Categoría : Seguridad Informática

Inicio/Archivo por Categoría Seguridad Informática (Page 4)

Un nuevo ataque utiliza la ingeniería social para que se instalen programas maliciosos

El Instituto Nacional de Ciberseguridad de España (INCIBE) ha alertado de un nuevo tipo de ataque informático que utiliza la ingeniería social para que el usuario instale en su ordenador programas maliciosos mediante el envío de una supuesta factura. “Estimado cliente, 181735839025_0001.PDF. Si tuviera algún problema la hora de imprimir el fichero pdf, emplee la opción de imprimirlo como imagen. Le informamos que cumpliendo con la normativa mercantil, tributaria y de tratamiento electrónico de datos, han sido firmados electrónicamente con nuestro Certificado Digital dándole una garantía absoluta. Atentamente”.

Si el usuario ha recibido un correo de estas características y ha descargado y ejecutado el fichero, es posible que el ordenador se haya infectado con un malware. Es importante analizarlo con un antivirus para comprobar si está infectado y de ser así, poder desinfectarlo lo antes posible para evitar problemas de seguridad, recuerda el INCIBE.

La ingeniería social es utilizada por los delincuentes para intentar engañarnos de muchas formas diferentes con el objetivo de acceder a información privada, infectar el ordenador con algún tipo de malware o robar datos bancarios. Se han recibido más de 1.000 correos fraudulentos, cuyo propósito es infectar con malware los ordenadores de los usuarios que caigan en la trampa de descargar el adjunto y tratar de abrirlo con un doble clic.

Fuente: Muy Seguridad

Backbox Linux 4.5 incluye nuevas herramientas para realizar auditorías de seguridad

BackBox Linux es una distribución basada en Ubuntu que ha sido desarrollada especialmente para analizar la seguridad de una red o de un sistema informático mediante pruebas de pentesting. Este sistema operativo se caracteriza por ser rápido y fácil de usar, incluyendo por defecto un completo entorno de escritorio ligero y práctico, a la vez que un conjunto de herramientas, siempre actualizadas, con las que poder llevar a cabo las evaluaciones de seguridad.

Esta distribución necesita un procesador de 32 o 64 bits para funcionar, así como al menos 512 MB de memoria RAM y una gráfica compatible con resolución 800×600. También debemos tener en cuenta un espacio de almacenamiento mínimo de 6 GB si vamos a instalarla en el sistema. La ISO de instalación podemos grabarla tanto a un DVD como a un USB de, al menos 2 GB.

Con el fin de poder seguir creciendo y mejorando frente a la competencia, los responsables de BackBox han liberado una nueva versión, la 4.5, donde se mejora, a grandes rasgos, tanto la velocidad como la compatibilidad y variedad de aplicaciones incluidas en este sistema operativo para auditorías.

Las principales novedades que se han incluido en el nuevo BackBox 4.5 son:

  • Nuevo Kernel Linux 4.2.
  • Mejoras internas en el sistema para mejorar la velocidad y estabilidad.
  • Solución de diferentes bugs del sistema y algunas aplicaciones.
  • Mejoras en el modo anónimo.
  • Se empieza a implementar la integración la nube de BackBox Cloud.
  • Se han actualizado todas las herramientas de hacking y añadido otras nuevas para ofrecer una suite lo más completa posible.

BackBox Linux 4.5

Cómo descargar esta nueva versión o actualizar desde una versión anterior de BackBox

Podemos descargar una imagen ISO de esta distribución de forma totalmente gratuita desde su página web principal.

En caso de que ya seamos usuarios de este sistema y queramos actualizarlo para poder empezar a utilizar sus principales características, simplemente debemos abrir un terminal y ejecutar en él los siguientes comandos:

1 sudo apt-get update
2 sudo apt-get dist-upgrade
3 sudo apt-get install -f

En el caso de utilizar un sistema de 64 bits, ejecutaremos también:

1 sudo apt-get install apt-get install linux-headers-generic-lts-wily linux-image-generic-lts-wily linux-signed-generic-lts-wily linux-signed-image-generic-lts-wily

Y en el caso de utilizar un sistema de 32 bits:

1 sudo apt-get install apt-get install linux-headers-generic-lts-wily linux-image-generic-lts-wily linux-signed-generic-lts-wily linux-signed-image-generic-lts-wily

Para finalizar, haremos una limpieza de los paquetes no necesarios y actualizaremos todos los demás:

