Temas

Últimamente hemos visto en el Laboratorio de Investigación de ESET Latinoamérica la aparición de archivos maliciosos en formato PIF. Este tipo de archivos fue ideado para la ejecución de programas de 16 bits o anteriores, por lo que llama la atención su reaparición. Además, el hecho de que estos archivos están siendo utilizados en conjunto con amenazas de tipo ransomware, actualmente muy activas, nos brinda una razón para analizarlos a fondo.

El formato de archivo PIF (Program Information File) existe para poder ejecutar aplicaciones de DOS en entornos multitarea actuales, de tal modo de no desperdiciar recursos, ya que este tipo de programas utilizaría todos los recursos disponibles de no especificar lo contrario. Así, el formato PIF define aspectos como el máximo y mínimo de memoria a utilizar, o las propiedades de la ventana, entre otras cosas.

En los últimos días hemos visto, sin embargo, la utilización de los archivos PIF por los cibercriminales de una forma más sencilla: al renombrar un ejecutable ".EXE" como ".PIF", éste continúa siendo ejecutable, logrando engañar a los usuarios desprevenidos. Aún cuando está desactivada la opción de "ocultar las extensiones de archivo para tipos de archivos conocidos", para los archivos PIF la extensión no se muestra:



Como se observa en la imagen, el archivo que figura como "Documento.doc" es en realidad "Documento.doc.pif", un archivo PIF. Si se presta atención a la columna de "Tipo", veremos que no se trata de un archivo DOC, pero hay que tener en cuenta que, en el escritorio, por ejemplo, esto puede ser más difícil de ver. Si luego abrimos el archivo como texto plano, veremos el encabezado "MZ" característico de los ejecutables.

En el pasado ya se ha visto el uso de estos archivos con fines maliciosos, cuyo ejemplo más notable quizás sea el gusano Fable. Sin embargo esta amenaza resurge, 10 años después, atada a un delito actual: el ransomware.
¿Qué sucede si el usuario ejecuta el PIF malicioso?

Éste extrae otro PIF y lo prepara para que sea ejecutado cada vez que se inicia el sistema. Sabemos que el ransomware no busca ocultarse una vez que ha afectado a su víctima y, de hecho, la amenaza analizada es bastante ruidosa, ya que cierra todos los programas en ejecución y reinicia el sistema.

Luego del reinicio, los archivos están cifrados y hay un nuevo cartel de bienvenida (que no tiene nada de buena) en el escritorio:



El mensaje está en ruso:

Tus archivos están cifrados, si deseas recuperarlos, envía 1 archivo cifrado a la dirección que se indica... ¡ATENCIÓN! ¡Tienes una semana para escribirme, fecha después de la cual el cifrado ya no será posible!

[/b]

Nuevamente vemos cómo ciertas amenazas creadas en Rusia se propagan y alojan en servidores e infraestructuras vulneradas en Latinoamérica. El segundo PIF instalado en el sistema es el que lleva a cabo la operación de cifrado, con algunas otras características como técnicas de anti-debugging o la inyección de procesos en memoria.




Ransomware en archivos PIF: ¿resurge una técnica del pasado?

Por Matías Porolli publicado 31 ago 2015 - 03:29PM

Análisis de malware

0
tags

    Cifrado
    DOS
    Filecoder-la-es
    pif
    ransomware-la
     

49
inShare

Enviar e-mail

Imprimir página

Últimamente hemos visto en el Laboratorio de Investigación de ESET Latinoamérica la aparición de archivos maliciosos en formato PIF. Este tipo de archivos fue ideado para la ejecución de programas de 16 bits o anteriores, por lo que llama la atención su reaparición. Además, el hecho de que estos archivos están siendo utilizados en conjunto con amenazas de tipo ransomware, actualmente muy activas, nos brinda una razón para analizarlos a fondo.

El formato de archivo PIF (Program Information File) existe para poder ejecutar aplicaciones de DOS en entornos multitarea actuales, de tal modo de no desperdiciar recursos, ya que este tipo de programas utilizaría todos los recursos disponibles de no especificar lo contrario. Así, el formato PIF define aspectos como el máximo y mínimo de memoria a utilizar, o las propiedades de la ventana, entre otras cosas.

En los últimos días hemos visto, sin embargo, la utilización de los archivos PIF por los cibercriminales de una forma más sencilla: al renombrar un ejecutable ".EXE" como ".PIF", éste continúa siendo ejecutable, logrando engañar a los usuarios desprevenidos. Aún cuando está desactivada la opción de "ocultar las extensiones de archivo para tipos de archivos conocidos", para los archivos PIF la extensión no se muestra:

extension pif no visibleComo se observa en la imagen, el archivo que figura como "Documento.doc" es en realidad "Documento.doc.pif", un archivo PIF. Si se presta atención a la columna de "Tipo", veremos que no se trata de un archivo DOC, pero hay que tener en cuenta que, en el escritorio, por ejemplo, esto puede ser más difícil de ver. Si luego abrimos el archivo como texto plano, veremos el encabezado "MZ" característico de los ejecutables.

En el pasado ya se ha visto el uso de estos archivos con fines maliciosos, cuyo ejemplo más notable quizás sea el gusano Fable. Sin embargo esta amenaza resurge, 10 años después, atada a un delito actual: el ransomware.
¿Qué sucede si el usuario ejecuta el PIF malicioso?

Éste extrae otro PIF y lo prepara para que sea ejecutado cada vez que se inicia el sistema. Sabemos que el ransomware no busca ocultarse una vez que ha afectado a su víctima y, de hecho, la amenaza analizada es bastante ruidosa, ya que cierra todos los programas en ejecución y reinicia el sistema.

Luego del reinicio, los archivos están cifrados y hay un nuevo cartel de bienvenida (que no tiene nada de buena) en el escritorio:

filecoder mensaje

El mensaje está en ruso:

    Tus archivos están cifrados, si deseas recuperarlos, envía 1 archivo cifrado a la dirección que se indica... ¡ATENCIÓN! ¡Tienes una semana para escribirme, fecha después de la cual el cifrado ya no será posible!

Nuevamente vemos cómo ciertas amenazas creadas en Rusia se propagan y alojan en servidores e infraestructuras vulneradas en Latinoamérica. El segundo PIF instalado en el sistema es el que lleva a cabo la operación de cifrado, con algunas otras características como técnicas de anti-debugging o la inyección de procesos en memoria.

inyección de código

¿Cómo se realiza el cifrado? ¿Cómo es la comunicación con el servidor externo? ¿Cómo prevenir o recuperarse ante un ataque exitoso con este tipo de ransomware en archivos PIF? ¡Lo veremos en el próximo análisis!

SHA-1 de la muestra analizada:
f057d59f2c11ba838e62630bd44ca700df0ee13d – rada-oplata.pif

Créditos imagen: ©Corey Templeton/Flickr

Como hacemos mensualmente en este espacio, te presentamos las amenazas más propagadas en el mundo durante agosto de acuerdo a los datos que recopila nuestro sistema estadístico ESET LiveGrid:

1. Win32/Bundpil

Porcentaje total de detecciones: 4.86%
Es un gusano que se propaga a través de medios removibles.

2. Win32/Qhost

Porcentaje total de detecciones: 2.25%
Es un troyano que se copia a sí mismo a la carpeta %system32% de Windows para luego comunicarse bajo DNS con su servidor de comando y control. Win32/Qhost permite que el atacante tome el control del equipo infectado y modifica al archivo host para redireccionar el tráfico a dominios específicos.

3. Win32/Adware.Multiplug

Porcentaje total de detecciones: 1.90%
Se trata de una aplicación potencialmente indeseada que una vez que se presenta en el sistema puede causar que las aplicaciones muestren carteles y/o ventanas emergentes durante la navegación en Internet.



4. LNK/Agent.AV

Porcentaje total de detecciones: 1.66%
Es un link que concatena comandos para ejecutar la aplicación o carpeta legítima y adicionalmente ejecuta la amenaza en segundo plano. Podría considerarse como la nueva versión de la amenaza autorun.inf.

5. HTML/Refresh

Porcentaje total de detecciones: 1.62%
Es un troyano que redirige el explorador a una URL específica que contiene software malicioso. El código del malware generalmente está embebido en páginas HTML.

6. Win32/Sality

Porcentaje total de detecciones: 1.36%
Sality es un virus polimórfico. Cuando se ejecuta inicia un servicio y crea o elimina claves de registro relacionadas con las actividades de seguridad en el sistema. Modifica los archivos .exe y .scr y desactiva los servicios y procesos relacionados a las soluciones de seguridad.

7. Win32/Ramnit

Porcentaje total de detecciones: 1.30%
Se trata de un virus que se ejecuta al iniciar el sistema. Infecta archivos .dll y .exe. También busca archivos htm y html para escribir instrucciones maliciosas en ellos. Puede ser controlado remotamente para realizar capturas de pantalla, enviar información de modo encubierto, descargar o ejecutar archivos y apagar o reiniciar el equipo.

8. LNK/Agent.BS

Porcentaje total de detecciones: 1.29%
Es un enlace que concatena comandos para ejecutar un código legítimo mientras se ejecuta el código de amenaza en el fondo. Es similar en su efecto con el tipo autorun.inf.

9. INF/Autorun

Porcentaje total de detecciones: 1.16%
Es un archivo utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, DVD o  dispositivo USB es leído por el equipo informático.

10. Win32/ExtenBro

Porcentaje total de detecciones: 1.16%

Es una extensión maliciosa para un navegador web que se distribuye por redes sociales, y cuyo objetivo es robar información o infiltrarse en las actividades de los usuarios infectados.

Fuente: WeLiveSecurity

Hoy en día los padres se preocupan cada vez más sobre las cosas que puedes hacer en Internet. Saben que existe gente rara y virus maliciosos en Internet; les da miedo tu ingenuidad, tu inocencia, y el potencial del ciberbullying. Claro, a veces exageran pero aun así tienes que lidiar con ello.



¿Tienes padres asfixiantes que quieren saber todo lo que pasa en tu vida online y offline? Lo siento, pero así es como debe ser. Si quieres más libertad, compórtate como cualquier adulto normal lo haría: demuéstrale a tus padres que puedes tomar buenas decisiones.

También te beneficiarás al hacerlo. El mantener tus cuentas de juegos y redes sociales seguras, es un bonus tangible, ¿no? Como os venimos contando, los cibercriminales podrían tomar control de tu página de Facebook, infectar tu smartphone con un virus o robar tu cuenta de juegos inmediatamente.

A estos criminales realmente no les importa a quién le roban – podría ser a ti o a tu abuelo José – pero es probable que tú tengas más en juego que tu abuelo. Es por eso que necesitas asegurar tu PC contra troyanos y virus. Algunos de ellos fueron creados para espiarte y robar tus contraseñas y otra información de valor.


Anterior
Siguiente
Seis reglas simples de ciberseguridad para todas las edades
1 sep 2015 Kate Kochetkova Consejos, Featured Post, Seguridad No hay comentarios

Hoy en día los padres se preocupan cada vez más sobre las cosas que puedes hacer en Internet. Saben que existe gente rara y virus maliciosos en Internet; les da miedo tu ingenuidad, tu inocencia, y el potencial del ciberbullying. Claro, a veces exageran pero aun así tienes que lidiar con ello.

consigli per ragazzi

¿Tienes padres asfixiantes que quieren saber todo lo que pasa en tu vida online y offline? Lo siento, pero así es como debe ser. Si quieres más libertad, compórtate como cualquier adulto normal lo haría: demuéstrale a tus padres que puedes tomar buenas decisiones.

También te beneficiarás al hacerlo. El mantener tus cuentas de juegos y redes sociales seguras, es un bonus tangible, ¿no? Como os venimos contando, los cibercriminales podrían tomar control de tu página de Facebook, infectar tu smartphone con un virus o robar tu cuenta de juegos inmediatamente.

    Seis reglas fáciles de #seguridad cibernética para todas las edades #privacidad #protección
    Tweet

A estos criminales realmente no les importa a quién le roban – podría ser a ti o a tu abuelo José – pero es probable que tú tengas más en juego que tu abuelo. Es por eso que necesitas asegurar tu PC contra troyanos y virus. Algunos de ellos fueron creados para espiarte y robar tus contraseñas y otra información de valor.

Hablando de contraseñas, son el talón de Aquiles para la mayoría de usuarios domésticos. La gente elige combinaciones poco fiables con símbolos como "12345" o el "sistema qwerty", los guardan en documentos en su disco duro y los comparten con amigos en chats... ¿Es necesario decirte que este tipo de ingenuidad no es la mejor manera de comportarse en Internet?

¿Le haces saber a extraños a dónde vas, lo que desayunas o las direcciones de amigos? No lo creo. En Internet deberías hacer lo mismo. Si no configuras tu privacidad apropiadamente en tu página, cualquiera puede saber todo sobre ti simplemente viendo tus cuentas de Facebook e Instagram. ¡Así que guarda tus secretos!


Anterior
Siguiente
Seis reglas simples de ciberseguridad para todas las edades
1 sep 2015 Kate Kochetkova Consejos, Featured Post, Seguridad No hay comentarios

Hoy en día los padres se preocupan cada vez más sobre las cosas que puedes hacer en Internet. Saben que existe gente rara y virus maliciosos en Internet; les da miedo tu ingenuidad, tu inocencia, y el potencial del ciberbullying. Claro, a veces exageran pero aun así tienes que lidiar con ello.

consigli per ragazzi

¿Tienes padres asfixiantes que quieren saber todo lo que pasa en tu vida online y offline? Lo siento, pero así es como debe ser. Si quieres más libertad, compórtate como cualquier adulto normal lo haría: demuéstrale a tus padres que puedes tomar buenas decisiones.

También te beneficiarás al hacerlo. El mantener tus cuentas de juegos y redes sociales seguras, es un bonus tangible, ¿no? Como os venimos contando, los cibercriminales podrían tomar control de tu página de Facebook, infectar tu smartphone con un virus o robar tu cuenta de juegos inmediatamente.

    Seis reglas fáciles de #seguridad cibernética para todas las edades #privacidad #protección
    Tweet

A estos criminales realmente no les importa a quién le roban – podría ser a ti o a tu abuelo José – pero es probable que tú tengas más en juego que tu abuelo. Es por eso que necesitas asegurar tu PC contra troyanos y virus. Algunos de ellos fueron creados para espiarte y robar tus contraseñas y otra información de valor.

Hablando de contraseñas, son el talón de Aquiles para la mayoría de usuarios domésticos. La gente elige combinaciones poco fiables con símbolos como "12345" o el "sistema qwerty", los guardan en documentos en su disco duro y los comparten con amigos en chats... ¿Es necesario decirte que este tipo de ingenuidad no es la mejor manera de comportarse en Internet?

¿Le haces saber a extraños a dónde vas, lo que desayunas o las direcciones de amigos? No lo creo. En Internet deberías hacer lo mismo. Si no configuras tu privacidad apropiadamente en tu página, cualquiera puede saber todo sobre ti simplemente viendo tus cuentas de Facebook e Instagram. ¡Así que guarda tus secretos!

Los cibercriminales saben cómo hacer dinero hackeando tu smartphone. De hecho, son muy buenos en eso. Roban de tu cuenta haciendo llamadas o suscribiéndote a servicios de mensajería innecesarios – estas son las técnicas más obvias de ganar dinero. Por esta misma razón tu teléfono necesita estar protegido al igual que tu PC.



El ciberbullying es otro castigo de Internet. La gente es cruel y los adolescentes pueden ser terribles. Buscando justicia te podrías atascar en una lucha online infinita que no hará más que afectarte. No pierdas tu tiempo y/o esfuerzo en otras personas, mejor concentra tu tiempo y energía en cosas que realmente te importan. Al enfrentar un problema que se está saliendo de control, piensa en estos consejos.

