miércoles, 31 de diciembre de 2014

Compendio 2014

Vaya estamos a unas pocas horas de que finalice el 2014, no se cuantos habrán medido los logros obtenidos, con las metas tasadas, yo logre cumplir mis metas propuestas, y ha llegado la hora de establecer nuevas metas para este 2015 y trabajar duro para alcanzarlas.

Durante el 2014 hemos aprendido que los ataques de fuerza bruta, pueden atacar muchos de nuestros sistemas, desde redes informáticas, sistemas de correo electrónico, bases de datos, paginas web, entre otros, pero que hay contra medidas para mitigar y controlar estos ataques. Algo muy importante también es la legislación que existe en muchos países sobre delitos informáticos y que muchas veces existe un desconocimientos sobre ellas, en el caso de Guatemala hay una ley que vela por ello, aunque existe una propuesta de ley mas completa aun no esta aprobada.      

Ahora sabemos que el la suplantación de identidad(spoofing), puede realizar tanto a personas como dispositivos informáticos y que puede resultar trágico que este ataque pueda tener éxito, pues este ataque puesto en practica contra personas, puede conllevar a perdidas económicas o asociar con actividades ilícitas, entre otros, y con dispositivos informáticos, proporcionar el acceso a sistemas a terceros no autorizados. También espero que si tu eres uno de los que aplica la regla de los tres mosqueteros a tus cuentas, vayas cambiando ello.  

Unos de los ciber-negocios mas rentables que hay en la red sin duda es el carding y banking, como lo hemos visto, ya que puede dejar enormes ganancias a quienes lo practican, pero claro tu ya sabrás que hay medidas de seguridad con las que puedes evitar ese tipo de fraudes. Aprender como funciona un sistema antimalware, aunque sea de la forma mas sencilla puede ayudarte a entender como operan algunos malwares y saber elegir un buen sistema antimalware, tampoco te sientas muy confiado, puede que te roben el password por ello. No dejes tu ordenador olvidado, pues aunque tenga password para proteger tu información, hay herramientas que pueden burlar dicha seguridad

Cuídate de no caer en ataques de Sesion Hijacking, actualmente hay muchas formas y herramientas que permiten mitigar estos ataques. Hacking con buscadores es algo que siempre debes tener mente cuanto realizas una prueba de pentesintg, pues puede que el administrador no tenga un DLP gestionando la información, y si tu eres un administrador de la seguridad de los sistemas, recuerda mantener un equilibrio entre la operatividad/seguridad. Algunas veces tus aplicaciones web no sirven de nada en términos de seguridad, pues aunque estén desarrolladas muy bien, tomando en cuenta la seguridad, los servidores que las alojan, no están fortificados o alojan aplicaciones inseguras en el caso de servidores compartidos, esto conlleva a que toda tu información quede expuesta, o que puedan realizarte un defacement, pero bueno, seguramente no te sucederá pues ya habrás tomando muchas medidas de seguridad, como poder detectar una web shell en tu servidor.  

El tema de Botnet, lo es muy extenso e incluso aun trabajo en el proyecto Botnet, que espero terminar pronto con la investigación, pues es un conocimiento que puedes tomar, para mejorar tus políticas de seguridad, y que no te ataquen por la barra de lenguaje en tu servidor o que puedan saltarse la ejecución de programas en tu escritorio remoto, siempre tomando en cuenta las buenas y malas practicas de seguridad.

Los Backup pueden ahorrarte muchos dolores de cabeza, en el caso de que ocurra algún desastre que atente con la información. Siempre es bueno cuidarte de los metadatos, pues en algún momento mal gestionados pueden estar en tu contra, y mas aun si aplicas la seguridad por oscuridad.

El footprinting en una auditoria de seguridad es fundamental, para empezar a descubrir información que te permita realizar ataques a los sistemas que procesan y almacena la información, esto te ayudara al momento de realizar el fingerprinting, pues en toda auditoria de seguridad son esenciales y dependientes. Si vas a realizar un hardening, asegúrate de incluir dispositivos WAF en tus servidores, que de la mano con un modelo de seguridad en profundidad, te darán mayor estabilidad en cuanto a la seguridad de la información y de los sistemas de tu organización. Implementar una Honeypot, te sera de gran ayuda, para capturar información de los atacantes así como de distracción, para evitar que ataquen tus servidores y tomar las medidas necesarias.

Si tu eres uno de esos que les gusta conectarse a la red del vecino o a redes inseguras, ten cuidado con ello, pues no sabes quien puede estar detrás de esa red, puede que sea un anzuelo para capturar victimas, no vaya a ser que te hagan un ataque de Pharming. También debes cuidarte del eavesdropping, pues es una fuente de información para realizar ataques dirigidos. Ademas es bueno que identifiques las amenazas, para poder mitigarlas de una mejor manera.   

Son tantas cosas que hemos aprendido en este 2014, en este compendio, incluí los temas que me parecieron mas interesantes, aunque no esta el resumen completo, estos temas son los mas relevantes, con los cuales te puedes entretener leyendo, espero que todas las metas que te hayas planteado a principios del 2014 las hayas realizado.

Sin mas que agregar, les deseo que pasen unas felices fiestas y un prospero 2015.
Saludos.
Lexer Pars.



      
  
 

lunes, 29 de diciembre de 2014

Ataques DDoS desactivan las redes de PlayStation y Xbox en Navidad

El grupo de atacantes virtuales Lizard Squad ha tratado de perturbar la diversión navideña de los jugadores de PlayStation y Xbox que querían estrenar sus nuevas consolas y juegos lanzando un ataque virtual que dejó las redes de ambas consolas incapaces de conectarse a Internet durante el día festivo.

Los atacantes se han hecho responsables de un ataque de negación de servicio que dejó las redes de la PlayStation de Sony y la Xbox de Microsoft incapaces de conectarse a Internet durante uno de los momentos de mayor actividad del año.

Los ataques comenzaron el miércoles 24 y se extendieron hasta el día de Navidad. Las primeras redes afectadas fueron las de Microsoft, pero horas después le llegó el turno a Sony. Ambas compañías confirmaron las interrupciones de sus servicios por medio de Twitter, aunque no dijeron si los ataques informáticos habían sido la causa de los problemas.

Las quejas de los nuevos usuarios en los foros relacionados con el tema demuestran que la situación ha dado una mala primera imagen de las compañías ante a sus nuevos usuarios y empeorado su reputación ante los antiguos.

Esto es particularmente crucial en el caso de Sony, que tiene el antecedente del ataque a la PlayStation Network de 2011 en el que se comprometieron los datos de 77 millones de usuarios de la consola, y que en la actualidad se está tratando de reponer de unas filtraciones de datos robados a Sony Pictures por hackers coreanos,que tuvo que cancelar el estreno de la película "Una loca entrevista" en estas mismas fechas con amenazas de publicar información confidencial de la compañía.
Saludos.
Lexer Pars.

jueves, 25 de diciembre de 2014

Un nuevo programa malicioso afecta a más de 100.000 sitios web basados en WordPress

Más de 100.000 sitios web pueden haberse convertido en una amenaza para sus visitantes tras haber sido el blanco de ataques del nuevo programa malicioso “SoakSoak”, que afecta a la popular plataforma de gestión de contenido para sitios web WordPress.

El problema salió a la luz cuando Google agregó más de 11.000 sitios web a su lista negra por estar infectados con este programa. Sin embargo, la empresa de seguridad Sucuri ha alertado que más de 100.000 sitios web están comprometidos por SoakSoak. El investigador de seguridad Graham Cluley opinó que la decisión de Google fue una “reacción rápida que con suerte evitará que los atacantes ganen dinero con esta campaña cibercriminal”.

