lunes, 29 de febrero de 2016

EU utiliza armas informáticas contra el Estado Islámico

Estados Unidos utiliza armas informáticas en su guerra contra el grupo Estado Islámico en Iraq y Siria, indicó este lunes el secretario de Defensa, Ashton Carter.

"Utilizamos herramientas informáticas para debilitar la capacidad del grupo Estado Islámico de operar y comunicarse en el campo de batalla virtual", señaló Carter en una conferencia de prensa en el Pentágono.

"Se trata de hacerles perder confianza en sus redes, de sobrecargarlas para que no puedan funcionar, y hacer todo aquello que perturbe su capacidad para comandar sus fuerzas, y para controlar su población y economía", explicó el secretario.

En la misma conferencia, el jefe del estado mayor de Fuerzas conjuntas, el general Joe Dunford, comparó sitiar en el terreno a los yihadistas del EI en sus bastiones en Mosul (Iraq) y Raqa (Siria), con sitiarlas en el ciberespacio.

"Estamos tratando a la vez físicamente y virtualmente de aislar al grupo Estado Islámico", afirmó Dunford.

Pero ambos responsables se negaron a detallar estas ciber-operaciones.

"No queremos" que los yihadistas "sean capaces de notar la diferencia" entre las perturbaciones vinculadas a las ciber-armas estadounidenses y otras perturbaciones, explicó el general.

Estados Unidos está constituyendo una fuerza con unos seis mil soldados especializados en guerra informática, bajo el comando por ahora del almirante Michael Rogers, director de poderosa Agencia de Seguridad Nacional y jefe del Comando Cibernético del Pentágono.

Por ahora, el Pentágono ha sido muy discreto sobre las operaciones de esta fuerza.

Pero la administración prevé aumentar en 15% los fondos para la guerra informática en el presupuesto de defensa de 2017, a seis mil 700 millones de dólares, poco más del 1% del presupuesto total en este sector.
Saludos.
Lexer Pars. 

domingo, 28 de febrero de 2016

Piden nulidad en proceso a Luis Alfonso Hoyos por caso hacker

La defensa de Luis Alfonso Hoyos afirma que hubo regularidades al momento de la imputación y la solicitud de captura del ex asesor espiritual del Centro Democrático.

Dicen que la fiscalía se equivocó al solicitar que él fuera juzgado en ausencia pues recordemos que se encuentra fuera del País desde diciembre del 2014 cuando decidió irse una vez se enteró que iba a ser llamado por la justicia por el caso hacker y las interceptaciones ilegales a los negociadores de paz de La Habana.

Sin embargo para la fiscalía las pruebas son contundentes y afirma que hoyos se habría reunido con el hacker Andrés Fernando Sepúlveda para ordenarle que adquiriera información clasificada sobre las negociaciones y los miembros de las Farc, afectando la seguridad nacional.

La audiencia de acusación quedo programada para el 3 de marzo sobre las 7:00 de la mañana.
Saludos.
Lexer Pars.

sábado, 27 de febrero de 2016

Atento si descargaste linux mint el 20 febrero

Linux Mint nació en 2006 y hoy en día es una de las distribuciones de Linux más populares, lo que por otro lado le ha convertido en un objetivo muy apetecible debido al gran número de usuarios que la utilizan. Muestra de ello es que ayer fue víctima de unos atacantes desconocidos que aprovecharon un agujero en WordPress (que usa linuxmint.com) y fueron capaces de reemplazar los enlaces de las imágenes de la versión 17.3 cinnamon (canela) por otros en servidores extraños (5.104.175.212).

Y es que todo aquel que descargara una iso del 20 de febrero del año 2016 de esos sitios se llevó una edición modificada que incluye backdoors que se conectan a servidores en Bulgaria (absentvodka.com) y, probablemente, contenga otros "añadidos" malintencionados.

La comprobación más rápida es verificar si existe el archivo /var/lib/main.cy. De cualquier modo, es necesario comprobar los hashes MD5, los correctos son:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Si has instalado y utilizado una imagen comprometida inmediatamente debes:

- desconectar el acceso Internet en esa máquina
- hacer copias de seguridad de tus archivos indispensables
- instalar el sistema de nuevo con la iso adecuada
- cambiar todas las contraseñas, tanto del sistema como de otros sitios web a los que hayas accedido.

Saludos.
Lexer Pars.

viernes, 26 de febrero de 2016

Usar filtrado de MACs con iptables en Linux

Los administradores de seguridad perimetral están acostumbrados a trabajar con IPs en las reglas de sus firewalls y no es raro, por ejemplo, que pidan permitir a una IP local el acceso directo a Internet, sin proxy y sin restricción de puertos, para un usuario VIP o para un desarrollador que tiene que hacer algunas pruebas temporalmente, ya sabéis, esas pruebas temporales que duran un día... o tres años.

Estas IPs "especiales" con permisos son un dulce caramelo para un atacante infiltrado en la LAN que quiera usar un shell inverso o simplemente sacar información fácilmente. Para conseguirla, sólo tendría que probar todas las direcciones IP posibles de su rango para ver si alguna todavía está configurada en una de esas reglas "temporales". Además, como en la mayoría de los segmentos de red se utilizan clases C, como mucho habrá 254 IPs posibles y eso automatizándolo con un script es un suspiro en términos de tiempo. 
Sin embargo, si en vez de una IP hubiéramos usado la dirección física o MAC, el atacante tendría que haber falsificado 256^6 direcciones, o lo que es lo mismo 281,5 trillones de direcciones posibles y eso sólo hablando de IPv4... es decir, le hubiese resultado inviable. 

Por supuesto para hacer IP/MAC spoofing o jugar con ARP será necesario tener "cintura" y las cosas se complican si la electrónica de red tiene habilitada características como port security o ip source guard, pero quería sólo comentaros un ejemplo para que veais que de que, de vez en cuando, es buena idea utilizar direcciones MAC para permitir ciertos accesos en los firewalls, y no sólo en wlan.

Y bueno, como prefiero no entrar en el detalle de ningún firewall comercial, vamos a ver cómo filtrar direcciones MAC en Netfilter, con nuestras queridas iptables.

La sintaxis general es:

iptables -I "CHAIN-NAME" -m mac --mac-source "MAC-ADDRESS" -j "ACTION"

Si queremos permitir el tráfico desde una lista de MACs contenidas en un fichero:

for MAC in `cat fichero_direcciones_MAC`; do
  iptables -A FORWARD -i eth0 -o eth1 -m mac --mac-source $MAC -j ACCEPT
done

Y luego denegar el resto:

iptables -P FORWARD  DROP

Más ejemplos, permitir la conexión al puerto 22 desde la MAC 00:0F:EA:91:04:07:

iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

Restringir el acceso ssh a todos excepto a la MAC 3E:D7:88:A6:66:8E:

iptables -I INPUT -p tcp --port 22 -m mac ! --mac-source 3E:D7:88:A6:66:8E -j REJECT

Denegar todas las conexiones entrantes desde la MAC 00:0F:EA:91:04:08:

iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP

Lexer Pars.

jueves, 25 de febrero de 2016

Filtran credenciales ficticias para comprobar cómo los hackers malintencionados las utilizan en el mundo real

Los investigadores de la empresa de protección de datos Bitglass han llevado a cabo un interesantísimo proyecto llamado "Cumulus" en el que crearon una identidad digital ficticia de un empleado de un pequeño banco, un portal web para el banco y una cuenta de Google Drive, con datos reales de una tarjeta de crédito. 

¿Para qué? Pues para comprobar qué ocurre exactamente cuando son robadas las contraseñas de un usuario en el mundo real. Así que, posteriormente, el equipo filtró en la Dark Web las credenciales de Google Apps y empezaron a rastrear la actividad sobre las cuentas online del empleado ficticio. 

Durante las primeras 24 horas, hubo cinco logins al banco y tres a Google Drive. Antes de que pasarán 48 horas ya habían descargado ficheros. La monitorización en la nube de Bitglass (BEAC) "mostró que en el transcurso de un mes, la cuenta fue accedida cientos de veces y muchos hackers accedieron con éxito a otras cuentas online de la víctima".

