Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

miércoles, 31 de diciembre de 2014

Un Año de Vulnerabilidades. Antivirus y Software de Seguridad Informática Derrotados?


Un año de vulnerabilidad en la seguridad informática.

Advierten que los antivirus "están muertos ya que solo cubren el 45% de los atentados en la Web".

Culmina el 2014 y muchos especialistas en seguridad informática hacen un balance de la situación mundial frente a los posibles ataques informáticos. Si bien la tecnología crece a niveles impensados, también lo hacen los casos de ataques a la privacidad y eso sigue preocupando a los expertos.

El reciente hackeo a Sony Pictures fue un claro ejemplo de la vulnerabilidad que tienen las empresas, por más prestigiosas que sean, frente a las garras de los hackers. El ataque a la compañía le afectó no solo en una suma millonaria sino que además sufrió pérdidas en cuanto a la información: se filtraron conversaciones entre ejecutivos que se burlaban del presidente estadounidense Barack Obama por su color de piel, cuentas y datos privados de actores de Hollywood y el guión de'The Interview', la comedia que intenta asesinar al líder norcoreano Kim Jong-un y cuyo estreno debió ser cancelado y ahora reprogramado.

Al respecto, Brian Dye confesó en el diario estadounidense The Wall Street Journal, que los antivirus sólo logran frenar al 45 por ciento de los ataques y por eso "están muertos", una opinión que cobró relevancia porque quien la expresó es el vicepresidente de Symantec, la empresa detrás del clásico antivirus Norton.

Cuatro meses después, un usuario del foro ruso Bitcoin Security publicó un archivo de texto que contenía un total de 4.929.090 perfiles de usuarios de Google con sus respectivas contraseñas, o sea, los datos privados con los que las personas acceden a servicios como Gmail o se loguean en sus móviles con Android. Esos datos eran la secuela de una filtración iniciada días antes en ese foro, con la publicación de más de 4,66 millones de contraseñas del servicio de correo electrónico ruso Mail.ru.

Google respondió que sus sistemas no habían sido violados sino que la filtración se debió a la falta de robustez en las medidas de seguridad tomadas por sus usuarios, y matizó que "menos del 2% de las combinaciones de nombre de usuario y contraseña podría haber funcionado", pero no pudo contener el impacto de la noticia, aparecida en un contexto sensibilizado.

Menos de diez días antes, unas 500 fotos íntimas de Jennifer Lawrence, Kim Kardashian, Kate Upton y varias actrices más habían dejado de ser privadas para multiplicarse por la web, después de que alguien las robara a sus dueñas y las publicara en el sitio de intercambios 4Chan.

La investigación para dar con el responsable concluyó en que las imágenes habían sido robadas de iCloud, el servicio de almacenamiento en la nube de Apple.

Se estima que se producen al menos 43.200 ciberataques por día, según reveló una investigación que el gobierno de España presentó durante el 8° Encuentro Internacional de Seguridad de la Información, celebrado en ese país a finales de octubre.

Por la misma fecha, el reporte anual de la firma de seguridad informática Kaspersky detalló que en los primeros 10 meses del año el 94 por ciento de las empresas a nivel global sufrió incidentes vinculados a su ciberseguridad.

Si bien la mayoría -señala el informe- fueron acciones amplias, sin objetivos puntuales, muchos de estos ataques fueron dirigidos contra compañías específicas (vinculadas a gobiernos, defensa, telecomunicaciones, servicios financieros y transporte). Entre muchas otras, sufrieron los embates empresas como eBay, Microsoft, Wordpress, PlayStation o Sony, y gobiernos como los de Israel, Brasil y Estados Unidos.

Pero los damnificados no fueron sólo empresas o famosos, sino también personas comunes, como los usuarios de Android que experimentaron creaciones novedosas como el "Simplelocker" o el "Koller A.", gusanos de la familia de los "ransomware", un tipo de malware que se caracteriza por bloquear los dispositivos infectados hasta que la víctima paga un "rescate". A través de técnicas de "phishing" -como se conoce a los métodos que se utilizan para suplantar una identidad- o mediante troyanos, spam y malware en general, en 2014 los ciberataques fueron moneda corriente.

En abril se descubrió que la privacidad en general había estado en peligro debido a "Heartbleed", el gran agujero en el software de cifrado OpenSSL, el más utilizado en Internet. Este hueco, abierto desde 2012 y que habría afectado a servicios como Yahoo!, Tumblr y Flickr, pudo afectar a cientos de miles de sitios más ya que el OpenSSL es utilizado por más del 60 por ciento de los servicios web para encriptar y desencriptar datos en las comunicaciones entre servidor y cliente (sirve para evitar que terceros accedan a información privada). También habría afectado a unos 50 millones de teléfonos con Android, en particular a los que tienen la versión 4.1.1 "Jelly Bean" de ese sistema operativo.