El programa malicioso aprovecha una vulnerabilidad en el complemento RevSlider de WordPress para infectarlo con dos puertas traseras que redirigen al usuario al dominio soaksoak.ru, de donde adopta su nombre, para descargar un programa malicioso para Javascript.

La compañía de seguridad Sucuri descubrió la amenaza el domingo, y su rápida difusión ha despertado debates sobre el grado de responsabilidad que tienen los administradores web en la expansión del ataque por no haber parchado el complemento de WordPress.

La vulnerabilidad de RevSlider se descubrió en septiembre, así que los administradores de las páginas web tal vez todavía no se hayan enterado de que necesitan parcharlo. “Estamos remediando miles de sitios y al tratar con nuestros clientes nos damos cuenta de que muchos de ellos ni siquiera sabían que el complemento formaba parte de su sitio”, explicó Daniel Cid, analista de Sucuri.

Mientras tanto, las víctimas de la amenaza están intercambiando experiencias en el foro de WordPress para ayudarse entre sí a solucionar la situación.

Saludos.
Lexer Pars.

miércoles, 24 de diciembre de 2014

La verificación de dos pasos puede ser tu enemiga

Quiero contarte una experiencia que puede servirte de tip para tomar tus precauciones en cuanto a la extensión de seguridad que se utiliza actualmente en muchos servicios, y es la verificación de dos pasos que te ayuda a fortificar tus cuentas y servicios que utilizas en la red. 

Aunque puede ser de gran ayuda, el no tomar las precauciones puede terminar siendo tu peor enemiga. Hace ya unos días, yo en lo personal me valía de tener un dispositivo de confianza como medio de validación en el supuesto caso que perdiera mi móvil, y todo iba bien, hasta que un día, me ocurrió una desgracia se daño el dispositivo y perdí el móvil.    

Imagen 1: Verificación de 2 pasos gmail.

En este punto es cuando tomas conciencia de lo importante que es tomar medidas adicionales al utilizar la verificación de 2 pasos, ya que puedes congelarte y quedar sin poder hacer ningún tipo de transacción financiera, o acceder a tus servicios o cuentas, por suerte es muy fácil recuperar tu numero telefónico, después de unos días recupere mi numero telefónico y todo regreso a la normalidad, pero pase 1 semana sin poder realizar varias transacciones y acceder a mis servicios en red, algo que es frustrante por cierto.    

Por ello te dejo estas recomendaciones para que las puedas aplicar, no vaya ser que la verificaciones de 2 pasos no te permita acceder a tus servicios:

  1. Asegúrate de tener al menos 2 dispositivos de confianza.
  2. Si el sistema lo permite, configura 2 medidas para verificación de 2 pasos, móvil, tarjeta inteligente, llave de seguridad, etc.
  3. Utiliza códigos de seguridad, y no los guardes, es mejor memorizar 1 o 2 códigos y utilizarlos en una situación de emergencia.  
  4. Importante, realizar un backup de tus medios de seguridad, por ejemplo de llave de seguridad, SIM card, tarjetas inteligentes,etc.
  5. Si tienes backups de medios de seguridad para la verificación de dos pasos asegúrate de almacenarlos en un lugar seguro.
Saludos.
Lexer Pars.
 

sábado, 8 de noviembre de 2014

IoT: el día que ataqué mi propia casa

Por: David Jacoby

La historia de un investigador que quería ver cuán vulnerable era su propia casa

Introducción

Sucede a menudo que en la industria de la seguridad informática los nuevos términos crean exagerada expectativa. Es fácil encontrar artículos sobre cómo los hackers e investigadores encuentran vulnerabilidades en, por ejemplo, automóviles, refrigeradores, hoteles o sistemas de alarma domésticos. Todas estas cosas se cobijan bajo el término IoT (Internet of Things), y es uno de los temas más trillados en la industria. El único problema es que no todas estas investigaciones se relacionan con el tema: pueden ser interesantes y profundas, pero si como lector no puedes relacionarte con los ataques, entonces no cumplen su cometido.

Solemos intentar predecir el futuro a través de una investigación proactiva, y puede ser importante hacerlo. Pero creo que es más importante aun hablar de lo que es relevante, y hablar sobre amenazas con las que la gente pueda relacionarse. Al pensar en este tema, se me ocurrió que si no podemos protegernos contra las amenazas modernas, ¿de qué nos sirve identificar potenciales nuevas amenazas futuras?

Las amenazas nos rodean mientras leemos este documento. Como usuarios en un ambiente digital conectado, necesitamos plantearnos las interrogantes: ¿Cuál es el nivel actual de amenazas? y ¿Cuán vulnerable soy?, especialmente cuando comenzamos a implementar redes en oficinas domésticas o en hogares. Una típica casa moderna puede tener unos cinco dispositivos conectados a la red local y no es un ordenador, una tableta o un teléfono móvil, sino una smart TV, una impresora, una consola de juegos, un dispositivo de almacenamiento en red, y algún tipo de reproductor multimedia o receptor de satélite.

Decidí comenzar un proyecto investigando lo que creía relevante, para determinar el nivel de facilidad con la que podría atacar mi propia casa. ¿Son vulnerables los dispositivos conectados a mi red doméstica? ¿Qué podría hacer un atacante si estos dispositivos se infectaran? ¿Es mi casa un blanco posible? Antes de comenzar mi investigación, estaba bastante seguro de que mi casa era segura. Trabajo en la industria de la seguridad informática por más de 15 años, y soy un poco paranoico cuando se trata de aplicar parches de seguridad y cosas por el estilo. Considero que debe haber otras casas más propensas a ser blanco de ataques que la mía, porque en realidad no poseo muchos aparatos de alta tecnología.

Durante mi investigación no me enfoqué en ordenadores, tabletas o smartphones, sino en los otros dispositivos conectados a mi red doméstica. Quedé sorprendido de que en realidad tengo bastantes artefactos conectados a mi red, la mayoría dedicados al entretenimiento: smart TV, receptor de satélite, reproductor DVD/Blue-ray, dispositivos de almacenamiento en red y consolas de juegos. Además, šestoy en el proceso de mudanza a una nueva casa, y he estado conversando con mi compañía de seguridad local. Me sugieren que compre el último sistema de alarma, que se conecta a la red y se puede controlar desde un dispositivo móvil… Tras concluir la investigación ya no creo que esa sea una buena idea.

Algunos de los dispositivos conectados a mi red:

Dispositivo de almacenamiento en red (NAS), de la famosa marca #1.
NAs de la famosa marca #2.
Smart TV.
Receptor de satélite.
Router desde mi ISP.
Impresora.
Antes de realizar la investigación, todos mis dispositivos estaban actualizados con la última versión de firmware. Durante el proceso también noté que no todos los dispositivos contaban con verificaciones automáticas de actualizaciones, lo que hacía que el proceso fuera bastante tedioso. Como cualquier consumidor, tuve que descargar manualmente e instalar el nuevo firmware en cada uno de mis dispositivos, lo que no resultó una tarea sencilla ya que no fue fácil encontrar los nuevos archivos de firmware y porque todo el proceso de actualización no era el adecuado para un usuario promedio. Otra observación interesante fue que la mayoría de los productos se habían descontinuado hacía más de un año y que sencillamente no existían las actualizaciones. Esto me hizo plantearme la interrogante: ¿Estos productos de entretenimiento y de oficinas domésticas sólo 'viven' por un año antes de quedar šdiscontinuados?

El objetivo

¿Qué trato de probar con este trabajo? Esta es la razón por la que decidí emprender este importante estudio. Cuando comencé este proyecto pronto me di cuenta de que podría adoptar varios enfoques distintos de investigación, pero el principal objetivo que quería alcanzar era ver cuán vulnerables son nuestros hogares e identificar vectores de ataque reales y prácticos para probarlo.

