Home Blog Page 12

Hallan 40 vulnerabilidades zero day en los televisores samsung con tizen

Seguridad Hals
-
0
Hallan 40 vulnerabilidades zero day en los televisores samsung con tizen

Las operaciones llevadas a cabo por la CIA y que fueron filtradas por Wikileaks mostraron que la agencia estadounidense se aprovechaba de vulnerabilidades halladas en los televisores inteligentes Samsung para espiar a la gente.

Sin embargo, eso no fue más que la punta del iceberg, ya que el investigador en seguridad Amihai Neiderman ha descubierto que Tizen, el sistema operativo de Samsung incluido en sus televisores inteligentes, relojes inteligentes y en algunos de sus smartphones de bajo coste, contiene al menos 40 vulnerabilidades zero-day que dejan totalmente comprometida su seguridad y en consecuencia la confiabilidad que pueda depositar el usuario.

Actualmente Tizen funciona en unos 30 millones de televisores y Samsung espera que también esté funcionando en unos 10 millones de smartphones de aquí a final de año. El gigante surcoreano ha intentado mover a Tizen en diversos intentos por abandonar Android, aunque de momento esto resulta inviable debido a la posición cada vez más dominante del sistema de Google, que ha terminado por enterrar a todos los sistemas operativos alternativos en el sector de la movilidad.

La situación de Tizen no es nada halagüeña, ya que Neiderman no ha dudado en decir que “puede ser el peor código que haya visto”, en relación al código fuente del sistema operativo. Además, por lo que se desprende de una entrevista que mantuvo con Motherboard, añadió a esa frase que “puedes ver que nadie con conocimientos sobre seguridad ha visto el código o escrito en él. Es como poner a un estudiante a programar tu software”. En resumidas cuentas, para Neiderman la calidad del código de Tizen es más bien digno de un estudiante o incluso ni eso.

Sobre las vulnerabilidades, Neiderman ha descubierto que muchas de ellas pueden ser explotadas de forma remota, aunque posiblemente la más grave está en la misma seguridad del sistema operativo. Uno de los fallos de seguridad permite secuestrar un dispositivo e instalar código malicioso en él, permitiendo a un hacker tomar el control total.

La seguridad de Tizen se puede poner tan entredicho que falla hasta a la hora de usar cifrado SSL para asegurar ciertas transmisiones de datos. Neiderman comenta que los desarrolladores “hicieron un montón de suposiciones equivocadas sobre dónde necesitaban cifrar la conexión. Este es un trabajo extra a la hora de mover entre conexiones seguras e inseguras”. Esto quiere decir que conexiones donde el uso SSL es importante decidieron prescindir de él.

Otra vulnerabilidad importante está en la función strcpy(). Según el investigador, dicha función tendría que comprobar si hay suficiente espacio en la memoria para escribir nuevos datos, sin embargo un fallo en su implementación permite crear una saturación del buffer que podría ser explotada por hackers. La saturación de buffer ocurre cuando el espacio en memoria asignado para los datos es demasiado pequeño para los mismos datos a escribir, causando que los datos sean escritos en áreas adyacentes de la memoria. Esta situación empeora si comentamos que a día de hoy los programadores no utilizan la función strcpy() debido a los riesgos de seguridad que entraña.

La respuesta de Samsung al investigador fue bastante pobre al principio, con tan solo un email de respuesta automático. Sin embargo, la compañía ha comentado a Motherboard que cooperará con Neiderman para “mitigar cualquier potencial vulnerabilidad.”

Word tiene falla de seguridad que permite robar datos bancarios

Seguridad Hals
-
0
Word tiene falla de seguridad que permite robar datos bancarios

Microsoft Word reveló que descubrieron un virus llamado Dridex, el cual es un malware que a través de un archivo adjunto aparenta ser un documento de Word, el problema es que este es reconocido como un troyano bancario.

El Dridex es un virus que infecta las computadoras a través de correos electrónicos, pues cuando el usuario lo descarga añade a la computadora una “botnet”, la cual es una red de miles de máquinas infectadas a las que el hacker tiene acceso al equipo sin problema.

De esta manera los hackers pueden robar las contraseñas bancarias almacenadas, el virus es de los más sofisticados que se conoce hasta el momento y no se instala en el disco duro a diferencia de los otros virus, este se esconde en la memoria.