Pero en este punto un capítulo aparte le corresponde a Windows y su navegador Internet Explorer (IE), que por su masividad y su amplia colección de fallas es considerado el más peligroso de todos. Un reporte de la firma especializada Bromium indicó en julio que IE fue por lejos el más vulnerable del mercado durante los primeros seis meses del año, y que los cibercriminales le apuntaron por ser "el eslabón más débil de la cadena".

Tres meses antes, una falla masiva en todas las versiones del IE desde la 6 hasta la 11 -que en conjunto suman el 58 por ciento del tráfico mundial desde computadoras de escritorio, según datos de la consultora Net Market Share- llevó al gobierno de los Estados Unidos a recomendarle a sus ciudadanos que evitaran el uso de ese navegador, ya que permitía a terceros instalar código malicioso y ejecutarlo de forma remota para controlar los equipos infectados y robar datos.

Mientras tanto, el ya clásico Windows XP dejaba para siempre de recibir actualizaciones de seguridad tras doce años de presencia, dejando desprotegidas a casi el 30% de las computadoras -y, según Symantec, al 95 por ciento de los cajeros automáticos del mundo que aún lo tenían instalado.

______________________________
Tomado de:  http://www.sinmordaza.com/noticia/278854-un-ano-de-vulnerabilidad-en-la-seguridad-informatica.html
Se respetan derechos de autor.

Los protocolos de cifrado que la NSA aún no puede hackear.

Él semanario alemán Der Spiegel filtra varios documentos en los que apunta que a la Agencia de Seguridad Nacional estadounidense se le resisten varios sistemas

Se han publicado nuevos documentos filtrados por Snowden

El semanario alemán «Der Spiegel» ha publicado un extenso reportaje basado en nuevos documentos filtrados por Edward Snowden en el que señala que a la NSA (Agencia de Seguridad Nacional estadounidense) se le resisten varias combinaciones de protocolos de cifrado.

Muchas personas, desde que aparecieran las primeras revelaciones de Snowden, han asumido que la NSA puede vulnerar cualquier sistema, protocolo y programa protegido con cifrado que se le atraviese. Sin embargo, los nuevos documentos filtrados por el semanario alemán apuntan que la NSA no ha podido vulnerar combinaciones de protocolo en los últimos dos años.

«Algunos usuarios consideran que los expertos de las agencias de inteligencia están muchos pasos por delante sobre cómo crackear cualquier programa de cifrado. Eso no es cierto», reza el documento.

Aunque la agencia de inteligencia si logra descifrar con facilidad canales de comunicación como Skype. Hay otros sistemas con los que ha tenido problemas «mayores». «Der Spiegel» apunta que la red anónima Tor y el servicio de correo electrónico Zoho han sido alguno de ellos. El sistema (ahora extinto) Truecrypt, que se utilizaba para encriptar archivos en el ordenador y Off-the-Record, para cifrar los mensajes instantáneos , tambiénrepresentaron un dolor de cabeza para los técnicos de la NSA.

El protocolo Pretty Good Privacy también ha sido un obstáculo para la NSA, lo que sorprende, dicen desde Der Spiegel, ya que este protocolo tiene más de 20 años de antigüedad.

El semanario alemán desvela que sobre todas estas herramientas y protocolos de cifrados, la agencia de seguridad ha tenido tenido que lidiar con una combinación de herramientas que ha sido«catastrófica» a la hora de intentar «crackear».

Cuando se enfrentan a un usuario que usa la red anónima Tor junto con el sistema de mensajería CSpace y el protocolo ZRTP, la NSA llega a una «pérdida casi total del seguimiento de las comunicaciones del objetivo».

ZRTP es un protocolo para cifrar las conversaciones telefónicas de voz sobre IP. Fue desarrollado por el creador del protocolo PGP, otro de los grandes dolores de cabeza de la NSA

_______________________________
Tomado de: http://www.abc.es/tecnologia/redes/20141230/abci-hackera-puede-201412291818.html
Se respetan derechos de autor.

lunes, 29 de diciembre de 2014

Usuarios de facebook víctimas de exploit para Android

Se ha descubierto que una vulnerabilidad de seguridad en el navegador web por defecto del sistema operativo Android inferior a 4.4 (corriendo en un gran número de dispositivos Android) permite a un atacante eludir la Same Origin Policy (SOP) para atacar a usuarios de Facebook.