Se registraron unas 1.400 visitas al sitio de la Dark Web donde se filtraron las credenciales y al portal web ficticio del banco y uno de cada diez hackers intentaron acceder a Google con las credenciales filtradas. El 94 por ciento de los hackers crackers que tuvieron acceso a la unidad de Google Drive descubrieron las otras cuentas de la víctima e intentaron iniciar sesión en el portal web del banco. Además el 12 por ciento de los hackers que accedieron con éxito a la unidad de Google intentaron descargar archivos con contenido sensible. 

Los hackers provenían de más de 30 países, aunque el 68 por ciento de todos los accesos venían de direcciones IP anónimas de Tor. De las que no usaban Tor el 34,85% procedían de Rusia, el 15,67% de los EE.UU. y un 3,5% por ciento de China.

"Nuestro segundo experimento de seguimiento de los datos revela los peligros de la reutilización de contraseñas y muestra la rapidez con que las credenciales se pueden difundir, expo niendo datos corporativos y personales sensibles", dice Nat Kausik, CEO de Bitglass. "Las organizaciones necesitan una solución integral que proporciona un medio más seguro de autenticación de los usuarios y le permita identificar rápidamente las infracciones y controlar el acceso a datos sensibles".

Saludos.
Lexer Pars.

miércoles, 24 de febrero de 2016

¿El hacker Sepúlveda trabajaba para la Policía?

Desde su captura a mediados del 2014, la participación de Andrés Sepúlveda en la pugna por la Presidencia y en el proceso de paz ha pasado por todos los matices. Primero, fue presentado como asesor de publicidad de la campaña de Óscar Iván Zuluaga, después, como un hacker contratado para entorpecer el proceso de paz, y ahora es señalado como ejecutor de labores de inteligencia de la Policía.

Así lo dijeron dos testigos entrevistados por la Corte Suprema de Justicia, dentro de la indagación previa que enfrenta el expresidente senador opositor Álvaro Uribe Vélez por la supuesta interceptación a las comunicaciones electrónicas de los negociadores de La Habana (Cuba).

Las diligencias, que estuvieron a cargo de la magistrada auxiliar Sandra Lucía Yepes, se produjeron entre el 15 y el 20 de mayo del 2015. Los declarantes explicaron cómo, casi que por azar, llegaron a conocer de la supuesta filtración de la información que manejaban los negociadores de paz y relataron la manera como intervenía el supuesto ‘hacker’ Sepúlveda.

El primero en pasar al banquillo fue el agente de inteligencia Wilson Leonardo Torres, que había logrado destacarse en tareas de contrainteligencia cuando era suboficial activo del Ejército.

Por eso, desde el 2013 sus superiores de la Dirección Nacional de Inteligencia (DNI) le asignaron la misión de establecer posibles enlaces políticos de las FARC y el ELN en organizaciones civiles y universidades. Lo haría, principalmente, a través de entrevistas a desmovilizados.

En cumplimiento de esa misión conoció a Andrés Sepúlveda. Lo hizo porque el sargento segundo Rodríguez, enlace de la Brigada 12, se refirió al ‘hacker’ como un ingeniero de la Policía que tenía información importante sobre el Partido Comunista Clandestino (PC3) en Bogotá, del que se dice es el principal brazo político de las FARC.

La primera vez que se reunió con este supuesto hacker, se vieron en el Café Jurídico, en el centro de Bogotá. Según él, Sepúlveda le habló de una guerrillera con el alias de la ‘Negra’, que sería el enlace entre el frente 14 de las FARC y el PC3 en la capital.

Además, el experto informático le mostró información sobre el paro agrario que por ese entonces estaban protagonizando algunos campesinos en las carreteras del país. Al final, dijo en el testimonio, él le pidió una colaboración económica para movilizarse, por lo que decidió entregarle 50.000 pesos.

En un segundo encuentro que tuvo lugar en el mismo sitio concretaron una reunión con la presunta insurgente -la ‘Negra’- en la plazoleta de la Universidad del Rosario. Una vez se produjo el diálogo, ella misma dijo ser ejecutora de una misión en la que recogería unos camuflados.

Supuestamente, había recibido órdenes de recogerlos en Bosa para llevarlos a Florencia (Caquetá). La información parecía tan valiosa, que dio lugar a un operativo en la terminal de transportes de la capital, pero la supuesta líder rebelde nunca llegó, lo que hizo infructuosa la filtración de la información.

A pesar de ese paso en falso, siguieron los contactos en los que parecía hacerse evidente que su nueva fuente si era Policía. Sepúlveda volvió a llamarlo a partir de febrero del 2014, según afirmó Torres.

Dijo que por esa época conoció su oficina en el Parque de la 93, en la que trabajaban 15 o 16 personas, incluidas Rafael Revert, un ciudadano español que llegó al caso por casualidad y terminó develando el escándalo.

En uno de esos encuentros, dijo, su fuente le dejó saber que tenía información proveniente del proceso de paz de La Habana. Ahí le enseñó correos que habrían sido interceptados a los negociadores en los que aparecía una fotografía de un supuesto guerrillero identificado como ‘Boris‘.

La información, que parece haber sido verídica, ya había llegado antes a oídos del DNI. Eso llevó a pensar a los superiores de Torres que Sepúlveda era un traficante de información. Ahí le ordenaron cortar contacto con él, meses antes de la captura del supuesto experto infirmático y la suya, por espionaje, cohecho propio y violación de datos personales.

El otro enlace

Un segundo agente de inteligencia fue entrevistado por la Corte Suprema. Como el anterior, relacionó a Andrés Sepúlveda con tareas de inteligencia asignadas por la Policía.

En medio de denuncias por serias amenazas contra su vida (de ahí que nos abstengamos de recordar su identidad), el testigo dejó ver que llegó a esta historia por caprichos del azar. Dice que conoció al hacker en el 2011, cuando lo invitó a hacer parte de un conversatorio sobre seguridad de datos. 

Dijo que en febrero del 2014 el propio Sepúlveda dijo trabajar en actividades de inteligencia de la Policía y le enseñó todo un catálogo de información sobre las FARC y hasta le ofreció trabajo. Ahí salió a la luz el nombre del españlo Rafael Revert, quien fue la persona que el declarante le recomendó al hacker para que laborara con él.

Sin quererlo, el amigo del declarante terminó destapando el escándalo. Al darse cuenta de que Sepúlveda no sólo se encargaba de catapultar a Óscar Iván Zuluaga en las encuestas de cara a la Presidencia, temió que la información delicada que tenía el supuesto hacker sobre la guerrilla y los negociadores de paz lo metieran en problemas con la justicia.

El testigo dijo que desde el principio su amigo quiso denunciar al supuesto experto informático. Aunque se inhibió de acudir a la Policía por los vínculos aparentemente verificables de Sepúlveda con esa entidad, decidió recopilar videos, discos duros e infinidad de bases de datos sobre las FARC que se almacenaban en la oficina, para explicarle a la Fiscalía lo que en realidad estaba ocurriendo.

Ahora que estos dos declarantes han coincidido en afirmar que órganos de inteligencia militar habían identificado a Sepúlveda como integrante o colaborador de la Policía, la buena noticia para el senador Álvaro Uribe es que ninguno de ellos lo identifica como cómplice de este supuesto intento por torpedear el proceso de paz.

A partir de estos y otros elementos de prueba, la Corte Suprema deberá decidir en los próximos días si abre o no una investigación penal formal contra el congresista a quien algunos de sus contradictores señalaron de ser el probable gestor del complot, habida cuenta de la información de reserva del proceso a la que parecía tener acceso.
Saludos.
Lexer Pars.

martes, 23 de febrero de 2016

Sin tareas por un «hacker»

Uno de los símbolos del movimiento Anonymous es lo que podía verse al intentar acceder a la web oficial del IES Sierra de Aras de Lucena. Desde el pasado sábado se advirtieron problemas para entrar en la dirección que administra el centro educativo lucentino. El ataque se comprobó definitivamente en la jornada del domingo y la noticia empezó a circular entre la comunidad educativa y sus familias.

Desde el instituto se ha intentado contactar con los responsables del servidor para solucionar este problema. Por ahora, se desconoce tanto la identidad del autor o autores de lo que se atribuye desde el centro a una gamberrada, que firma un desconocido Noir DZ.