En general, tenemos nuestros puntos finales bien protegidos mediante soluciones de seguridad. También hemos aprendido a través de periódicos y blogs a mejorar nuestro nivel de seguridad. La mayoría de los usuarios saben qué es un virus informático, que deberían utilizar una sólida contraseña, y que es importante instalar los últimos parches de seguridad. Pero, ¿llegamos a considerar todos los aspectos? Es normal para un investigador de seguridad informática hablar sobre una puerta asegurada en una casa de vidrio, y quise adoptar un enfoque similar para mi estudio. Quise demonstrar que aún teniendo una conciencia sobre seguridad informática nos abocamos a proteger nuestros puntos finales, pero solemos obviar que hay otros dispositivos conectados a nuestras redes domésticas. Queremos evitar ataques o que se infecten nuestros equipos porque no queremos que roben nuestra información, pero después vamos a casa y hacemos una copia de seguridad de toda nuestra información en un dispositivo que es incluso más vulnerable que nuestro ordenador.

Este estudio está dirigido no sólo a los consumidores sino también a los fabricantes. Tenemos que comprender que TODO lo que conectamos a la red puede ser aprovechado por los atacantes, o incluso convertirse en la 'base’ invisible de un atacante que la usará para volver a penetrar nuestra red después de comprometerla. Imaginemos un escenario en el que te das cuenta que te has infectado y haces todo lo que dicen los manuales para restaurar la normalidad: haces copias de seguridad de tu información, vuelves a instalar tus dispositivos, y te aseguras de que esta nueva instalación esté protegida contra códigos maliciosos y que todas las actualizaciones estén instaladas; pero después de seis meses vuelves a infectarte y vuelven a robar tu nueva información... ¿Cómo es posible?

El atacante puede haber comprometido tu dispositivo de almacenamiento en red y convertirlo en una puerta trasera. El programa malicioso pasa inadvertido porque no hay protección contra un código malicioso que se ejecute en el dispositivo comprometido, y no se lo puede eliminar porque no tienes permiso para acceder al sistema de archivos en el dispositivo, y ni siquiera la reconfiguración de fábrica puede resolver el problema. O puede que el atacante usara tu smart TV infectada para penetrar en tu red corporativa, ya que la TV está conectada a la misma red que tus empleados, y no hay restricciones de red para una smart TV.

El objetivo de mi trabajo fue intentar ser el malo de la película, usando mis dispositivos de entretenimiento domésticos con fines maliciosos, infectarlos y utilizarlos como trampolines para lanzar posteriores ataques o como una puerta trasera para mi propia red.

Lo que no hago en esta investigación es atacar o criticar a ninguna marca. Los dispositivos que se sometieron a prueba en este estudio eran de mi propiedad, y fue por esta misma razón que los elegí. Todas las vulnerabilidades las transmití a los respectivos fabricantes, que ahora están buscando soluciones. Tampoco revelaré todas las vulnerabilidades identificadas en mi investigación ni ningún detalle técnico sobre ellas porque esto sólo les serviría a los ciberpiratas. Si deseas conocer los detalles técnicos sobre este estudio, puedes escribirnos.

El impacto

Bueno, con todos estos distintos dispositivos conectados a mi red doméstica, ¿por dónde iba a comenzar? Decidí hacerlo definiendo los diferentes escenarios de ataques que incluiría en mi investigación en lugar de atacar los dispositivos sin ningún criterio. Uno o todos los siguientes criterios tenían que cumplirse para que la prueba fuera un éxito:

Acceder al dispositivo; por ejemplo, acceder a los archivos en los dispositivos de almacenamiento en red.
Lograr acceso administrativo al dispositivo, no sólo en la interfaz administrativa, sino también a nivel del sistema operativo.
Poder transformar/modificar el dispositivo para mis intereses personales (puerta trasera, trampolín, etc.).
Posiblemente existen muchos otros escenarios que podrían utilizarse para la prueba, pero el tiempo era limitado y sólo pretendía comprobar mi hipótesis. Comencé jugando con las interfaces web de los diferentes dispositivos, y me sorprendió que no tardara mucho en encontrar vulnerabilidades en la ejecución de comandos que se pudieran explotar de forma remota con todos los permisos administrativos a nivel del sistema operativo en ambos dispositivos de almacenamiento en red.

En ese punto me pregunté si era tan fácil como parecía. Después pensé en las dos vulnerabilidades recientemente descubiertas y me di cuenta de que aparecían en la interfaz administrativa después de autenticarme como usuario administrador. Tenía que tener las mismas precondiciones que el atacante, por lo que tenía que descubrir las vulnerabilidades sin recurrir a ninguna de mis autorizaciones de acceso. Ahí la cosa se puso difícil, pero después de husmear un poco, encontré el principal archivo de configuración, que estaba disponible de forma remota para cualquier usuario en la red. En este archivo de configuración se encontraban todos los hashes de contraseñas, lo que facilitó en extremo volver a obtener la interfaz administrativa y explotar las vulnerabilidades que había encontrado en los comandos de ejecución del sistema del dispositivo.


Fisgoneando un poco más, descubrí más vulnerabilidades que también podían explotarse sin necesidad de autenticación para ejecutar comandos del sistema como raíz (autorizaciones más avanzadas) en el dispositivo. En ese punto más o menos terminó el juego con los dos dispositivos de almacenamiento en red. No logré acceder al sistema de archivos completo de los dispositivos. También me fue muy fácil infectar los dispositivos con algunos troyanos o puertas traseras para convertir los dispositivos en miembros de una red zombi, o darle al atacante una puerta trasera, por ejemplo, para lanzar ataques desde el dispositivo.



Ambos dispositivos comprometidos ejecutaban un kernel Linux 2.6.x, y muchos intérpretes, como perl y python. Uno de ellos tenía instalado el compilador GNU C, lo que facilita muchísimo el trabajo del atacante. Puesto que uno de mis escenarios de ataques era convertir el dispositivo comprometido en una puerta trasera, sólo tuve que utilizar uno de los bots IRC públicos como mi caso de prueba. En apenas unos segundos logré convertir mi dispositivo de almacenamiento en red en parte de una red zombi.

Esto fue muy fácil porque el dispositivo de almacenamiento en red comprometido se usa para guardar archivos, por lo que sólo tenía que cargar mi archivo malicioso y colocarlo fuera de las carpetas compartidas en alguna otra parte del sistema de archivos, lo que ocasiona que el dueño del dispositivo no pueda borrarlo sin utilizar las mismas vulnerabilidades que usamos para cargar y ejecutar nuestro troyano IRC.


Después de analizar los dispositivos de almacenamiento en red, descubrí 14 vulnerabilidades que le permiten al atacante ejecutar de forma remota los comandos de sistema con las autorizaciones administrativas más avanzadas. Ninguno de los dos dispositivos tenía una interfaz web vulnerable, pero la seguridad local en los dispositivos era también muy débil. Los dispositivos tenían contraseñas muy sencillas y muchos archivos de configuración tenían permisos incorrectos, así como contraseñas en texto claro.

Para citar otro ejemplo sobre el bajo nivel de seguridad, en uno de los dispositivos de almacenamiento la contraseña raíz administrativa era ‘1’. Comprendo que estos dispositivos no están diseñados con la seguridad de la bóveda de un banco, peroš tener una contraseña de un solo carácter contradice toda regla razonable de seguridad.

