   16 de octubre del 2016

Respuesta De EE.UU al pirateo de Rusia tendrá "Máximo impacto":

WASHINGTON, ESTADOS UNIDOS (16/OCT/2016).- El vicepresidente de EU, Josepht Biden, aseguró que su Gobierno prepara una respuesta a Rusia por haber lanzado ciberataques para influir en las elecciones estadounidenses, y que se asegurará de que tenga el "máximo impacto" posible, aunque no es probable que se haga pública. "Vamos a enviar un mensaje (a los rusos).Tenemos la capacidad de hacerlo", dijo Biden en una entrevista emitida por la cadena de televisión NBC News. "Él lo sabrá (cuando llegue la respuesta estadounidense)", añadió con una media sonrisa Biden en referencia al presidente ruso, Vladímir Putin. El vicepresidente insistió en que la respuesta de EU será "proporcional" al pirateo de Rusia, pero cuando el entrevistador le preguntó si el público se enterará cuando ocurra esa represalia, Biden respondió: "Espero que no". La semana pasada, el Gobierno estadounidense acusó a Rusia de  con el lanzar ataques objetivo expreso de influir en las elecciones presidenciales de noviembre, y le atribuyó, entre otras cosas, el robo de 20 mil correos electrónicos del Comité Nacional Demócrata (DNC) que fueron publicados por WikiLeaks. Este viernes, la cadena de televisión estadounidense NBC informó, citando a fuentes de los servicios de inteligencia estadounidenses, de que la CIA tiene la tarea de presentar opciones a la Casa Blanca para una operación "clandestina" y de amplio alcance cibernético contra el Kremlin. Exfuncionarios de inteligencia agregaron, además, que la CIA habría reunido ya documentos que podrían exponer al presidente ruso. Putin se pronunció sobre las amenazas de respuesta de EU, al asegurar a medios rusos desde la India que de ese país norteamericano se puede esperar "cualquier cosa", porque "escuchan y espían a todos". El mandatario advirtió de que "sacrificar las relaciones ruso-estadounidense en el curso de acontecimientos de política interna de EU" es "dañino y contraproducente", y negó que Rusia pretenda influir en el resultado de las elecciones a la Casa Blanca. "Alguien quiere la confrontación, no es nuestra opción. Pero eso significa que habrá problemas, algo que no queremos. Por el contrario, nos gustaría buscar puntos de contacto para resolver los problemas de carácter global que afrontan Rusia, EU y el mundo", aseguró Putin. Biden aseguró que no está preocupado por la posibilidad de que la gente pierda confianza en el resultado de las elecciones de noviembre, al afirmar que la capacidad de Rusia "para afectar fundamentalmente los comicios no es la que la gente piensa". Este episodio ha deteriorado aún más las relaciones entre Estados Unidos y Rusia, muy debilitadas ya en las últimas semanas por el fracaso de los esfuerzos para lograr un alto el fuego en Siria y que ahora se encuentran en uno de sus puntos más bajos en los últimos años.

    17 de octubre, 2016

     Un troyano bancario para Android invita a hacerse un selfie para robar datos

Aprovechando que algunos servicios de tarjetas de crédito como MasterCard han empezado a implementar la posibilidad de hacerse un selfie como sustituto de la contraseña en los pagos, algunos hackers han empezado a aprovecharse de esa característica para engañar a los usuarios.    Investigadores de McAfee han descubierto un nuevo troyano bancario para Android que se enmascara como un plugin de vídeo, Adobe Flash Player, una aplicación pornográfica o un códec de video, para luego pedir al usuario un selfie con su tarjeta de identificación que téndria que ser utilizado para reforzar la seguridad de su tarjeta de crédito. Este troyano es la versión más reciente de Acecard, que a sido etiquetado como uno de los más peligrosos conocidos hasta el día de hoy, según Kaspersky. Una vez instalado el virus troyano solicita una serie de permisos sobre el dispositivo para ejecuta el código malicioso y luego espera a que el usuario habra aplicaciones, sobre todo aquellas en las cuales se puede solicitar los datos de la tarjeta de crédito. El troyano se superpone a sí mismo sobre la aplicación legítima y procede a pedir al usuario el número de la tarjeta de crédito y otros datos relacionados con esta como el nombre del titular, fecha de expiración y número CVV. Una vez entregados todos los datos solicitados, el troyano empieza a intentar conseguir información personal del usuario, incluyendo su nombre, fecha de nacimiento y dirección de correo electrónico para propósitos de verificación. Lo retorcido del troyano llega incluso más lejos al pedir al usuario una foto de la parte frontal y otra de la parte trasera de la tarjeta de identificación, además de pedirle que se haga una autofoto (selfie) mientras la esta sujetado.    Impacto mas en Hong Kong y Singapur por que le verifican transacciones bancarias ilegales y robar el acceso a las cuentas e las redes sociales de sus víctimas capaces de confirmar identidades robadas.

18 de octubre del 2016

Ni Android, ni iOS ni windows phone están a salvo de ataques importantes

El incremento en el número de usuarios de móviles esta atrayendo como consecuencia alarmante en él numero de ataques(mucha veces con malware de por medio)contra esos dispositivos.   Tradicionalmente se ha percibido a iOS como un sistema mas seguro que Android debido a un ecosistema del segundo percibido por muchos como algo parecido al salvaje oeste.

19 de Octubre del 2016

LYNIS: HERRAMIENTA DE AUDITARÍA DE SEGURIDAD PARA UNIX/LINUX SYSTEMS

Lynis es una herramienta de auditoría de seguridad de código abierto. Utilizado por los administradores de sistemas, profesionales de pentesting, y los auditores, para evaluar la ciberseguridad de sus sistemas Linux y UNIX. Se ejecuta en el propio host, de forma que realice análisis de pentesting y ciberseguridad más amplios que escáneres de vulnerabilidades.

SISTEMAS OPERATIVOS COMPATIBLES

La herramienta de pentesting y ciberseguridad casi no tiene dependencias, por lo que se ejecuta en casi todos los sistemas y versiones basadas en Unix, incluyendo:

§ AIX § FreeBSD
§ HP-UX
§ Linux
§ Mac OS
§ NetBSD
§ OpenBSD
§ Solaris
§ and others

Incluso puede funcionar en sistemas como el Raspberry Pi y varios dispositivos de almacenamiento!

¿CÓMO FUNCIONA?

Lynis lleva a cabo cientos de pruebas de pentesting individuales, para determinar el estado de ciberseguridad del sistema. El análisis de ciberseguridad en sí consiste en realizar una serie de pasos, desde la inicialización del programa, hasta el informe.

   PASOS

1.    Determinar sistema operativo

2.    Búsqueda de herramientas y utilidades disponibles

3.    Buscar actualizaciones Lynis

4.    Ejecutar pruebas de plugins

5.    Ejecutar pruebas de pentesting por categoría

6.    Informe del estado del análisis de ciberseguridad

Además de los datos que se muestran en la pantalla, todos los detalles técnicos de la exploración se almacenan en un archivo de registro. Cualquier resultado (advertencias, sugerencias, la recopilación de datos) se almacena en un archivo de informes. Lynis es una de las herramientas enseñada por los expertos de pentesting.

ESCANEO OPORTUNISTA

El escaneo lynis es oportunista: utiliza lo que se puede encontrar.
Por ejemplo, si ve que está ejecutando Apache, se llevará a cabo una ronda inicial de pentesting relacionadas con Apache. Si durante el escaneo Apache también descubre una configuración de SSL / TLS, se llevarán a cabo pasos adicionales de auditoría al respecto.

LOS ESCANEOS DE CIBERSEGURIDAD A PROFUNDIDAD

Mediante la realización de la exploración oportunista, la herramienta puede funcionar con casi ninguna dependencia. Cuanto más encuentra, más profunda la prueba de pentesting será. En otras palabras, siempre Lynis realizará exploraciones, personalizadas a tu sistema.

  CASOS DE USO

Según expertos de cyberseguridad, Lynis es flexible, se utiliza con varios fines diferentes. Casos de usos típicos para Lynis incluyen:

§ La auditaría de ciberseguridad

§ Pruebas de cumplimiento (por ejemplo, PCI, HIPAA, SOX)

§ Detección de la vulnerabilidad y la digitalización

§ Endurecimiento de sistema

   LOS RECURSOS UTILIZADOS PARA LAS PRUEBAS

Muchas otras herramientas utilizan los mismos archivos de datos para la realización de pruebas de pentesting. Desde que Lynis no se limita a unas pocas distribuciones comunes de Linux, que utiliza las pruebas de estándares y muchas otras costumbres que no se encuentran en ninguna otra herramienta.

Una de las últimas vulnerabilidades de Windows estaba siendo explotada

Como ya sabemos, los segundos partes de cada mes, tanto Microsoft como otras desarrolladoras de software suelen publicar una serie de parches de seguridad para sus sistemas operativos, como Windows, y resto de programas con el fin de solucionar todos los fallos de seguridad conocidos hasta la fecha y hacer sus productos más seguros. Aunque, por lo general, los fallos no están siendo explotados por piratas informáticos a la hora de descubrirlos, no siempre es así y, en ocasiones, los piratas van un paso por delante de las desarrolladoras en cuanto a seguridad.



17 de Octubre del 2016

  "Si esperamos para subirnos al tren de la digitalización, lo vamos a perder"

4.0, la cumbre de contenidos digitales más importante y la de Tecnologías de la Información más grande de Latinoamérica. Expositores nacionales e internacionales compartieron experiencias y saberes en torno a los videojuegos, la animación, la música, los medios, la publicidad, el desarrollo web, el desarrollo móvil y el emprendimiento.

La rueda de negocios sobre estos sectores satisfizo la expectativa de hacer negocios por 49 millones de dólares. Fue organizada por el Ministerio de Tecnologías de la Información y las Comunicaciones, Procolombia y la Federación Colombiana de la Industria de Software y TI (Fedesoft). Así, se reafirma como el evento más importante del país en el sector de las Tecnologías de la Información.

En diálogo con COLPRENSA, el ministro David Luna habló de la actualidad de la industria de las Tecnologías de la Información (TI) y de la creación de software en el país, de las que espera se conviertan en principales motores de la economía nacional. Explicó por qué cree que este tipo de eventos fomentan el talento humano.

- ¿Qué significó el cambió de nombre de la cumbre digital Colombia 3.0 a Colombia 4.0?

En enero de este año el presidente del Foro Económico Mundial, Klaus Schwab, dijo que el mundo estaba viviendo la cuarta revolución digital, y lo dijo básicamente haciendo referencia a l los cambios tecnológicos que se han presentado últimamente. Discrepo de ese concepto, porque creo que estamos viviendo es una evolución digital, una evolución que aprovecha las herramientas, los inventos y también las facilidades que la tecnología brinda. Colombia no es ajena a eso, por esa razón la cumbre de contenidos digitales más importante del continente, que se llamaba 3.0, tenía que migrar a Colombia 4.0. Además, antes era financiada por el Gobierno y ahora es una cumbre construida junto con el sector privado.

- ¿Por qué se dio esa vinculación de los privados?

Si alguien se va a ver beneficiado de la economía digital es el sector privado y por ende el empleo. Hay una encuesta internacional realizada por el MIT Management Review, en la que entrevistaron a más de 2700 presidentes de grandes compañías en el mundo; reveló que el 87 % de esos ejecutivos consideran que están viviendo una disrupción digital y solamente el 13 % dijo estar preparado para eso. Esa encuesta la reprodujo parcialmente la ANDI y los empresarios colombianos respondieron que el 75 % ven venir, con pasos de animal grande, cambios tecnológicos en sus negocios; de ellos, solo el 25 % dijo estar preparado para ello.

Por eso a nosotros nos corresponde que en este tipo de escenarios, donde hablamos de animación, videojuegos, desarrollos web, monetización de medios de comunicación, entre otros temas, podamos entender que la tecnología no es un valor agregado, si no que es una necesidad. Estamos a tiempo de subirnos al tren de la digitalización, pero si esperamos un poco, lo vamos a perder.

- Sobre algunos de los tracks que se tratan en Colombia 4.0, tales como animación, videojuegos, 3D, pareciera que no se produjeran en el país. ¿Qué tan desarrollada está la industria nacional de las tecnologías de la información y contenidos digitales?

Le contesto con un ejemplo hecho en Colombia: ya vendimos una serie animada para Discovery Kids y otra para Netflix; eso es la demostración de que vamos por buen camino. Nos posicionamos como uno de los países más importantes en el desarrollo de videojuegos y el número de nuestras empresas de software ya llega a 4500, generando más de 90.000 empleos y vendiendo alrededor de ocho billones de pesos al año. Las exportaciones en contenidos digitales pasaron de ser de once millones de dólares en 2011, a ser de 35 millones de dólares en la actualidad, según datos de ProColombia.

Aquí hay una industria en potencia. Ya superamos la exportación que aporta el carbón, ahora estamos haciendo el proceso muy importante de posicionarnos, y necesitamos que todo el mundo entienda que los contenidos digitales van a ser igual de importantes a otro sector de la economía; tenemos que brindarle oportunidades.

- ¿Cuánto aporta a la economía nacional la industria de Tecnologías de la Información?

El sector de la economía creativa, que componen muchos de los tracks y temáticas de Colombia 4.0, va a aportar más del 3,4 % al PIB nacional. Si bien es cierto que, entre 140 países que están en el índice de desarrollo de economía creativa estamos en el puesto 40, tenemos la proyección de estar en 2022 entre los 20 países que más exportan este tipo de contenidos.

- Vinieron potenciales compradores de unos 20 países por contenidos digitales. ¿En ese aspecto el país está más desarrollado que algunos otros de la región?

Aún no somos el país más desarrollado de la región en Tecnologías de la Información, pero sí considero que esta es la cumbre más importante del continente en contenidos digitales y estamos haciendo esfuerzos muy grandes como economía innovadora, para lograr cada día más desarrollo. En el índice del Foro Económico Mundial ya avanzamos seis puestos; queremos seguir apostando en ese camino. Tenemos como objetivo a 2018 generar 120 millones de dólares en exportaciones de contenidos digitales y estamos tratando de posicionarnos como un país de generación de talento. Muchas personas no quieren estudiar carreras asociadas a las Tecnologías de la Información, pero hemos avanzado en becar a cerca de 7000 estudiantes para que se preparen en ese sector. Hay que dejar de pensar que es un asunto de grandes capitales; es un tema regional, pues los emprendimientos pueden salir desde las municipalidades más pequeñas.

- ¿Cómo hacer para que ese sector, que suena muy cercano a las grandes ciudades, también tenga impacto en las diferentes regiones del país?

Los emprendimientos regionales son distintos, estos deben responder a lo que la demanda requiere. En cada región se necesitan distintas respuestas, eso es lo que hay que aprovechar. Si usted lleva una aplicación de café a La Guajira no tendrá éxito, pero si la lleva a la zona cafetera se va a fortalecer, entonces a lo que voy es que el ingenio y la capacidad de crear están a la orden del día.

- Comparados con los otros países de la región, ¿cómo estamos en desarrollo de la economía digital?

Le pisamos los talones a Chile y podemos decir con tranquilidad que en materia de economía digital estamos por encima de Brasil.

- Usted dice que el país se ha desarrollado bien en materias como animación y videojuegos, ¿en qué aspectos falta trabajar más?

Tenemos que trabajar fuertemente en música digital y en contenidos web. Si es cierto que estamos en buen camino, hay países que están mejor que nosotros. Mire usted en materia de conectividad: Colombia, según la Organización Internacional del Trabajo, tenía a 2014 el 52 % de la población conectada a internet, superando a Perú, que tenía el 40,2 %, y a México, que tenía el 44,4%, pero por debajo de Chile, que tenía al 72 %. Vamos en buen proceso, pues ya entendemos que internet dejó de ser una red social, dejó de ser el internet del consumo y pasó a ser el internet de la producción. Por ahí es donde va a estar la telesalud y por donde mejorarán los contenidos de la educación. En conectividad móvil bordeamos los diez millones de usuarios, entonces hay un avance importante.

- ¿Cree que el sector de las tecnologías de la información pasará a ser de los que impulse la economía nacional?

No me cabe la menor duda de que el sector TI y la industria del software van a ser grandes desarrolladores de la economía del país. Las ventas de las 4500 empresas compiten con cualquiera otra gran empresa a nivel nacional o internacional. Lo que necesitamos es que empresas de otros sectores se digitalicen y mejoren su operación.

-¿Cómo cree que los talleres y conferencias de expertos internacionales impactarán el sector a corto plazo?

El haber traído al jefe de animación de Disney, que acaba de dirigir 'Zootopia', la película de animación más vendida en los últimos años, demuestra que acá vienen los mejores maestros para nuestra industria nacional. Que también haya estado el más importante emprendedor en materia de ciberseguridad, demuestra que Colombia le apuesta a aprender de los mejores.Además, conferencistas y académicos explicaron la actualidad del mercado y cómo las aplicaciones móviles son esenciales para las compañías.

- ¿Cómo cree que desde la industria TI se puede aportar a la construcción de paz?

Logrando entender que la nueva generación quiere pasar la página de la guerra. Una amiga que vendió una aplicación en 200 millones de dólares me contaba que su papá tuvo un empleo durante toda su vida, que ella ha tenido más de seis y que su hijo tiene trabajos simultáneos, lo que demuestra que el empleo está cambiando y mutando y debemos adaptarnos a eso y que esto sea un tema transversal.

22 de octubre del 2016

Ciberataques en EEUU golpean a Twitter, Amazon y otros grandes sitios web

Varios grandes nombres de internet, entre ellos Twitter, eBay, Amazon y Spotify, se vieron gravemente afectados el viernes en Estados Unidos por una serie de ataques informáticos sucesivos dirigido a un proveedor de internet. Fue imposible acceder a sitios y a varios importantes medios como CNN, The New York Times, The Financial Times, The Boston Globe y The Guardian. En varias ocasiones durante el día, los ataques afectaron a un componente crucial de la infraestructura de internet, lo cual le impidió a millones de usuarios en Estados Unidos y en otros lugares del mundo hacer compras por internet, mirar videos, publicar o enviar mensajes. El proveedor de internet Dyn, que maneja y redirige tráfico en internet, dijo que sufrió un ataque de denegación de servicio (DDoS) en su servicio de dominio de internet que afectó "principalmente a la costa este de Estados Unidos". Tres horas después de restablecer el servicio, la empresa informó que estaba respondiendo a un nuevo ciberataque."Nuestros ingenieros siguen trabajando para mejorar este problema", escribió la firma en su sitio web.Un mapa publicado por el sitio web downdetector.com mostraba zonas afectadas en la costa este de Estados Unidos y en Texas, pero más tarde el viernes estas se extendieron y llegaron a la región del medio oeste de Estados Unidos y al estado de California (suroeste).Mapas del mismo tipo mostraban cortes en los servicios de Twitter y del sitio de películas Netflix en Europa. Un usuario de Twitter, @tylerthebadwolf, expresó su frustración por no haberse podido conectar."íMadre mía! íNo me he podido conectar aquí en todo el día! Ya se ha creado un hashtag para #CorteDeInternet 2016??", escribió en esa red social.Medios reportaron que también fueron afectados los sitios web de HBO, el servicio de pago PayPal y el sitio de software Github.

La vulnerable infraestructura de internet

El departamento de Seguridad Interna de Estados Unidos dijo a la AFP que monitoreaba la situación. "Estamos al tanto y estamos investigando todas las posibles causas", afirmó Gillian Christensen, portavoz de ese ministerio.

El servicio web de Amazon, que provee servicios a algunos de los sitios más populares de internet, como Netflix y el sitio de alojamiento Airbnb, informó en su página que había logrado resolver sus problemas a las 1:00 de la tarde del viernes, pero que tres horas más tarde tuvo que volver a responder a problemas similares en diferentes regiones

Los servidores de dominios de internet son piezas cruciales de la infraestructura de internet, que convierten direcciones IP en dominios para que los usuarios puedan conectarse a los sitios web. En los ataques de denegación de servicio, los piratas sobrecargan los sitios web con tráfico para de dificultar la conexión o hacer que se corte totalmente.

