Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

jueves, 22 de octubre de 2015

IMPORTANTE: Phishing al servicio de pago PayPal.


Se ha descubierto un sitio web (www.contacto-paypal.com) que aparenta ser de PayPal pero que en realidad se trata de una falsificación diseñada con el fin de robarte datos personales y bancarios.

Recursos afectados

Todos los usuarios del servicio PayPal que hayan recibido el falso aviso de bloqueo de la cuenta, y hayan introducido sus datos en los formularios.

Solución

Si has dado la información que te han solicitado, debes:
  1. Contactar con el banco para que anulen la tarjeta de crédito.
  2. Cambiar la contraseña de PayPal y contactar con ellos para comunicarles lo sucedido, y que comprueben que no haya habido ningún cargo anormal.
  3. Establecer alguna alerta en Google (servicio “google alerts”) con los datos personales (no los bancarios) para que si aparecerían tus datos en algún sitio, te notifique.

Detalles

Al ser visitado desde un ordenador o dispositivo móvil en España, el sitio web fraudulento www.contacto-paypal.com se presenta en español y nos irá pidiendo datos, la primera pantalla es:
Phising Paypal página de captura de credenciales
Nos pide las credenciales de PayPal, si se las damos, carga otra página en la que nos piden datos personales, como complemento de las credenciales de PayPal.
Phising Paypal página de captura de datos personales
Al introducirlas, se da paso a otra página en la que nos pedirá los datos de la tarjeta de crédito.
Phising Paypal página de captura de datos de la tarjeta de crédito
Tras introducir la información, nos sale una pantalla de confirmación
Phising Paypal página de mensaje de actualización de datos
Ahora los ciberdelincuentes ya tienen todos los datos personales, de la tarjeta y de PayPal.
En este caso concreto, usan hasta un servicio de valoración del servicio, como apoyo  para completar el engaño. Este servicio de valoración es www.opinionlab.com, que además cuando recoge la valoración que hacemos del FALSO servicio de PayPal, lo hace cifrando la información mediante un certificado digital.
Phising Paypal página de recolección de valoración del servicio
Si rellenamos los datos y los enviamos, finaliza el servicio de forma normal sin que muestre nada extraño…
Phising Paypal página de fin de valoración del servicio
Cuando entres a una página web donde haya que introducir un nombre de usuario y contraseña, comprueba que tiene un certificado digital y además que ese certificado corresponde al sitio al que quieres acceder.
En la página legítima, la dirección web es www.paypal.com, tiene un candado que al pinchar en él indica que es la página de paypal.com y que pertenece a la empresa PayPal, Inc, de San José, California, US
Phising Paypal página de verificación del certificado digital
Por el contrario, la página falsa, el dominio es "contacto-paypal.com", no tiene candado (certificado), por lo que no es "paypal.com".
Phising Paypal página de visualización de URL sin certificado.
Estas páginas, suelen ser usadas en las campañas de correos fraudulentos (phishing) indicando a los destinatarios que ha habido algún tipo de problema en la cuenta, enviando un aviso de pago, etc, para que pinchen en un enlace que les dirigirá a la página falsa y que probablemente, les robará el nombre de usuario y contraseña.
Evita ser víctima de fraudes de este tipo siguiendo nuestras recomendaciones:
  • No abras correos de usuarios desconocidos o que no hayas solicitado elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
 _______________________________________________________________________
Tomado de: http://www.osi.es/es/actualidad/avisos/2015/10/phishing-al-servicio-de-pago-paypal
Se Respetan Derechos de Autor

miércoles, 21 de octubre de 2015

Usa IRC bajo Tor fácil y rápidamente mediante un contenedor Docker preconfigurado.

Los tiempos cambian y hasta los juakers utilizan grupos de Whatsapp para comunicarse. Sin embargo y gracias a D10S sigue habiendo "románticos" que utilizan el IRC tradicional y todavía puedes saltar de canal en canal leyendo y participando en infinitas conversaciones. 

No obstante saber una docena de comandos de IRC y escribir en un terminal "like a pro" no implica necesariamente que no seas vulnerable al entrar a uno de estos chats...

El ejemplo más claro es la cantidad de usuarios que revelan sus IPs reales simplemente por unirse a un canal, y muchos sólo para ejercitar el vouyerismo. Es decir, no vale con afiliarse un cloak (que muchos ni se molestan), todavía cualquier miembro del staff puede obtener la IP mediante un simple /whois, o cualquiera con /monitor si no usas SASL, o cuando aceptas una transferencia de algún fichero (DCC) o con algunos otros pocos etcéteras.


* [VictorXX] (~VictorXX@67.poolXX-XX-174.dynamic.orange.es): VC
* [VictorXX] ##espanol 
* [VictorXX] kornbluth.freenode.net :Frankfurt, Germany
* [VictorXX] idle 00:10:51, signon: Wed Oct 21 23:31:20
* [VictorXX] is logged in as VictorXX
* [VictorXX] End of WHOIS list.

* [Zape] (pepe@unaffiliated/pepe): Got ZNC?
* [Zape] ##espanol 
* [Zape] card.freenode.net :Washington, DC, USA
* [Zape] is using a secure connection
* [Zape] idle 25:28:58, signon: Fri Oct 16 14:55:25
* [Zape] is logged in as pepe
* [Zape] End of WHOIS list.

Ni que decir tiene que con las posibilidades actuales de geolocalización y sólo con una IP pública podrían llegar a localizarte con una precisión de unos pocos metros justo mientras estás escribiendo sentado en tu taza del wáter. Lo mejor: utilizar siempre una VPN o TOR para enmascarar nuestra IP cuando conversamos por el IRC.

