Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

viernes, 31 de octubre de 2014

Inteco pasa a llamarse Incibe


El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO) ha pasado a llamarse INCIBE (Instituto Nacional de Ciberseguridad), al centrar todas sus funciones en el ámbito de la seguridad.
El Inteco era un organismo español, con sede en León, con un gran número de funciones centradas en el mundo de las tecnologías de la información. Fundado en el 2005 con el objetivo de contribuir a la convergencia de España con Europa en el ámbito de la sociedad de la información, desarrollando proyectos innovadores en el ámbito de las TIC y promover el desarrollo regional en un proyecto con vocación global.
El ámbito de actuaciones de Inteco era muy amplio, seguridad tecnológica, accesibilidad, innovación TIC, tecnología y salud y en general todo lo relacionado con las tecnologías de la información y su promoción y expansión a todos los ámbitos de la sociedad. La seguridad en Internet solo era una de las muchas cosas de las que se encargaba Inteco.
Pero la necesidad apremia, y la seguridad tecnológica, la privacidad de los datos, etc. Son temas que cada vez son más demandados y necesarios por toda la sociedad. Por lo que tras un proceso de reestructuración Inteco ha pasado a dedicarse únicamente a la seguridad tecnológica o ciberseguridad. El resto de de sus competencias han sido trasferidas a otras instituciones. Este cambio también ha llevado a un cambio de nombre por lo que el nuevo Inteco centrado exclusivamente en la seguridad pasa a llamarse Incibe (Instituto Nacional de Ciberseguridad), a partir de ahora tendremos que acostumbrarnos a estas siglas.
La actividad de INCIBE se apoya en tres pilares fundamentales: la prestación de servicios, la investigación y la coordinación. INCIBE promueve servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. También cuenta con capacidad para abordar proyectos complejos de diversa naturaleza y con una fuerte componente innovadora. Y por último un factor imprescindible para la actividad del nuevo instituto es la coordinación y colaboración con otras entidades, tanto públicas como privadas, nacionales e internacionales, de todo el ámbito de la ciberseguridad.
Dejando aparte la coletilla de "ciber" que nunca nos ha terminado de convencer, tener una institución gubernamental dedicada y centrada únicamente en la seguridad es algo que esperamos ayude al necesario impulso y promoción de la seguridad informática y tecnológica. Lo que sin duda llevará a una sociedad más segura.
Más información:
INCIBE
 
___________________________________________
Tomado de: http://unaaldia.hispasec.com/
Se respetan derechos de autor.

jueves, 30 de octubre de 2014

Cómo evadir fácilmente el antivirus del correo de Yahoo! y varios IDS y otros antivirus.

MIME describe el formato de transferencia de cualquier correo electrónico que contenga archivos adjuntos, imágenes incrustadas, etc. Este formato se remonta a los inicios de Internet y dado que los protocolos utilizados (UUCP y el actual SMTP) se basaban en texto ASCII, cualquier binario o mensaje no ASCII tenía que ser codificado previamente para el transporte.

Para especificar el tipo de codificación se utiliza la cabecera Content-Transfer-Encoding, sirva el siguiente ejemplo:


     From: foo
     To: bar
     Subject: foobar
     Mime-Version: 1.0
     Content-type: multipart/mixed; boundary=barfoot
   
     --barfoot
     Content-type: text/plain
   
     This is only ASCII text, but the attachment contains an image.
     --barfoot
     Content-type: image/gif
     Content-transfer-encoding: base64
   
     R0lGODlhHgAUAOMJAAAAAAgICAkJCRVVFSEhIfDw8PLy8vX19fj4+P//////////////////////
     /////yH5BAEKAA8ALAAAAAAeABQAAARaMMlJq7046827/2DoFQBQcKRJpWfCSm8Vw2VrzROOr/Xd
     57/YzvWjqYjHYarEZLaERWBz+vwZAgKD72isHg+DwWFrQ3pbCAIBQeYloxhdEH6Rv+/lrvusF3ki
     ADs=
     --barfoot--

Dado que para el transporte sólo es necesaria una única codificación la especificación permite el uso de un único encabezado. Pero ¿qué ocurre si se utilizan de todas formas varios encabezados?