La «gracia» ha provocado inconvenientes para el normal desenvolvimiento del centro. Diariamente, los profesores del Sierra de Aras publican en la página web apuntes, ejercicios, información sobre actividades y fotografías. De hecho, algunos estudiantes se han visto imposibilitados para disponer de tareas durante el fin de semana.

El director del centro, Aurelio Fernández, ha indicado que se interpondrá la correspondiente denuncia en la Comisaría de la Policía Nacional y aseguraba que si el culpable de este acto es un alumno recibirá la correspondiente sanción. En principio, vincula este hecho al deseo de alguien que quiere demostrar «que sabe más de lo que nos creemos».
Saludos.
Lexer Pars.

lunes, 22 de febrero de 2016

Google corrige vulnerabilidad crítica en Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 48.0.2564.116) para todas las plataformas (Windows, Mac y Linux) para corregir una nueva vulnerabilidad crítica.

En esta ocasión la vulnerabilidad corregida, con CVE-2016-162, reside en un salto de la política de mismo origen en Blink y una fuga de la Sandbox del navegador. Según la política de la compañía el reporte de este problema ha supuesto 25.633,7 dólares de recompensa al descubridor del fallo.

Esta actualización se realiza apenas una semana después de que publicara otra actualización que ya corrigió otros seis problemas de seguridad (tres de gravedad alta y dos de importancia media). La publicación de esta nueva versión con tan poco tiempo de diferencia, junto con la cuantía de la recompensa, puede indicar la gravedad del problema corregido; además de la importancia que Google presta a la seguridad de su navegador.

Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Saludos.
Lexer Pars.

domingo, 21 de febrero de 2016

Santander contrata un ciberseguro mundial para protegerse de los 'hackers'

En 2015, un grupo de delincuentes digitales estafó cerca de 1.000 millones de dólares a unos 100 bancos presentes en 30 países tan dispares como Rusia, China, Holanda, Suiza, Estados Unidos y Japón. Los afectados trataron de guardar silencio sobre este sofisticado ataque en el que se tuvo que implicar el FBI y la Interpol. A raíz de aquello, las entidades financieras mundiales han comenzado a tomar medidas para protegerse contra estos nuevos ladrones invisibles, que ponen en jaque miles de transacciones diarias. En España, el primero en hacerlo ha sido Banco Santander, que ha contratado un seguro con cobertura global para cubrirse del riesgo de la ciberseguridad.

Fuentes oficiales de la institución presidida por Ana Botín reconocen que el pasado año se firmó una póliza con alcance mundial por el aumento de los incidentes relacionados con los ataques informáticos que está sufriendo el sector financiero en general y el Banco Santander en particular. “Dada la importancia y potencial impacto de este riesgo, el banco sigue impulsando medidas preventivas de cara a estar preparados ante incidentes de esta naturaleza”, explica en un documento público.

El seguro se ha firmado con Zurich Insurance, con dos tipos de cobertura. Una para cada banco local y otra para la institución a nivel global. Se desconoce la prima que ha pagado Banco Santander por esta póliza, una novedad mayúscula en el sector financiero. Una necesidad provocada por el temor a que las cuentas y los datos personales de los clientes puedan ser robados, como le ocurrió en 2014 a JP Morgan Chase, cuando vio cómo cuatro 'hackers' se llevaron 80 millones de cuentas bancarias. Su presidente, Jamie Dimon, dijo en ese momento que sufrían ataques a diario y que gastaba unos 190 millones de euros al año para protegerse, con un departamento de 1.000 empleados para poner cortafuegos.


Anteriormente, la cadena de supermercados 'online' Target también sufrió un robo masivo de los datos de tarjetas de crédito de 40 millones de clientes. El grupo 'retail' ya tenía en ese momento un seguro contra los ciberataques, por lo que pudo compensar a sus clientes. Lo mismo le sucedió en 2014 al gigante del bricolaje Home Depot, víctima de unos 'hackers' que se quedaron con datos de 56 millones de consumidores.

Santander no cuantifica cuánto destina a esta amenaza, pero sí reconoce que tiene “una total atención ante los riesgos relacionados con la ciberseguridad, que afecta a todo tipo de empresas e instituciones. Esta situación, que genera preocupación en entidades y reguladores, impulsa a adoptar medidas preventivas para estar preparados ante ataques de esta naturaleza”. La entidad ha elaborado lo que llama Santander Cyber-Security Program para ser implementado en todos los bancos del 'holding' con el fin de establecer tres líneas de defensa, un eje de actuación de ciberresiliencia y un control de accesos y segregación de funciones.

El grupo ha evolucionado su modelo interno de referencia de ciberseguridad, inspirado en estándares internacionales (entre otros, el 'framework' del NIST -National Institute of Standards and Technology- norteamericano). A su vez, ha continuado con la implantación de los planes directores de ciberseguridad en las diferentes filiales, con unos presupuestos específicos para la mejora de los mecanismos de protección ante problemas de ciberseguridad en las distintas subsidiarias y geografías del grupo, con la contratación de un ciberseguro con alcance corporativo y la mejora de los servicios de monitorización de la seguridad (Security Operations Center o SOC).

La entidad realiza ejercicios de entrenamiento en diversos países, destinados a valorar la repuesta de las empresas ante este tipo de incidentes. En paralelo, ha lanzado un programa de formación para empleados del banco en esta materia, materializado en un nuevo curso en la plataforma de 'e-learning'.
BBVA también firmó a finales del pasado año un seguro similar con AIG ante los constantes casos de fraudes con tarjetas de crédito, la suplantación de la identidad de los clientes y las potenciales brechas de seguridad tanto en la banca móvil como 'online'. Caixabank está asimismo analizando seguir los mismos pasos. Los propios organismos reguladores están aconsejando a las entidades financieras protección adicional de los clientes por la expansión de este tipo de delitos electrónicos.

Saludos.
Lexer Pars.

sábado, 20 de febrero de 2016

Un ataque hacker deja KO a la banca online del HSBC

El mayor banco de Europa, el británico HSBC, informó públicamente que había sufrido un ataque terrorista, perpetrado sobre su sistema bancario online y orquestado por hackers, aunque aún ningún grupo ha reinvindicado el ataque.
Según detalla Wired, el banco ha indicado que logró defenderse con éxito del ataque, provocando menos perjuicios de los que podrían haberse producido. Aún así, han sido muchos los usuarios afectados.
El HSBC ha informado del ciberataque a sus clientes, disculpándose por las molestias que haya podido causarles, puesto que muchos no pudieron acceder a sus cuentas a través de Internet. Mientras tanto, los responsables de la entidad han asegurado que ya trabajan con la Policía para detener a los “delincuentes responsables”.
El ciberataque se produjo durante el último día laborable de enero, coincidiendo no sólo con el día de cobro de salarios de los trabajadores, sino también con el plazo para presentar la declaración de la renta en Reino Unido, que se ha extendido hasta el último día de enero no laborable, al igual que ha ocurrido en España con las declaraciones trimestrales y anuales.
Finalmente, el banco HSBC asevera que los datos personales de los clientes no se han visto comprometidos y que las transacciones de los clientes no se han visto afectadas por el ciberataque; así como también que “el servicio habitual ya ha sido reanudado”.

Saludos.
Lexer Pars.

viernes, 19 de febrero de 2016

Un viaje a la web oscura, el rincón del crimen en la red

Hay un lado oscuro en la web: un conjunto de sitios que están siendo usados por los criminales como soporte para sus actividades ilícitas. Recibe varios nombres: darknet, dark web, internet oscura o internet oculta.

La internet oscura adquirió fama en el 2013, cuando se descubrió que, en uno de sus resquicios, existía una tienda que vendía narcóticos, armas, pornografía infantil e, incluso, servicios de asesinos profesionales. Se llamaba Silk Road o 'Ruta de la seda', en español. Cayó como resultado de un operativo del FBI. El escabroso descubrimiento visibilizó la gestación de un inframundo en la web, un paraíso para los criminales, donde podían llevar a cabo sus fechorías con facilidad, sin ser detectados por las autoridades.

Un estudio de la Universidad de Portsmouth (Reino Unido) reveló que cuatro de cada cinco visitas (80 por ciento) al territorio oculto de la red se relacionan con portales de contenido pedófilo.

