jueves, 31 de marzo de 2016

Kimcilware, ransomware que secuestra tiendas en linea

El ransomware es el tipo de malware más peligroso de los últimos años. Este tipo de software malicioso ataca lo más importante para los usuarios: sus datos. Cuando la infección se lleva a cabo, todos los datos del usuario se cifran con un algoritmo irrompible y se pide el pago de un “rescate” a cambio de la clave de cifrado con la que poder recuperar estos archivos. Los objetivos de esta amenaza, que principalmente han sido los usuarios domésticos, también cambian en ocasiones, pudiendo encontrar alternativas como KimcilWare cuyos objetivos son los servidores de páginas web.

KimcilWare es un nuevo ransomware detectado en las últimas horas por los investigadores de seguridad de MalwareHunterTeam cuyo principal objetivo es el de secuestrar los servidores de diferentes tiendas online, generalmente basadas en Magento, para luego pedir el correspondiente rescate por ellas.

Cuando este ransomware infecta el servidor, este añade la extensión “.kimcilware” a todos los ficheros del mismo. Para que la página web siga funcionando, el malware genera su propio fichero index con el que muestra una pantalla en negro con un texto que indica que el servidor ha sido secuestrado. El pirata informático pide el pago de 140 dólares, obviamente en Bitcoin, por la clave de cifrado con la que recuperar los archivos.


Imagen 1 : Sitio web secuestrado con ransomware.

Por el momento no se sabe cómo se ha podido llevar a cabo la infección. A día de hoy se conocen más de 10 tiendas afectadas por este ransomware, sin embargo, no se sabe cómo las elige el pirata informático. Mientras que la infección podría realizarse mediante una vulnerabilidad en el servidor o en Magento, algunos servidores que alojan varias tiendas online solo han visto comprometidas una de ellas, lo que hace pensar que el pirata informático ataca objetivos concretos y no va solo “a ver qué encuentra”.

Los investigadores de seguridad siguen estudiando este nuevo y hasta ahora desconocido (aunque la primera infección data del 3 de marzo de este mismo año) ransomware, así como intentando encontrar un fallo en la seguridad del mismo que brinde información sobre el pirata informático responsable o que permita descifrar los archivos sin tener que pasar por caja.

Uno de los investigadores de seguridad que se encuentran investigando esta nueva amenaza ha detectado que la dirección de correo del pirata informático, tuyuljahat@hotmail.com, coincide con la de otro ransomware descubierto hace algún tiempo, MireWare. Debido a que este ransomware era una variante de Hidden Tear, es muy probable que el nuevo KimcilWare también lo sea, aunque, a diferencia del primero, este esté enfocado principalmente a tiendas Magento.

Debido a la falta de información, por el momento, las únicas recomendaciones de seguridad que se pueden dar para intentar mitigar esta amenaza es recomendar el uso de contraseñas seguras tanto en el servidor como en el panel de administración de Magento, así como mantener todo el núcleo de la tienda actualizado para evitar que, si la infección de realiza a través de una vulnerabilidad, esta pueda estar comprometiendo nuestro servidor.

Saludos.
Lexer Pars.

miércoles, 30 de marzo de 2016

Hackear cajeros automáticos es cada vez mas fácil

Los cajeros automáticos cada día son más fáciles de hackear. Los bancos no parecen preocuparse por el ordenador que llevan y en la mayoría de los casos son muy vulnerables.

Los ciberdelincuentes lo saben y están aprovechando este fallo, que consiste básicamente en proteger el acceso al depósito y dispensador de billetes, pero no el ordenador.

Para empezar, muchos cajeros automáticos todavía cuentan con Windows XP, el sistema operativo que ya no recibe actualizaciones de soporte y que realmente cuenta con un sistema de seguridad muy anticuado, por lo que es realmente vulnerable, y más para un tema como el que hablamos.

Por otro lado, los cajeros automáticos suelen contar con reproductores Flash desactualizados y que cuentan con miles de errores de todo tipo, incluidos de seguridad. Igualmente, tampoco suele haber soluciones de antivirus para proteger los cajeros, como indican desde Kaspersky Lab.

Además, se advierte que el deposito suele estar blindado para evita el robo directo de dinero, pero en cambio el ordenador se protege únicamente por una carcasa de plástico o un fino metal. Con esto queremos decir que es fácil acceder a los puertos USB y COM de los que disponen estos ordenadores.

Si el atacante es capaz de usar el puerto USB puede introducir software malicioso para hackear fácilmente el cajero del banco.

Por último, los cajeros están conectados a Internet o a redes, por lo que finalmente a la red de las redes. Y precisamente parece que gran cantidad de cajeros de bancos están accesibles a través del motor de búsqueda Shodan.

Últimamente se dan más casos de robo de cajeros a través de los puertos USB, o lo que es peor, a través de Internet. Para ello, se inserta malware en los mismos como los creadores por el grupo Carbanak, que consiguió 1.000 millones de dólares gracias a los cajeros automáticos.

Saludos.
Lexer Pars.

martes, 29 de marzo de 2016

Un fallo en Truecaller expone datos de usuarios android

Seguro que más de uno conoce esta aplicación que permite gestionar de una forma relativamente sencilla las llamadas y los mensajes entrantes en el terminal móvil, en este caso con sistema operativo de los de Mountain View. Expertos en seguridad han detectado un fallo de seguridad en TrueCaller que permitiría la exposición de los datos de los usuarios.

La aplicación permite por ejemplo escoger de qué números de teléfono se quiere bloquear las llamadas entrantes o incluso mensajes de texto, pudiendo categorizar estos como spam. Teniendo en cuenta que la aplicación se encuentra disponibles para Android, iOS, Windows Phone, Symbian y Blackberry, sorprende bastante a los expertos que el problema de seguridad esté acotado solo a los terminales con el primero de los sistemas operativos que se encuentran en el listado.

Para todo aquel que no haya utilizado la aplicación hasta este momento, vamos a tratar de ponerle en antecedentes. Cuando un usuario instala la aplicación y se ejecuta por primera vez, solicita al usuario introducir una serie de datos, como por ejemplo el número de teléfono, la dirección de correo electrónico u otros datos personales que posteriormente son verificados utilizando un mensaje de texto. Posteriormente la aplicación no necesita ningún dato más y solo hace uso del IMEI para verificar la identidad del dispositivo.

Es este el problema que han detectado, ya que investigadores de Cheetah Mobile han reconocido que se puede interactuar con el servidor y enviar códigos IMEI generados de forma aleatoria y recibir en muchos casos respuesta con datos relacionados con ese dispositivo.




El problema es que este error permite el acceso a toda la información facilitada por el usuario y no solo eso, también permite modificar esta y solo interactuando con el IMEI. Teniendo en cuenta la cantidad de amenazas existentes en la actualidad que recopilan los datos de los terminales de los usuarios parece sencillo que estos se hagan con este código y puedan utilizarlo de forma fraudulenta, por ejemplo ante esta vulnerabilidad.

Sabiendo que la aplicación está instalada en cien millones de dispositivos Android, desde la aplicación recomienda actualizar a la última versión que ya se encuentra disponible y que permite resolver este problema, o al menos que no se permita acceder a la información de las cuentas sin el consentimiento del usuario.


Esta vulnerabilidad solo es explotable desde el dispositivo Android y aunque parece que no existe en otros sistemas operativos, los responsables del servicio han guardado silencio al respecto.
Saludos.
Lexer Pars.

lunes, 28 de marzo de 2016

El gestor de paquetes de no node js permite propagar malware

Sin lugar a dudas es uno de los software más utilizados a la hora de desarrollar aplicaciones. Hasta este momento Node.js presumía de una seguridad envidiable, pero expertos en seguridad han detectado que su gestor de paquetes permitiría propagar malware con relativa facilidad y sin que el usuario fuese consciente.

