrés Restrepo y la comunidad DragonJAR, se llevará a cabo el esperado DragonJAR Security Conference 2014 con la participación de expositores internacionales y nacionales que seguro harán gala de sus conocimientos.

Como siempre el evento estará dividido en talleres y conferencias donde la gente que desee tomar los talleres lo podrá hacer del 5 al 7 de mayo y quienes deseen asistir a las conferencias del 8 al 10 de mayo.

La lista de conferencias a la fecha y entre las cuales es bueno ver a un coterraneo boliviano, son las siguientes:

  • Mente Criminal entre la Sociedad – Camilo Galdos
  • CSRF: El “Nuevo” Target – Juan David Castro
  • Ingeniería “en ganar” – Oscar Leonardo Banchiero
  • IPv6 ¿Ventaja o Amenaza? – Jhon Cesar Arango
  • Reporting Vulnerabilities. A personal experience – Marc Rivero
  • Seguridad en SAP no es Solo SOD – Efrén A. Sanchez
  • Sostenibilidad de la Seguridad en el Espacio – Freddy Gray
  • Charla Internacional – Nelson Boris Murillo
  • Huellas en la memoria para analisis de malware – Mateo Martinez
  • Un interruptor de seguridad para tu vida digital – Leonador Huertas
  • Banca Movil un Análisis de Seguridad – Nelson Boris Murillo
  • DEEP Trace – Juan Jacobo Tibaquira
  • Behind the Bitcoin – Carlos Mesa
  • Survillance States, Colombian Chapter – Andrés Gómez
  • “Ya están aquí!!”, fisical hacking – Victoria Perez
  • Tomando el Control de Android – Cristian Amicelli
  • Seguridad en Grid Computing, el caso del CERN – Andrés Gómez
  • De la web al volante, peligro constante – Jaime Restrepo
  • Ecrime Team, What, Why, and How – Marc Rivero
  • Pentesting con Pengowin – Oscar Leonardo Bancheiro
  • Exploiting Browser’s DOM – Camilo Galdos
  • Clientes Bancarios al Descubierto… y a la mano – Freddy Gray
  • Charla Internacional — Matias Nahuel Heredia
  • RSA hasta donde es seguro ¿Estamos frente al fin de los tiempos de este algoritmo? – Cristian Amicelli
  • Hack To Live, Live To Hack – Carlos Mario Penagos

Desde ya estoy seguro que el evento saldrá a toda madre y que como siempre saldrán muy buenas anécdotas del congreso. Desde Panamá un fuerte abrazo y mis mejores deseos para el evento porque si algo sabemos los que organizamos este tipo de congresos cada año, es de lo inmensamente complicado que es llevar acabo proyectos de tal envergadura.

Espero liberarme para esa fecha del trabajo y darme una escapadita por allá para ver a los amigos y colegas del #securityroom nuevamente.