Las visitas restantes se dirigen a sitios enfocados en drogas, contrabando, cibercrimen, armas, entre otros. Llegar a la zona más oscura es difícil para los usuarios del común. Portales a semejanza de Silk Road han proliferado en los últimos años. Las direcciones de los sitios usados por los criminales son difíciles de obtener. Por lo general, son compartidas entre personas que están involucradas con grupos al margen de la ley y no se distribuyen de forma pública.

Estas direcciones se caracterizan por concluir con el sufijo ‘.onion’, en lugar de '.com' o '.net'. Algunas entidades han intentado enlistar y categorizar los sitios de la web oscura, pero ha resultado ser un esfuerzo vano, pues la mayoría de vínculos pierden validez en el corto plazo.

Se estima que la web profunda recibe unos 2 millones de visitas de todo el mundo a diario. En Colombia aún no es muy usada. El canadiense Eric Jardine, investigador del Centro de Innovación para la Gobernanza Internacional afirma que, desde el país, se reportaron 11 millones de instancias, para un promedio de 916.000 al mes y 30.000 diarias. "No es demasiado, si se compara con el contexto internacional, pero supuso un salto significativo con respecto a años anteriores, cuando apenas se registraba actividad en aquel ámbito de lo virtual", explica.

Uno de los factores que impulsó el uso de la web oscura en los últimos años fueron las revelaciones de Edward Snowden, relacionadas con la vigilancia de la Agencia Nacional de Seguridad de Los Estados Unidos a diversos niveles y actores de la sociedad. Ello avivó el interés de los ciudadanos por proteger su información. 

La web oscura es una de las tres partes en las que se ha dividido el universo virtual, como lo explica Jardine a Tecnósfera: “La primera capa de la web, o superficial, es aquella donde los usuarios consumen la mayor parte de su tiempo. Es una porción pequeña del entramado de sitios existente; incluye todo lo que es accesible por motores de búsqueda como Google o Yahoo”.

“Después encontramos la web profunda, que es 500 veces más grande que la internet superficial. Incluye el trasfondo de sitios de banca electrónica, de muros de pago y los sistemas de intranet de las empresas. Por último nos topamos con la web oscura -una suerte de subdivisión de la web profunda-. Está compuesta por entre 30.000 y 80.000 sitios. Lo que define esta capa es que todo lo alojado ahí se navega de forma anónima y sus contenidos son de cuestionable legalidad”, añade.

La web oscura, en constante evolución

El navegador predilecto para acceder a las capas profundas de la web es Tor, aunque existen otras plataformas, como Freenet, que también ofrecen privacidad a los usuarios.

Estos navegadores se pueden utilizar tanto para visitar sitios de la web superficial, como Facebook, como sitios de la internet oscura. Un porcentaje mayoritario de los usuarios (alrededor del 90 por ciento) no acuden a Tor y similares para sumergirse en los ámbitos delictivos, sino para proteger su identidad cuando acceden al ciberespacio. 

La mayoría de sitios creados en la web oscura no se mantienen en línea por más de una semana. Ello dificulta la labor de las autoridades. 

"Ciertos grupos policiales han adoptado estrategias exitosas para atrapar a los criminales, pero, para la mayoría, sigue implicando un esfuerzo mayúsculo, un desgaste con exigua recompensa", aseveró Pablo Ramos, experto en seguridad informática de Eset, en entrevista a este medio.

Romper el blindaje de Tor es un desafío mayúsculo. "Existe evidencia de que algunos científicos han logrado descifrar bloques de tráfico que fluyen a través de la web profunda. Analizan el tráfico que entra y sale de la red y lo correlacionan con otras variables para conjeturar la identidad de quienes acceden. Incluso, las fuerzas policiales, durante el desarrollo de un operativo, han conseguido desenmascarar la identidad de ciertos usuarios. Lo lograron infectando ciertos servidores con programas maliciosos", profundizó el experto del Centro de Innovación para la Gobernanza Internacional.

No obstante, cuando las personas encargadas del proyecto Tor descubren esas brechas de seguridad en el sistema, lanzan actualizaciones para cerrar la falencia advertida. En ciertos lapsos, han existido fisuras en la coraza de Tor, pero la tecnología ha cambiado para seguir siendo anónima y segura.

Grupos como Al-Qaeda o el Estado Islámico han usado esta plataforma como medio para congregar a sus militantes. 

"Cabe aclarar que no todos los crímenes se cometen en esa capa de la web. Muchos de ellos aún se orquestan en la internet superficial, como es el caso del lavado de dinero, pero hemos registrado un incremento en el uso de la internet profunda debido a que los grupos ilícitos han ido percibiendo sus bondades", manifestó Jardine.

"Algunos cibercriminales crean sitios en la web oscura que son utilizados para recaudar dinero por tiempo limitado. Diseñan un programa malicioso, denominado 'ramsonware', que cifra los contenidos del teléfono celular o del equipo de cómputo. A cambio de retornar el acceso a los datos, el atacante solicita el pago de un monto, una suerte de 'rescate' a cambio de liberar la información capturada. La transacción se completa en una página alojada en la internet oculta, utilizando la moneda virtual bitcoin en la mayoría de los casos", advirtió Ramos, de Eset.

También es usada con fines benignos

La web profunda inició como una red creada por el ejército de EE. UU. para garantizar una plataforma de comunicación segura, e imposible de rastrear, para sus soldados. "En los años noventa, se liberó el código, de modo que cualquiera pudo acceder a él y replicarlo, y se fundó el Proyecto Tor", contó Jardine.

El Proyecto Tor sigue vinculado con el gobierno de los Estados Unidos. No de forma directa, pero aporta dinero para su mantenimiento. "La lógica detrás de mantener con vida una red de estas características es que se puede usar para fines benéficos bajo ciertas circunstancias", aseguró Jardine.

“En la actualidad es usada para alojar sitios legales relacionados con cierto tipo de información, como todo lo relacionado con avistamiento de ovnis y contenidos similares. Por otro lado, es una herramienta utilizada por ciertos ciudadanos de regímenes opresores para evitar la censura y para garantizar la seguridad y el anonímato de sus actividades en línea”, dijo Pablo Ramos, experto en seguridad informática de Eset.

Tendencias

1. Su uso crece a ritmo acelerado. Es un problema significativo para las autoridades. Encontrar a un cibercriminal en la web oscura es tan difícil como hallar una aguja en un pajar. Y ese pajar cada día es más grande. 

2. Algunos gobiernos condenarán el uso de Tor y sistemas similares. Así como han surgido debates relacionados con la conveniencia de soportar el crecimiento de plataformas de mensajería con tecnologías de cifrado, lo mismo ocurrirá con la internet profunda: empezará a enfrentar el cuestionamiento de grandes organizaciones globales.

3. Su uso por parte de criminales aumentará. "No es algo difícil de discernir. Su popularidad entre las organizaciones ilícitas crecerá en los próximos años y ello supone un desafío para los gobiernos", concluye Jardine.
Fuente: eltiempo.com
Saludos.
Lexer Pars.

jueves, 18 de febrero de 2016

Cibercrimen ataca a 40% de internautas mexicanos

La ciberdelincuencia en México cobró en 2015 un total de 101 mil 400 millones de pesos, 13 veces más que lo obtenido por fraudes bancarios en el país el año previo, revelan estimaciones de la firma de seguridad en internet Symantec. 

Además, la incidencia de ciberataques en el país es alta, pues de acuerdo con el estudio, el 40 por ciento de los 54.9 millones de internautas mexicanos sufrió de al menos un cibercrimen. 

“Encontramos que México se encuentra en un segmento de riesgo alto por el número de incidencias que se dieron de cibercrimen. Durante el 2015 analizamos que el costo por estos hechos fue de 101.4 mil millones de pesos”, dijo en entrevista Héctor Pérez, gerente de e-commerce de Symantec para América Latina. 

En 2014, a través de fraudes bancarios se obtuvieron 7 mil 300 millones de pesos en México, según gún cifras de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros. 

En los ciberdelitos los atacantes encuentran y explotan una vulnerabilidad en un sitio para obtener el control, de acuerdo con Symantec. 

