Inicio Blog

InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia

0

InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.

Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.

Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.

El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia “secuestrando” una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe’, ‘explorer.exe’ o ‘svchost.exe’. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas.

Los dos módulos ejecutados por el malware: ‘RC2FM’ y ‘RC2CL’ cumplen diferentes propósitos:

RC2FM

Introduce una puerta trasera que implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios en el sistema. Este módulo se comunica con el servidor de C&C que se encontraba hardcodeado en las muestras analizadas por el equipo de ESET.

Listado de los comandos implementados (ID, descripción)

0 Muestra información sobre los discos, ficheros y directorios y carpetas compartidas.
2 Operaciones de creación, modificación y borrado de ficheros y directorios.
4 Abre un fichero y posiciona el puntero de fichero al inicio.
5 Cierra un fichero abierto anteriormente.
6 Escribe un fichero abierto anteriormente.
7 Cambia la fecha del fichero.
8 Posiciona el puntero de fichero al final.
10 Modifica la fecha del fichero/Elimina el fichero
12 Busca ficheros especificando una máscara de búsqueda.
13 Toma una captura de pantalla.
14 Sube o modifica algún fichero con datos internos.
15 Graba el sonido de los dispositivos de audio disponibles.
16 Comprueba si hay algún fichero abierto.
17 Actualiza la lista de servidores de C&C
19 Crea, modifica o elimina el registro.

RC2CL

Este módulo también introduce otra puerta trasera que permite al operador del malware recopilar toda la información posible sobre la víctima, desde información sobre el sistema hasta listados de procesos activos, servicios en ejecución, drivers disponibles, información sobre la red, etc. No sólo eso, el malware permite deshabilitar el control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin tener permisos de administrador. Tomar capturas de la webcam o grabaciones desde el micrófono.

Para evitar ser detectado, el malware cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.

Algunos IOCs:

SHA1- 5EE6E0410052029EAFA10D1669AE3AA04B508BF9
SHA1- 2FCC87AB226F4A1CC713B13A12421468C82CD586
SHA1- B6BA65A48FFEB800C29822265190B8EAEA3935B1
SHA1- C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
SHA1- A5A20BC333F22FD89C34A532680173CBCD287FF8

Dos vulnerabilidades zero-day permiten atacar Windows mediante Adobe Reader

0

Además de Flash, otro producto de Adobe que generalmente se encuentra instalado en los ordenadores es Adobe Reader, el conocido lector de documentos. Hace poco los investigadores de ESET descubrieron dos vulnerabilidades zero-day, una en la mencionada aplicación y otra en el sistema operativo Windows, que combinadas puede terminar siendo un arma peligrosa en manos de los atacantes.

La vulnerabilidad que afecta a Adobe Reader (CVE-2018-4990) es una ejecución de código en remoto, mientras que la de Windows (CVE-2018-8120) es una escalada de privilegios que se ejecuta en el espacio del kernel. Esto abre la puerta a ejecutar código arbitrario con altos privilegios sobre un sistema vulnerable, sin que se requiera de un elevado nivel del interacción por parte del usuario. Las Ameanzas Persistentes Avanzadas suelen apoyarse bastante en este tipo de combinaciones para llevar a cabo campañas que llegan a tener un gran impacto.

Para explotarlas solo se necesita de un fichero PDF malicioso con JavaScript embebido, aunque este también tiene que saltarse un mecanismo de aislamiento (sandbox) incorporado en Adobe Reader llamado Protected Mode. Esta medida de protección dificulta la explotación de vulnerabilidad en la propia aplicación, y la forma más efectiva de saltársela es apoyándose en otro fallo de seguridad localizando en el sistema operativo que está ejecutando Adobe Reader.

Nada más abrir el PDF malicioso, el JavaScript que contiene entra en ejecución para manipular el objeto Button1, que contiene una imagen JPEG2000 específicamente diseñada para explotar las dos vulnerabilidades. Los atacantes han implementado técnicas de pulverización para corromper las estructuras internas de datos y así poder leer y escribir en el acceso a la memoria. Luego los atacantes localizan la dirección de memoria en la que se encuentra en plugin Escrip.api, que es el motor de JavaScript propio de Adobe Reader. El JavaScript malicioso establece una cadena de instrucciones de ensamblaje que podría llevar a la ejecución código de shell nativo.

La vulnerabilidad de Windows es utilizada para romper el aislamiento de Adobe Reader. Concretamente, se encuentra en la función NtUserSetImeInfoEx de win32k, que es un componte del kernel de Windows. Lo que hay que hacer para llevar a cabo el ataque es que la subrutina SetImeInfoEx de NtUserSetImeInfoEx no valide ningún puntero de datos, permitiendo así punteros de desreferencia NULL. Por lo tanto mapeando una página NULL y estableciendo un puntero a offset 0x2C, un atacante puede apoyarse en la vulnerabilidad para escribir en una dirección de memoria arbitraria en el espacio del kernel. Sin embargo, es importante tener en cuenta que desde Windows 8 los usuarios no pueden mapear una página NULL.

