Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

viernes, 29 de enero de 2016

¿Son las empresas y nuestros datos más vulnerables que nunca?

Pasado y presente de los ataques informáticos e inteligencia de amenazas.
 
Cada año la situación de la ciberseguridad empeora tanto en frecuencia ya que el 90% de las empresas han sufrido algún tipo de brecha, como en su impacto el cual ha sido calculado entre los 1.46 millones de euros hasta los 3.14 millones por brecha para las grandes empresas. 2014 fue el año en el cual se reportaron las mayores pérdidas financieras por ataques informáticos dirigidos a capturar registros personales y financieros, y 2015 no parece mejorar. El costo de los ataques es mínimo, sus ganancias envidiables y su impacto financiero altísimo. En este artículo se expondrán algunos de los ataques más sonados del último año así como nuevas metodologías de defensa colaborativa.

Registros personales y ciberseguridad: ¿están nuestros datos protegidos?

Cada vez confiamos nuestros datos personales a más y más empresas, muchas de las cuales los digitalizan y almacenan en medios electrónicos de su propiedad o en la infraestructura de terceros. Cuando hablamos de registros personales nos referimos a una combinación de, al menos, dos de los siguientes elementos: nombres completos, teléfonos, direcciones de residencia, DNI's, tarjetas de crédito, correos electrónicos, fotos personales y/o contraseñas.  Ninguna persona puede decir con exactitud cuántas empresas tienen almacenados sus datos, y mucho menos dónde o con qué medidas de seguridad. Nuestros datos personales son muy codiciados por los delincuentes informáticos, ya que gracias a ellos consiguen la mayor parte de sus ingresos.
En el intento de proteger nuestros datos las empresas emplean controles de seguridad y buenas prácticas. El conjunto de dichos controles y prácticas ha sido definido como seguridad informática y de la información. La ciberseguridad es un término utilizado de forma intercambiable con seguridad informática. Esta se encarga de proteger los ordenadores, redes, sistemas, programas y datos de accesos no autorizados, cambios o destrucción de los mismos.
Cada año la inversión en seguridad informática crece pero los resultados no son visibles; es más, cada año se presentan ataques de más alto nivel, lo cual hace parecer que las organizaciones son cada vez más indefensas. Los métodos y controles comunes no son lo suficientemente robustos para afrontar la creciente amenaza informática pues los atacantes siempre se encuentran un paso más adelante. ¿Es rentable para las empresas e instituciones seguir invirtiendo en ciberseguridad? La respuesta es sí, pero las estrategias deben renovarse para evitar de nuevo el fracaso.