La compañía basada en California reportó que el gasto promedio por mexicano afectado fue de 5 mil 82 pesos. 

“Este es un promedio del costo de lo que pagaron los usuarios por recuperar su información o por dejar sus dispositivos libres de amenazas”, detalló el especialista. 

Pese a que la compañía no maneja un estudio similar de años anteriores, Pérez explicó que la incidencia se puede comparar con la de otros países con mayor número de personas conectadas, entre ellos Japón y Estados Unidos, que tuvieron una incidencia de ataques del 7 por ciento y del 35 por ciento, respectivamente. 

“Esto nos confirma que estamos rezagados a nivel internacional por el tipo de medida que tenemos como usuarios”, explicó. 

Respecto al gasto promedio realizado a nivel mundial, el reporte realizado por la firma especializada en ciberseguridad arrojó que fue de 6 mil 86 pesos, mil pesos más que los mexicanos. 

Pérez consideró que dentro de los principales factores de la alta incidencia de ciberataques en México está la falta de conciencia o falta de la cultura del usuario por la seguridad, pues muchas personas no toman medidas de seguridad, ni siquiera las que se consideran básicas, como una apropiada contraseña. 

Otro de los factores es que los mexicanos suelen acceder a portales que no necesariamente son seguros y dan datos sensibles, explicó el experto. El reporte de Symantec estima que en el mundo, un total de 594 millones de personas fueron víctimas de la ciberdelincuencia.

Saludos.
Lexer Pars.

miércoles, 17 de febrero de 2016

Ataque de fuerza bruta router claro guatemala

Claro distribuye diferentes tipos de router, todos con claves por defecto, en el panel de administración web, algunas credenciales ya conocidas son admin,-c1@r0, admin-!T3lgu@,root-root, etc. 

Desde luego, dejar las credenciales en este estado es una mala practica que en la actualidad se encuentra en la mayoría de dispositivos de red utilizados en hogares y organizaciones. Estos paneles permiten gestionar la red, haciendo configuraciones que pueden ser desde muy básicas hasta avanzadas. Pueden habilitar VLAN, para crear redes virtuales, utilizar los puertos del nat, dejar sin internet a los demas usuarios, entre otra multitud de configuraciones.

Lo ideal es cambiar la clave del administrador y verificar si tiene mas usuarios habilitados y cambiar la clave o inhabilitarlos. Desde luego al momento de fijar una clave, habrá que elegir una clave lo suficientemente robusta, como para no ser un blanco fácil ante un ataque por fuerza bruta. 

Sin embargo, puede que estés en algún aprieto, pues, es usual que ciertos usuarios, realicen ciertas configuraciones en el router, y al momento de intentar acceder, te das cuenta que haz olvidado la clave o que alguien mas te hizo el favor de cambiarte la clave del router. Para ello tienes soluciones, la mas practica es hacer un reset al router, para dejarlo con todos los parámetros de configuración por defecto.

El otro caso es realizar un ataque de fuerza bruta contra el dispositivo, para adivinar la clave. Para ello puedes hacerlo con un script hecho en python. Basta con indicarle la puerta de enlace, el usuario y el diccionario bajo el cual se realizara el ataque de fuerza bruta. Sin embargo cabe mencionar que el proceso puede durar minutos, horas o días dependiendo de la complejidad de la clave fijada.

 Imagen 1: Ataque de fuerza bruta a router.

Así que ya sabes a cambiar la clave del router, y asegúrate que la clave, sea lo suficientemente compleja, como para soportar cualquier ataque de fuerza bruta.

Saludos.
Lexer Pars.

martes, 16 de febrero de 2016

Piratas informáticos tomar como rehén a hospital

Muchas de las computadoras del Hollywood Presbyterian Medical Center de Los Ángeles comenzaron a tener problemas durante el transcurso de esta semana por un ataque a la red interna del sistema. Los pacientes debieron ser trasladados debido a la imposibilidad de utilizar los equipos.

Todos las plataformas tecnológicas que se encontraban conectadas a la red se encuentran offline debido a un ataque hacker. Desde el hospital confirmaron que este grupo exige 3.6 millones de dólares para decriptar el sistema y los archivos del centro. Mientras tanto, los servicios básicos se encuentran operacionales y los registros médicos se están realizando en papel.

Todavía no se confirmó el alcance total de este ataque informático, el tipo de ransomware que infectó la red o cómo ingresó al sistema. Según el sitio de noticias sobre seguridad informática CSO, el incidente fue “aleatorio” y explicaron que posiblemente haya sido un empleado que clickeó por error un link malicioso lo que llevó al malware a través de la red.

Este incidente se trata de uno de los más llamativos en la historia reciente, aunque no se trata del primero que impacta en una institución completa. Escuelas públicas y departamentos de policía de todo el mundo ya sufrieron ataques de esta índole en los últimos años.

Por ahora, este caso quedó en manos de la policía local, el FBI y varias agencias internacionales que se sumaron a la búsqueda de los responsables y la solución de este ataque.
Saludos.
Lexer Pars.

lunes, 15 de febrero de 2016

Hackers toman el control de un baño en Japón

Un experto en seguridad en Internet de Panasonic ha revelado que unos piratas informáticos han conseguido tomar el control de un baño. Hikohiro Lin, jefe del equipo de seguridad de producto de la firma, ha explicado que los investigadores han descubierto que estos hackers lograron controlar un inodoro japonés que se controloba por bluetooh.


Estos baños futuristas son más vulnerables a los cíberasaltos ya que varias de sus funciones se controlan con un smartphone. Precisamente, los hackers descubrieron que uno de esos baños de alta tecnología estaba protegido con una única password. Así, tomaron el control del baño permitiéndoles tirar de la cadena en el momento más inoportuno o incluso sorprender a la gente con un chorro inesperado de agua en sus partes íntimas.

Saludos.
Lexer Pars.

domingo, 14 de febrero de 2016

Pirata informatico de 16 años detenido por hackear la CIA y la Casa Blanca

La policía británica ha emitido un comunicado en el que afirma que ha detenido al famoso pirata informatico Cracka, que ha traido de cabeza a las autoridades en los últimos meses.
Cracka había ganado notoriedad en la Red al hackear el correo personal del director de la CIA, John Brennan, del director de la NSA, James Clapper, y del consejero de ciencia y tecnología de la Casa Blanca, John Holdren. Además está acusado de publicar en Internet, el pasado año, la información privada de más de 30.000 empleados del gobierno norteamericano.
Cracka ha resultado ser un adolescentebritánico de 16 años. O al menos eso es lo que afirma la policía, porque tanto el propio detenido como otros hackers aseguran que este joven no es el verdadero Cracka.
La unidad británica contra el crimen SEROCUinsiste en que el adolescente está implicado en estos delitos de violación de la privacidad y robo y divulgación de información gubernamental. Delitos por los que podría ser condenado a varios años en un reformatorio.
Saludos.
Lexer Pars.

sábado, 13 de febrero de 2016

Analizando malware (Entorno para análisis dinámico de malware )

Al momento de analizar dinamicamente el malware es necesario contar con un entorno seguro y aislado sin riesgos de  infección en otras estaciones de trabajo. Para ello, utilizaremos una maquina virtual, hay distintos programas que permiten virtualizar un S.O. e mi caso utilizare VirtualBox. Cabe mencionar que en algunas ocasiones al momento de analizar el malware lo mas recomendado es utilizar una maquina física, ya que el malware puede presentar un comportamiento diferente al ser ejecutado en una maquina virtual. 

El proceso de para crear y configurar una maquina virtual es bastante sencillo, yo utilizare un sistema con Windows 7 y con una conexión en modo NAT.

Imagen 1: Configuración adaptador de red maquina virtual.

La conexión a internet es bueno establecerla, pues en muchas ocasiones el malware lo necesita para bajar mas ficheros que estará utilizando, sean estas bibliotecas de enlace dinámico u otros archivos, sin embargo, es importante mantener este tipo de conexión, para  mantener aislada la maquina del resto de la red y evitar que el malware se pueda propagar a otras estaciones de trabajo.

Las demás características de la maquina virtual puedes dejarla con valores por defecto, o personalizarlos según sean las necesidades que tengas y desde luego las capacidades de tu ordenador.