La lista de productos afectados es la siguiente:

Acrobat DC (versión 2018.011.20038 y anteriores)
Acrobat Reader DC (versión 2018.011.20038 y anteriores)
Acrobat 2017 (versión 011.30079 y anteriores)
Acrobat Reader DC 2017 (versión 2017.011.30079 y anteriores)
Acrobat DC (Classic 2015) (versión 2015.006.30417 y anteriores)
Acrobat Reader DC (Classic 2015) versión (2015.006.30417 y anteriores)
Windows 7 para 32-bit Service Pack 1
Windows 7 para x64 Systems Service Pack 1
Windows Server 2008 para 32-bit Service Pack 2
Windows Server 2008 para sistemas basados en Itanium Service Pack 2
Windows Server 2008 para x64 Service Pack 2
Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1

Consejos para evitar ser víctima de estafas durante el Mundial de Rusia

0

Como muchas veces sucede, los cibercriminales aprovechan la ocasión cuando se aproximan eventos masivos, como la Copa del Mundo de la FIFA Rusia 2018, para desarrollar campañas de engaño a través de la web o para estafar a los extranjeros que tienen pensado visitar el país para disfrutar del espectáculo deportivo. Para estos últimos, engaños relacionados con la compra de entradas baratas, paquetes que incluyen alojamiento o vuelos hacia las ciudades que son sede, solo por nombrar algunas, suelen ser las elegidas por los cibercriminales para desarrollar campañas de ingeniería social a través del correo electrónico o las redes sociales.

Como suele ocurrir, cuando al usuario le llega un mensaje que habla de una oportunidad que despierta su interés, es común que pinche en un enlace que redirija en una página de phishing que intentará simular ser de un sitio oficial. Ante esta situación, la víctima accederá a ingresar sus datos personales para pagar y que le envíen sus “entradas”, mientras que los cibercriminales obtendrán los detalles de su tarjeta de crédito y atacarán su cuenta bancaria.
Páginas falsas que simulan ser de entidades oficiales relacionadas con el evento

En este sentido, los estafadores intentarán replicar páginas de la entidad organizadora, que este caso es FIFA, así como también de patrocinadores, como pueden ser Visa, Adidas o Coca-Cola, para enviar mensajes de felicitaciones por haber tenido la “suerte” de haber ganado un par de entradas, pasajes de avión o algo similar para disfrutar del mundial. Así, solicitarán tus datos personales o te pedirán que efectúes un pago para que puedan hacerte llegar el beneficio.

Nunca asumas que un sitio es legítimo solo porque su dirección aparenta tener un certificado de seguridad (HTTPS), ya que varios sitios fraudulentos utilizan HTTPS en sus direcciones. De forma similar, el mero hecho de que un sitio aparezca en los resultados de una búsqueda en Google no quiere decir que sea genuino, ya que los cibercriminales pueden promover sus sitios mediante estrategias de blackhat SEO o por intermedio de anuncios pagos en los motores de búsqueda.
Mensajes fraudulentos con contenido de interés

Incluso si no tienes intenciones de viajar a Rusia puedes recibir un correo o un mensaje a través de las redes sociales que contenga archivos adjuntos o enlaces maliciosos escondidos detrás de un supuesto juego, aplicación, videos con noticias acerca de algunos jugadores u otro tipo de contenido. Y será así que mediante la “ayuda” de un malware como puede ser un Troyano bancario implantado en tu computadora o teléfono luego de que pinches en el contenido enviado, que los atacantes robarán los datos de tu cuenta bancaria.

La recomendación en este punto es ser inteligentes para reconocer mensajes de phishing. Esto quiere decir desconfiar de esas ofertas que son demasiado buenas y que además solicitan información personal como nuestros datos o los de nuestra tarjeta de crédito. Recordar que organizaciones legítimas, como un banco, nunca solicitarán por correo electrónico tal información. La misma recomendación corre para campañas que ofrecen un premio a cambio de que realices un pago, ya que una verdadera campaña de este tipo nunca solicitará que pagues para que hacerte llegar un premio.

Por otra parte, utiliza medios confiables para informarte sobre las últimas novedades de los jugadores y los partidos.
Entradas, Credenciales de acceso o Visas

Otras estafas pueden centrarse en visas de viaje o las credenciales de acceso obligatorias para ingresar a ver un partido (FAN ID) que solicitan las autoridades del país organizador, además de la entrada. Además, mediante el uso de sitios u ofertas falsas los estafadores intentarán venderte merchandising o enviarte regalos falsos.

Para que tengas en cuenta a modo de recomendación, la Federación Internacional de Futbol Asociado (FIFA) emitió un comunicado en abril en el que advierte a quienes tienen pensado viajar a Rusia que las entradas para los partidos están disponibles únicamente en su sitio web, mientras que los paquetes de hospedaje que incluyen entradas están disponibles solamente a través de empresas designadas y sus respectivos agentes de venta.