1 sudo apt-get purge ri1.9.1 ruby1.9.1 ruby1.9.3 bundler
2 sudo gem cleanup
3 sudo rm -rf /var/lib/gems/1.*
4 sudo apt-get install backbox-default-settings backbox-desktop backbox-menu backbox-tools --reinstall
5 sudo apt-get install beef-project metasploit-framework whatweb wpscan setoolkit --reinstall
6 sudo apt-get autoremove --purge
7 sudo apt-get install openvas sqlite3
8 sudo openvas-launch sync
9 sudo openvas-launch start
10 sudo update-rc.d apache2 disable
11 sudo update-rc.d polipo disable
12 sudo update-rc.d openvas-gsa disable
13 sudo update-rc.d openvas-manager disable
14 sudo update-rc.d openvas-scanner disable

Fuente: Redes Zone

Detectan dos vulnerabilidades críticas los productos cisco

Actualmente es normal leer cada poco tiempo sobre vulnerabilidades y fallos de seguridad que se encuentran en todo tipo de software y que pueden permitir a piratas informáticos tomar el control de un sistema informático o de los datos almacenados en este. Según el tipo de vulnerabilidad, el producto al que afecte y la facilidad de explotarlo las vulnerabilidades pueden ser de peligrosidad baja o crítica aunque, si queremos evitar caer en manos de los piratas informáticos es imprescindible mantener el software, tanto de nuestro PC como de nuestros dispositivos de networking, actualizado a las versiones más recientes.

Cisco es uno de los principales fabricantes de dispositivos de red de todo el mundo. Un gran número de redes dependen de sus productos y de la seguridad de los mismos, por lo que es importante que la compañía mantenga el software de sus productos libre de vulnerabilidades que pueda permitir a los piratas informáticos hacerse con el control de los mismos.

Recientemente, la compañía publicaba dos alertas de seguridad críticas, de máxima prioridad, en las que informaba de dos fallos de seguridad en sus productos que podían permitir a los atacantes tomar el control de los dispositivos y de todo el tráfico que pasara por ellos. Los dos fallos fueron registrados a finales de 2015, aunque no ha sido hasta ahora cuando se han hecho públicos.

El primero de los fallos, denominado como CVE-2015-6412, afecta a todos los productos Cisco Modular Encoding Platform D9036 que utilicen una versión de software anterior a la 02.04.70. El fallo de seguridad reside en la existencia de una cuenta de root estática (no se puede borrar ni modificar la contraseña) que se crea por defecto y que puede permitir a un atacante conectarse a ella a través de SSH. También existe una cuenta de invitado estática, “guest”, aunque esta tiene los permisos limitados.

El fallo de las cuentas por defecto de contraseñas estáticas es un fallo que lleva persiguiendo a la compañía durante más de 10 años y que, probablemente, aún de mucho de qué hablar. Hace menos de una semana la compañía actualizaba varios productos por un fallo similar a este, aunque no son los únicos afectados.

El segundo de los fallos, denominado como CVE-2015-6435, se encuentra presente en uno de los scripts CGI de Cisco Unified Computing System (UCS) Manager y en varios de los Cisco Firepower 9000. Este fallo de seguridad se genera debido a que la llamada al script CGI no está protegida y puede permitir a un pirata informático atacar de forma remota un sistema afectado y ejecutar comandos en él sin ni siquiera autenticarse en el dispositivo simplemente generando peticiones HTTP específicas.

Cisco Modular Encoding Platform D9036

Cisco ha liberado los correspondientes parches para solucionar las vulnerabilidades

La única forma de protegerse de estos dos fallos de seguridad es mantener los sistemas actualizados a las versiones más recientes, por ello, Cisco ya ha liberado los correspondientes parches de seguridad para sus productos.

Todos los usuarios que utilicen alguno de estos productos afectados pueden descargar una nueva versión del software desde el centro de software de la compañía:

  • Cisco Modular Encoding Platform D9036 versión 02.04.70
  • Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
  • Cisco Firepower 9000 Series 1.1.2

En el caso de la primera vulnerabilidad, a partir de ahora es posible modificar la contraseña de las cuentas creadas por defecto utilizando los comandos set-root-password y set-guest-password.

Si tenemos otro producto de Cisco, aunque no sea uno de los afectados, también debemos asegurarnos de tener la última versión del software instalada para evitar posibles problemas que nos podamos encontrar.

Fuente: Redes Zone

2^74.207.281-1: Descubren el número primo más largo de la historia, algo clave en el mundo de la informática.

Los matemáticos lo buscaban hacía tiempo, pero fue una computadora la que finalmente obtuvo el resultado.