El caso Ashley Madison y otros fracasos de la ciberseguridad

2014 resultó ser un año especialmente duros para la ciberseguridad y provechoso para los ciberdelincuentes. Numerosas empresas cuyo modelo de negocio se basa, precisamente, en garantizar la confidencialidad de sus usuarios (caso Sony y Apple) o por las que pasan miles de transacciones financieras a diario (jpmorgan, ebay) han visto cómo sus sitios han sido comprometidos, sus sistemas de control de acceso y seguridad puestos en evidencia al tiempo que los datos personales que les confiaron sus usuarios fueron expuestos al público.
Según el último informe realizado por la revista Forbes acerca de brechas de seguridad, las empresas gravemente afectadas por ataques informáticos durante el año 2014 fueron: Target, Home Depot, Jpmorgan, Neiman-Marcus, Snapchat, kickstarter, ebay, PF chang's, iCloud (Apple), Sony, así como un sinnúmero de agencias militares, gubernamentales y empresas pequeñas y medianas.
También ha sido un periodo en el que se detectaron las vulnerabilidades más significativas de los últimos tiempos, incluso algunas con nombre propio y logo asociado: Heartbleed, Shellshock, Poodle, junto a vulnerabilidades tradicionales de muy alto impacto en: Internet Explorer, Adobe Flash y Kerberos Schannel.
Figura 1. Logos de vulnerabilidades
No solo las grandes empresas han sido víctimas de los ciberdelincuentes.  También  un creciente número de personas fueron blanco de varias campañas mundiales. El botnet Zeus Gameover, basado en un código de venta libre publicado en internet, fue adaptado por cibercriminales para realizar fraude bancario a través de la toma de control de dispositivos personales. En 2014 aún contaba con más de 250.000 estaciones infectadas, aunque fuera detectado en 2011. Un botnet es una red de equipos comprometidos los cuales quedan a la disposición del dueño de la red, utilizados usualmente para ejecutar campañas de spam, negación de servicio, click fraud y robo de datos.
Adicionalmente se presentó el auge de Ransomware, un software malicioso, el cual cifra los archivos contenidos en los ordenadores, cuya finalidad es extorsionar a los usuarios afectados los cuales deben pagar para recuperar sus archivos. Una buena noticia es que la firma de antivirus Kaspersky liberó una herramienta llamada “Ransomware decrypter”, la cual puede revertir el cifrado de forma gratuita.
Durante el año 2015, uno de los ataques más importantes ha sido a la empresa de seguridad HackingTeam, la cual se dedicaba a comercializar software de vigilancia a gobiernos y entidades policiacas. Se publicaron 400 gigabytes de su información en Internet, incluyendo el código fuente de sus productos, buzones de correo completos, listado de clientes y facturación. Dentro del código fuente publicado se encontraban 0days de Internet Explorer y Flash. Los 0days son vulnerabilidades no reportadas o conocidas por los fabricantes o la comunidad, con las cuales se pueden explotar los sistemas sin que exista un control efectivo para su mitigación. Uno de ellos llevaba 4 años operando y no había sido detectado.
La red social Ashley Madison también fue vulnerada en 2015 y el contenido de sus bases de datos expuesto públicamente en Internet, a pesar de que esta red social hacía énfasis en su seguridad y confidencialidad. Según reportes de la BBC y CNN a esta filtración se le adjudica el suicidio de varias personas.
Fig. 2: Banner de Ashley Madison en el que se exhiben sellos de seguridad.
La firma de automatización de TI Estadounidense Landesk informó a sus empleados de una brecha sobre sus sistemas informáticos el pasado 18 de Noviembre. Según fuentes internas de la compañía los atacantes llevaban más de 17 meses al interior de su red. Se sospecha que los atacantes hayan podido plantar una puerta trasera dentro del código fuente de sus productos, lo cual permitirá acceso remoto los miles de clientes que los utilizan.
Continuando con la tendencia del año anterior los ciberataques sobre empresas que reciben pagos con tarjetas de crédito continúa siendo de gran preocupación. El sector hotelero ha sido especialmente afectado, el conglomerado Hilton anunció brechas sobre su red las cuales permitieron el robo de números de tarjetas de crédito, nombres de los tarjeta habientes, códigos de seguridad y fechas de expiración. La misma suerte sufrieron las cadenas de hoteles: Trump Collection, Mandarin Oriental, White Lodging y Starwood Hotels.
Los casos de ciber-chantajes no parecen menguar, tanto personas como empresas han sido víctimas de este tipo de acoso luego de un ciberataque. En el caso de las personas como consecuencia de la brecha que sufrió Ashley Madison sus usuarios fueron hostigados mediante amenazas que revelarían su comportamiento infiel ante sus parejas al menos que hicieran pagos con bitcoins. Para las empresas los datos robados a través de las brechas son utilizados para exigir pagos que llegan hasta los millones de dólares en bitcoins. Los casos más renombrados son los siguientes:Bank of Sharjah, Fidelity Bank, TalkTalk, Zoho, mSpy, y bitdefender.
El robo de datos personales sigue en auge. La empresa administradora de información financiera Experian sufrió una brecha con la cual se comprometieron alrededor de 15 millones de registros personales. Otras empresas involucradas en pérdidas de datos personales fueron: Scottrade, CareFirst, Vtech, Premera Blue Cross breach y Anthem Inc.
Por otra parte también el gobierno de Estados Unidos ha sufrido varios incidentes en 2015; los más importantes han sido aquellos dirigidos contra el  Departamento de Impuestos, IRS (Internal Revenue Service) y en  la Oficina de Manejo de Personal,  OPM (Office of Personnel Management). Estos ataques han sido atribuidos al gobierno chino, y en parte facilitaron la aprobación de un nuevo acto legislativo de ciberseguridad llamado CISA (Cybersecurity Information Sharing Act) bastante controvertido. La polémica se debe en parte a su lenguaje vago que permite el monitoreo indiscriminado de las actividades de los usuarios y a la posible persecución legal de los investigadores de seguridad informática.