También conocido como npm, podría decirse que es igual de importante como apt-get lo es para las distribuciones Linux. Es una de las formas más sencillas de incluir paquetes en un PC o servidor para posteriormente utilizarlos en el desarrollo de proyectos. Teniendo en cuenta que han sido muchos los que han alabado su diseño, no es de extrañar que hoy en día sea uno de los frameworks más querido por los desarrolladores JavaScript.

Pero de acuerdo con Sam Saccone, ingeniero de Google, un fallo detectado en el gestor de paquetes podría hacer tambalear todo el ecosistema JavaScript si lo utiliza un ciberdelincuente experimentado.

Para ponernos en situación de qué es lo que sucede, cuando se produce se utilza npm para obtener un paquete, parece lógico que en primer lugar se realice la descarga y posteriormente la ejecución e instalación del mismo. Hasta aquí podría decirse que todo se encuentra dentro de lo esperado. El problema aparece cuando el gestor permite que algunos paquetes ejecuten script de post instalación siendo este el punto conflictivo que ha encontrado el ingeniero de Mountain View.

Estos scripts se ejecutan haciendo uso de los privilegios que posee el usuario en ese momento, que en muchos casos pueden ser de administrador, convirtiéndose en un problema.Pero no es un problema que se limita solo a este gestor sino que otros también están afectados.

Aunque puede parecer un poco alarmante el problema, la realidad es que no es tan relativamente fácil de aprovechar. En primer lugar el usuario o desarrollador debería descargar el paquete que está equipado con el código malicioso. Tras llevar a cabo esta operación y una vez en el equipo, habría que esperar a los scripts post instalación para lanzar el código malware y que este verifique por ejemplo si el desarrollador está catalogado como autor. De ser así, el gusano informático podría propagar su código al repositorio de este, infectando el contenido legítimo con este código que será a priori descargado por otros usuarios.

Los responsables de npm ya han manifestado que es muy complicado analizar cada uno de los paquetes existentes y que por el momento no se encuentra al alcance y tampoco se espera que se implemente.

Saludos.
Lexer Pars.

domingo, 27 de marzo de 2016

Nueva version de Lynis

Después de varios meses de trabajo la semana pasada se publicó la versión 2.2.0 de Lynis (Linux Auditing Tool), el popular escáner de seguridad de código abierto para sistemas Unix y Linux. 

El mayor cambio en esta versión es la optimización de varias funciones lo que permite una mejor detección y hacer frente a las peculiaridades de cada sistema operativo. Por ejemplo si durante el escaneo se detecta un Apache en el sistema, se realizarán los tests correspondientes y sólo si está habilitada la configuración SSL/TLS realizará las pruebas específicas.

En el área de cumplimiento (HIPAA, ISO27001, PCI DSS, etc.) también se han hecho ajustes para empezar a soportar más pruebas en profundidad para ésto. Eso es ideal para las empresas que tienen la necesidad de cumplimiento en particular, o quieren probar y hacer cumplir los niveles de seguridad en sus sistemas. Eso sí, sólo las versiones Lynis Enterprise (1,5$ - 3$/mes) incluyen todas las pruebas y características.

Luego otra de las cosas buenas que tiene esta herramienta es que no es necesario instalarla, lo que la hace muy flexible y fácil de usar en cualquier sitio (incluso funciona en Raspberry Pi y otros dispositivos de almacenamiento). Sólo tendremos que descargarla, desempaquetarla y a correr:

wget https://cisofy.com/files/lynis-2.2.0.tar.gz
tar -zxvf lynis-2.2.0.tar.gz
cd /lynis
./lynis audit system 




Por último, me ha gustado también el plugin para analizar dockerfiles, que si bien está un poco verde augura una propuesta interesante para analizar la seguridad de los contenedores:

wget https://raw.githubusercontent.com/docker-library/tomcat/ed98c30c1cd42c53831f64dffa78a0abf7db8e9a/8-jre8/Dockerfile | lynis audit dockerfile Dockerfile

Fuente
Saludos.
Lexer Pars.

sábado, 26 de marzo de 2016

Expertos en seguridad dejan al descubierto fallas en navegadores

Se imaginan un evento que reúne a los más destacados investigadores de seguridad, que además de poner a prueba su capacidad, se divierten y, de paso, se quedan con una buena bolsa de premios. Pues ese concurso es el Pwn2Own, conocido por ser la sede de las pruebas de seguridad para los navegadores web más populares en diferentes sistemas operativos.

El certamen, organizado por Hewlett Packard Enterprise, Zero Day Initiative (ZDI) y Trend Micro, se llevó a cabo en Vancouver (Canadá) y dejó, al igual que en anteriores versiones, enormes revelaciones en Appel Safari, Adobe Flash, Google Chrome y Microsoft Edge, que fueron las principales víctimas de los ataques de prueba.

Tras los dos días de competencia, quedaron en evidencia 21 nuevas vulneraciones, se entregaron 460 mil dólares en premios y dejó al coreano Jung Hoon Lee, experto en seguridad y permanente participante, como al gran ganador, al quedarse con una bolsa de 225 mil dólares, luego de vulnerar a tres de los principales navegadores y lograr los permisos de administrador del sistema por su propia cuenta, a diferencia de los restantes participantes que tuvieron que trabajar en equipo para alcanzar los objetivos.

Este investigador de seguridad fue capaz de ‘hackear’ a Chrome e Internet Explorer en Windows, y Safari en Mac OS X, con lo que se llevó el premio más elevado que se ha entregado en la historia del concurso, que se disputa desde 2007 y tiene como objetivo poner a prueba el software de los grandes fabricantes para evidencias las falencias de seguridad.

Desde el primer día del certamen, el navegador Firefox fue hackeado por el investigador polaco Mariusz Mlyinski, quien aprovechó un fallo de Windows para elevar sus permisos de usuario. Eso le valió para reclamar un cheque por 225 mil dólares.

Firefox no estuvo participando en esta versión, ya que no efectuó mayores novedades en temas de seguridad durante el 2015, al igual que Linux.

A pesar de que fue vulnerado, Chrome fue el mejor posicionado de los tres navegadores en concurso, ya que fue atacado por ‘hackers’ en dos ocasiones, pero solo se logró filtrar su sistema en una oportunidad, a través de una vulnerabilidad de la que ya estaba al tanto Google.

El Tencent Security Team Sniper se llevó el premio especial al lograr un ataque exitoso sobre el navegador Microsoft Edge en tan solo 2 minutos. Como es habitual, todas las fallas se reportaron a los respectivos fabricantes.
Saludos.
Lexer Pars.

viernes, 25 de marzo de 2016

Piratas informáticos roban datos de contacto de empresas clientes de VERIZON

Piratas informáticos accedieron y robaron datos de contacto de empresas clientas del gigante de las telecomunicaciones estadounidense Verizon, según informó hoy la propia compañía, que achacó lo ocurrido a una “vulnerabilidad” en la seguridad.

En un comunicado, Verizon, con sede en Nueva York, indicó que su unidad de servicios informáticos y de telecomunicaciones para empresas, Verizon Enterprise Solutions, fue objeto del robo, y que ya está notificando lo sucedido a los clientes afectados.


La compañía Verizon aseguró que la vulnerabilidad de la que se aprovecharon los “hackers” ya ha sido solucionada, y que el material robado corresponde sólo a información de contacto, no a datos sobre, por ejemplo, la duración o número de destino de las llamadas realizadas.

Aunque la empresa no cifró la cantidad de usuarios afectados, el periodista y bloguero especializado en ciberseguridad Brian Krebs aseguró haber visto en un foro “de cibercriminales” en internet un anuncio en el que se ofrecía la información de contacto de un millón y medio de clientes de Verizon.

Según Krebs, toda esa información se vendía en un paquete entero por 100.000 dólares, aunque también ofrecía la posibilidad de comprar partes con los datos de 100.000 clientes por 10.000 dólares cada una.