Un ordenador de la Universidad del Centro de Misuri, en EE.UU., descubrió el número primo más largo (hasta hoy), y eso es mucho decir: tiene más de 22 millones de dígitos (muy difícil de leer, claro) y es cinco millones de veces más extenso que el hallado anteriormente. Los números primos son muy particulares: descubiertos por Euclides en 300 a.C., sólo pueden dividirse por sí mismos o por 1. Por ejemplo: 2, 3, 5 y 7. La lista es infinita.

EuclidesLos números primos fueron descubiertos por Euclides.

Y el descubrimiento hecho en Missouri es crucial para el mundo de la informática: una cifra así –tan larga, compleja e irregular– puede ser clave para encriptar computadoras y proteger datos personales y financieros.

Los expertos consideran que los números primos largos son muy importantes para el futuro de la computación.

Reto sin fin

La nueva cifra fue hallada como parte de la iniciativa Great Internet Mersenne Prime Search (Gimps), una búsqueda de alcance mundial para encontrar un tipo particular de números primos largos.

Se trata de los primos de Mersenne, los cuales deben su nombre a un monje francés que los estudió en el siglo XVII.

Son aquellos que surgen de la siguiente ecuación: N=2n-1, en la que N y n son ambos números primos. Es un cálculo relativamente fácil para las computadoras que existen hoy en día, pero no siempre da como resultado un primo de Mersenne.

Número primoEl primo más largo tiene 22.338.618 dígitos.

De hecho, estos números son extremadamente raros. Hasta el momento –incluyendo el recién descubierto– sólo se conocen 49.

El nuevo primo se escribe así: 2^74.207.281-1. Esto quiere decir: 2 multiplicado por sí mismo 74.207.281 millones de veces, menos 1.

En los últimos 20 años, el proyecto Gimps ha calculado los 15 números primos más largos que se conocen. Y las posibilidades de seguir hallando más parecen ilimitadas.

¿Para qué se usan los grandes primos?

Estas cifras son fundamentales para servicios online como banca, compras y mensajes privados. Actualmente, la encriptación usa números primos de cientos de dígitos, no de millones.

“Por el momento, la nueva cifra no tiene un valor práctico, pero seguramente lo tendrá en el futuro”, dice un comunicado del proyecto Gimps.

El 2^74.207.281-1 fue hallado por el doctor Curtis Cooper, de la Universidad del Centro de Missouri.

Si bien una computadora hizo la mayor parte del trabajo, en general se considera que un número primo ha sido descubierto cuando un ser humano toma nota de él.

Fuente: BBC

Hot Potato, un ataque de escalada de privilegios que amenaza a Windows

Aunque tengamos nuestro sistema operativo actualizado con los boletines de seguridad más recientes, eso no significa que nuestro sistema operativo esté totalmente protegido. Windows, por ejemplo, cuenta con una serie de vulnerabilidades conocidas que llevan años afectando al sistema operativo y que no pueden ser solucionadas por Microsoft debido a que, de hacerlo, podrían ocurrir problemas de compatibilidad con protocolos y aplicaciones antiguas. Hot Potato es un nuevo exploit que se aprovecha de estas vulnerabilidades para ganar privilegios dentro de un sistema remoto y ejecutar aplicaciones y comandos en él.

Aunque este fallo de seguridad es un peligro para todos (por ejemplo, un usuario doméstico podría tomar el control del sistema de forma relativamente sencilla incluso teniendo permisos de usuario limitado), donde mayor es su peligro es en entornos corporativos, donde la mayoría de las empresas dependen de los privilegios de las cuentas de Windows para proteger su red corporativa, algo que no debería ser así.

La mayoría de los fallos utilizados en este exploit tienen varios años de antigüedad y son perfectamente conocidos por Microsoft, sin embargo, la compañía no puede solucionarlos ya que, de hacerlo, el sistema operativo y la red perderían compatibilidad con servicios, aplicaciones y protocolos antiguos, algo que no se puede permitir.

Hot Potato, cómo explotar esta vulnerabilidad

El exploit que permite la escalada de privilegios se divide en 3 partes, y cada una de ellas hace uso de un ataque informático bien conocido que llega atormentando a Microsoft durante años:

Parte 1: Suplantación del servidor NBNS

NBNS es un protocolo UDP utilizado para la resolución de nombres de uso común en entornos Windows. Este protocolo se utiliza cuando se intenta acceder a una IP o dominio que no existe ni en el archivo hosts ni en los servidores DNS y simplemente se basa en preguntar a todos los equipos de la red “¿quién es xxx.xxx.xxx.xxx?” y esperar respuesta.