Y bueno, si eres vago como yo, pues ya no tendrás excusa para no ocultar tu IP... Gracias al siguiente contenedor Docker preconfigurado con Ubuntu 14.04, WeeChat (cliente IRC) y el proxy Tor sólo ejecutando el siguiente comando se abrirá directamente en tu terminal Linux WeeChat e inmediatamente te conectarás a OFTC sobre Tor.

docker run -it cpp1/weechat_tor

-- Sun, 18 Oct 2015 --

03:33:12    oftc  -- | irc: connecting to server irc.oftc.net/6697 (SSL) via socks5 proxy 127.0.0.1/9050...
03:33:12    oftc === | ========== End of backlog (1 lines) ==========

-- Wed, 21 Oct 2015 (Sun, 18 Oct 2015) --
23:57:52 weechat     |   ___       __         ______________        _____
23:57:52 weechat     |   __ |     / /___________  ____/__  /_______ __  /_
23:57:52 weechat     |   __ | /| / /_  _ \  _ \  /    __  __ \  __ `/  __/
23:57:52 weechat     |   __ |/ |/ / /  __/  __/ /___  _  / / / /_/ // /_
23:57:52 weechat     |   ____/|__/  \___/\___/\____/  /_/ /_/\__,_/ \__/
23:57:52 weechat     | WeeChat 0.4.2 [compiled on Oct 25 2013 09:30:24]
23:57:52 weechat     | - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
23:57:53 weechat     | Plugins loaded: alias, aspell, charset, fifo, irc, logger, lua, perl, python, relay, rmodifier, ruby, script, tcl, xfer
23:57:53    oftc  -- | irc: connecting to server irc.oftc.net/6697 (SSL) via socks5 proxy 127.0.0.1/9050...

______________________________________________________________
Tomado de: http://www.hackplayers.com/2015/10/usa-irc-bajo-tor-facil-y-rapidamente.html
Se Respetan Derechos de Autor.


Manual para asegurar servidores SSL/TLS

Mozilla ha publicado un extenso documento con el objetivo de ayudar a los administradores en la configuración de servicios SSL/TLS y remarcan la importancia de que todos los sitios HTTPS sigan estas recomendaciones.

El equipo de seguridad de las operaciones (OpSec) de Mozilla mantiene la Wiki Security/Server Side TLS como guía de referencia para asegurar servicios SSL/TLS. La Wiki contiene información sobre los protocolos, las vulnerabilidades más comunes, ejemplos de configuración, soluciones a problemas y herramientas de prueba.

Además mantienen la guía en un repositorio en Github en el cual también hay ejemplos de configuración de los tipos de servidores más comunes como Apache, NGix, etc. y una herramienta de scaneo llamada CipherScan que complementa otras como SSLScan y SSLyze.
Teniendo en cuenta que, desde junio de 2016 SSL ya no será considerado un algoritmo fuerte por PCI 3.1, estas recomendaciones cobran aún más importancia.


___________________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2015/10/manual-para-asegurar-servidores-ssltls.html
Se Respetan Derechos de Autor.

Boletines de seguridad de Microsoft de octubre de 2015.

Importancia:
5 - Crítica
Fecha de publicación:
14/10/2015

Recursos afectados

Los productos afectados son:
  • Windows Vista
  • Windows Server 2008 y 2008 R
  • Windows Server 2012 y Windows Server 2012 R2
  • Windows 7
  • Windows 8 y 8.1
  • Windows RT y RT 8.1
  • Windows 10
  • Microsoft SharePoint Foundation 2013
  • Microsoft Exchange Server 2013
  • Microsoft Office 2007
  • Microsoft Office 2010
  • Microsoft Office 2013
  • Microsoft Office 2013 RT
  • Microsoft Office 2016
  • Microsoft Office for Mac
  • Microsoft Office Compatibility Pack Service Pack 3
  • Microsoft Excel Viewer
  • Microsoft Live Meeting 2007
  • Microsoft Lync 2010
  • Microsoft Lync 2013
  • Skype for Business 2016
  • Microsoft Lync Server 2013
  • Skype for Business Server 2015

Descripción

Consta de 6 boletines de seguridad, de los cuales 3 son clasificados como críticos, referentes a múltiples CVEs en diversos productos de Microsoft.

Solución

Instalar la actualización. En el resumen de los boletines de seguridad de Microsoft  (se abre en nueva ventana), se informa de los distintos parches necesarios según el producto afectado.

Detalle

  • MS15-106  (se abre en nueva ventana): (Crítica). Resuelve vulnerabilidades de ejecución de código de forma remota en Internet Explorer.
  • MS15-107  (se abre en nueva ventana): (Importante). Resuelve vulnerabilidades de fuga de información en el software Microsoft Edge.
  • MS15-108  (se abre en nueva ventana): (Crítica). Resuelve vulnerabilidades de JScript y VBscript que permiten ejecución remota de código.
  • MS15-109  (se abre en nueva ventana): (Crítica). Corrige vulnerabilidad en Windows Shell que permite ejecución remota de código.
  • MS15-110  (se abre en nueva ventana): (Importante). Se corrigen vulnerabilidades de ejecución remota de código que afectan a Microsoft Office.
  • MS15-111  (se abre en nueva ventana): (Importante). Soluciona problema de elevación de privilegios en el kernel de Windows.

Referencias

______________________________________________________________
Tomado de: https://www.incibe.es/securityAdvice/CERT/Alerta_Temprana/Avisos_seguridad_tecnicos/boletines_seguridad_microsoft_octubre_2015_20151014
Se Respetan Derechos de Autor.

viernes, 16 de octubre de 2015

Cómo analizar el comportamiento de una botnet a partir de un modelo.

Dado que las botnets son una de las amenazas preferidas por los ciberdelincuentes para afectar usuarios, muchas de las tareas que realizamos en nuestro Laboratorio de Investigación tienen que ver con entender qué es lo que este tipo de amenaza está haciendo en el equipo y cómo lo logra.