Veamos un ejemplo con el virus de testing Eicar, donde añadiremos dos cabeceras Content-Transfer-Encoding headers, una para el típico base64 y otra para quoted-printable:



 From: foo
     To: bar
     Subject: eicar - base64 cte header preceding quoted-printable
     Mime-Version: 1.0
     Content-type: multipart/mixed; boundary=barfoot

     --barfoot
     Content-Transfer-Encoding: base64
     Content-Transfer-Encoding: quoted-printable
     Content-Disposition: attachment; name=eicar.txt

     WDVPIVAlQEFQWzRcUFpYNTQoBF4pN0NDKTd9JEVJQ0FSLVNU
     QU5EQVJELUFOVElWSVJVUy1URVNULUZJTEUhJEgrSCo=
     --barfoot--

Resulta que la mayoría de clientes de correo y los interfaces web usarán el primer encabezado, mientras que los IDS como Bro y Snort y un montón de productos antivirus sólo usarán la última cabecera. Los resultados que se detallan a continuación se basan en pruebas realizadas a 9 de octubre:

Comportamiento observado: clientes de correo, Web mail, MTA, IDS

La primera cabecera Content-Transfer-Encoding es usada por:

  •     google MTA (bloquea virus directamente en la conversación SMTP)
  •     gmail Web interface
  •     GMX Web interface (bloqueará el correo si contiene virus, ver abajo)
  •     AOL Web interface
  •     Thunderbird
  •     Apple Mail
  •     Opera Mail
  •     Perl MIME::Tools, que es usado por amavisd
  •     KDE kmail
  •     horde Web interface
La última cabecera Content-Transfer-Encoding es usada por:
  •     mutt
  •     Outlook.de Web interface (Windows Live Mail)
  •     basado en el análisis del código fuente: snort 2.9.6.2. Interesante que solo acepta "Encoding" en lugar de "Content-Transfer-Encoding".
  •     basado en el análisis del código fuente: bro 2.3.1
Otros comportamientos:
  •    Al correo en Android parece que no le gusta el conflicto con varias cabeceras y no mostrará el archivo adjunto.
  •    GMX encuentra el virus sin importar el orden de los encabezados que utilizamos y reemplaza el correo afectado por un correo informativo acerca de la infección por el virus
  •    AOL MTA encuentra el virus también en ambos casos y bloquea el correo inmediatamente en el diálogo SMTP. Bien hecho!
  
Comportamiento observado: productos Antivirus

Los productos de antivirus muestran una gran variedad de comportamiento. Se han probado mediante virustotal.com con archivos en formato mbox o RFC822. Cualquier motor que no encontrara el virus Eicar en cualquiera de estas pruebas fue ignorado, ya que parece no entender estos formatos. resultados: 

  •     El escáner de virus Rising sólo encontrará el virus si se da una sola cabecera.
  •     7 productos antivirus sólo comprueban el primer encabezado y por lo tanto están en línea con la mayoría de los clientes de correo: Jiangmin, Kaspersky, Panda, Symantec, TrendMicro, TrendMicro-HouseCall, Zoner.
  •     12 productos antivirus sólo comprueban la última cabecera y se comportan de este modo contrario a la mayoría de clientes de correo, lo que hace posible el fraude: Agnitum, Avast, Avira, Comodo, Cyren, DrWeb, ESET NOD32-, Fortinet, F-Prot, NANO-Antivirus, Tencent, VBA32.
  •     11 productos detectan el virus independiente del orden de las cabeceras y por lo tanto no pueden ser evadidos de esta manera, no importa qde correo utilizado: BitDefender, ClamAV, a-squared, F-Secure, GData, Ícaro, McAfee, McAfee-GW-Edición , Microsoft, MicroWorld-eScan, Sophos.

El comportamiento más divertido: Correo Web de Yahoo!

El MTA de Yahoo parece no tener incorporado el análisis de virus, pero la interfaz de correo Web utiliza Norton de Symantec para escanear los archivos adjuntos antes de la descarga. El problema es que la interacción entre el antivirus y la descarga es totalmente independiente lo que permite la evasión inmediata del escáner antivirus:

  •      El antivirus analiza la última cabecera Content-Transfer-Encoding y por lo tanto no va a encontrar el virus en nuestro correo de ejemplo.
  •      La descarga de los datos adjuntos mirará la primera cabecera Content-Transfer-Encoding y por lo tanto el contenido (el virus) será descargado correctamente.
  •      La vista previa del correo usará de nuevo la última cabecera.
El problema se comunicó a Yahoo a través de hackerone en 09/10/2014, pero lo cerraron como "no se corregirá", porque dijeron "Ya estamos al tanto de esta funcionalidad en nuestro sitio y estamos trabajando en una solución.". No se recibió respuesta cuando le preguntaron si era buena idea publicar el fallo. La última vez que se comprobó (28/10/2014) el bug seguía allí.

________________________________________________________
Tomado de: http://www.hackplayers.com/2014/10/como-evadir-facilmente-el-av-de-yahoo-y-otros.html
Se respetan los derechos de autor. 


Hackearon las computadoras de la Casa Blanca y sospechan que fue Rusia.