En este sentido, varios sitios que ofrecían entradas fueron removidos, aunque es probable que no se haya eliminado todos. La misma advertencia corre para las ofertas de entrada que puedan encontrarse en cuentas de redes sociales legítimas. Por lo tanto, quien compre entradas en cualquier otro lugar que no sea una fuente oficial, tiene muchas chances de que su ingreso al estadio sea denegado.

En caso de necesitar tramitar una Visa para ingresar al país anfitrión, comunícate con la embajada de Rusia en tu país en primer lugar.
Plataformas de streaming para ver los partidos gratis

También puede llegarte una oferta para que veas los partidos de forma gratuita en una plataforma de streaming maliciosa (o legítima pero infectada por cibercriminales), donde lo único que se solicitará a la víctima será que descargue un complemento o que realice una actualización de su navegador o de un complemento ya instalado (como puede ser Flash Player) y que sin querer termine comprometiendo tu máquina con un malware o programa malicioso como adware, o instalando un navegador web malicioso.

Para evitar comprometer tu dispositivo, lo mejor es que tengas una solución de seguridad instalada en tu dispositivo. Por otra parte, evita caer en la tentación de descargar cualquier complemento que sea requerido para ver el partido.
Redes Wi-Fi públicas

Los atacantes también pueden acceder a tus datos personales cuando te conectas a una red Wi-Fi pública. Pueden configurar un punto de acceso benigno y nombrarlo “Free Wi-Fi” y utilizarlo como señuelo. Incluso las redes de Wi-Fí publicas legítimas no son seguras a menos que cuenten con algún tipo de seguridad. Los ataques mediante puntos de acceso son los típicos ataques de hombre en el medio, donde un atacante tiene la posibilidad de interceptar tus datos a medida que viajan.

En caso de que viajes a Rusia y quieras conectarte a una red pública, un consejo es que navegues a través de una red privada virtual (VPN). Esta herramienta tiene un mecanismo de seguridad llamado Internet Kill Switch, el cual no te permitirá conectarte a la red Wi-Fi si la VPN tampoco puede hacerlo. Por otra parte, cuando estés conectado a una red pública, evita ingresar a la aplicación de tu banco o a cualquier sitio que pueda contener información personal.
Estafas ATM y clonación de tarjetas

Otro tipo de amenaza que afecta a los turistas se trata de las estafas en los cajeros automáticos (ATM, por sus siglas en inglés). Recientemente las autoridades rusas emitieron una advertencia por la existencia de estafadores que compran cajeros automáticos fuera de circulación para reacondicionarlos y utilizarlos para engañar a los turistas que llegan para la Copa del Mundo.

Esto además de la estafa común que ocurre con los cajeros automáticos, donde los cibercriminales extraen la información de la tarjeta mediante la utilización de otras herramientas, como cámaras ocultas.

En cuanto al uso de cajeros automáticos, para no caer en la estafa que circula en el país organizador, una simple precaución es utilizar cajeros ubicados en zonas de mucho movimiento. Asimismo, siempre presta atención a cualquier cosa sospechosa que te haga pensar que la máquina dispensadora fue manipulada.
Aplicaciones de encuentro

En caso de viajar, ten cuidado si vas a utilizar aplicaciones para conocer personas, como Tinder o Happn. Hay quienes crean perfiles falsos y cuando conoces a la persona puedes terminar pasando un mal momento. Si bien apps como Tinder intentan prevenir este tipo de inconvenientes al asociar el perfil de los usuarios con sus cuentas de Facebook o Instagram, sucede que los estafadores también crean perfiles falsos en estas redes sociales. Si bien puede resultar difícil reconocer cuándo alguien del otro lado de la aplicación pretenderá engañarnos, evita encontrarte de manera inmediata.
Apps para traducir

Si viajas a la Copa del Mundo y piensas descargar una aplicación para traducir, asegúrate elegir apps confiables. Para ello utiliza las tiendas oficiales como Google Play o App Store y verifica los comentarios de los usuarios y la calificación que tiene. Asimismo, revisa los permisos que solicita la aplicación, ya que puede suceder que pida accesos innecesarios, como tu ubicación. Para más información sobre qué precauciones tomar a la hora de revisar los permisos que otorgas a una aplicación te invitamos a leer el artículo ¿Con qué permisos de aplicaciones deberías tener cuidado?
Protege tu privacidad

Evita tomar fotos de tu pasaporte, pasaje o entradas en caso de que viajes a Rusia. Muchas veces aparecen datos nuestros que pueden ser utilizados de forma malintencionada. Asimismo, evita anunciar en redes sociales que te fuiste para evitar que intenten robarte. Asegúrate también de revisar la configuración de ubicación en tus cuentas de redes sociales.
Advertencias que emitió la FIFA

En la medida que nos aproximamos a la Copa del Mundo, los atacantes intentarán aprovecharse de la fiebre mundialista. Así que cualquier noticia relevante vinculada con el mundial de Rusia 2018 o los jugadores será utilizada para intentar que potenciales víctimas pinchen en un enlace malicioso o descarguen un archivo adjunto de la misma naturaleza. Por lo tanto, nunca sucumbas ante la tentación si el mensaje que nos llega proviene de un remitente desconocido.