Los primeros ataques fueron detectados en enero de este año, según información del sitio web de McAfee una compañía especializada en seguridad informática.

Sin embargo el error fue descubierto el pasado fin de semana y la compañía comenzó a trabajar inmediatamente en una solución pues descubrieron que este error de seguridad está presente en todas las versiones de Office incluida la última actualización de Windows 10.

Ante esto la compañía declaró “Lanzamos una actualización el martes 11 de abril y los clientes que actualicen el sistema quedarán protegidos de manera automática”.

Hackeo a Yahoo!. Como tomó solo un Click para ejecutar la mayo filtración de datos de la Historia

Seguridad Hals
-
0
Hackeo a Yahoo!. Como tomó solo un Click para ejecutar la mayo filtración de datos de la Historia

En el mundo digital, sólo se necesita un clic para obtener las claves del reino.

¿Sabias que el spear-phishing fue la única arma secreta detrás de la mayor brecha de datos en la historia de internet?

Se conoció que uno de los empleados de Yahoo cayó víctima de un simple ataque de phishing e hizo click en un enlace equivocado que permitió a los hackers ganar privilegios en las redes internas de la compañía.

Normalmente estamos familiarizados con los ataques de phishing (un intento de robar credenciales de usuario o datos financieros), mientras que Spear-phishing es una forma específica de phishing en la que los atacantes engañan a los empleados o proveedores para proporcionar credenciales de acceso remoto o abrir un archivo adjunto malicioso que contiene una vulnerabilidad O carga útil.

Se pudo demostrar cómo la filtración masiva de los datos de Yahoo fue un simple error humano. Pero quiénes eran los cerebros detrás de este hackeo?.

El miércoles, el gobierno de Estados Unidos acusó a dos espías rusos (Dmitry Dokuchaev e Igor Sushchin) y dos hackers criminales (Alexsey Belan y Karim Baratov) en relación con el hack de Yahoo 2014 que comprometió cerca de 500 millones de cuentas de usuario de Yahoo.

Mientras que la acusación proporcionó detalles sobre el hack de Yahoo de 2014, los funcionarios del FBI recientemente dieron una nueva visión de cómo los dos oficiales del Servicio Federal de Seguridad de Rusia (FSB) contrataron a dos hackers para obtener acceso inicial a Yahoo a principios de 2014.

Cronología de cómo inició el hackeo a Yahoo:

El hack comenzó con un correo electrónico “Spear Phishing” enviado a un empleado “semi-privilegiado” de Yahoo y no a los altos ejecutivos de la compañía a principios de 2014.

Aunque no está claro cuántos empleados de Yahoo fueron alcanzados por el ataque y cuántos correos electrónicos fueron enviados por los hackers, sólo se necesita un empleado que haga click en un archivo adjunto o un vínculo malicioso, lo que dio a los atacantes acceso directo a las redes internas de Yahoo.

Una vez que entró, Alexsey Belan, que ya está en la lista de los hackers más buscados del FBI, empezó a investigar la red y, según el FBI, descubrió dos activos clave:

– Yahoo’s User Database (UDB) – una base de datos que contiene información personal sobre todos los usuarios de Yahoo.
– La herramienta de administración de cuentas: una herramienta administrativa utilizada para editar la base de datos.

Belan utilizó el protocolo de transferencia de archivos (FTP) para descargar la base de datos de Yahoo, conteniendo nombres de usuario, números de teléfono, preguntas y respuestas de seguridad y, lo que es peor, mensajes de recuperación de contraseña y un valor criptográfico único para cada cuenta de Yahoo.

Los correos electrónicos de recuperación y los valores criptográficos únicos permitieron a Belan y su compañero hacker Baratov acceder a las cuentas de ciertos usuarios solicitados por los espías rusos Dokuchaev y Sushchin.

Dado que la herramienta de administración de cuentas no permitía búsquedas sencillas de nombres de usuario, los hackers comenzaron a identificar objetivos basándose en su dirección de correo electrónico de recuperación.