El problema con este tipo de códigos maliciosos es que cada vez son más complejos en su estructura, en la cantidad de C&C que contactan y en general en la variedad de componentes utilizados para lograr el objetivo malicioso. Esta complejidad se ve reflejada en el uso de varias capas de servidores, múltiples descargas de otros códigos maliciosos, reportes simultáneos a diferentes C&C e incluso muchas veces nos encontramos con que se trata de botnets rentadas a diferentes actores por determinados períodos de tiempo para realizar algún tipo de actividad maliciosa.

Con el objetivo de lograr entender el funcionamiento de estas amenazas, Sebastían García, Investigador de la Czech Technical University presentó durante la pasada Virus Bulletin Internacional Conference realizada en Praga una herramienta para modelizar el comportamiento de una botnet. Stratosphere IPS Project es una herramienta de software libre que utiliza técnicas de machine learning para detectar y bloquear comportamientos maliciosos en el tráfico de red.

Más allá de poner en funcionamiento la herramienta, es importante entender los modelos implementados en ella, ya que son la base para una correcta implementación e incluso sirven de base para realizar un modelo propio.

Dentro del presentado para entender el comportamiento de una botnet, hay un primer componente que lo modeliza a partir de la captura del tráfico de red. Este modelo parte de un archivo pcap y con el uso de ARGUS se convierte en un archivo de flujo bidireccional que servirá de base para el modelo. La segunda parte se basa en el uso de cadenas de Markov para obtener un método de identificación y detección de una botnet.

Vamos a explicar con un poco más de detalle todo esto.
Construyendo el modelo de comportamiento de una botnet

La construcción de este modelo se basa en tres características diferentes extraídas del archivo de flujo que arroja ARGUS. Dos de estas características son la cantidad de bytes transmitidos por flujo y la duración de cada uno de estos. Una de las características de las botnets es que una vez que tienen un equipo infectado o zombi, el C&C se comunica periódicamente para enviar o recibir información, y es precisamente el cálculo de este período el tercer dato utilizado en el modelo.

El cálculo de esta tercer característica se hace a partir de la diferencia entre la ocurrencia de dos intercambios de datos entre dos direcciones IP diferentes. Dependiendo de la botnet que se esté analizando, estos períodos pueden ir desde minutos hasta horas.

El siguiente paso es discretizar cada una de las características. Por ejemplo, en el caso del período, se evalúa si el comportamiento es altamente periódico, débilmente periódico o no tiene lo es; además, puede darse el caso de que no se tengan los suficientes datos para evaluar esta característica, por lo tanto serían cuatro categorías diferentes. En el caso del tamaño y la duración se asignan tres categorías diferentes a cada característica. Combinando estas diferentes categorías nos da en total de 36 estados posibles.

Cada uno de esos estados se evalúa en el archivo de ARGUS para aquellos flujos que tengan la misma dirección IP de origen y destino, el mismo puerto e igual protocolo utilizado. De esta manera se obtiene una descripción para cada uno de los estados de una comunicación entre un equipo infectado y un centro de comando y control.

A partir de este modelo de comportamiento se pueden identificar patrones que describan el comportamiento de una botnet y que se pueda utilizar para comparar con patrones desconocidos, y determinar su similitud con un comportamiento malicioso.
Método de detección de botnets

Con la información obtenida del modelo de comportamiento se puede identificar si un determinado comportamiento observado en una captura de red particular corresponde al comportamiento de una botnet. Para esto se utiliza un modelo basado en cadenas de Márkov, un proceso estocástico en el que la probabilidad de que ocurra un evento depende solamente del evento inmediatamente anterior.

En este caso, se asocia al hecho que cada familia de códigos maliciosos va a tener un comportamiento particular dependiendo del objetivo perseguido, que puede ser robo de información, monitoreo de actividades, envío de spam o muchas otras actividades maliciosas.

A partir de la obtención de un modelo de un código malicioso conocido, se puede utilizar para compararlo con el comportamiento de otras amenazas. Si bien es muy probable que no se obtenga un 100% de coincidencia entre dos amenazas diferentes, si es posible con un margen de incertidumbre aceptable llegar a clasificar e identificar cuándo el tráfico de una red contiene actividad de una botnet específica.

Este tipo de análisis resulta ser bastante interesante para lograr el entendimiento del funcionamiento de una botnet. Los invitamos a revisar esta poderosa herramienta de análisis a partir de la cual se pueden obtener resultados que ayuden con la identificación de este tipo de amenazas

____________________________
Tomado de: http://www.welivesecurity.com/la-es/2015/10/15/como-analizar-comportamiento-de-una-botnet/
Se Respetan Derechos de Autor.

lunes, 12 de octubre de 2015

El cibercrimen, “más amenazador que nunca”.

 
Agresivo, confrontativo y complejo, el cibercrimen hoy en día es mucho más hostil que nunca, según un nuevo reporte de Europol, la Oficina Europea de Policía.

Anteriormente, algunos cibercriminales mostraban una “naturaleza pasiva, persuasiva”, mientras otros preferían llevar adelante sus actividades subrepticiamente; la confrontación no era tan evidente. Pero ya no es así, dice el organismo en su último informe Internet Organised Crime Threat Assessment (IOCTA), el cual fue publicado en vísperas del European Cyber Security Month, campaña de promoción de la ciberseguridad que ESET apoya.

El elevado nivel de beligerancia es también indicativo de la tendencia actual hacia una mayor interacción entre cibercriminales y sus víctimas, especialmente cuando se trata de su extorsión, como han demostrado los casos de ransomware. Esto también está causando un cambio en las consecuencias de estos ataques, siendo el impacto psicológico del cibercrimen mucho mayor.

