Categoría : Sistemas Operativos

Inicio/Archivo por Categoría Sistemas Operativos (Page 2)

Appie: Entorno portable para pentesting de Android

Appie es un paquete de software que ha sido preconfigurado para funcionar en cualquier Windows como un entorno de pentesting de Android de tal forma que ya no necesitaremos usar una máquina virtual o tener un arranque dual. Es decir, tendremos todas las herramientas necesarias funcionando sin necesidad de hacer cambios en nuestro sistema y necesitaremos unos 1,5 gigas en lugar de los 10 aprox. de una VM, además de menos memoria RAM.

Es totalmente portátil y se puede llevar en una memoria USB o smartphone y, en definitiva, se trata de una respuesta única para todas las herramientas necesarias para la evaluación de seguridad de las aplicaciones y análisis forense y de malware en Android.

Estas son las herramientas que se incluyen en la última versión 3:

Tiene instalado también Java Runtime Environment (JRE) y Python, para ejecutar Appie incluso en instalaciones nuevas de Windows. Mozilla Firefox con algunos addons de seguridad. Casi todos los comandos UNIX como ls, cat, chmod, cp, find, git, unzip, mkdir, ssh, openssl, keytool, jarsigner y muchos otros.Viene también con aplicaciones vulnerables como Owasp GoatDroid Project y InsecureBank-v2 para probar.

Más información en en el sitio oficial: https://manifestsecurity.com/appie/

Fuente: Segu Info

Roban tus datos de tu android y después te extorsionan

Puede que creas que te estás descargando una aplicación convencional pero, si caes en esta nueva estafa, todos tus datos pasarán a estar en manos de un grupo de hackers. Y, o pagas la extorsión, o tu historial de navegación se enviará a todos tus contactos.

Básicamente, esa es la premisa en la que se basa la nueva estafa en Android descubierta por una empresa de seguridad. Esta nueva amenaza es capaz de camuflarse en cualquier aplicación, y una vez instalada, encripta todos los datos del móvil del usuario.

Eso incluye desde la agenda de contactos hasta las fotografías, pasando también por, atención, el historial de navegación. El usuario no solamente pierde el acceso a toda su información, sino que además ésta pasa a estar en manos de los atacantes.

Si el usuario se niega a abonar el dinero que le exigen los extorsionadores, a lo que se expone no es solamente la pérdida de todos los datos del móvil, sino que también se enfrenta a la amenaza de que todo su historial web de navegación sea enviado por mensaje a sus contactos.

Teniendo en cuenta que, mediante este método, los extorsionadores consiguen acceso completo a la agenda del usuario, la amenaza es más que real.

Tal y como recogen en el blog de Softpedia.com, esta amenaza ya ha sido detectada en una aplicación de contenido para adultos llamada “Porn ‘O’ Mania“. La aplicación dice ofrecer contenido para adultos, pero aprovecha un mensaje de error falso para conseguir que el usuario acepte otorgar permiso completo a todas las funciones de la app.

Por desgracia, entre las funciones ocultas que el usuario acepta sin ser consciente de ello se encuentra el secuestro de todos sus datos.

Robo de datos con extorsión en Android

La buena noticia es que esta amenaza de seguridad no ha sido detectada en ninguna aplicación de la tienda de Google Play. Para caer en este virus en Android habría que descargar aplicaciones desde tiendas extra-oficiales, cosa que, para un usuario medio, está más que desaconsejada.

Por otra parte, los usuarios que tengan la versión de Android 5.0 Lollipop (o superior) en su móvil pueden estar todavía más tranquilos, ya que a partir de dicha versión desapareció el mensaje de error que esta aplicación utiliza para engañar a la víctima.

Para el resto de los usuarios, el mejor consejo pasa por desconfiar de cualquier aplicación disponible en una tienda extra-oficial. Y saber cómo proteger los archivos en Android es un pilar fundamental para evitar las estafas.

Fuente: Noticias Seguridad

BetterCap 1.2 es la nueva versión de este framework para ataques Man In The Middle

Los desarrolladores del conocido framework BetterCap han lanzado la nueva versión BetterCap 1.2 con importantes mejoras. Este framework está orientado específicamente a realizar los conocidos ataques Man In The Middle en redes locales, para comprobar si hemos configurado correctamente la red para evitar o al menos mitigar los principales ataques.