A pesar de que estos ciberataques ocurren regularmente, el de este viernes señala la vulnerabilidad que presenta la interconexión para grandes sectores de internet. En este caso, varios grandes sitios web fueron afectados por el ataque a un solo proveedor de internet. "Internet sigue dependiendo de protocolos e infraestructura que fue diseñada antes de que los ciberataques surgieran como un problema", explicó Ben Johnson, exingeniero de la Agencia de Seguridad Nacional de Estados Unidos (NSA) y fundador de la empresa de seguridad cibernética Carbon Black.

"Los ataques de denegación de servicio seguirán acechando nuestras organizaciones, sobre todo con el auge de los objetos conectados no seguros. Desgraciadamente, lo que estamos presenciando es tan solo el comienzo" de ataques a gran escala, evaluó. Roland Dobbins, ingeniero de la empresa de seguridad digital Arbor Networks, explicó a AFP este viernes que la gran repercusión del ataque informático no significa necesariamente que los piratas tengan muchos recursos.

Según la firma Verisign, el número de ataques de denegación de servicio aumentó en un 75% durante el segundo trimestre de este año.

Ayer hubo un ataque DDoS masivo contra las principales webs

Más de uno empezó a culpar a su ISP, pero la realidad es que hubo un ataque DDoS masivo que afectó a sitios web tan relevantes como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud, los cuales según la zona y la ISP terminaron tumbadas total parcialmente.

Este ciberataque masivo se enfocó contra la compañía estadounidense Dyn, dedicada suministrar el acceso a sistemas DNS, un protocolo fundamental de Internet utilizado tanto por computadores, servicios o cualquier recurso conectado a Internet u otras redes. La misión de las DNS es resolver la IP de un ordenador (virtual o físico) al que se quiere acceder, actuando como intermediario entre el usuario y los servicios a los que se conecta. Aquí posiblemente a algunos les suene las DNS públicas de Google, las cuales son utilizadas frecuentemente como alternativa las ofrecidas por las ISP.

Los ataques DDoS son bastante frecuentes y son muy utilizados por cibercrminales quesuelen tener como objetivo tumbar un servicio y dejarlo inutilizable. El hecho de que se recurra mucho a este tipo de ataque cibernético es porque es simple de lanzar y difícil de predecir, ya que lo único que se hace es sobrecargar los servidores de peticiones hasta conseguir tumbarlos.

Volviendo al tema que nos ocupa, el ciberataque masivo contra las DNS, los atacantes utilizaron una red de bots apoyándose en miles de dispositivos del Internet de las Cosas (IoT) que previamente fueron infectados con malware. Las características del ataque tiene preocupados a muchos expertos debido a que ha afectado a una infraestructura básica de Internet. Por otro lado, no es la primera vez que los dispositivos IoT están relacionados con graves problemas, ya que la mayoría estos son vulnerables , habiéndose destapado la semana pasada una vulnerabilidad SSH que abría la puerta a ataques contra las redes. Tampoco se puede olvidar aquí la falta de muchos fabricantes a la hora de actualizar el software de sus dispositivos

23 de Octubre del 2016



Se agravan los ataques online en magnitud y profundidad

¿Podrían millones de cámaras conectadas, termostatos y juguetes doblegar al internet? Al parecer sí.

El viernes, ciberataques épicos afectaron a una importante firma de internet, al sobrepasar varias veces la capacidad de sitios populares en Estados Unidos. El grupo de hackers que se responsabilizó del ataque dijo que las travesuras de ese día eran solo un ensayo y que tiene puesta la mira en un blanco mucho mayor.Y los atacantes tienen ahora un arma secreta en la creciente serie de dispositivos para el hogar que funcionan con internet y que pueden trastrocar y usar para crear caos.

CONOZCA LA MANGUERA CONTRA INCENDIOS



La empresa Dyn Inc., con sede en Manchester, New Hampshire, dijo que sus servidores se vieron golpeados por ataques DDoS (las siglas en inglés para un ataque de denegación de servicio distribuido). Este funciona saturando las máquinas con datos basura, como sería noquear a alguien con el chorro de una manguera contra incendios. El ataque bloqueó temporalmente el acceso a sitios populares en Estados Unidos y Europa, como Twitter, Netflix y PayPal.  Jason Read, fundador de la firma de monitoreo de internet CloudHarmony, propiedad de Gartner Inc., dijo que su empresa rastreó una denegación de servicio que duró media hora el viernes y afectó el acceso a muchos sitios en la costa atlántica estadounidense. Un segundo ataque horas después causó interrupciones en la costa del Pacífico y a algunos usuarios en Europa.  Un grupo que se hace llamar New World Hackers se responsabilizó por el ataque vía Twitter, aunque dicha afirmación no pudo ser corroborada. Dijeron que organizaron redes de dispositivos conectados para crear un enorme robot virtual que lanzaba 1,2 billones de bits de datos por segundo a los servidores de Dyn. Representantes de la empresa no pudieron confirmar la cifra durante una conferencia de prensa el viernes por la mañana.



MUCHAS MANGUERAS CONTRA INCENDIOS



Los ataques DDoS han crecido en frecuencia y tamaño en meses recientes. Pero si lo que dicen los ciberpiratas es verdad, los ataques del viernes llevan los DDoS a un nuevo nivel. De acuerdo con un reporte de la firma de ciberseguridad, el ataque de este tipo más grande que se registró en el segundo trimestre de este año alcanzó su pico en 256.000 millones de bits por segundo.

Lance Cottrell, experto de la firma de seguridad Ntrepid, dijo que aunque los ataques DDos se han usado por años ahora se han vuelto populares debido a la proliferación del "internet de las cosas", dispositivos que se conectan a internet, como termostatos, cámaras de seguridad o televisores inteligentes. Muchos de estos aparatos tienen poca seguridad, por eso se vuelven blanco fácil de los hackers.

El poder de este tipo de ataques se ve limitado por el número de dispositivos a los que un atacante se puede conectar. Hace apenas algunos años, la mayoría de los ciberpiratas se limitaban a infectar y volver "zombis" a las computadoras de escritorio. Pero la popularidad de los dispositivos conectados a internet ha aumentado enormemente el potencial de aparatos que pueden convertir en armas. La casa promedio en Norteamérica tiene 13 dispositivos conectados a la red, de acuerdo con la firma IHS Markit.

25 de Octubre del 2016



Los Productos Tecnológicos que pagan facturas a Apple

Puede ser injusto decirle a un padre que a cuál de sus hijos quiere más. En la tecnología de consumo, en cambio, sí es aceptable calificar a un producto en concreto como el ojito derecho de la compañía. En el caso de Apple, su vástago más querido es, sin duda, el iPhone, su mayor motor económico y el que representa dos terceras partes de sus resultados económicos. Por esta razón, no es de extrañar que cuando el dispositivo no pasa por sus mejores horas afecta a su conjunto. Hay más vida, sin embargo, en las cuentas de la compañía norteamericana. Varias de sus líneas de producto lideran mercados y han venido creciendo en ventas, como su división de servicios como Apple Pay, iCloud o Apple Music, que en su conjunto se incrementó en un 19% en el pasado. Pese al descenso continuado del iPad en los últimos tiempos, gracias a su estrategia mantenida con el iPad pro ha aumentado sus ingresos en un 7% (4.880 millones de dólares) y eso que vendió hasta julio un 9% menos en comparación con el mismo periodo del año anterior. Apple anuncia este martes resultados económicos trimestrales y, en ellos, habrá que observar el impacto de este dispositivo en el pasado trimestre. También se deberá observar si, finalmente, el iPhone 7 -presentado por setiembre- ha cuajado. El nuevo modelo de teléfono de la compañía ha mantenido el diseño, pero ha introducido importantes mejoras en su apartado fotográfico y ha llamado la atención por eliminar la clavija «jack» para auriculares al tiempo que lo ha hecho resistente al agua. ¿Habrá sido suficiente como para atrapar otro récord de ventas? Apple puede haberse favorecido del fiasco 7, de Samsung, que estaba llamado a asestar un duro golpe en este mercado cada vez más competitivo. Por primera vez, la firma con sede en Cupertino se negó a facilitar las ventas en su primer fin de semana, con lo que existe una gran expectación sobre su acogida.La firma americana viene de haber colocado unos 40 millones de iPhone que le ha aportado un total de casi 24.000 millones de euros. ¿Habrá cumplido en el último trimestre?La línea Mac también ha seguido una línea descendente en los últimos episodios, que afectó de manera considerable a los resultados (una caída del 13% en ventas, 5.24 millones de dólares, un 11% menos de ingresos). Ante esa situación, Apple también ha reaccionado para equilibrar la balanza de cara al próximo trimestre con la renovación de los MacBook Pro que llevaban sin actualizarse desde hace cuatro años. Y la fecha ya esta cerrada el jueves.

Por ahora, Apple no ha facilitado las ventas totales de su reloj inteligente Apple Watch, la primera línea de producto inaugurada desde la llegada del iPad. Con la nueva versión, series 2, se espera que haya aportado su granito de arena, aunque todavía los dispositivos «wearables» en general no representan un nivel de ventas masivo.

Las videollamadas de WhatsApp llegan a Android (pero con truco)

Ya están tocando a la puerta. Y eso que llevan dos años hablando de ello. Las videollamadas, una de las opciones más demandas por sus usuarios, comienzan a llegar a la aplicación de mensajería instantánea Whats App. Ahora, y tras probarse previamente en el sistema operativo Windows Phone, se ha introducido en la versión de pruebas de Android.
Esta funcionalidad, que se puede activar en caso de instalar la versión de pruebas de la aplicación, permite iniciar videollamadas a cualquier usuario, siempre y cuando disponga de esta versión. De esta forma es espera que lleguen finalmente a lo largo de las próximas semanas, adelantándose así a las previsiones que apuntaban que se retrasaría hasta 2017. Según los rumores que circulan por internet WhatsApp ya ha enviado la actualización a Apple para su revisión y aprobación.
En caso de tenerla instalada, WhatsApp destaca los contactos a los que se puede iniciar una de estas conversaciones ya presentes en otras aplicaciones existentes en el mercado como Line, Messenger, Telegram o FaceTime -esta última, solo para usuarios de Apple-. Al igual que ocurre con las llamadas VoIP, el sistema ofrece la opción de ejecutar una videollamada en unn desplegable cuando se toca el icono de teléfono ubicado en la parte superior derecha. Este próximo servicio de WhatsApp puede asestar un duro golpe a otras plataformas como Skype, uno de los pioneros en este segmento del mercado, y en caso de que funcione de manera estable puede llegar incluso a experimentarse en el entorno laboral como herramienta de comunicación.

Precisamente, ese es uno de los mayores intereses de WhatsApp desde hace algún tiempo. En los últimos meses ha introducido importantes mejoras técnicas como la posibilidad de compartir imágenes y archivos en varios formatos, así como la llegada de las menciones o las citas de cara a ofrecer nuevas posibilidades de comunicación en esta plataforma que cuenta actualmente con más de 1.000 millones de usuarios en todo el mundo.

El día en el que creador de Snapchat se puso de rodillas ante Miranda Kerr

Miranda kerr ya tiene en marcha sus planes de boda con Evan Piegel, el creador de Snapchat. “Va a ser el año que viene”, ha contado la top model en una entrevista a la revista Female First:“No puedo esperar más”. La modelo también ha narrado cómo fue la petición de mano. “No esperaba que me pidiera matrimonio."Me dijo: 'Miranda, te lo estoy pidiendo ahora, esta es la primera y la última vez que voy a arrodillarme delante de ti”. Miranda Kerr también ha relatado cómo se encontraba su novio en ese momento: “Estaba terriblemente nervioso y emocionado, temblando de felicidad”. Spiegel, de 26 años, tiene una fortuna valorada en más de 2.000 millones de euros, según Forbes. Fundó la compañía cuando aún estudiaba en la Universidad de Stanford, convirtiéndose en uno de los multimillonarios más jóvenes.

Drammer es un nuevo ataque que permite “rootear” Android

Para los que anden perdidos, un ataque de rowhammer se produce cuando una aplicación, generalmente un malware, accede repetidas veces a la misma fila de transistores en el chip de memoria en una pequeña fracción de segundo, realizando un proceso llamado “hammering” (martilleo). Como resultado, el hammering sobre una zona concreta de la memoria puede perturbar la fila adyacente, causando una filtración de electricidad en la siguiente fila que eventualmente causa un error en la memoria que puede cambiar el valor de un bit (bit flipping).Sabiendo que los bits almacenan los datos, este pequeño cambio puede modificar los datos, creando así una vía para obtener el control sobre el dispositivo. Aunque no es la primera vez que se tiene constancia de rowhammer, sí es el primer caso conocido aplicado sobre smartphones Android, lo que supone un riesgo para los cientos de millones de dispositivos que usan ese sistema operativo.

¿Cuál es el nivel de vulnerabilidad de Android ante este ataque de rowhammer?

Para probar el ataque de rowhammer sobre los dispositivos móviles, los investigadores han creado una nueva prueba de concepto del exploit llamado Drammer, hallando que este altera bits cruciales de datos de manera que puede obtener acceso como root en dispositivos de Samsung, OnePlus, LG, Motorola y muy posiblemente otros muchos fabricantes. Siendo más concretos, estos son los dispositivos probados y sobre los cuales el ataque ha resultado exitoso: Google Nexus 4, Google Nexus 5, LG G4, Samsung Galaxy S4, Samsung Galaxy S5, Moto G generaciones de 2013 y 2014, además de OnePlus One.

Además de los cientos de millones de dispositivos Android que funcionan con arquitectura ARM, los investigadores avisan que también puede afectar a otras arquitecturas como x86, que es la empleada por Intel y AMD.

¿Cómo realiza Drammer el ataque?

Los investigadores han creado una aplicación que contiene un exploit que “rootea” el dispositivo, no necesitando de privilegios especiales para realizar dicha acción. Lo único que necesita el atacante es que su víctima instale la aplicación para ejecutar el ataque de rowhammer. Después de eso, han conseguido aprovecharse de un mecanismo de Android llamado asignador de memoria ION para obtener acceso directo a la DRAM. Además de eso, ION también se encarga de permitir la identificación de las filas adyacentes en la DRAM, lo que es muy importante para provocar el bit flipping. Los investigadores han publicado el código que han utilizado par provocar el ataque git hub.

Un error que no se corregirá con rapidez

Los investigadores enviaron sus descubrimientos de forma privada a Google el pasado mes de julio. El gigante de Mountain View ha clasificado el fallo como “crítico”, premiando a los investigadores con 4.000 dólares a través de su programa de recompensas.

Google dice que ya ha informado a los fabricantes socios sobre el problema a principios de octubre y que ha desarrollado una mitigación que será incluida en el boletín de seguridad de noviembre y hará mucho más difícil la ejecución de Drammer.

Sin embargo, el hecho de que Drammer explote características de software que son fundamentales en cualquier sistema operativo lo hace muy difícil de eliminar para las próximas generaciones de smartphones Android.

¿Cómo funciona Drammer?

Los investigadores han publicado dos vídeos de pruebas de concepto sobre el uso de Drammer. El primero se trata de una ejecución del malware sobre un LG Nexus 5 con Android 6.0.1 y los parches de seguridad publicados por Google el 5 octubre, mientras que el segundo muestra el mismo ataque combinado con stagefright, que es un malware que se aprovecha de un fallo en el procesamiento de vídeos recibidos a través de un servicio de mensajería multimedia, permitiendo al atacante introducir código malicioso en un vídeo falso y poder hasta controlar de forma remota el terminal.

26 de octubre del 2016

Parchado en iOS un fallo explotable mediante un JPG malicioso

Apple parcheo el lunes han corregido 12 fallos encontrados en iOS que podía ser explotada través de un fichero JPG específicamente diseñado. La compañía también lanzó su primera ronda de parches para macOS (antes OS X) Sierra como parte de una gran actualización que también incluye correcciones para vulnerabilidades halladas en Safari, Apple Watch y Apple TV.

iOS 10.1

Como ya hemos comentado, los parches publicados el lunes han corregido 12 fallos encontrados en iOS 10.1, que funciona sobre dispositivos iPhone 5 o superior o iPads de cuarta generación en adelante. Se ha corregido un bug relacionado con una vulnerabilidad en CoreGraphics(CVE-2016-4635) presente en iPhone, iPad y iPod Touch. El parche corrige una corrupción de memoria que permitía ejecutar código arbitrario si el usuario abría una imagen JPEG específicamente diseñada.

Una corrección para FaceTime (CVE-2016-4635) fue publicada para los modelos iPhone 5 y posteriores, cuarta generación de iPads y sexta generación de iPod Touch. El fallo permitía a un atacante con una posición privilegiada en la red causar una “llamada de transmisión para continuar transmitiendo audio mientras aparece como si la llamada se hubiese terminado”.

MacOS Sierra

Para macOS Sierra también se han corregido a una decena de vulnerabilidades, a la vez que Apple acaba de lanzar la versión 10.12.1 de su sistema operativo.

Los parches corrigen una gran variedad de vulnerabilidades que han surgido desde que el sistema operativo fue lanzado el pasado 21 de septiembre, incluyendo tres problemas de seguridad que permitían la ejecución de código arbitrario. Dos de esas vulnerabilidades (CVE-2016-4667 y CVE-2016-4674) están relacionadas con la característica de Seguridad de Transporte de Aplicaciones (ATP) anunciada en el pasado WWDC para iOS 9. La característica requiere que todas la aplicaciones de iOS usen conexiones HTTPS. Apple ha dicho que ha corregido una corrupción de memoria relacionada con ATP que impactaba en esta característica sobre Sierra.La otra vulnerabilidad (CVE-2016-4670) permitía a un atacante local “observar la longitud de una contraseña de acceso cuando el usuario accedía”. Apple ha dicho que ha corregido el problema eliminando la longitud de la contraseña en su sistema operativo de escritorio. Apple también ha corregido agujeros de seguridad en OS X Yosemite 10.10.5 y OS X El Capitan 10.11.6 y un bug en el driver de NVIDIA (CVE-2016-4663) que podía causar una denegación de servicio sobre los sistemas objetivo. Otra vulnerabilidad descubierta (CVE-2016-4671) impactaba en OS X El Capitan 10.11.6, permitiendo que un PDF malicioso pudiese ejecutar código sobre un sistema vulnerable.

Safari

El navegador web de Apple, basado en su día en KHTML, ha recibido dos actualizaciones que corrigen dos fallos que podían permitir la filtración de datos del usuario o la ejecución de código arbitrario. Ambos se explotaban a través de webs maliciosas específicamente diseñadas. El primer bug (CVE-2016-4613) está relacionado con Safari 10.0.1 y WebKit y podía permitir el procesamiento de código malicioso introducido en una web para provocar una filtración de los datos del usuario. El fallo ha sido corregido en OS X Yosemite v10.10.5, OS X El Capitan v10.11.6, y macOS Sierra 10.12 a través de la mejora del gestor de estado de WebKit. La otra vulnerabilidad afectaba a WebKit, estando relacionada con una corrupción de memoria múltiple que podía permitir que una web maliciosa específicamente diseñada pudiese provocar una ejecución de código arbitrario. El fallo ha sido corregido en OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, y macOS Sierra 10.12. Apple TV Para los usuarios de Apple TV de cuarta generación (10.0.1), la compañía ha publicado bletines de seguridad que van desde el fallo de libxpc (CVE-2016-4675), que permitía la ejecución La compañía está avisando de otra vulnerabilidad de credencial de proxy (CVE-2016-7579) que podía permitir a un atacante con una “posición privilegiada en la red” provocar una filtración de información sensible del usuario. No están claros cuales son los detalles de la vulnerabilidad, sin embargo, Apple ha dicho que está relacionado con un problema de phishing que fue corregido “eliminando las solicitudes de contraseñas de proxy no solicitadas”. Una vulnerabilidad en CoreGraphics (CVE-2016-4673) fue reportada a Apple después de descubrirse una corrupción de memoria que permitía a un atacante enviar ficheros JPEG maliciosos que contenían en su interior una ejecución de código malicioso. Apple Wacth
El gigante de Cupertino ha corregido ocho vulnerabilidades relacionados con el sistema operativo de su wearable estrella, watchOS 3.1. Tres de esas vulnerabilidades podían crear condiciones para permitir la ejecución de código arbitrario. Uno de esos fallos (CVE-2016-4673), también presente en Apple TV, está relacionado con CoreGraphics y la apertura de un fichero JPEG con código malicioso. Apple también ha identificado un fallo en el inicio del Apple Watch (CVE-2016-4669) que podía permitir a un usuario local “causar una terminación inesperada del sistema o una ejecución de código arbitrario en el kernel”. Lo que esperamos

¿Cómo los grandes de Internet fueron golpeados el viernes 21 de octubre?

