sábado, 31 de diciembre de 2016

Compendio 2016

En este 2016 aprendimos que hay técnicas de esteganografia, que permiten ocultar información en un sistema informático, como los ads, ocultar información en imágenes, ocultar información en archivos de audio, ocultar información en un correo electrónico utilizando mimic functions, e incluso ocultar información en un video.

Así como técnicas de desarrollo de malware, que medidas utilizan para infectar un sistema, y los vectores de ataque utilizados para comprometer la información, aunque de este estudio aun esta pendiente mucho, pues en cuanto a malware se trata, hay mucho material y cada día hay un progreso en este tema, que espero poder continuar en el 2017.

También examinamos algunas técnicas que se utilizan para analizar malware, con el fin de comprender que hacer cuando se tiene una muestra de malware e incluso si no se posee, con el estudio de desarrollo de malware, da una idea de donde puedes buscar el código malicioso y posterior a ello, utilizar técnicas de análisis estático y dinámico sobre el malware.

Espero que pases unas felices fiestas y que dejes el ordenador descansar.
Feliz año nuevo!

Saludos.
Lexer Pars.

jueves, 15 de diciembre de 2016

En 2017 los ciberdelincuentes no atacarán a las empresas, sino a los empleados

Check Point predice que “se utilizarán técnicas cada vez más ofensivas” cuyo “objetivo ya no será atacar a las empresas, sino a los empleados”, como puerta de entrada.
¿Cómo será 2017 en cuestión de seguridad? Según Check Point, “más peligroso” que el año que estamos a punto de abandonar. ¿Por qué? Entre otras cosas, porque los empleados se posicionarán en el punto de mira para los ciberdelincuentes.
“Hemos vivido un año en el que las compañías se han enfrentado a un aumento sin precedentes en volumen y sofisticación de los ciberataques. 2017 mantiene esa tendencia, con el agravante de que se utilizarán técnicas cada vez más ofensivas y donde el objetivo ya no será atacar a las empresas, sino a los empleados”, valora Mario García, director general de Check Point para España y Portugal, que recuerda que, “definitivamente, las soluciones de protección avanzada son cada día más imprescindibles para cerrar todas las puertas”.
García apunta en este sentido que los trabajadores son “uno de los puntos más débiles de la empresa y se convierten en puertas de acceso para los ciberdelincuentes”, así que “es necesario que las compañías inviertan recursos en formación como parte de la estrategia de seguridad”.
Check Point calcula que el año que viene una quinta parte de los trabajadores será responsable de alguna vulnerabilidad que causará problemas a la información corporativa. Y esto tendrá que ver con el uso cada vez mayor de smartphones y tabletas en la oficina, que los ciberdelincuentes aprovechan a través de malware específico para el móvil. También estarán vinculadas a estas brechas las conexiones inalámbricas.

Para 2017 cabe esperar igualmente un repunte de las campañas de phishing, de los chantajes del ransomware y de los ataques a internet de las cosas e infraestructuras críticas con “tres actores potenciales: países rivales, grupos terroristas y organizaciones criminales”. Y a medida que las empresas avancen hacia la transformación digital, se abrirán “nuevas puertas de entrada a sus datos que los ciberdelincuentes” van a tratar de “derribar”.

Saludos.
Lexer Pars.

viernes, 26 de agosto de 2016

ADS Explorer

Al momento de realizar análisis forense en equipos informáticos, los investigadores suelen realizar diversas tareas que pueden llegar a consumir mucho tiempo y esfuerzos. Sin mencionar el hecho de encontrarse técnicas anti forenses, que pueden alterar la investigación o evitar que información importante pueda ser rescatada y analizada.     

Anteriormente hemos analizado los flujos alternativos de datos que pueden esconderse cuando el sistema de archivos es NTFS. Y de esta manera ocultar información de diversa índole. 

El hecho es que al momento de encontrarse un sistema informático con donde es necesario realizar un análisis y existan técnicas anti forenses como los ADS, el hecho de analizar cada directorio con cada flujo alternativo de datos puede ser una tarea que le consuma mucho tiempo a un investigador o perito forense.  

Por ello, he desarrollado una herramienta que permite realizar un análisis los flujos alternativos de datos de una manera mucho mas fácil, y que sin duda permite ahorra tiempo y recursos al momento de realizar una investigación de este tipo.

Ademas incorpora una sección para escribir flujos alternativos de datos, de una manera mucho mas amigable.

Imagen 1: Pantalla redacción ADS.


Imagen 2: Creación de ADS.

Para la detección e identificación de ADS, se apoya de la utilidad proporcionada por Microsoft, streams , analizando el fichero de salida proporcionado por la herramienta, para ello hay que realizar el escaneo en el directorio o directorios mediante una linea de comando.

Imagen 3: Escaneo y generación de archivo de salida.

Posterior a ello, solo habrá que importar el archivo a ADS Explorer y analizar cada uno de los ADS detectados en el sistema.

Imagen 4: Análisis de ADS mediante herramienta.

Puedes descargar la herramienta del siguiente aqui.

Saludos.
Lexer Pars. 
  

  

martes, 2 de agosto de 2016

Aléjate de mis sistemas, así estaré seguro!

En muchas ocasiones, las organizaciones sufren ataques a los sistemas que procesas la información o alguno de los elementos de la infraestructura, que pueden ocasionar un sin fin de problemas de seguridad, problemas en la imagen de la organización o incluso en perdidas económicas.   

En algunas situaciones es posible realizar una denuncia de estos hechos y dar con el responsable. Muchas organizaciones buscan de cierta manera alejar a los hackers de sus sistemas y usuarios, con estas acciones y de esta manera mantenerse mas seguros. Sin embargo esta no es la solución adecuada e idónea, aunque si los problemas ocasionados por el intruso son de gran impacto, una persecución penal es fundamental.

Pero el problema principal es falta de conciencia de las organizaciones, que simplemente no adoptan una metodología para realizar pruebas de intrusión en los sistemas que ocupan e instruir a los usuarios para prevenir ataques ingeniería social, este es sin duda una situación viven empresas u organizaciones todos los días.