Lo más característico de este proyecto es que es de código abierto y permite en una herramienta tener una gran cantidad de utilidades como por ejemplo realizar ataques Man In The Middle, redirección de tráfico, sniffer, ataques ARP Spoofing e incluso la instalación de un Proxy en la red para que absolutamente todo el tráfico pase por nuestro equipo. Además no se han olvidado del protocolo HTTPS, y nos permite instalar en la red un Proxy HTTPS para capturar tráfico que utilice este protocolo.

Otras características de BetterCap es que es modular, por lo que podremos incorporar nuestros propios scripts para aumentar aún más las funcionalidades de esta herramienta, también es multiplataforma, puede funcionar en cualquier equipo siempre que tenga instaladas las RubyGems ya que está basado en este lenguaje de programación. Por último, BetterCap es realmente rápido y estable, por lo que solo nos deberemos preocupar de proteger la red local para que sus ataques no funcionen o al menos se mitiguen.

Cambios en BetterCap 1.2

Los cambios que ha sufrido esta nueva versión de BetterCap 1.2.0 es que la incorporación del ataque ICMP DoubleDirect de forma totalmente automatizada, por lo que podremos realizar este ataque de red fácilmente. También se ha incorporado la herramienta PacketFu para crear paquetes ICMP en lugar de usar el típico ping en modo broadcast. Por último, han incorporado una nueva clase PacketQueue que se encarga de centralizar los envíos de paquetes IP, de esta forma se aumenta muchísimo el rendimiento.

El equipo de desarrollo de BetterCap no se ha olvidado tampoco de los logs que genera su herramienta, y ahora han mejorado la información de red cuando habilitamos el debug, de esta forma podremos detectar cualquier problema que suceda a la hora de realizar el análisis de la red.

La instalación de BetterCap 1.2 pasa por instalar ruby y la librería pcap en sistemas Linux, a continuación simplemente debemos descargarnos la herramienta desde GitHub e instalarlo usando RubyGems:

2 cd bettercap
3 gem build bettercap.gemspec
4 sudo gem install bettercap*.gem

Les recomendamos visitar la página web oficial de BetterCap donde encontraran toda la información sobre este proyecto, así mismo también les recomendamos visitar la página de ejemplos de ataques a la red que está disponible en su página web oficial.

Fuente: Redes Zone

La falta de actualizaciones en Android permite el acecho de 6.400 virus

Acaba el año y de nuevo las actualizaciones de los dispositivos que hacen uso del sistema operativo móvil de los de Mountain View son tema de conversación. En esta ocasión, un estudio realizado por la compañía de seguridad GData revela que la falta de actualizaciones en Android provoca que los terminales móviles y tabletas estén expuestos a más de 6.400 códigos maliciosos.

Ya se sabe que esto siempre se ha considerado como un problema muy grave y que las partes implicadas siempre han mirado hacia otro sitios o han decidido echarse la culpa recíprocamente. Mientras desde Google acusan a los responsables de los fabricantes de terminales móviles y tabletas de publicar actualizaciones cuando ellos sí las ofrecen, desde los fabricantes tachan a Google de no enviar actualizaciones con frecuencia, dejando sin soporte a dispositivos con muy poca antigüedad.

Al final, los principales perjudicados tal y como suele suceder son los usuarios, que ven como sus equipos son vulnerables a una gran cantidad de malware que en la actualidad se encuentra en Internet. Para ser más exactos, según el informe emitido por GData el número de estas asciende a más de 6.000. También apuntan que solo los usuarios que poseen o han logrado actualizar a Lollipop or Marshmallows pueden estar más tranquilos que el resto.

Para GData la falta de actualizaciones en Android es culpa de los fabricantes

En muchas ocasiones existe un trasfondo económico para realizar o abandonar una tarea. Para los expertos de la compañía encargada de realizar el estudio parece bastante obvio que en este caso los culpables son los fabricantes. Indican que la supresión de actualizaciones para modelos que solo poseen un año o dos de antigüedad los permite incrementar los beneficios, algo que sin embargo pone en riesgo a los usuarios y sobre todo los datos que se manejan y almacenan en estos.