Los autores dijeron: “Mientras que el enfoque prudente y cauteloso va con el estereotipo del hacker geek e incierto, el enfoque agresivo y de confrontación de presionar contundentemente a los individuos y las empresas lleva la firma de la delincuencia organizada”.Aquí hay tres hallazgos clave del informe:

1. El malware sigue siendo tan amenazador como siempre
Desde que se detectó el primer ejemplar de software malicioso, el virus Pakistani Brain en 1986, ha habido al menos un incidente significativo y de gran impacto cada año, como lo demuestra la línea de tiempo de historia del malware.

En el presente, el ransomware es considerado la amenaza más grande, con instancias claras que demuestran que es mayor que otros tipos de malware, como por ejemplo herramientas de acceso remoto. Con el que se debe tener cuidado es con Cryptolocker, identificado por ESET como Win32/Filecoder; no es solo es de alto impacto, sino que es uno de los que más rápido se expande.

2. Fraude financiero en aumento, con el despegue del malware bancario
Online banking

Gracias a una mejor tecnología, las operaciones de banca en línea han despegado en los últimos años. Y si bien hizo más fácil para los clientes la gestión de sus finanzas, también ha aumentado su exposición a nuevos tipos de fraude, en una constante evolución del malware bancario.

El reporte nota que esto ha “alentado” a los cibercriminales a redoblar su apuesta, mientras buscan superar a los profesionales de seguridad en una batalla constante.En este aspecto, la mayor amenaza señalada fue el skimming, con la que se debe tener cuidado ya que los ciberdelincuentes logran hacerse de una copia de la banda magnética de una tarjeta de crédito o débito, la cual es utilizada para consumar un hecho delictivo: compras no autorizadas o directamente retiro de dinero. Los autores comentaron: “Los skimmers continúan refinando sus herramientas con desarrollos notables en técnicas de miniaturización y ocultación”.

3. Internet de Todo es una gran preocupación para las autoridades
Internet of Things

Señalada como la próxima “gran cosa”, el Internet de Todo (Internet of Everything) tiene a muchos preocupados en la industria de la seguridad, y Europol lo cita como un gran reto para las autoridades y organismos encargados de hacer cumplir la ley.

Más que big data y la nube, Internet de Todo es visto como algo particularmente problemático por el hecho de que está haciendo que más cosas estén conectadas y automatizadas a través de la world wide web.

“Teniendo en cuenta nuestra creciente dependencia de los dispositivos conectados e inteligentes, los escenarios emergentes y futuros de ataque pueden abarcar daño físico o mental, ya sea intencionalmente o no”, documenta el estudio. “Los escenarios posibles de compromiso abarcan desde autos inteligentes hasta dispositivos médicos y drones utilizados como armas”.

Se requiere trabajo duro y colaboración

Mientras el reporte indica que hay mucho por lo que preocuparse, un enfoque colaborativo, multi-agencias y multi-sectores ayudará en gran medida a reducir el daño hecho por los cibercriminales. Esto es desafiante por sí mismo, afirma Europol, ya que las investigaciones tienden a ser complejas, el trabajo es intensivo y no hay suficientes especialistas de seguridad profesionales.

Y esa es apenas la punta del iceberg. Sin embargo, dado que la amenaza es internacional en cuanto a alcance y severidad, hay una necesidad de actuar. Como señala Rob Wainwright, director de Europol, cuando las iniciativas de ciberseguridad están bien hechas tienen un impacto decisivo.

“Los últimos doce meses han mostrado algunos logros notables de las autoridades de la Unión Europea en la lucha contra el cibercrimen, y espero celebrar otros más mientras nos movemos hacia 2016, con los organismos empujando más los límites de la actuación policial tradicional con nuestros socios en la UE y más allá”, concluyó.

 _______________________________________________
Se Respetan Derechos de Autor.

jueves, 8 de octubre de 2015

Qubes OS, un sistema operativo para evitar ser hackeado.

Siempre hemos oído decir que eso de los sistemas operativos totalmente seguros no existe, que es una quimera. Qubes OS quiere demostrar que no es así Hackers, agencias gubernamentales y malware sofisticado. Cada uno de ellos recolecta cada trozo de datos digitales que se transmiten desde un ordenador, un smartphone o de gadgets conectados a Internet. No importa lo seguro que creas que estás, siempre puede pasar algo que rompa esa seguridad.
La única respuesta fiable que se puede dar para quienes preguntan cómo estar seguro online es conocer las amenazas, tener sentido común y un sistema operativo seguro. Esto último es un poco peliagudo, porque aunque todos los sistemas operativos se diseñan con la seguridad como un requisito no existe ningún SO que sea totalmente seguro.

Hay opciones que se acercan

Si te interesan la seguridad informática y el hacking, probablemente hayas oído hablar de sistemas operativos enfocados a la seguridad y el anonimato. Algunos de los ejemplos más conocidos incluyen a Tails y a Kali Linux. El primero es una distribución orientada al anonimato, y el segundo es una distribución orientada a las auditorías de seguridad, también conocidas como pentesting.
Estos dos sistemas operativos, así como otros como Ubuntu, Windows, FreeBSD y OS X están construidos alrededor de un núcleo monolítico, lo que significa que con un único exploit válido para dicho núcleo se puede tomar el control de todo el sistema.
La mayoría de sistemas operativos tienen un kernel monolítico vulnerableLa mayoría de sistemas operativos tienen un kernel monolítico vulnerable Esto también significa que un sistema operativo seguro es aquel que mantiene aislados los elementos cruciales y las actividades.

Bienvenidos a Qubes OS

En este contexto es donde Qubes OS entra en juego. Se trata de un sistema operativo que sigue el concepto Security by Isolation, debido a que ejecuta absolutamente todo dentro de máquinas virtuales.
Con Qubes OS si eres víctima de un ataque malicioso el atacante no podrá hacerse con tu ordenador. El proyecto ya va por su versión 3.0, que está basado en la capa Hypervisor Abstraction Layer y usa la tecnología de virtualización Xen 4.4. Además de esto, ofrece soporte para Debian Linux.
Aquí tienes un vídeo de ejemplo de lo que hace Qubes OS:
 
Sin embargo y aunque pueda parecer lo contrario, Qubes OS no es una distribución Linux, sino más bien una "distribución Xen".