No comprenden que la manera de estar mas seguros, es detectan las fallas antes que alguien mas lo haga y pueda aprovecharse de ello, para obtener algún beneficio propio o perjudicar a la organización en algún sentido.

Si este es tu caso, empieza a forjar un cambio en tu organización, recuerda que así como hay hackers que te contactaran para decirte que tienes un fallo y que debes solucionarlo, también los hay de los que no te darán aviso alguno o notificación y simplemente harán un sin fin de acciones que terminaran por perjudicar a tu organización de alguna forma u otra.             

Así que mi recomendación es, realiza una auditoria constante o al menos periódicamente de los sistemas que utilizas, comprometerte a capacitar a tu personal, mas vale realizar una inversión preventiva en estas actividades, que una inversión correctiva, cuando tu organización quede expuesta o mal vista, lo que ocasionara que pierdas recursos, clientes o incluso podría llevar a la quiebra a tu organización.

Saludos.
Lexer Pars.
        

sábado, 2 de abril de 2016

Hacker afirma haber alterado elecciones de Mexico 2012

Mi trabajo era realizar acciones de guerra sucia y operaciones psicológicas, desinformación y rumores, el lado oscuro de la política que nadie sabe que existe pero que todos pueden ver”, dijo Sepúlveda a Bloomberg.

Un hacker colombiano afirma haber ayudado al Partido Revolucionario Institucional para que Enrique Peña Nieto se alzara con la victoria en la elección presidencial de 2012.

“Mi trabajo era realizar acciones de guerra sucia y operaciones psicológicas, desinformación y rumores, el lado oscuro de la política que nadie sabe que existe pero que todos pueden ver”, dijo Andrés Sepúlveda a la revista Bloomberg Businessweek.

Sepúlveda, un colombiano de 31 años que cumple una condena de 10 años en su país natal por cargos relacionados con el hackeo de la elección presidencial de Colombia en 2014, ofreció una entrevista al semanario estadounidense como parte de una campaña mediática para obtener una reducción de su condena.


De acuerdo con Bloomberg, el proyecto Peña Nieto tuvo un presupuesto de 600,000 dólares y para completarlo Sepúlveda “dirigió a un equipo de hackers que robaba estrategias de campaña, manipuló la redes sociales para crear falsas olas de entusiasmo y burla, e instaló spyware en las oficinas de la oposición”.

El texto, titulado “Cómo hackear una elección”, sostiene que a pesar de que las encuestas daban a Peña Nieto una ventaja de 20 puntos, su equipo “no corrió riesgos”, y Sepúlveda instaló malware en los módems de las oficinas de campaña de Andrés Manuel López Obrador y Josefina Vázquez Mota, que le dieron a acceso a todos los teléfonos que usaran la red. “Sepúlveda vio las próximas reuniones y discursos de los candidatos antes de que lo hicieran sus propios equipos.”

Sepúlveda afirma haber influido en elecciones presidenciales en Nicaragua, Panamá, Honduras, El Salvador, Colombia, Costa Rica, Guatemala y Venezuela, pero la de México fue “por mucho, su trabajo más complicado”, asegura Bloomberg.

“Cuando Peña Nieto ganó, Sepúlveda comenzó a destruir evidencia. Taladró agujeros en memorias USB, discos duros y teléfonos celulares, frio sus circuitos en un horno de microondas y luego los pulverizó con un martillo. Destruyó documentos y los tiró por el inodoro y borró servidores en Rusia y Ucrania rentados anónimamente con bitcoins. Él desmantelaba lo que dice era la historia secreta de una de las campañas más sucias en América Latina en la historia reciente.”
Saludos.
Lexer Pars.

viernes, 1 de abril de 2016

Ataques DDOS recurrentes obligan a cerrar Coinkite

No es la primera vez que por un ataque de estas características los propietarios de un servicio que se encuentra en Internet se ven obligados a suspender la actividad del servicio de forma temporal. Esto es lo que ha sucedido en esta ocasión a los responsables de Coinkite, un monedero de Bitcoins que está sufriendo un ataque de denegación de servicio continuado.

El servicio inició su andadura en el año 212 como un criptobanco (por extraño que parezca) que era compatible con el anteriormente citado y Litecoin. Enseguida aumentó su popularidad y hasta el momento se ha convertido en uno de los más completos, ya que además de servir para intercambio permite utilizarlo como punto de venta en comercios en línea, algo que cada vez es más común. Pero los horizontes se ampliaron en el año 2014 cuando permitía firma múltiple para un mismo monedero y la llegada de tarjetas de débito basadas en criptomonedas.

Entre los proyectos que están muy próximos a ver a luz, destaca la creación de unos llaveros USB con los que se podrán permitir transacciones entre monederos sin la necesidad de una firma. Opendime, que así es como se ha llamado este, será compatible con dinero real, tal y como han puntualizado los responsables de Coinkite.

Puede decirse sin ningún tipo de duda que hoy en día es el referente y de ahí que haya despertado el interés de los ciberdelincuentes, buscando de alguna forma que el servicio no pueda estar en funcionamiento de alguna forma.

El problema cuando te conviertes en el centro de atención es que en algún momento intentarán eliminarte y eso es lo que está sucediendo. Desde el servicio afirman que la suspensión es temporal hasta que consigan mitigar el ataque y estabilizar los servidores. Añaden además que desde hace varios años han sufrido este tipo de ataques aunque no con tanta insistencia y que no sospechan de nadie en concreto, aunque si añaden que a algunos gobiernos no les hace mucha gracia que el servicio vaya bien y no ven con buenos ojos las criptomonedas. Como se diría en estos casos, a buen entendedor, pocas palabras.