Una vez identificados, los hackers utilizaron valores criptográficos robados llamados “nonces” para generar cookies de acceso forzado para cuentas de usuario específicas, dando a los agentes FSB y Belan acceso a las cuentas de correo electrónico de los usuarios sin necesidad de ninguna contraseña.

Según el FBI, esas cookies se generaron muchas veces entre 2015 y 2016 para acceder a “más de 6.500 cuentas de Yahoo”, de los cerca de 500 millones de cuentas.

Las víctimas apuntadas por los espías rusos:

Según la acusación, entre otros webmail extranjeros y proveedores de servicios relacionados con Internet, los espías rusos accedieron a las cuentas de Yahoo pertenecientes a:

–Asistente del vicepresidente de Rusia.
–Un oficial en el Ministerio de Asuntos Internos de Rusia.
–Un entrenador que trabaja en el Ministerio de Deportes de Rusia.
–Periodistas rusos.
–Funcionarios de los estados fronterizos con Rusia.
–Trabajadores del gobierno de los Estados Unidos.
–Un empleado de una compañía de cartera Swiss Bitcoin.
–Un trabajador de la aerolínea estadounidense.

El agente especial del FBI, John Bennett, dijo en una conferencia de prensa que Yahoo primero se acercó a la oficina en 2014, en relación con el hackeo y fueron “grandes socios” durante su investigación.

Sin embargo, a la empresa le tomó dos años la publicación (realizada en diciembre de 2016) con detalles de la violación de datos y recien le recomendó a cientos de millones de sus clientes a cambiar sus contraseñas, demasiado tarde para poder que los usuarios cambiaran sus credenciales, sin poder hasta el dia de hoy determinar el verdadero alcance del daño ocacionado a los usuarios.

Firefox 52 elimina Java y marca páginas HTTP como “no seguras”

Seguridad Hals
-
0
Firefox 52 elimina Java y marca páginas HTTP como “no seguras”

Por ahora no se sabe nada de Quantum, el proyecto de Mozilla para crear el navegador más rápido de todos. Lo que sí se ha confirmado en las notas de publicación de Firefox 52 es que las páginas que no usen HTTPS para pedir credenciales de acceso serán señaladas como “no seguras” por el navegador, y habrá una nueva especificación de Strict Secure Cookies.

¿Qué siginifica esto último? Que se añaden restricciones a las cookies marcadas como seguras, a las que no podrán acceder webs o conexiones que no tengan orígenes seguros (por ejemplo, conexiones HTTP sin cifrar). Esta característica modifica el cookie JAR para que las conexiones inseguras no puedan tocar de ninguna manera las que sí son seguras.

Firefox 52 también ha mejorado la experiencia en las descargas añadiendo notificaciones a las descargas fallidas, botones más grandes para reiniciar o cancelar una descarga y acceso a hasta los cinco archivos descargados más recientes. Además, se mejora el soporte para teclados con disposiciones alternativas de terceros en sistemas Windows.

Además de todo esto, se ha abandonado el soporte para los plugins NPAPI (Netscape Plugin API) a excepción de Adobe Flash Player (hace al menos dos años que cuentan con HTML5, cuesta comprender por qué no lo eliminan ya), lo que significa que Silverlight, Java o Acrobat ya no recibirán amor por parte de Mozilla.

A todo esto hay que sumar la eliminación de la API Battery Status, que al parecer permitía captar la huella digital del navegador por parte de varios rastreadores online.

Los Respaldo de Información desde la perspectiva de la Seguridad de la Información #HalsIntelligence.

Seguridad Hals
-
0
Los Respaldo de Información desde la perspectiva de la Seguridad de la Información #HalsIntelligence.

Hablando de la seguridad informática, y en especifico de las copia de seguridad de los datos podemos decir que “hay dos clases de empresas: las que han perdido sus datos y las que están a punto de perderlos”. Luego ya veremos si la copia de seguridad estaba bien hecha, si se puede recuperar, si la parada es muy larga…. etc.

Y más aún: ¿tenemos copia de seguridad? ¿Cuántas? ¿Funcionan? ¿Cuánto tiempo necesitamos para volver a poner en marcha un servidor que “ha muerto? Si no tenemos respuestas a todas estas preguntas, no tenemos seguridad en la información.