El ataque ocurrido el viernes 21 de octubre fue considerado el más grave en los últimos 10 años. Las personas intentaban ingresar a sus aplicaciones favoritas sin éxito lo que causó malestar en todos los usuarios. Jonathan Solano, Ejecutivo de Seguridad Informática de Digiware aclaró algunos puntos del ataque para RPPNoticias.

“El viernes se vivió algo que nosotros conocemos como histeria colectiva”, manifestó el experto que también resaltó que no todos los servicios cayeron por razones similares, “Lo de Facebook y Twitter fueron situaciones diferentes”.

Así aclaró que la caída de Facebook no fue a nivel mundial y se trató de un error en sus experimentaciones para integrarse con WhatsApp.

“La caída de Facebook se produjo en México, Honduras, Nicaragua, Perú, Chile y Argentina. En nuestro monitoreo detectamos que el problema se produjo por algunos cambios que han hecho esta semana como parte de su integración al WhatsApp”.

Por su parte, la caída de Twitter y otras páginas y aplicaciones sí estuvieron relacionadas a un ciberdelito.

“En el caso de Twitter fue un ataque de negación de Servicios, fue una acción bien organizado, porque se necesita una gran cantidad de Datos para provocar una caída en el ancho de banda. Este ataque no fue directamente a la Red Social sino a sus proveedor de servicios, que también ofrece servicios a Paypal, Spotify, y otras aplicaciones muy usadas que estuvieron inactivas hasta que se solucionó el problema”, fueron las palabras de Solano.

Finalmente el experto recomendó mantener la calma si una situación similar se repite. También mencionó previsiones útiles como configurar la privacidad de nuestros datos en una Red Social y usar aplicaciones de mensajería y llamadas que cuentan con encriptación.

“Esto funciona como una segunda llave de seguridad que mantiene nuestra información a salvo” sentenció el ejecutivo.

ESET lanza una nueva línea de productos de seguridad

ESET ha anunciado el lanzamiento de su nueva línea premium de soluciones de seguridad para usuarios particulares. Hablamos de ESET Smart Security Premium, que ofrece nuevas funcionalidades para usuarios concienciados con su seguridad: ESET Password Manager o Gestor de Contraseñas, para una autenticación más fácil y segura; y ESET Secure Data o Cifrado de Información para cifrar datos y fotografías con seguridad.

Además, junto con ESET Smart Security Premium, Smart Security Premium los usuarios pueden disfrutar por primera vez del nuevo producto de la compañía , que viene a cubrir las necesidades de usuarios que utilizan Internet a diario y necesitan una protección integral de sus dispositivos. Por su parte, el conocido producto ESET NOD32 Antivirus 10 sigue siendo una buena opción para aquellos que buscan una seguridad esencial en sus equipos. Como novedad, cuenta con una nueva protección mejorada contra ataques basados en scripts, un módulo diseñado exclusivamente por ESET para combatir los ataques que se basan en scripts de PowerShell y JavaScript.

Con la nueva línea de productos, ESET enfatiza la necesidad de privacidad de los usuarios al utilizar su PC o portátil. El módulo de protección de la webcam, disponible en ESET Smart Security Premium y ESET Internet Security, regula el acceso a la cámara y monitoriza los procesos y aplicaciones que intentan utilizar la cámara web. El usuario podrá ver y bloquear o permitir accesos, así como apagar la cámara del equipo. Por último añadir, que la cartera de productos ESET para particulares cuenta con muchas funcionalidades clave para los usuarios de hoy en día, como la protección de banca online y pagos por Internet, el módulo antiespía, anti-Phishing, bloqueo de exploits, cortafuegos personal avanzado y el sistema de reputación en la nube ESED LiveGrid.

27 de octubre del 2016

Adobe lanza un parche de emergencia para Flash Player

Adobe lanzó ayer una actualización de emergencia para Flash Player que incluye un parche para una vulnerabilidad zero-day que estaba siendo explotada para ataques dirigidos.

La vulnerabilidad, cuyo código es CVE-2016-7855, fue divulgada de forma privada por Neel Mehta y Billy Leonard, ambos miembros de Google Threat Analysis Group. Mehta fue uno de los cuatro investigadores acreditados como descubridores de la vulnerabilidad Heartbleed en 2014, posiblemente la de mayor impacto de las descubiertas ese año y que puso en riesgo una parte muy importante de Internet al afectar a Open SSL.

Adobe ha dicho que no hay signos de abuso de ataques con sta nueva vulnerabilidad zero-day, siendo esto una petición de comentario de Mehta que no fue respondida en el momento de la publicación. La compañía desarrolladora de Flash ha comentado“es consciente de un informe sobre un exploit, CVE-2016-7855, presente de forma pública, y que está siendo usada en ataques dirigidos limitados contra usuarios que usan Windows 7, 8.1 y 10”.

La vulnerabilidad también afecta a las versiones 23.0.0.185 y anteriores de Flash para el escritorio de Linux y Mac, así como Flash Player para Google Chrome, Microsoft Edge e Internet Explorer sobre Windows 8.1 y Windows 10. Adobe explica que esta es una vulnerabilidad de usar después de liberar (use after tree) que tendría que estar corregida a partir de la versión 23.0.0.205 en todas las plataformas. Las vulnerabilidades de usar después de liberar son corrupciones de memoria que exponen al sistema a la ejecución de código arbitrario. Los atacantes pueden explotar este tipo de vulnerabilidades en un intento de acceder a la memoria después de que esta haya sido liberada, pudiendo provocar un bloqueo del sistema o una ejecución de código.

28 de octubre del 2016

WINDIVERT: HERRAMIENTA DE CÓDIGO ABIERTO PARA EL ANÁLISIS DE PAQUETES

Los analizadores de red, también conocido como Packet sniffers, se encuentran entre las herramientas de red más populares que están en el del kit de herramientas de cualquier ingeniero de seguridad web. Un analizador de red permite a los usuarios capturar los paquetes de red a medida que fluyen dentro de la red de la empresa o Internet. Los ingenieros de seguridad web suelen hacer uso de analizadores de red para ayudar a descubrir, diagnosticar y solucionar problemas de la red, pero también son utilizados por los hackers para obtener acceso a la información y datos confidenciales del usuario. Muchas empresa de seguridad web como IICS iicybersecurity usan estas herramientas para averiguar os problemas de seguridad web. Windows Packet Divert (WinDivert) es un analizador de paquete de modo de usuario de para Windows Vista, Windows 2008, Windows 7 y Windows 8.

Con WinDivert los expertos de seguridad web se pueden escribir programas en modo de usuario que capturan y modifican o eliminan paquetes de red enviados a / desde la red de Windows. En resumen, WinDivert puede: la captura de paquetes de red§ filtrar y destruir paquetes de red escuchar los paquetes de red§ (Re) inyectar paquetes de red.Modificar paquetes de red WinDivert puede ser usado para implementar filtros de paquetes en modo de usuario, analizadores de paquetes, firewalls, NAT, VPN, aplicaciones tunneling, etc. Según los expertos de seguridad web, si necesitas interceptar y modificar paquetes, entonces WinDivert es para ti. Las características de WinDivert incluyen: – Los modos de interception, sniffing, or dropping – Apoyo a loopback (localhost) el tráfico – Totalmente compatible con IPv6 – Capa de red – API sencilla y potente – Alto nivel de lenguaje para filtración – Prioridades al filtro WinDivert en modo de packet-sniffing es similar a Winpcap. A diferencia de Winpcap, WinDivert es totalmente compatible con el tráfico de captura de loopback. Por otra parte, WinDivert apoya la interceptación de paquetes que con Winpcap no puede hacer. Los cursos de seguridad web deben cubrir herramientas como WinDivert y Winpcap durante los cursos ya que son muy importante para cualquier experto de seguridad web. https://reqrypt.org/windivert.html

29 de octubre del 2016

NUEVA HERRAMIENTA DETECTA WEB MALICIOSAS ANTES DE QUE CAUSEN DAÑOS

Un conjunto de investigadores de la Universidad de Princeton en Estados Unidos ha diseñado un sistema llamado Predator que tiene la capacidad de detectar los sitios web maliciosos antes de que causen daños.

Para perpetrar sus ataques, los ciberdelincuentes se valen de las páginas fraudulentas que tienen el objetivo de estafar a las víctimas, distribuir malware y robar datos personales y credenciales. Aunque los investigadores de seguridad elaboran una lista negra de webs falsas para bloquearlas, al poco de ser eliminadas los criminales establecen nuevos nombres de dominio para continuar con sus actividades malintencionadas.

Sin embargo, esta práctica podría tener los días contados gracias a Predator, una herramienta que dificulta el registro de dominios nuevos con fines maliciosos. Este sistema es capaz de distinguir entre los compradores legítimos de dominios y los criminales, ya que puede identificar un comportamiento online sospechoso incluso antes de que se haya llevado a cabo ninguna acción malintencionada. Gracias a las pistas que proporciona la plataforma, los profesionales de la seguridad pueden tomar medidas preventivas para anticiparse a la comisión de un delito informático

“La intuición nos decía que los actores maliciosos utilizan los recursos online de una forma diferente a como lo hacen los usuarios legítimos”, explica Nick Freamster, uno de los desarrolladores de Predator. “Estábamos buscando esas señales: ¿qué parte de un nombre de dominio puede identificarlo como malicioso de forma automática?”.

El método que utilizan los investigadores se basa en la suposición de que los usuarios maliciosos tendrán un comportamiento diferente al de los usuarios normales en el proceso de registro del dominio. Entre ellas, por ejemplo, podríamos encontrar la compra de muchos dominios a la vez para conseguir descuentos y disponer de varios sitios web para responder en caso de que los vayan bloqueando. Otra característica que los diferencia de los compradores normales es que suelen registrar varias páginas empleando ligeras variaciones en los nombres.

Mediante la identificación de estos patrones, los científicos de Princeton empezaron a filtrar los más de 80.000 dominios nuevos registrados cada día para localizar a los sitios web fraudulentos.En las pruebas, Predator fue capaz de reconocer el 70% de las páginas maliciosas basándose únicamente en la información conocida en el momento de la compra. La tasa de falsos positivos fue de solo el 0,35%.



TODO LO QUE DEBES SABER SOBRE LOS AJUSTES DE SEGURIDAD DE FACEBOOK

Así que te creaste una cuenta de Facebook hace unos pocos años. Puede que la configuraras bien, comprobando todos los ajustes de privacidad y de seguridad disponibles y haciendo elecciones cuidadosas. Pero ¿has abierto los ajustes desde entonces? O, sé sincero, ¿te los saltaste el primer día y prometiste buscar tiempo para comprobarlos más adelante? En cualquier caso, este artículo es para ti.

AJUSTES DE SEGURIDAD

Hay dos formas acceder a estos ajustes. La más rápida es hacer clic en el icono del mundo en la parte superior derecha (sueles utilizarlo para consultar las últimas notificaciones) y seleccionar Configuración. Otra forma no tan rápida es haciendo clic en el icono de la flecha cercano el del mundo y buscando Configuración en la lista desplegable.Dentro de la Configuración, selecciona la opción Seguridad. Aquí verás la lista de ajustes que te ayudará a proteger tu cuenta. Si quieres leer una descripción detallada de algún ajuste, haz clic en Editar.



¿QUÉ SIGNIFICAN TODOS ESTOS AJUSTES?

Permite que te los expliquemos (todos merecen tu atención).

Alertas de inicio de sesión. Facebook almacena una lista de los ordenadores, dispositivos y navegadores que sueles utilizar para conectarte a tu cuenta. Activa las alertas de la red social para recibir notificaciones a tu correo electrónico cuando se detecte una autorización desde un nuevo dispositivo. De este modo, se te alertará si un indeseable inicia sesión con tu cuenta. Si eso sucede, cambia tu contraseña para impedir su acceso. Recomendamos que actives esta característica tan útil.

Aprobaciones de inicio de sesión. Este es el doble factor de autenticación de Facebook. Tras activar esta característica, la primera vez que inicies sesión en la red social desde un nuevo dispositivo recibirás un PIN digital por mensaje de texto y deberás introducirlo junto con tu contraseña. Es una pequeña molestia que vale la pena por la tranquilidad que da. ¡Altamente recomendable!




Aquí también puedes recibir 10 códigos de “emergencia” de un solo uso. Te serán útiles en el caso de que no puedas recibir un mensaje de texto. Por ejemplo, si has perdido tu smartphone y quieres cambiar tu contraseña de Facebook (pero no puedes porque no tienes tu teléfono). En esta situación te alegrará tener dichos códigos.
Generador de códigos. Con esta característica puedes usar códigos desde la aplicación móvil de Facebook en lugar de recibir mensajes de texto o elegir otra aplicación para ello. Si ya utilizas un buen generador de códigos (como por ejemplo, Google Authenticator), ¿por qué no enlazarlo con Facebook también?


Utilizarla o no es cosa tuya, pero te recomendamos que, al menos, la pruebes.

Contraseñas de aplicación. Necesitarás esta opción si utilizas tu cuenta de Facebook para iniciar sesión con servicios y aplicaciones de terceros, si tienes activado en tu cuenta el doble factor de autenticación y si esas características no se llevan bien entre sí. En su lugar, puedes obtener aprobaciones de inicio de sesión para cada aplicación. Puedes leer más sobre el tema aquí

Clave pública. En esta opción, puedes publicar tu clave pública OpenPGP. Si lo haces, la clave aparecerá en la información de tu cuenta. Así, tus amigos podrán usarla para enviarte mensajes cifrados (por lo que si alguno llegará a manos equivocadas, ningún destinatario no intencionado podrá leerlo).

En resumen, así es cómo funciona. Recibes dos claves, una pública y una privada. Tus amigos y conocidos usan la pública para cifrar los mensajes que te envían. Cuando recibes un mensaje de este tipo, usas tu código secreto para descifrarlo. Este método se llama cifrado asimétrico (cifrar los mensajes con una clave y descifrarlo con otra).

En la práctica, no es muy conveniente, pero funciona. Incluso si alguien hackea tu correo electrónico, no podrá leer tus conversaciones, siempre y cuando tu seas el único poseedor de la clave privada.Aquí es también donde puedes activar la opción para que Facebook cifre cualquier correo electrónico que te envíe.

Tus contactos de confianza. Aquí puedes seleccionar que los usuarios pidan ayuda si pierdes el acceso a tu cuenta. En dicho caso, los llamarás y les pedirás que te den una contraseña de un solo uso. Introdúcela y se restaurará tu acceso. Esta es una explicación más detallada de cómo funciona todo

Ten en cuenta que la seguridad de tu cuenta dependerá de tus contactos de confianza, por lo que debes elegir gente de la que te fíes.Dispositivos reconocidos. Esta es la lista de navegadores y aplicaciones de los dispositivos que utilizas para iniciar sesión en Facebook. Cuando te conectas a la red social desde uno de estos dispositivos, Facebook no te enviará una alerta de inicio de sesión.



De todos modos, no olvides limpiar la lista de vez en cuando. Y, definitivamente, hazlo si pierdes algún dispositivo.

Dónde has iniciado sesión. Esta característica tan útil te permite comprobar los dispositivos en los que tienes la sesión de Facebook iniciada. ¿Usaste la red social desde el PC de un amigo y se te olvidó cerrar sesión? O peor, ¿en un ordenador público de la biblioteca? ¿Has visto alguna sesión sospechosa y estás seguro de que no la iniciaste tú? Ciérralas todas (y cambia la contraseña).

Contacto de legado.Los contactos de legado son personas que pueden cuidar tu página en el caso de que mueras: podrá fijar una publicación en tu biografía, responder a nuevas solicitudes de amistad o actualizar tu foto de perfil. Esta persona no publicará mensajes en tu nombre. Aquí puedes leer más sobre esta característica.

Desactivar tu cuenta. Si quieres tomarte un respiro de Facebook, puedes desactivar tu cuenta temporalmente. Tus publicaciones se ocultarán, pero podrás volver cuando quieras tan solo con volver a iniciar sesión en Facebook.

(También puedes borrar tu cuenta de Facebook para siempre, pero esa opción no está disponible en la Configuración. Aquí tienes el enlace secreto para ello).

OTRAS DOS OPCIONES ÚTILES

En la Configuración, elige la opción General. Además de tu información personal, puedes comprobar cuando fue la última vez que cambiaste tu contraseña. Te recomendamos encarecidamente que cambies tus contraseñas de vez en cuando (y, por supuesto, que uses combinaciones de confianza).

Asimismo, aquí encontrarás la opción Descarga una copia de tu información. A menudo publicamos cosas importantes en las redes sociales, pero puede que se nos olvide guardarlas en otra parte: por ejemplo, fotos y vídeos de una ceremonia de matrimonio o fotos con tu bebé. Si pierdes tus archivos por alguna razón, al menos podrás recuperar los que publicaste en Facebook (y esta característica te ahorra el tener que repasar muchas de las publicaciones). Finalmente, nos gustaría añadir que los delincuentes usan a menudo Facebook para enviar mensajes basura y enlaces maliciosos. En esta publicación explicamos cómo sucede y cómo evitarlo. Fuente:https://blog.kaspersky.es/

31 de octubre del 2016

MULTIVPN: CONOCE ESTE SCRIPT PARA CONECTARTE A VARIOS SERVIDORES OPENVPN SIMULTÁNEAMENTE

Cuando un cliente se conecta a un determinado servidor OpenVPN, puede decidir si en dicha conexión VPN queremos que todo el tráfico de Internet se redirija a través del túnel VPN, o hacerlo a través de nuestro propio ISP. Imaginad poder levantar varios túneles OpenVPN fácilmente para encadenar la redirección del tráfico por diferentes servidores para tener aún mayor privacidad, esto es lo que hace MultiVPN.Cuando un cliente se conecta a varios servidores OpenVPN puede ser por varios motivos, el primero de ellos es redirigir el tráfico a través de los diferentes túneles, otro motivo puede ser la administración de cada uno de los servidores de forma segura a través del túnel, ya que en la tabla de enrutamiento del propio cliente estará la ruta que deben seguir todos y cada uno de los paquetes.Otra razón para hacer esto es por ejemplo realizar un escaneo de puertos distribuido contra un objetivo, de esta forma, podremos lanzar múltiples escaneos de puertos desde diferentes direcciones IP públicas, de tal forma que el IDS/IPS de nuestro objetivo no nos detecte tan fácilmente y nos bloquee.