Saludos.
Lexer Pars.   

viernes, 12 de febrero de 2016

Maybe una sandbox para Linux

Al trabajar en entornos Linux, muchas veces es necesario correr scripts de los cuales no tenemos idea de lo que realiza sobre el sistema y en ciertas ocasiones es necesario ejecutarlos son permisos de root. Si bien es cierto en este sistema operativo la cantidad de malware es realmente muy escasa la posibilidad de infectarse siempre existe.

Otra situación que suele ocurrir, son los fallos inesperados a causa de la ejecución de un script, que cambia alguna configuración sobre el sistema, en cualquier caso, siempre es bueno disponer de una herramienta para evaluar que cambios se realizan sobre el sistema.

Maybe puede proporcionarte una Sandbox, bajo la cual puedes correr los scripts y darle un seguimiento de que hace, ademas de ello puede simular los privilegios de root.

  Imagen 1: Maybe en acción.

Así que si aun no utilizas esta herramienta, deberías empezar a implementarla y verificar que tus scripts ademas de de no contener código malicioso, realicen una acción o cambio sobre el sistema que no desees.

Saludos.
Lexer Pars.

jueves, 11 de febrero de 2016

Microsoft publica 13 boletines de seguridad

Este martes Microsoft ha publicado 13 boletines de seguridad (del MS16-011 al MS16-022 y el MS16-009) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico" mientras que los siete restantes son "importantes". En total se han solucionado 67 vulnerabilidades.

  • MS16-009: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 13 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-0041, CVE-2016-0059 al CVE-2016-0064, CVE-2016-0067 al CVE-2016-0069, CVE-2016-0071, CVE-2016-0072 y CVE-2016-0077).


  • MS16-011: Boletín "crítico" que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan seis vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-0060 al CVE-2016-0062, CVE-2016-0077, CVE-2016-0080 y CVE-2016-0084).

     
  • MS16-012: Boletín "crítico" que resuelve dos vulnerabilidades (CVE-2016-0046 y CVE-2016-0058) que podrían permitir la ejecución de código si Microsoft Windows PDF Library trata inadecuadamente llamadas API.

     
  • MS16-013: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2016-0038) en Windows Journal que podría permitir la ejecución remota de código si un usuario abre un archivo de Journal específicamente creado.

     
  • MS16-014: Boletín de carácter "importante" destinado a corregir cinco vulnerabilidades en Windows, la más grave de ellas podría permitir la ejecución remota de código. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10. (CVE-2016-0040 al CVE-2016-0042, CVE-2016-0044 y CVE-2016-0049)

    
  • MS16-015: Destinado a corregir seis vulnerabilidades "críticas", la más grave de ellas podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office. (CVE-2016-0022, CVE-2016-0052 al CVE-2016-0056)

     
  • MS16-016: Boletín "importante" que soluciona una vulnerabilidad (CVE-2016-0051) de elevación de privilegios si un atacante usa el cliente WebDAV (Web Distributed Authoring and Versioning) para enviar una entrada específicamente creada a un servidor. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10.


  • MS16-017: Boletín considerado "importante" que resuelve una vulnerabilidad (CVE-2016-0036) que podría permitir la elevación de privilegios si un atacante autenticado accede al sistema a través de RDP (Remote Desktop Protocol) y envía datos específicamente manipulados sobre la conexión.

     
  • MS16-018: Boletín "importante" que resuelve una vulnerabilidad (CVE-2016-0048) de elevación de privilegios en los controladores modo kernel de Windows. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10.   


  • MS16-019: Boletín "importante" que resuelve dos vulnerabilidades en Microsoft .NET Framework, la más grave de ellas podría permitir la realización de ataques de denegación de servicio. (CVE-2016-0033 y CVE-2016-0047).

     

  • MS16-020: Boletín de carácter "importante" destinado a corregir una vulnerabilidad de denegación de servicio en Active Directory Federation Services (ADFS). (CVE-2016-0037)

     
  • MS16-021: Destinado a corregir una vulnerabilidad "importante" (CVE-2016-0050) que podría provocar denegaciones de servicio en un Network Policy Server (NPS) si un atacante envía cadenas de nombre de usuario específicamente manipuladas al NPS, lo que podría evitar la autenticación RADIUS en el NPS.

     
  • MS16-022: Boletín "crítico" que soluciona 22 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 y Windows 10; correspondientes al boletín APSB16-04 de Adobe. Por primera vez esta actualización se distribuye dentro de los boletines de Microsoft.



Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Fuente: Hispasec

Saludos.
Lexer Pars.

miércoles, 10 de febrero de 2016

Museo de malware

Hace poco tiempo archive.org ha publicado una colección de software malicioso de la época de los 80 y 90,  la mayoría del malware dedicado a la denegación de servicio. Cuando el malware lograba la infección mostraba mensajes para burlarse del usuario.  

Imagen 1: Ejecución de malware.

Una ventaja de este museo es que ademas de contar una gran colección de este malware, es la eliminación de todas las rutinas maliciosas y la utilización del emulador DOSBOX, permitiendo así experimentar de manera segura y sin riesgo alguno con cada uno de estos malwares, mediante tu navegador.  

Si quieres echar un vistazo, y apreciar como se desarrollaba el malware de esa época, visita el museo de malware.

Saludos.
Lexer Pars.

martes, 9 de febrero de 2016

Pirata informático propalestino filtra datos de 20 mil empleados del FBI

Un grupo de piratas conocido en Twitter como DotGovs publicó los datos de contacto de 20 mil funcionarios de la FBI (la Oficina Federal de Investigación) y de 9 mil funcionarios del DHS (Departamento de Seguridad Nacional de los Estados Unidos), informa el sitio web Motherboard.

Los archivos filtrados contienen los nombres, descripciones, números de teléfono y las direcciones de correo electrónico de los oficiales. Los piratas obtuvieron acceso a la información personal de los trabajadores de la DHS al descifrar la base de datos de la institución.

El tuit publicado por el grupo va acompañado por el hashtag #FreePalestine. En la cuenta fueron publicados previamente llamamientos para romper las relaciones entre EEUU e Israel.
El Departamento de la Justicia (DOJ) ya inició la investigación del ciberataque. El portavoz del ente comentó que "al día de hoy nada señala que ha ocurrido un robo de información importante".
Empleados de la oficina de personal de la Casa Blanca (archivo)

Los piratas prometieron filtrar los datos de los oficiales en un mensaje enviado a Motherboard el 7 de febrero y el día siguiente cumplieron con su promesa.
Los cibercriminales lograron entrar en la red interna de FBI al hackear el correo electrónico de uno de los empleados de la oficina. El pirata engañó al funcionario para obtener el código de acceso al portal y descargar la información. Las bases de datos de la FBI y DHS resultaron estar en la intranet del Departamento de Justicia.
Hasta la fecha los representantes de la Oficina Federal de Investigación no han comentado sobre el incidente.

Imagen 1: Publicaciónen twitter de la filtración.

Fuente:  sputniknews.com

Saludos.
Lexer Pars.


lunes, 8 de febrero de 2016

Analizando malware (archivos PE y Biblioteca de enlace dinamico)

Continuando con el análisis de malware, un aspecto importante en la parte de análisis estático es el formato del archivo. Un formato muy utilizado es PE (Portable Executable),  es un formato de archivo para los archivos ejecutables , código objeto , DLLs , archivos FON Font,  y otros utilizados en las versiones de 32 bits y 64 bits de  sistemas operativos Windows. El formato PE es una estructura de datos que encapsula la información necesaria para el cargador del sistema operativo Windows para gestionar el código ejecutable. Esto incluye las referencias de biblioteca dinámicas de vinculación , la API de exportación e importar tablas, datos de gestión de recursos y el almacenamiento local de subprocesos de datos (TLS).