Protege los datos de tu iPhone siguiendo estos 7 consejos

0

El caso de San Bernardino ha sido una fuente, al menos de cara a algunos perfiles de usuario, de buena publicidad para Apple, ya que la compañía ha podido dar una imagen de proteger fuertemente la privacidad. Aprovechando la ocasión, también hizo hincapié en que “los usuarios no son el producto” cuando se destapó el escándalo de Cambridge Analytica, que dejó la imagen de Facebook bastante tocada.

Sin embargo, la buena imagen que tiene Apple a nivel de privacidad puede terminar haciendo que sus usuarios se confíen. Una buena privacidad no solo la ofrece el producto o servicio en sí, sino que esta tiene que ser reforzada por buenas prácticas por parte del usuario final. En MuySeguridad nos hacemos eco de las recomendaciones de Malwarebytes sobre cómo proteger los dispositivos iOS (con especial mención a los iPhones).
Utilizar una una frase de contraseña larga

La mayoría de los usuarios de iOS utilizan un PIN de 4 dígitos, aunque posiblemente sería mejor utilizar uno de 6 para reforzar la protección de los datos. Además de esto, se puede establecer un bloqueo definitivo si se falla un número de intentos, algo que puede venir muy bien en casos de robo o de intentos de acceso indebido.

El problema de utilizar un PIN de 4 dígitos es que solo hay 10.000 combinacionales posibles, por lo que en 10 intentos un atacante tendría un 0,1% de posibilidades de acertar. Aunque no es un porcentaje elevado, se trata de una probabilidad relativamente alta para este tipo situaciones, así que sería mejor utilizar un PIN de 6 dígitos para bajarlo. Pero aquí no solo hay que tener en cuenta la configuración del sistema operativo, ya que a lo largo del tiempo han aparecido dispositivos capaces de averiguar pines saltándose los límites de intentos, debido a que se han aprovechado de vulnerabilidades de hardware o software, como el dispositivo GrayKey.

Por eso es muy recomendable no usar el PIN y utilizar en su lugar una contraseña compuesta por una frase larga y alfanumérica. Además de letras y números, también sería recomendable utilizar caracteres especiales para dar más fuerza a la contraseña. En iOS, la contraseña se establece mediante Ajustes > Touch ID y código. Como alternativa, se puede utilizar Touch ID y Face ID para reconocimiento biométrico, pero estos son cuestionados por muchos debido a que Face ID muestra carencias y la huella digital puede ser replicada de la forma más sencilla posible al estar en el dispositivo tocado por el usaurio.
Reforzar la cuenta de Apple ID con una autenticación en dos factores

La autenticación en dos factores es algo que en MuySeguridad recomendamos encarecidamente para reforzar, al menos, las principales cuentas que manejan los usuarios e incluso los propios gestores de contraseñas, herramientas cuya utilización sería muy recomendable en caso de utilizar una gran cantidad de cuentas a lo largo y ancho de Internet, algo muy común en estos tiempos a pesar de que muchos sitios web soportan el acceso mediante otros servicios como Facebook y Google.

La cuenta de Apple ID está vinculada a cada dispositivo de Apple que utilice el mismo usuario, por lo que reforzar su seguridad con la autenticación en dos factores resulta crítico para evitar, en lo máximo posible, problemas derivados de acceso no autorizados a los datos.
Mantener actualizado todo el software

No tener al día el software es un gran riesgo para el usuario. En su momento se descubrió que WannaCry se aprovechó de una vulnerabilidad en el protocolo SMB que estaba parcheada en Windows, pero muchos mantenedores de sistemas no aplicaron el parche con diligencia, permitiendo así que la campaña tras el malware tuviera mucho éxito.

Tener actualizados tanto las aplicaciones como el sistema operativo resulta critico para obtener la máxima protección, debido a que las vulnerabilidades no parcheadas son algo que los atacantes aprovechan con frecuencia. Sin embargo, ni eso otorga la invencibilidad, ya que por ejemplo GrayKey explota vulnerabilidades y problemas de seguridad aún desconocidos. Obviamente, Apple combate para averiguar los orígenes de las cosas que permiten la ejecución de GrayKey, pero mientras tanto los usuarios seguirán desprotegidos contra esta herramienta.