Según el estudio, el 80% de los dispositivos se encuentra en la actualidad entre las versiones Froyo y KitKat, permitiendo que los equipos se vean expuesto a posibles ataques, algo que seguirá siendo así por la falta de actualizaciones.

Una programa de actualizaciones más longevo resolvería el problema, sin embargo, existe un claro cruce de intereses que imposibilita que esto sea así. Cada vez son más los dispositivos Android existentes y los que a día de hoy reciben actualizaciones algún día verán como pasan a formar parte del otro porcentaje, es decir, del 80% actual que no recibe actualizaciones.

Fuentes: Redes Zone

Los Pitufos que usan tu celular sin que te des cuenta

El chistoso nombre que le han puesto a estas herramientas de espionaje no se corresponde con lo que son capaces de hacer.

Que las paredes tienen oídos es algo que sabemos porque lo dicen, bajito, en las películas de espías. Una frase caída en desuso. Lo que ahora tiene oídos (y ojos) es el celular que tienes en el bolsillo. Y no sólo eso: tiene pitufos que trabajan para el Gobierno.

Sí, pitufos, que controlan tu teléfono mejor que tú.

Esos duendecillos azules que creíamos que vivían en los cómics para niños, en el siglo XXI son capaces de encender tu teléfono, grabar tus conversaciones de sobremesa, sacarte una fotografía cuando piensas que eres tú quien retrataba algo o localizar el punto exacto donde te encuentras.

Son “trabajadores” de los servicios de inteligencia y no necesitan romper la puerta de tu casa para espiarte.

Eso es, al menos, lo que le explicó Edward Snowden al programa Panorama de la BBC desde Moscú, donde vive exiliado desde que reveló en 2013 que no hacía falta cometer crímenes para ser espiado, ya que el gobierno de EE.UU estaba vigilando masivamente a la ciudadanía a través de sus comunicaciones digitales.

Snowden reveló cómo los servicios secretos de EE.UU y de Reino Unido, por ejemplo, están invirtiendo una gran cantidad de dinero en tecnología para vigilar masivamente las comunicaciones privadas de los ciudadanos.

Y aquí entra en juego lo que estos servicios llaman chistosamente “suite Pitufo”.

Y cada uno tiene un papel:

  • Pitufo Soñador

El “espía” pitufo soñador es una herramienta de “hackeo” que permite encender y apagar el teléfono sin que el usuario lo sepa.

¿Con qué fin?

Que entren en escena el resto de pitufos.

  • Pitufo Fisgón

Uno de sus “pitufos” se encarga de que la presencia de espionaje no deje huellas en los aparatos.

Una vez que el teléfono está encendido, puede actuar por ejemplo este “pitufo”, un código que “activa el micrófono del aparato” para que puedan escuchar todo lo que esté sucediendo alrededor.

  • Pitufo Rastreador

Es una herramienta de geolocalización“que permite seguirte con una gran precisión”, apunta Snowden. Más que con la se obtiene “con la típica triangulación de las torres de telefonía celular”.

  • Pitufo Paranoico

Este pitufo es el que se encarga de cubrir a todos los demás, de tapar sus huellas.

Snowden cuenta que “es una herramienta de autoprotección” del sistema, que se utiliza “para blindar la manipulación de tu teléfono”.

Un simple mensaje SMS, que se quedará oculta, permite a los servicios de inteligencia colarse en los celulares, ypone un ejemplo: “Si quieres llevar a reparar el teléfono porque viste que algo extraño está pasando o porque sospecha que algo anda mal, esta herramienta hará mucho más difícil a cualquier técnico” saber qué es lo que ha estado sucediendo en ese celular.

Saber que ha estado siendo controlado por un increíble grupo de “pitufos”.

¿Cómo se introducirían en tu celular?

Para introducirse en tu celular, los servicios de inteligencia utilizan un mensaje sms que pasa desapercibido, relata Snowden.

Técnicamente, “se llama un exploit“, cuenta. “Es un mensaje especialmente diseñado que se envía como cualquier otro, pero cuando llega a tu teléfono se oculta”.