Parte de la información que puede extraerse para el análisis, es la importación de código de librerías o bibliotecas de otros programas que son ejecutadas por el malware mediante la vinculación La forma de vinculación de librerías suele hacerse de 3 formas:


  • Vinculación de manera estática: Este tipo de vinculación es poco utilizada, pues implica la incorporación de todo el código de cada librería, lo cual incrementa el tamaño del ejecutable      
  • Vinculación en tiempo de ejecución. Este otro tipo de vinculación utilizado por el malware , mantienen la ejecución del programa limpia y conectan con las librerías en tiempo de ejecución , únicamente cuando es necesaria alguna función. Suele encontrarse funciones del tipo LoadLibrary y GetProcAddress  
  • Vinculación dinámica: Es el tipo de vinculación mas utilizado por el malware, al igual que en la vinculación en tiempo de ejecución, se encuentran funciones del tipo LoadLibrary y GetProcAddress, en el encabezado del archivo PE, se puede encontrar información de todas las librerías que serán cargadas, así como cada funcion que sera utilizada por el malware.     
Esa información puede proporcionarnos una idea de tipo de acciones estara realizando el malware sobre el sistema. Para explorar las librerías podemos utilizar Dependency Walker.  


Imagen 1: Librerías en malware Guabit.

 Para saber que hace cada librería, se puede buscar la documentación de cada una.

  • GDI32: Esta librería contienen funciones para la manipulación de gráficos.
  • Kernel32:  Esta librería es muy importante, pues permite el acceso y la manipulación de memoria, archivos y hardware.
  • ADVAPI32: Esta librería proporciona acceso y manipulación al registro de Windows.
  • WSOCK32: Permite la utilización de funciones de red.
En el malware que desarrollamos con anterioridad, estas librerias ya nos dan la pauta que el malware altera el registro de Windows, puede realizar conexiones de red y puede manipular memoria, archivos y hardware.

Saludos.
Lexer Pars.

domingo, 7 de febrero de 2016

HackerList un sitio para contratar hackers

HackerList es un sitio donde puedes contratar los servicios de un hacker, que pueda ayudarte a resolver un problema que tengas. Aunque el propósito del sitio web es dotar de una ayuda a usuarios particulares y empresas en temas de seguridad y tecnología, los medios de comunicación suelen cambiar el enfoque de de las noticias en muchas o veces.

  Imagen 1: Sitio hakerlist.

Esto sin duda es problema, pues surgen proyectos ilegales, como los clásicos que ya tu sabrás, consigue el password de mi pareja, infecta el móvil, haz un ataque de denegación de servicio, entre otros. Aunque cuando surgió en 2014 estaban muchos profesionales de la seguridad y empresas, muchos de ellos desertaron del sitio a causa de dichas  peticiones por parte de los clientes.

De igual forma han surgido muchos proyectos completamente legales y de buena fe donde hackers ayudan a personas o empresas con los problemas de seguridad con los que cuentan. Lo mejor de este sitio es que al presentar tu proyecto tendrás un grupo de profesionales de la seguridad dispuestos a trabajar en tu proyecto ya es cuestión de elegir acorde a tu presupuesto.

Saludos.
Lexer Pars.


sábado, 6 de febrero de 2016

Un hacker tarda 10 minutos en descifrar una contraseña de seis letras

Todavía hay muchos usuarios que no ponen las suficientes barreras para que los hacker les roben sus contraseñas. Son muchos los que, para que no se les olvide, utilizan la típica 123456, o password o su fecha de nacimiento o su número de teléfono. Conseguir descrifrarlas les puede llevar poco más de 10 minutos. Según Google, ese es el tiempo necesario para hackear una contraseña de seis caracteres minúsculas. Hasta tres años para hackear una contraseña de ocho caracteres de ocho caracteres con algunas letras mayúsculas y hasta 44.530 años para hackear una contraseña de nueve caracteres con números y símbolos.

8 consejos que te pueden ayudar a mejorar tu privacidad y seguridad
1. Crea una contraseña más segura Es esencial que elijas contraseñas seguras y diferentes para cada una de tus cuentas y deberías cambiarlas periódicamente. Cuanto más larga y compleja sea tu contraseña, más difícil será averiguarla. La incorporación de números, símbolos, letras mayúsculas y minúsculas dificultará el proceso para que otras personas consigan descifrarla. No uses‘123456’ o ‘contraseña’ y evita el uso de información disponible de forma pública como, por ejemplo, tu número de teléfono.

2. Duplica la seguridad con la verificación en dos pasos. De esta manera, habrá dos filtros de seguridad: uno que conoces (tu contraseña) y otro que te enviarán (un código que se manda a tu teléfono móvil). Si tienes habilitada esta opción, Google te enviará un código de acceso a tu teléfono móvil cuando alguien intente acceder a tu cuenta desde un ordenador desconocido. 

3. Encuentra un dispositivo perdido y bloquéalo o borra su contenido remotamente. Si has perdido un dispositivo Android, puedes utilizar la herramienta ‘Administrador de Dispositivos Android’ donde tras acceder a tu cuenta, te mostrará en un mapa el lugar aproximado donde se encuentra el dispositivo perdido, cuándo se usó última vez y qué quieres hacer con él: “hacerlo sonar”, “bloquearlo” o “borrar el contenido”.

4. Dedica dos minutos a comprobar el estado de seguridadde tus cuentas Desde “Mi cuenta” de Google tienes un fácil y rápido acceso a los ajustes y herramientas necesarios para gestionar los datos que tienes con nosotros. En cuestión de minutos puedes realizar una fácil “comprobación de seguridad”: qué datos de contacto existen para hacer una recuperación de información en caso de que fuera necesario, comprobar los dispositivos que tienes conectados, los permisos de tu cuenta, la verificación en dos pasos etc. Por otro lado puedes controlar las búsquedasque has realizado en nuestras plataformas, activar o desactivar la geolocalización, el historial de búsqueda, utilizar los ajustes para configurar qué anuncios quieres que aparezcan basado en tus intereses, saber qué apps y páginas web están asociadas a tu cuenta etc. Incluso llevarte todos tus datos de los servicios de Google y borrar tu cuenta.

5. Obtén resultados de búsqueda apropiados para toda la familia. ‘SafeSearch’ es un filtro automático para evitar el acceso a contenido potencialmente ofensivo o inapropiado para niños. Cuando habilitas esta opción en una cuenta de Google, se bloquea el contenido adulto en los resultados de búsquedas en cualquier navegador y ordenador desde el que hayas accedido con dicha cuenta. Para habilitar ‘SafeSearch’ accede a ‘Configuración de Búsquedas’. En la sección ‘Filtros’ de SafeSearch, marca el cuadro situado junto a la opción ‘Habilita SafeSearch’ y haz clic en ‘Guardar’ en la parte inferior de la página.

6. Evita que otras personas puedan ver el contenido de tu dispositivo. Puedes garantizar la privacidad de tu información con el uso de PIN, contraseñas o patrones de acceso. No permitas que cualquier persona que utilice tu teléfono o tablet pueda acceder a tu contenido personal.

7. Permite que tu navegador gestione tus contraseñas. Si usas los mismos nombres de usuario y contraseñas en diferentes sitios web y los hackers consiguen acceder a uno de ellos, tu información de acceso podrá ser utilizada en todos los demás. Para evitarlo, Chrome puede recordar tus contraseñas y, de esa forma, reducir el riesgo de suplantación de identidad.

8. Recibe una alerta cuando aparezca tu nombre en Internet. La herramienta ‘Me on the Web’ puede ayudarte a conocer y gestionar lo que ven los demás cuando buscan tu nombre en Google. A través de ‘Google Alerts’ puedes estar al tanto de la información que aparezca sobre ti en Internet, además te sugerirá automáticamente algunos términos de búsqueda a los que deberías prestar atención.

Imagen 1: Tiempo estimado descifrar contraseña.

Saludos.
Lexer Pars.

viernes, 5 de febrero de 2016

Conferencia sobre seguridad en redes WiFi

Estamos prontos a realizar una conferencia y taller sobre seguridad en redes WiFi, en donde abordaremos temas de las problemática que existe al momento de acceder a redes inseguras, problemas a los que se enfrenta un usuario estándar y problemas que pueden ocurrir en entornos corporativos. En concreto los temas serán los siguientes:


  • Riesgos en redes WiFi.
  • Fallos y malas practicas de seguridad.
  • Hacking a dispositivos en red.
  • Detección de intrusos.
  • Mecanismos de protección.
  • Evasión de medidas de seguridad.
  • Espionaje y contra espionaje en redes WiFi.