Desde el servicio han informado que les gustaría mantener el monedero, pero dado la cantidad de ataques recibidos a lo largo de un año se hace poco viable mantener una plataforma así. Tomando como ejemplo el gadget USB del que hemos hablado con anterioridad, desde esta muestran interés en seguir desarrollando soluciones hardware y es muy probable que de no resolverse el problema, el cierre del servicio web sea definitivo.
Saludos.
Lexer Pars.

jueves, 31 de marzo de 2016

Kimcilware, ransomware que secuestra tiendas en linea

El ransomware es el tipo de malware más peligroso de los últimos años. Este tipo de software malicioso ataca lo más importante para los usuarios: sus datos. Cuando la infección se lleva a cabo, todos los datos del usuario se cifran con un algoritmo irrompible y se pide el pago de un “rescate” a cambio de la clave de cifrado con la que poder recuperar estos archivos. Los objetivos de esta amenaza, que principalmente han sido los usuarios domésticos, también cambian en ocasiones, pudiendo encontrar alternativas como KimcilWare cuyos objetivos son los servidores de páginas web.

KimcilWare es un nuevo ransomware detectado en las últimas horas por los investigadores de seguridad de MalwareHunterTeam cuyo principal objetivo es el de secuestrar los servidores de diferentes tiendas online, generalmente basadas en Magento, para luego pedir el correspondiente rescate por ellas.

Cuando este ransomware infecta el servidor, este añade la extensión “.kimcilware” a todos los ficheros del mismo. Para que la página web siga funcionando, el malware genera su propio fichero index con el que muestra una pantalla en negro con un texto que indica que el servidor ha sido secuestrado. El pirata informático pide el pago de 140 dólares, obviamente en Bitcoin, por la clave de cifrado con la que recuperar los archivos.


Imagen 1 : Sitio web secuestrado con ransomware.

Por el momento no se sabe cómo se ha podido llevar a cabo la infección. A día de hoy se conocen más de 10 tiendas afectadas por este ransomware, sin embargo, no se sabe cómo las elige el pirata informático. Mientras que la infección podría realizarse mediante una vulnerabilidad en el servidor o en Magento, algunos servidores que alojan varias tiendas online solo han visto comprometidas una de ellas, lo que hace pensar que el pirata informático ataca objetivos concretos y no va solo “a ver qué encuentra”.

Los investigadores de seguridad siguen estudiando este nuevo y hasta ahora desconocido (aunque la primera infección data del 3 de marzo de este mismo año) ransomware, así como intentando encontrar un fallo en la seguridad del mismo que brinde información sobre el pirata informático responsable o que permita descifrar los archivos sin tener que pasar por caja.

Uno de los investigadores de seguridad que se encuentran investigando esta nueva amenaza ha detectado que la dirección de correo del pirata informático, tuyuljahat@hotmail.com, coincide con la de otro ransomware descubierto hace algún tiempo, MireWare. Debido a que este ransomware era una variante de Hidden Tear, es muy probable que el nuevo KimcilWare también lo sea, aunque, a diferencia del primero, este esté enfocado principalmente a tiendas Magento.

Debido a la falta de información, por el momento, las únicas recomendaciones de seguridad que se pueden dar para intentar mitigar esta amenaza es recomendar el uso de contraseñas seguras tanto en el servidor como en el panel de administración de Magento, así como mantener todo el núcleo de la tienda actualizado para evitar que, si la infección de realiza a través de una vulnerabilidad, esta pueda estar comprometiendo nuestro servidor.

Saludos.
Lexer Pars.

miércoles, 30 de marzo de 2016

Hackear cajeros automáticos es cada vez mas fácil

Los cajeros automáticos cada día son más fáciles de hackear. Los bancos no parecen preocuparse por el ordenador que llevan y en la mayoría de los casos son muy vulnerables.

Los ciberdelincuentes lo saben y están aprovechando este fallo, que consiste básicamente en proteger el acceso al depósito y dispensador de billetes, pero no el ordenador.

Para empezar, muchos cajeros automáticos todavía cuentan con Windows XP, el sistema operativo que ya no recibe actualizaciones de soporte y que realmente cuenta con un sistema de seguridad muy anticuado, por lo que es realmente vulnerable, y más para un tema como el que hablamos.

Por otro lado, los cajeros automáticos suelen contar con reproductores Flash desactualizados y que cuentan con miles de errores de todo tipo, incluidos de seguridad. Igualmente, tampoco suele haber soluciones de antivirus para proteger los cajeros, como indican desde Kaspersky Lab.

Además, se advierte que el deposito suele estar blindado para evita el robo directo de dinero, pero en cambio el ordenador se protege únicamente por una carcasa de plástico o un fino metal. Con esto queremos decir que es fácil acceder a los puertos USB y COM de los que disponen estos ordenadores.

Si el atacante es capaz de usar el puerto USB puede introducir software malicioso para hackear fácilmente el cajero del banco.

Por último, los cajeros están conectados a Internet o a redes, por lo que finalmente a la red de las redes. Y precisamente parece que gran cantidad de cajeros de bancos están accesibles a través del motor de búsqueda Shodan.

Últimamente se dan más casos de robo de cajeros a través de los puertos USB, o lo que es peor, a través de Internet. Para ello, se inserta malware en los mismos como los creadores por el grupo Carbanak, que consiguió 1.000 millones de dólares gracias a los cajeros automáticos.

Saludos.
Lexer Pars.

martes, 29 de marzo de 2016

Un fallo en Truecaller expone datos de usuarios android

Seguro que más de uno conoce esta aplicación que permite gestionar de una forma relativamente sencilla las llamadas y los mensajes entrantes en el terminal móvil, en este caso con sistema operativo de los de Mountain View. Expertos en seguridad han detectado un fallo de seguridad en TrueCaller que permitiría la exposición de los datos de los usuarios.

La aplicación permite por ejemplo escoger de qué números de teléfono se quiere bloquear las llamadas entrantes o incluso mensajes de texto, pudiendo categorizar estos como spam. Teniendo en cuenta que la aplicación se encuentra disponibles para Android, iOS, Windows Phone, Symbian y Blackberry, sorprende bastante a los expertos que el problema de seguridad esté acotado solo a los terminales con el primero de los sistemas operativos que se encuentran en el listado.

Para todo aquel que no haya utilizado la aplicación hasta este momento, vamos a tratar de ponerle en antecedentes. Cuando un usuario instala la aplicación y se ejecuta por primera vez, solicita al usuario introducir una serie de datos, como por ejemplo el número de teléfono, la dirección de correo electrónico u otros datos personales que posteriormente son verificados utilizando un mensaje de texto. Posteriormente la aplicación no necesita ningún dato más y solo hace uso del IMEI para verificar la identidad del dispositivo.