Debido a la baja seguridad y al hecho de que tenía acceso al sistema de archivos, también resultó sencillo identificar varios scripts que permitían funciones en el dispositivo y que no habían sido debidamente documentadas. Estas funciones le permitían a un usuario externo activar servicios y otras cosas interesantes en los dispositivos, como interfaces de administración remota (telnetd, sshd). Es posible que continúe escribiendo sobre estas funciones ‘ocultas’ en otro artículo porque tengo que realizar investigaciones más profundas sobre estos archivos.

Durante este estudio me encontré con otros dispositivos que tenían funciones 'ocultas', como mi router DSL provisto por mi proveedor de servicios de Internet. Después de ingresar al dispositivo con mis autorizaciones de administrador, que me envió dicho proveedor, puede navegar en la interfaz web. La interfaz era muy fácil de manejar, y rápidamente me di cuenta de cómo cambiaba la URL cuando navegaba a través del menú. Cada función en el menú tenía asignado un número; la primera función en el menú tenía el numeral 0, que se incrementaba en uno para cada opción. Lo interesante fue que a veces una función saltaba a un número inesperado y faltaban otros, pero cuando ingresaba los números faltantes en la barra de dirección URL, se me presentaba una opción de menú que no existía en la lista del menú, pero el nombre de esa función ‘oculta’ aparecía en la interfaz web.

Hice una búsqueda de fuerza bruta con estos números, y descubrí que había muchísimas funciones a las que no tenía acceso. Supongo que mi proveedor de servicios de Internet o el fabricante tienen el CONTROL TOTAL del dispositivo, y pueden hacer lo que quieran con él y acceder a todas estas funciones para las que yo no tengo permiso. Sólo con mirar los nombres de las funciones ‘ocultas’ parece que el proveedor de servicios de Internet puede, por ejemplo, crear túneles para conectarse a cualquier dispositivo en la red. ¿Qué pasaría si estas funciones cayeran en manos maliciosas? Entiendo que, supuestamente, estas funciones están para ayudar al proveedor de servicios de Internet a realizar funciones de apoyo, pero cuando ingreso utilizando mi cuenta de administrador, no tengo el control total de lo que considero es mi propio dispositivo, lo que es aterrador, especialmente cuando algunos tienen nombres igualmente aterradores, como ‘Web Cameras’, ‘Telephony Expert Configure’, ‘Access Control’, ‘WAN-Sensing’ y ‘Update’.

Las siguientes son capturas de pantalla de estas funciones ocultas:




Actualmente estoy trabajando en estas funciones para ver qué es lo que en realidad hacen. Si encuentro algo interesante, estoy seguro de que habrá otro artículo en este blog.

Mientras tanto, he comenzado a analizar los otros dispositivos conectados a mi red doméstica, como mi Dreambox, que todavía tenía el usuario y contraseña predeterminados, ¡que también eran la cuenta raíz de administrador en el dispositivo! El dispositivo ejecuta Linux, lo que lo convierte en un blanco fácil para un ataque. La mayoría de los otros dispositivos eran bastante seguros, pero sería difícil llevar a cabo una auditoría completa de este tipo de dispositivos porque hay que encontrar formas alternativas para determinar si un ataque fue efectivo o si falló, ya que no tenemos acceso completo a la mayoría de los dispositivos.

Después de husmear por unos días no encontré nada que cubra los tres escenarios, nada que valiera la pena mencionar. También fue difícil conducir la investigación porque utilizaba mis dispositivos personales, y no quería dañarlos porque ¡los compré con mi propio dinero!

Tuve que adoptar otro enfoque y ser más creativo. Tuve que jugar con la idea de que yo era el atacante y que ya había comprometido dos dispositivos de almacenamiento en red. ¿Qué venía después? Mi primer pensamiento fue ver si podía hacer algo con los reproductores multimedia (smart TV y DVD) porque es muy probable que lean la información de otros dispositivos de almacenamiento (que ya había comprometido). En ese punto estaba buscando vulnerabilidades potenciales de ejecución de códigos con mi smart TV y mi reproductor DVD, pero como me costaron mucho dinero, no pude continuar con la investigación. No se trataba sólo del dinero que perdería si estropeaba mi flamante LED Smart TV, sino también cómo les explicaría a mis niños que les había dañado la TV y que se quedarían sin ver Scooby Doo.

Decidí dejar de analizarlos y me dediqué a contactar a varios fabricantes para ver si las vulnerabilidades eran explotables y trabajar junto a ellos para verificar estos potenciales problemas de seguridad. Para ellos es mucho más sencillo ya que tienen acceso al código fuente y pueden confirmar si la vulnerabilidad es válida o no (y supongo que no les importaría dañar algunos aparatos).

Al principio tuve algunos problemas en ponerme en contacto con los fabricantes porque en sus sitios web hay muy pocos datos de contacto verdaderamente útiles para los ingenieros, o personas de nivel C que podrían ayudarme a llegar a la gente indicada. Después de consultar con colegas de mi red profesional, por fin pude entrar en contacto con la gente que necesitaba ver, y estuvieron muy agradecidos por la información que compartí con ellos sobre las vulnerabilidades y el enfoque de mi investigación.

Ahora estamos tratando de identificar si podríamos convertir la smart TV o el reproductor DVD/Blu-ray en el mismo trampolín o puerta trasera en los que convertí mis propios dispositivos en mi investigación. Posteriormente publicaré mayor información sobre este tema, a medida que avance este trabajo conjunto.

Logré identificar un problema de seguridad algo curioso con la smart TV. Cuando el usuario accede al principal menú de configuración en la TV, todas las imágenes miniatura y widgets se descargan desde los servidores del fabricante si el dispositivo está conectado a la red. La TV šno tenía ningún tipo de autenticación o cifrado para descargar esos contenidos, lo que significa que un atacante podría lanzar un ataque tipo man-in-the-middle contra la TV y modificar las imágenes en la interfaz de administración o hacer que la TV cargue un archivo JavaScript, lo que sería muy malo. Un vector potencial de ataque consiste en utilizar JavaScript para leer los archivos locales del dispositivo y utilizar los contenidos de los archivos para encontrar más vulnerabilidades. Pero estoy trabajando en ello, junto al fabricante, para ver si es posible o no. Como una prueba de concepto para mi ataque, cambié la imagen miniatura de un widget por la imagen de un favorito de todos: Borat. ¡Yakshemash!


Resumen

Desde siempre he sido un completo fanático de la seguridad, en todos los aspectos, desde realizar pruebas de penetración hasta dar conferencias y ser asesor de la policía.

La seguridad informática es mi mayor pasión, pero en los últimos años creo que llegué a un punto en mi vida en el que me cansé de leer los mismos boletines de seguridad año tras año. Es hora de que hagamos algo para solucionar los problemas, y una cosa que podemos hacer es comenzar a hablar de amenazas que sean relevantes y en un lenguaje que todos puedan entender. Como expertos en seguridad, debemos asumir mayor responsabilidad y abordar las amenazas que hoy en día son relevantes porque nos afectan a todos. También tenemos que proponer consejos inteligentes y sencillos, conclusiones y soluciones sobre cómo mitigar esas amenazas utilizando los programas y la tecnología que ya tenemos.

Siempre me han fascinado las nuevas vulnerabilidades y las técnicas de explotación, pero, honestamente, ¿de qué sirve sólo publicar información sobre vulnerabilidades si no logramos que la gente comprenda todo el contexto? Creemos que la seguridad informática sólo se trata de vulnerabilidades en programas y estoy consciente de que la mitad de este artículo está dedicada a ellas, pero el objetivo de esta investigación no es presumir de las vulnerabilidades queš descubrí, ni que existen grandes problemas de seguridad en la línea de productos de entretenimiento familiar. Las vulnerabilidades siempre existirán, y es algo que tenemos que comprender. Sin embargo, comprender no significa aceptar. Lo que quiero decir es que debemos hacer algo al respecto, debemos conocer la dimensión del impacto y asumir que nuestros dispositivos pueden comprometerse, si es que no lo están ya. Tenemos que comenzar a asumir que los productos son vulnerables y que los atacantes pueden y lograrán penetrarlos.