Saludos.
Lexer Pars.

jueves, 24 de marzo de 2016

Snowden explica por qué no debemos confiar en Microsoft

El exempleado de la CIA y la NSA Edward Snowden ha asegurado en la conferencia Software Libre de la fundación LibrePlanet 2016, en la cual intervino mediante videoconferencia desde Rusia, que se debe utilizar software libre y de código abierto para preservar la privacidad y seguridad, informa el portal Betanews.

Snowden explicó que hace tres años fue capaz de sacar a la luz los proyectos secretos de vigilancia masiva del Gobierno estadounidense mediante el uso de un software libre y alabó los programas y sistemas Debian, Tails y Tor. "Lo que ocurrió en 2013 no habría sido posible sin el software libre", indicó.

"No utilicé aparatos de Microsoft cuando estaba en mi fase operativa porque no podía confiar en ellos", explicó el excontratista, añadiendo que no podía estar seguro de que la compañía no contase con una puerta trasera que permitiera la vigilancia estatal. Además, destacó que de los gigantes tecnológicos actuales, Microsoft es el que más coopera con el Gobierno de EE.UU.

Asimismo, Snowden aplaudió la firmeza de la compañía Apple frente a la presión legal ejercida por el FBI para que diseñe un 'software' capaz de 'hackear' el iPhone de uno de los autores de la masacre de San Bernardino. Sin embargo, Snowden aseguró que, en general, las compañías tecnológicas no están haciendo lo suficiente para proteger la privacidad de sus usuarios.


La guía de Snowden: el exagente de la CIA desvela sus trucos para preservar la privacidad en la Red

"Debemos 'blindarnos' utilizando sistemas en los que podamos confiar todos los días. Esto no tiene por qué ser un cambio de estilo de vida extraordinario. No tiene que ser algo perturbardor. Debe ser invisible, atmosférico, algo que suceda sin dolor, sin esfuerzo", indica el exempleado de la CIA y de la NSA Edward Snowden, en una entrevista al diario The Intercept.

Utilizar Tor para navegar

Tor es un 'software' basado en una red de comunicaciones distribuida de baja latencia y superpuesta sobre Internet que mantiene anónima la dirección de IP del usuario. El exempleado de la CIA recomienta utilizarla cuando necesitemos acceder a sitios en los que vamos a manejar datos confidenciales.

"Es el proyecto tecnológico que mejora la privacidad más importante hoy en día. Proporciona una medida de seguridad y permite desvincularte de tu ubicación física", destaca Snowden, quien confiesa utilizarla "todo el tiempo".

Según el exagente, la idea básica que hace a este navegador tan valioso "es que está dirigido por voluntarios". "Cualquier persona puede crear un nuevo nodo en la Red, ya sea un nodo entrada, un 'router' medio o un punto de salida, dependiendo de su disposición a aceptar un determinado riesgo. El carácter voluntario de esta red hace que sobreviva, sea resistente y flexible", indica.

Encriptar las llamadas y mensajes

"Puedes hacerlo a través de la aplicación móvil Signal, de Open Whisper Systems. Es gratis y se descarga de inmediato", señala Snowden. Este servicio se encarga de encriptar las llamadas y los mensajes de dos personas que para poder comunicarse han verificado de manera previa sus claves respectivas mediante otras formas.

Instalar Plugin HTTPS Everywhere en nuestro navegador

"Si utilizas Internet, los métodos típicos de comunicación hoy en día te traicionan en silencio, en voz baja, de forma invisible, en cada clic. En cada página a la que aterrizas hay información que está siendo robada. Es recopilada, interceptada, analizada y almacenada por parte de los gobiernos, nacionales y extranjeros, y de las empresas", alerta Snowden.

Si se utilizan, afirma el exagente, 'plugins' del navegador como HTTPS Everywhere, de Electronic Frontier Foundation, "haces cumplir las comunicaciones cifradas seguras, por lo que no están transitando tus datos electrónicamente desnudos".

Bloquear los anuncios emergentes

"Hemos visto a proveedores de Internet como Comcast y AT&T insertar sus propios anuncios en las conexiones http no encriptadas. En tanto los proveedores de servicios proporcionan anuncios con contenido activo que requieren el uso de Javascript para ser visualizados, todo lo que pueda ser un vector de ataque a tu navegador web debe ser bloqueado", aconseja Snowden.

"Porque si el proveedor del servicio no protege el carácter sagrado de la relación entre el lector y editor, usted tiene no solo un derecho, sino el deber de hacer todo lo posible para protegerse como respuesta", sentencia.

Gestor de contraseñas

"Un gestor le permite crear contraseñas únicas e inquebrantables para cada sitio, pero sin la carga de tener que memorizarlas", afirma el exagente de la CIA.

A juicio de Snowden, uno de los principales causantes de que la información privada de las personas quede expuesta es el volcado de datos. "Sus credenciales pueden ser reveladas porque algún servicio que haya dejado de usar en 2007 sea 'hackeado' y la contraseña que estaba utilizando para este sea la misma que para la cuenta de gmail", alerta.

Cifrar el disco duro

Esta acción permite que, si le roban el ordenador, la información contenida en el mismo no pueda ser obtenida por un adversario. "Imágenes, dónde vive, dónde trabaja, dónde están sus hijos, cómo va a la escuela", enumera Snowden.

Autentificación de doble factor

Si se habilita la autenticación de doble factor, la persona que quisiese acceder a alguna de nuestras cuentas debería contar además de con la contraseña, con un segundo factor: por ejemplo, nuestro teléfono móvil (ya que la segunda verificación de identidad se recibe en forma de SMS). Son muchos los servicios que ya cuentan con este tipo de seguridad de forma gratuita, como Gmail, Twitter, Dropbox, Facebook o Hotmail entre otros.

"El valor de esto es que si alguien te roba tu contraseña o esta queda expuesta en alguna parte, permite que el proveedor te envíe una segunda forma de autenticación: un mensaje de texto o similar", explica Snowden.

Saludos.
Lexer Pars.

miércoles, 23 de marzo de 2016

Peligros en las redes sociales

Desde hace tiempo se tiene conocimiento de los peligros que hay al utilizar las redes sociales. Ya se a por enorme cantidad de información que muchos usuarios suelen colgar en internet y que un atacante podría darle un mal uso a esta.   

Sin embargo, hay otros riesgos de gran importancia, al momento de utilizar estas redes. Es un medio muy útil para los delincuentes para contactar con su victima, sea cual sea el crimen que se quiera cometer. Puede ser algo tan clásico, como infectar un dispositivo de la persona, robarle información como credenciales a servicios o cuentas, robarle dinero, suplantar su identidad, extorsionar, entre otros.

Sin todo lo anterior es enfoca a un ciber-ataque. Pero desde luego esto no se limita a este tipo de ataques, se pueden realizar ataques físicos, mediante engaños o ingeniería social se podría lograr que una persona desprevenida acepte citarse en un determinado lugar, esto con el fin de secuestrarlo, robarle pertenencias físicamente, y en el peor de los casos causarle la muerte.

Hay multitudes de casos donde se han utilizado las redes sociales, para cometer diversos crímenes:

Imagen 1: Noticia de crimen utilizando red social.


Imagen 2: Secuestro utilizando red social.


Imagen 3: Reculando mediante facebook.


Imagen 4: Matan a mujer contactada por red social.

En youtube, se pueden encontrar experimentos sociales, que permiten ver lo sencillo que puede resultar quedar con alguien desconocido, en poco tiempo utilizando una red social.


Video 1: Experimento quedar con desconocido por red social.


Video 2: Experimento social, quedando con desconocidos.

Nunca sabes quien esta detrás de un perfil. Así que recomendación, no aceptes desconocidos en redes sociales, no envíes información en redes sociales, como tu documento de identificación personal, fotos privadas, no es bueno abrir enlaces, aun de conocidos, amigos o familiares, pero si quieres hacerlo utiliza virustotal para verificar que el enlace este libre de malware.