Es este el problema que han detectado, ya que investigadores de Cheetah Mobile han reconocido que se puede interactuar con el servidor y enviar códigos IMEI generados de forma aleatoria y recibir en muchos casos respuesta con datos relacionados con ese dispositivo.




El problema es que este error permite el acceso a toda la información facilitada por el usuario y no solo eso, también permite modificar esta y solo interactuando con el IMEI. Teniendo en cuenta la cantidad de amenazas existentes en la actualidad que recopilan los datos de los terminales de los usuarios parece sencillo que estos se hagan con este código y puedan utilizarlo de forma fraudulenta, por ejemplo ante esta vulnerabilidad.

Sabiendo que la aplicación está instalada en cien millones de dispositivos Android, desde la aplicación recomienda actualizar a la última versión que ya se encuentra disponible y que permite resolver este problema, o al menos que no se permita acceder a la información de las cuentas sin el consentimiento del usuario.


Esta vulnerabilidad solo es explotable desde el dispositivo Android y aunque parece que no existe en otros sistemas operativos, los responsables del servicio han guardado silencio al respecto.
Saludos.
Lexer Pars.

lunes, 28 de marzo de 2016

El gestor de paquetes de no node js permite propagar malware

Sin lugar a dudas es uno de los software más utilizados a la hora de desarrollar aplicaciones. Hasta este momento Node.js presumía de una seguridad envidiable, pero expertos en seguridad han detectado que su gestor de paquetes permitiría propagar malware con relativa facilidad y sin que el usuario fuese consciente.

También conocido como npm, podría decirse que es igual de importante como apt-get lo es para las distribuciones Linux. Es una de las formas más sencillas de incluir paquetes en un PC o servidor para posteriormente utilizarlos en el desarrollo de proyectos. Teniendo en cuenta que han sido muchos los que han alabado su diseño, no es de extrañar que hoy en día sea uno de los frameworks más querido por los desarrolladores JavaScript.

Pero de acuerdo con Sam Saccone, ingeniero de Google, un fallo detectado en el gestor de paquetes podría hacer tambalear todo el ecosistema JavaScript si lo utiliza un ciberdelincuente experimentado.

Para ponernos en situación de qué es lo que sucede, cuando se produce se utilza npm para obtener un paquete, parece lógico que en primer lugar se realice la descarga y posteriormente la ejecución e instalación del mismo. Hasta aquí podría decirse que todo se encuentra dentro de lo esperado. El problema aparece cuando el gestor permite que algunos paquetes ejecuten script de post instalación siendo este el punto conflictivo que ha encontrado el ingeniero de Mountain View.

Estos scripts se ejecutan haciendo uso de los privilegios que posee el usuario en ese momento, que en muchos casos pueden ser de administrador, convirtiéndose en un problema.Pero no es un problema que se limita solo a este gestor sino que otros también están afectados.

Aunque puede parecer un poco alarmante el problema, la realidad es que no es tan relativamente fácil de aprovechar. En primer lugar el usuario o desarrollador debería descargar el paquete que está equipado con el código malicioso. Tras llevar a cabo esta operación y una vez en el equipo, habría que esperar a los scripts post instalación para lanzar el código malware y que este verifique por ejemplo si el desarrollador está catalogado como autor. De ser así, el gusano informático podría propagar su código al repositorio de este, infectando el contenido legítimo con este código que será a priori descargado por otros usuarios.

Los responsables de npm ya han manifestado que es muy complicado analizar cada uno de los paquetes existentes y que por el momento no se encuentra al alcance y tampoco se espera que se implemente.

Saludos.
Lexer Pars.

domingo, 27 de marzo de 2016

Nueva version de Lynis

Después de varios meses de trabajo la semana pasada se publicó la versión 2.2.0 de Lynis (Linux Auditing Tool), el popular escáner de seguridad de código abierto para sistemas Unix y Linux. 

El mayor cambio en esta versión es la optimización de varias funciones lo que permite una mejor detección y hacer frente a las peculiaridades de cada sistema operativo. Por ejemplo si durante el escaneo se detecta un Apache en el sistema, se realizarán los tests correspondientes y sólo si está habilitada la configuración SSL/TLS realizará las pruebas específicas.

En el área de cumplimiento (HIPAA, ISO27001, PCI DSS, etc.) también se han hecho ajustes para empezar a soportar más pruebas en profundidad para ésto. Eso es ideal para las empresas que tienen la necesidad de cumplimiento en particular, o quieren probar y hacer cumplir los niveles de seguridad en sus sistemas. Eso sí, sólo las versiones Lynis Enterprise (1,5$ - 3$/mes) incluyen todas las pruebas y características.

Luego otra de las cosas buenas que tiene esta herramienta es que no es necesario instalarla, lo que la hace muy flexible y fácil de usar en cualquier sitio (incluso funciona en Raspberry Pi y otros dispositivos de almacenamiento). Sólo tendremos que descargarla, desempaquetarla y a correr:

wget https://cisofy.com/files/lynis-2.2.0.tar.gz
tar -zxvf lynis-2.2.0.tar.gz
cd /lynis
./lynis audit system 




Por último, me ha gustado también el plugin para analizar dockerfiles, que si bien está un poco verde augura una propuesta interesante para analizar la seguridad de los contenedores:

wget https://raw.githubusercontent.com/docker-library/tomcat/ed98c30c1cd42c53831f64dffa78a0abf7db8e9a/8-jre8/Dockerfile | lynis audit dockerfile Dockerfile

Fuente
Saludos.
Lexer Pars.

sábado, 26 de marzo de 2016

Expertos en seguridad dejan al descubierto fallas en navegadores

Se imaginan un evento que reúne a los más destacados investigadores de seguridad, que además de poner a prueba su capacidad, se divierten y, de paso, se quedan con una buena bolsa de premios. Pues ese concurso es el Pwn2Own, conocido por ser la sede de las pruebas de seguridad para los navegadores web más populares en diferentes sistemas operativos.