A esto hay que sumar que cada vez que Apple parchea una vulnerabilidad publica información en sus notas de lanzamiento, proporcionando así información a los atacantes para que puedan ir contra sistemas sin actualizar.
Utilizar un servicio de VPN en las Wi-Fi públicas

Las Wi-Fi públicas son todo un peligro para los usuarios. El hecho de que las transmisiones no estén cifradas y utilicen canales no confiables se convierte en toda una tentación para los hackers, que suelen estar pendientes para poder hacerse con datos comprometedores, mejor si les pueden reportar ingresos de forma directa, como la autentiación para acceder a las cuentas bancarias.

Es mejor tirar de la tarifa plana de datos antes que conectarse a una Wi-Fi pública, pero en caso de que eso no pueda ser posible, lo recomendable es utilizar un servicio de VPN que se encargue de cifrar los datos transmitidos y así evitar que caigan en menos de los ciberdelincuentes.

Sin embargo, no cualquier servicio de VPN vale, ya que muchos en realidad no son confiables, y en caso de ser gratuito, el usuario tiene muchas opciones de ser el verdadero producto, por lo que su privacidad puede terminar comprometida igualmente. Además de elegir un buen servicio de VPN, es importante asegurarse de que su compatibilidad con iOS es buena.

Parece que WPA3 ofrecerá una solución para reforzar la seguridad de las Wi-Fi públicas, pero mientras esta versión del protocolo no esté extendida, lo recomendable es tomar precauciones en el orden que hemos expuesto: primero tirar de la tarifa plana de datos y si no se puede, usar un servicio de VPN confiable.
Usar cifrado adicional

Utilizar un gestor de contraseñas puede ser una buena idea para reforzar la seguridad de las contraseñas. Además de la protección ofrecida por el dispositivo o la cuenta de iCloud, también hay que contar con la caja fuerte del gestor de contraseñas, por lo que se añade una barrera más a la hora de proteger las credenciales del usuario.

En nuestro especial sobre qué es un gestor de contraseñas se pueden ver las soluciones más populares en ese segmento, aunque aquí es importante también tener en cuenta la compatibilidad con iOS. Por otro lado, la aplicación Notas permite crear notas cifradas que pueden ser protegidas con contraseñas, recomendándose usar una contraseña distinta por cada nota. Otra cosa recomendable sería utilizar cifrado en los respaldos de los dispositivos alojados en iTunes con una contraseña única.
Comprobar periódicamente los ajustes de privacidad

En los dispositivos móviles las aplicaciones piden una gran cantidad de permisos para poder acceder a los datos a alojados, al micrófono, la localización y las cámaras. Sería recomendable de vez en cuando supervisar la sección de Privacidad en los Ajustes de iOS para ver si se le ha concedido a alguna aplicación un permiso que en realidad no necesita, como por ejemplo revocar a una aplicación de red social el acceso a las fotos almacenadas.
Estar atento a las estafas

Como ya dijimos al principio, que el iPhone tenga buena reputación en materia de privacidad no vuelve invencible de por sí, y si el usuario no tiene cuidado con los lugares en los que se mete, igualmente puede llevarse un buen disgusto.

Una cosa de la que hay que estar pendientes son las estafas, que pueden llegar mediante llamadas o mensajes de remitentes desconocidos. Obviamente, en esas situaciones sobra decir que lo mejor es cortar la comunicación cuanto antes y no enviar ningún tipo de mensaje o dato, más si son sensibles. También es importante estar atentos a los enlaces que llegan a través de los mensajes. En caso de que el emisor no sea una persona de confianza, lo mejor es no hacer clic sobre él, ya que podría ser una estafa que podría llevar al robo de datos, sobre todo dirigiendo al usuario a sitios web de phishing.

Una buena práctica aquí sería, en lugar de pulsar sobre los enlaces, abrir el navegador web que se esté usando iOS, escribir la URL del sitio web y luego navegar hasta donde se ha indicado en el mensaje recibido.
La seguridad es algo que siempre depende del usuario

Aunque haya muchas herramientas que ayudan en aspectos como la privacidad y la seguridad, las buenas prácticas por parte del usuario siguen siendo una parte fundamental para garantizar la confidencialidad de los datos.

iOS podrá ofrecer un buen marco para proteger la privacidad, pero si el usuario es descuidado de poco servirá eso, cosa que ya se vio en el caso de las cuentas de iCloud de los famosos que fueron comprometidas en 2014.

Capsule8 es una plataforma de detección de amenazas zero-day para Linux

0

Linux tiene fama de ser seguro, pero eso no quiere decir que de por sí sea un núcleo (o un sistema si se combina con GNU o Android) invencible y carente de vulnerabilidades, y viendo como cada vez se descubren problemas más complejos y difíciles de combatir, se hace necesaria la utilización de herramientas que detecten las amenazas incluso antes de su publicación.

Con el fin de evitar los peligros todavía por descubrir en Linux, la startup Capsule8 publicó el pasado 11 de abril de 2018 la versión 1.0 de su plataforma de detección de amenazas zero-day, una meta que ha sido alcanzada después de un año de desarrollo. Su objetivo es ayudar a la seguridad a escala en tiempo real de las cargas de trabajo de Linux, estén contenedorizadas o no, frente a las amenazas zero-day, entre ellas los ataques de tipo canal lateral como Meltdown y Spectre.