Si tienes hijos, puedes implementar controles de seguridad y controles parentales, para gestionar que ve y que hace, y a que lugares asiste, sin embargo, es bueno que lo hagas entrar en conciencia de los riesgos que puede ocasionar, el hecho de aceptar desconocidos.

Saludos.
Lexer Pars.




martes, 22 de marzo de 2016

Robtex

Cuando se realizan pruebas de intrusión, es necesario realizar diversas etapas, una de estas es el footprinting, que es recoger toda la información publica, expuesta en internet, de la organización que se este auditando. 

Robtex, es una pagina web que ayuda a realizar esta tarea de manera pasiva, obteniendo información, sobre DNS, subdominios, WHOIS, brindando información para el reconocimiento de la red, vista desde el exterior.   

Imagen 1: Análisis con Robtex.

Obtenido los registros del DNS, del dominio o dominios de la organización que se este auditando.

Imagen 2: Record DNS con Robtex.

Todo esto lo realiza mediante una consulta web, que ayuda a evitar dejar algún rastro, sobre el objetivo que se esta analizando. Aunque es solo una mínima parte del proceso de footprinting, permite obtener la información de manera rápida y organizada.

Saludos.
Lexer Pars  

lunes, 21 de marzo de 2016

¿Cual es el mejor Antivirus.?

¿Cual es el mejor Antivirus?

Imagen 1: Soluciones antimalware

En el 2013 escribí un articulo, sobre como elegir un sistema antimalware acorde a tus necesidades, aca te dejo un análisis breve, de que preguntas hacer al momento de elegir uno y aspecto a tomar en cuenta.


Aclaracion: Los sistemas antimalware estan recomendados, en cualquier plataforma, Windows, GNU/Linux, MAC,Unix. Tomando en cuenta que siempre hay usuarios que salen argumentando cosas como, uso mac o GNU/Linux. Si es tu forma de pensar, siento decepcionarte, tambien hay malware en estas plataformas, es cuestion de malas practicas no utilizar un sistema antimalware.

Esta es una pregunta, muy comun y que en muchas ocaciones,  existe mucha incertidumbre al responder.

Para determinar que antivirus es el mejor para ti, debes tomar ciertos aspectos en cuenta.

Primero: ¿Tienes recursos económicos? 
La mejor opción, es utilizar un sistema antimalware de pago, ya que tienen mas funcionalidades que te permiten mitigar mas ataques que sistema antimalware gratuito.
Puedes tener un antivirus gratuito que te mantenga "seguro" tu equipo, detectando malware y evitando que este se ejecute directamente en tu ordenador, utilizando una sandbox. Pero este mismo antimalware, no te protege al navegar por internet, tampoco te incluye un modulo de proteccion a para visitar sitios web de manera segura.

Desde luego utilizar un sistema antimalware gratuito, puede ser una buena opcion, si no cuentas con dinero, para pagar por una licencia.

Segundo ¿Tienes un equipo con buenos recursos?
Hay sistemas antimalware muy bueno, ofreciendo un enorme abanico de soluciones que te permiten estar bien protegido. Sin embargo consumen muchos recursos y si no cuentas con un equipo potente, esto hará que tu ordenador vaya lento, cosa que ningún usuario desea. 

Para lo anterior existe una relación que se denomina: A mayor seguridad, menor operatividad o viceversa.

Si tienes un equipo con bajos recursos, es mejor evaluar un sistema antivirus que tenga un buen rendimiento.

Tercero, si ya tienes en cuenta los recursos económicos y recursos de tu equipo, resta ver las características de los sistemas antimalware:

Característica 1: Numero de detecciones, esta característica es importante, implica la tasa de detección de malware, a mayor cantidad de detecciones, implica mayor mitigacion. Esto depende mucho te las firmas de los sistemas antimalware y la heuristica.

Característica 2: Rendimiento, esta íntimamente ligado con el rendimiento del equipo, hay que determinar cuantos recursos consume un sistema antimalware en tareas como copiado de archivos, archivar y desarchivar, instalación y desinstalacion de aplicaciones,codificacion, transcodificacion, lanzar aplicaciones y descarga de ficheros.

Característica 3: Falsas alarmas, esta característica implica las falsas detecciones de malware que puede tener un sistema antimalware, la menor tasa de falsos positivos esta recomendada, en relación con la tasa de detecciones.

Característica 4: Protección en tiempo real, el sistema antimalware debe garantizar la proteccion en tiempo real, en el equipo, tanto en una red local, como navegando por internet, mitigando ataques de phishing, dns poisoning, MITM, protección al ingresar claves en sitios,etc.

Característica 5: Eliminar el malware, el sistema antimalware, debe ser capaz no solo de detectar la amenaza, si no, también de eliminarla de manera exitosa, ya que muchos no eliminan la amenaza, en vez de ello, colocan los ficheros en "zonas seguras", como el baul o en modo cuarentena, sin embargo esto no es 100% fiable.

Cuarto y no por ello menos importante, no utilices sistemas antimalware pirateados o con crack, para obtener "gratis" una versión que es de pago. Si no cuentas con dinero para obtener una versión de pago es mejor que selecciones una alternativa gratis. El software que tiene cracks, incluye malware, que posiblemente aplique un parche a tu sistema antimalware para que no detecte determinadas amenazas, o se conecta a fuentes alternas para descargar "actualizaciones", es lo puedes comprobar analizando el trafico de red y confrontar con las fuentes de actualización de la empresa. 

av-comparatives.org es una empresa que desde hace años realiza comparaciones entre los diferentes sistemas antimalwares, puedes visitar su sitio web, y leer el reporte para elegir el mejor sistema antimalware, acorde a tus necesidades y recursos.
Saludos.
Lexer Pars.

domingo, 20 de marzo de 2016

Qué es el Growth Hacking y cómo aplicarlo en una Startup

Si analizamos el término Growth Hacking veremos dos palabras que ya nos dan la pista de por dónde van los tiros:

__ Growth = crecimiento

__ Hacking = de hackear, descrito también como la habilidad de programar soluciones creativas de software para resolver problemas de la vida real.

La idea del Growth Hacking surge de una premisa muy básica: crecer, crecer y crecer. Cada decisión que tome un Growth Hacker irá destinada a hacer crecer a su empresa; cada estrategia, cada táctica o iniciativa, crecer es el sol alrededor del cual gira un growth hacker. Por supuesto, los profesionales del marketing tradicional también buscan eso, pero no en la misma medida. Así que lo que hace poderoso al growth hacker es su obsesión en un único objetivo: el crecimiento. Es precisamente a causa de esta obsesión que han aparecido nuevas técnicas, métodos y herramientas que antes no existían y que se han convertido en las bases del Growth Hacking.

Pero pongámonos en situación: ¿cómo conseguimos crecer cuando acabamos de empezar? Un growth hacker lo tiene claro: hay que conseguir más con menos.  A nadie le gusta invertir mucho dinero en algo que no sabe si va a funcionar, en cosas que conllevan riesgos, como la publicidad. Y menos les gusta hacerlo a startups que acaban de iniciar su viaje en el mundo de los negocios y no están dispuestas a despilfarrar dinero innecesariamente. Pues bien, ¿qué otra cosa podemos hacer, en el mundo digital que nos rodea hoy en día, para crear estrategias de marketing baratas y efectivas? El Growth Hacking da respuesta a esta pregunta: las herramientas digitales, especialmente todo aquello gratuito, se convierten en las mejores aliadas de las nuevas estrategias de marketing.