Una red de la presidencia de Estados Unidos sufrió un ciberataque en las últimas semanas, por lo que varios equipos debieron ser desconectados ayer; funcionarios creen que los piratas informáticos fueron financiados por el Kremlin





WASHINGTON.- Hackers accedieron a una de las redes de computadores de la presidencia de Estados Unidos en las últimas semanas por lo que varios equipos de la Casa Blanca debieron ser desconectados ayer temporalmente. Según afirma hoy el diario The Washington Post, el gobierno estadounidense señala como responsable del ataque al gobierno ruso.

Según el diario estadounidense, que cita fuentes anónimas, los hackers que accedieron a la red presidencial en las últimas semanas trabajan para el gobierno ruso.

Según el funcionario Casa Blanca que anunció el hecho en condición de anonimato y no precisó la naturaleza de estas actividades, se ha "identificado actividad preocupante en la red EOP que maneja documentos no clasificados", es decir, que no pudieron acceder a información relevante. Además, agregaron que los intrusos no dañaron los sistemas.

"En el curso de la evaluación de las amenazas recientes, hemos identificado la actividad de preocupación en la Oficina Ejecutiva no clasificada de la red del Presidente", dijo un funcionario de la Casa Blanca.

"Tomamos medidas inmediatas para evaluar y mitigar la actividad. Por desgracia, algunos de ellos derivaron en la interrupción de los servicios regulares de los usuarios. Pero la gente está con eso y está tratando de solucionarlo".

El FBI, el Servicio Secreto y la Agencia de Seguridad Nacional (NSA, por sus cifras en inglés) están trabajando en la investigación.

Informes recientes de firmas de seguridad identificaron campañas de ciberespionaje de hackers rusos que creen que trabajan para el Kremlin. Los objetivos han incluido la OTAN, el gobierno de Ucrania y los contratistas de defensa estadounidenses.

Rusia es considerada por funcionarios estadounidenses como una de las potencias respecto de las capacidades cibernéticas.

En el caso de la Casa Blanca, la naturaleza de este último objetivo es consistente con una campaña con el auspicio del estado ruso, dijeron las fuentes.

La Casa Blanca recibe alertas diarias de sus expertos en informática respecto a posibles amenazas cibernéticas.

Se cree que el servicio de inteligencia ruso ha estado detrás de un ataque a las redes militares clasificadas de Estados Unidos, descubierto en 2008. La operación para contener la intrusión y limpiar los ordenadores, llamada Buckshot Yankee, llevó meses.

________________________________________________________
Tomado de: http://www.lanacion.com.ar/1739619-hackearon-las-computadoras-de-la-casa-blanca-y-sospechan-que-fue-rusia?utm_source=TW&utm_medium=Cali&utm_campaign=1739619
Se respetan los derechos de autor.

miércoles, 29 de octubre de 2014

Las formas ocultas en que nos siguen el rastro en la red.

Un experto explica por qué cree que la frase “no tengo nada que ocultar” representa una actitud inocente frente a las técnicas de vigilancia contemporáneas.

 "Yo no tengo nada que ocultar", dice mucha gente cuando se enfrentan al problema de la seguridad y la privacidad en la era de Internet y la hiperconectividad.

"Cuando les pregunto sobre su salario, no me responden; cuando les pregunto sobre sus fantasías sexuales no me responden", dice el experto en seguridad Bruce Schneier.

"Eso de 'yo no tengo nada que ocultar' es estúpido, es un comentario tonto", agrega el hombre que ayudó al periodista Glen Greenwald a analizar los documentos que filtró Edward Snowden de la NSA.

Más aún, insiste, la vida cotidiana de casi todos está siendo monitoreada en formas que nadie imagina y los detalles que se van acumulando podrían ser usados en contra de cualquiera en el futuro.

Las palabras de Schneier, quien participó de la BBC Future's World-Changing Ideas Summit (Cumbre de BBC Future sobre ideas que cambiarán el mundo) el 21 de octubre, se hacen eco de las que escribió Edward Snowden en un email que le envió a la documentalista Laura Poitras, quien colaboró con Greenwald en la recolección y análisis de los documentos de la NSA.

"Cada torre de telefonía celular que pasas, amigo que tienes, artículo que escribes, sitio que visitas, asunto (de correo electrónico) que escribes y paquete de datos que transmites está en manos de un sistema cuyo alcance no tiene límites pero cuyas salvaguardas sí los tienen", dijo Snowden en esa misiva.
 
Tu Kindle sabe cuán rápido lees
Prácticamente todo lo que uno hace puede rastrearse hoy en día, dice Schneier, "todo lo que involucre una computadora, todo lo que haces en línea, todo lo que haces en tu teléfono, todo lo que haces que involucra cualquier tipo de sistema (electrónico) de pago".

"Tú sabes que tu Kindle (dispositivo de libros electrónicos) registra cuán rápido lees, ¿verdad?".