Nuevas estrategias para la detección colectiva de amenazas

Según Gartner el presupuesto mundial estimado para el 2015 dedicado a la seguridad informática sería de 75.4 mil millones de dolares, lo cual representa un aumento de 4.7% sobre el año anterior. La tendencia del gasto es del alza, para el 2020 se estima en unos 170 mil millones de dolares según un estudio de la empresa Markets and markets. Esto en gran parte debido al aumento en la frecuencia de los incidentes de seguridad detectados, los cuales presentaron un crecimiento del treinta y ocho por ciento (38%) sobre el año anterior. Asi como el porcentaje de empresas afectadas: El noventa porciento (90%) de las grandes empresas han sufrido algún tipo de brecha y el setenta y ocho por ciento (78%) de las pequeñas y medianas.
Los productos pioneros del mercado están perdiendo terreno, los antivirus no presentan la misma protección que hace unos años. Por seguir en el mercado han agregado funcionalidades complementarias a la inspección de archivos, cuentan también con: firewall, detección de intrusos local, plugins de navegadores, base de datos de actualizaciones de programas instalados. Con el aumento de su complejidad han creado nuevos vectores de ataque los cuales pueden ser aprovechados por cibercriminales, como es el caso de careto. Varios investigadores de seguridad han expuesto las fallas de seguridad en estas suites. Principalmente el investigador Tavis Ormandy de google quien ha encontrado vulnerabilidades graves en los antivirus de Sofos, Kaspersky, Eset, avast y trend micro. Lo cual ha llevado a empresas a dejar de utilizar este tipo de control en sus redes, debido a su alto costo y baja efectividad.
No se puede pensar sólo en evitar los ataques, la perspectiva debe cambiar. Hay que pensar y trabajar en su pronta identificación, respuesta y contención: es decir desarrollar la respuesta de incidentes. Para lograrlo, es necesario contar con un CSIRT (Computer Incident Response Team), un equipo de respuesta a incidentes informáticos que se encarga de recibir, revisar y responder a los eventos relacionados con la seguridad de una organización. El equipo puede no estar constituido formalmente, pero debe tener un  propósito definido, es decir, que sus roles estén definidos, aunque  no sean la actividad principal de las personas asignadas. Más bien, empiezan a desarrollar las tareas en el momento en que se detecta un incidente. Este equipo también puede ser contratado a través de un tercero.
Imagen 3: Ciclo de gestión de incidentes
El éxito de la defensa y la solución de incidentes informáticos depende de impedir o responder exitosamente a todos los ataques; en cambio, el éxito del atacante consiste en realizar un solo ataque exitoso. Por esta razón, los defensores necesitan recolectar y procesar la mayor cantidad de datos que les sirva de base para el análisis e identificación de los comportamientos de actores hostiles, con el fin de contar con lo que se ha denominado como inteligencia de las amenazas o inteligencia colaborativa” (Threat Inteligence) basada en el intercambio de inteligencia de incidentes o eventos de seguridad.
Actualmente existe una gran variedad de fuentes de inteligencia de amenazas: internas (IPS, SIEM), públicas (Computer emergency response team, listas de correo) o comerciales (Fireeye/Mandiant, Alienvault, Verizon, Threatstream). Pero las más interesantes pueden ser las comunidades de compartición de información. Estas comunidades están integradas por varios CSIRT y su propósito es mejorar el panorama de monitorización y alertas tempranas. Su fortaleza reside en que aumentan y potencian las perspectivas, en general limitadas, de las organizaciones acerca del panorama mundial, o de las amenazas de su entorno socioeconómico. El intercambio de información particular de cada organización a través de sus CSIRT ayuda a la pronta identificación de nuevos incidentes. El conjunto de esta información o  metadatos (Direcciones IP, direcciones de correo, actividad de malware), es conocida como IOC (Indicators of Compromise). Mientras más eficiente se haga el intercambio, más efectiva será la pronta identificación de un incidente y su resolución.

Los IOC como herramientas clave para la detección temprana de incidentes y amenazas