Quiero concluir mi investigación diciendo que nosotros, a nivel individual y corporativo, necesitamos comprender los riesgos que rodean a los dispositivos en red. También necesitamos comprender que nuestra información no está segura sólo porque tengamos una sólida contraseña o porque tengamos soluciones antivirus. Asimismo, necesitamos entender que hay muchas cosas sobre las que no tenemos ningún control, y que estamos en gran medida en las manos de los fabricantes de software y hardware. šTardé menos de 20 minutos en descubrir y verificar vulnerabilidades extremadamente graves en un dispositivo que supuestamente era seguro, en el que confiamos y en el que guardamos nuestra información para que no se la roben.

Recuerdo que cuando le propuse esta investigación a mi jefe, me preguntó cuál era el resultado que yo preveía. Yo no pretendía desarrollar nuevas soluciones de seguridad para los dispositivos de entretenimiento familiar, yo sólo buscaba identificar los problemas de seguridad, por lo que la única respuesta que podía darle era que yo quería realizar esta investigación para que la gente esté consciente de que hay un problema, y que a nivel individual tenemos que intentar mejorar nuestra seguridad personal en formas diferentes a lo que hacíamos en el pasado, que necesitamos mentalizarnos de una forma completamente distinta.

También me gustaría hacer llegar un mensaje a los fabricantes: tienen que encontrar una mejor forma de dar soporte y seguridad a sus productos. No es aceptable que se discontinúe un producto apenas a los 12 meses de su lanzamiento; no está bien que utilicen contraseñas de un solo carácter, y no está bien que piensen que estos aparatos son sólo de 'entretenimiento’. No está bien que un archivo de configuración que contiene toda nuestra información sea fácil de leer, especialmente si se encuentra en un dispositivo de almacenamiento en red.

Tenemos que encontrar soluciones alternativas que ayuden a los usuarios individuales y corporativos a mejorar su seguridad. No se trata de un problema que se solucione con sólo instalar un parche o un producto de seguridad. Por esto, quiero cerrar este artículo diciendo que aunque la industria del entretenimiento familiar no esté preocupada por la seguridad, nosotros en Kaspersky Lab sí lo estamos, y creemos que bastan algunos consejos para mejorar la seguridad de los usuarios. Espero que algunos fabricantes lean este artículo y mejoren sus medidas de seguridad, pero hasta que eso ocurra, te dejo unos cuantos consejos para que mejores tu protección:

Asegúrate de que todos tus dispositivos cuenten con las últimas actualizaciones de seguridad y firmware. Este es un problema para muchas oficinas domésticas y dispositivos de entretenimiento, pero por ahora es lo mejor que puedes hacer para protegerte contra las vulnerabilidades conocidas. También te permite saber si hay actualizaciones para tus dispositivos o si están considerados como productos ‘muertos’.
Asegúrate de cambiar el usuario y contraseña predeterminados; esto es lo primero que un atacante intentará vulnerar para comprometer tu dispositivo. Recuerda que aunque sea un producto ‘estúpido’, como un receptor de satélite o un disco duro en red, sus interfaces de administración suelen tener serias vulnerabilidades. š
Cifra tus archivos, incluso aquellos que guardas en tu dispositivo de almacenamiento en red. Si no tienes acceso a una herramienta de cifrado, puedes colocar tus archivos en un archivo ZIP protegido por contraseña; esto es preferible a no hacer nada.
En la mayoría de los routers y switches domésticos se puede configurar diferentes DMZ/VLAN. Esto significa que puedes configurar tu propia red ‘privada’ para tus dispositivos en red, para restringir el acceso a la red desde y hacia este dispositivo.
Usa tu sentido común y acepta que todo se puede hackear, incluso tus aparatos domésticos.
Si eres medio paranoico por la seguridad, puedes monitorear el tráfico de salida de red desde estos aparatos para ver si hay algo extraño, pero para ello se necesitan ciertos conocimientos técnicos. Otra buena idea es evitar que los dispositivos en red accedan a sitios web inadecuados, y sólo permitirles actualizarse.
Saludos.
Lexer Pars.

viernes, 7 de noviembre de 2014

Un nuevo e inusual programa malicioso amenaza a los clientes de Apple

Se ha descubierto una nueva familia de malware que trata de robar la información de los clientes de Apple atacando sus dispositivos aunque no hayan sido liberados (jailbroken) para burlar las restricciones de uso impuestas por la compañía.

La compañía de seguridad Palo Alto Networks descubrió el programa “WireLurker”, que afecta los sistemas operativos iOS y OS X, poniendo así en peligro a los usuarios de iPhones, iPads y Macs. A diferencia de otros programas maliciosos para Apple, WireLurker no necesita que el usuario haya liberado sus dispositivos móviles, sino que utiliza un certificado de autentificación corporativo para irrumpir en ellos.

La amenaza se propaga infectando las aplicaciones que el dispositivo ya tiene instaladas y puede descargar e instalar aplicaciones maliciosas sin el conocimiento del usuario, de un modo similar al que un programa malicioso para ordenadores se comportaría.

Es inusual ver programas maliciosos con este tipo de comportamiento en el mundo real, y los investigadores de Palo Alto aseguran que esta es la primera vez que han visto uno en acción. “Las técnicas que se utilizan indican que los actores maliciosos se están volviendo cada vez más sofisticados cuando se trata de explotar algunas de las plataformas de escritorio y móviles más conocidas”, indicó Ryan Olson, portavoz de Palo Alto.

Los primeros ejemplares de WireLurker se descubrieron en tiendas de aplicaciones externas de China, y todo parece indicar que los atacantes están operando desde este país. Se han detectado 460 aplicaciones maliciosas rondando en Internet para infectar a los usuarios y se han descargado más de 350.000 veces. China es el país más afectado hasta ahora.

La amenaza todavía se está investigando, pero se cree que los atacantes pueden robar la información sobre los contactos de los usuarios y los identificadores de sus mensajes.

“Sabemos que existe un programa malicioso que puede descargarse desde un sitio web destinado a usuarios de China, y hemos bloqueado las aplicaciones que identificamos para evitar que se ejecuten”, dijo Apple en una breve declaración sobre la situación. “Como siempre, recomendamos a los usuarios que sólo descarguen e instalen programas de fuentes de confianza”.
Saludos.
Lexer Pars.

jueves, 6 de noviembre de 2014

Un programa chantajista acampa en los espacios publicitarios de conocidos sitios de Internet

Se ha descubierto que el programa chantajista Cryptowall 2.0 estaba explotando una vulnerabilidad en Flash que le permitía mostrar anuncios falsos en los espacios publicitarios de sitios populares de Internet como Yahoo!, AOL, Match.com y 9gag. Los atacantes aprovecharon esta falla para instalar el programa malicioso en los equipos de los visitantes que pulsaban en los anuncios.

Los investigadores de la compañía de seguridad Proofpoint descubrieron la amenaza, que había puesto en peligro a los visitantes de 22 sitios web. “Más de 3 millones de usuarios quedaron expuestos a esta operación de malware cada día”, explicaron los analistas de Proofpoint.

Los atacantes publicaron anuncios falsos que se hacían pasar por avisos de marcas conocidas como Bing de Microsoft, Case Logic y Fancy. Utilizaron una herramienta de ataque llamada Flash Pack que les ayudaba a ejecutar exploits para vulnerabilidades en complementos antiguos de Flash en los navegadores.