¿Qué es Xen?

Xen es un software de virtualización que usa un framework de microkernels y ofrece servicios que permiten a múltiples sistemas operativos ejecutarse en el mismo ordenador al mismo tiempo. Se trata de lo que se conoce como un hipervisor; un programa, firmware o pieza física diseñada para el propósito que acabamos de comentar.
En un sistema que usa Xen cada sistema operativo aparece como "dueño" del procesador, la memoria RAM y otros recursos del ordenador anfitrión. Existen dos tipos de hipervisor: Native/Bare Metal y Hosted Hypervisor. Uno se ejecuta directamente en el hardware y el sistema operativo del anfitrión, y otro se ejecuta dentro de un sistema operativo anfitrión y acoge a sistemas operativos invitados dentro de sí mismo.
Qube OS, una distribución XenQube OS, una distribución Xen Xen se considera como un hipervisor del tipo Native/Bare Metal. Este tipo se considera el más "puro", ya que en general su fiabilidad y su grado de protección son más altos.
Con el uso de Xen, la seguridad de Qubes OS asciende a su grado más alto. Un atacante tendría que ser capaz de destruir primero el hipervisor antes de comprometer todo el sistema, algo que hoy por hoy consumiría cantidades ridículamente altas de tiempo.

¿Para quién es Qubes OS?

Cualquier usuario celoso de su privacidad querría usar Qubes OS. El principio de Security by Isolation permite que varios segmentos de la actividad digital diaria se ejecuten de forma paralela con la virtualización, y con esta llega el aislamiento de seguridad, en el que cada actividad se ejecuta en una máquina virtual única e independiente.
Qubes OS ejecutando instancias de Windows en una máquina virtualQubes OS ejecutando instancias de Windows en una máquina virtual No sólo aquellos más celosos de su privacidad querrán usarla, sino que aquellos que sean habituales en el campo de la seguridad también querrán darle un tiento. Esto no es un sistema operativo típico para todo el mundo, y se requiere que el usuario del mismo tenga experiencia y conocimientos para ello.
Para más información puedes acudir a la web oficial de Qubes OS, donde podrás encontrar mucha documentación al respecto y donde podrás aprender los primeros pasos para usarlo con éxito.

 ______________________________________________________________
Tomado de: http://www.malavida.com/noticias/qubes-os-un-sistema-operativo-para-evitar-ser-hackeado-005639
Se Respetan Derechos de Autor.

Vulnerabilidad en WhatsApp: falsificación de mensajes manipulando la base de datos.




WhatsApp es la aplicación de mensajería instantánea más utilizada del mundo. Más de setecientos millones de usuarios en todo el planeta (la décima parte de toda la Humanidad), la utiliza para intercambiar mensajes de texto y de voz, ficheros de audio y de vídeo, etc. El hecho de que sea una aplicación universalmente utilizada, implica también que muchas personas, involucradas en procesos judiciales, presenten los mensajes de WhatsApp como prueba si quieren demostrar que una conversación, en unos términos concretos, ha tenido lugar entre determinados interlocutores.

Existe ya jurisprudencia en España en la admisión como prueba de mensajes de WhatsApp, como por ejemplo en la Sentencia de la Audiencia Provincial de Alicante Número 4/2014, de 9 de enero, en el ámbito civil, o la Sentencia de la Audiencia Provincial de Madrid Número 533/2014, de 24 de julio, en el ámbito penal. También han sido rechazados, como por ejemplo en la Sentencia de la Audiencia Provincial de Madrid Número 51/2013 de 23 de septiembre, por entenderse que, según transcripción textual de la sentencia, los “contenidos no han sido reconocidos por el acusado, ni se ha practicado sobre los mismos prueba pericial informática que acredite su autenticidad y su envío”, lo cual quiere decir que, si la otra parte no reconoce el envío de los mensajes, se deberá presentar un peritaje informático que avale la autenticidad de los mismos. Además, recientemente se ha fallado por el Tribunal Supremo en la STS 2047/2015 que, en general, para la admisión como prueba de cualquier conversación mantenida a través de una red social, es necesaria la presentación de un informe pericial informático por parte de un perito informático.

Que actualmente ya se estén admitiendo como pruebas los mensajes enviados y recibidos a través de WhatsApp, otorga una dimensión extraordinaria a esta aplicación, de tal forma que debe tenerse en cuenta la posibilidad de que los mensajes puedan ser manipulados, no sólo a la hora de realizar el envío del propio mensaje, como ya fue demostrado por dos ingenieros informáticos españoles, sino también una vez los mensajes han sido enviados o recibidos, es decir, directamente sobre la base de datos en la que se almacenan los mismos. Éste es el archivo sobre el que debe practicarse la prueba pericial informática cuando se presentan los mensajes de WhatsApp en un procedimiento judicial, por lo que es de vital importancia que dicho fichero permanezca íntegro o, al menos que, si se manipula maliciosamente, esta alteración pueda ser advertida tras un análisis forense por parte de un perito informático. Lo que se pretende demostrar en el presente artículo, es que dicho archivo de base de datos puede ser manipulado, alterando las conversaciones de tal forma que la manipulación podría perfectamente pasar inadvertida para un perito informático que realizase una investigación forense sobre el terminal móvil.