Una copia de seguridad no es solo copiar unos cuantos archivos a un DVD y listos. Eso es una basilada. Supongamos que tenemos un servidor en la empresa que almacena la base de datos de proyectos. Tenemos allí mucha información que es vital, así que hacemos una copia de seguridad.

Pero pasado mañana ocurre una contingencia. No nos pongamos en catástrofes de proporciones bíblicas, como una inundación, un terremoto o la dominación del planeta por seres venidos del espacio exterior. Simplemente, la fuente de alimentación del sistema se estropea por un pico de tensión (Nota mental: añadir al cuarto de servidores un estabilizador de corriente). O simplemente un fusible cumple su función, y se funde (Nota mental: tener fusibles de repuesto. Y del valor adecuado. Y del tamaño adecuado. Y el destornillador del paso adecuado. Y el manual adecuado para abrir la fuente de alimentación. Y el teléfono de soporte técnico 24 horas del fabricante).

En el mejor de los casos, la reparación puede llevarnos unas cuantas horas, que son horas en las que la información no está disponible. Y eso en dinero, puede ser mucho. Si nos ponemos en casos más graves (exceptuando la invasión alienígena), ya no es solo una parada momentánea, sino que podría llevar varios días. Y todo ello, contando con una adecuada copia de seguridad de la información.

Pero eso no es una buena copia. Los datos son importantes, pero esos datos deben ser accesibles rápidamente en caso de problemas. Si tenemos que, por ejemplo, volver a montar el servidor, con su sistema operativo, con los drivers, reconfigurar permisos, establecer de nuevo árboles y dominios, podremos tirarnos mucho tiempo y el administrador de la red podrá tirarse de los pelos, si no se tira por la ventana.

Hoy en día existen sistemas de copia de seguridad que no se limitan a los datos, sino que llevan a cabo copias de seguridad completas, incluido el sistema operativo, de manera que restaurar un servidor que haya muerto es mucho más sencillo de lo que parece.

La copia de seguridad ya no es un capricho, o algo para tener en el plan de contingencias. Es tan básico como tener dos proveedores de Internet por si uno falla. Estamos hablando de seguridad de la información, de seguridad de nuestro negocio. Porque si no ha perdido ya la información, está a punto de perderla. ¿O no?

Ransomware para Android un nuevo peligro

Seguridad Hals
-
0
Ransomware para Android un nuevo peligro

El año 2016 trajo algunos desarrollos notorios a la escena del ransomware para Android, una de las amenazas más preocupantes para los usuarios de la plataforma móvil. Autores de variantes del tipo bloqueo de pantalla y del tipo criptográfico usan técnicas copiadas del malware tradicional para equipos de escritorio, que probaron ser efectivas a la hora de infectar dispositivos; pero a la vez, desarrollan sus propios métodos sofisticados y especializados para usuarios de Android.

Dado que son cada vez más los que migran de PC a móvil, estos equipos almacenan enormes cantidades crecientes de información valiosa, lo que hace al ransomware para Android incluso más redituable para los atacantes. Según ESET LiveGrid®, el número de detecciones creció más del 50% en comparaciones año a año, y tuvo su pico más grande en la primera mitad de 2016

Entre las tácticas más comunes usadas por los cibercriminales, el intimidante “ransomware policial” que bloquea la pantalla y acusa al usuario de ejecutar acciones indebidas mantiene su lugar como forma predilecta de asustar a las víctimas para inducirlas a pagar. Además de observar una evolución gradual en las funcionalidades del ransomware para Android, los investigadores de ESET notaron que los atacantes pusieron un gran esfuerzo en mantener un bajo perfil cifrando y escondiendo el payload malicioso en aplicaciones infectadas que parecen legítimas.

A la vez, cambiaron su foco: dejaron de apuntar mayormente a países de Europa del Este para dedicarse a usuarios móviles de los Estados Unidos. Sin embargo, el año pasado también se registró un aumento de actividad en el mercado asiático. Un ejemplo de ello es el lock-screen Jisut, localizado en chino, que duplicó sus detecciones en elos últimos meses y es el primer ransomware que exige el pago de un rescate a través de un mensaje de voz.

Para saber más sobre el ransomware en Android, sus tendencias actuales y los ejemplos más notorios desde 2014, lee el white paper llamado “El auge del ransomware para Android”.