Así de fácil, un mensaje y ya el teléfono no es exclusivamente suyo. “Usted pagó por el teléfono pero el que controla el software” es que el posee realmente el aparato.

Y el poseedor si eso ocurre es Papá Pitufo. Es decir, el Gobierno.

Y “no hay mucho” con lo que puedas defenderte, zanja Snowden.

Edward Snowden entregó pruebas a la prensa de que los servicios de inteligencia de EE.UU estaban realizando un espionaje masivo e indiscriminado a los ciudadanos.

Edward Snowden entregó pruebas a la prensa de que los servicios de inteligencia de EE.UU estaban realizando un espionaje masivo e indiscriminado a los ciudadanos.

Fuente: BBC

El Malware YiSpecter abusa de los certificados de iOS para incertar Adwares en Apple.

Los investigadores advirtieron que la salida del malware WireLurker  en noviembre cuyo blanco eran las plataformas de Apple podría llegar a ser un acertijo para los desarrolladores del malware en Mac e iOS. Mientras WireLurker fue rápidamente aplastado y resultó ser bastante benigno, sus autores demostraron cómo el abuso de los certificados de desarrolladores empresariales emitidos por Apple era un medio eficaz para obtener el código malicioso en iPhones con jailbreak e iPads.

Otra amenaza llamada YiSpecter aparentemente ha seguido el ejemplo de WireLurker y ha combinado el uso de certificados emitidos bajo el Programa de Empresa de Apple iOS Developer con el abuso de APIs privadas para mover el adware en dispositivos iOS jailbreak, principalmente en China y Taiwán.

Claud Xiao, investigador de Palo Alto Networks, publicó un informe sobre el malware, que al parecer ha estado en estado salvaje durante 10 meses y tiene tasas de detección pobres en los servicios de seguridad como VirusTotal.

De manera similar a WireLurker, YiSpecter abre una puerta trasera a un conjunto de servidores de comando y control y devuelve los datos del dispositivo teniendo la capacidad de instalar y poner en marcha nuevos troyanos a algunas aplicaciones que sobreviven eliminación secuestrando otras aplicaciones con el fin de mostrar anuncios, buscar el cambio por defecto de la configuración en Safari, cambiar los marcadores y las páginas abiertas en el navegador móvil. El trabajo es en gran medida difundir un adware pornográfico.

A diferencia WireLurker, que se extendió desde Macbooks infectados a los dispositivos iOS, YiSpecter se propaga en un puñado de maneras, beneficiado en gran medida de la legitimidad de los certificados, uno de los cuales ya ha sido revocado por Apple.

“Creemos que todos son legítimos”, dijo el director de Palo Alto del investigador Ryan Olson. Los certificados cuestan $ 299 y están disponibles únicamente para los negocios controlados y verificados que deseen desarrollar aplicaciones empresariales para iOS. “Estos están destinados para su distribución interna. La distribución de aplicaciones de esta manera no es lo que pretende Apple, y por qué los están revocando”.

La investigación académica se había hecho antes de que WireLurker demostrara el potencial de abuso en torno a estos certificados,  Olson dijo que esperaba ver algunos ataques que  traten de imitar este enfoque. El aumento de la atención en el tema, en particular, de la mano de WireLurker, causó la respuesta de Apple para los iOS 9 recientemente liberados  con una característica que obliga a los usuarios que deseen ejecutar una aplicación firmada pasar por un par de “aros” adicionales. El desarrollador, por ejemplo, debe dar  confianza a la aplicación en la configuración del dispositivo para poder correr la misma.

“Usted no sólo haga clic en Aceptar, usted tiene que cavar en la configuración si desea confiar en los desarrolladores. Este es el tipo de función que impide este tipo de ataque de tener éxito “, dijo Olson.

El uso de APIs privadas para instalar aplicaciones maliciosas también es preocupante, ya que puede ser utilizado para llevar a cabo una serie de operaciones sensibles, Xiao de Palo Alto escribió, que son ciegos al mecanismo de distribución de la empresa de Apple. YiSpecter se compone de cuatro componentes, todos los cuales están firmados.