En primer lugar, se procederá a un intercambio de mensajes de WhatsApp (los que luego serán manipulados), entre dos terminales móviles cuya versión de WhatsApp instalada es la 2.12.250 en ambos. Estos terminales son un Samsung Galaxy S6 y un Wiko Goa, cuyo sistema operativo en ambos casos es Android, versión 5.1.1 y 4.4.2, respectivamente. Así pues, a continuación, se muestran los mensajes enviados y recibidos a modo de ejemplo entre ambos terminales.
Captura conjunta

Seguidamente, se ha de indicar que la base de datos interna de WhatsApp utiliza SQLite como Sistema Gestor de Base de Datos, por lo que se trata, por tanto, de un sistema relacional. Asimismo, una copia de esta base de datos, se encuentra fácilmente accesible conectando el terminal móvil al ordenador, estando ésta cifrada mediante criptografía simétrica utilizando el algoritmo AES, cuyo funcionamiento puede observarse en el siguiente diagrama.
Diagrama AES

Como se puede apreciar, la clave de cifrado y descifrado es la misma. Esto equivale a decir que la misma clave se utiliza para cifrar y para descifrar la base de datos, estando ésta almacenada y accesible en el directorio que utiliza WhatsApp. Sin embargo, la base de datos original, es decir, la que es utilizada por la aplicación para almacenar los mensajes inmediatamente después de ser enviados o recibidos, no está cifrada, sino que se encuentra almacenada en texto claro en uno de los directorios que la aplicación tiene en el sistema operativo. Esta base de datos no es accesible conectando directamente el terminal al ordenador, pero sí lo es una vez el terminal Android ha sido rooteado, es decir, configurado para ser accedido en modo súper-usuario, lo cual es algo muy sencillo de realizar incluso para usuarios no expertos.

Así pues, una vez el móvil ha sido rooteado (para este ejemplo, se usará el Wiko Goa), tener acceso a la base de datos original es una operación muy sencilla. Para ello, usando la utilidad ADB para Windows de las herramientas de desarrollo de Android, es necesario ejecutar los siguientes comandos al objeto de abrir una sesión con el terminal (primeramente es necesario haber instalado correctamente las herramientas de desarrollo de Android y los drivers del dispositivo móvil del cual se desea obtener su base de datos de WhatsApp, así como haber activado el “modo de depuración USB” en el citado terminal Android):
C:\android-sdk-windows\platform-tools>adb devices
C:\android-sdk-windows\platform-tools>adb shell

Una vez se han ejecutado estos dos comandos, la utilidad ADB abre una sesión con el terminal móvil, tal y como se observa en la siguiente imagen.

DOS-1

Es necesario indicar que, como servidor de ADB en el dispositivo móvil, es posible que sea necesario instalar y ejecutar una aplicación como ADB Insecure, más conocido como ADBD, al objeto de que se pueda transferir información entre el móvil y Windows y viceversa. Esto es así debido a que ciertas características de la utilidad ADB de serie no pueden ser utilizadas en versiones estables, es decir, finales, de Android, sino únicamente en versiones de desarrollo.

A continuación, es necesario acceder en modo súper-usuario al terminal, ya que la base de datos original de WhatsApp se encuentra en un directorio que sólo puede ser visualizado con privilegios de administrador. Para ello, es necesario ejecutar el comando “su”, tal y como se aprecia en la siguiente imagen.

DOS-2

Siendo ya súper-usuario, es necesario moverse al directorio en el que se encuentra la base de datos original de WhatsApp, ejecutando el siguiente comando:
# cd /data/data/com.whatsapp/databases

Al ejecutar un listado de los ficheros presentes en dicho directorio, mediante el comando “ls -la”, se aprecian los siguientes archivos:
DOS-3

Como se puede observar, el fichero que interesa es el remarcado en rojo. Ésta es la base de datos original de WhatsApp en la que se almacenan los mensajes inmediatamente después de ser enviados o recibidos. Una vez se ha visualizado el archivo que interesa, es necesario ejecutar el comando “exit” dos veces para volver a Windows, ya que será desde allí desde donde se tomará el archivo de base de datos de WhatsApp.

Ya en Windows, es necesario ejecutar el siguiente comando, al objeto de traer a Windows la base de datos (aunque es necesario, previamente, para disponer de todos los mensajes, incluyendo los enviados y recibidos en último lugar, haber realizado una copia de seguridad de los mensajes desde la propia aplicación WhatsApp, en el menú Ajustes -> Chats y llamadas -> Guardar chats):
C:\android-sdk-windows\platform-tools>adb pull /data/data/com.whatsapp/databases/msgstore.db

La ejecución exitosa del comando presenta la siguiente información en la consola:
DOS-4

La siguiente captura de pantalla del directorio de Windows en el que se encuentra la utilidad ADB, muestra que en dicha carpeta ha sido depositado el fichero “msgstore.db” (seleccionado en la imagen):
WIN-1

Para abrir el mencionado fichero de base de datos, será necesario un cliente de SQLite, habiendo sido seleccionado para este ejemplo el cliente de código abierto SQLiteStudio. Así pues, es necesario abrir el programa y, posteriormente, navegar hasta el menú Database -> Add a database, al objeto de añadir una nueva base de datos, por lo que se deberá buscar y seleccionar el archivo de base de datos que se desea alterar, en este caso “msgstore.db”, localizado en el directorio en el que se encuentra la utilidad ADB. Una vez añadida la base de datos, ésta aparece en SQLiteStudio como se aprecia en la siguiente imagen (remarcada en rojo).
WIN-2

Seguidamente, es necesario conectarse a la base de datos. Para ello, con la base de datos seleccionada, hay que navegar hasta el menú Database -> Connect to the database, de tal forma que el cliente se conecta inmediatamente a la base de datos. Desplegando la base de datos, se puede observar que ésta está conformada por once tablas, tal y como se observa en la siguiente imagen.
WIN-3

De todas estas tablas, las que interesan son las siguientes:
  • messages, que almacena los mensajes enviados y recibidos, así como varias propiedades de los mismos.
  • messages_fts_content, que almacena los mensajes enviados y recibidos sin ninguna propiedad, únicamente con la misma clave primaria que en la tabla messages.