Y recuerda que las personas pueden ser muy mentirosas. El anonimato de Internet solo fomenta esta naturaleza. Por eso no debes creer en esos niños y niñas "cool" con redes sociales invencibles que pretenden tener una vida ideal. Lo más probable es que no sea así. Todos tenemos nuestros propios prejuicios, cometemos errores, sonreímos y los soportamos. A veces, incluso mentimos. Así que no todo lo que ves en Internet es lo que parece.


Anterior
Siguiente
Seis reglas simples de ciberseguridad para todas las edades
1 sep 2015 Kate Kochetkova Consejos, Featured Post, Seguridad No hay comentarios

Hoy en día los padres se preocupan cada vez más sobre las cosas que puedes hacer en Internet. Saben que existe gente rara y virus maliciosos en Internet; les da miedo tu ingenuidad, tu inocencia, y el potencial del ciberbullying. Claro, a veces exageran pero aun así tienes que lidiar con ello.

consigli per ragazzi

¿Tienes padres asfixiantes que quieren saber todo lo que pasa en tu vida online y offline? Lo siento, pero así es como debe ser. Si quieres más libertad, compórtate como cualquier adulto normal lo haría: demuéstrale a tus padres que puedes tomar buenas decisiones.

También te beneficiarás al hacerlo. El mantener tus cuentas de juegos y redes sociales seguras, es un bonus tangible, ¿no? Como os venimos contando, los cibercriminales podrían tomar control de tu página de Facebook, infectar tu smartphone con un virus o robar tu cuenta de juegos inmediatamente.

    Seis reglas fáciles de #seguridad cibernética para todas las edades #privacidad #protección
    Tweet

A estos criminales realmente no les importa a quién le roban – podría ser a ti o a tu abuelo José – pero es probable que tú tengas más en juego que tu abuelo. Es por eso que necesitas asegurar tu PC contra troyanos y virus. Algunos de ellos fueron creados para espiarte y robar tus contraseñas y otra información de valor.

Hablando de contraseñas, son el talón de Aquiles para la mayoría de usuarios domésticos. La gente elige combinaciones poco fiables con símbolos como "12345" o el "sistema qwerty", los guardan en documentos en su disco duro y los comparten con amigos en chats... ¿Es necesario decirte que este tipo de ingenuidad no es la mejor manera de comportarse en Internet?

¿Le haces saber a extraños a dónde vas, lo que desayunas o las direcciones de amigos? No lo creo. En Internet deberías hacer lo mismo. Si no configuras tu privacidad apropiadamente en tu página, cualquiera puede saber todo sobre ti simplemente viendo tus cuentas de Facebook e Instagram. ¡Así que guarda tus secretos!

Los cibercriminales saben cómo hacer dinero hackeando tu smartphone. De hecho, son muy buenos en eso. Roban de tu cuenta haciendo llamadas o suscribiéndote a servicios de mensajería innecesarios – estas son las técnicas más obvias de ganar dinero. Por esta misma razón tu teléfono necesita estar protegido al igual que tu PC.

El ciberbullying es otro castigo de Internet. La gente es cruel y los adolescentes pueden ser terribles. Buscando justicia te podrías atascar en una lucha online infinita que no hará más que afectarte. No pierdas tu tiempo y/o esfuerzo en otras personas, mejor concentra tu tiempo y energía en cosas que realmente te importan. Al enfrentar un problema que se está saliendo de control, piensa en estos consejos.

Y recuerda que las personas pueden ser muy mentirosas. El anonimato de Internet solo fomenta esta naturaleza. Por eso no debes creer en esos niños y niñas "cool" con redes sociales invencibles que pretenden tener una vida ideal. Lo más probable es que no sea así. Todos tenemos nuestros propios prejuicios, cometemos errores, sonreímos y los soportamos. A veces, incluso mentimos. Así que no todo lo que ves en Internet es lo que parece.

Cuando completes nuestra guía de seguridad online, entonces estarás listo para el gran viaje por Internet. ¡Te deseamos un buen viaje y viento en popa! Y lo último pero no menos importante, por favor, recuerda que cada vez que enfrentes situaciones dudosas, siempre puedes consultarle a tus padres o incluso pedir consejos aquí, en los comentarios.

Fuente: KApsersky blog.

¿Te acuerdas la polémica de hace un año, cuando se filtraron las fotos de los desnudos de varios famosos? Esto no sólo le alegró el día a más de uno (e incluso la noche), marcó un precedente y nos dio una lección general.

Por ejemplo, este hecho hizo que la gente se diera cuenta de que el nombre de sus mascotas no es una contraseña segura, y que la verificación en dos pasos no es exclusiva de los fanáticos de la informática, sino que es algo que tienen que tener en cuenta incluso los usuarios de iPhones adornados con diamantes de Swarovski.

Las fotos, que se filtraron desde el servicio de iCloud de Apple causando un gran revuelo el año pasado, eran copias almacenadas de imágenes hechas con dispositivos Apple. Los hackers emplearon una de las técnicas más sencillas para introducirse en el sistema, usando una combinación de phishing y fuerza bruta. Para compensar el fallo y proteger a sus usuarios, Apple activó en iCloud la verificación en dos pasos (o 2FA) e instó a sus usuarios a utilizarla en todo momento.


Anterior
Siguiente
5 formas de proteger tus fotos privadas
28 ago 2015 Vladislav Biryukov Consejos, Featured Post, Seguridad No hay comentarios

¿Te acuerdas la polémica de hace un año, cuando se filtraron las fotos de los desnudos de varios famosos? Esto no sólo le alegró el día a más de uno (e incluso la noche), marcó un precedente y nos dio una lección general.

angryg

Por ejemplo, este hecho hizo que la gente se diera cuenta de que el nombre de sus mascotas no es una contraseña segura, y que la verificación en dos pasos no es exclusiva de los fanáticos de la informática, sino que es algo que tienen que tener en cuenta incluso los usuarios de iPhones adornados con diamantes de Swarovski.

Las fotos, que se filtraron desde el servicio de iCloud de Apple causando un gran revuelo el año pasado, eran copias almacenadas de imágenes hechas con dispositivos Apple. Los hackers emplearon una de las técnicas más sencillas para introducirse en el sistema, usando una combinación de phishing y fuerza bruta. Para compensar el fallo y proteger a sus usuarios, Apple activó en iCloud la verificación en dos pasos (o 2FA) e instó a sus usuarios a utilizarla en todo momento.

Sin embargo, la 2FA es opcional en iCloud, además de en Gmail, Facebook y muchos otros servicios web. La mayoría de la gente prefiere saltársela, ya que es poco práctica y la gente no tiene tiempo para ésto.

Además, es muy fácil perder el control de tu correo electrónico o de tus perfiles en las redes sociales, aunque no seas Kim Kardashian o Kate Upton. Las consecuencias pueden ser devastadoras, especialmente si trabajas en una compañía online.

Dos candados son mejor que uno

La mayoría de las personas piensa en la verificación en dos pasos como en el sistema de envío de contraseñas de un solo uso en los mensajes de texto. Bueno, es el método más destacado de 2FA para servicios web, sin embargo, no es el único.

En general, la 2FA es como una puerta con dos candados. Uno de ellos es la combinación tradicional de registro y contraseña y el segundo podría ser algo diferente. Además, si no crees que dos candados sean suficientes, puedes utilizar tantos como quieras, aunque alargaría el proceso de apertura de la puerta, por lo que está bien usar al menos dos.

Las contraseñas enviadas por SMS son una forma comprensible y relativamente segura de verificación, aunque no siempre es práctica. En primer lugar, cada vez que quieras acceder a un servicio tienes que tener a mano el móvil, esperar a que te llegue el SMS e introducir los dígitos que aparecen...

Si te equivocas o introduces el código muy tarde, tienes que repetir de nuevo el mismo procedimiento. Si, por ejemplo, la red del usuario está colapsada, el SMS puede llegar demasiado tarde. En mi opinión, esto es bastante irritante.


Anterior
Siguiente
5 formas de proteger tus fotos privadas
28 ago 2015 Vladislav Biryukov Consejos, Featured Post, Seguridad No hay comentarios

¿Te acuerdas la polémica de hace un año, cuando se filtraron las fotos de los desnudos de varios famosos? Esto no sólo le alegró el día a más de uno (e incluso la noche), marcó un precedente y nos dio una lección general.

angryg

Por ejemplo, este hecho hizo que la gente se diera cuenta de que el nombre de sus mascotas no es una contraseña segura, y que la verificación en dos pasos no es exclusiva de los fanáticos de la informática, sino que es algo que tienen que tener en cuenta incluso los usuarios de iPhones adornados con diamantes de Swarovski.

Las fotos, que se filtraron desde el servicio de iCloud de Apple causando un gran revuelo el año pasado, eran copias almacenadas de imágenes hechas con dispositivos Apple. Los hackers emplearon una de las técnicas más sencillas para introducirse en el sistema, usando una combinación de phishing y fuerza bruta. Para compensar el fallo y proteger a sus usuarios, Apple activó en iCloud la verificación en dos pasos (o 2FA) e instó a sus usuarios a utilizarla en todo momento.

Sin embargo, la 2FA es opcional en iCloud, además de en Gmail, Facebook y muchos otros servicios web. La mayoría de la gente prefiere saltársela, ya que es poco práctica y la gente no tiene tiempo para ésto.

Además, es muy fácil perder el control de tu correo electrónico o de tus perfiles en las redes sociales, aunque no seas Kim Kardashian o Kate Upton. Las consecuencias pueden ser devastadoras, especialmente si trabajas en una compañía online.

Dos candados son mejor que uno

La mayoría de las personas piensa en la verificación en dos pasos como en el sistema de envío de contraseñas de un solo uso en los mensajes de texto. Bueno, es el método más destacado de 2FA para servicios web, sin embargo, no es el único.

En general, la 2FA es como una puerta con dos candados. Uno de ellos es la combinación tradicional de registro y contraseña y el segundo podría ser algo diferente. Además, si no crees que dos candados sean suficientes, puedes utilizar tantos como quieras, aunque alargaría el proceso de apertura de la puerta, por lo que está bien usar al menos dos.

Las contraseñas enviadas por SMS son una forma comprensible y relativamente segura de verificación, aunque no siempre es práctica. En primer lugar, cada vez que quieras acceder a un servicio tienes que tener a mano el móvil, esperar a que te llegue el SMS e introducir los dígitos que aparecen...

Si te equivocas o introduces el código muy tarde, tienes que repetir de nuevo el mismo procedimiento. Si, por ejemplo, la red del usuario está colapsada, el SMS puede llegar demasiado tarde. En mi opinión, esto es bastante irritante.

Si no tienes cobertura (algo bastante frecuente cuando viajamos), no obtendrás una contraseña. También es posible que pierdas el móvil, y no si no tienes la posibilidad de utilizar otros medios de comunicación, una situación como ésta es aún más frustrante.

Para estar cubierto en estos casos, muchos servicios web como Facebook o Google, ofrecen otras soluciones. Por ejemplo, ofrecen una lista de contraseñas de un solo uso que puedes recopilar de manera preventiva, imprimirlas y guardarlas en algún lugar seguro.

5 formas de proteger tus fotos privadas mediante la verificación en dos pasos #privacidad #seguridad #2FA

Así mismo, la 2FA con códigos de un solo uso recibidos vía SMS puede activarse no en todas las ocasiones, sino sólo cuando alguien accede desde un dispositivo desconocido. Tú decides, así que decide basándote en tu nivel de paranoia. El método es el mismo para cualquier app que esté ligada a tu cuenta, como los clientes de correo electrónico. En cuanto introduzcas una contraseña específica generada, la recordarán durante bastante tiempo.

Así que, a no ser que ingreses en tus cuentas cada día desde un dispositivo distinto, activarlas mediante la verificación en dos pasos mediante SMS no es gran cosa. Una vez que lo instales, funciona correctamente.

Identificación mediante un smartphone

Si viajas frecuentemente, una forma más inteligente de activar la 2FA podría ser mediante una app especial. Al contrario que los SMS, este método de autenticación funciona sin conexión a Internet. Las contraseñas de un solo uso se generan en el smartphone, no en un servidor (sin embargo, la instalación inicial sí requerirá conexión a la red).

Hay un gran número de aplicaciones de autenticación, pero Google Authenticator sin duda puede servir como estándar de la industria. Este programa respalda otros servicios además de Gmail, como Facebook, Tumblr, Dropbox, vk.com y WordPress, entre otras.

Si prefieres una aplicación con paquete de características, prueba Twilio Authy. Es similar a Google Authenticator pero añade un par de opciones útiles.

En primer lugar, te permite almacenar los certificados en la nube y copiarlos en otros dispositivos (smartphones, PCs, tablets and y muchas otras plataformas, incluyendo Apple Watch). Incluso en el caso de que te roben un dispositivo, todavía tienes control de tus cuentas. La app solicita un número PIN cada vez que la ejecutas, y la contraseña puede anularse si tu dispositivo se ha visto comprometido.

En Segundo lugar, Twilio Authy, al contrario que Google Authenticator, te facilita mucho las cosas al empezar a usar un nuevo dispositivo.

Una contraseña para gobernarlas a todas

Las soluciones que hemos mencionado tienen una pega importante. Si usas el mismo dispositivo para acceder a tus cuentas y para recibir SMS con contraseñas de un solo uso o implementar una aplicación que genere claves de 2FA, esta protección no resulta demasiado segura.

Los tokens de seguridad ofrecen un nivel mayor de protección. Su formato y su forma varían y pueden ser tokens USB, tarjetas inteligentes, tokens offline con un monitor digital, pero el principio es, en esencia, el mismo. En resumidas cuentas, se trata de mini ordenadores, que generan claves de un solo uso bajo petición. Las claves son introducidas manualmente o de forma automática a través de una interfaz USB, por ejemplo.



ste tipo de claves de hardware no dependen de la red de cobertura o de un teléfono u otra cosa; simplemente hacen su trabajo sin importar nada más. Pero se compran por separado y es muy sencillo perder alguno de estos diminutos artilugios.

Normalmente estas claves se utilizan para proteger los servicios de banca electrónica, los sistemas institucionales o empresariales y otros temas importantes. A su vez, es posible que utilices una elegante memoria USB para proteger tus cuentas de Google o WordPress, siempre que la unidad USB sea compatible con la especificación abierta de FIDO U2F (como en el conocido caso de los conocidos tokens YubiKey ) .

¡Muestra tus implantes!

Las claves tradicionales de hardware ofrecen un alto nivel de seguridad, pero no son muy prácticas. Te hartarías al tener que introducir el USB cada vez que necesites acceso a un servicio en la red, además de que no se puede insertar en un smartphone.

Sería más sencillo usar una clave inalámbrica, emitida vía Bluetooth o NFC. Esto es posible con las nuevas especificaciones de FIDO U2F que se han presentado este verano.

Una chapa serviría para identificar al usuario legítimo y se puede utilizar en cualquier parte: en un llavero, una tarjeta bancaria, o incluso en un chip NFC implantado bajo la piel. Cualquier Smartphone podría leer esta clave y autentificar al usuario.

Uno, dos... muchos

Sin embargo, el concepto general de la verificación en dos pasos ya está pasado de moda. Los principales servicios como Google o Facebook (sigilosamente) utilizan el análisis multi-factor para ofrecer un acceso totalmente seguro. Evalúan el dispositivo y el navegador utilizado para acceder, además de la localización o el uso de ciertos patrones. Los bancos utilizan sistemas similares para localizar posibles actividades fraudulentas.

De manera que, en el futuro confiaremos en las soluciones multi-factor avanzadas, que proporcionan tanto comodidad como seguridad. Uno de los mayores ejemplos que muestran este enfoque es el Proyecto Abacus, que se presentó en la reciente conferencia de Google I/O.