Rafay Baloc ya había reportado en septiembre pasado esta vulnerabilidad en la política de mismo origen en Android inferiores a 4.4 (CVE-2014-6041). Él encontró que AOSP (Android Open Source Platform) instalado en Android 4.2.1 era vulnerable a a un error en la política de mismo origen y permitía que un sitio web pueda robar datos de otro.

Ahora, los investigadores de TrendMicro, en colaboración con Facebook, han descubierto muchos casos de usuarios de Facebook siendo blanco de ataques que intentan aprovechar esta falla porque el código de explotación está disponible públicamente en Metasploit.

La política del mismo origen es uno de los principios rectores que buscan proteger la experiencia de navegación de los usuarios. SOP está diseñado para evitar la carga de código que no es parte de los propios recursos de un sitio web, asegurando que ningún tercero puede inyectar código, sin la autorización del titular del sitio.

Desafortunadamente, SOP ha sido víctima de vulnerabilidades de Cross-site Scripting en versiones anteriores de Android, que ayudan a los atacantes para inyectar archivos Javascript maliciosos en el sitio de la víctima.

Si se utiliza Android inferior a 4.4, en este ataque en particular se utiliza un scriptofuscado que carga un marco interno de Facebook. El usuario sólo verá un HTML en blanco y un pixel pero en realidad elscript está aprovechando la vulnerabilidad de SOP y accediendo a información sensible del usuario.

El código permite realizar diversas tareas en la cuenta de Facebook de la víctima:

-Añadir amigos
-Marcar "Me gusta" y seguir cualquier página de Facebook
-Modificar las suscripciones
-Autorizar aplicaciones de Facebook para acceder al perfil del usuario, su lista de amigos, cumpleaños información, gustos...
-Robar tokens de acceso de la víctima.
-Recopilar datos analíticos (como la ubicación de las víctimas, HTTP Referer, etc.) usando el servicio legítimo.

Los investigadores han observado que los delincuentes detrás de esta campaña se basan en una aplicación de BlackBerry oficial mantenida por BlackBerry para robar los tokens de acceso y así hackear cuentas de Facebook. Usando el nombre de un desarrollador de confianza como BlackBerry, el atacante se asegura de no llamar la atención.

Trend Micro está trabajando junto con Facebook y BlackBerry en un intento de detectar el ataque e impedir que sea llevado a cabo contra los nuevos usuarios de Android.

Todos los dispositivos Android inferiores a 4.4 (KitKat) son vulnerables a esta vulnerabilidad SOP y si bien Google publicó un parche en septiembre, millones de usuarios aún son vulnerables al ataque porque Google no fuerza la actualización a sus clientes o bien el dispositivo no admite una versión más reciente del sistema operativo.

La vulnerabilidad de SOP reside en el navegador de los dispositivos Android, que no se puede desinstalar porque generalmente es parte de la función de sistema operativo. Para protegerse se debe desactivar el navegador de los dispositivos Android: ir a ajustes > Apps > todos, buscar el icono del navegador y desactivarlo.

Fuente: The Hacker News y TrendMicro
___________________________________
Tomado de: http://blog.segu-info.com.ar/2014/12/usuarios-de-facebook-victimas-de.html?m=1#usuarios-de-facebook-victimas-de
Se respetan derechos de autor.

viernes, 26 de diciembre de 2014

Windows 10 será gratis y no impulsará las ventas de PCs.

Uno de los rumores que han sobrevolado con más fuerza al gigante de Redmond durante los últimos meses apuntaba que Windows 10 será gratis, una posibilidad que como sabemos se vio reforzada por las declaraciones de Kevin Turner, COO de Microsoft.

Turner dejó caer la bomba de que Windows 10 estaría basado en un sistema freemium, esto es, una base gratis pero con suscripción para acceder a las funciones avanzadas del sistema operativo, y ahora vendedores taiwaneses de PCs aseguran que el nuevo sistema operativo del gigante del software no impulsará en gran medida las ventas de equipos nuevos, ya que será gratis.

Sí, podemos decir que el enfoque de Kevin Turner y esta nueva información proveniente de Taiwán nos permite creer firmemente que Windows 10 será gratis, y no sólo para los usuarios de Windows 7 y Windows 8-8.1, sino para todos, un detalle que de hecho tiene sentido ya que permitiría acabar con la fuerte presencia que mantiene Windows XP.