MULTIVPN: UN SENCILLO SCRIPT QUE USA OPENVPN PARA LEVANTAR TÚNELES

En HackPlayers han lanzado un sencillo script que nos permitirá conectarnos de forma fácil y rápida a través de varios túneles OpenVPN, podremos seleccionar el número de VPN concurrentes que queremos lanzar y se encargará de importar los archivos .conf y .ovpn de software OpenVPN para proceder con su ejecución y conectarnos al servidor VPN que tengamos configurado en dicho fichero de configuración

¿Cómo sabremos por qué túnel va a pasar todo el tráfico? Igual que ocurre en los routers, por la métrica. Si lanzamos los túneles VPN con diferente métrica, unos túneles tendrán prioridad sobre otros, a mayor métrica ese túnel tendrá menor prioridad. El modo de funcionamiento de MultiVPN es muy sencillo, simplemente tendremos que copiarlo al directorio donde tengamos los archivos de configuración de OpenVPN, a continuación lo deberemos ejecutar de la siguiente manera: 1 sudo bash multivpn.sh Necesitará permisos de superusuario o permisos para levantar el túnel VPN, ya que cuando ejecuta OpenVPN necesita permisos de administrador para cambiar las rutas del sistema operativo. Este script es compatible con cualquier sistema operativo basado en Linux como Debian, Arch Linux, distribuciones de Ubuntu e incluso Mac OS X, simplemente deberemos poder ejecutar scripts en bash y tener el software OpenVPN instalado. Podéis copiar este script directamente desde el blog de HackPlayers y pasarlo a vuestro sistema operativo, no olvidéis darle permisos de ejecución cuando lo creéis.

Os recomendamos visitar nuestra sección de redes y seguridad informática donde encontraréis manuales de configuración para proteger vuestras comunicaciones.

Avira es uno de los antivirus gratuitos más conocidos y utilizados por los usuarios. A diferencia de las suites comerciales de pago, como pueden ser Kaspersky o Bitdefender, esta compañía nos ofrece, principalmente, un motor antivirus gratuito con el que protegernos en tiempo real del malware que amenaza la red, aunque sin muchas más opciones con las que mejorar la seguridad y la privacidad de las comunicaciones. Por suerte, esto va a cambiar gracias al lanzamiento de la nueva suite gratuita Avira Free Security Suite 2017. Hasta ahora, Avira ofrecía sus aplicaciones de seguridad y privacidad adicionales por separado, es decir, los usuarios descargaban el conocido software antivirus, el VPN de la compañía y el optimizador del equipo en función de las necesidades de cada uno. Con el fin de simplificar el proceso y ofrecer a los usuarios una herramienta de seguridad lo más completa posible, los responsables de la empresa de seguridad han lanzado Avira Free Security Suite 2017.

Avira Free Security Suite 2017 busca, principalmente, hacer fácil y rápido la instalación de estos productos de seguridad. Para ello, cuando vamos a instalar este antivirus, lo que hacemos es descargar Avira Connect y, desde allí, se descargarán, instalarán y mantendrán actualizados los principales productos de la compañía.

El motor antivirus de Avira Free Security Suite 2017 se encuentra actualizado a la versión 2017, misma versión que incluye la última versión de Avira Antivirus Pro (el antivirus de pago de Avira). Debemos tener en cuenta que esta suite de seguridad no viene con funciones avanzadas, como, por ejemplo, el firewall, aunque es comprensible ya que estas funciones se incluyen en la versión comercial del antivirus de Avira.

Esta nueva versión ya se encuentra disponible, y podemos descargarla sin coste alguno.

Principales mejoras y novedades del nuevoAvira Free Security Suite 2017

Como es habitual en las principales herramientas de seguridad, todos los módulos del antivirus han sido actualizados y mejorados de manera que sean más eficientes a la hora de detectar y bloquear las amenazas, sin embargo, en esta nueva versión, la empresa de seguridad ha pues especial interés en proteger a los usuarios del peligroso ransomware, una amenaza que ha crecido en el último año más de un 300%.Además, esta nueva herramienta trae incluido Avira Phantom VPN, el servicio VPN gratuito (500 MB al mes) de Avira que nos permite ocultar nuestra dirección IP al navegar por Internet y cifrar todo nuestro tráfico para evitar la censura y mejorar nuestra privacidad.También se incluye dentro de este nuevo producto System Speedup, una herramienta que nos permite mejorar la velocidad y el rendimiento de nuestro ordenador, así como eliminar todo el historial y liberar espacio innecesario en el disco duro.Por último, Avira Free Security Suite 2017 cuenta con un sistema de actualizaciones continuas a través del ya mencionado Avira Connect con el que nos aseguraremos de tener siempre todos los módulos y programas de la suite de seguridad actualizados a la última versión.

El troyano Mirai tiene una vulnerabilidad que permitiría detener sus ataques

Mirai es el troyano utilizado contra dispositivos IoT que terminaron por crear botnet con la que se lanzó el ataque DDoS contra la DNS y de Dyn. Después de que su código fuese publicado a principios de octubre, el investigador en seguridad Scott Tenaglia, que trabaja en Invicea, ha descubierto que este malware contiene tres vulnerabilidades que pueden ser explotadas.

Una de esas tres vulnerabilidades es un desbordamiento de memoria que si se aprovechado permite neutralizar el ataque llevado a cabo por un bot (un dispositivo IoT infectado con Mirai), abriendo así una puerta para acabar con un complejo ataque realizado con una botnet. Sin embargo, esto no es una medida definitiva, ya que la vulnerabilidad deja el bot comprometido intacto y funcionando.

Tenaglia ha dicho que la explotación de esta vulnerabilidad no habría ayudado a acabar con el ataque DDoS contra las DNS de Dyn, pero sí podría haber desactivado las capacidades de ataque en la capa 7 (aplicación) del modelo OSI presente en Mirai. Esto es debido a que este malware es capaz de lanzar inundaciones de HTTP, así como varios ataques DDoS contra DNS, UDP, ACK, GRE IP, GRE ETH y STOMP (Simple Text Oriented Message Protocol).

En una publicacion en el blog corporativo de Invicea, Tenaglia comenta que “este simple exploit es un ejemplo de defensa activa contra las botnets de IoT que podría ser usada para cualquier servicio de mitigación contra ataques DDoS, realizando la tarea de guardia contra los ataques de inundaciones de HTTP de Mirai en tiempo real. Aunque no puede ser usado para eliminar el malware de un dispositivo IoT, puede ser usado para detener un ataque originado en un dispositivo en particular”. Aunque la explotación de la vulnerabilidad del desbordamiento de memoria en Mirai abre una puerta para la mitigación de sus ataques a nivel técnico, el tema se vuelve mucho más complejo cuando hablamos de cuestiones legales, las cuales podrían terminar poniendo a los defensores en una zona gris.

El ataque hacker de defensa contra Mirai implica la realización de cambios en los sistemas a través de varios países sin el permiso de los dueños de los dispositivos, los ISP o las empresas dedicadas a transportar datos. Con el fin de cubrirse las espaldas, Invicea ha dejado claro que no defiende los contraataques contra Mirai. Esto deja dos vías. La primera, que grupos de hackers blancos decidan actuar por su cuenta y se dediquen, saltándose las leyes, a neutralizar los ataque de Mirai aprovechando la vulnerabilidad. La otra, que sería la vía legal, sería conseguir una orden judical que autorice la neutralización de la botnet.

COLAPSAN LA CENTRALITA DE EMERGENCIAS HACKEANDO VARIOS IPHONE CON UN TWEET

Lamentablemente los hackeos y las brechas de seguridad relacionadas con la telefonía móvestán a la orden del día. Y si no que se lo digan a la centralita de emergencias de un condado estadounidense, que se ha visto colapsada por las numerosas llamadas recibidas en un corto intervalo de tiempo de decenas de iPhone hackeados. Más allá del colapso, lo realmente interesante de todo este asunto es el método utilizado por el joven hacker detenido para propiciar esta cascada de llamadas a los teléfonos de emergencias.

Aunque este hackero es bastante poca cosa si lo comparamos con el gran ataque DDos sufrido la pasada semana por los principales gigantes de internet, un ataque que pone de manifiesto lo endeble de los sistemas de seguridad de servicios que guardan datos muy valiosos de millones de usuarios.

UN ENLACE DE TWITTER, EL DESENCADENANTE DEL HACKEO DE VARIOS IPHONE

Hace unos días la centralita del teléfono de emergencias de Arizona quedo colapsada por un gran número de llamadas recibidas en pocos minutos. Todas estas llamadas evitaron que se recibieran las llamadas de emergencia reales durante unos minutos, después de haber sido atacada en un momento puntual. Al menos esto es lo que intuía la policía al comprobar que estas llamadas eran falsas y no derivaban en ningún tipo de aviso de emergencia. Los policías del Condado de Maricopa rastrearon las llamadas falsas y se encontraron con la sorpresa de que todas ellas provenían de un enlace publicado en un tuit.

01 de noviembre del 2016

El grupo de hackers autodenominado Shadow Brokers, que fue el encargado de filtrar el material de la NSA

El grupo de hackers autodenominado Shadow Brokers, que fue el encargado de filtrar el material de la NSA,ha publicado recientemente más documentos que resultan ser una lista de los servidores presuntamente comprometidos por la polémica agencia de seguridad estadounidense.

Los expertos creen que los datos filtrados (Pastebin, Mega) contienen 306 dominios y 352 IP localizados en 49 países diferentes. De todos esos datos, se sabe que 32 dominios corresponden a instituciones educacionales de China y Taiwán. Rusia también se ha visto afectado, siendo nueve de los dominios obtenidos de extensión .gov. Los 10 países más afectados por esta actividad de la NSA son China, Japón, Corea del Sur, España, Alemania, India, Taiwán, México, Italia y Rusia.

Esta filtración contiene la misma firma que la utilizada en el caso de las herramientas que la NSA. Sin embargo, todavía queda mucho trabajo por delante para verificar todos los datos relacionados con los dominios e IP recientemente filtrados.

Sistemas objetivo: Linux, FreeBSD, Solaris y Unix

Al tener como objetivo los servidores, no es extraño que sean sistemas operativos principalmente empleados en este ámbito los más afectados, entre los que se encuentran Salaris, sistema operativ Unix de Oracle (y antes de Sun Microsystems); FreeBSD, sistema operativo Unix-like y Open Source muy empleado en el ámbito de los servidores; y GNU/Linux, que es posiblemente la solución más popular en este segmento.

Cada uno de los servidores fue presuntamente comprometido utilizando las herramientas INTONATION y PITHIMPAIR, ambas de la NSA. El volcado de datos también contiene referencias a una lista de herramientas de Equation Group no relevadas, incluyendo Dewdrop, Incision, Orangutan, Jackladder, Reticulum, Patchicillin, Sidetrack y Stoicsurgeon. Estas herramientas han podido ser utilizados para hackear implantes, herramientas y exploits por parte del grupo de hackers propio de la NSA.

El investigador en seguridad Mustafa Al-Bassam, exmiembro de Lulzec y Anonymous, ha comentado que la NSA posiblemente haya comprometido todos los servidores desde el año 2000 hasta 2010.

Siguiente objetivo de Shadow Brokers: ¿Interferir en las elecciones presidenciales de Estados Unidos?

En una publicación de shadow Brokers se puede leer el siguiente mensaje amenazante:TheShadowBrokers tiene una sugerencia. El 8 de noviembre (día de las elecciones presidenciales en Estados Unidos), en vez de no votar, ¿tal vez dejemos de votar todos juntos?, ¿posiblemente siendo la persona malintencionada que detuvo las elecciones que están por venir?, ¿puede estarsiendo el hackear las elecciones la mejor idea? #hackelection2016.

Sobre la lista de IP y dominios filtrados, muchos de los registros son viejos, por lo que podrían corresponder a servidores vulnerables debido a que usan sistemas viejos que actualmente no tienen soporte a través de actualizaciones.

De momento, se sabe que el FBI ha arrestado a Harold Thomas Martin, contratista de la NSA, siendo esta persona presuntamente sospechosa de colaborar con Shadow Brokers.

La segunda parte del año está siendo bastante convulsa para los propietarios y fabricantes de estos dispositivos. De cara a los ciberdelincuentes se han convertido en el mejor aliado para realizar ataques DDoS y para los usuarios un auténtico dolor de cabeza. Una prueba más de todo esto es el último troyano detectado y bautizado con el nombre IRCTelnet. Ha sido durante el fin de semana pasado cuando los expertos en seguridad de diferentes empresas se percataron d ela existencia de esta amenaza, cuya única finalidad es infectar el dispositivo IoT y así vincularlo a una botnet que realizará ataques de denegación de servicio. Ya hemos desvelado cuál es el nombre de la amenaza, pero es necesario conocer algunos detalles técnicos. Lo primero que han dado a conocer los investigadores es el lenguaje de programación en el que se encuentra programada, siendo C++ el elegido en esta ocasión por los ciberdelincuentes.

Utilizando su nombre, se deja entrever que al menos uno de los servicios atacados será Telnet. Los expertos en seguridad así lo han confirmado. IRCTelnet realiza ataques de fuerza bruta contra el puerto de este servicio, con el fin de ganar control remoto sobre el dispositivo IoT.

LOS DISPOSITIVOS AFECTADOS POR IRCTELNET LEEN COMANDO DE CHAT IRC COMUNITARIO

Aunque pueda parecer una amenaza que carece de complejidad, la poca que posee está muy bien aplicada. Los ciberdelincuentes introducen variaciones en el código que se ejecuta en el dispositivo, permitiendo que un cliente IRC sea capaz de leer un chat comunitario, lugar en el que se publicarán instrucciones. Esto permite distribuir el comando de una forma mucho más rápida y eficaz, en lugar de enviar a cada uno lo que debe ejecutar, realizando ataques de denegación de servicio muy eficaces.

VERSIONES DEL KERNEL LINUX AFECTADAS

Los expertos en seguridad han manifestado que los dispositivos que posean la versión 2.6.32 o superior sos susceptibles de verse afectados, sobre todo si las credenciales de acceso al servicio Telent son demasiado obvias, ya que para aplicar la fuerza bruta los ciberdeincuentes se están valiendo de diccionarios con las claves más comunes.Con respecto al tamaño de la misma, hay que decir que por el momento este se limita a solo 3.400 dispositivos. Sin embargo, solo lleva operativo una semana, por lo que es de esperar que durante las próximas semanas la actividad para infectar dispositivos pertenecientes al IoT sea frenética. Ni que decir tiene que la mejor forma de proteger nuestros dispositivos frente a esta amenaza es utilizar contraseñas seguras y modificar aquellas que vienen por defecto en los dispositivos. Fuente:http://wwwredeszonenet

APRENDIENDO CON EL MALWARE DEL WP- LOGIN DE WORDPRESS

Cuando un sitio web es hackeado, el ataque no termina con el payload de contenido malicioso o spam. Los hackers saben que la mayoría de los administradores del sitio web podrán eliminar la infección y buscarán por ella. Algunos admins fijan software vulnerable, cambian sus contraseñas, y realizan otros pasos después del hackeo. Todo esto es bueno, pero los hackers tras el ataque también buscan formas de reinfectar fácilmente el sitio web. Después de invadir un sitio web, los hackers aseguran que todavía tengan acceso al sitio web si se reparó la falla de seguridad original. La mayor parte del tiempo, cargan puertas traseras o crean nuevos usuarios maliciosos. También combinan los dos enfoques: login bypasses.

Por lo tanto, los atacantes obtenen derechos administrativos sin autenticación mediante un parámetro especial en la petición HTTP.

LOGIN BYPASS EN WORDPRESS

Recientemente, hemos encontrado este código de bypass con un error en un archivo wp- login.php de WordPress. la petición fue puesta dentro de un comentario legítimo, lo que la hizo más sospechosa, ya que este truco sólo es utilizado por el malware.El objetivo de este código es proporcionar un ID de usuario de administración al parametro kidsidal buscar por wp-login.php.

Esto permite al atacante acceder al panel de WordPress con el permiso de administrador. Por ejemplo, con N como ID del usuario admin:htt://infected-site.com/wp-login.php?kidsid=N

MEJOR QUE ADMINS FALSOS

Esta técnica tiene ventajas con respecto a la creación de nuevos usuarios que se pueden notar y se eliminar. No se eliminará un usuario legítimo administrador durante una limpieza. Los hackers ni siquiera necesitan saber el nombre del usuario administrador. Muchos sitios web de WordPress todavía tienen el usuario administrador por defecto creado durante la instalación. Este usuario tiene ID 1. Sin embargo, los atacantes no tienen que usar sólo el conocimiento de este hecho. Con herramientas como wpscan, es facil para cualquiera descubrir los ID de usuario de administración de WordPress. Si el atacante puede inyectar código en wp-login.php, más probable es que se le permita ejecutar un SQL query sencillo e identificar todos los ID del administrador del sitio web.

CÓDIGO CON BUG

La intención del bug es bastante clara. Sin embargo, este código no funcionará en particular por razones obvias para cualquiera que esté familiarizado con la API de WordPress o incluso sólo PHP. El error es muy tonto.

Teniendo en cuenta que este código se basa casi por completo en un ejemplo que se puede encontrar en el WordPress Codex, se puede sugerir que el hacker es un “script kiddie”, que sólo puede utilizar scripts de terceros y tiene habilidades copy/paste limitadas.

Además, la inyección en wp-login.php está condenado a ser eliminada porque este archivo se sobrescribe durante las actualizaciones de WordPress.

SECUESTRANDO EL LOGIN FORM

Otra manera de asegurarse de que tiene credenciales válidas en WordPress es secuestrando el formulario de acceso (login form). Para ello, los hackers suelen inyectar el malware en el wp- login.php como habíamos visto. Sigue otro ejemplo reciente:

Cuando un usuario entra correctamente en WordPress, este código envía un correo electrónico con la dirección URL del sitio web y las credenciales del usuario al atacante.Detalle interesante: Ese malware también tiene un bug.

Si usted verifica la línea 843 en la imagen de arriba, ve que la concatenación $body no es completa y no hay el punto y coma al final de la línea. Parece que el atacante modificó esta línea, pero se olvidó de terminarla correctamente.

PHP es muy indulgente cuando se trata de este tipo de errores (que por lo general resultan en todo tipo de efectos secundarios inesperados) y este código realmente funciona. El PHP sólo convierte literales sin comillas en strings y concatena el $bodycon los $headers en la línea siguiente. Como resultado de ello, el texto del correo electrónico termina con MIME-Version: 1.0(que debe ir a los encabezados de los correos electrónicos), pero aún así, funciona.

APRENDIENDO CON EL MALWARE

Incluso si estas muestras tienen errores y el código de desvío no es funcional, nos enseña algunas lecciones de seguridad.

Sepa si sus archivos core de WordPress están intactos. El monitoreo de integridad va a ayudarle a detectar este tipo de inyección.

No se debe publicar cualquier cosa usando la cuenta de administrador. Es fácil encontrar los ID de usuario que publican mensajes en su blog. Utilice una cuenta especial en el editor oautor para postar en el blog y utilizar la cuenta de administrador sólo para las tareas de gestión del sitio web. Por lo tanto, los atacantes sólo serán capaces de encontrar cuentas limitadas cuando escaneaream su sitio web.

Sea notificado cuando un administrador iniciar sesión en su sitio web para ver si su cuenta se ha visto comprometida. Hay muchos plugins que lo hacen.

Considere la posibilidad de restringir el acceso al área de administración de WordPress. Proteja el área protegida por contraseña en el servidor, o proporcione acceso sólo a las direcciones IP fiables. Incluso si los hackers roban las credenciales de WordPress o inyectan un código de bypass, no estarán en condiciones de usar, incluso el área de administración de WordPress.

Mantenga copias de seguridad de su sitio web. Los hackers no son los mejores programadores. Los errores no son poco comunes, tanto en sus herramientas como en las inyecciones de malware. A menudo vemos como sus errores corrompem archivos legítimos. Por eso hay que tener una buena estrategia de copias de seguridad que incluya el almacenamiento de copia de seguridad en un servidor diferente.

Por supuesto, esto no es una lista completa de cosas que debe hacer para proteger a un sitio web de WordPress. Es altamente recomendable la lectura de la guía oficial de Hardening de WordPress en WordPress Codex, así como los recursos especializados de los miembros de la comunidad, como Yoast.

Fuente:https://blog.sucuri.net/
Remueva el usuario administrador por defecto de WordPress con el ID 1. La primera cosa que debe hacer después de instalar un nuevo blog de WordPress es la creación de un nuevo administrador con un nombre difícil de adivinar y eliminar el usuario administrador por defecto. Esto reducirá significativamente las posibilidades de ataques de fuerza bruta, y también cambiará el ID del administrador por defecto.