En un futuro, tu identidad se confirmará no sólo mediante una contraseña, sino también por una combinación de factores: tu localización geográfica, lo que estés haciendo en ese momento, tu forma de hablar, tu respiración, los latidos de tu corazón, etc., utilizando ciberprótesis y otras cosas similares. El dispositivo para percibir e identificar estos factores sería, como es predecible, tu smartphone.

Aquí tienes otro ejemplo: unos investigadores suizos utilizan el ruido ambiental como un factor de autentificación.

La idea general de este concepto, que los investigadores han llamado Sound-Proof (Prueba de sonido, en inglés), es muy sencilla. Cuando intentes acceder a un servicio específico desde tu ordenador, el servidor solicitará la instalación de una aplicación en tu smartphone. Entonces, tanto el ordenador como el smartphone, registran el sonido ambiente, lo transforman en una firma digital, la cifran y la envían al servidor para analizarla. Si coincide, esto sirve como prueba de que el usuario que está intentando acceder es legítimo.

https://pbs.twimg.com/tweet_video/CMtKa5YWsAA2Cy1.mp4

Sin embargo, este enfoque no es perfecto. ¿Y si un cibercriminal estuviera sentado en un restaurante justo al lado del usuario? En ese caso, el ruido ambiental es prácticamente el mismo, por lo que se deberían tener en cuenta otros factores para poder evitar que se comprometa su cuenta.

En resumen, tanto Sound-Proof como Abacus pertenecen a la seguridad del futuro. Cuando se comercialicen, las amenazas y los desafíos con respecto a la seguridad de la información también habrán evolucionado.

Por el momento, te recomendamos que actives la 2FA. Encontrarás las instrucciones para activarla en la mayoría de los servicios más conocidos en páginas web como Telesign Turn It On.

Fuente: Kaspersky.blog

La problemática de las contraseñas débiles, por la que muchos usuarios perezosos caen víctimas de ataques tras crear claves simples o dejar las que vienen por defecto, también es observada en el mundo mobile. Específicamente, lo vemos en los patrones de autentificación de los smartphones y tablets Android.

En muchas ocasiones hemos escrito acerca del uso de contraseñas fuertes, aconsejando también utilizar un doble factor de autentificación siempre que la plataforma lo permita. Hemos recomendado no utilizar contraseñas del tipo "admin" o "1234" ya que son consideradas contraseñas casi por defecto de muchos sistemas.

Los dispositivos Android permiten como modalidad de desbloqueo el ingreso de un PIN numérico, una contraseña alfanumérica o un patrón gráfico. Siendo este último muy popular entre los usuarios, profundizaremos acerca de las probabilidades de que sea adivinado, cuáles son los dibujos más comunes y, en base a esto, cómo tú puedes aumentar la seguridad de tu smartphone a la hora de elegir tus patrones.
Cómo funciona el patrón



Desde el año 2008 Google ha implementado en su plataforma Android el patrón de desbloqueo como medida de seguridad para bloquear un equipo. La técnica migró mediante aplicaciones hacia otros sistemas operativos diferentes, como es el caso de iOS de Apple.

Este trazo personalizado, en muchos casos, se convierte en la primera barrera de seguridad física ligada a estos smartphones.

Si bien el teclado se encuentra compuesto por una combinación de nueve números, dando una gran cantidad de posibilidades (casi llegando al millón) el patrón puede tener como mínimo 4 y como máximo 9 dígitos, lo que ya comienza a limitar las variables a unas 389.000.

Por otra parte este número también está condicionado de manera abrupta por las siguientes tres reglas:

1. Cada punto solo puede ser utilizado una vez

Mirando la figura de arriba podrás darte cuenta de esta manera combinaciones como por ejemplo "2233" o "5555" son imposibles.

2. No se puede omitir un punto intermedio en una recta

Es decir que las combinatorias "4646" o "7171" son otro claro ejemplo entre muchas de la cantidad de variables no permitidas por el sistema.

3. El dedo no puede salirse de la superficie táctil

Esta regla está vinculada también a la anterior, sin embargo se le agrega el agravante de que muchas veces los dedos dejan rastros visibles en la pantalla, y de esa manera es fácil llegar a ver el camino que ha recorrido el patrón, ya que por esta regla no hay muchas variantes.

Para dar un ejemplo, solo hay dos maneras de escribir el patrón de la figura "124578369" o "963875421".
Qué dicen las estadísticas

Un reciente estudio de la Universidad Noruega de Ciencia y Tecnología demostró que se eligen combinaciones demasiado predecibles y, por lo tanto, débiles. De los 4.000 patrones analizados, el 44% empezaba por la esquina superior izquierda, y en el 10% de los casos se dibuja una letra imaginaria que suele estar asociada al nombre propio, de algún familiar, amigo o mascota.

Además, la mayoría utilizaba cuatro o menos nódulos, limitando la cantidad de combinaciones posibles. El estudio indica algunas tendencias que dejan en claro que los seres humanos son predecibles, según halló la estudiante noruega Marte Løge como parte de su tesis.

Otras de sus conclusiones fueron:

    El 77% de los patrones se inició en una de las cuatro esquinas
    5 es el promedio de dígitos utilizados, lo que implica que son solo 9.000 combinaciones posibles
    Suelen comenzar de izquierda a derecha y de arriba hacia abajo
    En general, los creados por hombres eran más largos (y más seguros) que el promedio de los creados por mujeres
    Tanto zurdos como diestros comparten los mismos patrones

Al igual que la clave "Admin" o "1234", muchos patrones se convierten en muy fáciles de predecir especialmente cuando se da la condición de que comienzan con la letra inicial de su propio nombre o de alguien muy cercano. Si el atacante conoce esta información, dejaría la cantidad de posibles patrones en el orden de solamente cien.

En la siguiente imagen podemos ver tres códigos inseguros, que nunca deberías utilizar:



atrones más seguros

Las reglas aquí siguen la misma lógica que las de la construcción de una contraseña segura. Es importante no formas letras y utilizar patrones que en lo posible tengan 9 puntos.

Es muy conveniente utilizar un patrón que contenga un triángulo para desdibujar las huellas de dedos y, de alguna forma, cambiar la inercia del trazado para despistar a los atacantes.

En la siguiente imagen podemos visualizar dos patrones, en los cuales adivinar la combinatoria es realmente complejo y demandaría mucho tiempo:



En muchos modelos de smartphones existe la opción de no hacer visible el trazado, práctica recomendable ya que de esta forma, si alguien intenta espiar tu código de desbloqueo, le resultará mucho más difícil y estarás más seguro.
¿Qué podemos concluir?

Hemos visto cuáles son los patrones que no debes utilizar cuando la seguridad de tu dispositivo está en tus manos; sin embargo, también sería lógico pensar e intentar requerir a los desarrolladores que aumenten la protección. Por ejemplo, rompiendo alguna de las leyes mencionadas – como la de no poder repetir un punto o salir de la superficie táctil. De esta manera, se incrementaría de forma exponencial la cantidad de probabilidades.

Como mencionamos al principio del post, también existen otros métodos de desbloqueo que prestan una mayor seguridad como es el caso de las claves alfanuméricas. Sin embargo, la tendencia es que la autenticación en smartphones comienza a migrar hacia factores de desbloqueo biométricos, como es el reconocimiento facial o los lectores de huellas dactilares.

Pero hasta que la migración sea total, es muy probable que lleve bastante tiempo y esta es la causa principal de la importancia de mantener seguros los patrones de bloqueo.

Créditos imagen: ©downloadsource.fr/Flickr

Encuesta con fines no comerciales para saber hasta que punto los usuarios han tenido una buena experiéncia en la actualización al último sistema operativo hasta ahora de Microsoft.

Saludos y gracias por participar

El sitio de citas Match.com ha sido víctima de un ataque de malvertising, que podría poner a sus usuarios registrados en riesgo de ser víctimas de ransomware.

Investigadores de Malwarebytes descubrieron la amenaza, y dijeron que presentaba las mismas características que el ataque previo a PlentyOfFish, otro sitio de citas online.

Resultó que los anuncios en Match.com tenían código malicioso embebido, por lo que, si se accedía a ellos, le permitían a los cibercriminales obtener el control de un dispositivo. Esto luego les daría la oportunidad de lanzar numerosos ataques; además de robar información personal, otra técnica popular consiste en cifrar todos los datos, que solo son descifrados cuando se paga un rescate.

Con aproximadamente 27 millones de personas usando el sitio cada mes, el potencial impacto de este ataque se vuelve significativo. "Tomamos la seguridad de nuestros miembros muy seriamente", dijo un vocero de Match.com ayer (3 de septiembre).

"Hoy tomamos la medida de precaución de suspender temporalmente los anuncios publicitarios en nuestro sitio del Reino Unido, mientras investigábamos un potencial problema de malware. Nuestros expertos en seguridad pudieron identificar y aislar los anuncios afectados, esto no representa una brecha en nuestro sitio o en los datos de nuestros usuarios".

El vocero añadió que todavía no han recibido reportes de usuarios afectados por estos anuncios maliciosos. Sin embargo, en pro de la seguridad, recomendaron a los miembros del sitio protegerse actualizando su software antivirus; sucede que ya no hace falta que un usuario descargue ni haga clic en un anuncio para ser infectado, basta con tener plugins o software desactualizado y visitar una página infectada. Por eso, una solución de seguridad ayudará a bloquear el ingreso de la amenaza al sistema.

Match.com se describe como "la primera y más grande compañía de citas", con un alcance global que se extiende a 25 países. Que haya sido blanco de un ataque no hace más que recordarnos el caso de Ashley Madison, otro sitio de citas online (pero extramatrimoniales) que sufrió una brecha recientemente.

Fuente: Welivesecurity

Desde el Laboratorio de Investigación de ESET Latinoamérica encontramos se ha estado propagando mediante mensajes de WhatsApp un falso sorteo de una marca de ropa española, Zara, que busca engañar a las víctimas para que regalen sus direcciones de correo y compartan el mensaje a 10 contactos diferentes.

Es una campaña muy similar a la que reportamos la semana pasada con el falso voucher para Starbucks, que se propaga en distintos países e idiomas. Lo interesante del caso que encontramos es que el engaño circula en español, a pesar de que los casos reportados en las últimas 72 horas se habían visto en inglés.

La estafa comienza con la recepción por parte de la víctima de un mensaje que la invita a participar del sorteo, al ingresar desde su navegador en el dispositivo móvil lo que ve es una pantalla como la siguiente:



Para aquellos que realmente creyeron que se podían ganar un voucher, lo que sucede es lo siguiente: se les van a realizar cuatro preguntas sobre si son clientes de la empresa o no, cada cuánto van a la tienda, y hasta qué distancia estarían dispuestos a viajar para ir a un nuevo local.

Luego de responder a diferentes preguntas sobre las tiendas de ropa, se los invita a reenviar la invitación a al menos 10 contactos diferentes, si es que quieren recibir su supuesto voucher por 500 unidades de la moneda local del país donde se visite. A continuación, vemos un ejemplo que promete 500 pesos argentinos:



Hasta que el usuario no invite a 10 contactos o grupos de WhatsApp, no se le "permite" obtener su voucher:



Entre los puntos curiosos de esta campaña encontramos que los cibercriminales utilizan la dirección de IP del dispositivo que se conecta para conocer su ubicación, y de esta manera hacerle creer a sus víctimas que la tienda se abrirá cerca de donde se encuentren.



Otro de los puntos curiosos de esta campaña es que la moneda que aparece en la encuesta varía según el país del que se acceda en base a diferentes reportes de usuarios.

Si el usuario cayó en el engaño y llegó hasta el final de la encuesta, será alertado de que su dispositivo se encuentra desactualizado y que debe instalar una actualización. Esta segunda parte del engaño puede llevar al usuario a instalar aplicaciones no deseadas o suscribirse a un sistema de mensajes SMS Premium que le incurrirán en un costo extra en su línea de teléfono.

A continuación podemos ver la falsa alerta de actualización:



Ahora, si el usuario cae en este segundo engaño e intenta actualizar, se muestra otro mensaje que le puede hacer creer que su teléfono está infectado con algún tipo de código malicioso. Pero, para poder analizarlo, deberá aceptar los términos y condiciones de un servicio y pagar por cada mensaje que reciba:



Este tipo de engaños se suelen utilizar para que las víctimas intenten instalar supuestas actualizaciones o aplicaciones de seguridad, que podrían llevar a comprometer aún más la seguridad de sus dispositivos. No se trata de una investigación de mercado, ni de la apertura de una nueva tienda de ropa, ni nada que se le parezca; es un engaño que busca persuadir a los de que entreguen su información y propaguen este scam a su lista de contactos.

Para evitar este tipo de engaños, desde el Laboratorio de ESET Latinoamérica recordamos:

    No seguir enlaces engañosos que lleguen a través de mensajes de texto, WhatsApp u otros mensajeros
    No entregar información personal si la fuente no es confiable
    No instalar aplicaciones de repositorios no oficiales
    No compartir a los contactos mensajes maliciosos o que parezcan sospechosos
    Utilizar una solución de seguridad que bloquee las aplicaciones maliciosos y los sitios fraudulentos.

Considerando que gran parte de los engaños hoy en día circulan aprovechando la popularidad y cantidad de usuarios de las plataformas principales, recomendamos asimismo proteger WhatsApp aplicando las siguientes medidas:

    Bloquear las fotos de WhatsApp para que no aparezcan en la galería
    Ocultar la notificación de "última vez conectado"
    Restringir el acceso a la foto de perfil
    Tener cuidado con las estafas
    Desactivar WhatsApp si se pierde el teléfono
    Tener cuidado con la información que se transmite a través de la plataforma

Para más consejos, no olviden de revisar nuestra Guía de Seguridad en Dispositivos Móviles.

Créditos imagen: ©Mike Mozart/Flickr

Los smartphones ya no solo cumplen las funcionalidades de un teléfono celular, sino que permiten aprovechar infinidad de usos que las nuevas tecnologías nos aportan. Debido a la variedad en aplicaciones, es muy habitual encontrar grandes cantidades de información valiosa almacenada en ellos.

De este modo, si se extravían, su dueño quedará expuesto a perder sus datos y es por esto que te mostraremos una de las formas más prácticas para encontrar tu smartphone con sistema operativo Android en caso de haberlo extraviado.

Por otra parte, si en algún momento te surgieron preguntas del tipo: ¿es posible encontrar un celular extraviado o robado? ¿Cómo saber qué camino tomé para ir a algún lugar?, o ¿cómo saber en dónde se encuentra mi hijo menor?, entonces te sugiero que sigas leyendo este post. Puede serte útil ayudándote a resolver estas cuestiones.
Conociendo nuestro Android

En muchas ocasiones, ante una duda o disputa, las personas utilizan a Google como juez, para buscar una rápida respuesta; sin embargo, no todo el mundo conoce que este gigante tecnológico también es capaz de rastrear tu Android y calendarizar la ubicación de un smartphone la mayoría del tiempo.

Esto significa que, mediante el uso de un calendario, podrás examinar en qué lugares has estado y, en caso de que no recuerdes la ubicación, podrás conocer el punto donde extraviaste el dispositivo.

Para utilizar este servicio debes ingresar al servicio Cronograma de Google.

Como vemos en las siguientes imágenes, ingresando el correo de Gmail y su contraseña ya se podrá explorar el cronograma de ubicaciones:



Ya ingresando dentro de calendario podrás observar todos los lugares donde has estado. Para verlo más claro, les dejaré un ejemplo que muestra mis propias actividades el día 15 de agosto de este año:



Como podemos observar, además de detallar el lugar y dirección, también nos indica el tiempo de permanencia en la zona. Entonces, podemos observar el tiempo que estuve, por ejemplo, en la universidad e inclusive cuánto tiempo me demoré en comer.