También serás bienvenido en el stand B05 de ESET, en el hall 5 del Mobile World Congress, que tendrá lugar en Barcelona desde el 27 de febrero hasta el 2 de marzo.

Google publica una vulnerabilidad de Windows

Seguridad Hals
-
0
Google publica una vulnerabilidad de Windows

Está claro que Google y Microsoft son rivales, a pesar de que sus productos estrella no se enfrentan de forma directa. Su relación, en general, es cordial de cara al público. Pero ahora Google acaba de publicar una vulnerabilidad de Windows sin parche. En un sentido estricto, podemos decir que ha puesto a los usuarios de Windows en peligro y dejado en mal lugar a Microsoft, pero el tema es más complejo.

Resulta bastante habitual que aparezcan fallos de seguridad en Windows, y los parches que corrigen estos problemas no siempre se lanzan al momento, sino que se suelen reunir en una actualización mensual, a no ser que la amenaza sea muy grave. En este caso, Google se ha cansado de esperar por una solución al error que descubrió.

Te interesa:Windows 10 renovará su aspecto y tendrá transparencias

Según la versión de Google, unos de sus investigadores encontró un error en gdi32.dll, un componente de Windows que permite que un atacante tome control del sistema. Avisó a Microsoft en marzo del 2016, y Windows recibió un parche en junio de ese mismo año, pero no resolvía por completo la vulnerabilidad. Así que en noviembre del 2016 se comunicó el nuevo problema, sin recibir respuesta hasta la fecha. Así se decidió hacer público el error.

Muchos servicios de Google funcionan en sistemas operativos de la competencia, por lo que cuenta con una división llamada Google Project Zero que busca errores en el software de terceros. Si los encuentran, dan 90 días al creador antes de hacerlo público. El año paso Google reveló un fallo similar, y Microsoft la acusó de poner en peligro a los usuarios de Windows, ya que cualquiera podía lanzar un ataque hasta que llegara el parche.

Está claro que Google puede ser mucho más criticada a nivel de seguridad, pues el mecanismo de actualizaciones de Android hace que la inmensa mayoría de los terminales en el mercado sufran vulnerabilidades que nunca recibirán los correspondientes parches. La relación entre las compañías no parece que vaya a mejorar, pues Windows 10 Cloud podría ser el nuevo competidor de los Chromebooks.

Está claro que retrasar los parches de seguridad en Windows no resulta aceptable, pero esta vulnerabilidad tampoco es de las más graves, pues requiere acceso físico al equipo para sacarle partido. Quizá Google ha sido muy estricta al hacer público un fallo así en tan poco tiempo, pero hay que tener en cuenta que todos nos beneficiamos de que se solucionen estos problemas.

¿Qué opinas de la vulnerabilidad? ¿Ha hecho bien Google en publicarla, o crees que debería haber esperado más para que llegara el correspondiente parche a Windows antes de hacerlo?

Kaspersky descubre un potente malware que está infectando a bancos en todo el mundo

Seguridad Hals
-
0
Kaspersky descubre un potente malware que está infectando a bancos en todo el mundo

Los investigadores de Kaspersky Lab han vuelto a detectar un malware similar en apariencia al famoso Duqu 2.0 aparecido hace dos años. Según la investigación publicada las redes pertenecientes a 140 bancos y otras empresas han sido infectadas por este malware capaz de permanecer casi invisible.

En el año 2015 hacía su aparición Duqu 2.0, un virus que tenía la capacidad de infectar una red y permanecer únicamente en la memoria de las computadoras comprometidas. Como resultado de ello la infección permaneció sin ser detectada durante más de medio año.

El malware encontrado esta semana es muy similar. Según Kaspersky los hackers podrían tener una clara motivación financiera debido a los objetivos seleccionados. Además, podrían ser más de 140 bancos, ya que las infecciones son difíciles de detectar y los atacantes emplean herramientas legales para aprovechar alguna vulnerabilidad e inyectar el malware en la memoria del ordenador. Todo ello para finalmente sacar dinero de las cajeros… desde los propios bancos. Según la compañía de seguridad:

Lo que es interesante aquí es que estos ataques contra los bancos continúan en todo el mundo . En muchos casos los bancos no han sido adecuadamente preparados para lidiar con esto y las personas detrás de los ataques están sacando el dinero de los bancos… desde dentro de los propios bancos dirigiendo ordenadores que manejan los cajeros automáticos.