Estas nuevas técnicas precisan de unos ingredientes esenciales: la creatividad, por una parte es la base de la receta que consigue encontrar soluciones distintas a los problemas nuevos y a los de siempre. Por otro lado, el análisis es será la especia de la receta que le da fundamento al resto; un growth hacker ha de ser capaz de analizar los datos de comportamiento de los usuarios y del mercado para crear estrategias efectivas. Por último, destacaremos también la habilidad de desarrollar; condición sine qua non para que funcione el Growth Hacking, que se basa, fundamentalmente, en alcanzar el crecimiento de una startup.
Saludos.
Lexer Pars.

sábado, 19 de marzo de 2016

Un hacker español descubre una forma de controlar camiones a distancia

José Carlos Norte es un investigador informático que busca errores en sistemas de seguridad con la intención de notificarlos a la entidad responsable de dicho sistema. Pues bien, desde El Confidencial nos llega la noticia de que hace poco ha descubierto un fallo en los sistemas de los camiones que afectan al sistema eléctrico del mismo y permite ejecutar acciones a distancia sobre el vehículo.

Lo peor de todo es que este mismo sistema es compartido por camiones, taxis, autobuses y demás vehículos que reciben órdenes de una central y pertenecen a una flota. Desde este punto de vista, alguien con los conocimientos adecuados podría saber desde cualquier parte dónde está un camión y apagarlo o enviarlo adonde le apeteciese.

José Carlos Norte trabaja para la empresa EyeOS, y es el jefe de tecnología de la misma, la cual se dedica a desarrollar escritorios virtuales. El hombre dedica parte de su tiempo a investigaciones de seguridad informática, y el hecho de que un amigo suyo sea propietario de un camión es lo que le ha llevado a embarcarse en esta de la que hablamos.

¿Cómo lo consigue?
Los camiones tienen instalado un sistema que se llama TGU, que son las siglas en inglés de lo que en español sería una Unidad Telemática de Puerta de Enlace. Como decimos, los vehículos que pertenecen a una flota como parte de una empresa o servicio suelen estar conectados a la central mediante un sistema como este.

Como además del TGU los camiones llevan una antena 3G, lo que José Carlos hizo fue acceder a Shodan, una base de datos pública que registra todas las conexiones que se realizan a Internet, concretamente la dirección IP. Como todos los dispositivos con conexión a la red tienen IP –los TGU también– y es una dirección física que indica dónde se encuentra la puerta de entrada, leyendo manuales descubrió que la marca C4max, que vende en España, Francia y Marruecos, no usaba contraseña para proteger el acceso de sus TGU, y solo tuvo que encontrarla en Shodan.


No es fácil saber cuántos camiones pueden estar afectados ya que, como es lógico, el 3G se activa solo cuando el camión está encendido. Él vio 800 afectados en su momento en Shodan, pero pueden llegar a ser miles de ellos, dependiendo de un dispositivo que está conectado a Internet sin protección, accesible a cualquiera –que sepa acceder, claro–.



Un tema difícil de tratar
No es fácil para José Carlos lidiar con este tema, que ha publicado en su blog sin aviso previo a la compañía, ya que se han dado casos en los que se ha denunciado al hacker por extorsión, ya que no hay un marco legal que proteja a quien quiere ayudar en este aspecto. En lugar de eso, ha preferido compartirlo en redes para hacer ruido y generar debate al respecto.

Además de todo esto, asegura que este es el caso más llamativo, pero que no es el único. Afirma que la seguridad de los TGU de otras compañías deja tanto o más que desear, con contraseñas por defecto entre otras cosas fáciles de burlar. Lo peor es que al ir estos aparatos integrados en el camión, es muy difícil llevar a cabo actualizaciones que garanticen la seguridad informática del camión.

Cosas como esta nos llevan a pensar en las posibilidades que tendría alguien que se consiga colar en un dispositivo como este. Desde redirigir un camión a un solar en el que asaltar su mercancía, hasta hacer lo propio con la limusina de una empresa en la que pueda ir alguien de peso en la sociedad, pasando por provocar un accidente en mitad de una autopista.

Veremos cómo termina esto, pero lo que sí es seguro es que se ha abierto una carrera entre hackers y compañías de vehículos que usan TGU, esperemos que no les llame tanto la atención para no acabar con camiones descontrolados o asaltos varios. Lo que sí podemos deducir de esto es que quizás esos vídeos impactantes en los que se mueven solos puede que tengan una explicación.

Saludos.
Lexer Pars.

viernes, 18 de marzo de 2016

Mundo Hacker Day 2016

Por tercer año consecutivo vuelve a Madrid el MundoHacker Day, esta vez en el Kinépolis los días 27 y 28 de abril: 


Dos días de conferencia con un montón de tracks técnicos, mesas redondas y expertos de seguridad TI como Jaime Andrés Restrepo (dragonJAR), Yago Hansen,  s4ur0n, Thomas D'otreppe (autor de la suite de hacking wi-fi aircrack-ng) y muchos más... además el registro es totalmente gratis, te invitan a café, a comer un día, a la fiesta y hasta te regalan una camiseta, ¿qué más se puede pedir?
Saludos.
Lexer Pars.

jueves, 17 de marzo de 2016

La agencia de inteligencia de Dinamarca creó academia hacker

Por medio de un comunicado, el Servicio Danés de Inteligencia (DDIS por sus siglas en inglés) dijo que el pequeño grupo de alumnos a los que se les dará admisión ya son de los mejores en su campo.

La agencia de inteligencia militar de Dinamarca informó de la creación de una "academia hacker" en la que entrenará a especialistas en tecnología informática, a los que se les ofrecerá empleo una vez que se gradúen.


Por medio de un comunicado, el Servicio Danés de Inteligencia (DDIS por sus siglas en inglés) dijo que el pequeño grupo de alumnos a los que se les dará admisión "ya son de los mejores en su campo".
La agencia señaló el miércoles que la academia "no les enseñará a hackear" pero "analizará su modo de pensar y sus habilidades, para que puedan ser utilizadas" por el servicio, que realiza espionaje fuera de las fronteras de Dinamarca.
La DDIS, con sede en Dinamarca, informó que el curso de cuatro meses y medio de duración comenzará en agosto.

Saludos.
Lexer Pars.

miércoles, 16 de marzo de 2016

La City se fía de un conocido hacker para que vigile un sistema de pagos

Mustafa Al-Bassam, juzgado y condenado en 2013 a una pena de 20 meses de prisión por sus actividades como hacker, ha entrado por la puerta principal en la City, uno de los castillos del capitalismo occidental, y lo ha hecho de la mano de una firma especializada en vigilar y asegurar las transacciones de dinero por internet, precisamente el tipo de empresa que hace unos años era objetivo de sus ataques.

Al-Bassam, que entre otras hazañas tiene en su curriculum el haber ayudado a fundar el archiconocido grupo de hackers LulzSec bajo el pseudónimo de tFlow, ha entrado en la plantilla de Secure Trading, en Canary Wharf, donde se encargará de asesorar como experto en seguridad en varios proyectos relacionados con las finanzas electrónicas.

En especial, Al-Bassam participará en el desarrollo de una plataforma de verificación distribuida que ha sido bautizada como Trustery, como deja claro su perfil en el sitio para desarrolladores Github.

En términos simples, el que fuera tFlow se encargará ahora de ayudar al desarrollo de una tecnología del tipo de Blockchain, el verdadero núcleo de la moneda virtual bitcoin. Este tipo de tecnologías se caracterizan por unir la descentralización de las herramientas P2P con sistemas muy avanzados de encriptación.

Sin embargo, Al-Bassam sólo podrá trabajar a tiempo parcial. Con apenas 21 años de edad, y pese a su larguísima experiencia, tiene aún pendiente de terminar su grado en ingeniería informática en el Kings College de Londres.

"Hay muy pocos expertos en la tecnología blockchain, así que tenemos mucha suerte de tener a Mustafa a bordo. Usaremos sus habilidades para crear una tecnología que haga más seguro el comercio electrónico", afirma Kobus Paulsen, presidente de la firma de seguridad que le ha contratado.
Saludos.
Lexer Pars.

martes, 15 de marzo de 2016

Capturan a Celebgate

Ryan Collins, el hacker que supuestamente estuvo detrás de la filtración masiva de fotografías privadas de famosas en 2014, fue capturado el martes por investigadores federales de Estados Unidos, según informó el mismo día el sitio Re/Code.