Como ejemplo, Schneier dijo en la World-Changing Ideas Summit que cosas tan simples como la información sobre cuánto pagan pasajeros por viajes en taxi -información que debería ser anónima- es muy fácil de vincular con personas 
puntuales utilizando datos sobre la ubicación de esos sujetos.

Es algo que la empresa Neustar, dedicada al análisis de datos, demostró recientemente.
 
Bicicletas soplonas
"Si alguien visita un club de striptease, por ejemplo, dejará de ser algo privado", dice Chris Baraniuk, de la publicación BBC Future.

Y recuerda que en Londres, recientemente, la autoridad de transporte público difundió torpemente los datos respecto a viajes hechos en las bicicletas de alquiler de la ciudad, incluyendo el número que identifica a cada usuario.

Sofisticadas aplicaciones para teléfonos inteligentes son capaces hoy en día de construir una clara imagen de la ubicación de las personas, pero también del entorno en el que se encuentran, explica Baraniuk.

En un trabajo reciente, un grupo de investigadores mostró cómo la aplicación CarSafe es capaz de aprender los hábitos de manejo de sus usuarios analizando la información provista por las dos cámaras que suelen tener los teléfonos inteligentes modernos.
 
Torres secretas
Schneier advirtió que muchas de las torres de telefonía celular pueden no haber sido levantadas por empresas de telefonía, sino por gobiernos –propios y extranjeros– que quieren averiguar quién pasa a su lado y qué está haciendo.
El hecho de que es algo secreto hace difícil saber cuántas hay, dice el experto.

"El gobierno británico ni siquiera reconoce que las usa. Nosotros sabemos que sí, pero ellos no lo reconocen".

"El FBI sí reconoce que las usa, pero es muy celoso respecto a la información sobre cómo las usa".

"Alguien descubrió que hay 80 -100 de esas torres en Washington DC que no son del gobierno estadounidense", dijo, "pero no sabemos de quién son".

Dispositivo de seguimiento
La conexión inalámbrica a internet pública es aún más problemática, ya que los routers que reciben la señal de los teléfonos celular son hoy capaces de triangular la posición de una persona con la suficiente precisión como para determinar, por ejemplo, en qué pasillo de un supermercado se encuentra.

Si la dirección MAC del dispositivo (un código único de identificación de cada dispositivo capaz de conectarse a redes de datos) puede vincularse a una persona determinada, entonces cualquiera que cuente con la información podría saber dónde ha pasado su tiempo ese individuo.

"Si el gobierno te dijera que debes llevar un dispositivo de seguimiento, es casi seguro que te rebelarías", sugiere Schneier.

"Pero el gobierno no tiene que decir eso porque lo haces de buena gana y ellos reciben una copia de la información".

Y lo mismo sucede con todo lo demás: las mismas vulnerabilidades que aprovechan las agencias de seguridad pueden potencialmente ser aprovechadas por corporaciones, compañías de seguros, proveedores de salud, 'cibercriminales' o extremistas.

"Tenemos que optar entre seguridad y vigilancia", dijo Schneier.

Para él no es posible construir dispositivos electrónicos capaces de ocultar información de todos excepto de, por ejemplo, agencias oficiales de seguridad intentando detectar a extremistas.

"O todos espían o nadie espía", aseguró.

Medidas de protección
Por eso el experto argumenta que la gente tiene derecho a defenderse de ser seguida, monitoreada.

Eso incluye el derecho a tomar medidas de protección de carácter técnico, comunicarse a través de sistemas cifrados o navegar internet utilizando sistemas que protegen la identidad.

Pero la creciente popularidad de ese tipo de herramientas ha generado consternación en el FBI.

James Comey, su director, dijo que el cifrado que ofrecen empresas como Apple y Google les impide a las autoridades acceder a información que podría ser crucial para resolver crímenes o salvar vidas.

Para Tom Gaffney, director técnico de la firma de seguridad de la información F-Secure, que vende software para proteger la privacidad, los comentarios suenan vacíos.

"Efectivamente, el gobierno está obligando a la gente a usar estas herramientas por su falta de transparencia, su deseo de registrar cada fragmento de nuestra información en vez de concentrarse en criminales" dice.

Gaffney también dice que la información que recogen las compañías privadas, sea cifrada o no, también puede conservarse más o menos para siempre, y que no hay forma de saber con certeza cuándo podría ser usada o vendida en el futuro.

Para Schneier, el seguimiento que realizan los gobiernos debería ser legal y dirigido exclusivamente a individuos sobre los que ya hay sospechas de actividad criminal, en vez de utilizar un sistema de vigilancia universal en el que se registran y almacenan las experiencias privadas de millones de ciudadanos inocentes.

"La información que creamos con nuestro estar en el mundo físico y digital", dice Baraniuk, de BBC Future, "es llamada a veces 'huella digital'".
"Suena relativamente benigno, lo que hace que el término sea una mala metáfora", agrega. 