De este modo, los cibercriminales intentaban instalar el programa chantajista CryptoWall 2.0 en los equipos de sus víctimas y cifrar los documentos que encontraban. Los delincuentes de CryptoWall exigen un rescate en bitcoins para devolver al usuario el acceso a su propia información y, en esta operación, la cantidad de bitcoins que pedían bordeaba los 500 dólares.

Se estima que las billeteras de Bitcoin de los cibercriminales han logrado recolectar 25.000 $ con esta amenaza, 9.350 de los cuales consiguieron en sólo una semana. Los expertos de Dell SecureWorks calculan que este programa malicioso ha infectado más de 600.000 ordenadores con diferentes métodos de ataque entre marzo y agosto, con lo que los cibercriminales consiguieron más de 1 millón de dólares.
Saludos.
Lexer Pars.

miércoles, 5 de noviembre de 2014

Recuerdos de la tecnología

La tecnología avanza muy rápido, aun recuerdo cuando tuve mi primer ordenador, fue una Compaq Presario 4508, 1GB de disco duro, 32 MB de RAM, un procesador Pentium MMX, y un Windows 98 inolvidable. 

Figura 1: Ordenador Compaq Presario 4508.

Aunque Internet es algo común para las generaciones de hoy en día, al igual que yo, habrá muchos que recordaran los momentos en que Internet no era accesible a todas las personas, incluso el tener un ordenador personal o un teléfono como el Startrack era un lujo. Fueron tiempos en que si querías comunicarte con un amigo o alguna persona, tenias que ir a buscarlo a su casa, porque no existía, Facebook, Twitter, Whatsapp, Line, etc, que te facilitara ese proceso. O tener que ir a la biblioteca cada vez que te dejaban una tarea en el Instituto.  

Ahora suena divertido, pero en su tiempo fue algo complicado adaptarse a ese cambio tecnológico, la primera vez que yo utilice Internet, fue para investigar una tarea del Instituto, como en ese tiempo, desconocía todo acerca de Internet, fue emocionante ver como se cargaba una pagina en el navegador, recuerdo cuando guarde los resultados de la búsqueda en google, en un disco flexible, algo nada inteligente y gracioso al recordarlo ahora.

Al estar investigando sobre las Botnet, vino a mi mente esta y otras anécdotas, ademas quisiera compartirte unos videos, de las generaciones actuales, en la que se afrontan a tecnología pasada, es divertida las reacciones, ya han crecido con tanta tecnología.

Reacción ante ordenador de hace 30 años.

Reacción de adolescentes ante el Internet de los 90.      

Saludos.
Lexer Pars.

martes, 4 de noviembre de 2014

Vulnerabilidad del día cero en Office pone en peligro a los usuarios de Windows

Se ha descubierto una nueva vulnerabilidad de día cero en los programas de Office que podría poner los equipos que operan con casi cualquier versión de Windows bajo el control de criminales virtuales.

“Microsoft se ha enterado de una vulnerabilidad que afecta todas las versiones actuales de Microsoft Windows, con la excepción de Windows Server 2003”, indicó la compañía en una advertencia a la comunidad. Esto significa que los usuarios de las versiones más populares del sistema operativo, incluyendo Vista, Server 2008, Server 2012, Windows 7, Windows 8 y RT corren el peligro de ser blanco de ataques que exploten esta falla. Microsoft no ha informado sobre el estado de XP porque ha dejado de desarrollar mejoras para este sistema operativo, pero dada su popularidad es posible que, de ser vulnerable, los atacantes también busquen formas de atacar a sus usuarios.

Microsoft ha descubierto que los cibercriminales están enviando correos electrónicos maliciosos con archivos adjuntos de PowerPoint que explotan la vulnerabilidad, pero es posible que el ataque pueda repetirse con archivos de Word y Excel.

No se han revelado detalles sobre la vulnerabilidad, pero la compañía explicó que “permite la ejecución remota de código si el usuario abre un archivo de Microsoft Office que contiene un objeto OLE”. La tecnología OLE (“Object Linking and Embedding”, que significa “Incrustación y Enlazado de Objetos” en inglés), desarrollada por Microsoft, permite a las aplicaciones compartir datos y funcionalidades.

“Si el atacante explota la vulnerabilidad con éxito, puede conseguir los mismos derechos de usuario que quien esté empleando el equipo”, alertó Microsoft. Esto significa que, si el usuario tiene derechos de administrador al momento del ataque, el cibercriminal puede tomar el control completo del sistema afectado para instalar programas, modificar, eliminar o compartir datos y crear nuevas cuentas con acceso total al equipo.

La compañía ha puesto a disposición de los internautas un parche temporal para la amenaza mientras desarrolla uno permanente, que no se sabe si estará listo la próxima semana para su ciclo de parches. También ha pedido a sus clientes que sean cautelosos con los archivos que reciben mediante Internet, en especial si los reciben de forma inesperada o provienen de fuentes desconocidas. Es un consejo básico que sirve para protegerse de ésta y otras amenazas.
Saludos.
Lexer Pars.

lunes, 3 de noviembre de 2014

Investigacion Botnet (Historia)

Hace tiempo había escrito sobre Botnets, pero ahora tratare el tema un poco mas a fondo. El tema de las Botnet no es nada nuevo, pues la primer Botnet surgió en 1988, llamada Hunt the Wunpus. Aunque esta Botnet, fue desarrollada para automatizar tareas de gestión en canales IRC, los Bots, asociadas a procesos de juegos de usuarios, en los cuales debian de estar disponibles las 24 horas para ofrecer a los jugadores la posibilidad de jugar. Aunque la primer Botnet fue desarrollada para fines completamente lícitos, las Botnet derivadas fueron empleándose para cometer delitos informáticos.   


 Video juego Hunt the Wunpus

Algunas Botnets derivadas son:
  • Pretty Park, 
  • SubSeven, 
  • GTBot, SD Bot 
  • AgoBot
  • SpyBot
  • Bobax
  • RBot
  • PolyBot
  • MyTob
  • Bagle
  • Rustok
  • Peacomm
  • Waledac
  • Conficker
  • Maazben
  • Festi
  • Bredolab

 Aunque estas variantes están enfocadas a realizar infecciones a ordenadores, con el fin de realizar ataques a servidores, robar información, dinero y realizar spam, distribuir malware, entre otros.

Saludos.
Lexer Pars

domingo, 2 de noviembre de 2014

Investigacion Botnet

En los últimos días he estado he estado publicado noticias sobre los acontecimientos de seguridad informática y ataques ciberneticos que han surgido, ya que no había tenido mucho tiempo para escribir en el blog, pero ahora tengo un poco mas de tiempo libre, así empezare a publicar mas contenido interesante.    

Tengo pensado realizar un estudio acerca de las Botnet, el cual estaré publicando durante unos días, el cual tratara de profundizar desde los inicios, hasta el día de hoy, ademas de una investigación de teórica o documental, llevare a cabo una investigación de campo, el cual lo haré bajo un entorno no controlado. Tratare de abarcar el proceso de desarrollo de una Botnet, análisis y detección de los antivirus, medidas de seguridad que se pueden adoptar para tratar de prevenir ser infectado con malware de este tipo.

Este tema me fascina, por ello creo que merece un estudio, para comprender mejor como operan este tipo malware, los beneficios que les brinda a los criminales, como pueden propagarse, los riesgos que tiene un usuario al quedar infectado, entre otros temas mas.

Saludos.
Lexer Pars.