¿Es una buena noticia para los usuarios? Pues en principio sí, aunque ciertamente todo depende de cómo enfoque Microsoft el sistema freemium en Windows 10, ya que si la versión gratuita está demasiado limitada pocos usuarios querrán dar el salto al mismo.

Más información ⇒ DigiTimes

_____________________________
Tomado de: http://www.muycomputer.com/2014/12/26/windows-10-sera-gratis
Se respetan derechos de autor.

miércoles, 24 de diciembre de 2014

Chrome propone marcar el tráfico HTTP como inseguro

El equipo de seguridad de Chrome quiere que todo el tráfico HTTP sea marcado como no seguro, ya que considera que no provee seguridad a los datos. Su plan es que para 2015 esta transición esté plenamente implementada.

“Todos necesitamos que la comunicación de datos en la web sea segura (privada, autenticada, no manipulada). Cuando no hay seguridad para los datos, los agentes de usuario (UA) deberían mostrarlo explícitamente, para que los usuarios puedan tomar decisiones basadas en la información acerca de cómo interactuar con un origen”, dice elcomunicado publicado en el sitio de The Chromium Projects.

Según explican, hay tres estados básicos de orígenes TLS:

Seguro: HTTPS válido, otros orígenes como (*, localhost, *)Dudoso: HTTPS válido pero con contenido mixto, HTTPS válido con errores menores en TLSNo seguro: HTTPS roto, HTTP

Entonces, la idea detrás de este anuncio persigue un futuro en el que, a largo plazo, los orígenes seguros sean los más frecuentes, de forma que puedan dejarse desmarcados y no haga falta distinguirlos con ningún símbolo, y que solo se deba señalar los orígenes no seguros. Básicamente, lo contrairo a lo que sucede en la actualidad, ya que vemos el distintivo de un sitio que utiliza HTTPS, pero no vemos nada distintivo cuando se trata de HTTP.

“Sabemos que la gente generalmente no percibe la ausencia de una señal de advertencia. Sin embargo, la única situación en la que los navegadores web no advierten a los usuarios es precisamente cuando no hay posibilidad de seguridad: cuando el origen es transportado vía HTTP”, dice el comunicado.

Sin dudas, es una idea interesante que se suma a otras, como por ejemplo, la decisión de Google de priorizar sitios seguros en las búsquedas.

Créditos imagen: ©Yuri Samoilov/Flickr

Autor Sabrina Pagnotta, ESET

__________________________________
Tomado de: http://www.welivesecurity.com/la-es/2014/12/18/chrome-trafico-http-inseguro/
Se respetan derechos de autor.

domingo, 21 de diciembre de 2014

Tendencias en cibercrimen y predicciones para 2015.

Tal como nuestros lectores están acostumbrados, el Equipo de Investigación de ESET Latinoamérica ha trabajado en realizar las predicciones en torno a los ataques del cibercrimen para 2015. El año pasado, pusimos el enfasis en la privacidad en Internet, los ataques a Android y una nueva ola de malware de alta tecnología; temas que ya han sido repasados a lo largo de 2014 en los posts publicados en We Live Security en español.
En las próximas líneas podrán leer un resumen de lo que esperamos que sean las principales tendencias para el año que viene. En las próximas semanas pondremos a su disposición el reporte completo para que puedan descargarlo y encontrar mucha más información sobre nuestras predicciones.

Ataques dirigidos

Si hay una lección que hemos aprendido en los últimos años es que los ataques dirigidos son una tendencia creciente, y el año que viene no será la excepción. Comunmente conocidas como APTs (Advanced  Persistent Threats, o en español, Amenazas Avanzadas Persistentes), estas tienen como diferencia principal con los ciberataques tradicionales que tienen un objetivo definido, y no persiguen a cualquier objetivo disponible.
Además, este tipo de ataques busca mantenerse sin ser detectado por largo períodos de tiempo. En este contexto, es importante notar que el vector de ataque más utilizado son exploits 0-day o ataques que se valen de técnicas de Ingeniería Social.
De acuerdo al repositorio APTnotes (un sitio web que recolecta ataques APT de varios documentos y notas públicos, ordenados por año), este tipo de ataques ha crecido en los últimos años, desde tres ataques identificados en 2010 a 53 ataques conocidos en 2014, y con la posibilidad que existan varios sin ser descubiertos aún. Durante 2014, hemos publicado en We Live Security algunos ejemplos de estos ataques tales como la nueva campaña de BlackEnergy o la Operación Windigo.
apt
De acuerdo al Identity Theft Resource Center de Estado Unidos, han habido 720 fugas de información en 2014, con 304 de los casos afectando a la industria de la salud (42,2%):
fuga_datos
Estas estadísticas se basan únicamente en los ataques reconocidos de forma pública, por lo que es razonable pensar que el crecimiento mostrado por las estadísiticas es real. La cantidad, en cambio, debería ser mayor, dado que existen varios ataques que no son admitidos públicamente por razones de confidencialidad de las empresas.