Collins, originario de Lancaster, Pennsylvania, se declaró culpable y enfrenta un tiempo en prisión de hasta 18 meses, según documentos vistos por el sitio.

Supuestamente, Collins utilizó un ataque del tipo phishing con el que engañó a sus víctimas fingiendo ser Google o Apple. Este tipo de software simula ser una entidad en especial y simula una petición real para restaurar la contraseña. Los afectados, al pensar que es verdadero el ataque, introducen su nombre de usuario y contraseña.

La captura de Collins llega después de un año y medio de que se suscitara la filtración, en septiembre de 2014. El hecho, conocido coloquialmente en Internet como "Celebgate", afectó a actrices de la talla de Jennifer Lawrence, Kate Upton y Ariana Grande, entre muchas otras.

Cuando se dio el "Celebgate", se señaló a Apple como la culpable, pero posteriormente se reveló que se trató de un vía phishing y que fueron las propias afectadas quienes dieron sus credenciales a Collins, aunque sin que ellas lo supieran. Sin embargo, a partir de ese incidente Apple reforzó su seguridad con la verificación de dos pasos e incluso la gigante de Cupertino publicó una carta explicando lo importante que es la seguridad de sus usuarios.
Saludos.
Lexer Pars.

lunes, 14 de marzo de 2016

Lista de redes preferidas LRP

Los teléfonos inteligentes son un medio de comunicación, considerado de uso básico e indispensable, para poder interactuar en linea. Y ya todos incorporan hardware para conexiones WLAN, con el cual podemos acceder a las distintas redes disponible en un área, desde la red de tu casa, trabajo, universidad o cualquier WiFi que se considere de "confianza", hasta redes publicas en centros comerciales o redes inseguras.        

Cada vez que nos conectamos a un red en un smartphone, esta se incorpora en un listado de redes preferidas, esto permite que el smartphone busque estas redes en un área, para poder realizar la conexión, pues estas son consideras redes de "confianza".
  
La forma en que un AP le indica a los dispositivos de su presencia, es enviando broascast de Beacon Frames con un tiempo constante. En el caso de los  smartphone, cuando se activa el WiFi, envía paquetes probe_request, preguntando si una red, del listado de redes preferidas estas en esa área para conectarse, mientas el WiFi este activo, y no se conecte a ninguna red, este estará enviando los nombres de cada una de las redes de la LRP.


Imagen 1: Captura de paquetes probe_request.

En la imagen anterior se puede ver como se capturan cada SSID de la LRP de un smartphone. Para capturar los paquetes, basta con tener una tarjeta que sosporte el modo monitor, para capturar los paquetes, se puede utilizar wireshark


El riesgo de esto, es que un atacante capture estos nombres de red, con el fin de levantar un rogue AP, falsificando alguna red de "confianza", ya que el dispositivo al detectar una red perteneciente a la LRP, se conectara a esta, ya sea legitima o no. 

Una vez conectado, se podría realizar diferentes ataques, capturar el trafico, robar información, infectar el smartphone, etc. Así que por recomendación, si no utilizas el WiFi, apágalo, ya que alguien podría capturar estos paquetes y hacerte un ataque dirigido.
Saludos.
Lexer Pars.    



domingo, 13 de marzo de 2016

La actualización KB3140768 falla al instalarse en Windows 10

Microsoft lleva una política de actualizaciones muy agresiva con Windows 10, por medio de la que intenta mantener a todos sus usuarios al día. Sin embargo, a veces las cosas no salen como se espera, y ahora descubrimos que la actualización KB3140768 falla al instalarse en Windows 10. Por desgracia, no podemos decir que esto nos sorprenda tras otros casos similares en el pasado.

KB3140768 es la última actualización de Windows 10 1511, es decir, que se aplica sobre la versión de noviembre que la mayoría de los usuarios usan a día de hoy. Se trata de un parche aparecido el 9 de marzo que no añade nuevas funciones, pero supone un problema que falle al instalarse, porque corrige errores y elimina vulnerabilidades. Por desgracia, los usuarios están sufriendo dificultades con este complemento.

Desde el mismo lanzamiento de la actualización KB3140768 comenzaron las quejas respecto a fallos de instalación. Tras el paso de las horas, el número de afectados ha aumentado. No se trata de un problema general, pero determinadas personas verán como Windows 10 no puede actualizarse para ponerse al día.

Por ahora no está claro qué es lo que causa las dificultades para instalar la actualización KB3140768. Se cree que puede tener que ver con el hardware de cada equipo, porque en algunos se instala y en otros no. Pero, por el momento, no se ha ha podido identificar el elemento que provoca estos errores.

KB3140768 en Windows 10, ¿hay solución?

A pesar de que los usuarios no han dejado de buscar una solución para instalar KB3140768 en Windows 10, por ahora no la han encontrado. Microsoft no se ha pronunciando respecto al problema tampoco. Si echas un vistazo a lo que trae la actualización KB3140768, te darás cuenta de que resulta importante poder disfrutarla en nuestros equipos.

Así que la actualización KB3140768 falla al instalarse en Windows 10 y, si eres uno de los afectados, tendrás que esperar para actualizar, ya que la solución al problema aún no se ha localizado. Microsoft está pasando unos días algo complicados tras saberse que Windows 10 desinstala algunos programas por sí mismo, pero seguro que consigue solucionar sus dificultades con las actualizaciones.

Saludos.
Lexer Pars.

sábado, 12 de marzo de 2016

Hardsploit

Julien Moinard y Gwénolé Audic de Opale Security han creado un framework para automatizar la revisión de vulnerabilidades de los dispositivos de Internet de las Cosas.

Se trata del proyecto Hardsploit, una herramienta todo-en-uno para las auditorías de seguridad de hardware que será presentada próximamente en:

  • Hack In The Box (HITB) – May 26 2016 10:45 am – 11:45 am – Amsterdam
  • NullCon – 11 / 12th March 2016 – Goa
  • (FORMACIÓN) BlackHat – July 30 / 31 & August 1 / 2 – Mandala Bay / Las Vegas

Pretende convertirse en el Metasploit o Nessus para hardware, sin duda un punto de revisión más a cubrir en cualquier pentesting. Tener en cuenta que en estas auditorías de seguridad normalmente no se cubren análisis del hardware de firewalls, antivirus, IDS y otras aplicaciones que funcionan en dispositivos embebidos. Y no es raro por ejemplo encontrar contraseñas hardcodeadas en los sistemas de archivos y otros fallos de configuración en el firmware...

"La brecha entre el software y el hardware de seguridad se ha ampliado desde la década de 2000 ... porque el hardware es fundamentalmente sólo una forma de obtener acceso a software" dice Gwénolé. Por otro lado Julien comenta que "el objetivo es crear un puente entre el hardware y el software ... la mayor parte del tiempo de pruebas de intrusión saben cómo acceder a software, pero cuando se tiene el hardware, entonces es más complicado".

HardSploit se presenta como un tool box con una placa modular HSP-R1-001 (300€) más software y un GUI para Kali Linux. Esta le permitirá al pentester interceptar, reenviar o enviar datos a través de cualquier bus I2C, JTAG, SPI, PARALLEL o UART del hardware analizado.
Saludos.
Lexer Pars.

viernes, 11 de marzo de 2016

Cisen: 2 mil 74 solicitudes para espiar con tecnología de Hacking Team

Entre octubre de 2010 y octubre de 2015, el Centro de Investigación y Seguridad Nacional (Cisen) solicitó al Poder Judicial de la Federación 2 mil 74 permisos para intervenir comunicaciones utilizando tecnología de la firma especialista en espionaje Hacking Team.

Durante el gobierno de Felipe Calderón, el órgano de inteligencia adscrito a la oficina del secretario de Gobernación firmó el primer contrato con la trasnacional con sede en Milán.