  

sábado, 1 de noviembre de 2014

Axiom, nuevo grupo de espionaje Chino

La empresa de seguridad informática Novetta Solutions, que encabeza una coalición de ciberseguridad que cuenta con el apoyo de compañías como Microsoft, FireEye, F-Secure, Cisco y Symantec, ha descubierto a un nuevo grupo de hackers chino que ha sido bautizado como Axiom.


Este grupo ha sido responsable de ataques a 43.000 ordenadores en todo el mundo, siendo sus víctimas, tanto organismos del gobierno y fuerzas de seguridad de los estados, organizaciones de derechos humanos, ONGs mediomabientales, empresas del índice Fortune 500 y compañías de Software. 

Según desvelan desde Novetta Solutions, el grupo Axiom tiene lazos con el gobierno chino, y es más sofisticado que la Unidad 61398, una división del ejército del país comunista acusada de perpetrar importantes ataques el año pasado. 

En el caso de Axiom se especula que ha estado en funcionamiento desde hace seis años y ha sido responsable de ataques como el realizado contra Google en 2010, que se conoce como Operación Aurora, tal y como informan en Mashable. La noticia se ha producido días antes de la visita a Pekín que realizarán Barack Obama y John Kerry, donde se encontrarán con políticos chinos para discutir aspectos como la ciberseguridad.

Saludos.
Lexer Pars.

viernes, 31 de octubre de 2014

Nuevas características de seguridad en Android 5.0

Android 5.0, bautizado por Google como Lollipop, incluye nuevas e importantes características de seguridad. Se empiezan a conocer las características más relevantes de la nueva versión del sistema operativo más popular para dispositivos móviles.

En una entrada titulada "Una dulce piruleta con envoltorio de kevlar", Adrian Ludwig ingeniero jefe de seguridad de Google y responsable de la seguridad de Android describe las nuevas características de seguridad de Android 5.0. La mayor actualización para Android hasta la fecha en materia de seguridad que verá la luz dentro de poco.

Con la llegada de Android 5 se esperan nuevas características, mejores aplicaciones, más velocidad, más prestaciones y por supuesto más seguridad. Como no podía ser de otra forma, Google ha tomado buena nota de algunas de las carencias de versiones anteriores y espera mejorarlas en esta nueva versión.

Android 5.0, vendrá con nuevas características de seguridad entre las que Google ha querido destacar el cifrado por defecto, una pantalla de bloqueo y la capa de seguridad SELinux.

La pantalla de bloqueo

La capa de seguridad más visible para el usuario es la pantalla de bloqueo. Aunque todavía es un elemento que dista de ser empleado por todos los usuarios, es la forma más sencilla para mantener los datos a salvo y seguros en un dispositivo móvil. Desde aquí queremos recomendar a todos los usuarios que activen el bloqueo de la pantalla en sus dispositivos.

Google también quiere que cada vez un mayor número de personas hagan uso de esta medida de protección. Conscientes de que todavía una gran cantidad de usuarios de dispositivos móviles no usan un PIN o contraseña, debido a que lleva demasiado tiempo desbloquear el móvil múltiples veces al día y se convierte en algo tedioso.

Para ello, han implementado una pantalla de bloqueo más sencilla bajo el nombre de "Smart Lock", que permitirá evitar la pantalla de bloqueo del móvil si se encuentra emparejado con un dispositivo Bluetooth o NFC. De esta forma si llevamos un dispositivo "wearable" o tenemos el manos libre del coche no será necesario pasar por la pantalla de desbloqueo. Una opción que sin duda puede ser útil pero que también habrá que utilizar con cuidado.

También se ha mejorado el desbloqueo facial, que permite desbloquear el móvil empleando nuestra cara. Aunque esta funcionalidad ya existía desde Android 4.0, ahora se ha mejorado el reconocimiento que puede realizarse en menos de 1 segundo.

Cifrado desde el primer momento

En las versiones actuales de Android el cifrado del dispositivo es algo opcional, el usuario debe activarlo expresamente. Sin embargo Google ha decidido cambiar esto, el dispositivo completo se cifra desde que se produce el primer arranque, utilizando una clave única que nunca abandona el dispositivo.

De esta forma, con Android 5.0 el cifrado del dispositivo dejará de ser algo opcional a ser algo que estará presente en todos los dispositivos. Un factor de seguridad importante en cuenta en caso de pérdida o sustracción del móvil o tableta.

SELinux

Desde el principio Android ha tenido una sandbox de aplicaciones robusta, sin embargo no ha estado exenta de problemas. La integración de Security Enhanced Linux (SELinux) desde la versión 4.2 ha llevado el modelo de seguridad en Android hacia el núcleo del sistema operativo, esto hace que para el sistema sea más fácil de auditar y monitorizar las acciones lo que deja menos espacio para un ataque.

Security Enhanced Linux (SELinux) es un módulo de seguridad para el kernel Linux, integrado a la rama principal del núcleo Linux desde la versión 2.6 (en 2003), destinado a proporcionar un sistema de control de acceso obligatorio incorporado en el kernel. SELinux define los permisos de cada usuario, aplicación, proceso y archivo en el sistema y se encarga de controlar las interacciones entre todos ellos en base a una serie de políticas de seguridad específicas.

En Android, hasta la fecha, SELinux podía funcionar en tres modos distintos configurables por el usuario (o el operador o fabricante):
  • desactivado en donde no estaba cargada ninguna política de seguridad
  • permisivo ("permissive") donde el modelo de políticas estaba cargado si bien no se aplicaban. Una aplicación maliciosa podía acceder a recursos no permitidos. Aunque no se impedía el acceso la acción quedaba registrada. Algo solo útil a efectos de auditoría y depuración.
  • habilitado ("enforcing") donde el dispositivo cuenta con todas las políticas cargadas y activas.

En Android 5.0 todo esto cambia, y ahora es obligado el modo "enforcing" en todos los dispositivos.

También se incluyen otras características de seguridad en Android 5.0. Por ejemplo se podrá compartir el dispositivo de forma segura con el modo de usuario invitado. También se podrán crear múltiples cuentas de usuario lo que permitiría compartir el dispositivo de forma segura con cualquier amigo.


Por esto, una vez más jugando con el nombre de esta versión de Android, el responsable de seguridad de Android compara la seguridad de Lollipop con una piruleta. Adrian afirma que Android 5.0 es la actualización de Android más dulce hasta la fecha, en la que han puesto un rígido palo de seguridad para el núcleo de la piruleta y un envoltorio de kevlar para el exterior. Seguridad por dentro y por fuera.

Saludos.
Lexer Pars.

jueves, 30 de octubre de 2014

ODILA: cómo denunciar delitos informáticos en Latinoamérica

Esta nota ha sido publicada por We Live Security en mención del Proyecto ODILA presentado hace instantes en ekoparty, del cual Segu-Info orgullasamente es uno de los creadores junto a AsegurarTE.

De seguro recuerdan el concepto de Deep Web: aquella parte de Internet que está oculta, escondida, y no vemos a simple vista -pero está ahí, detrás de la Internet que usamos cotidianamente. Con una idea similar, ha surgido el concepto de "cifra negra" de los delitos informáticos: aquella que desconocemos y escapa de las estadísticas habitualmente, ya sea porque las víctimas no denuncian ataques o no saben cómo o dónde hacerlo. De esa forma, la ocurrencia de delitos no sale a la luz. 

Con el espíritu de terminar con esa falta de números y esa falta de conocimiento acerca de cómo proceder ante un ataque informático, nace el Observatorio de Delitos Informáticos de Latinoamérica (ODILA). Como parte de nuestra cobertura especial de la conferencia de seguridad ekoparty, asistimos a la presentación del proyecto y hablamos con sus responsables para conocer mejor el contexto de su creación. 