MALWARE FANTASMA, TROYANO MALICIOSO QUE AMENAZA LA SEGURIDAD MÓVIL

Han surgido diversos malware terroríficos, como es el caso del malware fantasma. Las amenazas para la seguridad móvil crecen y cada vez de una forma más rápida aparecen nuevos hackeos, lo cual es algo para temer, señala la empresa Intel Security.Al respecto, recuerda que han surgido diversos malware terroríficos, como es el caso del malware fantasma, un troyano que a dos años de ser descubierto, afecta a los usuarios de dispositivos Android. Lo anterior debido a que las personas no han actualizado los sistemas que borran la infección del denominado “Ghost Push”, explica Intel, ya que usa varios disfraces para poder acceder a los dispositivos y sus datos. La empresa señala en un comunicado que el malware inicia su ataque haciéndose pasar por una aplicación o plug-in, y se disfraza como Google Play, pidiendo al usuario revelar información de su tarjeta de crédito.

Han surgido diversos malware terroríficos, como es el caso del malware fantasma. Las amenazas para la seguridad móvil crecen y cada vez de una forma más rápida aparecen nuevos hackeos, lo cual es algo para temer, señala la empresa Intel Security. Al respecto, recuerda que han surgido diversos malware terroríficos, como es el caso del malware fantasma, un troyano que a dos años de ser descubierto, afecta a los usuarios de dispositivos Android. Lo anterior debido a que las personas no han actualizado los sistemas que borran la infección del denominado “Ghost Push”, explica Intel, ya que usa varios disfraces para poder acceder a los dispositivos y sus datos. La empresa señala en un comunicado que el malware inicia su ataque haciéndose pasar por una aplicación o plug-in, y se disfraza como Google Play, pidiendo al usuario revelar información de su tarjeta de crédito.

MALWARE FANTASMA, TROYANO MALICIOSO QUE AMENAZA LA SEGURIDAD MÓVIL

Conocimiento pertenece al mundo

Han surgido diversos malware terroríficos, como es el caso del malware fantasma.Las amenazas para la seguridad móvil crecen y cada vez de una forma más rápida aparecen nuevos hackeos, lo cual es algo para temer, señala la empresa Intel Security. Al respecto, recuerda que han surgido diversos malware terroríficos, como es el caso del malware fantasma, un troyano que a dos años de ser descubierto, afecta a los usuarios de dispositivos Android. Lo anterior debido a que las personas no han actualizado los sistemas que borran la infección del denominado “Ghost Push”, explica Intel, ya que usa varios disfraces para poder acceder a los dispositivos y sus datos. La empresa señala en un comunicado que el malware inicia su ataque haciéndose pasar por una aplicación o plug- in, y se disfraza como Google Play, pidiendo al usuario revelar información de su tarjeta de crédito. Una vez que se infiltra en el dispositivo móvil, una segunda superposición de phishing pide a la víctima su teléfono y fecha de nacimiento, por lo que Intel recomienda mantener el dispositivo actualizado y evitar tiendas de aplicaciones de terceros. Por otra parte, la empresa advierte que los hackers son esnobs totales de las marcas, por lo que podemos darles “Me gusta” a sus páginas, las ‘seguimos’, y descargamos sus aplicaciones, de lo cual están al tanto los ciberdelincuentes. Por ello, recomienda ser cuidadoso al descargar la aplicación móvil de una marca, pues a veces un gran nombre es la validación para confiar en una aplicación para obtener ofertas especiales, nuevo contenido o servicio al cliente. También indica que YouTube es la distracción favorita de todos, por lo que los ciberdelincuentes actúan con comandos de voz escondidos. Para evitarlos, aconseja apagar el modo “siempre activado” del micrófono. “Al incorporar una voz manipulada que diga “Ok Google”, los delincuentes pueden alertar a su dispositivo y controlarlo, todos sin su conocimiento. Afortunadamente, este truco no se ha popularizado todavía, pero la posibilidad existe”, detalla. Fuente:http://www.economiahoy.mx/

03 de Noviembre del 2016

Amenazan con un hackeo' masivo a pSN y XBOX Live las Proximas Navidades <<en:Hoy a las 21:43>>

Los expertos en seguridad avisan que las redes de juego como Xbox Live o PSN, están en los puestos más altos de las listas de objetivos potenciales de una nueva generación de ataques informáticos que podrían irrumpir con fuerza en los próximos meses.

07 de Noviembre del 2016

300.000 dispositivos Android hackeados por una vulnerabilidad Chrome

Una vulnerabilidad hallada en Google Chrome para Android esta siendo explotada para permitir a atacantes descargar troyanos bancarios en formato APK de forma silenciosa e instalarlos sin necesidad de confirmación por parte de las víctimas. Este malware se esta expandiendo a traves de publicidad maliciosa que aparece de la nada y sorprende a la víctima diciéndole que su dispositivo ha sido infectado por un virus, dando ademas instrucciones para instalar una falsa aplicación de seguridad que supuestamente elimina el virus de forma inmediatamente. En realidad, la pagina web con publicidad maliciosa lo que hace es descargar de forma automática un fichero APK (instalador de aplicaciones de android) y lo instala sin tener que pedir permiso al usuario. A pesar de que este malware se instala sin permiso del usuario, si necesita que el usuario permita la instalación de aplicaciones de fuera de la play store a travez de la configuración de seguridad de Android, por lo que engaña al usuario para que habilite esa característica Los investigadores en seguridad Mikhail Kuzin y Nikita Buchka, ambos trabajadores de karpershy, han decubierto una campaña de publicidad maliciosa relacionada con este malware que ha afectada sitios web de noticias y otros populares de Rusia. Desde el pasado mes de Agosto, este malware ha infectado a unos 318.00 dispositivos de Android en todo el mundo, gracias al abuso de Google Adsense, que está siendo usado para divulgar un troyano bancario llamado Svpeng.
Google ha reconocido el problema y ha bloqueado la publicidad maliciosa, ademas de haber anunciado el desarrollo de algunos parches, aunque de momento no se sabe cuando será lanzada la versión de Google Chrome. para Android con el problema corregido. Sin embargo, siguiendo el ciclo de lanzamientos de cada seis semanas de Google, posiblemente la actualización dela aplicación legue el 3 de diciembre, dando tres sémanas más a los atacantes para explotar la vulnerabilidad.
Incluso en cada parchear de Google todo lo necesario, los atacantes podrían seguir infectado atravez del engaño a los usuarios, haciendo que estos descarguen aplicaciones maliciosas a travez de la explotación de vulnerabilidades halladas en sitios web populares.
Aunque sin ser una barrera infalible, sería recomendable para todos los usuarios solo instalar aplicaciones de Play store de Google y nunca activar opción permitir instalación de aplicaciones de origen desconocido.

17 de Noviembre del 2016

WhatsApp cede ante la Unión Europea y no compartirá datos con Facebook

La decisión tomada por Facebook el pasado mes de agosto de compartir datos con whatsapp y su red social indignó a muchos y le levanto dudas entre las autoridades.

WhatsApp daba un tiempo de 30 días para que el usuario pudiera retractarse de la compartición de datos con Facebook, sin embargo, la Comisión Europea mostró sus dudas sobre si el proceso era lo suficientemente claro de cara a los usuarios. Las instituciones comunitarias no han estado solas, ya que Alemania freno la iniciativa de la compañía dirigida por Mark Zuckerberg y Reino Unido Hizo lo mismo la semana pasada, lo que aumento presión sobre Whatsapp ante las instituciones comunitarias.

Tras varias reuniones entre las autoridades comunitarias, Facebook y WhatsApp, la agencia española de Protección de datos ha señalado que de momento no se ha empezado una compartición de datos entre los dos servicios. Por su parte WhatsApp ha comentado que "no iniciará tal intercambio con Facebook hasta que haya tenido la oportunidad de abordar las preguntas y preocupaciones que se han planteado. Por lo que podemos decir que las presiones sobre el servicio de mensajería y la red social han surtido efecto.

21 de Noviembre del 2016

Cinco malos hábitos que amenazan tu seguridad online


Nuestra seguridad online es un aspecto cada vez más importante en nuestras vidas. Cada año que va pasado vemos que más servicios dan el salto a Internet y nosotros, los usuarios, los usamos más. Esto tiene como consecuencia el manejo de una gran cantidad de datos procedentes de sitios muy dispares, además de la gestión de una importante cantidad de contraseñas.

¿Qué no hacer para no comprometer nuestra seguridad online? Hoy en MuySeguridad contaremos cinco malos hábitos a evitar debido a que pueden comprometer nuestra seguridad online, y que son perfectamente complementarias con otros tutoriales y consejos que hemos publicado con anterioridad.

Hacer clic sobre enlaces o abrir ficheros adjuntos de remitentes desconocidos. Cuando uno recibe un email de un remitente desconocido o sospechoso, uno siempre tiende a desconfiar de los enlaces incrustados y/o los ficheros adjuntandos que contiene. Muchas veces los atacantes utilizan técnicas de phishing para engañar al usuario, por eso es muy importante fijarse bien en el dominio del remitente y en el formato del email, ya que si esto último está mal lo más probable es que sea fraudulento. Otra cosa que puede hacer el usuario es poner el cursor del ratón sobre el enlace sin hacer clic en ningún momentopara ver a dónde lleva. En caso de aparecer esta última función apagada o bien dirigir a un sitio web extraño, el usuario tendría que desconfiar de forma inmediata. Si tras hacer todas las comprobaciones sigue habiendo dudas, lo mejor es eliminar el email sin más dilación. Instituciones como Hacienda, la policía, tiendas electrónicas y redes sociales nunca van a pedir por email ningún dato adicional a los usuarios porque en la mayoría de los casos ya los tiene, así que en caso de ver en la bandera de entrada un supuesto email de Amazon pidiendo que se vuelva a introducir el número de tarjeta de crédito o de la policía pidiendo el pago de una supuesta infracción, lo que hay que hacer es borrarlo de forma inmediata.

Evitar las actualizaciones de software. Muchas aplicaciones e incluso el propio sistema operativo lanzan en muchas ocasiones mensajes diciendo que hay disponible actualizaciones o una nueva versión. Estos mensajes no tienen que ser tomados a la ligera, porque el software no se actualiza porque sí, sino porque a través de las actualizaciones se incorporan los últimos parches y mejoras a nivel de seguridad. Tener el sistema operativo, el navegador web, el cliente de correo (en caso de utilizar uno) y el antimalware actualizados es crítico para mantener la seguridad, aunque esto no quiere decir que se pueda descuidar otras aplicaciones como la suite ofimatica. Por otro lado, también es importante ver bien si la notificación corresponde a un software que ya está instalado en nuestro sistema operativo y no a otra que no necesitamos.

Reutilizar las contraseñas. ¿Eres de esos que utilizan la misma contraseña en distintos sitios y servicios? La re utilización de contraseñas es algo que pone en serio riesgo la seguridad online, sobre todo si estas son fáciles de adivinar mediante la utilización de fuerza bruta. También puede ser que el atacante las obtenga atacando un sitio web o bien mediante un ataque de phishing. Si un atacante consigue una contraseña reutilizada, podrá probarla en todos los sitios web que vea para intentar obtener aún más datos. Para evitar esa situación, lo más recomendable es usar un gestor de contraseñas que elimine su repetición y garantice la generación de una fuerte y no fácil de adivinar por cada sitio web o servicio utilizado por el usuario.

Conectarse a una Wi-Fi pública. Las Wi-Fi públicas de aeropuertos y bares son un riesgo para los usuarios, sin embargo, vivimos en una época en la que necesitamos estar permanente conectados. En caso de estar conectado a una red accesible para todo el mundo es muy recomendable desactivar las opciones de compartición. En Windows, esto se puede cambiar a través de “Configuración de uso compartido avanzado” en el Panel de Control. Navegar solo por webs que usen HTTPS es un punto a tener en consideración, así como el evitar transferir información sensible mientras se está conectado una Wi-Fi pública, ya que a estas suelen estar conectados hackers esperando la más mínima oportunidad para obtener información que les permita dañar a sus víctimas.

No usar la autenticación en dos pasos. Activar la autenticación en dos pasos en los servicios donde manejamos los datos más sensibles (gestores de contraseñas, sitios donde se almacenan datos de pago… ) ayuda a evitar que los atacantes puedan acceder a estos. Generalmente el segundo paso suele ser un código aleatorio enviado a una aplicación oficial o bien mediante SMS a un número de móvil, lo que combinado con el usuario y contraseña de toda la vida añade una protección extra para las cuentas.

22 de Noviembre del 2016

Las ciberamenazas serán más inteligentes, autónomas y complejas de detectar que nunca

De acuerdo con la compañía de ciberseguridad Fortinet, en 2017 los ciberataques podrían impactar fuertemente en la economía digital global. Así lo desvela su equipo de investigación de amenazas, los Laboratorios FortiGuard, a través de la publicación de seis predicciones en las que anticipa cómo será el comportamiento y las herramientas que emplearán los cibercriminales el año que viene.En su análisis, el equipo de Fortinet ha realizado las siguientes predicciones:
1 – De smart a smarter: los ataques automatizados emulando al ser humano requerirán una defensa más inteligenteLas amenazas son cada vez más inteligentes y con mayor autonomía para operar. Durante el próximo año se prevé que haya malware diseñado “emulando al ser humano” con capacidad de adaptación y de aprendizaje, para mejorar el impacto y la eficacia de los ataques.
2 – Los fabricantes de dispositivos IoT serán responsables de las brechas de seguridadSi estos fabricantes fallan a la hora de proteger mejor sus dispositivos, el impacto en la economía digital podría ser devastador en el caso de que los consumidores albergaran dudas sobre si comprarlos por miedo a las brechas de seguridad. Por ello, prevemos un incremento en la llamada a la acción por parte de los consumidores, proveedores y otros grupos de interés para la creación y aplicación de estándares de seguridad que los fabricantes de dispositivos se responsabilicen del comportamiento de los mismos.
3 – 20.000 millones de dispositivos IoT, el eslabón más débil para atacar la nubeEl eslabón más débil de la seguridad en la nube no se encuentra en su arquitectura en sí, sino en los millones de dispositivos remotos con acceso a los recursos albergados en la misma. En el año que viene, veremos ataques diseñados para explotar vulnerabilidades de los endpoints para que desde estos se pueda atacar y vulnerar de forma efectiva a los proveedores cloud. Las organizaciones incrementarán la adopción de arquitecturas de seguridad y estrategias de segmentación que les permitan crear, orquestar y reforzar sus políticas de seguridad entre sus entornos físicos, virtuales y Cloud privados desde el IoT a la nube.
4 – La smart city en su punto de mira El incremento esperado para el próximo año en el número de sistemas de automatización y gestión de edificios, les convierte en objetivo de los hackers. El potencial para generar disturbios masivos entre la población civil puede provocar que estos sistemas integrados sean comprometidos por el gran valor que tienen para los cibercriminales.
5 – El ransomware era solo el malware de entradaSe espera que se produzcan más ataques dirigidos contra perfiles de alto nivel, como celebrities, políticos o grandes empresas. Los ataques automatizados introducirán una economía de escala para el Ransomware que permitirá a los hackers extorsionar a un gran número de víctimas simultáneamente con pequeñas cantidades de dinero, sobre todo dirigidos a dispositivos IoT.
6 – La tecnología tendrá que compensar la falta de conocimiento en ciberseguridadLa actual escasez de profesionales en ciberseguridad implica que muchas organizaciones y países que desean participar de la economía digital global, asumirán un gran riesgo. Carecen de experiencia y de la formación necesaria para desplegar una política de seguridad, proteger sus activos críticos que se mueven libremente en la red o identificar y responder a los ataques tan sofisticados de hoy en día.

23 de Noviembre del 2016

Una campaña de spam en Facebook está esparciendo el ransomware Locky

Una campaña de spam en Facebook ha estado distribuyendo el malware Nemucod y el ransomware Locky, según descubrimientos realizados por los investigadores Bart Blaze y Peter Kruse cuando decidieron observar el spam que estaba siendo distribuido a través del sistema de mensajería instantánea de Facebook el fin de semana correspondiente al 19 de noviembre.

La campaña se dedica a secuestrar cuentas cuando los usuarios hacen clic sobre una imagen SVG(formato de gráficos vectoriales), la cual activa una estafa. Al parecer, la elección de este formato no ha sido casual, ya que permite colocar código directamente sobre una imagen.

La imagen SVG maliciosa contiene enlaces a un sitio web que suplanta YouTube y muestra un mensaje a los usuarios para que instalen una extensión en sus computadoras, pidiéndoles además permisos para “leer y cambiar todos los datos en las web que visites”. Los investigadores piensan que a través de esa extensión falsa el malware se apodera de la cuenta de Facebook de su víctima.

Una vez que la cuenta ha sido secuestrada, el malware se encargará de enviar el mismo señuelo a todos los amigos que la víctima tenga en la red social, esparciendo la infección tan ampliamente como sea posible. Por otro lado, es importante recordar que las estafas no son algo poco común y suelen ser relativamente benignas comparadas con el caso que nos ocupa en esta noticia.

Los investigadores han visto que a través de esta campaña se ha distribuido dos malware: Nemucod, un descargador de malware, y Locky, el famoso ransomware cuya familia ha estado causando estragos desde principios del presente año, destacando el caso de un hospital de Hollywood California.

Aunque el malware difundido a través de esta campaña de spam en Facebook es bastante peligroso, por suerte el señuelo que emplea no es especialmente sofisticado, debido a que deja margen a la víctima para reaccionar a tiempo si rechaza la extensión maliciosa. Otra cosa que necesita el proceso de infección para iniciarse es que el usuario haga clic sobre la imagen SVG, por lo que esta amenaza es fácil de esquivar si se anda con cuidado.

Este proceso recuerda mucho a los utilizados a través del difunto Messenger de Microsoft, ya que es más probable que un usuario descargue un fichero o haga clic en un enlace si el remitente es un amigo. Una vez que un usuario ha picado el sueñuelo, el malware se distribuye a sí mismo a través de los amigos, aumentando de forma notable las probabilidades de éxito de la campaña.

Al estar difundiendo un ransomware, la campaña sin duda es peligrosa para los usuarios particulares, pero la amenaza resulta todavía mayor cuando la víctima es la computadora de una empresa.

24 de Noviembre del 2016

¡Cuidado! Tus auriculares también pueden ser usados para espiar

Posiblemente seas de esas personas que tapan la webcam del portátil e inhabilitan el micrófono para evitar ser espiado. Sin embargo, esto podría no ser suficiente, ya que tus auriculares, esos periféricos que siempre han sido considerados de salida, también pueden ser utilizados para capturar sonido sin que el usuario tenga que hacer nada especial.Investigadores en seguridad de Ben Gurion University, situada en Israel, han creando un código de prueba de concepto (que técnicamente se puede considerar un malware) que convierte tus auriculares en micrófonoscapaces de capturar todos los sonidos que hay dentro de una sala, y en consecuencia poderlos usar para espiar.Utilizar los auriculares como micrófonos no es algo nuevo, de hecho se lleva haciendo desde hace unos años por lo que se puede comprobar desde Youtube , aunque para ello el usuario tenía que cometer el fallo de conectar los auriculares en el conector correspondiente al micrófono. Sin embargo, los investigadores de la universidad de Israel han ido más allá, cambiando el canal de salida de la tarjeta de sonido para convertirlo en un canal de entrada, pudiendo así grabar audio sin tener que recurrir a un canal de entrada de sonido estándar y siendo capaces de grabar lo que hay a una distancia de unos seis metros. El malware que han creado para realizar esto ha sido bautizado como Speake(a)r, y permite grabar audio incluso si el micrófono está desactivado o totalmente desconectado de la computadora sobre cualquier sistema operativo, utilizando los auriculares y el canal de salida para la grabación de sonido.