Además de esta información, también podremos ver el camino que tomamos para desplazarnos a cada ubicación:



La recolección de estos datos podría variar un poco de acuerdo a la conexión del teléfono, sobre todo si no tienes red móvil y datos todo el tiempo habilitados.

Navegando por el menú de calendario podrás encontrar lo que hiciste en la fecha que elijas; para utilizar este servicio solo necesitas tener activado el GPS, además de saber el usuario y  la contraseña de la cuenta correspondiente al teléfono.

También se podrá borrar información u obtener más datos de los puntos mediante el uso de Street view, el cual nos dejará ver en imágenes el lugar donde estuvo el dispositivo. Por supuesto esta información podrá ser visitada desde cualquier dispositivo, ya sea una computadora hogareña, corporativa o inclusive otro smartphone.

De esta manera, este servicio podría auxiliarte en caso de pérdida o robo, ya que tendrás la ubicación del teléfono mientras esté prendido y conectado a Internet; en caso de que no lo esté, verás el lugar de su última conexión.
Fines beneficiosos... y otros no tanto

Ya vemos que este servicio para rastrear tu Android  puede ser utilizado con fines beneficios, no solo encontrar un dispositivo extraviado sino también como medida de control parental, para saber la ubicación de los menores.

En oposición, también es importante tomar conciencia de que esta información podría estar a la mano de un ciberdelincuente en caso de que haya robado las credenciales de acceso a la cuenta vinculada al dispositivo, producto de un ataque informático como son los conocidos casos de phishing o de algún código malicioso creado con el fin de robar datos.

De esta manera, se podría conocer tu historial de direcciones y horarios en los que normalmente visitas determinados lugares, obteniendo más información de la que la gente creería que podría tener asociada a una dirección de correo electrónico.

Para finalizar, es importante mencionar que existe una gran cantidad de aplicaciones que realizan este tipo de rastreo, pero como es lógico, necesitan una instalación y una mínima configuración para ser funcionales. En cambio, este servicio de Google se encuentra funcional por defecto.

Para complementarlo, debemos utilizar soluciones de seguridad también en smartphones, además de en PC, ya que nos darán una mayor protección ante estas amenazas, mitigando el impacto contra sitios de phishing y códigos maliciosos que puedan afectar a usuarios distraídos.

Fuente: Welivesecurity

Cuando se trata de la seguridad de los datos, los atacantes siguen aprovechándose del punto más débil de todos: las personas. En este artículo analizamos 11 errores de seguridad que muchos usuarios –los más irresponsables– siguen cometiendo a diario.
1. No instalar parches

La triste realidad es que la mayoría de las filtraciones de datos no solo se debe a errores humanos, como hacer clic en un vínculo malicioso, sino también a sistemas informáticos cuyo software está desactualizado.

Por ejemplo, los atacantes suelen aprovechar las fallas de Microsoft Office y Adobe Player que los usuarios aún no corrigieron, para lograr entrar a los equipos. Otros atacantes más avanzados aprovechan las vulnerabilidades que llamamos "0-day" para las cuales todavía no se publicó el parche o la revisión correspondiente.

Para muchos usuarios, e incluso para algunos administradores de sistemas corporativos, la administración de los parches sigue siendo una tarea banal. No obstante, la buena noticia es que cada vez es más fácil hacerlo. Microsoft está implementando modificaciones en Windows que dejarán la Revisión de los Martes como cosa del pasado, mientras que la mayoría de sistemas operativos (incluyendo Android e iOS) ahora cuentan con una funcionalidad de actualización automática para aplicaciones móviles, de modo que los usuarios no tienen que hacer nada.
2. Ser demasiado confiados

Las personas siguen siendo demasiado confiadas en el mundo digital. Quizá ya la mayoría comenzó a ignorar las llamadas y los mensajes de texto no solicitados al igual que a los vendedores ambulantes que se presentan en el hogar, pero aún siguen abriendo correos electrónicos y vínculos de personas que no conocen.

Demasiado a menudo, los usuarios abren esos correos electrónicos y descargan archivos adjuntos (algunos de los cuales pueden incluir malware), y en ciertos casos hacen clic en vínculos acortados que aparecen en Twitter, LinkedIn o Facebook. Algunos de ellos los redirigen a sitios web infectados y son señuelos para que caigan en engaños.
3. Reutilizar contraseñas

El mayor paso en falso que los usuarios informáticos siguen dando es el uso de contraseñas débiles o reutilizadas, que los atacantes pueden adivinar mediante ataques por fuerza bruta.

La administración de contraseñas puede ser un problema: un estudio reveló que, en el Reino Unido solamente, la persona promedio usa contraseñas para 19 cuentas diferentes.

El surgimiento de programas para administrar contraseñas y de la tecnología biométrica mejoró algunas de estas dificultades, pero de todas maneras es probable que la seguridad de las contraseñas siga siendo un problema para algunos usuarios.

Por más sorprendente que parezca, esta contraseña seguía siendo la más popular en 2014.
4. Dar datos de más en las redes sociales

Las generaciones Y y Z usan cotidianamente Twitter, Facebook, Instagram y otras plataformas sociales, así como WhatsApp, Viber y otros servicios similares de mensajería instantánea.

Estas generaciones más jóvenes comparten prácticamente cada detalle intrincado de sus vidas, lo que lleva a la posibilidad de que dicha información online se intercepte, se robe o simplemente se venda a criminales.

Esta información también se puede vender a terceros comerciantes para que hagan publicidad dirigida, y es probable que los cibercriminales usen la misma información públicamente disponible para realizar ataques de Ingeniería Social, como enviar correos electrónicos o vínculos para ataques de phishing.

    No tener soluciones de seguridad

    Los programas antivirus cambiaron y evolucionaron en los últimos años. Su objetivo es detectar y eliminar en forma proactiva virus, troyanos, gusanos y otras clases de malware para mantenerte protegido. Sin embargo, algunas personas aún no tienen una solución de seguridad, aunque es una de las primeras líneas de defensa – junto con tener buenos hábitos y mantener los sistemas actualizados.

6. Creer que "eso no va a pasar"

Uno de los mayores problemas que tienen las personas con la seguridad de la información no es algo que ignoran, como instalar parches o descargar una solución de seguridad, sino la sensación de que ellos no son un objetivo deseado para los cibercriminales.

Los individuos y las empresas siguen adoptando el mismo enfoque de que "esto no va a pasarme a mí". Ignoran las prácticas de seguridad esenciales y luego expresan su sorpresa cuando pierden datos, dinero o información como resultado de un ataque informático.
7. Dejar los dispositivos sin supervisión

Un error simple que muchos siguen cometiendo es dejar los equipos de escritorio o portátiles sin supervisión y desbloqueados. Lo mismo aplica a dispositivos móviles, como smartphones y tabletas.

No cabe duda de que el mayor riesgo es el robo del dispositivo, pero si se dejan desbloqueados también pueden exponer a los usuarios al robo de datos o a que te espíen mientras navegas online (lo que conocemos como "shoulder surfing").

8. Navegar con conexiones desprotegidas

Todos exigimos tener Wi-Fi gratuito en todas partes adonde vayamos, ya sea para poder navegar en Internet, verificar la cuenta de Twitter o Facebook, comprar productos online, vigilar las transacciones bancarias o realizar una llamada VoIP.

Pero a veces nos conectamos a redes Wi-Fi públicas de mucho tráfico que no son seguras y son abiertas, como en un café. En estas conexiones de Wi-Fi abiertas que no están protegidas por contraseña, las visitas a sitios web HTTP sin cifrar (no HTTPS) pueden permitirle a un atacante llevar a cabo un ataque Man-in-the-Middle (MITM) para interceptar el tráfico y monitorearlo para robar información, como contraseñas para transacciones bancarias online.
9. Ignorar las advertencias de los certificados SSL

¿Alguna vez visitaste un sitio web y recibiste una advertencia de seguridad de que la conexión no era segura? Probablemente alguna vez te pasó y quizá seguiste adelante y entraste a ese sitio no seguro.

La advertencia indica que el certificado SSL no es válido o venció, lo que hace que la conexión no sea segura y es más probable que un tercero logre comprometerla.

De hecho, investigadores de la universidad Carnegie Mellon University dijeron ya en el año 2009 que las advertencias sobre certificados digitales en los navegadores web no son una medida de seguridad efectiva, ya que muchos las ignoran. Hace poco, Google rediseñó sus advertencias de seguridad tras enterarse de que los usuarios de Chrome ignoraban 70% de las advertencias.
10. Descargar apps desde fuentes desconocidas

Ahora ya no es tan común, pero algunos dueños de smartphones y tabletas siguen descargando aplicaciones desde sitios web y tiendas de terceros no oficiales, lo que representa un riesgo masivo.

Algunas de estas tiendas contienen aplicaciones que son maliciosas o que parecen legítimas, pero que en realidad se volvieron a compilar incluyendo códigos maliciosos.
11. Liberar dispositivos móviles

Aunque algunos dueños de dispositivos iOS y Android prefieren liberar sus dispositivos para dejar de estar sujetos a las limitaciones impuestas por Google y Apple respectivamente, el proceso de jailbreak también representa un riesgo de seguridad.

"Lo que persigue un usuario con este proceso es acceder por completo al control del sistema operativo, pudiendo, entre otras cosas, descargar aplicaciones, extensiones y temas que no están en el repositorio oficial. Pero sucede que a la vez, este proceso deja un hueco de seguridad que podría ser aprovechado de forma maliciosa", explicó Camilo Gutierrez, Security Researcher de ESET, al analizar la funcionalidad Rootless de iOS 9 que para muchos es un impedimento para realizar jailbreak.

La liberación de dispositivos puede provocar que ciertas aplicaciones dejen de funcionar y se comporten de modo inusual, mientras que también los hace más propensos a ataques externos. Además, si cambias la configuración de un iPhone o iPad, anularás la garantía de Apple.

Y tú, ¿comestiste alguno de estos errores?

Fuente: WeliveSecurity

Desde su presentación oficial, algunos aficionados al mundo de la seguridad móvil hemos esperado pacientemente que esta herramienta fuese compartida para poner a prueba sus prometidas bondades. Estoy hablando de QARK, una utilidad para la identificación de vulnerabilidades en aplicaciones para Android que puede ser descargada gratuitamente desde el sitio de la aplicación en Github.

https://github.com/linkedin/qark

Sobre la herramienta...

La aplicación, cuyo nombre deriva de «Quick Android Review Kit», funciona escaneando de manera estática el código de aplicaciones basadas en Java para identificar fallas que puedan dar pie a una explotación futura o a la fuga de información, intentando fusionar comportamientos de Drozer y Metasploit. Por desgracia, solo se asegura su funcionamiento para plataformas Linux y Mac OS.

Entre sus virtudes –explican sus creadores– se encuentran la creación de reportes con los defectos encontrados detallando la severidad de la falla, su explicación y formas de explotación, y la generación automática de POC.

A través de este entorno de trabajo, un tester, auditor, investigador o programador podrá advertir vulnerabilidades en sus aplicaciones, como ser contenido inseguro dentro de componentes del tipo WebView, incorrecta validación de certificados, susceptibilidad al tapjacking, manejo inseguro de URL, mala gestión de intentos, de claves criptográficas o del almacenamiento en bases de datos que posibilite inyecciones SQL.

No obstante, los desarrolladores de QARK desaconsejan la no realización de auditorías manuales sobre el código de la aplicación. Mientras diversifiquemos la naturaleza de las herramientas y procesos que hacen a la evaluación del aplicativo, mayor será la probabilidad de identificar aquellas fallas que permanecen pasivamente en nuestros sistemas.
¡Manos a la obra!

La herramienta es muy fácil de utilizar. A través del parámetro -s (–source), el usuario puede determinar si el escaneo de vulnerabilidades se dará sobre un APK (asignando el valor 1) o una carpeta de código fuente (con el valor 2).

En el primer caso, será necesario además declarar la ruta al APK en concreto con el parámetro -p. En el segundo, se deberá indicar la ruta al archivo manifiesto (-m) y a la carpeta raíz del código (-c).

Otros parámetros opcionales son -e para la generación de un APK exploit, -i para instalar el exploit antes producido en un dispositivo a través de ABD, -d para especificar los mensajes de depuración que se pretende recibir (10=Debug, 20=INFO, 30=Warning, 40=Error) y -r para indicar la ruta donde se espera que se almacenen los reportes generados.

Conocer estos parámetros es criterio suficiente para la correcta utilización de la aplicación; parte del resultado del análisis tras la ejecución de la herramienta se ilustra en la siguiente figura, donde vemos que se brinda además una breve explicación de cada potencial debilidad, característica que la vuelve sumamente útil para ser utilizada por desarrolladores que se inician en la seguridad.



Por su parte, el reporte se genera en formato HTML, permitiendo la exploración rápida de los resultados arrojados según la categoría de análisis a la que pertenece.





En resumen...

QARK permite el análisis rápido de vulnerabilidades, permitiendo identificar brechas comunes en las aplicaciones desde una perspectiva de auditoría de seguridad. Claro que no deja de invalidar la necesidad de un análisis manual del código que pueda revelar fallas más específicas.

Se trata de una herramienta extremadamente sencilla de utilizar, lo que la vuelve especialmente provechosa para desarrolladores de aplicaciones móviles que deseen entender cuáles son los puntos débiles existentes en sus creaciones con el objetivo de producir sistemas más robustos.

Sabemos que esta utilidad evolucionará en un futuro para adquirir nuevas funcionalidades. Solo resta esperar que nuevas versiones sean liberadas. En tanto, para saber más sobre esta aplicación puedes dirigirte a la presentación que la acompaña.

Créditos imagen: ©Mirandala/Flickr

Desde sus orígenes relativamente simplistas y de nicho (de cierta forma, en sintonía con el phishing), los webinjects avanzaron significativamente en los últimos años para convertirse en una amenaza mucho más sofisticada.

Hoy en día, constituyen una amenaza real para las instituciones financieras. De hecho, los ciberdelincuentes están utilizando cada vez más los kits de webinjects genéricos diseñados para consumo masivo, e incluso los personalizan y los añaden a sus troyanos bancarios con el objetivo de robar datos y dinero de las víctimas. En este artículo observaremos a estos kits más de cerca para entender mejor lo que hacen.
En el sentido más estricto del término

La inyección web es una herramienta gratuita y de código abierto diseñada principalmente para automatizar la prueba de las aplicaciones y servicios web. Los investigadores de seguridad la han estado utilizando durante los últimos 20 años para evaluar los componentes de los sistemas web con interfaz HTTP.

Son muchos los lugares donde se puede inyectar código en un sitio, una aplicación o un servicio web, por eso es esencial asegurarse de que los administradores las controlen siempre durante las pruebas de carga, los controles de calidad y la implementación de medidas de seguridad.
Cómo se aprovechan del sistema

Sin embargo, más recientemente, los delincuentes comenzaron a usar archivos de webinject junto con sus troyanos bancarios para robar información bancaria online u otros datos confidenciales de la víctima. En efecto, algunos delincuentes intentan deliberadamente incorporar archivos de webinject a sus variantes de malware para aumentar las posibilidades de robo de datos.

Estos son, básicamente, archivos de texto con un montón de código javascript y HTML, y los ciberdelincuentes los usan para atacar ciertas organizaciones mediante la inyección de códigos específicos en los navegadores de las víctimas en tiempo real y así poder modificar las páginas web que los usuarios están viendo.

Al usarse en conjunto con un troyano bancario, el webinject suele mostrar un mensaje emergente falso en un sitio legítimo, en general mientras la víctima está utilizando su servicio bancario online o está haciendo una transacción.