_____________________________________________________________
Tomado de: http://www.semana.com/tecnologia/articulo/vigilancia-oculta-en-la-internet/407320-3
Se respetan derechos de autor.

martes, 28 de octubre de 2014

El verdadero peligro de BadUSB.



En la última BlackHat USA se presentó una técnica de ataque llamada BadUSB que está dando mucho que hablar y que aunque no es totalmente nueva si ha sacado a la luz pública unos riesgos muy importantes para el mundo de la seguridad en relación a los dispositivos USB.

Un ataque de BadUSB consiste básicamente en reprogramar un dispositivo USB de uso común (normalmente un pendrive basado en algún microcontrolador reprogramable cuya arquitectura sea conocida) para que actúe de forma maliciosa.

Usar dispositivos USB para actividades maliciosas ya era una técnica ampliamente conocida, como fue comentado en charlas, por ejemplo:
  1. Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
  2. Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.
Los creadores de BadUSB proponen además de estas, otras tácticas bastante interesantes. Por ejemplo configurar un dispositivo USB para que se comporte como una tarjeta de red Ethernet y asigne por DHCP una nueva puerta de enlace o un nuevo servidor DNS para el equipo y así poder interceptar su tráfico posteriormente.

Todos estos ataques implican por si solos un riesgo para los equipos, pero existen ya múltiples medidas de seguridad para evitarlos.

El propio hecho de reprogramar un dispositivo USB legítimo para que actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.

Pero extender esta técnica a cualquier dispositivo USB cuyo firmware cuente con capacidad para ser actualizado, es lo que empieza a convertir esta idea en peligrosa.

Y lo que acaba convirtiendo a un ataque BadUSB en algo realmente temible es la posibilidad de utilizar de forma combinada estas técnicas y reprogramar varios dispositivos USB legítimos aparentemente inocuos para convertirlos en un ataque combinado.

Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:
  1. La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
  2. Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
  3. La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.
Algunos dispositivos USB son incluso internos al PC (p.e. la mayoría de webcams, lectores de SD, lectores de smartcard, biométricos que van en los portátiles) y por tanto es más fácil conseguir la persistencia en ellos porque están fijos.

Combinando esta técnica con distintos tipos de dispositivos, podemos encontrar escenarios de ataque bastante serios, como por ejemplo utilizar un pendrive como el vector de entrada inicial para una infección y utilizar algún dispositivo que esté conectado de forma permanente al equipo (por ejemplo una webcam o una impresora) como vector de permanencia de la infección. Por ejemplo: haciendo que el dispositivo detecte cuando el equipo está arrancando para convertirse en un pendrive bootable que cargue una versión modificada del sistema operativo.

Se podría incluso hacer que trabajen en modo anti-forense, si el microcontrolador lo permite, el dispositivo podría pasar a funcionar en su estado original o borrarse a sí mismo una vez conseguida la infección.

Es por tanto probable que en poco tiempo empecemos a ver casos reales del uso combinado de varios dispositivos infectados de este tipo funcionando como implantes, al estilo de los sugeridos en el catálogo ANT de la NSA.

Fuente: S21sec assessment
________________________________________________________________
Tomado de:http://blog.segu-info.com.ar/2014/10/el-verdadero-peligro-de-badusb.html#el-verdadero-peligro-de-badusb
Se respetan derechos de autor.

Guías de ciberseguridad de la UE.

La reforma de 2009 del marco legislativo de la UE para las comunicaciones electrónicas (Directiva de la UE 2009/140/CE) introdujo el artículo 13a en su Directiva Marco (Directiva 2002/21/CE enmendada en 2009/140/CE).

Este artículo 13a se refiere a la seguridad e integridad de las redes, comunicaciones y servicios electrónicos. La primera parte del artículo requiere que los proveedores de redes y servicios gestionen los riesgos de seguridad y mantegan medidas de seguridad apropiadas para garantizar la seguridad (párrafo 1) e integridad (párrafo 2) de sus redes. La segunda parte del artículo (párrafo 3) requiere que los proveedores informen las brechas de seguridad significativas y las pérdidas de integridad a las autoridades nacionales competentes, que además deben informar sobre estos incidentes a ENISA (European Union Agency for Network and Information Security) y la Comisión Europea (CE) anualmente.

En 2010, ENISA, la CE, los ministerios de comunicaciones electrónicas y las autoridades de reglamentación (ANR), iniciaron una serie de reuniones (talleres, reuniones físicas, conferencias telefónicas) para lograr una implementación eficiente y armonizada del artículo 13a en toda la UE.

Ahora, el grupo de expertos ha alcanzado un consenso sobre dos directrices técnicas vinculantes y ha publicado la "Guía técnica sobre reporte de incidentes de seguridad" [PDF] y la "Guía sobre medidas técnicas de seguridad" [PDF].