El foco puesto en los sistemas de pago

En paralelo con el crecimiento de los métodos de pago online, el interés de los cibercriminales en estos también ha aumentado. Es obvio que los cibercriminales continuarán destinando esfuerzos en atacar sistemas de pago, en la medida en la que mayor cantidad de dinero circule por Internet.
Solo en 2014, hemos visto ataques tal como el que afectó a los usuarios de Dogevault en mayo, cuando algunos reportaron pérdidas de dinero poco antes que el sitio fuera dado de baja. Aparentemente, los fondos fueron destinados a una “billetera” que contenía más de mil millones de Dogecoins, una moneda online.
Por el otro lado, los sistemas de punto de venta son aún una tecnología vigente, y es algo que no ha pasado desapercibido por los creadores de malware. A medidados de 2014 publicamos información sobre el gusano Win32/BrutPOS que intenta realizar ataques de fuerza bruta en máquinas PoS (aquellas utilizadas para realizar transacciones en locales) al utilizar una variedad de contraseñas utilizadas normalmente para lograr un acceso remoto a dicho dispositivo.
Existen otras familias de malware orientadas a PoS tales como JacksPoS o Dexter, que podrían ser los responsables de los grandes ataques a Target (se robó información de 40 millones de tarjetas de crédito) o a Home Depot, en el que se filtró la información de 56 millones de tarjetas luego de 5 meses de haber comenzado el ataque, cuando la compañía anunció la fuga de información.
Es interesante notar que desde que el código fuente de BlackPOS fue filtrado en 2012, es muy probable que haya facilitado la creación de nuevas variantes de esta amenaza, y que serán utilizadas en los próximos años.

Bitcoins, ransomware y malware

En la misma línea con la tendencia anterior, los desarrolladores de malware continuarán dedicando esfuerzos a dinero online y sistemas de pago en 2015. Por ejemplo, en la operación más grande conocida hasta el momento, un atacante afirma haber “cosechado” más de $600.000 en moneda digital utilizando una red de máquinas comprometidas. A través de dispositivos NAS infectados, el atacante creó una carpeta llamada “PWNED” en la que alojó el programa CPUMiner para generar Bitcoins y también Dogecoins.Algo interesante para notar es que este tipo de ataques crea dinero en lugar de robarlo de usuarios comprometidos. Digamos que es una nueva manera de robar.
De manera similar, el sitio SecureMac reportó en febrero un generador de Bitcoin que afecta a usuarios de Mac OS. El ataque se propagó como una aplicación legítima de Bitcoins recompilada para incluir un troyano.
Finalmente, el ransomware será clave para los desarrolladores de malware, y seguramente se posicione como una de las amenazas más relevantes para los años venideros. Durante 2014, hemos visto a grandes compañías golpeadas por el ransomware (como Yahoo, Match o AOL), y además investigadores de ESET han publicado un análisis de Android/SimpLocker, el primer ransomware para Android. En diciembre de 2014, en un panel de discusión en Georgetown, se dijo que “el ransomware es el futuro del cibercrimen orientado a usuarios finales“.

Internet de las Cosas

No hay razón para pensar que los nuevos dispositivos que estarán conectados a Internet, almacenando información valiosa, no serán un objetivo para el cibercrimen. La Internet de las cosas seguramente creará interés para los cibercriminales. Durante este año hemos visto evidencia de esta tendencia creciente, tales como ataques a autos, como el demostrado en la conferencia Defcon utilizando dispositivos ECU o la prueba de concepto realizada por Nitesh Dhanjani que permitía abrir las puertas de un auto Tesla en movimiento. Además se han visto ataques y pruebas de concepto en televisores Smart, dispositivos Boxee TV, sistemas biométricos, smartphones, y hasta en Google glass.
Nuestro estilo es no exagerar sobre este tipo de cuestiones, pero es importante notar que ya habíamos mencionado esta tendencia y, a pesar que no será un problema masivo en un futuro cercano, no deja de ser un espacio emergente para que los cibercriminales encuentren un nuevo vector de ataque. Teniendo en cuenta esto, estos ataques no serán una tendencia a partir de la cantidad sino por su innovación.