Capsule8 fue fundado en febrero de 2017 y consiguió recaudar 8,5 millones de dólares de fondos de riesgo. Según John Viega, uno de los cofundadores, la detección de amenazas zero-day de Capsule8 implica tener una señal muy alta a una relación de ruido muy baja para poner en evidencia la explotación de las vulnerabilidades en entornos de producción. En lugar de escanear para hallar las que ya están descubiertas con su código CVE, lo que hace esta plataforma es buscar señales sobre procesos de explotación de vulnerabilidades zero-day.

Esta forma de trabajar con las amenazas ha recibido el nombre de “minas terrestres del kernel”, que básicamente son disparadores colocados en áreas asociadas a procesos que normalmente no deberían interaccionar con otros regulares autorizados y las aplicaciones en uso. No se trata de una técnica de engaño, las cuales usan falsas flags que los hackers podrían seguir en un intento de engañarlas para que sigan un camino y así contenerlas.

Con un panorama de las amenazas cada vez más complejo, herramientas como Capsule8 podrían ser útiles para evitar grandes daños en los entornos corporativos.

WPA3 el nuevo cifrado para redes WIFI

0

Después de la falla encontrada en Octubre del 2017 llamada Key Reinstallation AttaCK o KRACK, que le permite a los atacantes poder sniffear el tráfico entre los dispositivos y el router o Access point, muchos fabricantes lanzaron un parche que arreglaba esta falla, pero aun así la imagen del WPA2 quedó dañada y por eso es que han sacado este nuevo cifrado llamado WPA3

Si retrocedemos un poco en la historia, uno de los primeros cifrados fue el WEP, el cual podía romperse con facilidad por medio de la captura de paquetes interceptados en el aire. Tras esta falla de seguridad, se creó el protocolo WPA (Wi-Fi Protected Access) y posteriormente apareció WPA2 con mejoras en el cifrado e implementaciones como el AES (Advanced Encryption Standard) que cuenta con los 48 bits de cifrados heredados del WPA sumados los 128 bits del nuevo protocolo, lo cual lo volvía muy seguro, pero con las fallas recientemente conocidas, es posible vulnerarlo.

A continuación un detalle de los ataque que se pueden realizar a cada uno de los cifrados

WEP

ARP Request Replay Attack
Chop-Chop
Fragmentación
Caffe-latte
P0841 attack
Passive capture

WPA

Brute Force (Diccionario / Combinación de caracteres)
Evil Twin Attack
KRACK

WPA con WPS

Pin brute force

Cambios que trae WPA3

Este nuevo cifrado tendrá 4 nuevas características y ofrecerán una protección más robusta a usuarios finales como a empresas.

Estas cuatro características son:

Permitiran al usuario elegir sus propias contraseñas aunque estas no sean seguras
Simplificará el proceso de configuración
Ayudará a fortalecer la privacidad de los usuarios en redes abiertas, cifrando datos individualizado
Tendrá una suite de seguridad de 192 bits

Vulnerabilidad en Microsoft Outlook pone en riesgo tu contraseña de Windows

0

Microsoft Outlook es uno de los clientes de correo electrónico más populares de la actualidad, y el hecho de que esté incorporado junto al resto de herramientas de Office, da la posibilidad a los usuarios de acceder de forma más rápida a la información de sus correos. Asimismo, esta plataforma nos permite consultar cualquier cuenta de correo electrónico, incluso la del propio Gmail.

Sin embargo, las medidas de seguridad con la que cuentan los clientes de correo electrónico no siempre son suficientes y, ahora, un experto en seguridad informática del CERT ha revelado detalles sobre una vulnerabilidad importante en Microsoft Outlook, que al ser aprovechada de forma correcta, puede permitir robar con facilidad nuestra contraseña de Windows.

El error de seguridad, con el nombre CVE-2018-0950, fue descubierto y notificado a la compañía de Redmond hace más de un año. En este sentido, este fallo permitiría a un hacker hacerse con datos sensibles del sistema operativo, como las contraseñas. Solo basta con convencer a los usuarios de abrir la ‘vista previa’ de un correo enviado a su bandeja de Outlook, que incluye un enlace malicioso.

El investigador de seguridad ha dicho que este error puede deberse a la manera en la que Microsoft Outlook procesa los datos OLE que se muestran externamente cuando previsualizamos un correo RTF, debido a que de esta forma se da inicio a una conexión SMB. Así, el hacker incluiría un objeto OLE en el correo electrónico y se cargará mediante un servidor SMB bajo el control del hacker.

Al ejecutar esta acción, el delincuente puede obtener el usuario y la contraseña del usuario, lo que le da acceso temporal a la PC. Todo esto ocurre con solo abrir la vista previa del correo.