Estos documentos proporcionan orientación sobre los detalles técnicos de la aplicación de los apartados 1 y 2 del artículo 13a: cómo evaluar los riesgos y tomar medidas de seguridad apropiadas y contienen una lista de 25 objetivos de seguridad de alto nivel, agrupados en 7 dominios.

Cristian de la Redacción de Segu-Info 
___________________________________________________
Tomado de:  http://blog.segu-info.com.ar/2014/10/guias-de-ciberseguridad-de-la-ue.html#guias-de-ciberseguridad-de-la-ue
Se respetan derechos de autor.

Según Kaspersky decenas de cajeros hackeados con Tyupkin en Europa.

Kapersky ha descubierto un nuevo ataque hacker que afecta directamente a los bancos y no los usuarios, y que además actúa en los cajeros automáticos y con dinero físico real. El sistema se conoce como Tyupkin y se basa en un ataque en el que no se intenta infectar los sistemas de los cajeros de los bancos a través de algún resquicio de seguridad en su sistema informático online, sino que se ataca directamente el cajero personalmente acudiendo físicamente al mismo.

Como cuenta la compañía, en una primera fase se inserta un CD para instalar Tyupkin, que tras reiniciar el sistema se queda latente a la espera de un código. El malware además sólo está activo en algunas horas concretas por la noche, los domingos y los lunes. Los hackers usan “mulas” que acuden a los cajeros y con las que se comunican telefónicamente. Con un algoritmo para generar códigos de un sólo uso se entra en el sistema interno del cajero, donde se tiene acceso a todas sus funciones, incluyendo el acceso al dinero que albergan en su interior.

Kaspersky alerta de que ya han sido hackeados decenas de cajeros en Europa y Rusia, por lo que existe el riesgo real de que los cajeros de España puedan sufrir ataques similares. Además, hay que tener en cuenta que en los últimos años se está convirtiendo en el objetivo preferido de las mafias rusas.
_____________________________________________________
Tomado de: http://muyseguridad.net/2014/10/08/kaspersky-tyupkin
Se respetan derechos de autor.

domingo, 26 de octubre de 2014

Regresa el peligroso troyano Android Selfmite

Investigadores de Adaptive Mobile han detectado el regreso de Selfmite, una versión mejorada del peligroso troyano para Android especializado en el envío de mensajes SMS, con grandes cargos económicos para los usuarios infectados.

Detectado inicialmente en junio, Selfmite.b se distribuye de la misma forma que el original, a través de la recepción de un mensaje de alguno de tus contactos y que por ello puede sonar familiar a pesar que la inclusión de un enlace acortado debería hacernos dudar de su veracidad.

Un enlace a un ejecutable .apk que una vez instalado enviará el SMS malicioso a toda la lista de contactos para seguir la infección, instalará una aplicación que imita Google Plus y dos iconos en la pantalla principal del dispositivo, uno de Mobogenie y otra a Mobo Market.

Afortunadamente, el sistema de distribución del gusano no utiliza exploits y se basa en un esquema de ingeniería social donde los usuarios tienen que hacer clic en los enlaces del mensaje basura y luego instalar manualmente el APK descargado. Además, tendrían que configurar el smartphone o tablet para permitir la instalación de aplicaciones desde fuentes desconocidas a Google Play lo que limita la tasa de éxito del ataque.

Aún así, el troyano envía 1.500 SMS por dispositivo infectado y se ha extendido por todo el mundo. La prudencia a la hora de abrir enlaces desde cualquier fuente o instalar aplicaciones es nuestra mejor defensa.
______________________________________________________________
Tomado de: http://muyseguridad.net/2014/10/16/selfmite-troyano
Se respetan derechos de autor.

Google Security Key, la solución "física" al robo de contraseñas

Google ha anunciado una mejora de su sistema de verificación en dos pasos añadiendo soporte para el protocolo Universal 2nd Factor (U2F) de la FIDO Alliance.

Como sabes, hace tiempo que Google comenzó a ofrecer un sistema de autenticación de dos factores para proteger accesos no autorizados a cuentas de usuario, incluso en robos de contraseña, algo como sabes a la orden del día. Su funcionamiento es sencillo. Google envía a tu teléfono móvil un código que debes introducir junto a tu password para aumentar la seguridad.

Google Security Key hace los mismo pero mediante una llave física que se conecta a un puerto USB, se pulsa un botón dedicado que incluye para introducir la contraseña y loguearse de forma segura en el navegador Chrome y para todos los servicios Google.

Google asegura que la firma criptográfica usada en el protocolo Universal 2nd Factor (U2F) de FIDO Alliance no puede ser duplicada y que el sistema "sólo funciona después de verificar que el sitio en el que se ingresó es realmente un sitio de Google, no uno falso que pretende ser Google".