Conclusión

Estas son las principales cuestiones de lo que hemos identificado como las principales tendencias para 2015 en lo referido al malware y los ataques informáticos. Por supuesto que existen otras tendencias que tienen que ver con los ataques a dispositivos móviles, y que seguirán estando a la orden del día. Recuerden estar atentos ya que en las próximas semanas estaremos publicando el informe completo con un análisis detallado de cada una de las tendencias.
Autor ESET Research, ESET

___________________________________________________________
Tomado de:  http://www.welivesecurity.com/la-es/2014/12/18/tendencias-cibercrimen-predicciones-2015/
Se respetan derechos de autor.

Misfortune Cookie: vulnerabilidad que permitiría tomar el control de millones de routers.

Más de 12 millones de dispositivos en todo el mundo estarían expuestos a esta nueva vulnerabilidad, bautizada como Misfortune Cookie ("galleta de la desgracia") que ya tiene su sitio oficial.
Check Point Software Technologies Ltd. ha anunciado el descubrimiento de Misfortune Cookie, una vulnerabilidad crítica identificada como CVE-2014-9222 y que permitiría a los intrusos tomar control de muchos de los gateways domésticos que dan acceso a Internet y utilizarlos para atacar a los dispositivos conectados a ellos.

Check Point ha detectado esta vulnerabilidad al investigar el uso del protocolo TR-069 y estaría presente en millones de routers domésticos de diferentes modelos y fabricantes en todo el mundo, y que podría llegar a permitir a un atacante tomar control del dispositivo y sus privilegios de administración.

La investigación ha detectado por lo menos 200 modelos [PDF] diferentes de dispositivos de diferentes fabricantes y marcas vulnerables Internet. La mayoría de estos dispositivos son residenciales. La lista incluye modelos de D-Link, Edimax, Huawei, ZTE, TP-Link y ZyXEL, entre otros.

El problema es el uso de una pieza de software vulnerable en el chipset de estos dispositivos. El software afectado sería el servidor web RomPager de la empresa AllegroSoft, que normalmente está embebido en el firmware de los dispositivos. Los dispositivos con versiones de RomPager menores a 4.34 (específicamente la versión 4.07) son vulnerables.

Hasta la fecha, los investigadores de Check Point han detectado al menos 12 millones de dispositivos útiles para ser fácilmente explotados, lo que convierte esta nueva vulnerabilidad en una de las más extendidas de los últimos años.

Un atacante podría tomar el control de millones de routers de todo el mundo para controlar y robar datos de los dispositivos, cableados e inalámbricos, conectados a sus redes.

Misfortune Cookie es una grave vulnerabilidad presente en millones de hogares y pequeñas empresas de todo el mundo y, si no se detecta y se controla, podría permitir a los delincuentes no sólo robar datos personales, sino también controlar las casas de las personas", ha explicado Shahar Tal, director del Grupo de Malware y Vulnerabilidades de Check Point Software Technologies.

AllegroSoft publicó una versión que soluciona la vulnerabilidad pero la misma fue proporcionada a los fabricantes con licencia y el ciclo de instalación del parche automático, es increíblemente lento (a veces inexistente) en estos tipos de dispositivos. En general, todos los fabricantes de dispositivos vulnerables necesitan obtener una versión actualizada de RomPager o parchearla manualmente.

Para más información sobre esta nueva vulnerabilidad, sobre los dispositivos afectados y sobre cómo consumidores y empresas pueden protegerse de ella, visite Mis.Fortunecook.ie. Check Point ha publicado un whitepaper 'Protecting against Misfortune Cookie and TR-069 ACS Vulnerabilities' [PDF] explicando los detalles.

Fuente: Checkpoint y Mis.Fortunecook.ie

____________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2014/12/misfortune-cookie-vulnerabilidad.html#misfortune-cookie-vulnerabilidad
Se respetam derechos de autor.

miércoles, 17 de diciembre de 2014

IMPRESIONANTE FIRMWARE: RPEF (La herramienta para backdoorizar routers domésticos).

Seguro que todavía resuenan en vuestros oídos noticias sobre la presencia de backdoors en muchos modelos de routers. D-Link, Netis, Netgear, Linksys, Belkin, TRENDnet, MediaLink, Sercomm ... la lista es muy larga. 

Si tu también quieres hacerte el "chino" y vender en eBay tu viejo router con un regalo sorpresa añadido (es broma, no seais malos), puedes usar RPEF...