Los cibercriminales se esfuerzan para que la página web parezca legítima y, mientras el usuario navega en ella, roban sus datos de inicio de sesión y detalles bancarios. Algunos kits buscan información de seguridad cuando el usuario inicia la sesión en el sitio del banco, o incluso piden permiso para transferir fondos, por lo general bajo el pretexto de que el dinero fue transferido a la cuenta del usuario accidentalmente, por lo que éste debe proceder a su reembolso.
Un nuevo enfoque para un viejo conocido

"Aunque es una técnica bastante antigua, ha evolucionado considerablemente en los últimos años", escribió Jean-Ian Boutin, investigador de malware de ESET, en un post donde comenta su paper titulado Evolution of Webinjects (La Evolución de Webinjects). Este estudio, presentado en la 24º Conferencia de Virus Bulletin en Seattle, analiza el alcance que tuvieron los inyectores web.

"Por lo general, los troyanos bancarios descargan algún tipo de archivo de configuración de webinject, que especifica el objetivo de ataque e incluye el contenido que deberá inyectar en la página web de destino", continuó.

"Algunos webinjects tratan de robar información personal del usuario mediante la inyección de campos adicionales en los formularios que la víctima está usando en ese momento, lo que crea una página de phishing elaborada. Otros son mucho más complejos e incluso podrían tratar de automatizar transferencias fraudulentas desde la cuenta bancaria de la víctima hacia la cuenta bancaria de una 'mula'".
Multifacéticos y sumamente especializados

La rapidez con la que avanza el desarrollo de los webinjects es tal que ya se convirtieron en productos básicos, disponibles para la venta o negociación en "foros clandestinos" y modificados a medida según las necesidades específicas de los ciberdelincuentes que quieran atacar un banco determinado u otras instituciones financieras.

Por otra parte, los escritores del software de webinject ahora son capaces de producir kits personalizados por solo una fracción del costo que tenían antes, aunque aquellos con características especiales (como la capacidad de tomar un saldo bancario y enviarlo al servidor de Comando y Control) cuestan más; sin embargo, teniendo en cuenta las posibles recompensas, es una inversión que muchos atacantes no dudan en hacer.

Si bien muchos de estos establecimientos bancarios y financieros cuentan con sistemas exclusivos de seguridad, el hecho de que los webinjects se pueden personalizar para superar tantas medidas de seguridad distintivas es algo preocupante. Subestimar este hecho es un grave error: el vigor que muestra el mercado negro sugiere que los criminales detrás de los webibjects apenas están empezando.

WeLiveSecurity.

La policía de Manchester, en el Reino Unido, fue blanco ayer de un ataque distribuido de denegación de servicio (DDoS), que hizo que su sitio web deje de funcionar.

En una declaración oficial, dijo que el sitio de "la Fuerza" (the Force, en inglés) había sido derribado dos veces tras el ataque -que se lleva a cabo generando un gran flujo de información desde varios puntos de conexión.

Según reportó, los análisis iniciales no encontraron nada adverso y pudieron restaurar el sistema con bastante rapidez. Sin embargo, la evaluación resultó ser defectuosa, ya que apenas habían conseguido ponerlo en línea otra vez, quedó de baja de nuevo.

Luego del segundo incidente, un usuario de Twitter bajo el apodo Prince le dijo a la policía de Manchester, textualmente y traducido al español: "Creo que el responsable de estos problemas fui yo ".

El individuo, que afirma ser de Lituania, amenazó a la fuerza policial: "Revelen por ahí que yo fui el que derribó su sitio o no voy a parar aquí".

Esto fue una respuesta directa a un tuit anterior enviado por la policía, en el cual le informó a sus seguidores que su sitio estaba experimentando "dificultades técnicas".

"Lo estamos tratando como un ataque distribuido de denegación de servicio, que es un intento malicioso de interrumpir servicios", comentó el condestable subjefe Ian Hopkins. "Quiero tranquilizar a las personas porque el servidor del sitio no está conectado a ningún otro sistema de la Fuerza, y toda la información contenida en el sitio es pública".

Hopkins finalizó: "Pedimos disculpas por cualquier inconveniente que esto pueda haber causado a los miembros del público y estamos trabajando para resolver este problema tan pronto como sea posible".

Hace algunos días, la Agencia Nacional de la Delincuencia del Reino Unido también fue víctima de un ataque DDoS, en lo que se cree fue una respuesta directa al anuncio del organismo, el mes pasado, de que había arrestado a seis personas como parte del operativo Operation Vivarium.

Se cree que estos individuos han estado usando la herramienta conocida como Lizard Stresser, que básicamente permite pagar para dejar fuera de servicio sitios web por ocho horas cada vez.

Tony Adams, jefe de investigaciones de la Unidad de Delito Cibernético Nacional, dijo en ese entonces: "Pagando una tarifa comparativamente baja, herramientas como Lizard Stresser pueden invalidar compañías financieramente y privar a las personas del acceso a información importante y servicios públicos".

Fuente: WeLiveSecurity

[Campus Party:]

Hola, para todos aquellos usuarios que comienzan en este mundo de la informática, espero les sirvan estos tutoriales para que puedan aprender de la mano de
grupos que se han hecho un hueco en este área de la InSeguridad informática:
** Algunos videos están en ingles.


Video tutoriales sobre charlas y eventos de los diferentes grupos de "Hacking":


 Campus Party:

Web: http://www.campus-party.org/
Blog: http://blog.campus-party.es/
Twitter: https://twitter.com/campusparty
Facebook: https://es-es.facebook.com/CampusParty
Google +: http://google.com/+campusparty
Youtube: https://www.youtube.com/user/campusparty
Wiki: https://es.wikipedia.org/wiki/Campus_Party
Instagram: https://instagram.com/campuspartymx/
Flickr: https://www.flickr.com/photos/campusparty  


Listado completo de CPC06:

Link: https://www.youtube.com/results?search_query=CPCo6


CPCO6 - Pentesting en la era post-PC:

Link: https://www.youtube.com/watch?v=kNTeIytD5Bk

CPCO6 - Tips y Experiencias de un consultor de seguridad informatica:

Link: https://www.youtube.com/watch?v=WFwsho6Ae5Y

CPCO6 - Windows 8.1: red y seguridad:

Link: https://www.youtube.com/watch?v=tp5sxpq5-Hs

CPCO6 - Mi vecino hacker:

Link: https://www.youtube.com/watch?v=oeohX8A1eg0

CPCO6 - Fuzzing y desarrollo de exploits:

Link: https://www.youtube.com/watch?v=6aZxGZlMNkA

CPCO6 - Cibercrimen y amenazas a la seguridad en Internet:

Link: https://www.youtube.com/watch?v=qsEICTegEsM

CPCO6 - Hackeando con Raspberry Pi:

Link: https://www.youtube.com/watch?v=4nMuaw8LXIE

CPCO6 - Experiencia de Emprendedores Exitosos:

Link: https://www.youtube.com/watch?v=h-S0vvHKAR0

CPCO6 - Marketing Digital, tácticas en redes sociales y posicionamiento en canales digitales:

Link: https://www.youtube.com/watch?v=spailcA1BZY

CPCO6 - Computación Cuántica:

Link: https://www.youtube.com/watch?v=Bx3evrim9SY

CPCO6 - Ciudadanía Digital:

Link: https://www.youtube.com/watch?v=CiWEoFeDCPk

CPCO6 - Robótica Social:

Link: https://www.youtube.com/watch?v=THbYhgz2P8o

CPCO6 - Usa Linux decían... porque en Linux no existen virus:

Link: https://www.youtube.com/watch?v=XZV4G7DcQuo

CPCO6 - El CIO del Futuro:

Link: https://www.youtube.com/watch?v=R0jLCu63oXw

CPCO6 - javascript para dummies:

Link: https://www.youtube.com/watch?v=Dn0GiWOfaco

CPCO6 - Cibercrimen y amenazas a la seguridad en Internet:

Link: https://www.youtube.com/watch?v=qsEICTegEsM

CPCO6 - Analítica web: más allá de un número de visitas:

Link: https://www.youtube.com/watch?v=8ZiOwuhhqFo

CPCO6 - ¿Cuáles son los elementos de valor en la iniciativas E-Commerce?:

Link: https://www.youtube.com/watch?v=RjF_3lYk_PU

CPCO6 - MySQL & Java: Software Libre e innovación ORACLE:

Link: https://www.youtube.com/watch?v=3fxlWrvr-jA

CPCO6 - Ciudades inteligentes y alternativas en Emprendimiento Social:

Link: https://www.youtube.com/watch?v=bnizOtdcLoA

CPCO6 - Herramientas de Software Libre para el monitoreo de Data Centers:

Link: https://www.youtube.com/watch?v=GgGiuZdPJ_g



CPR03: https://www.youtube.com/playlist?list=PLDGCwzz2K44K69E1eZPf14Zs-9bzT0UY7



CPMX5: https://www.youtube.com/playlist?list=PLDGCwzz2K44LJKHnwVEqe6hUEV-rGUPPl


  RootedCON:

Web: http://www.rootedcon.com/
Twitter: https://twitter.com/rootedcon
Slideshare: http://es.slideshare.net/rootedcon:
Vimeo: https://vimeo.com/rootedcon # https://vimeo.com/rootedcon/videos (92 videos)
Youtube: https://www.youtube.com/user/rootedconmadrid


Pablo González Juan Antonio Calles - Cyberwar: Looking for... touchdown!:

Link: https://www.youtube.com/watch?v=G7pM5FZJl20

Jorge Bemúdez - LECr* elviervice Pack 2:

Link: https://www.youtube.com/watch?v=-PfcUXCwjOM

Raúl Siles - Android: Back to the Future (Too? or Two?):

Link: https://www.youtube.com/watch?v=cEKu8Cw1Dyo

Cesar Lorenzana & Javier Rodríguez -- Por qué lo llaman APTŽs:

Link: https://www.youtube.com/watch?v=mj0bjoNEaYk

Raúl Siles -- iOS: Regreso al futuro:

Link: https://www.youtube.com/watch?v=UMhGKXPOacw

Jose Luis Verdeguer & Víctor Seva -- Secure Communications System:

Link: https://www.youtube.com/watch?v=RU1I9deLl_E

Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven:

Link: https://www.youtube.com/watch?v=_T6tCqi0NDI

José Luis Quintero & Felix Estrada - De Juegos de Guerra a La Jungla 4:

Link: https://www.youtube.com/watch?v=QXZRHt-Jbg0

Andrés Tarasco - Ataques dirigidos con APTs Wi-Fi:

Link: https://www.youtube.com/watch?v=3M3tX6ehNdo

Hugo Teso - Profundizando en la seguridad de la aviación:

Link: https://www.youtube.com/watch?v=i_8pC_Ox1aw

Borja Berástegui - Handware hacking: Si hay un "input", hay peligro:

Link: https://www.youtube.com/watch?v=dz_jjhUfznY

Pablo San Emeterio & Jaime S?ánchez - WhatsApp, mentiras y cintas de video :

Link: https://www.youtube.com/watch?v=D9AM-n6WDZw

Alfonso Muñoz - Ocultación de comunicaciones en lenguaje natural:

Link: https://www.youtube.com/watch?v=KZakb7WBBmY

Pau Oliva - Bypassing wifi pay-walls with Android:

Link: https://www.youtube.com/watch?v=D-abv6ZzVKY

Antonio Ramos -- Agilidad. La vía a la seguridad:

Link: https://www.youtube.com/watch?v=S20afSJPswc

Manu Quintans & Frank Ruiz - 50 shades of crimeware:

Link: https://www.youtube.com/watch?v=AXuF-GQ6t5I

Juan Vazquez & Julián Vilas - A patadas con mi SCADA!:

Link: https://www.youtube.com/watch?v=oEwxm8EwtYA

José Pico & David Pérez - Atacando 3G:

Link: https://www.youtube.com/watch?v=vIMysm0nswY

Aladdin Gurbanov - Magnetic Road:

Link: https://www.youtube.com/watch?v=ErnnpH3d6fU

Miguel Tarasco - Análisis WiFi de forma nativa en Windows:

Link: https://www.youtube.com/watch?v=uDiCw5_mZUI

Raj Shah - The Kill Chain: A day in the life of an APT:

Link: https://www.youtube.com/watch?v=zg5w2P49_08

David Barroso - Infección en BIOS, UEFI y derivados:

Link: https://www.youtube.com/watch?v=Za9rwt2RDsE

Eduardo Arriols - Physical Penetration Testing:

Link: https://www.youtube.com/watch?v=hngTacTVT3Y

Chema Alonso - Playing and Hacking with Digital Latches:

Link: https://www.youtube.com/watch?v=qvYnrQ4nWCc

RootedPANEL - ¿Tiene que dar alguien el carnet de hacker?:

Link: https://www.youtube.com/watch?v=07qzvAWx66k

Jorge Bermúdez -- Los hackers son de Marte, los jueces son de Venus:

Link: https://www.youtube.com/watch?v=QoE0A_jKRWU

Joaquí?n Moreno - Forense a bajo nivel en Mac OS X:

Link: https://www.youtube.com/watch?v=KrcmTNoZwQ4

Alberto Cita - Skype sin Levita. Un análisis de seguridad y privacidad:

Link: https://www.youtube.com/watch?v=Gd1JcOxUe48

Roberto Baratta - Monetizando la seguridad: De más con menos a más con nada:

Link: https://www.youtube.com/watch?v=VRjcxTA7kbQ

David Perez y José Picó - Ampliando el arsenal de ataque Wi-Fi:

Link: https://www.youtube.com/watch?v=Lpfdd0kOB5g

Chema Alonso - Can I play with madness:

Link: https://www.youtube.com/watch?v=KCJgqLz6fm0

José Selvi - Adaptando exploits para evitar la frustración:

Link: https://www.youtube.com/watch?v=IehV8MRsT3s

Jeremy Brown & David Seidman - Microsoft Vulnerability Research:

Link: https://www.youtube.com/watch?v=b2oHRcoXhd0

Roberto Baratta - eFraude: ganar gestionando la derrota:

Link: https://www.youtube.com/watch?v=aME6on89WQQ

José Pico y David Pérez - Sistema de localización geográfica de un terminal móvil:

Link: https://www.youtube.com/watch?v=-pR7cm2V9u8

Sigue en el siguiente comentario...

Source mail:

Código [Seleccionar] Expandir

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=softfail (sender IP is 5.208.156.149; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=etgfln@icloud.com; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=icloud.com; x-hmca=fail header.id=etgfln@icloud.com
X-SID-PRA: etgfln@icloud.com
X-AUTH-Result: FAIL
X-SID-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: isY2VobhFN9+PbbdQNbelA4VPcMc8X5j6ZduBEJ3NDcymurPntd93lyW4ri5A696fd409PCJT656gZdcqFx6mW8pshkRw+VEn+d2vbdytgMk/S2+TncgizEtAxrmsb0bxVEmi2pFVx0bDnRuGIKNf3UEUUJrd3rgEL8yEKgNfyhUFwYdqgFd77xvd1Ef2uxRBlrCYa3JXtiiRp6NpjfKRWzOMdwrUJOR
Received: from icloud.com ([5.208.156.149]) by COL004-MC5F5.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);
Sun, 10 May 2015 10:25:30 -0700
Message-ID: <006101d08b46$4ddf8450$8d84676f@SVZQM>
From: "Vegas Casino" <etgfln@icloud.com>
To: <trojan_mom@hotmail.com>
Subject: Free 100$ on Us
Date: Sun, 10 May 2015 19:25:26 -0-100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_005E_01D08B57.11685450"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Return-Path: etgfln@icloud.com
X-OriginalArrivalTime: 10 May 2015 17:25:31.0620 (UTC) FILETIME=[50F8D240:01D08B46]

This is a multi-part message in MIME format.

------=_NextPart_000_005E_01D08B57.11685450
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Dear Customer,

With the Cool Cat Casino Instant-Win Scratch Ticket Game you can get $100 =
on the house right now.