Un IOC se puede definir para una gran cantidad de situaciones, eventos o anomalías de red. A continuación, se incluyen  algunos ejemplos:
  • Aumento de tráfico HTTP o HTTPS: Al perfilar las organizaciones, en muchos casos los atacantes hacen uso de herramientas automatizadas que producen una gran cantidad de tráfico para la búsqueda de vulnerabilidades. Si se identifica una fuente que crea un alto volumen de tráfico o peticiones, se debe sospechar de un posible ataque.
  • Anomalías geográficas: Si se detecta un aumento de peticiones desde ubicaciones geográficas con las que no se trata normalmente, en especial peticiones de acceso a cuentas de usuarios. Se debe investigar las causas y posibles consecuencias.
  • Anomalías de horario: Los usuarios legítimos tienen unas tendencias de trabajo y acceso a recursos muy homogéneas, las cuales en general son realizadas durante el horario laboral. Los accesos en horarios no laborales y sus comportamientos deben ser monitoreados con mayor empeño.
  • Aumento de tráfico de salida: En la mayor parte el tráfico a internet es de consulta, los usuarios realizan peticiones y la visualizan en pantalla. Un aumento substancial en el tráfico de salida puede ser indicativo de una anomalía o un posible compromiso.
Para el intercambio de inteligencia de amenazas actualmente existen varios estándares.  A continuación se incluye un listado de los más importantes:
  • OpenIOC: Es un formato de XML para el intercambio de inteligencia relacionada con incidentes de seguridad informática. La inteligencia es organizada como IOC's, los cuales representan patrones que sugieren actividad maliciosa. Esta fue desarrollada por Fireeye (Mandiant).
  • Incident Object Description and Exchange Format (IODEF): Es un formato de intercambio de inteligencia para CSIRT's, basado en un esquema XML. También provee la base para el desarrollo de herramientas y procedimientos interoperables para el manejo de incidentes de seguridad. Desarrollado por Working Group of the Internet Engineering Task Force (IETF).
  • Vocabulary for Event Recording and Incident Sharing (VERIS): Es una herramienta desarrollada y utilizada por Verizon business para recolectar datos de incidentes de seguridad de quienes los deseen compartir. Los datos son compilados mediante una aplicación web y su finalidad es reunir datos suficientes para el análisis estadístico de los incidentes. Con la información se genera un informe anual del panorama de amenazas.
  • The Structured Threat Information eXpression (STIX): Es un lenguaje que describe o detalla de una manera estandarizada y estructurada la amenaza cibernética. Desarrollado por OASIS.
  • Trusted Automated eXchange of Indicator Information (TAXII): Define un conjunto de servicios e intercambios de mensajes que permiten la compartición de información sobre las amenazas cibernéticas accionables a través de la organización y los límites del producto o servicio. Desarrollado por OASIS.
  • Cyber Observable eXpression (CybOX): Es un lenguaje estandarizado, sin embargo, este no está dirigido a casos de ciberseguridad, sino más bien está orientado a ofrecer soluciones cibernéticas y que sean lo suficientemente flexibles para los usuarios y permitir que estas se puedan compartir. Desarrollado por OASIS.
Definir un estándar para el manejo de los IOC’s es importante tanto para el interior de una organización como para la comunidad de intercambio de inteligencia. Al definir un estándar se pueden afinar y crear los indicadores con mayor velocidad y facilidad y se asegura que se esté hablando un mismo idioma. Igualmente al escoger un solo estándar no se limita ya que existen varias utilidades que permiten convertir de algunos formatos a otros.

Darknets para la recolección de inteligencia

Existe un proyecto de Team CYMRU llamado the Darknet project, cuya premisa se basa en establecer una porción de la red dentro de la cual no se cuenta con ningún tipo de servicios o servidores de uso normal por la organización donde se imposibilita la salida de datos de la misma. En la Darknet se ubica un único servidor para hacer recolección de datos, cualquier petición que entre a esta red será capturado por el mismo y podrán ser catalogadas como maliciosas ya que en la red no se transmiten datos legítimos.
¿Los atacantes están en mi red?
Anteriormente la ciberseguridad se basaba en tratar de impedir todos los ataques pero esta premisa no es muy funcional. Como lo hemos expuesto con anterioridad, la cantidad de ataques y su éxito ha aumentado de forma continua. Pensar que una red es invulnerable crea únicamente un falso sentido de seguridad, ya que lograr este cometido es imposible. Precisamente por ello debemos cambiar la manera de defendernos.
La forma tradicional de enfrentar la ciberseguridad no está produciendo los resultados necesarios. Los defensores están perdiendo constantemente la información que les ha sido confiada y en muchos casos no son conscientes que sus redes ya han sido vulneradas. Los atacantes encuentran nuevas estrategias de ataque sistemáticamente, pero los defensores han continuado aplicando los mismos controles.
Existe una brecha muy grande entre ambas partes, tanto en recursos como en capacidades técnicas. Por lo tanto, se deben implementar nuevos modelos, tales como la gestión de los incidentes de seguridad con la instauración de los CSIRT, la recolección de inteligencia de amenazas y el intercambio de información. Sin ellos, la visibilidad de los ataques es nula y su detección interna difícil. En algunos casos las empresas no saben que han sido comprometidas hasta que su información es hecha pública, o son informados del hecho por un tercero. Hay casos de “malware” cuya detección tardó entre 2 y 5 años, como es el caso de flame.
Es de vital importancia que las organizaciones y sus equipos de seguridad documenten e implementen mejoras en sus procesos de seguridad informática.  Hoy más que nunca, los riesgos e impactos de los ataques informáticos son muy elevados. Una fuga de la información no solo puede llevar una empresa a la quiebra, sino que incluso puede causar muertes, como sucedió en el caso de Ashley Madison.
Si una organización no cuenta con la inteligencia de amenazas necesaria es casi imposible afirmar que su red o sistemas informáticos no se encuentren comprometidos. Capturar, procesar y correlacionar los eventos de seguridad se debe convertir en una práctica estándar dentro de todas las organizaciones, ya que si no se conoce lo que sucede en el interior de las mismas, los incidentes no podrán ser detectados. Este proceso es solo el primer paso para lograr la  visibilidad necesaria acerca de los ataques. Los atacantes utilizan estrategias o metodologías repetitivas en el desarrollo de sus campañas, las cuales pueden ser identificadas y convertidas en IOC’s. Con estos IOC’s se puede detectar un ataque o encontrar el nivel de afectación en cada organización. El intercambio de los IOC’s dentro de una comunidad puede ayudar en la detección temprana o a resolver el incidente de forma más efectiva. Si la comunidad recibe inteligencia de varias partes y esta es actualizada y procesada de forma efectiva se podrán evitar o solucionar los ataques con mayor destreza e incrementará el costo para los atacantes.
Los atacantes sí están en mi red. No existe un solución milagrosa para asegurar los sistemas, la seguridad no se puede comprar, cada nuevo dispositivo agregado a una red incrementa la superficie de ataque. Cada persona u organización debe considerar que ya pudo haber sido vulnerada y la única forma de poder corroborarlo es aplicando inteligencia tanto interna como colaborativa en búsqueda de IOC’s. Para lograr este cometido se plantea la siguiente estrategia de diez pasos:
  1. Definir los activos de mayor valor al interior de la organización.
  2. Documentar los canales de comunicación entre los diferentes activos incluyendo los dispositivos de red por los cuales se transmiten los datos. Con el fin de poder determinar con certeza las diferentes ubicaciones donde se pueden generar alertas o trazas de tráfico anómalo (Inteligencia de red).
  3. Establecer una línea base o patrón de tráfico común.
  4. Establecer los indicadores para la determinación de tráfico anómalo.
  5. Establecer un procedimiento de manejo de incidentes de seguridad informática.
  6. Conformar el equipo de atención a incidentes de seguridad informática (CSIRT).
  7. Implementar un sistema de monitoreo de eventos de seguridad (SIEM).
  8. Generar IOC’s con la inteligencia recolectada de los eventos procesados por el SIEM y establecer el procedimiento de tratamiento de los mismos al interior de la red organizacional.
  9. Integrar inteligencia de IOC’s de fuentes de terceros confiables.
  10. Crear o vincularse a una comunidad de compartición de IOC’s del sector al cual pertenece la compañía.