¿Cómo protegerse de este fallo?

Esta semana, Windows lanzó un parche de seguridad para hacer frente a esta vulnerabilidad, sin embargo, se ha reportado que el parche no soluciona el problema totalmente. Por ello, si queremos que el inconveniente sea resuelto, debemos usar una contraseña muy complicada y segura, y cumplir los siguientes pasos:

Ubica tu router y bloquea los puertos usados por SMB, es decir, el TCP 445, 137, 139, y el UDP 139 y 139.
Bloquea la autenticación SSO de NTLM en tu PC.
No abras enlaces que parezcan sospechosos en tu bandeja de entrada de correo electrónico.

Conoce las novedades del sistema operativo Linux más seguro, Qubes OS 4.0

0

Qubes OS es uno de los sistemas operativos más seguros que podemos encontrar actualmente. Este sistema operativo está hecho por y para la seguridad y privacidad de sus usuarios, de hecho. Hoy el equipo de desarrollo ha publicado la nueva versión de este sistema, Qubes OS 4.0, con importantes novedades y mejoras respecto a las versiones anteriores. ¿Quieres saber todas las novedades de este nuevo sistema operativo?

Principales novedades de Qubes OS 4.0, el sistema operativo más seguro del mundo

Esta nueva versión incorpora una API de administración de Qubes, que está enfocada para la administración de los endpoints, además, se ha optimizado al máximo para la separación completa entre usuarios y administradores del sistema. Gracias a esta API, se va a poder prohibir al usuario interferir con las políticas aplicadas por el administrador. Lo mismo ocurre al revés, el administrador tendrá prohibido explícitamente robar o interferir con los datos del usuario, algo totalmente revolucionario ya que hasta ahora lo normal es que el administrador tenga “poder” sobre todo el sistema. Otro aspecto destacable es que se pueden implementar múltiples máquinas virtuales de gestión, con desconfianza mutua o semi desconfianza. Os recomendamos leer en detalle todas las características de la API de administración de Qubes en su web oficial.

El corazón de la nueva versión de Qubes OS 4.0, es sin lugar a dudas el Qubes Core Stack, o cómo están configuradas las diferentes máquinas virtuales para potenciar al máximo el aislamiento entre el núcleo, interfaz gráfica de usuario, aplicaciones, dispositivos USB, firewall y otros módulos fundamentales en el sistema operativo.

Otro aspecto muy importante es que se ha realizado una virtualización completa de las máquinas virtuales, protegiendo a los usuarios frente a Meltdown por ejemplo. De esta forma, todas las VM estarán virtualizadas completamente por defecto. Para facilitar el despliegue de las máquinas virtuales, se han diseñado diferentes plantillas para crearlas fácilmente, sin necesidad que el administrador lo haga manualmente. También se ha mejorado el administrador de volúmenes de máquinas virtuales, permitiendo que ahora sea mucho más fácil mantenerlas en dispositivos externos como discos duros USB.

Con el objetivo de proporcionar el mejor cifrado posible a las copias de seguridad, se ha incorporado el algoritmo scrypt, uno de los algoritmos de hashing más seguros actualmente. Debemos recordar que este algoritmo hash es KDF (Key Derivation Function), por tanto, no tiene una longitud fija como SHA256crypt entre otros.

A partir de este momento, las copias de seguridad sin cifrar no estarán disponibles, todo ello con el objetivo de proporcionar siempre la mejor seguridad a sus usuarios. Algunos cambios más que ha sufrido esta nueva versión Qubes OS 4.0 es por ejemplo el uso de kernel Linux 4.9.x, la posibilidad de poner IP a las máquinas virtuales de manera más flexible, un nuevo Sistemas operativos Linux ideales para paranoicos de la privacidad

En la web oficial de Qubes OS 4.0 podéis ver en detalle todos los cambios que incorpora esta nueva versión mejorada. Les recomendamos acceder a nuestra sección de seguridad informática, donde encontraréis una gran cantidad de manuales para asegurar diferentes servicios en tu sistema.

Así hackean utilizando la “Asistencia Remota” de Windows

0
merida

La Asistencia Remota de Windows es una herramienta diseñada para permitir a un usuario, normalmente un técnico o alguien con conocimiento, conectarse de forma remota a cualquier ordenador, con permiso del usuario, para ayudarle a solucionar algún problema en el equipo. Esta función lleva disponible en el sistema operativo desde Windows XP hasta el actual Windows 10 y, aunque generalmente no se ha oído hablar de problemas relacionados con esta herramienta, hace algunas horas se ha dado a conocer un nuevo vector de ataque que, utilizando esta herramienta, se puede utilizar en ataques informáticos dirigidos.

Un investigador de seguridad ha dado a conocer un fallo de seguridad en esta herramienta, fallo de seguridad registrado como CVE-2018-0878 (y solucionado con los últimos parches de seguridad de marzo de 2018) que podía aprovecharse fácilmente en ataques dirigidos para hackear ordenadores de forma remota.