Aunque fue la administración panista la que arrancó e inyectó mayores recursos al proyecto de espionaje (en total gastó 980 mil euros), es el gobierno priísta de Enrique Peña Nieto (que a su vez ha erogado 410 mil euros) el que le ha sacado más provecho al software desarrollado por Hacking Team:

De acuerdo con información entregada a Contralínea por el propio Cisen, en respuesta a la solicitud de acceso a la información 0410000037715, mientras que en las postrimerías del sexenio calderonista, de octubre de 2010 a 2012, el ente de seguridad pidió permiso para hacer 249 intervenciones, en los primeros 3 años del gobierno de Peña Nieto el número subió 1 mil 825.

En 2010, se hicieron dos solicitudes; en 2011, 33, y en 2012, 214. Ya con el Partido Revolucionario Institucional (PRI) de vuelta a Los Pinos las cifras se dispararon: en 2013, el Cisen hizo 530 peticiones; en 2014, 726, y hasta octubre de 2015 habían realizado 569.

“En 2015, los Juzgados Federales Penales Especializados en Cateos, Arraigos e Intervención de Comunicaciones recibieron 1 mil 582 solicitudes de intervención de comunicaciones, revela el Informe anual de labores 2015 del Consejo de la Judicatura Federal, sin especificar la autoridad a la que corresponden”, informó la columna Agenda de la Corrupción. Es decir que la tercera parte de dichas peticiones provinieron del Cisen específicamente para intervenir con la tecnología de Hacking Team.

“La intervención de comunicaciones sólo es procedente en alguno de los supuestos contemplados (sic) en el artículo 5 de la Ley de Seguridad Nacional”, responde escuetamente el órgano al justificar los motivos de tales solicitudes.

El citado artículo de la ley expedida en 2005 se refiere a las “amenazas a la seguridad nacional”, cuya ambigüedad ha sido señalada por juristas y especialistas en la materia. Para la Ley de Seguridad Nacional, prácticamente cualquier persona, extranjera o mexicana, puede representar un “riesgo” para el Estado y, por ende, ser sujeto de espionaje “legal”.

En cuanto a la identidad de las personas vigiladas por los dispositivos adquiridos a Hacking Team, el Cisen remarca que “la información y los materiales de cualquier especie que sean producto de una intervención de comunicaciones privadas autorizadas, tendrán invariablemente el carácter de RESERVADA” (sic).

La revelación de los motivos y los nombres de quienes han sido espiados por el Cisen por medio de HT lo tendrá que resolver el Instituto Nacional de Acceso a la Información y Protección de Datos (recurso de revisión 0415/16).

cisen-03-478 Osorio Chong, desmentido por el Cisen

El 6 de julio de 2015, el mundo amaneció con el nombre de Hacking Team ligado a diversos gobiernos. La seguridad de la firma de espionaje había sido vulnerada y la lista de sus clientes quedado expuesta, entre los que se encontró la administración de Enrique Peña Nieto.

México fue exhibido como el mayor comprador de tecnología para intervenir comunicaciones.

Entonces, Miguel Ángel Osorio Chong, secretario de Gobernación, negó públicamente la relación entre la compañía italiana y el gobierno federal. Sin más, rechazó la veracidad de la filtración.

Meses después el propio órgano de seguridad adjunto a su oficina admitía la relación: en respuesta la solicitud de información 0410000023815, el Cisen entregó a Contralínea todos los contratos firmados con Hacking Team. La información oficial confirmó los datos difundidos tras el paradójico hackeo sufrido por HT.

Los contratos especificaron fechas y montos. Revelaron que la millonaria relación entre Hacking Team y el gobierno federal surgió en plena guerra entre cárteles del narcotráfico durante el sexenio de Felipe Calderón, exactamente el 29 de octubre de 2010.

Por 240 mil euros, el Cisen –entonces encabezado por Guillermo Valdés Castellanos– adquirió “un software para análisis de tráfico de redes”.

Un año después, ya con Alejandro Poiré a cargo, pagó 415 mil euros más por el “fortalecimiento de[l] software”; y en 2012, entre la efervescencia electoral y ahora con Jaime Domingo López Buitrón como director, erogó otros 315 mil euros “para la actualización” del programa.

portada-478

La relación con la administración panista fue estrecha, y se renovó con la vuelta del PRI al Ejecutivo. Ya con Peña Nieto en el poder político, y exactamente para celebrar el año nuevo, el 31 de diciembre de 2013, David Vincenzetti, presidente del Consejo de Administración de Hacking Team, se firmó un nuevo contrato de 205 mil euros. Así, la tecnología invasiva de esta trasnacional aseguró sus servicios al presente sexenio.

El sábado 20 de junio de 2015, un par de semanas antes de la filtración, el Cisen desembolsó 205 mil euros más por otra actualización.

Según la Secretaría de Gobernación, durante el actual gobierno “se han pagado sólo los gastos de mantenimiento”. Lo anterior lo aseguró por escrito la Secretaría al rechazar las solicitudes de entrevista presentadas por este semanario.

“Actualmente se tienen cuatro equipos de cómputo enrolados, todos ellos para DAGS, los cuales producen información continuamente; las entregas se realizan los lunes, miércoles y viernes”, agregó el director de Comunicación Social Roberto Femat, y aseveró que debido al hackeo “la Plataforma de Enrolamiento HT se encuentra inhabilitada”. Tecnología invasiva, fuera de control

cisen-02-478Cada vez hay más solicitudes de intervención de comunicaciones, cada vez hay más aprobaciones por parte del Poder Judicial, señala en entrevista Luis Fernando García, director ejecutivo de la Red en Defensa de los Derechos Digitales (R3D).

El abogado especialista en derecho de la información alerta sobre la sofisticación de las tecnologías de intervención adquiridas a Hacking Team, motivo por el cual “se le otorga al Cisen un poder difícil de controlar incluso por los propios jueces”.

Al ser programas diseñados para atacar y tomar el control de los dispositivos personales, su uso debería ser el último recurso entre una baraja de opciones para contrarrestar riesgos contra el Estado, que es el argumento utilizado por órgano de inteligencia para obtener los permisos.

“Debido a que es un ataque informático, dentro de las cuestiones que tienen que tener en cuenta los jueces es la proporcionalidad: tiene que ver con las opciones que hay en la mesa para perseguir peligros. Habiendo otras herramientas, me cuesta trabajo creer que hubo más de 2 mil casos en los que no se tuviera otra opción a esta tecnología. Es preocupante.”

Por el hecho de que se trata de un “software malicioso se requiere de un escrutinio más cuidadoso; “ni deberían ser aceptadas las solicitudes [de intervención] más que en amenazas claras”, subraya García. “Debe ser algo excepcional, y peleamos porque no sean utilizadas de forma arbitraria y autoritaria”.

Luis Fernando García explica que en países como Reino Unido, Estados Unidos o Canadá existen mecanismos de control externos a las agencias de seguridad.

“Además del control judicial, se debe considerar la necesidad de un organismo independiente con posibilidad de acceder a los expedientes de manera aleatoria, que pueda analizar y emitir reportes”, señala el director de la R3D.

Pero en vez de ello, y para garantizar la cerrazón, el Cisen arguye que toda la información relacionada con el espionaje tiene “invariablemente el carácter de reservada”.
Saludos.
Lexer Pars.

jueves, 10 de marzo de 2016

Un error ortográfico impidió ataques de ciberdelincuentes a banco

Hay veces que los ciberdelincuentes fracasan en sus intentos de robo. Bien porque la estructura que pretenden atacar es más robusta de lo que esperaban o por imprevistos. Sin embargo, hay veces que la ortografía puede jugar una mala pasada. Y eso es lo que le ha sucedido a uno de estos ciberdelincuentes.