Esto permite usar la autenticación de dos factores para usuarios que no pueden usar smartphones para esto o que simplemente no quieran almacenar esta información en el terminal. Otras compañías como Microsoft, PayPal y Alibaba apuntan al uso de estos sistemas de seguridad basados en llaves físicas FIDO U2F para aumentar ka seguridad. ¿Habrá solución al robo de contraseñas?
__________________________________________________________________________
Tomado de: http://muyseguridad.net/2014/10/24/google-security-key
Se respetan derechos de autor.

jueves, 23 de octubre de 2014

New Zero Day from Microsoft

Microsoft alerta de nueva vulnerabilidad “día cero”

En su blog oficial Microsoft alerta de una nueva vulnerabilidad tipo “zero day” (“día cero”) que afecta a todos los sistemas operativos del gigante de Redmond, salvo Windows Server 2003.
Los “zero day” consisten en vulnerabilidades poco o nada conocidas, y por tanto no resueltas, que son aprovechadas por los atacantes para llevar a cabo la ejecución de código malicioso.
Sí, son muy peligrosas, y en este caso en concreto es aprovechable previa ejecución por parte de la víctima de un archivo especialmente diseñado para Microsoft Office que contiene un objeto OLE.
De momento la vía principal de acceso a través de la que se busca la ejecución del archivo infectado es PowerPoint, así que sabiendo esto y tirando un poco de sentido común es poco probable que tengamos problemas.
Por su parte Microosft ha reaccionado rápido y ha publicado en su blog oficial una solución temporal mientras siguen trabajando para resolver de forma definitiva la vulnerabilidad.

____________________________________________________________

Tomado de: http://www.muycomputer.com/2014/10/22/microsoft-vulnerabilidad-dia-cero  ---- Se respetan derechos de autor

**********************************

Documento informativo sobre seguridad de Microsoft: una vulnerabilidad en Microsoft OLE podría permitir la ejecución remota de código: 21 de octubre de 2014

 

INTRODUCCIÓN

Microsoft ha publicado un aviso de seguridad sobre este problema destinado a los profesionales de TI. El asesoramiento de seguridad contiene información adicional relacionada con la seguridad. Para ver el asesoramiento de seguridad, visite el siguiente sitio Web de Microsoft:

Para que solucione este problema, vaya a la "Arreglalo por mi.

Collapse imageArreglalo por mi

La corrección se solución que se describe en esta sección no pretende ser un sustituto de cualquier actualización de seguridad. Se recomienda que instale siempre las actualizaciones de seguridad más recientes. Sin embargo, le ofrecemos esta solucionar solución como una solución para algunos escenarios.

Para obtener más información sobre esta solución, vaya a la página Web de asesoramiento de seguridad siguiente:

Aplicabilidad de la revisión, solución

Versión de PowerPointversiones de 32 y 64 bits de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.versiones de 32 bits de Windows 8 y Windows 8.1versiones de 64 bits de Windows 8, Windows 8.1, 2012 de Windows Server y Windows Server R2 de 2012
versiones de 32 bits de PowerPoint 2007
versiones de 64 bits de PowerPoint 2007NO
versiones de 32 bits de PowerPoint 2010
versiones de 64 bits de PowerPoint 2010NO
versiones de 32 bits de PowerPoint de 2013
versiones de 64 bits de PowerPoint de 2013NO
Para habilitar o deshabilitar esta corregirlo solución, haga clic en el botón de corregirlo o vincular bajo el encabezado de habilitar esto corregirlo o el título de Deshabilitar este corregirlo

 ____________________________________________________________

Tomado de: https://support2.microsoft.com/kb/3010060 ---- Se respetan derechos de autor

sábado, 11 de octubre de 2014

ODILA: Observatorio de Delitos Informaticos de Latinoamerica.


Que es ODILA?

El Proyecto ODILA nace a partir de la necesidad de dar a conocer el problema de la cifra negra de los delitos informáticos, buscando informar la sociedad sobre la legislación vigente en la materia y fomentando la realización de denuncias formales ante los organismos competentes.

Cómo funciona?

En relación al funcionamiento, el usuario podrá ingresar al sistema ODILA a través de www.odila.org, desde donde podrá reportar el incidente sufrido a través de un sencillo formulario, de forma totalmente anónima. Dichos datos serán procesados por el sistema ODILA, el cuál devolverá como resultado cuál es la legislación aplicable en su país (en caso de existir), que artículos penales podrían ser aplicados en ese hecho (en caso de encontrarse), así como además se brindará información sobre los organismos competentes oficiales adonde la víctima debería realizar su denuncia formal, a fin de que dicho hecho pueda ser formalmente investigado por las autoridades correspondientes. Por último, el usuario recibirá una serie de recomendaciones básicas a tener en cuenta en todo incidente informático, con el objeto de no perjudicar las tareas de investigación y recolección de evidencia digital.