¿Cómo funciona Speake(a)r?
Speake(a)r se dedica a utilizar los auriculares para capturar vibraciones en el aire, convirtiéndolas en señales electromagnéticas, a través del volcado de las funciones del jack de entrada de sonido (utilizado para el micrófono) al jack de salida (utilizado para auriculares y altavoces). Esto permite a un hacker grabar audio desde unos auriculares, aunque a baja calidad, de computadoras que tengan el micrófono desconectado o inhabilitado.
Los investigadores se ha aprovechado de una característica poco conocida del chip de audio de Realtekque permite realizar la modificación descrita en el párrafo anterior de forma totalmente silenciosa para la víctima (que puede ser el mismo hacker si está haciendo eso a modo de prueba con su ordenador).

Los chips de Realtek están presentes en la gran mayoría de ordenadores actuales, por lo que más del 80% de las computadores que están funcionando en el mundo son vulnerables a Speake(a)r, independientemente de que usen Windows, macOS o Linux.

Debido a que el problema afecta al chip de audio de Realtek, que soporta esta característica de poder cambiar la función de los canales de entrada y de salida del sonido, este resulta muy difícil de corregir, además de muy peligroso para la privacidad del usuario. De hecho, la única solución viable de momento es sustituir el chip de sonido por otro que no sea capaz de realizar la mencionada función, algo que se muestra inviable en la práctica.
Para dejar constancia de que van en serio y todo es cierto, los investigadores han publicado en YouTube un vídeo donde muestran las capacidades de Speake(a)r.

Cómo funciona el malware que hace escupir dinero

Lo hemos visto en el cine, y para muchos es una fantasía irrealizable: dar con un cajero automático que comience a soltar más dinero del que hemos solicitado, sin que esa diferencia afecte el saldo de nuestras cuentas. Es decir, un cajero que nos entregue billetes de regalo. Pues bien, una empresa de seguridad rusa advirtió que un ciberataque coordinado está haciendo que cajeros automáticos en Europa escupan dinero. Todo eso, sin que nadie meta una tarjeta o digite una clave.

El ataque ha sido llamado botín sin contacto (touchless jackpotting, en inglés). De acuerdo al grupo ruso IB, los hackers acceden de una forma remota a los centros de información de los bancos y ahí instalan el programa que les permite configurar varios cajeros, de modo tal que entreguen dinero en efectivo de forma simultánea y a horas predeterminadas. Y claro, otros miembros de la organización se encargan de recoger los billetes. "Esta técnica no involucra ninguna manipulación física de los cajeros automáticos. Y en un solo golpe han sacado hasta US$ 400.000", dijo el grupo en el informe. Los países afectados por el ataque han sido Armenia, Estonia, Holanda, España, Polonia y Reino Unido, pero la empresa no entregó detalles sobre las entidades financieras. "Hemos visto este tipo de ataques coordinados en Rusia desde el 2013", le dijo a la BBC Dmitriy Volkov, quien trabaja para IB."La amenaza es grave. Los atacantes acceden a la red interna de los bancos, pero sobre todo a la información confidencial. Eso les permite robar de esta manera a los bancos", agregó Volkov. -En una sola maniobra- Se estima que en Europa hay por los menos 410.000 cajeros automáticos. El país del continente que más tiene es Reino Unido, con 70.000. Se estima que cada uno de ellos puede contener en promedio hasta US$ 200.000 en efectivo. Por esa razón los fabricantes de los equipos como Diebold Nixdorf y NCR Corp. están alertas sobre esta nueva forma de robo. "Los hackers llevaron esta modalidad al nivel de poder acceder a varios cajeros automáticos a la vez en una sola maniobra", explicó Nicholas Billet, de la firma estadounidense Diebold Nixdorf. "Pero lo que es más grave es que saben que pueden ser rastreados con rapidez, así que ejecutan el robo con una precisión tal que sacan el dinero antes de que podamos apagar la máquina o el banco bloquee su sistema", añadió.-Siguiendo el dinero- Un informe reciente de Europol alerta sobre un alarmante aumento en el uso de malware (códigos maliciosos) en cajeros, pero aclara que la técnica de fraude más común en los expendedores de dinero sigue siendo el skimming, o robo de información del usuario mediante hardware cuando está parado en la máquina. "El nuevo método está siendo perpetrado por alguien que tiene acceso al sistema central de los bancos e infecta comunidades enteras de cajeros automáticos de forma simultánea, por lo tanto multiplicando la cantidad de dinero que puede robar en poco tiempo", dijo Alan Woodward, experto en ciberseguridad de la Universidad Surrey.
"La manera clásica de resolver los crímenes financieros en Internet es seguir el dinero, pero cuando no puedes hacerlo es muy difícil saber quién está detrás. Aunque la evidencia sugiere que fue un pequeño grupo de personas quienes lo empezaron".

Para Woodward, el método para la recolección del dinero, que se realiza de forma personal, ha hecho que el crimen sea más difícil de rastrear.

28 de Noviembre del 2016

Un hacker muestra cómo robar un coche Tesla a través del móvil

El hecho de que los vehículos estén cada vez estén más informatizados y conectados a Internet, siguiendo los pasos del loT, los está convirtiendo en objetivos más tentadores y asequibles para los hackers.Un hacker noruego, que trabaja para la empresa de seguridad Promon, publicó la semana pasada que es relativamente fácil hackear un coche eléctrico Tesla con tan solo interceptar los datos transmitidos desde la aplicación oficial para Android del fabricante de vehículos. Para realizar el ataque con éxito, el hacker infectó el smartphone de su víctima con un malware que comprometía la aplicación oficial de Tesla, permitiéndose luego localizar, desbloquear y conducir un Tesla Model S. Evidentemente, esto requiere de un descuido de la víctima para poder infectar su smartphone Android, por lo que el atacante tiene que recurrir a algún tipo de engaño. Conociendo esto, el fabricante de vehículos eléctricos ha querido recalcar que su aplicación no es vulnerable de por sí.Según explica Promon Corporativo, la aplicación genera un token OAuth cuando el dueño del coche Tesla inicia sesión por primera vez a través de la aplicación oficial para Android. El token mencionado se encarga de facilitar el acceso a los servicios sin tener que introducir el usuario y la contraseña cada vez que se quiera hacer algo con el coche a través del móvil. El token se almacena en formato de texto plano en una carpeta del sistema móvil a la que solo se puede acceder con permisos de administrador (root). El hacker comenta que es fácil para un atacante crear una aplicación maliciosa que explote las capacidades de root como Towelroot o Kingroot, pudiendo ser utilizada para realizar una escalada de privilegios y acceder al token de OAuth de la aplicación de Tesla. Una vez obtenido el token, el atacante pudo geolocalizar el coche y abrir las puertas, aunque no arrancar y conducir, acciones para las cuales ha necesitado borrar el token del teléfono del propietario del coche para forzar a este último a introducir de nuevo el usuario y la contraseña, siendo ese el momento que aprovecha el hacker para obtener las credenciales del propietario. Para hacer la última parte mencionada en el párrafo anterior, el hacker ha tenido que modificar el comportamiento por defecto de la aplicación de Tesla, acción que ha podido hacer debido a que previamente había rooteado el dispositivo del propietario del vehículo, obteniendo así los permisos necesarios. Una vez conseguidos todos los objetivos, el atacante puede realizar las acciones de geolocalizar el coche en la carretera, abrir las puertas, arrancar el motor e incluso conducir el coche sin obstáculos, todo esto solo enviando solicitudes de HTTP correctamente realizadas a los servidores de Tesla empleando las credenciales y el token de OAuth del propietario.

29 de Noviembre el 2016

Un ransomware la lía en el metro de San Francisco permitiendo viajes gratis

Un Ransomware estuvo atacando el pasado fin de semana las computadoras del metro de San Francisco(California, Estados Unidos). Los atacantes llegaron a pedir un pago de 73.000 dólares que se le tenía que entregar en Bitcoins, la criptodivisa utilizada por los creadores de ransomware para realizar transacciones de dinero sin dejar rastro.Una de las consecuencias producidas por el ataque es que algunos viajeros han podido tomar el metro gratis, sin embargo, esto y el cifrado de los datos de las computadoras no es todo, ya que además los atacantes han amenazado con publicar 30GB de bases de datos y documentos pertenecientes al transporte municipal de la ciudad, incluyendo contratos y datos relacionados con clientes y empleados, si no reciben el pago que solicitan.Según una conversación que han mantenido los atacantes con Motherboard a través de correo electrónico, los hackers han realizado esto con la intención de “tener más impacto en la empresa con el fin de que haga un trabajo correcto”, aunque, sinceramente, el chantaje no es la mejor forma de mejorar ningún servicio.En otros mensajes intercambiados con el mismo medio los hackers han comentado que “cualquiera ve que estas cosas que pasan en las películas de Hollywood son completamente posibles en el mundo real”, a lo cual añadieron la reivindicación de que la empresa de transportes de San Francisco no presta atención a la seguridad del usuario. Según CBS, en los monitores de las computadoras de la empresa de transporte se ha podido leer el mensaje “has sido hackeado” desde el pasado sábado. Al parecer los hackers han utilizado una variante del ransomware HDDCryptor para llevar a cabo el ataque, afectando a unas 2.000 computadoras.Después del revuelo generado, la Agencia Municipal de Transporte de San Francisco (SFMTA) ha publicado un comunicado publicado un comunicado negando que los hackers hayan accedido a ningún dato interno, por lo que posiblemente los atacantes estén mintiendo más que otra cosa cuando han querido chantajear la empresa, aunque el daño producido por el ransomware sí es real.La agencia ha comentado que “el malware utilizado ha cifrado y afectado sobre todo a computadoras de oficina y también ha accedido con éxito a varios sistemas. Sin embargo, no se ha producido ninguna brecha en la red de SFMTA ni los hackers han conseguido saltarse nuestros cortafuegos. Las operaciones de Muni y la seguridad no se vieron afectados. Los pagos de nuestros usuarios no fueron hackeados. También, a pesar de las informaciones de la prensa, no se ha accedido a ningún dato alojado en nuestro servidores”.Como era de esperar, la SFMTA se niega a realizar ningún pago y está trabajando en colaboración con el FBI y el DHS (Departamento de Seguridad Interior de Estados Unidos) para descubrir quiénes son los culpables del ataque.

01 de Diciembre del 2016

Una actualización de Windows 10 facilita el hackeo del sistema

En más de una ocasión hemos resaltado la importancia de no usar una cuenta de administrador para realizar tareas comunes, ya que eso reduce de forma notable el impacto de muchos ataques y la explotación de vulnerabilidades.

Sin embargo, esta barrera parece haberse quedado bastante rota en Windows 10, ya que una actualización para dicho sistema contiene una vulnerabilidad que permite acceder a los privilegios de administrador con tan solo pulsar shift+F10 en el proceso de actualización.

Segun explica Sami Laiho, experto en infraestructuras Windows, la vulnerabilidad está expuesta debido a que BitLocker, la utilidad de cifrado de disco de Windows, queda suspendida cuando una nueva compilación es implementada en una computadora que usa Windows 10. Como consecuencia, el Entorno de Pre instalación de Windows (Windows Preinstallation Environment) permite a los usuarios lanzar una ventana de símbolo de sistema con simplemente presionar shift y F10 a la vez.

Que se inicie la consola no es en sí mismo un problema, porque igualmente puede funcionar con privilegios restringidos ajustándose al contexto del usuario en ejecución, pero en el caso de esta vulnerabilidad la consola se inicia con acceso al sistema, por lo que un usuario malicioso o un atacante podría usar esto para ejecutar comandos con privilegios de administrador sobre una computadora en concreto.
Laiho explica que este fallo no solo afecta a las computadoras que usen las compilaciones Insider de Windows 10, sino también a las versiones RTM del mismo sistema que tengan instaladas la Actualización de Noviembre (November Update) o la Actualización Aniversario (Anniversary Update).

Laiho explica que “el verdadero problema aquí es la escalada de privilegios desde un usuario sin permisos de administrador a SYSTEM (administrador del sistema en Windows) incluso en ordenadores protegidos por BitLocker. Y evidentemente, esto no requiere de ningún hardware externo o software adicional”. Debido a que BitLocker queda suspendido, esto permite saltarse las comprobaciones de TPM y la protección por contraseña, ofreciendo acceso a los discos locales desde una línea de comandos.

Con el fin de poder evitar la explotación de la vulnerabilidad, se puede restringir las actualizaciones de Windows 10 para que se hagan solo en un entorno confiable. Los usuarios finales no tendrían que tener problemas si no dejan sus computadoras desatendidas durante el tiempo que toma el proceso de actualización, ya que se necesita acceso físico al sistema para explotar el bug. Sin embargo, en una empresa esto es más difícil de controlar, ya que muchos empleados abandonan su escritorio mientras Windows se está actualizando.

Microsoft ya ha sido informada de este problema y está preparando un parche para corregir la vulnerabilidad surgida tras la actualización de Windows 10.

02 de Noviembre del 2016

Windows sigue siendo el principal objetivo del malware con diferencia

AV-TEST publicó hace unos días su último informe de seguridad, que compara 2015 y los seis primeros meses de 2016, sobre la cantidad de malware que afecta a los distintos sistemas operativos con presencia en el mercado.

Lo primero que se puede desatacar es que Windows sigue siendo, con diferencia, el sistema operativo más afectado por el malware. Según AV-TEST, el sistema operativo del gigante de Redmond va camino de superar los 600 millones para finales del presente año según los registros que tiene en sus bases de datos. Sin embargo, la proporción ha bajado considerablemente si se compara 2015 con la primera mitad de 2016, pasando del 85,39% en 2015 al 67,21% en 2016. El mayor incremento se ha registrado en el malware escrito en lenguajes de script, que ha pasado del 8,40% al 19,10%, mientras que Android también ha tenido una notable subida pasando del 3,19% al 7,48%.

Android es el sistema operativo que acaba peor parado en términos comparativos, debido a que es el que ha registrado el mayor aumento. Hasta septiembre de 2016 se ha detectado un total que afectan al sistema operativo móvil de Google, habiéndose detectado 725.738 nuevos en el mismo mes.

Sin embargo, los programas maliciosos no son la única amenaza contra los usuarios, ya que también están las aplicaciones no deseadas (PUA). AV-TEST ha detectado una disminución en las incidencias provocadas por las aplicaciones no deseadas, las cuales se suele distribuir a través de publicidad maliciosa y en muchas ocasiones se instalan de forma silenciosa. Los investigadores avisan que esto no es más que una tendencia y que actualmente no hay políticas claras para su detección, tanto por parte de los antimalware como de la regulación de la publicidad.

Windows

Uno de los datos más interesantes sobre Windows es que el 99,69% de todo el malware construido contra este sistema operativo está compilado para arquitectura de 32 bits, frente al 0,31% compilado para arquitectura de 64 bits. Esto es debido a que el software de 32 bits funciona perfectamente en sistemas operativos de 64 bits, lo que aumenta el número de potenciales víctimas al poder funcionar en las dos arquitecturas.

Sobre los tipos más comunes, AV-TEST ha detectado un gran incremento de los virus, que han pasado de representar el 30,04% en 2015 al 49,20% en la primera mitad de 2016. Los gusanos, por su parte, se han visto muy contraídos al pasar del 37,02% al 11,56%, mientras que los troyanos han subido del 21,51% al 30,28%. El temido ransoware, que en los últimos tiempos ha acaparado mucha atención en la actualidad sobre la seguridad informática, representa todavía menos del 1% de todo el malware registrado por AV-TEST contra Windows.

macOS (antes OS X)

Desde hace meses se está pronosticando un considerable aumento en el desarrollo del malware contra el sistema operativo utilizado por los ordenadores Mac. Sin embargo, a día de hoy su cantidad sigue siendo bastante baja, algo que motiva a muchos usuarios a prescindir de usar algún tipo de antimalware. Debido al exceso de confianza de los usuarios, desde AV-TEST avisan que no es difícil desarrollar una gran cantidad de aplicaciones maliciosas que sirvan para obtener una gran cantidad de datos de los usuarios de Mac.

No se sabe con qué frecuencia son los usuarios de Mac objetivo de malware, además que la propia compañía ha reaccionado de forma un tanto inapropiada ante algunos problemas como Rootpipe, Shellshock y Flashback, llegando a decir en el último caso que “los Mac no pueden ser infectados”.Pese a todo, desde AV-TEST no esperan un incremento significativo del malware contra macOS, siendo la principal fuente de infección la aplicaciones no deseadas, que durante la primera mitad de 2016 acapararon el 97,04% del malware.

Android

El aplastante dominio de Android en el sector de la movilidad, unido a su acusada fragmentación, han convertido al sistema operativo de Google en un objetivo muy atractivo para los desarrolladores de malware.

Lo más sorprendente es ver que Android acapara el 99,87% de todo el malware desarrollado para móviles, dejando así una cuota totalmente residual a iOS, único competidor real en la actualidad dentro del sector.

Sobre su distribución, durante la segunda mitad de 2016 se ha detectado que el 97,49% del malware registrado contra Android son troyanos. Por otro lado, se puede destacar la gran disminución del ransomware, que ha pasado del 6,96% en 2015 al 0,34% durante la primera mitad de 2016.

06, de Noviembre del 2016

Cómo hackear una tarjeta de crédito en seis segundos

Un equipo de investigadores de la Universidad de Newcastle en el Reino Unido, ha descubierto un método para hackear tarjetas de crédito, incluyendo fechas y códigos de seguridad, en tan sólo seis segundos y mediante la consulta en sitios de comercio electrónico.

El proceso se describe en IDEE Security & Privacy Seguridad e implica adivinar y probar cientos de permutaciones de las fechas de caducidad y números CVV en cientos de sitios web. Las tarjetas MasterCard no son susceptibles a este ataque debido a que su sistema está centralizado y se cierra después de 100 intentos.

Los titulares de tarjetas VISA no tienen tanta suerte porque el sistema de pago en línea no detecta solicitudes múltiples no válidas desde diferentes sitios web. De esta forma y mediante lo que denominan “un ataque distribuido de adivinazas”, los investigadores dicen que pueden descubrir los números de tarjeta, fecha de caducidad y códigos de seguridad de cualquier tarjeta de crédito o de débito VISA.“Este tipo de ataque explota dos debilidades que por su cuenta no son demasiado graves, pero cuando se usan juntos, representan un grave riesgo para todo el sistema de pago”, explican. Los atacantes pueden recoger la tarjeta de información de un campo a la vez haciendo imposible para los comerciantes detectar la actividad fraudulenta.

HyperDrive: el dispositivo que le añade todo lo que le falta a la MacBook Pro

Apple es una de las empresas más fuertes en la actualidad y siempre nos han mostrado productos novedosos o al menos, decisiones novedosas. La nueva MacBook Pro ha tenido un recibimiento bastante fuerte por parte de los usuarios, a pesar de haberle quitado gran parte de las entradas disponibles.

La MacBook Pro cuenta con 2 entradas USB Type C (4 en el modelo más caro) y esto ha creado un gran número de limitaciones.

En Kickstarter ha aparecido HyperDrive, un dispositivo que usando estos USB Type C, agregará todos los dispositivos que tenia el MacBook Pro en su modelo del año pasado: ranura para tarjeta SD y microSD, salida HDMI, dos puertos USB 3.1, un puerto Ethernet, etc.La campaña termina el 16 de enero del 2017 y ya han sobrepasado con creces el dinero base que pedían, por lo que ahora ya podemos hacer los pedidos por 100 dólares o incluso, 70 dólares si lo hacemos en este instante.

Si deseas hacer un pedido puedes entrar a la pagina de HyperDrive haciendo click AQUI. Lamentablemente aún no hay reseñas de los usuarios ya que no esta siendo enviado a los compradores.compradores. Aqui el video de muestra...

07 , de Noviembre del 2016

Roban 85 millones de cuentas en Dailymotion
¡Cambia tu contraseña!

85 millones de cuentas asociadas con Dailymotion han sido robadas, después del hackeo contra una de las mayores plataformas de vídeo mundial y competencia a YouTube.