El certamen, organizado por Hewlett Packard Enterprise, Zero Day Initiative (ZDI) y Trend Micro, se llevó a cabo en Vancouver (Canadá) y dejó, al igual que en anteriores versiones, enormes revelaciones en Appel Safari, Adobe Flash, Google Chrome y Microsoft Edge, que fueron las principales víctimas de los ataques de prueba.

Tras los dos días de competencia, quedaron en evidencia 21 nuevas vulneraciones, se entregaron 460 mil dólares en premios y dejó al coreano Jung Hoon Lee, experto en seguridad y permanente participante, como al gran ganador, al quedarse con una bolsa de 225 mil dólares, luego de vulnerar a tres de los principales navegadores y lograr los permisos de administrador del sistema por su propia cuenta, a diferencia de los restantes participantes que tuvieron que trabajar en equipo para alcanzar los objetivos.

Este investigador de seguridad fue capaz de ‘hackear’ a Chrome e Internet Explorer en Windows, y Safari en Mac OS X, con lo que se llevó el premio más elevado que se ha entregado en la historia del concurso, que se disputa desde 2007 y tiene como objetivo poner a prueba el software de los grandes fabricantes para evidencias las falencias de seguridad.

Desde el primer día del certamen, el navegador Firefox fue hackeado por el investigador polaco Mariusz Mlyinski, quien aprovechó un fallo de Windows para elevar sus permisos de usuario. Eso le valió para reclamar un cheque por 225 mil dólares.

Firefox no estuvo participando en esta versión, ya que no efectuó mayores novedades en temas de seguridad durante el 2015, al igual que Linux.

A pesar de que fue vulnerado, Chrome fue el mejor posicionado de los tres navegadores en concurso, ya que fue atacado por ‘hackers’ en dos ocasiones, pero solo se logró filtrar su sistema en una oportunidad, a través de una vulnerabilidad de la que ya estaba al tanto Google.

El Tencent Security Team Sniper se llevó el premio especial al lograr un ataque exitoso sobre el navegador Microsoft Edge en tan solo 2 minutos. Como es habitual, todas las fallas se reportaron a los respectivos fabricantes.
Saludos.
Lexer Pars.

viernes, 25 de marzo de 2016

Piratas informáticos roban datos de contacto de empresas clientes de VERIZON

Piratas informáticos accedieron y robaron datos de contacto de empresas clientas del gigante de las telecomunicaciones estadounidense Verizon, según informó hoy la propia compañía, que achacó lo ocurrido a una “vulnerabilidad” en la seguridad.

En un comunicado, Verizon, con sede en Nueva York, indicó que su unidad de servicios informáticos y de telecomunicaciones para empresas, Verizon Enterprise Solutions, fue objeto del robo, y que ya está notificando lo sucedido a los clientes afectados.


La compañía Verizon aseguró que la vulnerabilidad de la que se aprovecharon los “hackers” ya ha sido solucionada, y que el material robado corresponde sólo a información de contacto, no a datos sobre, por ejemplo, la duración o número de destino de las llamadas realizadas.

Aunque la empresa no cifró la cantidad de usuarios afectados, el periodista y bloguero especializado en ciberseguridad Brian Krebs aseguró haber visto en un foro “de cibercriminales” en internet un anuncio en el que se ofrecía la información de contacto de un millón y medio de clientes de Verizon.

Según Krebs, toda esa información se vendía en un paquete entero por 100.000 dólares, aunque también ofrecía la posibilidad de comprar partes con los datos de 100.000 clientes por 10.000 dólares cada una.

Saludos.
Lexer Pars.

jueves, 24 de marzo de 2016

Snowden explica por qué no debemos confiar en Microsoft

El exempleado de la CIA y la NSA Edward Snowden ha asegurado en la conferencia Software Libre de la fundación LibrePlanet 2016, en la cual intervino mediante videoconferencia desde Rusia, que se debe utilizar software libre y de código abierto para preservar la privacidad y seguridad, informa el portal Betanews.

Snowden explicó que hace tres años fue capaz de sacar a la luz los proyectos secretos de vigilancia masiva del Gobierno estadounidense mediante el uso de un software libre y alabó los programas y sistemas Debian, Tails y Tor. "Lo que ocurrió en 2013 no habría sido posible sin el software libre", indicó.

"No utilicé aparatos de Microsoft cuando estaba en mi fase operativa porque no podía confiar en ellos", explicó el excontratista, añadiendo que no podía estar seguro de que la compañía no contase con una puerta trasera que permitiera la vigilancia estatal. Además, destacó que de los gigantes tecnológicos actuales, Microsoft es el que más coopera con el Gobierno de EE.UU.

Asimismo, Snowden aplaudió la firmeza de la compañía Apple frente a la presión legal ejercida por el FBI para que diseñe un 'software' capaz de 'hackear' el iPhone de uno de los autores de la masacre de San Bernardino. Sin embargo, Snowden aseguró que, en general, las compañías tecnológicas no están haciendo lo suficiente para proteger la privacidad de sus usuarios.


La guía de Snowden: el exagente de la CIA desvela sus trucos para preservar la privacidad en la Red

"Debemos 'blindarnos' utilizando sistemas en los que podamos confiar todos los días. Esto no tiene por qué ser un cambio de estilo de vida extraordinario. No tiene que ser algo perturbardor. Debe ser invisible, atmosférico, algo que suceda sin dolor, sin esfuerzo", indica el exempleado de la CIA y de la NSA Edward Snowden, en una entrevista al diario The Intercept.

Utilizar Tor para navegar

Tor es un 'software' basado en una red de comunicaciones distribuida de baja latencia y superpuesta sobre Internet que mantiene anónima la dirección de IP del usuario. El exempleado de la CIA recomienta utilizarla cuando necesitemos acceder a sitios en los que vamos a manejar datos confidenciales.

"Es el proyecto tecnológico que mejora la privacidad más importante hoy en día. Proporciona una medida de seguridad y permite desvincularte de tu ubicación física", destaca Snowden, quien confiesa utilizarla "todo el tiempo".