Click below to claim. Just by visiting our site, you will automatically =
receive a 100 dollar chip that you can use to play over 100 of the best =
games online. From all your favorites, like Blackjack and Roulette, to new =
original games, including our new scratch card games, Cool Cat Casino =
wants to make playing and winning as easy as scratching a virtual ticket.

hxtp://t.cn/RAeG2Ku


Sincerely,

Cool Cat Casino Staff


-----------------------------
If you would like to not be contacted from us in the future please press =
on the link below:
hxtp://t.cn/RAeGoYr
------=_NextPart_000_005E_01D08B57.11685450--


__________________


URL: hxtp://t.cn/RAeG2Ku

UQ: http://urlquery.net/report.php?id=1431286944590
VT: https://www.virustotal.com/es/url/d871cbfb07a343af009c12ec8c1b6d759746b482baba82bf84990da428df06ad/analysis/1431286951/
PB: http://pastebin.com/FG4PkQtd


IP   180.149.135.224
ASN   AS23724 IDC, China Telecommunications Corporation
Location   [China] China


Setup.exe:

VT: https://www.virustotal.com/es/file/7e3575349318701e5049963a546257a1babee6e45d9bde40630aaedc83b2d4fd/analysis/1431287817/ --> 8/57
PB: http://pastebin.com/qETmtSj7 (Strings)




Strings:




@ehn_labs

Hoy me ha llegado este mensaje:

Código [Seleccionar] Expandir

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=softfail (sender IP is 177.86.85.53; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=ildmtfumev@icloud.com; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=icloud.com; x-hmca=fail header.id=ildmtfumev@icloud.com
X-SID-PRA: ildmtfumev@icloud.com
X-AUTH-Result: FAIL
X-SID-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 4kU6N5vIigdQZ1PXxV4SlsQf+bE6DPf1q3Q2RZePiMhfETCaHvNokNMig8sWHRr579sJ6j4vU2qjsh5CxTsAJEQLJpCz48Y3iJma2G5RyODi+zuU33hCPCK+wAfqqcVmKGFhQamBN3YGSI/dEsyAI1gm+LX+zb0JvCR3nK/h71cpk05BB8jfSOm8gjxdT7IKGQhJFkKS4xMG3ABs+4c3j3VlU+oD1+e5
Received: from icloud.com ([177.86.85.53]) by COL004-MC2F43.hotmail.com with Microsoft SMTPSVC(7.5.7601.23008);
Sun, 3 May 2015 20:39:58 -0700
Message-ID: <013301d0861b$fbdd2ec0$639cfaec@pibryx>
From: "Size XXL" <ildmtfumev@icloud.com>
To: <twright2000@hotmail.com>,
<tommoe@hotmail.com>
Subject: Buddy, you can last all night
Date: Mon, 04 May 2015 05:39:54 -0-100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0130_01D0862C.BF65FEC0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Return-Path: ildmtfumev@icloud.com
X-OriginalArrivalTime: 04 May 2015 03:39:59.0309 (UTC) FILETIME=[FEEF77D0:01D0861B]

This is a multi-part message in MIME format.

------=_NextPart_000_0130_01D0862C.BF65FEC0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Don't bore your sex partner in bed. Follow theses 2 steps and Become a Sex =
Machine today!

hxtp://t.cn/RAR2EPh

Go Here For A Risk Free Trial...


Click here to unsubscribe
hxtp://t.cn/RAR2n7P
------=_NextPart_000_0130_01D0862C.BF65FEC0--

Revisando la url acortada:



Aquí el source de la página a la que se nos redirige: http://pastebin.com/Avcm7HB5

URL: hxtp://jraux.com/menstar

UQ: http://urlquery.net/queued.php?id=396934007
WH: http://whois.domaintools.com/118.193.198.105
IP   118.193.198.105
ASN   AS58879 Shanghai Anchang Network Security Technology Co.,Ltd.
Location   [China] China

System: Apache 2.2.15 (CentOS) port 80

Código [Seleccionar] Expandir

<html>

<head>
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<title>Male Pornstar Blog - Secrets To Fuck Like a Pornstar!</title>
</head>

<frameset rows="0,*" cols="*">
 <frame name="header" scrolling="no" noresize target="main" src="/menstar/top.html">
 <frame name="main" src="/menstar/index1.html">
 <noframes>
 <body>

 <p>This page uses frames, but your browser doesn't support them.</p>
 </body>
 </noframes>
</frameset>



Vista de los frames:

Código [Seleccionar] Expandir

 <frame name="header" scrolling="no" noresize target="main" src="/menstar/top.html">
 <frame name="main" src="/menstar/index1.html">

Source "/menstar/index1.html": pastebin.com/x5ZAVqeJ

Otra página incluida en el source es: hxtp://secure.drowl.com


Saludos.

La noticia es del dia 24 pero no la vi por el foro.

Cientos de gasolineras en España y miles en total en otros países son completamente vulnerables a ataques informáticos que, entre otras cosas, podrían poner en riesgo la seguridad de sus tanques de combustible. Un experto en seguridad ha destapado el fallo. Lo más grave: en España, por ejemplo, ni autoridades ni petroleras han solucionado aún el problema.

El agujero de seguridad lo destapó a finales de marzo Amador Aparicio, ingeniero superior en informática y especialista en seguridad. Su hallazgo, detallado por él mismo en un artículo en el blog Security by Default, fue preocupante: por descuido o negligencia profesional, muchas gasolineras tienen su propia red privada conectada a Internet y, lo grave, completamente desprotegida. A esta red interna se conectan todos sus sistemas, desde la caja registradora a los dispositivos de monitorización de los tanques de combustible. Aparicio descubrió no solo que la red está conectada a Internet y que los envíos de datos no están cifrados, sino que el acceso a sistemas críticos ni siquiera está protegido con una simple contraseña y nombre de usuario. Pudo entrar hasta la cocina, desde las cámaras de vigilancia o el TPV para cobrar a los clientes, hasta los sistemas de control de los tanques de combustible. De hecho, cualquier persona con mínimos conocimientos informáticos puede acceder y manipular a placer los sistemas de la gasolinera con consecuencias potencialmente muy graves.

Amador lo explica en conversación telefónica con Gizmodo en Español:

    El fallo permite, por ejemplo, manipular el sistema de alarmas de los tanques de combustible. Cada gasolinera tiene unos tanques donde almacena combustible. Estos cuentan con dispositivos que monitorizan el estado de los tanques, su temperatura, si tienen gasolina o gasóleo, cuánto queda... Puedes entrar y desactivar sin problema las alarmas, como las de temperatura. Si la temperatura del tanque empieza a subir por un fallo técnico, el operario no recibiría ninguna alarma. Imagínate qué pasaría...

Desde luego, nada bueno....

Sigue leyendo...:

http://noticiasseguridad.com/vulnerabilidades/el-grave-fallo-de-seguridad-que-permite-hackear-miles-de-gasolineras/

Saludos.

Interesantes estos tutoriales desde forum.reverse4you.org, espero no lo tomen como spam, están en ruso, así que toca tirar de google traductor para entenderlos, o el que sepa ruso pues mejor:

https://forum.reverse4you.org/showthread.php?t=1327

Contenido:

    Malware Analysis Tutorial 1: VM Based Analysis Platform (Перевод: Prosper-H)
    Malware Analysis Tutorial 2: Introduction to Ring3 Debugging (Перевод: Prosper-H)
    Malware Analysis Tutorial 3: Int 2D Anti-Debugging (Part I) - (Перевод: Prosper-H)
    Malware Analysis Tutorial 4: Int 2D Anti-Debugging (Part II) - (Перевод: Prosper-H)
    Malware Analysis Tutorial 5: Int 2D in Max++ (Part III) - (Перевод: Prosper-H)
    Malware Analysis Tutorial 6: Self-Decoding and Self-Extracting Code Segment (Перевод: Prosper-H)
    Malware Analysis Tutorial 7: Exploring Kernel Data Structure (Перевод: Prosper-H)
    Malware Analysis Tutorial 8: PE Header and Export Table (Перевод: Prosper-H)
    Malware Analysis Tutorial 9: Encoded Export Table (Перевод: Prosper-H)
    Malware Analysis Tutorial 10: Tricks for Confusing Static Analysis Tools (Перевод: Prosper-H)
    Malware Analysis Tutorial 11: Starling Technique and Hijacking Kernel System Calls using Hardware Breakpoints (Перевод: coldfire)
    Malware Analysis Tutorial 12: Debug the Debugger - Fix Module Information and UDD File (Перевод: coldfire)
    Malware Analysis Tutorial 13: Tracing DLL Entry Point (Перевод: coldfire)
    Malware Analysis Tutorial 14: Retrieve Self-Decoding Key (Перевод: coldfire)
    Malware Analysis Tutorial 15: Injecting Thread into a Running Process (Перевод: coldfire)
    Malware Analysis Tutorial 16: Return Oriented Programming (Return to LIBC) Attack (Перевод: coldfire)
    Malware Analysis Tutorial 17: Infection of System Modules (Part I: Randomly Pick a Driver) (Перевод: Prosper-H)
    Malware Analysis Tutorial 18: Infecting Driver Files (Part II: Simple Infection) (Перевод: Prosper-H)
    Malware Analysis Tutorial 19: Anatomy of Infected Driver (Перевод: ximera)
    Malware Analysis Tutorial 20: Kernel Debugging - Intercepting Driver Loading (Перевод: ximera)
    Malware Analysis Tutorial 21: Hijacking Disk Driver (Перевод: Prosper-H)
    Malware Analysis Tutorial 22: IRP Handler and Infected Disk Driver (Перевод: Prosper-H)
    Malware Analysis Tutorial 23: Tracing Kernel Data Using Data Breakpoints (Перевод: Prosper-H)
    Malware Analysis Tutorial 24: Tracing Malicious TDI Network Behaviors of Max++ (Перевод: Prosper-H)
    Malware Analysis Tutorial 25: Deferred Procedure Call (DPC) and TCP Connection (Перевод: Prosper-H)
    Malware Analysis Tutorial 26: Rootkit Configuration (Перевод: ximera)
    Malware Analysis Tutorial 27: Stealthy Loading of Malicious Driver (Перевод: Prosper-H)
    Malware Analysis Tutorial 28: Break Max++ Rootkit Hidden Drive Protection (Перевод: Prosper-H)
    Malware Analysis Tutorial 29: Stealthy Library Loading II (Using Self-Modifying APC) (Перевод: Prosper-H)
    Malware Analysis Tutorial 30: Self-Overwriting COM Loading for Remote Loading DLL (Перевод: Prosper-H)
    Malware Analysis Tutorial 31: Exposing Hidden Control Flow (Перевод: coldfire)
    Malware Analysis Tutorial 32: Exploration of Botnet Client (Перевод: coldfire)
    Malware Analysis Tutorial 33: Evaluation of Automated Malware Analysis System I (Anubis) (Перевод: coldfire)
    Malware Analysis Tutorial 34: Evaluation of Automated Malware Analysis Tools CWSandBox, PeID, and Other Unpacking Tools (Перевод: coldfire)


Saludos.

[The Talos TeslaCrypt Decryption Tool:]

Hola a todos, mirando sobre este nuevo ransomware, encontré una tool para recuperarlos.
Pueden ver el tema aquí, información y funcionamiento:

http://blogs.cisco.com/security/talos/teslacrypt?utm_source=twitterfeed&utm_medium=twitter&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos+Blog%29

The Talos TeslaCrypt Decryption Tool:



Lista de comandos a usar:

   /help – Show the help message
   /key – Manually specify the master key for the decryption (32 bytes/64 digits)
   /keyfile – Specify the path of the "key.dat" file used to recover the master key.
   /file – Decrypt an encrypted file
   /dir – Decrypt all the ".ecc" files in the target directory and its subdirs
   /scanEntirePc – Decrypt ".ecc" files on the entire computer
   /KeepOriginal – Keep the original file(s) in the encryption process
   /deleteTeslaCrypt – Automatically kill and delete the TeslaCrypt dropper (if found active in the target system)

Descarga:

Windows binary:
http://labs.snort.org/files/TeslaDecrypt_exe.zip
ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6

Python script:
https://labs.snort.org/files/TeslaDecrypt_python.zip
ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e

Source code to Windows binary:
https://labs.snort.org/files/TeslaDecrypt_cpp.zip
ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0

Espero les sirva de ayuda.

Saludos.

Puedes hacer que Google borre los enlaces a fotos o textos molestos en sus resultados de búsqueda. Según la sentencia de la UE, tienes derecho a que los datos publicados sobre ti sean objetivos y veraces. Si no es el caso, los resultados han de ser eliminados. Para ello debes rellenar una petición.

http://computerhoy.com/paso-a-paso/internet/como-eliminar-contenidos-google-26033

Saludos.

Tanto Facebook como WhatsApp han sido conscientes desde el principio de que la activación de las llamadas de WhatsApp iba a causar una auténtica revolución a nivel mundial, y por eso han ideado un lioso sistema de betas, invitaciones, y activaciones escalonadas, que ha causado confusión entre los usuarios. Aunque ya están disponibles para la mayoría no terminan de ser fiables, se multiplican las llamadas perdidas, y funcionan de manera diferente a las llamadas convencionales.

Si aún no tienes claras sus limitaciones, ni cómo sacarles el máximo provecho, vamos a explicarte todo lo que necesitas saber para dominar, de una vez por todas, las llamadas de WhatsApp.

http://computerhoy.com/noticias/internet/llamadas-whatsapp-dominalas-vez-todas-26331

Saludos.

Agencia EFE - La idea del certamen es desmitificar los usos cotidianos de los robots y acercar la robótica a las personas como una oportunidad de mejorar sus vidas.

https://es.noticias.yahoo.com/feria-rob%C3%B3tica-chile-reunir%C3%A1-expertos-estados-unidos-latinoam%C3%A9rica-172603881.html

Saludos.

BMW actualiza el software de más de 2 millones de automóviles por una vulnerabilidad

http://unaaldia.hispasec.com/2015/02/bmw-actualiza-el-software-de-mas-de-2.html

Saludos.

Existen trámites que generan dolores de cabeza: denunciar un delito, interponer una demanda, solicitar certificados judiciales, redactar una tutela. Para cambiar esta percepción, el Ministerio de Justicia lanzó una herramienta electrónica que responde a las preguntas más frecuentes relacionadas con trámites jurídicos.

Se trata de la página web http://www.legalapp.gov.co/, en la que están al servicio del ciudadano 20.000 entidades y dependencias de la rama judicial. Entre las consultas frecuentes que registra el Ministerio aparecen las siguientes: "¿Cómo terminar el contrato de arriendo y recuperar el inmueble, por incumplimiento del arrendatario?"; "¿cómo presentar una acción de tutela para proteger mis derechos fundamentales?" y "¿qué debo hacer si quiero acordar o fijar la cuota de alimentos de mi hijo?".

http://www.eluniversal.com.co/tecnologia/una-app-le-acerca-la-justicia-los-ciudadanos-189575

Saludos.

La iXpand Flash Drive es una solución poderosa y a la vez fácil de utilizar que transfiere rápidamente fotos y videos desde un iPhone o iPad4 a una Mac o PC; sin cables, conexiones a Internet ni limitaciones de ancho de banda.  Además, mantiene la calidad de la foto o la resolución del video originales.

http://www.pcworldenespanol.com/2015/04/01/sandisk-estrena-ixpand-flash-drive-para-iphone-e-ipad/

Saludos.

Pese a su rectificación, persisten las sospechas sobre el proyecto de explotación de datos sanitarios...

http://ccaa.elpais.com/ccaa/2015/04/04/catalunya/1428165024_137330.html

Saludos.

El dibujo de cada dedo de cada persona es intransferible, un dato que ha permitido desarrollar sistemas biométricos

http://www.abc.es/tecnologia/noticias/20150405/abci-biometria-tecnologia-sistemas-201504042023.html

Personalmente tengo un portatil con este sistema y la verdad no he consegido vulnerarlo, de momento:



Saludos.