________________________________________________________________________
Tomado de: https://www.linkedin.com/pulse/son-las-empresas-y-nuestros-datos-m%C3%A1s-vulnerables-que-hern%C3%A1ndez?trk=pulse-det-nav_art
Se Respetan Derechos de Autor
 

martes, 26 de enero de 2016

MALWARE ATACA a Iphone, Ipad, Mac.... CUIDADO !

Una "broma" que circula en Twitter, Facebook y otras plataformas de redes sociales podría hacer colgar tu iPhone o iPad. Hay un enlace a crashsafari dot com (CUIDADO!) que se recomienda no abrir en un iPhone, iPad o Mac porque al hacerlo hará que la aplicación Safari (y otros navegadores también) se cuelgue y potencialmente podría hacer que el dispositivo de Apple se reinicie.

Las personas están difundiendo el enlace al sitio a través de Twitter usando un acortador de URL y los usuarios son engañados para visitar el sitio sin saberlo.

¿Cómo funciona esta "broma"?

El sitio web genera una cadena de caracteres muy larga y creciente y esto sobrecarga el navegador el navegador haciendo que se cuelgue. El código de CrashSafari es muy sencillo e incluye un título que nunca se vé porque el navegador se bloquea y un pequeño fragmento de JavaScript que llama a una  API de historial en HTML5 (history.pushState) miles de veces en un bucle, haciendo que el navegador deje de responder, por consumo de memoria excesivo.
El script crea una serie de cadenas de texto de números 0, 1, 2, y así sucesivamente hasta 100.000, en secuencia y termina formando URLs con todos los números del 0 al 100.000 escrito en el formato 1 x 10 + 2 x 90 + 3 x 900 + 4 x 9000 + 5 x 90000 bytes de longitud. El último número formado tiene 488.890 bytes, pero al formar las 100.000 secuencias, la longitud total de las cadenas de texto generado es 488.890 + 488.885 + 488.880... 3 + 2 + 1 bytes, con un total de 25GBytes en la memoria del dispositivo.

Efectos

Según el dispositivo y navegador, los efectos pueden ser:
  • Los dispositivos iPhone se calientan y pueden reiniciarse por accidente.
  • Los usuarios de Android también son vulnerables y si tienen Chrome, hacen que el dispositivo se caliente y se vuelva muy lento.
  •  Las computadoras de escritorio y portátiles también se ven afectadas por este fallo, pero en menor medida, dependiendo de la potencia de procesamiento del sistema.
  • Chrome sobre Mac deja de responder.
  • El "hack" en sí mismo es inofensivo, pero probablemente causará que se pierdan las pestañas abiertas. 
Entonces, NO abras el sitio crashsafari . com (CUIDADO!)