Según el exagente, la idea básica que hace a este navegador tan valioso "es que está dirigido por voluntarios". "Cualquier persona puede crear un nuevo nodo en la Red, ya sea un nodo entrada, un 'router' medio o un punto de salida, dependiendo de su disposición a aceptar un determinado riesgo. El carácter voluntario de esta red hace que sobreviva, sea resistente y flexible", indica.

Encriptar las llamadas y mensajes

"Puedes hacerlo a través de la aplicación móvil Signal, de Open Whisper Systems. Es gratis y se descarga de inmediato", señala Snowden. Este servicio se encarga de encriptar las llamadas y los mensajes de dos personas que para poder comunicarse han verificado de manera previa sus claves respectivas mediante otras formas.

Instalar Plugin HTTPS Everywhere en nuestro navegador

"Si utilizas Internet, los métodos típicos de comunicación hoy en día te traicionan en silencio, en voz baja, de forma invisible, en cada clic. En cada página a la que aterrizas hay información que está siendo robada. Es recopilada, interceptada, analizada y almacenada por parte de los gobiernos, nacionales y extranjeros, y de las empresas", alerta Snowden.

Si se utilizan, afirma el exagente, 'plugins' del navegador como HTTPS Everywhere, de Electronic Frontier Foundation, "haces cumplir las comunicaciones cifradas seguras, por lo que no están transitando tus datos electrónicamente desnudos".

Bloquear los anuncios emergentes

"Hemos visto a proveedores de Internet como Comcast y AT&T insertar sus propios anuncios en las conexiones http no encriptadas. En tanto los proveedores de servicios proporcionan anuncios con contenido activo que requieren el uso de Javascript para ser visualizados, todo lo que pueda ser un vector de ataque a tu navegador web debe ser bloqueado", aconseja Snowden.

"Porque si el proveedor del servicio no protege el carácter sagrado de la relación entre el lector y editor, usted tiene no solo un derecho, sino el deber de hacer todo lo posible para protegerse como respuesta", sentencia.

Gestor de contraseñas

"Un gestor le permite crear contraseñas únicas e inquebrantables para cada sitio, pero sin la carga de tener que memorizarlas", afirma el exagente de la CIA.

A juicio de Snowden, uno de los principales causantes de que la información privada de las personas quede expuesta es el volcado de datos. "Sus credenciales pueden ser reveladas porque algún servicio que haya dejado de usar en 2007 sea 'hackeado' y la contraseña que estaba utilizando para este sea la misma que para la cuenta de gmail", alerta.

Cifrar el disco duro

Esta acción permite que, si le roban el ordenador, la información contenida en el mismo no pueda ser obtenida por un adversario. "Imágenes, dónde vive, dónde trabaja, dónde están sus hijos, cómo va a la escuela", enumera Snowden.

Autentificación de doble factor

Si se habilita la autenticación de doble factor, la persona que quisiese acceder a alguna de nuestras cuentas debería contar además de con la contraseña, con un segundo factor: por ejemplo, nuestro teléfono móvil (ya que la segunda verificación de identidad se recibe en forma de SMS). Son muchos los servicios que ya cuentan con este tipo de seguridad de forma gratuita, como Gmail, Twitter, Dropbox, Facebook o Hotmail entre otros.

"El valor de esto es que si alguien te roba tu contraseña o esta queda expuesta en alguna parte, permite que el proveedor te envíe una segunda forma de autenticación: un mensaje de texto o similar", explica Snowden.

Saludos.
Lexer Pars.

miércoles, 23 de marzo de 2016

Peligros en las redes sociales

Desde hace tiempo se tiene conocimiento de los peligros que hay al utilizar las redes sociales. Ya se a por enorme cantidad de información que muchos usuarios suelen colgar en internet y que un atacante podría darle un mal uso a esta.   

Sin embargo, hay otros riesgos de gran importancia, al momento de utilizar estas redes. Es un medio muy útil para los delincuentes para contactar con su victima, sea cual sea el crimen que se quiera cometer. Puede ser algo tan clásico, como infectar un dispositivo de la persona, robarle información como credenciales a servicios o cuentas, robarle dinero, suplantar su identidad, extorsionar, entre otros.

Sin todo lo anterior es enfoca a un ciber-ataque. Pero desde luego esto no se limita a este tipo de ataques, se pueden realizar ataques físicos, mediante engaños o ingeniería social se podría lograr que una persona desprevenida acepte citarse en un determinado lugar, esto con el fin de secuestrarlo, robarle pertenencias físicamente, y en el peor de los casos causarle la muerte.

Hay multitudes de casos donde se han utilizado las redes sociales, para cometer diversos crímenes:

Imagen 1: Noticia de crimen utilizando red social.


Imagen 2: Secuestro utilizando red social.


Imagen 3: Reculando mediante facebook.


Imagen 4: Matan a mujer contactada por red social.

En youtube, se pueden encontrar experimentos sociales, que permiten ver lo sencillo que puede resultar quedar con alguien desconocido, en poco tiempo utilizando una red social.


Video 1: Experimento quedar con desconocido por red social.


Video 2: Experimento social, quedando con desconocidos.

Nunca sabes quien esta detrás de un perfil. Así que recomendación, no aceptes desconocidos en redes sociales, no envíes información en redes sociales, como tu documento de identificación personal, fotos privadas, no es bueno abrir enlaces, aun de conocidos, amigos o familiares, pero si quieres hacerlo utiliza virustotal para verificar que el enlace este libre de malware.

Si tienes hijos, puedes implementar controles de seguridad y controles parentales, para gestionar que ve y que hace, y a que lugares asiste, sin embargo, es bueno que lo hagas entrar en conciencia de los riesgos que puede ocasionar, el hecho de aceptar desconocidos.

Saludos.
Lexer Pars.




martes, 22 de marzo de 2016

Robtex

Cuando se realizan pruebas de intrusión, es necesario realizar diversas etapas, una de estas es el footprinting, que es recoger toda la información publica, expuesta en internet, de la organización que se este auditando. 

Robtex, es una pagina web que ayuda a realizar esta tarea de manera pasiva, obteniendo información, sobre DNS, subdominios, WHOIS, brindando información para el reconocimiento de la red, vista desde el exterior.   