Unos de los errores característicos de Microsoft Windows son los pantallazos azules o bluescreen, que provocan que el equipo se reinicie de forma repentina, a veces inclusive sin llegar a leer el error para poder corregirlo. En esta entrada veremos una herramienta gratuita para analizar estos casos y así aplicar las correcciones pertinentes.
Empezando por el principio: ¿qué es una "pantalla azul"?

Los pantallazos azules son alertas iniciadas por el sistema operativo al recibir uno de los mensajes de error considerados como críticos; la solución predeterminada por el sistema en estos casos es recopilar toda la información posible, guardarla y apagar el equipo para prevenir daños.

Las causas más comunes son:

    Problemas entre versiones incompatibles de DLLs (archivos .dll). Windows carga esas DLL en memoria cuando son necesitadas por los programas; si son reemplazadas por otras más recientes (o más antiguas), la próxima vez que la aplicación cargue una, puede encontrarse con algo distinto a lo que espera. Estas incompatibilidades aumentan con el paso del tiempo, según se va instalando software.
    Defectuosos controladores de dispositivos, incompatibilidades de hardware o hardware dañado
    Exceso de calor en los dispositivos
    Falta de mantenimiento a nivel software y hardware
    Exceso de datos desde la memoria RAM, lo que produce un colapso del sistema

En síntesis, BSOD (por su sigla en inglés Blue Screen of Death) consiste en un bloqueo total del que solo es posible salir reiniciando manualmente desde el botón de reset o apagando físicamente desde la fuente de energía.
Los conflictos de pantalla azul no se solucionan reinstalando Windows. Si la causa se vuelve a dar después de la reinstalación del sistema operativo, se mantendrán los errores y proseguirán constantemente, por lo cual lo más lógico es conocer sus causas y corregirlas.

A continuación pueden ver una captura de un pantallazo azul generado en el laboratorio virtual:



Puedes leer el artículo completo desde aquí:

http://www.welivesecurity.com/la-es/2015/04/02/analizando-pantalla-azul-en-windows-bluescreenview/

Saludos.

En ocasiones, el estudio de los canales de comando y control utilizados por una familia específica de códigos maliciosos puede resultar un proceso engorroso y poco flexible, dificultando la identificación de los actores claves en la construcción de la red.

Malcom es una herramienta que pretende facilitar el análisis de las relaciones entre las diversas direcciones IP, dominios y servidores DNS que toman parte en una comunicación C&C, procesando rápidamente los datos recolectados y creando gráficos intuitivos que ponen en evidencia las conexiones entre equipos en red.

Para realizar la instalación de la aplicación, es posible seguir los pasos minuciosamente detallados en la documentación del producto en su sitio de GitHub. Además, Malcom brindará próximamente la posibilidad de trabajar de manera conjunta con Yara, para lo cual deberemos instalar en nuestro sistema el paquete yara-python.

Mediante su puesta en marcha podemos acelerar la identificación de los servidores de control y generar patrones de comportamiento de muestras, aportando a la rápida detección de elementos maliciosos en la arquitectura de red. Veamos entonces cómo podemos utilizar esta aplicación para facilitar el análisis de conexiones ilegítimas.

Leer el artículo completo:

http://www.welivesecurity.com/la-es/2015/04/03/examinando-estructuras-redes-maliciosas-malcom/

Saludos.

Aunque el articulo tiene unos meses me resultó curioso el análisis sobre el antivirus (http://www.kaspersky.com/it/trials PURE 3.0 Total Security).

En la imagen vemos el tipo de análisis que se ha aplicado, estructuras, comportamiento....



Podeis leer el articulo completo desde aquí:

https://quequero.org/2014/10/kaspersky-hooking-engine-analysis/

Saludos.

Desde la defcon22, nos ofrecen este video explicativo bastante interesante:

[youtube=640,360]https://www.youtube.com/watch?v=eQ2OZKitRwc&feature=youtu.be[/youtube]

Aquí la presentación en pdf: https://www.defcon.org/images/defcon-22/dc-22-presentations/Crenshaw/DEFCON-22-Adrian-Crenshaw-Dropping-Docs-on-Darknets-How-People-Got-Caught-UPDATED.pdf

Darknet: http://es.wikipedia.org/wiki/Darknet

By Adrian Crenshaw.

Fuente: https://twitter.com/_defcon_/status/553679408641626112

Saludos.

Via Twitter (@SecurityTube) aquí el video demostrativo:

[youtube=640,360]https://www.youtube.com/watch?v=3NOVNXALL-0[/youtube]

Más videos aquí:

http://www.pentesteracademy.com/video?id=484&utm_source=HT&utm_medium=twitter&utm_campaign=DSM

Saludos.

Desde este tema podremos ver el funcionamiento del primer bootkit conocido para OS X:

Fuente: http://arstechnica.com/security/2015/01/worlds-first-known-bootkit-for-os-x-can-permanently-backdoor-macs/?linkId=11633641

Saludos

Desde estos servicios web podréis ver casi en tiempo real ataques diversos, ciertas páginas se enfocan a diferentes tipos de ataques, otras a investigar (honeypots), etc:

http://map.ipviking.com

https://cybermap.kaspersky.com

https:www.fireeye.com/cyber-map/threat-map.html

http://globalsecuritymap.com

http://map.honeynet.org

http://www.digitalattackmap.com

http://globe.cyberfeed.net

http://www.akamai.com/html/technology/dataviz1.html

http://sicherheitstacho.eu

http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/

http://globe.f-secure.com

http://worldmap3.f-secure.com

PD: Se irán añadiendo más...

Saludos.

Este tema ya lo había visto, aunque en otra web, aquí detallan paso a paso donde esta el fallo, creo aún no corregido:

http://www.offensive-security.com/vulndev/disarming-and-bypassing-emet-5-1/

El tema no es nuevo, non llega a un mes, pero me pareció curioso ...

Saludos.

La explotación de vulnerabilidades en el software que actualmente utilizamos se ha convertido en una de las principales preocupaciones dentro de las organizaciones, por lo que el desarrollo seguro de aplicaciones adquiere mayor relevancia.

Actividades como análisis estáticos o dinámicos, pruebas de fuzzing y buenas prácticas aplicadas en cada una de las distintas fases de desarrollo, contribuyen a reducir las debilidades asociadas al desarrollo de software.
BinScope Binary Analyzer

En los ambientes de desarrollo una práctica considerada es la ejecución de análisis dinámicos orientados a verificar la funcionalidad del software en tiempo de ejecución. De forma específica para ambientes Windows, esto se define en la fase de verificación del proceso de desarrollo Security Development Lifecycle (SDL).

Para ello se recomienda el uso de herramientas que monitorean el comportamiento de las aplicaciones como respuesta a problemas de seguridad críticos, por ejemplo, la corrupción de memoria o los que se relacionan con los privilegios de usuario. Un programa orientado a este fin y propuesto dentro de SDL es el analizador de binarios BinScope.

Se trata de una herramienta de verificación disponible de forma gratuita, como parte del Microsoft SDL Toolset. Analiza archivos binarios para comprobar que han sido construidos en cumplimiento con los requisitos y recomendaciones plasmados en SDL. Las fases de este proceso junto con las herramientas recomendadas tienen como objetivo la creación de aplicaciones más seguras y la reducción de los costos asociados a dichos desarrollos.
Archivos binarios y bibliotecas de vínculos dinámicos

BinScope puede ser utilizado para archivos binarios, es decir, aquellos que pueden almacenar cualquier tipo de información y que por lo tanto no puede ser interpretada por un procesador de texto. Para nuestro ejemplo, hablaremos acerca de la teoría relacionada con las bibliotecas de vínculos dinámicos y la forma en la que esta herramienta permite llevar a cabo la revisión para la identificación de vulnerabilidades.

En los sistemas operativos Windows, las bibliotecas de vínculos dinámicos (DLL por sus siglas en inglés), son archivos con código y datos que pueden ser utilizados por más de un programa de forma simultánea, lo que permite la modularidad y reutilización de código, uso eficaz de memoria y de espacio en disco. Cuando se ejecuta un programa, parte de la funcionalidad es proporcionada por estas bibliotecas.

Si un programa hace uso de un archivo DLL, dos métodos de vinculación permiten llamar a las funciones exportadas del archivo DLL: vinculación dinámica en tiempo de carga y vinculación dinámica en tiempo de ejecución.

En el caso de la vinculación dinámica en tiempo de ejecución, una aplicación llama a una función para cargar el archivo DLL, luego de que ha sido cargada correctamente obtiene la dirección de exportación de las funciones que desea ejecutar. Mientras que en la vinculación dinámica en tiempo de carga, es necesario importar un archivo de biblioteca.

Cuando una aplicación se compila y vincula con los archivos DLL requeridos para su funcionamiento, el sistema operativo busca las bibliotecas de vínculos dinámicos en la carpeta donde se encuentra la aplicación, la carpeta actual y finalmente en la carpeta de sistema de Windows.

A partir del desarrollo de Microsoft .NET las dificultades relacionadas con las DLL se eliminaron a través del uso de ensamblados. Un ensamblado es una unidad lógica de funcionalidad que se ejecuta bajo el control de .NET Common Language Runtime (CLR). El framework cuenta con un ensamblado como un archivo con extensión .DLL o .EXE.

Un archivo de ensamblado contiene un manifiesto de ensamblado, metadatos, código de lenguaje intermedio (MSIL) de Microsoft y otros recursos. El manifiesto del ensamblado contiene los metadatos que proporcionan toda la información necesaria: nombre, versión, información sobre nombre seguro, lista de ensamblados de archivos, referencias y dependencias.

Esta información nos sirve para conocer de manera formal la funcionalidad de BinsScope. De forma específica, esta herramienta comprueba la colocación de banderas de compilación/vinculación, uso de ensamblados con nombres seguros, uso de herramientas de construcción actualizadas, así como el uso de los encabezados Active Template Library (ATL) bien conocidos. También informa sobre desarrollos peligrosos que están prohibidas por SDL.
Instalación y uso de BinScope

En este ejemplo, hacemos uso de la versión 1.2, aunque ya se encuentra disponible la versión 2014. A partir de la descarga del programa, la instalación se realiza a través de un asistente como se muestra en la siguiente imagen:



La ejecución de la aplicación muestra una ventana en donde la pestaña de Configuración requiere la ubicación del archivo a analizar, ruta y nombre del archivo de salida para la generación del informe de resultados en formato XML y las opciones de revisión, como se muestra en la siguiente imagen:



La pestaña de Ejecución muestra el proceso de la revisión con base en los elementos seleccionados del paso anterior:



La tercera pestaña muestra el informe de resultados de la revisión de las bibliotecas de vínculos dinámicos, con los errores identificados:



En resumen, BinScope ha sido diseñado como una herramienta de revisión para la detectar vulnerabilidades dentro de archivos binarios, que puede ser utilizada como una extensión en Visual Studio o por separado (como se mostró en esta publicación). Las pruebas examinan elementos en la codificación y construcción, que pueden hacer una aplicación potencialmente vulnerable para ser atacada o utilizada como un vector de ataque.

En este sentido, se utiliza como parte de las mejores prácticas en la fase de verificación del desarrollo de aplicaciones o como una herramienta de auditoría para la revisión de código de terceros, que permita conocer el cumplimiento respecto a Microsoft SDL.

Aquí teneis la herramienta:

http://www.microsoft.com/en-us/download/details.aspx?id=11910

Créditos imagen: ©Michael Coghlan/Flickr
Autor Miguel Ángel Mendoza, ESET

Dentro de la especificación del protocolo ICMP - y de ICMPv6 - existe la posibilidad de enviar desde los routers cambios para tablas de enrutamiento a los clientes mediante un paquete llamado ICMP Redirect. De esta forma, la puerta de enlace de un determinado equipo de la red de que para ir a un destinatario concreto es más rápido ir por otro de los routers de la red.

Esto es conocido desde hace mucho tiempo, y por supuesto un usuario de la red malicioso podría utilizarlo para hacer un ataque de man in the middle. Hace un par de semanas se ha liberado una herramienta que lo hace fácilmente desde plataformas de pentesting con Kali Linux.

Seguir leyendo...

http://www.elladodelmal.com/2014/12/android-ios-os-x-vulnerables-ataques-de.html

Saludos.

Via Twitter veo este tema creado por Inj3ct0r el cual hace referéncia a una vulnerabilidad en Mac OS X:

https://twitter.com/inj3ct0r/status/539794656515465216

Description:
A heap overflow in IOHIKeyboardMapper::parseKeyMapping allows kernel memory corruption in Mac OS X before 10.10. By abusing a bug in the IORegistry, kernel pointers can also be leaked, allowing a full kASLR bypass. Tested on Mavericks 10.9.5, and should work on previous versions. The issue has been patched silently in Yosemite.

CVE: CVE-2014-4404

Más info:

http://1337day.com/exploit/22959

Desde PacketStorm también lo detectan:

http://packetstormsecurity.com/files/129344/Mac-OS-X-IOKit-Keyboard-Driver-Root-Privilege-Escalation.html

Saludos.

Unless we are a human supercomputer, remembering password is not an easy task and that too, if you have a different password for every different site. But luckily to make the whole process easy, there is a growing market for password managers which provides an extra layer of protection. Wait! Wait! Seriously??

Security researchers have discovered a new variant of data-stealing Citadel Trojan program used by cybercriminals to slurp up users' master passwords for a number of password management applications and other authentication programs, which will let you think twice before using one.

Citadel Trojan malware program has typically been used to steal online banking credentials and other financial information by masquerading itself as legitimate banking sites when victims open it in their local browser, which is also known as a man-in-the-browser attack.

The malware has previously targeted users' credentials stored in the password management applications included in popular Web browsers, however, third-party password managers have typically not been targeted by the attackers.

But, researchers at IBM Trusteer noted that the configuration file of the notorious malware had been modified to activate a keylogger when users opened either Password Safe or KeePass, two open-source password managers. Designed to steal the "Master Password" that protects access to the database of the end-user's passwords.

"Password management and authentication programs are important solutions that help secure access to applications and Web Services," Dana Tamir, director of enterprise security at Trusteer, wrote on IBM's Security Intelligence blog.

    "If an adversary is able to steal the master password and gains access to the user/password database of a password management solution or compromise authentication technology, the attacker can gain unfettered access to sensitive systems and information."

In addition, the new Citadel variant also targets the enterprise authentication solution Nexus Personal Security Client used to secure financial transactions and other services that require heightened security, according to research from data-protection company IBM Trusteer.

Once the malware infected a computer, it waits until one of the configured process is launched. The malware then logs keystrokes to steal the master passwords, allowing cybercriminals complete control over the machine and victims' every online account protected by that password manager.

The Citadel Trojan has been in existence since 2011 that has already compromised millions of computers around the world. According to the security researchers, Citadel is "highly evasive and can bypass threat detection systems."

    "[The Citadel variant] might be an opportunistic attack, where the attackers are trying to see which type of information they can expose through this configuration, or a more targeted attack in which the attackers know that the target is using these specific solutions," reads the blog.

In June last year, the tech giant Microsoft along with the FBI and financial services companies launched a "takedown" operation against Citadel botnets, which had stolen more than $500 million from bank accounts over the past 18 months. At the time, the group claimed it disrupted more than 90% of Citadel botnets.

Info: http://securityintelligence.com/cybercriminals-use-citadel-compromise-password-management-authentication-solutions/#.VG8L2YuUeT0

Fuente: http://thehackernews.com/2014/11/new-citadel-trojan-targets-your.html

El grupo de autodenominados "hackers" Derp, también llamado DerpTrolling, publicó una base de datos con miles de usuarios y contraseñas de usuarios de juegos filtradas, una "muy pequeña porción" de credenciales a modo de "advertencia" a las compañías. Los datos pertenecen a cuentas de tres grandes redes utilizadas por los gamers: PSN, 2K Game Studios y Windows Live.