________________________________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2016/01/broma-hace-que-los-navegadores-se.html
Se Respetan Derechos de Autor.




miércoles, 20 de enero de 2016

IMPORTANTE. Linux:Vulnerabilidad 0-Day y Exploit, Actualiza Ya !

Se ha descubierto una nueva vulnerabilidad 0-Day crítica en el Kernel de Linux. Este bug podría permitir obtener privilegios con nivel de "root", mediante la ejecución de una aplicación maliciosa en Linux o Android.

La vulnerabilidad CVE-2016-0728 ha sido identificado por un grupo de investigadores de una startup israelí, llamada Perception Point. La vulnerabilidad está presente desde 2012 y afecta a cualquier Kernel de Linux 3.8 o superior ya sea en la versión de 32-bit o 64-bit. El problema también afecta a las versiones de Android KitKat y superior, lo que significa que alrededor del 66 por ciento de todos los dispositivos Android también están expuestos al grave defecto en el Kernel de Linux.

El atacante requiere acceso local para explotar la falla en un servidor Linux y si se explota el bug con éxito, la vulnerabilidad permite obtener permisos "root" en el sistema operativo. Hasta ahora, los investigadores dijeron que no hay exploits públicos que aprovechen esta vulnerabilidad pero han proporcionado un análisis técnico de cómo puede ser explotada, incluyendo una prueba de concepto (PoC) que ha sido publicado en Github.
La buena noticia es que la empresa ya ha reportado la falla al equipo de Linux y se esperan los parches para hoy mismo.
Mientras tanto, el Kernel ya tiene cierta protección contra esta vulnerabilidad, que puede ser consultado en la Wiki de Arch.

Sin embargo, en Android puede tardar un poco porque las actualizaciones no son instaladas automáticamente por fabricantes.

Actualización: Debian ya ha parcheado. RedHat está trabajando.




_______________________________________________________________

Tomado de: http://blog.segu-info.com.ar/2016/01/vulnerabilidad-0-day-y-exploit-para.html
Se Respetan Derechos de Autor.

lunes, 11 de enero de 2016

El mayor ataque de DDoS de la historia contra BBC: 602 Gbps.


Los ataques de DDoS son cada vez peores para las empresas y casi todos los sitios web grandes han sido víctima de estos ataque. Uno de los más recientes se llevó a cabo el pasado fin de semana contra el sitio de noticias BBC, del candidato presidencial republicano Donald Trump. Este ataque está considerado el mayor ataque DDoS de la historia y alcanzó los 602 Gbps.

El grupo "New World Hacking" se adjudicó el ataque y lograron bajar al menos tres horas el sitio de la BBC en vísperas de año nuevo. La BBC dijo que "el apagón fue causado por algunos fallos técnicos", pero más tarde indicó que el grupo "New World Hacking" había reivindicado el lanzamiento de un ataque DDoS como "prueba de sus capacidades".

Uno de los miembros del grupo, que se identificó como Ownz, afirmó que se utilizó una herramienta propia denominada BangStresser para lanzar un ataque de DDoS que alcanzó hasta 602 Gbps. Como prueba, el grupo proporcionó a ZDNet una captura de pantalla de la interfaz web que presuntamente fue utilizada para atacar el sitio web de la BBC. Aunque la autenticidad de la captura no ha sido verificada, el tráfico superaría ampliamente el mayor ataque de DDoS de 334 Gbps, registrado por Arbor Networks el año pasado.

Al parecer, el ataque utiliza servidores de Amazon Web Services pero todavía no se han revelado más detalles, aunque Ownz afirmó que el principal objetivo de la herramienta de BangStresser DDoS es desenmascarar a ISIS y posiblemente poner fin a su propaganda en línea.

_________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2016/01/el-mayor-ataque-de-ddos-de-la-historia.html#el-mayor-ataque-de-ddos-de-la-historia
Se Respetan Derechos de Autor.

INTERESANTE: theZoo: una base de datos de malware para analizar.


Malware DB es un proyecto mantenido por Yuval Nativ (ytisf) que recopila una buena lista de malware para su análisis. Su objetivo es permitir a las personas que estén interesadas en el análisis de malware, o tal vez incluso como parte de su trabajo, tener acceso a malware "vivo", analizar las formas en que operan e incluso permitir a las personas con experiencia bloquear malwares específicos dentro de su propio entorno.