Para modificar un mensaje enviado o recibido es tan sencillo como realizar los siguientes pasos:
  1. En primer lugar, es necesario conocer la clave primaria del mensaje que se desea modificar. Para ello, lo más óptimo es ejecutar una consulta de búsqueda por el patrón del mensaje en el propio cliente de SQLite. Así pues, para modificar el mensaje del ejemplo, se ejecutará la siguiente consulta, que proporcionará todos aquellos mensajes donde aparece la palabra “whatsapp”, de tal forma que pueda tomarse el identificador del mensaje que se desea modificar:
    select * from messages where data LIKE “%whatsapp%”;
    La ejecución de la consulta se aprecia en la siguiente imagen, en la que únicamente se han devuelto dos registros, debido a que la palabra “whatsapp” sólo aparece dos veces en todos los mensajes (se ha remarcado en rojo, asimismo, el botón del cliente de SQLite con el cual se puede acceder al editor de SQL).
    WIN-4

    Ampliando la imagen sobre los mensajes, remarcados en rojo, se ve claramente que se trata de los mensajes recibidos desde el Samsung Galaxy S6 en el Wiko Goa:
    WIN-5
     
  2. El mensaje que se va a modificar va a ser el que tiene como clave 7934. Por tanto, es necesario anotar dicha clave y, acto seguido, editar el campo data de la tabla messages, directamente desde el propio resultado devuelto por la consulta, escribiendo lo que interese, para inmediatamente después pulsar en el botón commit al objeto de persistir los cambios realizados. En la siguiente imagen se muestra el registro ya modificado y persistido tras haber pulsado el botón commit (el cual se halla remarcado en rojo).
    WIN-6

    La nueva frase, como se puede observar, es “WhatsApp es una aplicación segura. No hay nada que temer sobre ella.” Nótese que la anterior frase era “WhatsApp es una aplicación insegura.”
     
  3. Posteriormente, es necesario editar la tabla messages_fts_content, para lo cual hay que dirigirse al árbol de tablas, pinchar con el botón derecho en la misma y seleccionar la opción Edit the table. Una vez en el editor, es necesario aplicar un filtro (remarcado en rojo y usando la clave, 7934), al objeto de encontrar el registro deseado, tal y como se aprecia en la siguiente imagen.
    WIN-7

    Una vez se ha localizado al registro, es necesario proceder a cambiar el texto. A continuación, se muestra una imagen con el registro modificado y persistido, procurando mantener el estilo de la citada tabla (todo el texto en minúsculas, las palabras separadas por tres espacios y los signos de puntuación separados de la palabra anterior por un espacio):
    WIN-8

    En realidad, la modificación de esta tabla no sería estrictamente necesaria para que en la aplicación se viesen los mensajes alterados como si fuesen auténticos, pero sí es necesario si se quiere dificultar el trabajo del perito informático que vaya a analizar los mensajes y dictaminar si realmente fueron enviados y/o recibidos, es decir, si son auténticos.

Una vez realizados todos los pasos anteriores, es necesario seleccionar con el botón derecho del ratón la base de datos en SQLiteStudio y ejecutar la opción Disconnect from the database, para acto seguido salir del programa. Posteriormente, se debe copiar la base de datos alterada en el teléfono, sustituyendo la original. Para ello, es necesario ejecutar el siguiente comando en la consola de Windows (como se mencionó anteriormente, la aplicación ADB Insecure debe encontrarse en ejecución en el móvil):
C:\android-sdk-windows\platform-tools>adb push msgstore.db /data/data/com.whatsapp/databases/msgstore.db
La ejecución exitosa de este comando presenta la siguiente salida por pantalla:
DOS-5

Para dejar el menor rastro posible de la manipulación, es necesario modificar tanto el propietario como el grupo del fichero de base de datos, que al haberlo copiado como root, es decir, como súper-usuario, tendrá tanto este propietario como este grupo. Para apreciarlo, se debe navegar hasta el directorio en el que se encuentra la base de datos, ejecutando los siguientes comandos:
C:\android-sdk-windows\platform-tools>adb shell
# su
# cd /data/data/com.whatsapp/databases
# ls –la
Tras la ejecución de los comandos anteriores, la salida es la siguiente:
DOS-6
Como se puede apreciar dentro del rectángulo remarcado en rojo, el nuevo propietario del fichero “msgstore.db”, es el súper-usuario, así como también el nuevo grupo del fichero es el grupo del súper-usuario. Para revertir esta situación, es necesario ejecutar el siguiente comando:
# chown u0_a88:u0_a88 msgstore.db

Posteriormente, ejecutando el comando “ls –la”, se puede observar que tanto el propietario como el grupo ya han cambiado, tal y como se observa en la siguiente imagen:
DOS-7

Como se puede apreciar, el nuevo propietario y el nuevo grupo del fichero “msgstore.db” es u0_a88, que es el mismo que tienen todos los demás ficheros. Para abandonar el modo de depuración, es necesario ejecutar dos veces el comando “exit” y, posteriormente, ya desde Windows, es necesario ejecutar el comando “exit” para cerrar la consola.