Es importante aclarar que ODILA no pretende ser un asesoramiento para el usuario, y en todo momento se recomienda la consulta ante un profesional especializado en la materia. El Proyecto ODILA sólo pretende ser una guía para orientar al usuario (víctima), brindar información sobre la materia y fomentar la realización de denuncias. En relación a los datos estadísticos recolectados, la propuesta es publicar los mismos de forma anual, dependiendo de la cantidad de reportes recibidos.

Equipo de Trabajo

El Proyecto ODILA: Observatorio de Delitos Informáticos de Latinoamérica, es llevado adelante por Segu-Info y AsegurarTe, a través del Lic. Cristian Borghello (Segu-Info), el Abog. Marcelo Temperini (AsegurarTe) y el AIA Maximiliano Macedo (AsegurarTe).

_______________________________________________________
Tomado de: http://www.odila.org/
Se respetan derechos de autor.


lunes, 6 de octubre de 2014

Cibercriminales en la busqueda de Dispositivos IOS !

Cybercriminals Target iOS Devices

We recently discovered a post about a new mobile Trojan on one of the Russian underground forums. The uniqueness of this malware (if the publications prove true, of course) is that it is capable of attacking both iOS and Android systems. The magic malware’s name is iDroid bot 0.7.
The malware first appeared on the Web about a month ago, on two different underground forums. It was also mentioned in a thread on a Russian crowd-funding site that tried to raise RUB 16,000 (about $450) for further development of the malware.
Sales are conducted via a dedicated website, on which no contact details are published and the only way to contact the seller is to leave your contact details on the site. When you receive a response, you pay the sum of $800 (or 1.5 bitcoins if you prefer to count your money in virtual currency), and become the lucky owner of a malicious program that is supposed to help you become a rich person without too much effort.
So, what are iDroid’s capabilities? Obviously, the most important one is infecting both iOS (versions 7.1 and below) and Android (versions 2.2 and up). Members of the underground forums have expressed doubt about this feature, as the infection of iOS systems is very sophisticated, especially if combined with Android’s infection in the same tool. In addition, the admin panel uses the TOR browser and a proxy for connection.
The grabbing features of the tool include keylogger, CC grabber and email grabber. The main profit for the operator comes from grabbing data from mobile wallets (QIWI, Yandex.Money, and WebMoney Keeper Mobile), by substituting the operation on the mobile device. Finally, we have all the “regular features” of a mobile Trojan, such as SMS sending and interception, conversation records, receiving screenshots, etc.
Screenshots of the bot, uploaded to YouTube

Another fact worth mentioning is that the author is already working on the next version of his brainchild, iDroid bot 0.8. This version will contain additional functions, such as a utility for writing Zeus-like injections into banks and paying system applications, auto injections into applications of 56 banks and auto delivery of the Trojan via Bluetooth (only for Android).
iDroid bot is the second bot that purports to infect iOS devices (the first was Zorenium, whose sales started in January 2014). Apple is definitely the next big target for cybercriminals, and even if the above-mentioned tools prove fictional, they are working on this pretty hard. So as we see it, the odds for success in the short-term are high.

_________________________________________________
Tomado de: http://blog.sensecy.com/2014/04/28/cybercriminals-target-ios-devices/
Se respetan derechos de autor.



sábado, 4 de octubre de 2014

Nuevo malware para USB se convierte en una gran amenaza


Fue a finales del pasado mes de julio cuando dos expertos de seguridad publicaron sus resultados con un malware para USB conocido como BadUSB, que permitía explotar una vulnerabilidad que, hoy por hoy, no ha sido solucionada.
Dicho malware reprograma el firmware del dispositivo USB y permite al atacante hacerse con el control del equipo afectado, lo que dejaba claro que se trata de una vulnerabilidad de especial gravedad que debía ser resuelta de inmediato por los fabricantes, pero como decimos no ha sido así.
El caso es que los responsables han publicado el código base de BadUSB, de forma que ahora se ha convertido en un grave peligro ya que puede ser aprovechado por ciberdelincuentes para hacer su particular agosto.
Según los desarrolladores de BadUSB la liberación del código obedece a “razones de presión”, es decir, quieren que los fabricantes dejen de lado su actitud pasiva y mejoren la seguridad de este tipo de dispositivos.
Sí, sus intenciones pueden ser buenas, pero la liberación de un malware tan peligroso como éste no se nos antoja precisamente como una decisión acertada, sino más bien como algo temerario.
______________________________________________
Tomado de:  http://www.muycomputer.com/2014/10/03/nuevo-malware-para-usb
Se respetan derechos de autor.