Según reporta CNET, la base filtrada y publicada en Pastebin incluye usuarios y contraseñas de 2.131 usuarios de PlayStation Network (PSN), 1.473 usuarios de Windows Live, y 2 mil de usuarios de 2K Game Studios.

DerpTrolling es el mismo grupo que se adjudica el ataques DDoS a los servidores de Blizzard durante el fin de semana pasado, y también el mismo que hace poco dijo en una entrevista que no filtraría más datos de usuarios; pero al parecer, han cambiado de táctica con la premisa de que sus esfuerzos no han sido tomados en serio.

El objetivo, dicen, es que la información filtrada sirva de advertencia a las compañías para que mejoren y actualicen sus servidores, de forma que incidentes como estos dejen de ocurrir y la información esté correctamente resguardada, y se prevengan ataques DDoS (Ataque Distribuido de Denegación de Servicio o Distributed Denial of Service).

Si bien la base de datos publicada no es demasiado grande, y muchas de las credenciales ya no funcionan (tal como confirmó IBTimes UK), el grupo ha dicho y también ha publicado en su cuenta de Twitter que posee información de 500 mil tarjetas de crédito, 7 millones de usuarios y contraseñas, 2 millones de cuentas de Comcast, 1.7 millones de cuenta de EA, 620 mil cuentas de Twitter, 3 millones de Facebook, y más.

A continuación podemos ver algunos de los tweets de DerpTrolling al respecto y la noticia del ataque DDoS a Blizzard:

Leer completo:

http://www.welivesecurity.com/la-es/2014/11/21/derptrolling-filtra-credenciales-psn-windows-live/

http://www.cnet.com/news/derptrolling-leaks-psn-2k-windows-live-customer-logins/

PD: Eliminé el tema por error, viendo una noticia similar en el blog, sorry !!!

Saludos.

Human rights experts and Privacy International have launched a free tool allowing users to scan their computers for surveillance spyware, typically used by governments and other organizations to spy on human rights activists and journalists around the world.

This free-of-charge anti-surveillance tool, called Detekt, is an open source software app released in partnership with Human rights charity Amnesty International, Germany's Digitale Gesellschaft, the Electronic Frontier Foundation (EFF) and Privacy International, in order to combat government surveillance.

NEED AN EYE FOR AN EYE
The global surveillance carried out by the US National Security Agency (NSA) and other government agencies recently disclosed by the former NSA contractor Edward Snowden shed light on just how far our own government can go to keep track of citizens, whether innocent or otherwise. Therefore, such tool will help them see if their devices have been infected by any spyware.

Detekt was developed by security researcher Claudio Guarnieri, who has been investigating government abuse of spyware for years and often collaborates with other researchers at University of Toronto's Citizen Lab.

    "It was intended as a triaging utility for human rights workers travelling around. It is not an AV [AntiVirus]," explained the developer Claudio Guarnieri in an online discussion about the tool on Twitter with other security researchers.

With the help of Detekt scanning tool in investigations, Guarnieri and his colleagues discovered, for example, that the Bahraini government used FinSpy, surveillance spyware developed by German firm FinFisher. Among other, FinSpy software has ability to monitor Skype conversations, take screenshots and photos using a device's camera, record microphone use, emails, voice-over-IP and extract files from hard discs.

Moreover, Guarnieri's team also found that the Ethiopian government spied on journalists and activists in the U.S. and Europe, using a software developed by Hacking Team, another company that sells off-the-shelf surveillance tools, and similar companies.

    "Governments are increasingly using dangerous and sophisticated technology that allows them to read activists and journalists' private emails and remotely turn on their computer's camera or microphone to secretly record their activities," Amnesty head of military, security and police Marek Marczynski said in a statement. "They use the technology in a cowardly attempt to prevent abuses from being exposed."

    "Detekt is a simple tool that will alert activists to such intrusions so they can take action. It represents a strike back against governments who are using information obtained through surveillance to arbitrarily detain, illegally arrest and even torture human rights defenders and journalists."

DOWNLOAD DETEKT ANTI-SURVEILLANCE TOOL

https://resistsurveillance.org

You can Download Detekt here:

https://github.com/botherder/detekt/releases/download/v1.6/detekt.exe

Source: https://github.com/botherder/detekt/archive/v1.6.zip

Github: https://github.com/botherder/detekt/releases/tag/v1.6

Detekt, for now, has been designed for Windows PC users to scan their machines for known surveillance spyware that its developers warn is used to target and monitor specifically human rights defenders and journalists across the globe. The tool is not yet supported on the 64-bit version of Windows 8.1.

Detekt scans computers for infection patterns associated with several families of remote access Trojans (RATs) including DarkComet RAT, XtremeRAT, BlackShades RAT, njRAT, FinFisher FinSpy, HackingTeam RCS, ShadowTech RAT and Gh0st RAT.

    "If Detekt does not find anything, this unfortunately cannot be considered a clean bill of health," the Detekt software's Readme file warns.

The tool can make you aware of the presence of spyware, but it is by no means 100 percent effective, and can't detect all types of spywares. So, the human rights group is encouraging software developers to contribute to the project.

Fuente: http://thehackernews.com/2014/11/detekt-free-anti-malware-tool-to-detect_20.html

Security researchers have discovered a new type of "Man-in-the-Middle" (MitM) attack in the wild targeting smartphone and tablets users on devices running either iOS or Android around the world.

The MitM attack, dubbed DoubleDirect, enables an attacker to redirect a victim's traffic of major websites such as Google, Facebook and Twitter to a device controlled by the attacker. Once done, cyber crooks can steal victims' valuable personal data, such as email IDs, login credentials and banking information as well as can deliver malware to the targeted mobile device.

San Francisco-based mobile security firm Zimperium detailed the threat in a Thursday blog post, revealing that the DoubleDirect technique is being used by attackers in the wild in attacks against the users of web giants including Google, Facebook, Hotmail, Live.com and Twitter, across 31 countries, including the U.S., the U.K. and Canada.

DoubleDirect makes use of ICMP (Internet Control Message Protocol) redirect packets in order to change the routing tables of a host — used by routers to announce a machine of a better route for a certain destination.

In addition to iOS and Android devices, DoubleDirect potentially targets Mac OSX users as well. However, users of Windows and Linux are immune to the attack because their operating systems don't accept ICMP re-direction packets that carry the malicious traffic.

    "An attacker can also use ICMP Redirect packets to alter the routing tables on the victim host, causing the traffic to flow via an arbitrary network path for a particular IP," Zimperium warned. "As a result, the attacker can launch a MitM attack, redirecting the victim's traffic to his device."

    "Once redirected, the attacker can compromise the mobile device by chaining the attack with an additional Client Side vulnerability (e.g.: browser vulnerability), and in turn, provide an attack with access to the corporate network."

The security firm tested the attack and it works on the latest versions of iOS, including version 8.1.1; most Android devices, including Nexus 5 and Lollipop; and also on OS X Yosemite. The firm also showed users how to manually disable ICMP Redirect on their Macs to remediate the issue.

    "Zimperium is releasing this information at this time to increase awareness as some operating system vendors have yet to implement protection at this point from ICMP Redirect attacks as there are attacks in-the-wild," the post reads.

The company has provided a complete Proof-of-Concept (PoC) for the DoubleDirect Attack, users can downloaded it from the web. It demonstrates the possibility of a full-duplex ICMP redirect attack by predicting the IP addresses the victim tries to connect to, by sniffing the DNS traffic of the target; the next step consists of sending an ICMP redirect packet to all IP addresses.

Proof-of-Concept (PoC): https://s3.amazonaws.com/zANTI/doubledirect_poc.cpp

Fuente: http://thehackernews.com/2014/11/doubledirect-mitm-attack-targets_22.html

Google anunció el pasado martes en su blog Google Online Security la publicación de una aplicación online (con su código fuente correspondiente) en la que se recopilaban diferentes pruebas de concepto relacionadas con vulnerabilidades típicas web, con especial hincapié en todas las variantes posibles para la ejecución de Cross-Site Scriptings. Actualmente Google se encuentra desarrollando una herramienta de auditoría de vulnerabilidades para uso interno (a la que llaman Inquisition) para la cual necesitaban casos reales de vulnerabilidades para probar su eficacia.



Disponemos de páginas preparadas para probar vulnerabilidades de los siguientes tipos hasta el momento (y dentro de cada tipología con multitud de pruebas posibles a realizar):

   Cross-Site Scripting Address DOM
   XSS de redirección
   XSS reflejados
   XSS basados en Tag
   Cross-Site Scripting escapados por el servidor
   XSS de inclusión remota
   Cross-Site Scripting de DOM
   Vulnerabilidades relacionadas con CORS (Cross Origin Resource Sharing)
   Inyección Flash
   Contenido mixto
   ClickJacking inverso



Como podréis observar, el diseño no es lo más relevante, ya que lo que prima en este caso es tener un banco de pruebas sobre el que lanzar herramientas de detección de este tipo de vulnerabilidades y probar su eficacia, además de obviamente poder realizar pruebas de manera manual para conseguir el objetivo de un famoso alert() u otros tipos de acciones más interesantes.

Tenéis más información en el post de Google Online Security escrito por Claudio Criscione (Security Engineer en Google), así como en el repositorio de código del proyecto.

Mas información:

http://googleonlinesecurity.blogspot.com.es/2014/11/ready-aim-fire-open-source-tool-to-test.htm

Github: https://github.com/google/firing-rangel

Fuente: http://www.securitybydefault.com/2014/11/probando-aplicaciones-de-auditoria-web.html

WordPress ha anunciado el lanzamiento de una actualización de seguridad crítica a su versión 4.0.1, afirmando que las anteriores a 3.9.2 inclusive están afectadas por una vulnerabilidad Cross-Site Scripting (XSS). La falla podría permitir a criminales comprometer un sitio, habilitando el ingreso de código HTML en formularios web y alterando su apariencia original.

La actualización de WordPress 4.0.1 corrige 23 bugs y ocho problemas de seguridad:

    Tres agujeros relacionados a XSS que permitirían comprometer un sitio
    Cross-site request forgery o falsificación de petición en sitios cruzados, que podría ser usada para inducir a un usuario a cambiar su contraseña
    Una falla que podría derivar en un Denial of Service (DoS) cuando las contraseñas son verificadas
    Protecciones adicionales contra ataques de falsificación de peticiones en el lado de servidor, cuando WordPress hace solicitudes HTTP.
    Una muy poco probable colisión de hash (cuando dos entradas distintas a una función de hash producen la misma salida) que podría permitir que se comprometa la cuenta de un usuario. También requería que no hubieran hehco login desde 2008.
    Ahora se invalidan los enlaces en correos electrónicos de restauración de contraseña si el usuario la recuerda, hace login y cambia su durección de mail.

Como de costumbre ante actualizaciones de seguridad, recomendamos descargar la última versión para descartar la explotación de las vulnerabilidades descubiertas. Sobre todo si tenemos en cuenta que WordPress ha presentado varias vulnerabilidades en los últimos meses, como aquella en el plugin MailPoet que afectó a 50 mil sitios.

Links:

https://wordpress.org/news/2014/11/wordpress-4-0-1/

https://wordpress.org/download/

Créditos imagen: ©Christopher Ross/Flickr
Autor Sabrina Pagnotta, ESET

Las vulnerabilidades en los sistemas operativos y aplicaciones ya son moneda corriente en la actualidad, por lo que es habitual encontrarse con actualizaciones constantes que corrigen estas fallas. La vulnerabilidad WinShock reportada la semana pasada radica en un complemento de Microsoft Secure Channel, que implementa los protocolos SSL y TLS. Este error se produce por no filtrar adecuadamente los paquetes especialmente mal formados, permitiendo a un atacante inyectar tráfico malicioso, obteniendo como resultado la ejecución de código arbitrario.

El equipo de investigación de seguridad informática de IBM encontró que el problema afectaba a los sistemas desde Windows 95, es decir, que ha estado presente en la plataforma durante los últimos 19 años. Por su parte, Microsoft ha emitido la correspondiente actualización que corrige esta falla (CVE 2014-6321) excluyendo a Windows XP, ya que el pasado 8 de abril dejó de brindar soporte para esta versión.

Teniendo en cuenta que Schannel puede ser usado en cualquier componente que usa SSL/TLS, por ejemplo Active Directory, Windows Update, Exchange e Internet Explorer inclusive, esta falla facilita ataques remotos mediante la ejecución de un código en navegadores Internet Explorer a partir de su versión 3.0 en adelante. Como mencionamos anteriormente, esto afecta a todas las versiones de Windows, tanto clientes como servidores.

Cabe remarcar que The Verge indicó que el bug tiene calificación de 9.3 sobre 10 por la CVSS. Esto significa que es importantísimo descargar el parche que corrige este problema de seguridad.

¿Cómo saber si necesitas parchear?

Desde que se supo sobre esta falla de gran magnitud en sistemas Windows, muchos investigadores han comenzado a experimentar con ella. Johannes B. Ullrich publicó un experimental escáner en Bash, muy útil para verificar si el servicio necesita ser parcheado o no.

En sí, el escáner no busca vulnerabilidades, sino que comprueba que el servicio analizado posee soporte para los cuatro cifrados nuevos que se agregaron en la actualización MS14-066. Este script bash usa OpenSSL sobre *Nix. Aquí veremos el escáner por dentro:



Tal como se muestra en el primer recuadro rojo, se debe establecer la ruta donde se encuentra instalado OpenSSL en el sistema, en este caso es dentro del directorio "/usr/bin/openssl". Seguido de esto, el recuadro rojo que le sigue marca los cifrados que la herramienta comprobará usando OpenSSL.

Más abajo se encuentra toda la parte de programación que respecta a los parámetros que recibirá por parte del usuario, es decir el host a escanear:



Como se ve en el recuadro amarillo, están los parámetros a ingresar por el usuario, tales como direcciones IP, o nombre del sitio a comprobar y puerto de destino. En el recuadro inferior rojo, podemos apreciar que cuando no encuentra el cifrado DHE-RSA-AES-256-SHA256, emite el aviso de que se tiene una versión no actualizada de OpenSSL, y recomienda instalar la versión 1.0.1h o superior.

Luego, realiza comprobación de compatibilidad SSL y TLS, como podemos ver a continuación




En el recuadro de color rojo superior se muestra cómo genera la comprobación de compatibilidad con SSL; mientras que en el recuadro inferior hace la misma comprobación pero respecto a TLS.

Una vez que crea la conexión al host a escanear y hace las respectivas comprobaciones de compatibilidad, comprueba el estado que genera el handshake. De acuerdo a si es positivo o negativo este handshake, determina si es soportado el cifrado o no, veamos el ejemplo en la captura:



Algo que podría ocurrir es que no permita ejecutar el script debido a falta de permisos, pero esto se soluciona con el siguiente comando:

Código [Seleccionar] Expandir

Chmod +x [nombrescript.sh]

A continuación veremos dos ejemplos de resultados de escaneos, con cifrados soportados y no soportados:



En este primer análisis podemos ver que solo soporta dos de los nuevos cifrados implementados en la corrección de MS14-066. Mientras que en el ejemplo que vemos a continuación, se puede ver que tiene soporte para los cuatro cifrados nuevos:



Remarcamos que por motivos de seguridad escondemos las direcciones URL escaneadas. De todas maneras, como mencionamos anteriormente, este programa en Bash no busca vulnerabilidades, aunque igualmente sugerimos hacer un análisis proactivo del estado de los servicios con esta herramienta para conocer su estado.

Desde el Laboratorio de Investigación de ESET Latinoamérica, recomendamos como buena práctica habitual ante vulnerabilidades actualizar a la fecha los sistemas operativos y sus aplicaciones.

Créditos imagen: ©Joe Hall/Flickr

Autor Ignacio Pérez, ESET