Lo primero que debemos hacer es crear paquetes falsos NBNS para inundar el equipo de destino, o víctima, con falsas solicitudes de manera que no pueda resolver el nombre.

Parte 2: Falso servidor proxy WPAD

Mediante la configuración de un falso servidor WPAD conseguiremos que todo el tráfico se reenvíe a través de nuestro ordenador, pudiendo tomar el control de todos los paquetes que se generan en el sistema de destino. Este cambio, aunque se realice con una cuenta de usuario limitada, afecta por igual a todos los usuarios, incluidos los administradores.

Parte 3: HTTP -> SMB NTLM Relay

Una vez que todo el tráfico ya se reenvía a través del equipo que controlamos, ya podemos empezar a realizar peticiones al equipo de origen con el correspondiente exploit. Este exploit se encarga de redirigir cada una de las solicitudes hasta que, finalmente, se consiguen los paquetes necesarios para la autenticación.

Con ellos, se crea un nuevo servicio en el sistema remoto con permisos “NT AUTHORITY\SYSTEM”, el cual utilizaremos para ejecutar aplicaciones y procesos con permisos totales.

Hot Potato - Exploit para Windows

Lo único que nos queda es ejecutar el exploit. Hot Potato afecta a Windows 7, Windows 8.1, Windows 10 y las versiones Server. Este exploit funciona de forma diferente según el sistema operativo que estemos utilizando. Por ejemplo:

  • En Windows 7 basta con ejecutar el exploit con el comando Potato.exe -ip <local ip> -cmd <command to run> -disable_exhaust true

  • En Windows Server 2008, el comando a ejecutar será: Potato.exe -ip <local ip> -cmd <command to run> -disable_exhaust true -disable_defender true –spoof_host WPAD.EMC.LOCAL

  • En Windows 8.1, 10 y Server 2012 el comando a ejecutar es: Potato.exe -ip <local ip> -cmd <cmd to run> -disable_exhaust true -disable_defender true

Por el momento estos ataques están limitados a equipos dentro de una red local, sin embargo, los expertos de seguridad responsables del exploit aseguran estar dando los primeros pasos para atacar otros ordenadores a través de Internet.

Explotación y mitigación de Hot Potato en Windows

Los usuarios interesados en probar esta sencilla vulnerabilidad que permite a cualquier usuario no autorizado conseguir los máximos privilegios sobre el sistema pueden hacerlo descargando todo lo necesario desde GitHub.

Aunque hace poco tiempo Microsoft solucionó un fallo similar en su sistema operativo, Hot Potato vuelve a llamar a sus puertas. A falta de un nuevo parche que bloquee este problema de seguridad, los expertos recomiendan activar la opción “Extended Protection for Authentication” y al uso de NTLMv2 y/o Kerberos en Windows para detener, mitigar y bloquear los ataques de relay NTLM.

Fuente: Redes Zone

El nuevo Antivirus Gratuito de Kaspersky

Los productos de seguridad se dividen en dos: los de pago y los gratuitos. Que un antivirus o un firewall sea gratuito no quiere decir que su calidad sea inferior ni que vayamos a estar comprometidos frente a nuevas amenazas, eso a fin de cuentas depende de la compañía que mantenga y actualice las firmas de virus. Aunque los antivirus gratuitos más conocidos son Avast, Avira y AVG, recientemente la empresa de seguridad rusa Kaspersky ha querido abrirse hueco en este mercado lanzando un nuevo antivirus gratuito para todos los usuarios.

Por lo general, la principal diferencia entre los antivirus gratuitos y los de pago son las capaz de protección adicionales. Un antivirus gratuito no tiene ningún coste y utiliza las mismas bases de datos y el mismo motor que la versión comercial, sin embargo, no cuenta con Firewall, con controles parentales ni con otras medidas de seguridad útiles en muchas ocasiones. Sin embargo, hay usuarios que no necesitan hacer uso de estas características, por lo que un simple motor AV fiable y gratuito es más que suficiente para ellos.

Kaspersky es una de las firmas que mejores resultados obtiene en los tests de Av-Test, aunque, como hemos dicho, sus productos eran únicamente comerciales. Los tiempos cambian, y las empresas deben adaptarse a ellos, por lo que la compañía ha lanzado el nuevo Kaspersky Free Antivirus con el que entrar en este mercado, cada vez más grande y fiable.