Las 140 organizaciones que han sido afectadas residen en 40 países diferentes, siendo Estados Unidos, Francia, Ecuador, Kenia y el Reino Unido los cinco países más afectados.

Un malware que se descubrió a finales del año pasado a través de un equipo de seguridad de un banco, en ese momento dieron con un controlador de dominio de Microsoft infectado aunque intacto, presumiblemente porque no se había reiniciado.

El análisis posterior encontró que los atacantes utilizaron herramientas para recopilar contraseñas de los administradores del sistema. Hoy los investigadores siguen sin saber la procedencia del ataque o incluso la manera en la que el malware se inicia, dudas que esperan resolver de aquí al mes de abril, momento en el que proporcionaran más detalles de la investigación en curso.

Aparece un nuevo spyware ruso que roba contraseñas de iPhones

Seguridad Hals
-
0
Aparece un nuevo spyware ruso que roba contraseñas de iPhones

Investigadores en seguridad de Bitdefender han descubierto esta semana un nuevo malware para Mac desarrollado por APT28, un grupo de ciberesiponaje ruso que presuntamente tiene vínculos con el gobierno del país euroasiático.

El malware es una nueva variante del spyware X-Agent, del cual aparecieron antes versiones para el resto de sistemas operativos mayoritarios: Windows, iOS, Android y dispositivos Linux. Sobre sus capacidades, está diseñado para robar contraseñas alojadas en los navegadores web, tomar capturas de pantalla, detectar configuraciones del sistema, ejecutar ficheros y hacerse con copias de seguridad de iPhones almacenadas en una computadora.

El grupo de ciberespionaje ruso APT28 ha utilizado una gran cantidad de nombres, entre los cuales están Fancy Bear, Sofacy, Sednit y Pawn Storm. Como ya hemos comentado, tiene presuntos vínculos con el gobierno de Rusia y está operativo desde 2007. Según Bitdefender, X-Agent para Mac se distribuye a través de un binario y una vez instalado en el sistema hace acto de “presencia en algunos módulos como FileSystem, KeyLogger y Remote Shell, así como un módulo de red similar llamado HttpChanel”. Al igual que en las versiones disponibles para los otros sistemas, este spyware se dedica a actuar como una puerta trasera con capacidades de avanzadas de ciberespionaje que pueden ser modificadas según los objetivos del ataque.

Además, X-Agent está planteado de forma que explote una vulnerabilidad hallada en el software MacKeeper instalado en las computadoras objetivo, empleando para ello un “soltador de malware” llamado Komplex. Una vez instalada, la puerta trasera comprueba la presencia de algún depurador para evitar su ejecución en caso de encontrarlo. Si no puede hacer esto, la puerta trasera espera a una conexión a Internet para comunicarse con su mando y control.

Para la conexión con el mando y control utiliza una serie de URL que suplantan los dominios de Apple además de soltar su carga útil en los módulos. Una vez haya conseguido conectarse con el mando y control con éxito, la carga útil envía un mensaje de saludo, para luego generar dos hilos de comunicación que se ejecutan en bucles infinitos. Uno de los hilos utiliza POST para enviar información al mando y control, mientras que el otro supervisa las peticiones GET para los comandos. Tras todo lo descrito, los investigadores de Bitdefender todavía están investigando cómo se realiza el ataque completo, ya que de momento solo tienen la muestra para Mac.

No es la primera vez que APT28 desarrolla un malware que ataca ordenadores Mac. Por otro lado, es uno de los grupos acusados de haber hackeado los servidores del Comité del Partido Demócrata el año pasado, durante la elección del candidato a la presidencia de Estados Unidos.

Google explica la seguridad de su infraestructura

Seguridad Hals
-
0
Google explica la seguridad de su infraestructura

Mientras que un gran número de empresas prefieren mantener en secreto la seguridad de sus sistemas, Google ha dado a conocer los procedimientos con que protege su infraestructura.

Continue
1...111213...20Page 12 of 20