Imagen 1: Análisis con Robtex.

Obtenido los registros del DNS, del dominio o dominios de la organización que se este auditando.

Imagen 2: Record DNS con Robtex.

Todo esto lo realiza mediante una consulta web, que ayuda a evitar dejar algún rastro, sobre el objetivo que se esta analizando. Aunque es solo una mínima parte del proceso de footprinting, permite obtener la información de manera rápida y organizada.

Saludos.
Lexer Pars  

lunes, 21 de marzo de 2016

¿Cual es el mejor Antivirus.?

¿Cual es el mejor Antivirus?

Imagen 1: Soluciones antimalware

En el 2013 escribí un articulo, sobre como elegir un sistema antimalware acorde a tus necesidades, aca te dejo un análisis breve, de que preguntas hacer al momento de elegir uno y aspecto a tomar en cuenta.


Aclaracion: Los sistemas antimalware estan recomendados, en cualquier plataforma, Windows, GNU/Linux, MAC,Unix. Tomando en cuenta que siempre hay usuarios que salen argumentando cosas como, uso mac o GNU/Linux. Si es tu forma de pensar, siento decepcionarte, tambien hay malware en estas plataformas, es cuestion de malas practicas no utilizar un sistema antimalware.

Esta es una pregunta, muy comun y que en muchas ocaciones,  existe mucha incertidumbre al responder.

Para determinar que antivirus es el mejor para ti, debes tomar ciertos aspectos en cuenta.

Primero: ¿Tienes recursos económicos? 
La mejor opción, es utilizar un sistema antimalware de pago, ya que tienen mas funcionalidades que te permiten mitigar mas ataques que sistema antimalware gratuito.
Puedes tener un antivirus gratuito que te mantenga "seguro" tu equipo, detectando malware y evitando que este se ejecute directamente en tu ordenador, utilizando una sandbox. Pero este mismo antimalware, no te protege al navegar por internet, tampoco te incluye un modulo de proteccion a para visitar sitios web de manera segura.

Desde luego utilizar un sistema antimalware gratuito, puede ser una buena opcion, si no cuentas con dinero, para pagar por una licencia.

Segundo ¿Tienes un equipo con buenos recursos?
Hay sistemas antimalware muy bueno, ofreciendo un enorme abanico de soluciones que te permiten estar bien protegido. Sin embargo consumen muchos recursos y si no cuentas con un equipo potente, esto hará que tu ordenador vaya lento, cosa que ningún usuario desea. 

Para lo anterior existe una relación que se denomina: A mayor seguridad, menor operatividad o viceversa.

Si tienes un equipo con bajos recursos, es mejor evaluar un sistema antivirus que tenga un buen rendimiento.

Tercero, si ya tienes en cuenta los recursos económicos y recursos de tu equipo, resta ver las características de los sistemas antimalware:

Característica 1: Numero de detecciones, esta característica es importante, implica la tasa de detección de malware, a mayor cantidad de detecciones, implica mayor mitigacion. Esto depende mucho te las firmas de los sistemas antimalware y la heuristica.

Característica 2: Rendimiento, esta íntimamente ligado con el rendimiento del equipo, hay que determinar cuantos recursos consume un sistema antimalware en tareas como copiado de archivos, archivar y desarchivar, instalación y desinstalacion de aplicaciones,codificacion, transcodificacion, lanzar aplicaciones y descarga de ficheros.

Característica 3: Falsas alarmas, esta característica implica las falsas detecciones de malware que puede tener un sistema antimalware, la menor tasa de falsos positivos esta recomendada, en relación con la tasa de detecciones.

Característica 4: Protección en tiempo real, el sistema antimalware debe garantizar la proteccion en tiempo real, en el equipo, tanto en una red local, como navegando por internet, mitigando ataques de phishing, dns poisoning, MITM, protección al ingresar claves en sitios,etc.

Característica 5: Eliminar el malware, el sistema antimalware, debe ser capaz no solo de detectar la amenaza, si no, también de eliminarla de manera exitosa, ya que muchos no eliminan la amenaza, en vez de ello, colocan los ficheros en "zonas seguras", como el baul o en modo cuarentena, sin embargo esto no es 100% fiable.

Cuarto y no por ello menos importante, no utilices sistemas antimalware pirateados o con crack, para obtener "gratis" una versión que es de pago. Si no cuentas con dinero para obtener una versión de pago es mejor que selecciones una alternativa gratis. El software que tiene cracks, incluye malware, que posiblemente aplique un parche a tu sistema antimalware para que no detecte determinadas amenazas, o se conecta a fuentes alternas para descargar "actualizaciones", es lo puedes comprobar analizando el trafico de red y confrontar con las fuentes de actualización de la empresa. 

av-comparatives.org es una empresa que desde hace años realiza comparaciones entre los diferentes sistemas antimalwares, puedes visitar su sitio web, y leer el reporte para elegir el mejor sistema antimalware, acorde a tus necesidades y recursos.
Saludos.
Lexer Pars.

domingo, 20 de marzo de 2016

Qué es el Growth Hacking y cómo aplicarlo en una Startup

Si analizamos el término Growth Hacking veremos dos palabras que ya nos dan la pista de por dónde van los tiros:

__ Growth = crecimiento

__ Hacking = de hackear, descrito también como la habilidad de programar soluciones creativas de software para resolver problemas de la vida real.

La idea del Growth Hacking surge de una premisa muy básica: crecer, crecer y crecer. Cada decisión que tome un Growth Hacker irá destinada a hacer crecer a su empresa; cada estrategia, cada táctica o iniciativa, crecer es el sol alrededor del cual gira un growth hacker. Por supuesto, los profesionales del marketing tradicional también buscan eso, pero no en la misma medida. Así que lo que hace poderoso al growth hacker es su obsesión en un único objetivo: el crecimiento. Es precisamente a causa de esta obsesión que han aparecido nuevas técnicas, métodos y herramientas que antes no existían y que se han convertido en las bases del Growth Hacking.