Limitaciones de Kaspersky Free Antivirus

Obviamente, Kaspersky Free Antivirus es un software limitado en funciones respecto a otras versiones superiores de pago como Internet Security, sin embargo, este software de seguridad cuenta con las mismas características que cualquier otro antivirus gratuito del mercado. Por ejemplo, este antivirus nos protege del malware en tiempo real y de los sitios web maliciosos, sin embargo, carece de funciones adicionales como firewall, control parental, protección de los pagos online y protección de dispositivos móviles.

Los usuarios interesados en utilizar este nuevo antivirus gratuito pueden descargarlo desde su página web principal, en ruso. Ni en la página web inglesa, ni en cualquier otro idioma, podemos encontrar de momento este software de seguridad.

El principal inconveniente de este antivirus, tal como nos teníamos cuando lo descargamos, es que está completamente en ruso y es imposible cambiarlo de idioma. Si no sabemos ruso es muy probable que el uso del antivirus sea bastante complicado y merezca la pena esperar al lanzamiento en otros idiomas, aunque si queremos utilizarlo por encima de todo podemos utilizar la traducción en tiempo real de Google Translate que nos ayudará, un poco, a entender qué significa cada una de las entradas del software de seguridad.

Kaspersky Free Antivirus en ruso

Al ser una versión enfocada al público ruso es posible encontrar problemas para activar el programa, aunque pueden solucionarse fácilmente estableciendo una conexión VPN con un servidor de Rusia. La firma de seguridad ha confirmado que tiene planes de llevar este antivirus a otros países, aunque por el momento no se conocen fechas para ello.

Al igual que Kaspersky, otras empresas de seguridad hasta ahora comerciales como Bitdefender y Sophos (esta última esta misma semana) están publicando versiones gratuitas y limitadas de sus propias herramientas de seguridad para permitir a los usuarios probar sus productos, comprobar su eficacia y, si interesa, comprar la versión de pago con las características adicionales.

Fuente: Redes Zone

Spymel, un troyano no detectado por antivirus gracias a certificados robados

El robo de certificados digitales es algo bastante habitual a lo que deben enfrentarse las compañías propietarias y los usuarios. Os preguntaréis que porqué nosotros también nos vemos afectados. La respuesta es muy sencilla: los ciberdelincuentes utilizan estos para firmar malware. Un ejemplo de esta práctica es el troyano Spymel, detectado hace unos días y que afecta a equipos Windows.

Los expertos en seguridad de la empresa Zscaler han sido los encargados de dar la voz de alarma y alertar sobre la presencia de esta amenaza que en principio se está distribuyendo haciendo uso de correos electrónicos spam y páginas web que han sido hackeadas, utilizando estas para redirigir la navegación de los usuarios al contenido malware.

Los propietarios de la amenaza han pensado en todo y en primer lugar lo que el usuario descarga no es nada más y nada menos que un archivo JavaScript que se encarga de verificar el grado de seguridad que existe en el equipo para posteriormente llevar a cabo la descarga del archivo .NET que en esta ocasión sí es el instalador de la amenaza.

Teniendo en cuenta que las herramientas de seguridad y sistemas operativos se basan en listas negras de certificados y bloquean la instalación de aquellos que no están firmados, los ciberdelincuentes se han valido de algunos que han sido sustraídos para firmar el troyano y así pasar desapercibido.

Los expertos de Zscaler creen que aunque ahora es cuando más se está haciendo notar, las primeras infecciones aparecieron el pasado mes de diciembre y no llegaron a una docena.

Spymel posee un servidor de control y puede funcionar como puente para la llegada de más programas no deseados

Los expertos han detallado que el malware posee un módulo que impide que el usuario sea capaz de matar el proceso que se encuentra en segundo plano en el sistema y que evita que se lleve a cabo la desinstalación del mismo. Incluso están barajando la hipótesis de que la amenaza copia parte de su código en otros procesos legítimos y así iniciarse de nuevo sin que el usuario sea capaz de encontrar el motivo.

A todo esto hay que añadir que posee un servidor de control alojado en la dirección 213.136.92.111 y el puerto TCP 1216. Por lo tanto, si no sabéis si estáis afectados y en vuestro firewall veis esta conexión activa lo mejor es proceder a su bloqueo.

El contacto con el servidor no solo sirve para actualizar y recibir nuevas funcionalidades, sino que han detectado que el troyano es capaz de servir como puente para la llegada de más aplicaciones no deseadas por el usuario, por lo que es probable que si estamos infectados no solo sea este el problema y sea necesario hacer frente a adware, ransomware o incluso otros troyanos.

Fuentes: Redes Zone