Al abusar de APIs privadas, estos componentes “descargar e instalar” de un comando y servidor de control (C2), escribió Xiao. “Tres de los componentes maliciosos utilizan trucos para ocultar sus iconos de “salto en pantalla” de iOS, lo que impide al usuario encontrarlos y eliminarlos. Los componentes también utilizan el mismo nombre y logotipos de aplicaciones del sistema para engañar a los usuarios de energía iOS “.

YiSpecter no es una amenaza para App Store. Se mueve a través de una serie de canales distintos que presentan como una alternativa al reproductor multimedia QVOD muy  popular  y utilizado para intercambiar y ver pornografía en China. Una vez QVOD fue cerrada por la policía en abril, los atacantes detrás de YiSpecter se dirigieron a aquellos usuarios con el malware.

El más interesante método de propagación de YiSpecter es su abuso de la práctica llevada a cabo por los ISP locales que inyectan JavaScript y publicidad HTML en el tráfico.

“Los proveedores de Internet jugaron un papel en él, pero probablemente pensaron que sería sólo la publicación de anuncios”, dijo Olson.

YiSpecter también se extendió a través del gusano Lingdun, el malware que utiliza falsos certificados VeriSign y Symantec para eludir los sistemas de detección. Lingdun es una amenaza de Windows y se utiliza sobre todo para introducir software en PCs con Windows. Un número de sitios y mensajes a las redes sociales de distribución de aplicaciones subterráneas también fueron introducidos por  YiSpecter, dijo Palo Alto.

YiSpecter es el último de una notable racha de ataques contra las diversas plataformas de Apple, comenzando con XcodeGhost y la vulnerabilidad publicada la semana pasada de Gatekeeper en OS X.

Fuente: ThreatPost

Cisco parchea el servicio bypass, vulnerabilidad en el sistema IOS

Cisco realizo su habitual ronda semestral de parches para iOS este miércoles, el software que la empresa utiliza para la mayoría de sus routers y switches.

Avisos de seguridad de este mes reconocieron cuatro vulnerabilidades, tres que podrían conducir a la cancelación de servicios, y otro que podría dejar que un atacante pudiese pasar sin problemas a través de una autenticación de usuario (bypass).

La vulnerabilidad de pasar a través de la autentificación de usuario (bypass) surgió de una aplicación incorrecta de la SSH versión 2 del protocolo en el software IOS y IOS XE. Si se explota, un atacante, suponiendo que conocían el nombre de un usuario legítimo configurado para la autenticación de usuario basada en RSA, y la clave para el usuario podría conectarse con los privilegios del usuario. Cisco hace hincapié en que esto es simplemente una vulnerabilidad de la autentificación de usuario (bypass) en iOS, no una situación en la que el atacante sería capaz de obtener privilegios.

Dado que el error sólo afecta a la autenticación de usuarios RSA, los usuarios finales pueden desactivar la funcionalidad para mitigarlo, o simplemente aplicar el parche.

La negación de vulnerabilidades de servicios madre en gran parte de los problemas de IPv4 e IPv6 es manejada por el software.

Uno es el resultado de un procesamiento inadecuado de paquetes IPv4 que requieren traducción de direcciones de red (NAT) y multiprotocolo Label Switching (MPLS) de procesamiento – si un atacante remoto no autenticado envió el paquete IPv4 que pudieran provocar un reinicio del dispositivo. Otros dos están en la función de seguridad y espionaje IPv6 en IOS y IOS XE – si los atacantes enviaron un paquete mal formado, o una inundación de tráfico, también podrían causar un dispositivo se recargara.

Los parches son los primeros para el software en seis meses, siendo que  Cisco IOS realiza parches en gran cantidad dos veces al año, en marzo y septiembre.

El mes pasado, la empresa advirtió a los clientes de la empresa que los atacantes estaban tratando de explotar los dispositivos iOS. Los hackers no estaban explotando alguna vulnerabilidad específica, que al parecer estaban usando credenciales válidas, que les daba la posibilidad de subir imágenes ROMMON maliciosas, y tener el acceso permanente a los dispositivos.

Fuente:  threatpost