2016 va a terminar como uno de los peores años en cuanto al hackeo de sitios y robo de datos de usuario. La última ha sido en el portal francés Dailymotion, propiedad de Vivendi, lanzado en 2005 y entre los 120 primeros portales más visitados del mundo.

Según explican en ZDNet, un pirata informático robó 85,2 millones de direcciones de correo electrónico y nombres de usuario únicos de los servidores de la compañía.

El ciberdelincuente “solo” ha conseguido una de cada cinco contraseñas, unas 18 millones. Unas contraseñas que estaban cifradas con el algoritmo Bcrypt por lo que el daño es limitado.

En todo caso, la recomendación es cambiar la contraseña en Dailymotion y en todos los sitios donde estés usando la misma, porque el portal de vídeo ha reconocido el hackeo a sus sistemas: “La seguridad de su cuenta es muy importante para nosotros y tomaremos todas las medidas necesarias para identificar las deficiencias y corregirlas. Por lo tanto, como medida de precaución, instamos a todos nuestros socios y usuarios a restablecer sus contraseñas ahora”.

Lo peor puede ser que los datos hayan estado circulando más de un mes porque el hackeo tuvo lugar el 20 de octubre de 2016. Puedes revisar si tu cuenta está afectada comprobando tu correo electrónico asociado en Leaked Source.

09 de Diciembre del 2016

Rusia castigará con 10 años de prisión a los creadores de malware

El gobierno ruso ha presentado un proyecto de ley que propone penas de prisión como castigo para hackers y cibercriminales que desarrollen software malicioso que sea utilizado de alguna manera contra la infraestructura crítica rusa crítica, incluso si no tienen ningún papel en ataques cibernéticos reales.El proyecto de ley, publicado en la página web del gobierno ruso el miércoles, propone enmiendas al Código Penal de Rusia y el Código de Procedimiento Criminal, contemplando un importante aumento de sancionescon penas de prisión para actos maliciosos, incluyendo la “creación y distribución de programas o información, que puede ser utilizado para la destrucción, el bloqueo o la copia de datos de los sistemas rusos”.El proyecto de ley fue redactado en un corto período de tiempo después que el presidente ruso, Vladimir Putin, firmara recientemente una actualización sobre la Seguridad de Información de Rusia, que expone que la circulación transfronteriza ilegal de datos se intenta cada vez más para lograr otros objetivos ilegítimos geopolítico, militar y político, uso por terroristas y extremistas, y en detrimento de la seguridad internacional.
Por ello, la doctrina está dirigida a “reforzar la soberanía del país, la integridad territorial, mantener la estabilidad política y social, la protección de los derechos y libertades humanos y civiles, así como la infraestructura de TI crucial“.

Los cambios en el código penal son importantes. Los piratas informáticos rusos están siempre en todas las quinielas como responsables de todo tipo de ataques informáticos por todo el mundo.

10, de Diciembre del 2016

Cómo mejorar la seguridad de tu correo Gmail

Mejorar la seguridad de la aplicación Gmail es una tarea recomendable para los usuarios del correo electrónico web de Google. El webmail más usado de un segmento que es una vía preferente de entrada de malware.

La cantidad de amenazas es inmensa y si bien los métodos de infección se han ampliado (páginas web o aplicaciones falsas; mensajería instantánea, etc) los piratas informáticos siguen utilizando el correo electrónico para realizar campañas de spam, phishing o directamente introducir troyanos o spyware en los archivos adjuntos o en las imágenes que acompañan al mensaje.

Google y las demás tecnológicas se esfuerzan por incluir nuevos métodos de protección aunque parece que los ciberdelincuentes siempre van un paso por delante. El usuario tiene mucho que decir para aumentar la seguridad de Gmail (y en general de su cliente de correo electrónico) simplemente siguiendo unos sencillos pasos como los que te proponemos:

Activa la autenticación en dos pasos

El cliente de correo electrónico web de Google fue de los primeros en añadir técnicas como la doble autenticación (autenticación de dos factores o verificación en dos pasos). Una técnica que añade una capa adicional de seguridad al requerir un segundo código de acceso (enviado normalmente por SMS al móvil del usuario) para complementar los métodos -inseguros- de nombre y contraseña. Su activación es sencilla:

Entra en Gmail y pincha sobre la imagen de tu cuenta para acceder a la misma.

Accede a Inicio de sesión y seguridad < Inicio de sesión en Google.

Bajo el método de contraseña, selecciona la verificación en dos pasos.

Introduce tu número teléfono y selecciona un método de verificación.

Cifra tus mensajes

Google usa automaticamente conexiones cifradas HTTPS en el envío y recepción del 100 por cien de los mensajes de su servicio de correo electrónico web Gmail, sin importar el dispositivo utilizado (ordenador, tablet, smartphone…) o el tipo de red, incluyendo redes privadas o Wi-Fi públicas. Además, realiza advertencias que alertan a los usuarios cada vez que llega un correo electrónico a través de una conexión no cifrada. Estos correos electrónicos pueden ser fácilmente secuestrados y / o alterados.

Una base la de HTTPS muy adecuada que aumenta la línea de base para la seguridad pero a nivel de conexió. Si te preocupa la privacidad y quieres realmente cifrar tus mensajes de correo y alejarlos de terceros (incluyendo el mismo Google) puedes utilizar herramientas como mailvelope , una extensión de Chrome que se integra directamente en Gmail (así como GMX, Outlook, Yahoo!, y otros), simplificando el proceso de cifrado y descifrado de mensajes de correo electrónico.

Otras herramientas que puedes utilizar es Secure Mail for Gmail , una extensión Open Source que hace exactamente lo que dice y para el que te ya ofrecimos una guía de uso.

Comprueba la actividad de la cuenta

En la parte inferior-derecha de la interfaz web de Gmail, encontrarás un pequeño fragmento de texto que muestra la última actividad de la cuenta y ofrece un enlace con “información detallada”. No está demasiado visible ni es algo que conozcan los usuarios de forma general.

Pero puede ser muy útil para conocer si alguien externo ha accedido a nuestra cuenta. Si accedes a la información detallada, verás las últimas 10 direcciones IP que han accedido a la cuenta. La mayoría corresponderán a tu propia IP pero si ves alguna distinta, puede señalar que la cuenta ha sido violada.

Si accedes a este apartado regularmente -por ejemplo una vez por semana- puedes controlar actividades potencialmente sospechosas en la cuenta. En la parte inferior de esta pantalla se muestra tu IP por si no la conoces y también puedes activar alertas de actividad inusual.

Observa buenos hábitos con las contraseñas
La historia de las contraseñas y su inseguridad es el cuento de nunca acabar pero hasta que nuevas tecnologías que deben venir de la identificación biométrica o de sistemas combinados no estén plenamente extendidas, la típica contraseña sigue siendo el método a utilizar para mejorar la seguridad de Gmail y en general de cualquier servicio en Internet.

Un método intrínsecamente difícil para los humanos ya que hay que crear, recordar y administrar contraseñas largas y complejas, y de ahí la conveniencia de utilizar gestores de contraseña u observar una serie de normas para su creación que se ha repetido hasta la saciedad. Entre ellas:

Aquí el tamaño sí importa, cuanto más larga mejor

Evita nombres comunes y personales. No uses series o repeticiones, fáciles de hackear.

Combina números, letras, mayúsculas y minúsculas, y caracteres especiales

Utiliza distintas contraseñas para los servicios de Internet que utilices

Especialmente deben ser únicas las destinadas a banca electrónica o comercio electrónico

Modifícalas (especialmente las importantes cada cierto tiempo)

Utiliza el modo incognito

Aunque el móvil personal es un dispositivo de uso hoy para revisar nuestro correo, todavía se siguen utilizando ordenadores compartidos, sea en bibliotecas, cibercafés, o incluso en el equipo de un amigo.

Por ello, utiliza el “modo incógnito” para iniciar sesión en Gmail en un ordenador compartido. Hablamos de acceso a Chrome. El equivalente en otros navegadores es el modo de “navegación privada”. La cuenta todavía podría ser comprometida con keyloggers. Ten cuidado con ellos.

Más consejos para mejorar la seguridad de Gmail

Al igual que en cualquier cliente de correo electrónico que utilicemos, hay normas generales de uso que reforzarán nuestra seguridad y cuenta. Seguro que las conoces pero no está de más recordarlas. Algunas de las básicas:

Precaución en la apertura de correos electrónicos de destinatarios desconocidos

Si no te fías, elimínelos directamente sin abrirlos.

Si tienes dudas, activa la vista previa antes de su apertura.

Cuidado con las imágenes incluidas en correos no seguros y de destinatarios conocidos. Desactívalas. No pinches sobre ellas.

Tampoco sobre los enlaces incluidos en el cuerpo del mensaje de destinatarios desconocidos.

Jamás. Jamás descargues y mucho menos ejecutes un archivo adjunto en un correo electrónico de un remitente del que no estés absolutamente seguro.

Cuidado con los correos falsos de sitios web comerciales reales. Especialmente los que se hacen pasar por tu banco o tienda electrónica en ataques de phishing.

Nunca respondas a los correos anteriores. Nunca escribas y reenvíes (aunque te lo pidan) tus contraseñas, pines ni mucho menos datos de tarjetas de crédito.

Gmail hace un buen trabajo con la carpeta de spam pero siempre incluye algún mensaje que nos puede interesar. Cuidado al revisar esta carpeta.

13, de Noviembre del 2016

Ya está disponible Sandboxed Tor Browser 0.0.2, más seguridad para navegar por Tor

La organización sin ánimo de lucro tras el Proyecto Tor ha anunciado recientemente el lanzamiento de la alfa temprana de Sandboxed Tor Browser 0.0.2.

Tor Browser no es un proyecto reciente. El navegador derivado de Firefox y totalmente adaptado para facilitar la navegación por la red Tor es muy popular entre aquellos que busquen el anonimato en Internet. Sin embargo,Firefox no destaca por un sandbox muy potente y eso viene a mejorar Sandboxed Tor Browser, una versión del mismo navegador que aísla mejor la aplicación de otros procesos en ejecución en el sistema y limita la capacidad de poder interaccionar o hacer peticiones de API a bajo nivel, que puedan llevar a la exposición de la dirección IP, la dirección MAC, el nombre de la computadora, además de otros datos que puedan delatar la identidad real del ordenador que esté haciendo uso de Tor Browser.

Para los que anden perdidos, el sandbox (literalmente traducido por Para los que anden perdidos, el sandbox (literalmente traducido por caja de arena) es un mecanismo que permite para separar los programas en ejecución. Cuando una aplicación hace uso de sandbox (también se llama a esto aislamiento de procesos), su proceso se ejecuta en un entorno separado del sistema operativo, evitando así que un problema de seguridad en la aplicación aislada termine afectando a otros programas e incluso al propio sistema operativo. Las aplicaciones que soportan sandbox se ejecutan en un área secuestrada de la memoria, donde pueden funcionar sin ser una amenaza para el resto del software instalado en el ordenador.

La carencia de un buen sandbox en Firefox y en consecuencia en Tor Browser ha dado vías a agencias como el FBI para desenmascarar a los usuarios de Tor, destacando aquí el caso de PlayPen en 2015, relacionado con pornografía infantil. En este caso, el FBI se aprovechó del uso de Flash Player por parte de muchos usuarios para hacer uso de un exploit que permitió revelar las IP reales de los usuarios.

Siendo conscientes de que Tor Browser puede exponer la identidad real de los usuarios si se dispone de los medios y los conocimientos adecuados, los encargados del Proyecto Tor están trabajando desde septiembre en una versión de Tor Browser con sandbox. La intención, como no podía ser de otra forma, es que las vulnerabilidades halladas en su navegador se queden atrapadas en el sandbox y no puedan así extenderse a otros procesos ni al sistema operativo.

Los desarrolladores han lanzado la primera versión de su nuevo y mejorado Tor Browser, aunque hay que tener en cuenta que todavía se encuentra en una fase muy temprana de su desarrollo, por lo que la aplicación no puede dar garantías de buen funcionamiento. Estas son dos de las características descritas de Sandboxed Tor Browser según uno de sus desarrolladores:

Interfaz de usuario basada en GTK+3 para descargar, instalar y actualizar Tor Browser, configurar la conexión a la red Tor y lanzar el navegador de forma aislada (sandboxed). Esto permitirá ejecutar la aplicación en “un montón de contenedores”.

Seccomp-bpf de Linux + espacio de nombres basados en los contenedores de Tor Browser, esto intentará prevenir o mitigar los exploits y reducir la cantidad de información personal identificativa al mínimo, centrándose en las envolturas de las burbujas (dependencia del entorno de ejecución).

Sandboxed Tor Browser está de momento solo disponible para Linux y se espera que los primeros binarios oficiales sean puestos a disposición a partir de la próxima semana, así que mientras llegue ese momento los más impacientes tendrán que compilar ellos mismos desde el código fuente y usar el sistema operativo Open Souce.

14 de Diciembre del 2016

Un nuevo ransomware permite descifrar a cambio de infectar a otros usuarios

Popcorn Time es un nuevo ransomware que tiene la peculiaridad de tener dos vías para poder descifrar los ficheros en un ordenador infectado.
Al igual que sucede con la mayoría del ransomware, Popcorn Time infecta ordenadores Windows y cifra ficheros utilizando AES-256. Después de infectar el sistema y cifrar los ficheros, el ransomware pide el pago de un bitcoin (unos 780 dólares) para revertir los efectos. Sin embargo, también plantea otra forma de recuperar los ficheros de forma gratuita, aunque para ello la víctima tendrá que pasar un enlace a otros dos usuarios que terminarán infectados. Tras hacer esto, la víctima que ha ayudado a expandir Popcorn Time recibirá la clave de descifrado.

En caso de no realizar ninguna transferencia (ya sea el pago o el contagiar a otros dos usuarios) antes de siete días, los ficheros serán borrados de forma permanente del ordenador de la víctima. Por otro lado, su código, el cual está en constante evolución, indica que está programado para realizar la misma operación en caso de que una víctima falle 4 veces a la hora de descifrar los ficheros.

Popcorn Time cifra los ficheros hallados en las subcarpetas Documentos, Imágenes, Música y Escritorio de Windows. Según las imágenes publicadas por Malware Hunter Team, su origen estaría en Siria, país que lleva en guerra cinco años. Entre los mensajes mostrados por el ransomware nos encontramos una triste historia personal, seguida de una explicación indicando que la intención es utilizar el dinero recaudado para alimentos, medicamentos y refugio para los necesitados, que además viene acompañada de una disculpa anticipada. Sin embargo no tenemos ninguna prueba de que esto sea cierto, y en caso contrario, recaudar dinero de esta forma es totalmente incorrecto desde el punto de vista moral y legal.

Algunos aspectos técnicos a tener en cuenta de Popcorn Time

Ficheros asociados:

restore_your_files.html
restore_your_files.txt

popcorn_time.exe

Entradas del registro asociados:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Popcorn_Time" [path_to]\popcorn_time.exe

Comunicaciones de redes asociadas:


https://3hnuhydu4pd247qb.onion


http://popcorn-time-free.net

Hash del instalador:

SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51

15 de Noviembre del 2016

Publicado el boletín de seguridad Microsoft de diciembre 2016

Microsoft ha publicado el boletín de seguridad correspondiente a diciembre de 2016, en el cual se describe los principales fallos de seguridad corregidos en Windows y otros productos de la compañía de Redmond. En esta ocasión nos encontramos con 12 vulnerabilidades, de las cuales 6 han sido consideradas como críticas.

MS16-144: (Crítica) Actualización de Seguridad Acumulativa para Internet Explorer (3204059). Esta actualización de seguridad resuelve vulnerabilidades halladas en Internet Explorer. Las más severas de estas vulnerabilidades permitían la ejecución de código en remoto si un usuario visitaba una página web específicamente diseñada. El atacante que explotase con éxito las vulnerabilidades podía adquirir los permisos del usuario en ejecución, siendo los daños mayores en caso de utilizar un administrador, lo que daría al atacante la posibilidad de hasta modificar el sistema.

MS16-145: (Crítica) Actualización de Seguridad Acumulativa para Microsoft Edge (3204062). Esta actualización de seguridad resuelve vulnerabilidades halladas en Microsoft Edge. Las más severas de estas vulnerabilidades permitían la ejecución de código en remoto si un usuario visitaba una página web específicamente diseñada. El atacante que explotase con éxito las vulnerabilidades podía adquirir los permisos del usuario en ejecución, siendo los daños mayores en caso de utilizar un administrador, lo que daría al atacante la posibilidad de hasta modificar el sistema.

MS16-146: (Crítica) Actualización de seguridad para el componente de gráficos de Microsoft Windows (3204066). Esta actualización de seguridad resuelve vulnerabilidades halladas en Windows. Las más severas de estas vulnerabilidades podían permitir la ejecución de código en remoto si un usuario visita una web o documento específicamente diseñado. Los usuarios con menos privilegios en el sistema ejercerán un impacto menor sobre el sistema en caso de ser víctimas de un ataque.

MS16-147: (Crítica) Actualización de seguridad para Microsoft Uniscribe (3204063). Esta actualización de seguridad resuelve una vulnerabilidad hallada en Windows Uniscribe. Esta vulnerabilidad podía permitir la ejecución de código en remoto si un usuario visita un sitio web o un documento específica diseñado. Los usuarios con menos privilegios en el sistema ejercerán un impacto menor sobre el sistema en caso de ser víctimas de un ataque. MS16-148: (Crítica) Actualización de seguridad para Microsoft Office (3204068). Esta actualización de seguridad resuelve vulnerabilidades halladas en Microsoft Office. Las más severas de estas vulnerabilidades podían permitir la ejecución de código en remoto si un usuario usuario abre un fichero de Microsoft Office específicamente diseñado. El atacante que consiguiese explotar las vulnerabilidades con éxito podría ejecutar código arbitrario en el contexto del usuario en ejecución, por lo que el impacto será menor en caso de estar en ejecución un usuario con pocos privilegios sobre el sistema.

MS16-149: (Importante) Actualización de seguridad para Microsoft Windows (3205655). Esta actualización de seguridad resuelve vulnerabilidades halladas en Microsoft Windows. Las más severas de estas vulnerabilidades podían permitir una escalada de privilegios si un atacante autenticado de forma local ejecuta una aplicación específicamente diseñada. MS16-150: (Importante) Actualización de seguridad para el Modo Kernel Seguro (3205642). Esta actualización de seguridad resuelve una vulnerabilidad hallada en Microsoft Windows que permitía realizar una escalada de privilegios si un atacante autenticado a nivel local ejecuta una aplicación específicamente diseñada sobre el sistema objetivo. El atacante que explotase con éxito la vulnerabilidad podría violar los niveles de confianza virtual.

MS16-151: (Importante) Actualización de seguridad para los drivers en modo kernel de Windows (3205651). Esta actualización de seguridad resuelve vulnerabilidades halladas en Microsoft Windows que podían permitir la ejecución de una escalada de privilegios si un atacante accede a un sistema afectado y ejecuta una aplicación específicamente diseñada que podría explotar las vulnerabilidades y tomar el control del sistema afectado.MS16-152: (Importante) Actualización de seguridad para el kernel de Windows (3199709). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows que podía permitir una filtración de información cuando el kernel de Windows maneja de forma incorrecta objetos en memoria. MS16-153: (Importante) Actualización de seguridad para el controlador del sistema de archivos de registro común (3207328). Esta actualización de seguridad resuelve una vulnerabilidad hallada en Microsoft Windows que podía permitir una filtración de información cuando el controlador del Sistema de Archivos de Registro Común (CLFS) de Windows maneja objetos incorrectamente en la memoria. A través de un ataque a nivel local, un atacante podría explotar esta vulnerabilidad ejecutando una aplicación específicamente diseñada para saltarse las medidas de seguridad en un sistema afectado, pudiendo ir más allá en la explotación de la vulnerabilidad.

MS16-154: (Crítica) Actualización de seguridad para Adobe Flash Player (3209498). Esta actualización de seguridad resuelve vulnerabilidades halladas en Adobe Flash Player cuando es instalado en ediciones soportadas de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 y Windows Server 2016.