Cómo funciona esta vulnerabilidad en la Asistencia Remota de Windows

La Asistencia Remota de Windows es una herramienta similar a TeamViewer, basada en Escritorio Remoto, que nos permite pedir ayuda a un contacto mediante un fichero generado por ella misma llamado “Invitation.msrcincident” que, al abrirlo, se conecta directamente al equipo que nos ha solicitado la ayuda.

El fichero que genera esta herramienta no es más que un fichero XML, fichero que, además, incluye un fallo de seguridad que permite cargarle un exploit “XML External Entity”. De esta manera, cuando la víctima, quien supuestamente va a brindar ayuda, intenta abrir el fichero “Invitation.msrcincident”, se ejecuta el exploit en su sistema, exploit que puede ser confirmado para enviar cualquier archivo a un servidor remoto.

Los piratas informáticos podrían utilizar esta técnica para robar, por ejemplo, ficheros de configuración, bases de datos, copias de seguridad, o cualquier otro archivo sin que el usuario que ha ejecutado inocentemente el fichero para brindar asistencia remota. Por suerte, dada la naturaleza de este fallo de seguridad, no se puede explotar de manera masiva, sino que solo puede ser explotado en ataques dirigidos.

Cómo protegernos de esta vulnerabilidad en la Asistencia Remota de Windows

Como hemos dicho, Microsoft ha solucionado ya este fallo de seguridad con los últimos parches de seguridad de marzo de 2018 (desde Windows 7 en adelante), por lo que si tenemos nuestro sistema operativo actualizado no tenemos de qué preocuparnos, y aunque recibamos esta invitación maliciosa y la ejecutemos, no nos infectará.

De todas formas, la mejor forma de protegernos es desconfiando siempre de las invitaciones para brindar Asistencia Remota, ejecutando exclusivamente aquellas que vengan de personas de total confianza. Y siempre con nuestro Windows actualizado.

La contraseña maestra de Firefox ha puesto en peligro tus datos durante 9 años

0
seguridad

Una de las opciones de seguridad adicionales que nos ofrece tanto Firefox como Thunderbird es el uso de una “contraseña maestra“. Esta contraseña, que podemos configurar nosotros mismos desde su panel de opciones, nos permite cifrar todas las demás contraseñas guardadas en el navegador o en el cliente de correo de manera que todas ellas queden protegidas y nadie, sin dicha contraseña, pueda recuperarlas. O al menos así es como debería actuar.

Hace algunas horas se daba a conocer un fallo de seguridad en el uso de estas contraseñas maestras de las aplicaciones de Mozilla que, durante 9 años, ha estado poniendo en peligro nuestros datos. El fallo en cuestión se encuentra en que esta función emplea un algoritmo SHA-1 para cifrar las contraseñas, algoritmo inseguro y que puede permitir a cualquier usuario con malas intenciones descifrar estas contraseñas utilizando fuerza bruta sin demasiada dificultad.

Esta vulnerabilidad ya fue detectada y reportada hace 9 años por un investigador de seguridad, sin embargo, Mozilla abrió la incidencia en su día pero, desde entonces, Mozilla la ha dejado en el olvido, hasta ahora.

Mozilla acabará con este problema con el lanzamiento de Lockbox, su nuevo gestor de contraseñas

Tras más de 9 años protegiendo de manera inadecuada nuestras contraseñas, un investigador volvió a comentar en dicha vulnerabilidad, causando una nueva reacción por parte de Mozilla respecto a este problema de seguridad.

Tras 9 años de silencio, finalmente Mozilla ha vuelto a hablar sobre este fallo de seguridad, asegurando que tiene intenciones de ponerle solución en breve. Concretamente, Mozilla ha hecho referencia a Lockbox, el nuevo gestor de contraseñas que va a llegar a Firefox (y probablemente a Thunderbird) para que los usuarios puedan guardar sus contraseñas y utilizarlas de la manera más sencilla posible.

Este nuevo gestor de contraseñas se encuentra ya en fase de desarrollo, y cualquier usuario interesado puede probarlo descargando y compilando la extensión de Lockbox desde el siguiente enlace.

Sea seguro o inseguro, el uso de una contraseña maestra para proteger nuestras contraseñas es imprescindible, ya que, de lo contrario, cualquiera con acceso al equipo podría verlas sin ninguna dificultad. SHA-1, aunque permita descifrar las contraseñas sin ninguna dificultad, al menos aplica una capa de seguridad superficial a estas que ya obliga a realizar la tarea de descifrar estos datos.

Por el momento no se sabe exactamente cuándo llegará este gestor de contraseñas aportando la nueva capa de seguridad a las mismas, pero, según parece, Mozilla no tiene muchas intenciones se cambiar el actual algoritmo SHA-1 por otro, como Argon2, que impida que cualquiera pueda descifrar las contraseñas.