Un error ortográfico en la instrucción a la hora de ordenar la transferencia bancaria ayudó a las autoridades a evitar el robo de cerca de mil millones de dólares al Banco Central Bangladesh el mes pasado. Así lo ha desvelado uno de los funcionarios de la banca, cuyo ataque se produjo desde su cuenta en la Fed, es decir, el Banco de la Reserva Federal de Nueva York.

Y es que el ciberdelincuente, que debía ordenar la transferencia a la Fundación Shalika, que se escribe en inglés «Foundation Shalika», escribió «Fandation Shalika».

A pesar del error, los «hackers» sí consiguieron robar cerca de 100 millones de dólares, lo que supone uno de los mayores robos bancarios de la historia. No ha sido hasta esta semana cuando el Banco de Bangladesh ha denunciado el hecho del que fue víctima el pasado 5 de febrero

Según las primeras investigaciones, el ataque de los piratas informáticos, posiblemente de China, consistía en realizar varias transferencias a diferentes cuentas en distintos países asiáticos desde la cuenta en la Fed por valor de unos 100 millones de dólares, de los que 81 siguen fuera de control en cuentas de Filipinas.

Los ciberdelincuentes violaron los sistemas del Banco de Bangladesh y robaron sus credenciales para poder realizar las diferentes transferencias de pago. A continuación, bombardearon el Banco de la Reserva Federal de Nueva York con casi tres docenas de peticiones para mover el dinero de la cuenta del Banco de Bangladesh a Filipinas y Sri Lanka.

Tras cuatro órdenes, por un valor de 81 millones de dólares, llegó la quinta por valor de 20 millones. En ese momento, el hacker debía ordenarla el traspado a la ONG, sin embargo se confundió al escribir mal el nombre de la supuesta organización sin ánimo de lucro de Sri Lanka. Fue cuando saltaron todas las alarmas.

A partir de ese momento, los piratas se dieron cuenta de que ya no podían ejecutar su plan al completo: aún les quedaba por ordenar transferencias por un montante de unos 870 millones de dólares. Todas ellas fueron abortadas.

El Banco de Bangladesh continúa trabajando por recuperar parte del dinero robado aunque en realidad tiene pocas esperanzas de conseguirlo o de poder localizar a los «hackers» que se esconden tras este ataque. Además, culpa a la Fed de no detectar el robo y detener, por tanto, las operaciones. La entidad de Nueva York, sin embargo, ha asegurado que sus sistemas no se rompieron.

Saludos.
Lexer Pars.

miércoles, 9 de marzo de 2016

Un hacker portugués está detrás de Football Leaks

Rui Pinto, un portugués de 27 años y con pasado delictivo como pirata informático es la persona que se esconde detrás de la página web Football Leaks. Según desveló este lunes Football Leaks Revealed, este joven residente en Budapest es el responsable de haber difundido durante los últimos meses documentos privados de los clubs de fútbol más importantes del mundo, el último este mismo lunes acerca de los pormenores del contrato del centrocampista croata Luca Modric con el Real Madrid.Otros jugadores que han pertenecido o pertenecen al club blanco, como el galés Gareth Bale, el colombiano James Rodríguez, el alemán Mesut Özil o el español Álvaro Morata han sido víctimas de Football Leaks.

Rui Pinto habría utilizado las más diversas técnicas de hawking para conseguir los documentos entre futbolistas de talla mundial y los clubs más importantes del mundo y que ha difundido a través de su web. Para ello contaba con la colaboración de Aníbal Pinto, un abogado también portugués, que según Football Leaks Revealed, se encargaba de extorsionar a los clubs, exigiendo dinero a cambio de que los documentos que obraban en su poder no vieran la luz.

Las comunicaciones entre Rui Pinto y el abogado se realizaban a través del sistema de encubrimiento TOR (‘The Onio Router’), que permite mantener el anonimato en la red al no revelar la dirección IP.

Varios clubs portugueses fueron chantajeados por Aníbal Pinto y al no obtener los resultados esperados el abogado no dudó en hacer públicos los detalles de los acuerdos alcanzados con los futbolistas.

Además de sacar a la luz documentos privados de clubs de fútbol, Rui Pinto también utilizó en el pasado sus conocimientos informáticos para transferir 300.000 dólares desde una cuenta del Banco Caledonia, de las Islas Caimán, a una cuenta del Deutsche Bank. En aquella ocasión Pinto no pudo guardar el anonimato y fue arrestado por la policía. Fue entonces cuando conoció a Aníbal Pinto con el que se unió para crear Football Leaks, el azote de clubs, futbolistas y agentes.

Saludos.
Lexer Pars.

martes, 8 de marzo de 2016

Un hacker revela cómo accedía a cualquier cuenta de Facebook y cambiaba la contraseña

Anand Prakash, un experto en seguridad informática, ha revelado el método por el que ha conseguido hackear cualquier cuenta de Facebook a través de un sencillo proceso, y aunque ya está corregido, expuso a los 1.500 millones de usuarios que tiene la red social.

El hackeo consiste en acceder a la cuenta de otro usuario, cambiarle la contraseña y desconectar su cuenta de todos los dispositivos en los que tenga relacionada su cuenta, con lo que su perfil en la red social quedará secuestrado por otro usuario.

Actualmente, cuando un usuario pierde su contraseña y realiza el proceso de recuperación de la misma, la compañía se pone en contacto con el usuario a través de un correo electrónico y le manda un código numérico de validación. Este código sólo puede ser introducido una serie de veces como medida de seguridad y si se falla en repetidas ocasiones se bloquea el proceso.

Sin embargo, la beta para desarrolladores de Facebook no cuenta con las mismas limitaciones, con lo que Prakash ha aprovechado el proceso a través de esa dirección web para mostrarle a la compañía el peligro que albergaba para los usuarios.

A través de un software, el experto informático podía probar rápidamente todas las combinaciones númericas necesarias para entrar en la cuenta del usuario y una vez ahí cambiarle la contraseña y desconectar al usuario original de las cuentas que tenga en otros dispositivos. El verdadero peligro de este ataque no es sólo por el secuestro de la cuenta, sino porque el invasor puede consultar desde la tarjeta de crédito que pueda tener relacionada a los mensajes privades, explica el Telegraph.

Prakash fue recompensado por Facebook con 15.000 dólares (unos 13.500 euros) por avisar del fallo encontrado y que fue arreglado el pasado mes de febrero. Eso sí, ni la compañía ni el experto en seguridad han explicado cuánto tiempo estuvieron expuestas las cuentas.

Saludos.
Lexer Pars.

lunes, 7 de marzo de 2016

Cyborg Hawk Linux una distro para pentesting

Cyborg Hawk Linux es una distribución totalmente gratuita para tests de intrusión basada en Ubuntu (Linux) y desarrollada y diseñada por y para hackers éticos y pentesters. Esta distro se puede utilizar para la seguridad y evaluación de red y para el análisis forense digital. También cuenta con varias herramientas enfocadas a las pruebas de seguridad móvil y la infraestructura inalámbrica y tiene su propio repositorio PPA personalizado.

Imagen 1: Herramientas disponibles.

Como puedes ver en la imagen de arriba tiene un menú bastante bien organizado, con un total de 750 herramientas bien organizadas y ordenadas separadas en distintas categorías:

- Recopilación de información
- Evaluación de vulnerabilidades
- Explotación
- Escalado de privilegios
- Persistencia de accesos
- Documentación y elaboración de informes
- Ingeniería inversa
- Pruebas de stress
- Forenses
- Seguridad inalámbrica
- RFID / NFC
- Hardware de hacking
- Análisis de VoIP
- Seguridad móvil

Tiene una versión liveCD totalmente funcional y desde la versión 1.1 soporte completo para máquinas virtuales. Evidentemente no es una distro tan madura como Kali u otras pero puede ser una apuesta interesante si mantienen su desarrollo y evolución. Habrá que tenerla también en cuenta.
Descargala en Cyborg Hawk
Saludos.
Lexer Pars.