También llamada theZoo se trata de una base de datos de malware con licencia GPLv3 que tiene un catálogo de lo más interesante: AndroRat, Careto, Duqu, CryptoLocker, Carberp, Zeus, ... y muchos más. Cada directorio de malware tiene por defecto 5 ficheros:

- Los ficheros de malware en un ZIP cifrado
- El hash SHA256 del primer archivo
- El hash MD5 del primer archivo
- El fichero con la contraseña
- El fichero index.log para el indexer

Eso sí, recordar que hay malwares actuales y peligrosos! Vienen "cifrados" y bloqueados por una razón! NO ejecutarlos a menos que se esté absolutamente seguro de lo que se está haciendo! Son para ser utilizados sólo con fines educativos (y nos referimos a eso!) !!!

Se recomienda ejecutarlos en una máquina virtual sin conexión a Internet (o una red virtual interna si es necesario) y sin adiciones de huéspedes o cualquier equivalente. Algunos de ellos son gusanos y tratarán de propagarse automáticamente. Por su puesto, si se ejecutan en un entorno no controlado el resultado será infectaros a vosotros mismos. Avisados estáis:

http://ytisf.github.io/theZoo/



____________________________________________________________
Tomado de: http://www.hackplayers.com/2016/01/thezoo-una-base-de-datos-de-malware.html
Se Respetan Derechos de Autor.

viernes, 8 de enero de 2016

Se produce el primer corte de electricidad por un ataque con Malware.


El pasado 23 de diciembre los habitantes de la región ucraniana de Ivano-Frankivsk se quedaron sin electricidad durante varias horas. Pero no fue un corte de energía al uso, sino que fue provocado por un troyano que atacó los sistemas de la central eléctrica. La compañía de seguridad ESET fue la que descubrió que, efectivamente, se trataba de un ciberataque, que no sólo atacó compañías eléctricas, sino que también afectaron a diversos ministerios del país.

Pesadilla antes de Navidad

23 de diciembre, un día antes de Nochebuena. Aproximadamente la mitad de la población de la zona Ivano-Frankivsk, en el suroeste de Ucrania, sufre un apagón durante varias horas. En un principio se pensaba que era un accidente aislado que afectaba a los clientes de la compañía eléctrica TNS. Sin embargo, otras compañías eléctricas estaban siendo afectadas al mismo tiempo. ¿La causa? Las centrales estaban siendo atacadas por cibercriminales, que estaban usando un troyano de puerta trasera. Mediante este troyano, denominado BlackEnergy, los ciberdelincuentes estaban infectando los ordenadores de las compañías con KillDisk, otro troyano que provocaba que los equipos no pudieran reiniciarse.
troyanos blackenergy central electrica killdisk

¿Cómo funcionan BlackEnergy y KillDisk?

Estos dos troyanos funcionaron “de maravilla” de forma conjunta. BlackEnergy es un troyano de puerta trasera (backdoor) modular, que usa varios componentes descargables para realizar diferentes tareas. Este troyano se ha usado en más ocasiones durante 2014, en objetivos que apuntaban al ciberespionaje, con ataques a sedes del gobierno de Ucrania. Pero en esta ocasión, este troyano fue usado para introducir otro troyano, KillDisk. 
KillDisk es un troyano muy destructivo, que una vez ejecutado en los sistemas (previamente infectados por BlackEnergy) puede destruir vídeos y documentos. El troyano usado durante los ataques contra las compañías eléctricas es una variante que incluye funcionalidades adicionales que permitían al troyano, no sólo borrar archivos del sistema para evitar cualquier posibilidad de reinicio (común en los troyanos más destructivos), sino que también contenía códigos específicos para sabotear sistemas industriales.
blackenergy killdisk

No es la primera vez

En noviembre de 2015 ya fue denunciada la primera conexión entre BlackEnergy y KillDisk, precisamente por la Secretaría de Ciberseguridad del Gobierno ucraniano. Varias compañías fueron atacadas durante las elecciones locales del país. Debido a ese ataque, fueron destruidos documentos del gobierno.
Desde ESET explican que KillDisk también es capaz de finalizar procesos que se encuentren en los sistemas afectados, y además, puede sobreescribir archivos ejecutables en el disco duro con datos aleatorios, para que de esta forma la restauración del sistema sea más compleja. La compañía de seguridad ha publicado las conclusiones de la investigación en la que analizan cómo los fallos sufridos por las compañías eléctricas de Ucrania el pasado mes de diciembre fueron causados por unos ciberataques que también afectaron a diversos ministerios del país.
Este ataque recuerda a uno de los más famosos que han tenido lugar en una infraestructura crítica, el popular Stuxnet, el malware que se cree que fue desarrollado por EEUU e Israelpara sabotear el programa nuclear iraní. O Havex, otro malware similar que fue usado para atacar diferentes sistemas SCADA europeos. El ocurrido en Ucrania es otro ataque que pone de manifiesto la importancia de las infraestructuras críticas, los sistemas SCADA y su protección.