Por empezar, hay una tendencia de los usuarios a creer que en Internet “se puede hacer todo”, que no hay regulaciones ni existen cosas ilegales. Lo cierto es que cada país de Latinoamérica tiene, en mayor o menor medida, una legislación en lo que refiere a delitos informáticos, aunque no haya una unificación ni un denominador común. Sí hay un conjunto de características que hacen a un delito: son pluriofensivos, no distinguen víctimas, no tienen fronteras, y son de difícil investigación. 

Durante la presentación, Cristian Borghello, Maximiliano Macedo y Marcelo Temperini compartieron casos de personas que acudieron a ellos con pedidos un tanto descabellados. Por ejemplo, "meter algún virus o algo así en el sistema de Whatsapp" para que se borre una imagen. 

ODILA viene a decir que, en verdad, en Internet no se vale todo y que hay que denunciar los casos. Mediante un formulario de denuncia anónimo, el sitio permitirá informar sobre cualquier caso de ataque, sin importar que el usuario no haya sido la víctima directa. Según su país de residencia y el tipo de incidente, se le brinda información sobre dónde denunciar y cómo proceder, dada la falta de instrucciones claras en ese sentido. A esos fines, ODILA ha elaborado un mapa de delitos informáticos, que muestra qué leyes hay en cada país de Latinoamérica. 

Sucede que un problema frecuente es que las personas no saben a quién acudir o dónde presentar una denuncia si han sido víctimas de un delito informático. Sumado a eso, generalmente quieren confidencialidad, y que su nombre no salga a la luz para resguardar su identidad. 

El proyecto persigue el objetivo final de demostrar que hay delitos que suceden y no son denunciados, los que constituyen la "cifra negra", y comenzar a canalizar las denuncias de estos casos para elaborar estadísticas que den un panorama en toda Latinoamérica. Con la información recopilada, se dará asesoramiento a las personas en lo que respecta a la realización de denuncias. 

Queda clara entonces la necesidad de que la ocurrencia de delitos informáticos sea reportada, para que se pueda combatir la "cifra negra". Los invitamos a visitar el sitio de ODILA para obtener más información y colaborar con la elaboración de estadísticas sobre ataques en América Latina.
Saludos.
Lexer Pars.

miércoles, 29 de octubre de 2014

Hackearon las computadoras de la Casa Blanca y sospechan que fue Rusia

Hackers accedieron a una de las redes de computadores de la presidencia de Estados Unidos en las últimas semanas por lo que varios equipos de la Casa Blanca debieron ser desconectados ayer temporalmente. Según afirma hoy el diario The Washington Post, el gobierno estadounidense señala como responsable del ataque al gobierno ruso.



Según el diario estadounidense, que cita fuentes anónimas, los hackers que accedieron a la red presidencial en las últimas semanas trabajan para el gobierno ruso.

Según el funcionario Casa Blanca que anunció el hecho en condición de anonimato y no precisó la naturaleza de estas actividades, se ha "identificado actividad preocupante en la red EOP que maneja documentos no clasificados", es decir, que no pudieron acceder a información relevante. Además, agregaron que los intrusos no dañaron los sistemas.

"En el curso de la evaluación de las amenazas recientes, hemos identificado la actividad de preocupación en la Oficina Ejecutiva no clasificada de la red del Presidente", dijo un funcionario de la Casa Blanca. "Tomamos medidas inmediatas para evaluar y mitigar la actividad. Por desgracia, algunos de ellos derivaron en la interrupción de los servicios regulares de los usuarios. Pero la gente está con eso y está tratando de solucionarlo".

El FBI, el Servicio Secreto y la Agencia de Seguridad Nacional (NSA, por sus cifras en inglés) están trabajando en la investigación.

Informes recientes de firmas de seguridad identificaron campañas de ciberespionaje de hackers rusos que creen que trabajan para el Kremlin. Los objetivos han incluido la OTAN, el gobierno de Ucrania y los contratistas de defensa estadounidenses.

Rusia es considerada por funcionarios estadounidenses como una de las potencias respecto de las capacidades cibernéticas.

En el caso de la Casa Blanca, la naturaleza de este último objetivo es consistente con una campaña con el auspicio del estado ruso, dijeron las fuentes.

La Casa Blanca recibe alertas diarias de sus expertos en informática respecto a posibles amenazas cibernéticas.

Se cree que el servicio de inteligencia ruso ha estado detrás de un ataque a las redes militares clasificadas de Estados Unidos, descubierto en 2008. La operación para contener la intrusión y limpiar los ordenadores, llamada Buckshot Yankee, llevó meses.
Saludos.
Lexer Pars.

martes, 28 de octubre de 2014

Estados Unidos confirma que es legal irrumpir en servidores extranjeros

Autoridades estadounidenses han explicado que las leyes de su país les permiten irrumpir en servidores extranjeros para resolver casos criminales sin necesidad de solicitar ninguna orden judicial. Las declaraciones han surgido en vísperas del juicio a Ross Ulbricht, el supuesto responsable del sitio web criminal Silk Road, cuyo juicio está programado para el próximo mes.

Las autoridades estadounidenses aseguran que encontraron los servidores de SilkRoad en Islandia gracias a que un CAPTCHA filtró su IP, lo que después les sirvió para identificar y encontrar a Ulbricht, explicación que los abogados defensores encuentran difícil de creer. La defensa ha tratado de anular la validez de las evidencias presentadas por las autoridades, acusándolas de haber penetrado sin autorización y de forma ilícita en los servidores de Silk Road para espiar las actividades de sus miembros y recolectar evidencias incriminatorias.

Pero la respuesta de la fiscalía tomó un rumbo inesperado cuando se basó en explicar la legalidad de las acciones de las que se lo acusaba. “Una medida de este tipo no estaría protegida por la Cuarta Enmienda. Como los servidores se encontraban fuera de Estados Unidos, la Cuarta Enmienda [que protege a los ciudadanos norteamericanos de pesquisas y aprehensiones arbitrarias] no habría requerido que se emitiera una orden judicial para ingresar al servidor”, explicaron las autoridades en una declaración oficial en respuesta a las acusaciones de Ulbricht.

Según explicaron las autoridades, la clave de la legalidad de la intrusión está en la naturaleza abiertamente criminal del sitio: “Dado que el servidor de Silk Road estaba almacenando un sitio cuyo uso criminal era de conocimiento público, el FBI habría podido ‘hackearlo’ para inspeccionarlo y se habría considerado como el equivalente de un allanamiento de propiedad extranjera con evidencias criminales conocidas, por lo que no se necesitaría una orden de inspección”.

A pesar de esta defensa, la fiscalía aseguró que no había hackeado los servidores de Silk Road. Pero la explicación, más que tranquilizar al público, ha despertado la preocupación de quienes se percatan de las dificultades de definir qué sitios son “abiertamente criminales” y temen que se abuse este poder para espiar a los ciudadanos.

Las autoridades tienen razones y trucos legales adicionales para rechazar las expectativas de privacidad de Ulbricht. Una de ellas es que, además de las razones antes mencionadas, Silk Road había violado los términos de uso del servidor externo que alquilaba al usar su sitio web para realizar actividades criminales, por lo que el servidor no tenía la obligación de proteger su privacidad. Asimismo, la fiscalía argumenta que Ulbricht no puede exigir privacidad en el sitio sin antes declarar que le pertenece, una estrategia legal que lo incriminaría.

Ross Ulbricht ha sido acusado de ser el líder del sitio de venta de drogas y centro de actividades criminales Silk Road y de haber ganado millones de dólares con las comisiones de los productos ilícitos que se vendían. Se ha declarado inocente de todos los cargos y su juicio comenzará en noviembre.
Saludos.
Lexer Pars.