En la Defcon 20, Michael Coppola presentó una herramienta en Python llamada RPEF (Router Post-Exploitation Framework) con la que automatiza el proceso para añadir un backdoor en un buen número de firmwares para distintos modelos de routers SOHO:

- Belkin: F5D7230-4_v1xxx
- D-Link: DIR-601_1.01NA y DIR-601_2.01NA
- Linksys: WRT120N_1.0.07_(Build_02)
- NETGEAR: WGR614v10_1.0.2.26NA, WGR614v9_1.2.30NA, WNDR3700v1_1.0.16.98NA, WNDR3700v2_1.0.0.12 y WNR1000v3_1.0.2.26NA
- TRENDnet: TEW-651BR_v2.2R_2.00B12 y  TEW-652BRP_v3.2R_3.00B13

La sintaxis básica del script (python 2.6) es: 


./rpef.py <firmware image> <output file> <payload>
 
Una vez que el firmware malicioso está actualizado/instalado y funcionando en el router, el atacante tendrá a su disposición un sniffer de red desde la línea de comandos o un bot que se puede conectar a un canal IRC especificado para lanzar una herramienta DDoS... interesante ¿verdad?

Página del proyecto: https://github.com/mncoppola/rpef


____________________________________________________  

ARTICULO TOMADO DE: http://www.hackplayers.com/2014/12/rpef-la-herramienta-para-backdoorizar-routers.html
SE RESPETAN DERECHOS DE AUTOR.

martes, 9 de diciembre de 2014

Parchea! PhpMyAdmin corrige un XSS detectado por ElevenPaths (CVE-2014-9219)

El pasado 28 de noviembre, durante el desarrollo de un módulo de intrusión sobre el gestor de MySQL PhpMyAdmin por parte del equipo de desarrollo de Faast, se detectó una vulnerabilidad de cross site scripting desconocida hasta el momento en el popular programa. Se ha reportado a los responsables de forma privada y finalmente le han asignado el CVE-2014-9219. Afectaba a todas las versiones de éste producto hasta la fecha.

Anuncio y corrección de la vulnerabilidad

El equipo de PhpMyAdmin ha actuado con bastante rapidez, y en apenas tres días han solucionado el problema y publicado la nueva versión. La vulnerabilidad (actualmente explotable en cualquier versión inferior a la 4.2.13.1) radica en un mal filtrado en la línea 31 del fichero "url.php", en el que se estaba utilizando incorrectamente la función htmlspecialchars.

En la siguiente imagen se observa el parche aplicado en donde se remplaza la función htmlspecialchars por PMA_escapeJsString.

Commit 9b2479b7216dd91a6cc2f231c0fd6b85d457f6e2 con la línea corregida

Filtrando solamente los caracteres especiales HTML, su explotación resultaba trivial. Además, se evadían las protecciones anti-XSS que implementan los navegadores debido a que el código inyectado era reflejado dentro de un tag "script". Éste tipo de vulnerabilidades son unas de las más comunes en aplicaciones web, y permiten entre otras la obtención de cookies de sesión del usuario atacado, como se muestra en la siguiente imagen.

Explotación del XSS

Si actualmente en tu organización se está usando alguna versión de PhpMyAdmin, se recomienda actualizar lo antes posible a la última versión (4.2.13.1) o aplicar el parche proporcionado por sus desarrolladores. Adicionalmente también recomendamos el uso de nuestro escáner de vulnerabilidades Faast que por supuesto ya detecta esta vulnerabilidad "de serie".

 ____________________________________________________________
Tomado de: http://blog.elevenpaths.com/2014/12/phpmyadmin-corrige-un-xss-detectado-por.html
Se respetan derechos de autor.

viernes, 5 de diciembre de 2014

¿Nos pueden espiar por el micrófono del celular?

Recuerdo que hace algunos años en una conferencia Richard Stallman le pidió a una de las personas que estaban en la sala que apagara su celular porque no quería que lo espíen. Si buscan videos de sus charlas en YouTube verán que toca el tema de forma habitual diciendo que desde los celulares pueden escuchar nuestras conversaciones, aún cuando se encuentran apagados.

¿Será verdad lo que dice? Mientras lees esto, si no lo estás haciendo desde el móvil, seguramente lo tengas a medio metro de distancia por lo cual como aparato espía es perfecto. Los llevamos con nosotros a todos lados y hoy en día es normal que estén conectados a internet todo el tiempo e incluso con el GPS activado.

El micrófono es posible activarlo remotamente para escuchar el sonido ambiente o grabarlo, no es algo que el sistema operativo permita hacer por defecto, pero existen aplicaciones que lo hacen. Una de ellas la comentaba el otro día en el artículo sobre las conversaciones de WhatsApp, aunque ya no se encuentra operativo StealthGenie era un troyano que al principio se promocionaba como una herramienta de “control parental” y después ya directamente como una aplicación espía.