_____________________________________________________________________
Se Respetan Derechos de Autor.



domingo, 3 de enero de 2016

Las técnicas de evasión serán más sofisticadas en 2016.

Internet de las cosas, Seguridad
El IoT, las infraestructuras virtualizadas o el sandboxing serán objetivos claros de los ciberdelincuentes el año próximo, según Fortinet.
En lo que la ciberseguridad se refiere se avanza sin prisa pero sin pausa. No sólo desde el lado de los fabricantes, sino desde el lado oculto de los ciberdelincuentes, que en 2016 seguirán poniéndoselo más complicado a la industria en general.

Como ocurre cada año por estas fechas, las empresas de seguridad recopilan información, analizan y lanzan sus previsiones. ¿Qué nos depara 2016 en ciberseguridad? Los Laboratorios FortiGuard de Fortinet aseguran que aumentarán los ataques contra el IoT, la nube y las infraestructuras virtualizadas, y que los malos llevarán al límite las tecnologías de detección y análisis forense al crear técnicas de evasión cada vez más sofisticadas.
La información complete se ha publicado en el informe New Rules: The Evolving Threat Landscape in 2016, que pretende proporcionar a sus clientes conocimiento en el que basar sus estrategias de seguridad de cara al próximo año.
En primer lugar dice Fortinet que se incrementará el número de exploits contra el IoT. Y es que aunque mucho se habla de ello, de la cantidad de cosas que estarán cada vez más conectadas, todavía no existe una política de seguridad clara con respecto a esta tendencia. La firma de seguridad advierte que se “aprovecharán las vulnerabilidades de los dispositivos de consumo conectados para obtener una posición privilegiada dentro de las redes corporativas y el hardware al que están conectados”. Cuidado, por tanto, con dispositivos como smartwatches o pulseras de actividad, o smartbands; nueva vuelta de tuerca al BYOD.
Prediciones Fortinet
Las infraestructuras están cada vez más virtualizadas, pero eso no detiene a los hackers. Se calcula que las empresas han virtualizado el 90% de sus infraestructuras y la vulnerabilidad Venom ya ha dado una pista “sobre el potencial del malware para escapar desde un hipervisor y acceder al sistema operativo host en un entorno virtualizado”.
Habla también Fortinet de los blastware y los ghostware. El primero diseñado para destruir o deshabilitar un sistema cuando es detectado; y el segundo desarrollado para eliminar los indicadores de compromiso que muchos sistemas de seguridad son capaces de detectar. Pues según Fortinet ambos crecerán y además se harán más inteligentes, lo que hará que sea cada vez más complicado para las organizaciones rastrear una pérdida de datos asociada a un ataque.
Desde que apareciera hace ya unos cuantos años, el sandboxing, o aislamiento de procesos, ha sido adoptado por muchas compañías. No han tardado los ciberdelincuentes en buscarle las vueltas y crear malware cada vez más difícil de detectar, malware que se extenderá el próximo año, asegura Fortinet en su estudio.


_______________________________________________________________________________
Tomado de: http://www.hackingpublico.net/las-tecnicas-de-evasion-seran-mas-sofisticadas-en-2016/
Se Respetan Derechos de Autor

viernes, 1 de enero de 2016

Herramienta para recuperar los archivos cifrados por el ransomware Gomasom.

Estas navidades está pegando fuerte un ransomware bautizado por Fabian Wosar de Emsisoft como Gomasom (GOogle MAil ranSOM) ya que utiliza direcciones de Gmail en los nombres de ficheros cifrados, por ejemplo Tulips.jpg!___prosschiff@gmail.com_.crypt, a los que los usuarios infectados deben escribir para seguir las intrucciones de "rescate".

El propio Fabian ha creado una herramienta muy sencilla decrypt_gomasom.exe (descargar aquí) que permite obtener la clave de descifrado simplemente arrastrando un fichero cifrado y el equivalente original sin cifrar:




Es decir, al menos necesitaremos un fichero original para poder recuperar el resto. Si no lo tenemos podríamos buscar por ejemplo un PNG de la instalación por defecto de Windows, obtenerlo de otro equipo o descargarlo de Internet y utilizarlo para obtener la clave.


Básicamente el programa realiza una fuerza bruta probando diferentes claves para obtener el mismo fichero cifrado, cuando la encuentre (puede llevar su tiempo) se nos mostrará una ventanita como la siguiente:




Y después de pulsar el botón OK nos aparecerá una ventana con el listado de directorios y ficheros a descifrar (si no aparece podemos añadirlo a mano):



Finalmente pulsaremos el botón de descifrar y después del proceso se nos mostrarán los resultados:



____________________________________________________________
Tomado de: http://www.hackplayers.com/2015/12/herramienta-para-recuperar-los-archivos.html
Se Respetan Derechos de Autor.