Una vez realizado todo el proceso, debe reiniciarse el teléfono móvil y acceder, mediante la utilidad ADB, al directorio en el que se encuentra la base de datos, al objeto de comprobar que las fechas de último acceso de la misma se han actualizado y que no es posible determinar si la base de datos ha sido sustituida por una alterada. Para ello, es necesario ejecutar los siguientes comandos:
C:\android-sdk-windows\platform-tools>adb devices
C:\android-sdk-windows\platform-tools>adb shell
# su
# cd /data/data/com.whatsapp/databases
# ls -la
La ejecución de estos comandos ofrece el siguiente resultado:
DOS-8

Como se puede observar, la fecha de última modificación de la base de datos es muy similar al resto de fechas de los otros archivos utilzados por WhatsApp, por lo que sería muy difícil dictaminar que la base de datos ha sido manipulada. Para ello, serían necesarias técnicas de file carving, es decir, recuperación de ficheros borrados, las cuales son muy costosas debido a las herramientas hardware y software necesarias y, además, no garantizan el éxito porque las áreas del sistema de ficheros ocupadas por ficheros borrados, son sobrescritas por el sistema operativo en función de las necesidades de éste.

A continuación, se muestra el resultado del proceso visualizado en el WhatsApp del teléfono Wiko Goa, junto a la imagen original de los mensajes enviados por el Samsung Galaxy S6:
Captura conjunta final modificada

Como se puede observar, el último mensaje ha sido alterado, de tal forma que ha pasado de aparecer “WhatsApp es una aplicación insegura.”, a “WhatsApp es una aplicación segura. No hay nada que temer.” Seguidamente, se adjunta una captura de pantalla en la que aparecen tanto la versión original como la modificada, para apreciar las diferencias.
Capturas original y modificada

Como se puede apreciar, la manipulación es sencillamente indetectable a simple vista y, aún realizando un examen pericial informático, resultaría muy difícil de detectar si se han tomado todas las precauciones indicadas en este artículo. También es necesario indicar que muchas más precauciones pueden ser tomadas para evitar que un perito informático detecte una manipulación en el envío y la recepción de mensajes de WhatsApp, puesto que la tecnología y la informática evolucionan cada día.

Cabe añadir que, de la misma forma que se han manipulado los mensajes ya enviados y/o recibidos, también es posible y relativamente sencillo generar mensajes que no existían, aparentemente procedentes de cualquier teléfono del mundo, incluso de números inexistentes, haciéndose pasar por auténticos y siendo también muy difícil determinar si lo son o no. Para ello es necesario, además de manipular las tablas en las que se almacenan los mensajes, alterar también la tabla que almacena los contactos, es decir, la denominada chat_list.

Como conclusión, se extrae que WhatsApp es una aplicación muy poco segura y fácilmente manipulable, por lo que la aceptación de conversaciones mantenidas a través de la misma como prueba en un juicio, debe realizarse con cautela y, por supuesto, siempre con el aval de un perito informático colegiado. Por tanto, cuando un perito informático se enfrente a la realización de un peritaje informático sobre la autenticidad de determinadas conversaciones mantenidas a través de WhatsApp, deberá realizar un profundo análisis forense de todos los elementos a su alcance para dictaminar si las conversaciones son o no auténticas.

________________________________________________________
Se Respetan Derechos de Autor.

sábado, 3 de octubre de 2015

Aparece una nueva campaña de ransomware totalmente indetectable.

El ransomware es el tipo de malware más temido y peligroso de los últimos tiempos. Este tipo de software malicioso se encarga de infectar los ordenadores, tomar el control el sistema y empezar a cifrar todos los archivos. Una vez finaliza muestra al usuario una advertencia indicando que o paga el rescate o no podrá volver a recuperar sus archivos “secuestrados”. Toda la información, las claves y las conexiones con los servidores de control se realizan de forma privada y segura a través de la red Tor, por lo que es prácticamente imposible obtener estos datos ni identificar a los responsables de los ataques.

El ransomware es un tipo de malware relativamente moderno y que no se le da muy bien a los software antivirus, por lo que las probabilidades de descargar e infectarnos con uno son extremadamente altas incluso con una suite de seguridad actualizada al día. Los principales medios de distribución de este tipo de malware son, principalmente, las descargas desde sitios web secuestrados y el correo electrónico.

Varias empresas de seguridad han empezado a alertar a los usuarios de una nueva campaña de distribución de un nuevo tipo de ransomware totalmente indetectable por los sistemas de seguridad. Esta nueva campaña se realiza a través de correos electrónicos basura de origen escandinavo, siendo una de las 4 campañas de distribución de este tipo de malware más grandes de la historia y manteniendo unos ratios de detección extremadamente bajos, prácticamente nulos.

Los piratas informáticos responsables del ransomware envían a direcciones de correo electrónico al azar un documento de Word que incluye una serie de macros que, al abrir el documento, conectan con un servidor comprometido que descarga y ejecuta el ransomware desde el servidor de los piratas informáticos, quien empieza a trabajar.

Pese a llevar esta campaña activa desde principios de septiembre, a fecha de ayer el documento de Word malicioso era totalmente indetectable por los 57 motores antivirus de VirusTotal.
total virus

En el momento de la redacción de esta noticia algunos software de seguridad han empezado a identificar a este fichero como “troyano” y a evitar su ejecución, aunque el número de aplicaciones de seguridad capaces de identificarlo es aún relativamente bajo. Podéis consultar el estado de los análisis desde el siguiente enlace.

Recomendamos tener especial precaución con este tipo de software malicioso. Siempre que recibamos correos electrónicos con ficheros adjuntos o enlaces a páginas web desde remitentes que no sean de total confianza nunca debemos acceder a ellos ya que los piratas informáticos están atacando de una forma muy agresiva, tanto que incluso muchas amenazas se están escapando del control de los sistemas de seguridad.

Instalar un software de seguridad y mantener tanto los navegadores web como el sistema operativo actualizados ayudará a reducir la probabilidad de caer víctimas de estos piratas informáticos, aunque, como acabamos de ver, la protección total de estas amenazas es imposible. Recordamos también que, en muchas ocasiones, aunque paguemos a los piratas informáticos el rescate que piden, es muy probable que no lleguemos a recibir las claves de descifrado, perdiendo tanto el dinero como los archivos.

_________________________________________________________
Se respetan Derechos de Autor.