Una vez instalado en el celular de la víctima permitía ver las fotos, videos, mensajes, llamadas y toda la actividad del aparato, incluyendo la activación del micrófono para grabar el sonido del entorno. Todo esto funcionando de manera oculta, en el siguiente video pueden ver su funcionamiento a partir del minuto 9, se trata de una serie de demostraciones que Chema Alonso hizo hace algún tiempo para un programa de TV (les recomiendo verlo completo):

Hay muchas otras aplicaciones similares y lo bueno para los usuarios es que la mayoría son detectadas y bloqueadas por los antivirus móviles, aunque si el atacante es una persona del entorno cercano con acceso al aparato, puede que el antivirus no sea tan efectivo.

Una de las que ahora se ha puesto de moda para Android es la que se puede ver en la siguiente imagen. Este sería el panel de control en el PC desde el cual se pueden espiar o controlar los celulares que tengan el troyano, el nombre no lo voy a publicar por razones obvias:

troyano en android que activa microfono

Una de las funcionalidades permite activar el micrófono para escuchar el sonido ambiente en tiempo real y también grabarlo:

troyano graba microfono de android

Como se puede ver su uso es muy sencillo e intuitivo, a tal punto que puede ser utilizado por toda clase de usuarios. En otras palabras, Stallman tiene razón aunque él apunta a otro nivel como los gobiernos y fabricantes de software privativo, espiar por el micrófono es posible.

Ahora bien, para que este u otro troyano similar termine en tu móvil es necesario que te lo instalen manualmente o que lo hagas sin saberlo al descargarte alguna aplicación de dudosa procedencia, como una versión pirateada de Angry Birds o algo por el estilo. Por eso hay que tener mucho cuidado con las aplicaciones que se instalan y en que manos se deja el dispositivo.
________________________________________________________________
Tomado de: http://www.spamloco.net/2014/11/nos-pueden-espiar-por-el-microfono-del-celular.html
Se respetan derechos de autor.

martes, 2 de diciembre de 2014

Mozilla publica Firefox 34 y corrige nueve nuevas vulnerabilidades.

Mozilla ha anunciado la publicación de la versión 34 de Firefox, junto con ocho boletines de seguridad destinados a solucionar nueve vulnerabilidades en el propio navegador y el gestor de correo Thunderbird.
Entre las mejoras incluidas en Firefox 34 destaca la inclusión de videoconferencias con Firefox Hello desde el propio navegador, un nuevo cuadro de búsquedas, mayor personalización, acceso a WebIDE para desarrolladores y se ha desactivado SSLv3.
Por otra parte, se han publicado ocho boletines de seguridad (tres de ellos considerados críticos y tres de nivel alto y dos moderados) que corrigen nueve nuevas vulnerabilidades en los diferentes productos Mozilla. También se han publicado las versiones Firefox ESR 31.3 y Thunderbird 31.3 que solucionan estas vulnerabilidades.
MFSA 2014-83: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1587 y CVE-2014-1588).
MFSA 2014-84: Soluciona una vulnerabilidad de gravedad moderada por la que se pueden manipular bindings XBL a través de hojas de estilo CSS (CVE-2014-1589).
MFSA 2014-85: Boletín de carácter moderado, corrige una vulnerabilidad de denegación de servicio a través de XMLHttpRequest (CVE-2014-1590).
MFSA 2014-86: Soluciona una vulnerabilidad considerada de gravedad alta de obtención de información sensible (como nombres de usuario o tokens single-sign-on) a través de reportes de violación CSP (Content Security Policy) (CVE-2014-1591).
MFSA 2014-87: Soluciona una vulnerabilidad crítica por un uso después de liberar memoria en el tratamiento de HTML5 (CVE-2014-1592).
MFSA 2014-88: Corrige una vulnerabilidad de gravedad crítica por un desbordamiento de búfer durante el tratamiento de contenido multimedia (CVE-2014-1593).
MFSA 2014-89: Soluciona una vulnerabilidad considerada de gravedad alta que podría permitir a una aplicación evitar la política de mismo origen (CVE-2014-1594).
MFSA 2014-90: Corrige una vulnerabilidad de gravedad alta en OS X 10.10 (Yosemite) por la grabación de datos de autenticación en el directorio /tmp (CVE-2014-1595).
La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
 
____________________________________________________________________
Tomado de: http://unaaldia.hispasec.com/2014/12/mozilla-publica-firefox-34-y-corrige.html
Se respetan derechos de autor.