Puedes comunicarte con nosotros a informacion@guatewares.com para reservar o solicitar mas información.
Saludos.
Lexer Pars.

jueves, 4 de febrero de 2016

Un pirata informatico exige 1.500 euros al pósito de Cesantes tras lanzar un ciberataque

Un pirata informático ha mantenido en jaque durante una semana a la Cofradía de Pescadores San Juan de Cesantes, situada en el municipio de Redondela. El hacker, que ha utilizado presuntamente un servidor alojado en Rusia, ha lanzado un ciberataque que ha impedido que el trabajo de la cofradía se desarrollase con normalidad y que el pósito pudiese pagar sus facturas y cobrar a través del banco. «Hace ocho días se fundió de repente la pantalla de los ordenadores, que se volvió completamente azul», explica el patrón mayor de Cesantes, Clemente Bastos.

Una funcionaria del pósito relata que el pirata consiguió un encriptado de todos los archivos y del programa de gestión de la cofradía. A raíz de eso, «quedó todo inutilizado y tuvimos que volver a realizar las subastas a viva voz», cuenta Bastos. «Hemos tenido bloqueadas las cuentas y no hemos podido pagar ni cobrar», añade el patrón mayor.

Bastos indica que el pirata ha conseguido saltarse todos los cortafuegos de seguridad y se han introducido en el sistema. La intención del hacker era clara, como se puso de relieve al cabo de varios días en los que la cofradía no consiguió arreglar la situación. El pasado miércoles recibieron un mensaje del presunto saboteador exigiendo 1.500 euros para restaurar todo el sistema. «No le hemos pagado y hemos denunciado el caso ante el Cuerpo Nacional de Policía», asegura el patrón mayor.

La demanda se presentó ya el primer día en que los informáticos contratados por la cofradía confirmaron que se trataba de un ciberataque en toda regla. «Vamos a ampliar la denuncia inicial formulada a la policía con la del chantaje recibido. En ningún momento hemos creído que fuésemos a recuperar la información si pagásemos, porque hay gente que sufre ataque de este tipo y paga y luego nunca recuperan sus archivos», manifiesta el patrón mayor.

Trabajo ingente
Los técnicos han conseguido volver a poner en funcionamiento el programa y a partir de ahora quedan unos meses de ingente trabajo para volver a introducir los datos perdidos, de los que tienen copia en papel.

Una funcionaria de la cofradía también sufrió otro ataque informático en octubre. «Usaron mi correo para enviar una orden de transferencia a mi banco por importe de 4.800 euros. En esa orden ordenaban a mi entidad a que enviasen el dinero a una cuenta domiciliada en China. En mi banco desconfiaron y me alertaron de lo que pasaba».

Un problema que casi trunca la campaña del choco, que arranca con buenas expectativas
La cofradía de Cesantes ha conseguido recuperar su programa informático justo a tiempo para empezar la campaña del choco, producto estrella de Redondela, que a punto estuvo de complicar el ciberataque. Las perspectivas son buenas: «Hay muchos ejemplares pequeños en la entrada de la ría y eso es buen síntoma», apuntan desde el pósito. En dos días han capturado mil kilos. Se han vendido a un precio medio de seis euros el kilo, empezando la subasta en ocho euros. La mayor parte de los cefalópodos ha sido adquirida por mayoristas que lo comercializan en restaurantes de Madrid y Barcelona, donde este producto está muy cotizado por el certificado de calidad que posee.

Buena fama
La marca choco de Redondela se ha hecho con un hueco importante entre los grandes restauradores, gracias a la calidad del producto y lo bien que se trata antes de servirlo en la mesa. «Los pescadores mantienen las capturas en el agua hasta la hora de la subasta y en cuanto se traen a tierra las capturas se guardan en las cámaras frigoríficas», señala Bastos.

En Redondela hay 31 embarcaciones que capturan este cefalópodo. La mayoría lo hacen mediante el sistema de trasmallo aunque hay tres que emplean el sistema tradicional de las nasas.

Saludos.
Lexer Pars.

miércoles, 3 de febrero de 2016

Analizando malware (ofuscación y empaquetado)

Algunas de las técnicas utilizadas al momento de desarrollar malware consiste en utilizar mecanismos que compliquen el análisis de manera estática el malware. Ello se puede conseguir ofuscando el malware o empaquetandolo o comprimiendolo.


  • Malware Ofuscado: Esta técnica busca ocultar la ejecución del malware como tal, de tal forma que las instrucciones del malware queden protegidas ante los análisis que se pretendan desarrollar en su contra.   
  • Malware Empaquetado o comprimido: Esta técnica busca comprimir el malware, ocultando sobre otro portador. De esta forma al momento de realizar un análisis, se realizara sobre el portador en vez de realizar dicho análisis sobre el malware como tal.  
Como se ha visto un malware o cualquier programa ofrece una gran cantidad de cadenas incorporadas en si y pueden ser extraídas para un análisis estático, una característica bien usual en el malware que ha sido ofuscado o comprimido es que la cantidad de cadenas sera mucho mas limitada. Sin embargo algo usual en malware que se ha ofuscado o empaquetado es encontrar llamadas a las funciones LoadLibrary y GetProcAddress, para obtener acceso a funciones adicionales.  

Para detectar si un programa se ha empaquetado o comprimido podemos utilizar la herramienta PEiD, en el caso del malware que hemos desarrollado no se ha empaquetado no lo esta. Con esta herramienta podemos detectar el tipo de empaquetado, el compilador con el cual se ha desarrollado, lo cual facilita el análisis. Un empaquetado utilizado comúnmente es UPX.

Imagen 1: Detectando empaquetado de Guabit.

Saludos.
Lexer Pars.
  

martes, 2 de febrero de 2016

Samy Kamkar el hacker en youtube

“Hola, soy Samy, bienvenido a mi canal de piratería aplicada”. Con esa frase, Samy Kamkar, un investigador de privacidad y seguridad, también llamado hacker, se introduce en su canal de YouTube, donde muestra los dispositivos que ha creado para abrir garajes, puertas y encender autos a distancia.

Aunque la política de la plataforma prohibe los videos tutoriales que fomenten hackear cualquier dispositivo, parece que este treinteañero es un consentido de ella, y lleva uno de los temas más espinosos en Internet a otra esfera. Samy Kamkar se dedica a demostrar en su canal lo vulnerables que son algunas tecnologías y cómo se exponen los usuarios mediante ellas.

Su canal, Applied hacking with Samy Kamkar, está al aire desde 2011 y los videos incluyen temas sobre seguridad, tecnología y piratería. “Voy paso a paso en la mayoría de estos proyectos para que puedan seguirlos, e incluso hacer mejores cosas. También explico cómo protegerse de este tipo de ataques y doy métodos para mejorar la seguridad en general”, señala Kamkar en su canal.

¿Piratería aplicada?
En uno de sus videos, el hacker muestra cómo abrir puertas bloqueadas de forma automática usando solo un air duster o aire comprimido. Basta rocear los sensores de las puertas para desactivarlas. Con ese ejemplo, Samy explica lo vulnerables que son esos dispositivos y llama la atención de quienes los fabrican.

El portal Techinsider reseña en una artículo que el hacker creó un artefacto de 100 dólares que manipula el sistema que usan algunos autos en Estados Unidos llamado Onstar. Con el equipo que construyó puede desbloquear y encender los automóviles desde su teléfono. El nombre del gadget es Ownstar y el hacker muestra cómo funciona en uno de sus clips.

Ante la exposición que tuvo Onstar, el portal de noticias de tecnología Techinsider consultó a General Motors que declaró estar trabajando en mejorar las fallas del sistema.
La revista Wired señaló a Samy Kamkar como el hacker preferido de YouTube. Entre los grandes éxitos de Samy que la publicación destaca están Ownstar y otro dispositivo al que le dio el nombre de Rolljam (que sirve para desbloquear puertas de garajes); además, MagSpoof, que se hace pasar por una tarjeta de crédito con un número robado.

Jeremiah Grossman, fundador de Whitehat Security, le dijo a Wired que Kamkar logra mostrarle a la gente lo fácil que es hackear aparatos muy comunes. “Cuando haces eso accesible a un público no especializado, es innovador”.
Saludos.
Lexer Pars.