MS16-155: (Importante) Actualización de seguridad para el Framework .NET (3205640). Esta actualización de seguridad resuelve una vulnerabilidad hallada en el Framework .NET, concretamente en la versión 4.6.2 y en el componente de Suministrador de Datos para SQL Server. La vulnerabilidad de seguridad descubierta podía permitir a un atacante acceder a información protegida por la característica Always Encrypted.

16 de Diciembre el 2016

Desde Evernote tienen la intención ver las notas que almacenas

Evernote destapó ayer la caja de los truenos al anunciar sus intenciones de hacer uso del aprendizaje automático (machine learning) para mejorar su servicio de notas. El querer introducir esta tecnología puede sonar muy bien, sin embargo, todo se enturbia cuando como consecuencia hay un cambio en la política de privacidad que da permiso a los empleados de la compañía para ver lo que almacenan los usuarios.

Desde Evernote se justifican diciendo esto ayudará a ofrecer información relacionada mucho más relevante y ajustada a los intereses de los usuarios. Por otro lado, asegura que el proceso se haría de forma automática y sin intervención humana real a la hora de acceder a los contenidos de las notas, siendo la tarea encargada a unos algoritmos inteligentes que identificarían la información clave. Siendo honestos, actualmente hay muchos servicios y compañías que hacen uso de los datos que generan o recopilan sus usuarios, y no todo el mundo se opone a esta práctica. Sin embargo, lo suyo sería hacer que estos mecanismos fuesen voluntarios, ofreciendo siempre opciones accesibles para desactivar la característica relacionada. En Evernote los usuarios iban a poder desmarcar la casilla “Allow Evernote to use business data to improve my experience” (permitir a Evernote utilizar datos empresariales para mejorar mi experiencia) para inhabilitar la compartición de datos. El revuelo generado en torno a la nueva política de privacidad ha forzado a la compañía a dar marcha atrasde forma temporal tras programarla para el 23 de enero de 2017. Evernote buscará aplicar la característica desde una perspectiva menos agresiva para así aplacar las susceptibilidades.

21 de Diciembre del 2016

El sistema de entretenimiento de algunos aviones es muy fácil de hackear

Un hacker ha demostrado recientemente que los sistemas de entretenimiento instalado en los aviones de algunas aerolíneas son muy fáciles de hackear, y lo peor no es que se pueda manipular los contenidos multimedia disponibles, sino que también abren la puerta al robo de datos y poder controlar partes de un avión desde un simple PC.

Rubén Santamarta fue el empleado de IOActive que hackeó personalmente las pantallas del sistema de entretenimiento, pudiendo cambiar la información sobre la altitud y la localización, controlar las luces de la cabina y hackear el sistema de anuncios. El hacker avisa de que una serie de ataques encadenados “podría ser una experiencia inquietante para los usuarios, no creo que estos sistemas resistan ataques sólidos de actores maliciosos habilidosos. Esto solo depende de la determinación y las intenciones del atacante, pero desde la perspectiva técnica es totalmente realizable”. En resumidas cuentas, se puede deducir que el sistema de entretenimiento de algunos aviones y sobre todo las vulnerabilidades que contienen están totalmente expuestos y vendidos a lo que decidida hacer el atacante en ese momento.

Según los investigadores en seguridad de IOActive, se han encontrado serias vulnerabilidades en el sistemaPanasonic Avionics In-Flight Entertainment (IFE) utilizado por 13 de las mayores aerolíneas, entre las cuales están American Airlines, United, Virgin, Emirates, Etihad, Qatar, FinnAir, KLM, Iberia, Scandinavian, Air France, Singapore y Aerolíneas Argentinas. Los agujeros de seguridad permiten a un hacker manipular información relacionada con el vuelo, como mapas de rutas, estadísticas de velocidad, valores de altitud e incluso robar información de las tarjetas de crédito pertenecientes a los pasajeros.

Al parecer, Santamarta descubrió estas vulnerabilidades en marzo del año pasado y ha estado esperando durante casi dos años para ver si Panasonic tomaba cartas en el asunto tras reportárselas de forma privada. Sin embargo, después de ver que la empresa no había puesto en marcha, al menos aparentemente, medidas para solucionar los problemas, tomó la decisión de publicar las vulnerabilidades a través de demostraciones que han ido a parar a YouTube. El exponer las vulnerabilidades a todo el mundo ha forzado a las compañías a reaccionar y Emirates ya ha comunicado que está trabajando con Panasonic para resolverlas.

No es la primera vez que Rubén Santamarta pone en evidencia la seguridad informática de los aviones, ya queen 2014 consiguió hacer algo parecido a través de la conexión inalámbrica, hallando vulnerabilidades a través de ingeniería inversa.

Con todo lo dicho, lo más preocupante de este último caso es la aparente poca seriedad con la que se toman algunas compañías la seguridad informática dentro de los aviones.

26 del Diciembre del 2016

Fallo grave en PHPMailer compromete millones de web en todo el mundo

Se ha descubierto una vulnerabilidad crítica en PHPMailer, una de las bibliotecas Open Source de PHP más utilizadas para enviar emails y que es utilizada por millones de usuarios en todo el mundo.

PHP es la tecnología a nivel de servidor más popular de la web, habiéndose convertido en el puntal principal de muchos CMS populares como WordPress, Drupal, 1CRM, SugarCRM, Yii y Joomla. Por otro lado, todos esos gestores de contenidos incluyen PHPMailer para enviar correos electrónicos utilizando varios métodos, entre los que se encuentra el SMTP.

La vulnerabilidad ha sido descubierta por el investigador en seguridad polaco Dawid Golunski, de Legal Hackers, y se le ha asignado el código CVE-2016-10033. Según cuenta el investigador, un atacante podría ejecutar código arbitrario de forma remota en el contexto del servidor web y comprometer componentes de la aplicación web objetivo como los formularios de contacto y retroalimentación, formularios de registro, restablecimientos de contraseñas y otros mecanismos que terminen emitiendo correos electrónicos.

Por suerte los desarrolladores de PHPMailer han parcheado la vulnerabilidad nada más ser descubierta en la versión 5.2.18. Todas las versiones anteriores contienen la vulnerabilidad, por lo que se recomienda encarecidamente llevar a cabo el proceso de actualización de esta biblioteca de PHP.

28 de Enero de 2017

Un nuevo troyano para Linux convierte los dispositivos en servidores proxy

Recientemente se ha descubierto circulando por Internet un nuevo troyano para Linux que convierte los dispositivos que infecta en servidores proxy. Los atacantes podrían usar esos dispositivos secuestrados para lanzar ciberataques como los que afectaron a OVH el año pasado.

El troyano ha sido bautizado como Linux.Proxy.10 y su presencia fue alertada a finales del año pasado por los investigadores rusos de Doctor Web, que por otro lado identificaron miles de dispositivos comprometidos en estos últimos días como parte de una campaña todavía en marcha para cazar máquinas Linux.

Según los investigadores, el malware no incluye ningún módulo de explotación para hackear sistemas Linux. En su lugar, los atacantes están usando otros troyanos y técnicas para comprometer dispositivos, creando para ello una puerta trasera en el login de acceso que utiliza como nombre de usuario “mother” y de contraseña “fucker”.

Una vez se haya conseguido explotar la puerta trasera con éxito, el atacante obtiene una lista de todos las máquinas comprometidas, pudiendo acceder a estas mediante SSH e instalar el servidor proxy SOCKS5utilizando Linux.Proxy.10. Sin embargo, el malware no es para nada sofisticado el usar el código fuente deSatanic Socks Server para configurar un proxy.

Además, el mismo servidor utilizado por los ciberdelincuentes para distribuir Linux.Proxy.10 no solo contiene una lista de los dispositivos comprometidos, sino que también un panel de control de un agente espía que es en realidad un software de monitorización y un troyano spyware para Windows llamado BackDoor.TeamViewer.

Se recomienda tanto a administradores como a usuarios mejorar la seguridad de SSH limitando o desactivando el acceso como root (el administrador del sistemas de Linux), y en caso de haber sido infectado, observar los nuevos logins de usuario generados por el malware.

Fuente | The Hacker News

14 de Abril del 2017

Un troyano para Android hallado en la Play Store afecta a más de 420 bancos

El investigador en seguridad Niels Croese, de Securify B.V, ha descubierto una nueva variante de un troyano bancario para Android oculto bajo diferentes nombres en la Play Store, entre ellos la aplicación Funny Videos 2017.

Croese ha analizado la aplicación Funny Videos (vídeos divertidos en inglés), la cual tiene entre 1.000 y 5.000 instalaciones, descubriendo que actúa como cualquier otra de contenidos de vídeo en la Play Store, pero en segundo plano se dedica a ir contra las aplicaciones bancarias instaladas en los dispositivos Android.

El troyano bancario recientemente descubierto funciona como cualquier otro malware del mismo tipo, pero hay dos cosas que lo hacen algo diferente: su capacidad para apuntar contra las víctimas y el uso de la herramienta DexProtector para ofuscar el código de la aplicación.

El malware descubierto por Niels Croese ha recibido el nombre de BankBot, y tiene como objetivo a los clientes de más de 420 bancos de todo el mundo, incluyendo Citibank, ING, ABN, Rabobank, ASN, Regiobank, Binck y muchos otros, por lo que posiblemente el tuyo, en el cual eres cliente, también esté afectado.

18 de Abril del 2017

Existe competencia entre el malware dedicado a crear botnets apoyadas en el IoT

Hasta el día de hoy hemos informado mucho sobre Mirai, el troyano contra dispositivos IoT que ha sido utilizado para lanzar poderosos ataques DDoS a través de Internet. Su mayor logro hasta ahora ha sido tumbar una gran cantidad de sitios web relevantes cuando atacó las DNS de Dyn.

El poder destructivo del malware contra el IoT está más demostrado, lo que ha convertido a esta área en un lugar idóneo para generar competencia. Si con Mirai se puede crear grandes botnets para lanzar ataques DDoS con un nivel de tráfico récord, ¿por qué no puede haber otros malware que hagan lo mismo o parecido?

Sí, Mirai tiene competencia y hoy vamos a nombrar a uno de esos competidores, Hajime. Desde que fue descubierto por unos investigadores hace más de seis meses, se ha ido expandiendo para crear una botnet que ha infectado a unos 100.000 dispositivos alrededor de todo el mundo, según el investigador en seguridad Marshall Webb.

Las botnets, que no son más que redes de ordenadores esclavizados, pueden terminar siendo un gran problema por la posibilidad de ser utilizadas para lanzar potentes ataques DDoS mientras siguen expandiéndose para mantener y incrementar su peligrosidad.
Hajime fue descubierto en el mismo mes en el que Mirai fue utilizado contra las DNS de Dyn, cuando los investigadores de Rapidity Networks centraron su atención en el histórico ataque. Lo que descubrieron fue un malware de características similares a las de Mirai, pero que resultaba incluso más tenaz.

Al igual que Mirai, Hajime también escanea Internet en busca de dispositivos IoT con una pobre seguridad, abarcando sobre todo cámaras, DVR y routers. Para comprometer los dispositivos prueba diferentes combinaciones de nombres de usuario y contraseñas para luego transferir el programa malicioso y convertirlos en parte de la botnet. Sin embargo, Hajime no recibe órdenes de un servidor de mando y control como Mirai, sino que en su lugar se comunica a través de una red P2P (Pear-to-Pear) construida con los protocolos de BitTorrent, dando como resultado una botnet bastante más descentralizada. Según Webb, “Hajime es mucho, mucho más avanzado que Mirai.”

Las ISP han estado luchando para destruir las botnets creadas con Mirai a través del bloqueo del tráfico en Internet procedente de sus servidores de mando y control, situación que fue aprovechada por Hajime para crecer de forma notable, infectando incluso a dispositivos que previamente lo fueron por Mirai. La naturaleza P2P de Hajime hace que los dispositivos infectados puedan transmitir ficheros o instrucciones a través de toda la botnet, haciéndola más resistente a los esfuerzos por bloquear su tráfico.

2 comentarios:

INTELLIGENTWEB HACKERS6 de noviembre de 2019 a las 11:47
HOLA TODOS BUSCAN HACKERS GENUINOS Y PROFESIONALES, CONTACTENOS INTELLIGENTWEBHACKERS@GMAIL.COM Son un grupo de hackers profesionales con sede en EE. UU., TURQUÍA, INDIA Y EUROPA.
Son los mejores piratas informáticos y también desarrolladores de software para penetrar en todos los sitios web, todos los demás piratas informáticos se ponen en contacto con ellos para obtener el mejor software de algoritmo.
Sus servicios también están 100% garantizados con su software de penetración inaccesible.
Ofrecen los siguientes servicios;
- piratería ilegal de tarjetas
-Eliminación de puntaje de crédito anterior
- Universidad de intercambio de billetes
-Hack cuentas bancarias Procedimientos de delitos
-Facebook Hack
-Tweitters Hack
- cuentas de correo personal
-Grade Changes hack
- Política bloqueada en el sitio
servidor hackeado
-Skype Hack
-Datos Hack
-Word Press Blogs Hack
- Con dolores individuales
-Controlar dispositivos de forma remota
-Quemador de números de quemador
- Cuentas de PayPal verificadas pirata
- Cualquier cuenta de red social que hagas
-Auto y iPhone Hackear mensajes de texto interceptar texto
- Atrapamiento en el correo
- tarjeta de crédito para transacciones en línea gratuitas Tarjeta de crédito y tarjeta de crédito Atm en blanco -Ip intracerable etc. Contacte INTELLIGENTWEBHACKERS@GMAIL.COM
NOTA, son la solución a todos sus problemas de piratería.
ResponderEliminar
Respuestas
INTELLIGENTWEB HACKERS11 de noviembre de 2019 a las 6:46
Está conectado como control de acceso a Internet en todo el mundo, como hackers profesionales con claves de reputación profesional, y no tiene un software diseñado para rastrear todos los tipos de corfuegos que se describen para evitar el acceso a terceros, una excelente ayuda a los ciudadanos y políticos en diferentes países que tienen datos listados para servir a los clientes, como INTELLIGENTWEBHACKERS@GMAIL.COM
También enseña a las personas a hacer su trabajo a veces, dependiendo de la naturalidad del trabajo.
Sus servicios son:
_Aumenta los descriptores, los me gusta y las vistas de YouTube, así como los seguidores de Instagram
-La multiplicación de dinero en cuenta.
-Bitcoin cargo, Etherium y toda la información encriptada.
- Tarjeta de crédito y tarjeta de crédito en blanco ilimitada por 2 años
-Cargos bancarios
-Ajuste la mala gestión.
- Sitios de seguimiento de víctimas
- Tenemos crédito de cuota con una tarjeta de crédito no costosa.
-SPYWARE PARA TODAS LAS MEDIAS SOCIALES CONVERSACIONALES
-Western Union MTCN y Moneygram Hackers
-Tarjeta de ajuste templario
- Eliminación de la antigua tarjeta de crédito.
-Cambio de intercambios universitarios.
-Borrar registra penalizaciones
-Fack de Facebook
-Twitters piratear
ellos cuento mail
-Grades exchange hack
-El sitio web se estrelló
-server irrumpió en hack
-Skype Hack
- Hackear bases de datos
-Word Press Blogs Cut
-Las computadoras hackean individuales.
-Control de dispositivos de forma remota piratear.
Hack Hack Numbers
-Cuentas de hack de pago verificadas
-Cualquier hacker de las redes sociales cuenta
-Android y iPhone Hack
- Texto de intercepción de mensajes de texto.
- interceptación de piratería
- Tarjeta de crédito para transacciones en línea gratuitas.
-Ip rastreable etc.
contactos de correo electrónico: INTELLIGENTWEBHACKERS@GMAIL.COM
para obtener una respuesta rápida ... ... nunca puede capturar un nano de sus servicios
ResponderEliminar
Respuestas

Añadir comentario

Páginas

Noticias

Respuesta De EE.UU al pirateo de Rusia tendrá "Máximo impacto":

Una de las últimas vulnerabilidades de Windows estaba siendo explotada

"Si esperamos para subirnos al tren de la digitalización, lo vamos a perder"

La vulnerable infraestructura de internet

Los Productos Tecnológicos que pagan facturas a Apple

¿Cuál es el nivel de vulnerabilidad de Android ante este ataque de rowhammer?

¿Cómo realiza Drammer el ataque?

Un error que no se corregirá con rapidez

¿Cómo funciona Drammer?

MacOS Sierra

Safari

¿Cómo los grandes de Internet fueron golpeados el viernes 21 de octubre?

ESET lanza una nueva línea de productos de seguridad

Adobe lanza un parche de emergencia para Flash Player

NUEVA HERRAMIENTA DETECTA WEB MALICIOSAS ANTES DE QUE CAUSEN DAÑOS

TODO LO QUE DEBES SABER SOBRE LOS AJUSTES DE SEGURIDAD DE FACEBOOK

¿QUÉ SIGNIFICAN TODOS ESTOS AJUSTES?

OTRAS DOS OPCIONES ÚTILES

MULTIVPN: UN SENCILLO SCRIPT QUE USA OPENVPN PARA LEVANTAR TÚNELES

COLAPSAN LA CENTRALITA DE EMERGENCIAS HACKEANDO VARIOS IPHONE CON UN TWEET

UN ENLACE DE TWITTER, EL DESENCADENANTE DEL HACKEO DE VARIOS IPHONE

VERSIONES DEL KERNEL LINUX AFECTADAS

APRENDIENDO CON EL MALWARE DEL WP- LOGIN DE WORDPRESS

LOGIN BYPASS EN WORDPRESS

MEJOR QUE ADMINS FALSOS

CÓDIGO CON BUG

SECUESTRANDO EL LOGIN FORM

APRENDIENDO CON EL MALWARE

MALWARE FANTASMA, TROYANO MALICIOSO QUE AMENAZA LA SEGURIDAD MÓVIL

MALWARE FANTASMA, TROYANO MALICIOSO QUE AMENAZA LA SEGURIDAD MÓVIL

Conocimiento pertenece al mundo

300.000 dispositivos Android hackeados por una vulnerabilidad Chrome

Cinco malos hábitos que amenazan tu seguridad online

Las ciberamenazas serán más inteligentes, autónomas y complejas de detectar que nunca

Una campaña de spam en Facebook está esparciendo el ransomware Locky

¡Cuidado! Tus auriculares también pueden ser usados para espiar

Cómo funciona el malware que hace escupir dinero

29 de Noviembre el 2016

Un ransomware la lía en el metro de San Francisco permitiendo viajes gratis

Una actualización de Windows 10 facilita el hackeo del sistema

Windows sigue siendo el principal objetivo del malware con diferencia

Windows

HyperDrive: el dispositivo que le añade todo lo que le falta a la MacBook Pro

Roban 85 millones de cuentas en Dailymotion¡Cambia tu contraseña!

Roban 85 millones de cuentas en Dailymotion¡Cambia tu contraseña!

Rusia castigará con 10 años de prisión a los creadores de malware

Cómo mejorar la seguridad de tu correo Gmail

Utiliza el modo incognito

Ya está disponible Sandboxed Tor Browser 0.0.2, más seguridad para navegar por Tor

Un nuevo ransomware permite descifrar a cambio de infectar a otros usuarios

Algunos aspectos técnicos a tener en cuenta de Popcorn Time

Publicado el boletín de seguridad Microsoft de diciembre 2016

16 de Diciembre el 2016

Desde Evernote tienen la intención ver las notas que almacenas

Fallo grave en PHPMailer compromete millones de web en todo el mundo

Un nuevo troyano para Linux convierte los dispositivos en servidores proxy

Un troyano para Android hallado en la Play Store afecta a más de 420 bancos

Existe competencia entre el malware dedicado a crear botnets apoyadas en el IoT

2 comentarios:

Roban 85 millones de cuentas en Dailymotion
¡Cambia tu contraseña!

Roban 85 millones de cuentas en Dailymotion
¡Cambia tu contraseña!