Pero pongámonos en situación: ¿cómo conseguimos crecer cuando acabamos de empezar? Un growth hacker lo tiene claro: hay que conseguir más con menos.  A nadie le gusta invertir mucho dinero en algo que no sabe si va a funcionar, en cosas que conllevan riesgos, como la publicidad. Y menos les gusta hacerlo a startups que acaban de iniciar su viaje en el mundo de los negocios y no están dispuestas a despilfarrar dinero innecesariamente. Pues bien, ¿qué otra cosa podemos hacer, en el mundo digital que nos rodea hoy en día, para crear estrategias de marketing baratas y efectivas? El Growth Hacking da respuesta a esta pregunta: las herramientas digitales, especialmente todo aquello gratuito, se convierten en las mejores aliadas de las nuevas estrategias de marketing.

Estas nuevas técnicas precisan de unos ingredientes esenciales: la creatividad, por una parte es la base de la receta que consigue encontrar soluciones distintas a los problemas nuevos y a los de siempre. Por otro lado, el análisis es será la especia de la receta que le da fundamento al resto; un growth hacker ha de ser capaz de analizar los datos de comportamiento de los usuarios y del mercado para crear estrategias efectivas. Por último, destacaremos también la habilidad de desarrollar; condición sine qua non para que funcione el Growth Hacking, que se basa, fundamentalmente, en alcanzar el crecimiento de una startup.
Saludos.
Lexer Pars.

sábado, 19 de marzo de 2016

Un hacker español descubre una forma de controlar camiones a distancia

José Carlos Norte es un investigador informático que busca errores en sistemas de seguridad con la intención de notificarlos a la entidad responsable de dicho sistema. Pues bien, desde El Confidencial nos llega la noticia de que hace poco ha descubierto un fallo en los sistemas de los camiones que afectan al sistema eléctrico del mismo y permite ejecutar acciones a distancia sobre el vehículo.

Lo peor de todo es que este mismo sistema es compartido por camiones, taxis, autobuses y demás vehículos que reciben órdenes de una central y pertenecen a una flota. Desde este punto de vista, alguien con los conocimientos adecuados podría saber desde cualquier parte dónde está un camión y apagarlo o enviarlo adonde le apeteciese.

José Carlos Norte trabaja para la empresa EyeOS, y es el jefe de tecnología de la misma, la cual se dedica a desarrollar escritorios virtuales. El hombre dedica parte de su tiempo a investigaciones de seguridad informática, y el hecho de que un amigo suyo sea propietario de un camión es lo que le ha llevado a embarcarse en esta de la que hablamos.

¿Cómo lo consigue?
Los camiones tienen instalado un sistema que se llama TGU, que son las siglas en inglés de lo que en español sería una Unidad Telemática de Puerta de Enlace. Como decimos, los vehículos que pertenecen a una flota como parte de una empresa o servicio suelen estar conectados a la central mediante un sistema como este.

Como además del TGU los camiones llevan una antena 3G, lo que José Carlos hizo fue acceder a Shodan, una base de datos pública que registra todas las conexiones que se realizan a Internet, concretamente la dirección IP. Como todos los dispositivos con conexión a la red tienen IP –los TGU también– y es una dirección física que indica dónde se encuentra la puerta de entrada, leyendo manuales descubrió que la marca C4max, que vende en España, Francia y Marruecos, no usaba contraseña para proteger el acceso de sus TGU, y solo tuvo que encontrarla en Shodan.


No es fácil saber cuántos camiones pueden estar afectados ya que, como es lógico, el 3G se activa solo cuando el camión está encendido. Él vio 800 afectados en su momento en Shodan, pero pueden llegar a ser miles de ellos, dependiendo de un dispositivo que está conectado a Internet sin protección, accesible a cualquiera –que sepa acceder, claro–.



Un tema difícil de tratar
No es fácil para José Carlos lidiar con este tema, que ha publicado en su blog sin aviso previo a la compañía, ya que se han dado casos en los que se ha denunciado al hacker por extorsión, ya que no hay un marco legal que proteja a quien quiere ayudar en este aspecto. En lugar de eso, ha preferido compartirlo en redes para hacer ruido y generar debate al respecto.

Además de todo esto, asegura que este es el caso más llamativo, pero que no es el único. Afirma que la seguridad de los TGU de otras compañías deja tanto o más que desear, con contraseñas por defecto entre otras cosas fáciles de burlar. Lo peor es que al ir estos aparatos integrados en el camión, es muy difícil llevar a cabo actualizaciones que garanticen la seguridad informática del camión.

Cosas como esta nos llevan a pensar en las posibilidades que tendría alguien que se consiga colar en un dispositivo como este. Desde redirigir un camión a un solar en el que asaltar su mercancía, hasta hacer lo propio con la limusina de una empresa en la que pueda ir alguien de peso en la sociedad, pasando por provocar un accidente en mitad de una autopista.

Veremos cómo termina esto, pero lo que sí es seguro es que se ha abierto una carrera entre hackers y compañías de vehículos que usan TGU, esperemos que no les llame tanto la atención para no acabar con camiones descontrolados o asaltos varios. Lo que sí podemos deducir de esto es que quizás esos vídeos impactantes en los que se mueven solos puede que tengan una explicación.

Saludos.
Lexer Pars.

viernes, 18 de marzo de 2016

Mundo Hacker Day 2016

Por tercer año consecutivo vuelve a Madrid el MundoHacker Day, esta vez en el Kinépolis los días 27 y 28 de abril: 


Dos días de conferencia con un montón de tracks técnicos, mesas redondas y expertos de seguridad TI como Jaime Andrés Restrepo (dragonJAR), Yago Hansen,  s4ur0n, Thomas D'otreppe (autor de la suite de hacking wi-fi aircrack-ng) y muchos más... además el registro es totalmente gratis, te invitan a café, a comer un día, a la fiesta y hasta te regalan una camiseta, ¿qué más se puede pedir?
Saludos.
Lexer Pars.

jueves, 17 de marzo de 2016

La agencia de inteligencia de Dinamarca creó academia hacker

Por medio de un comunicado, el Servicio Danés de Inteligencia (DDIS por sus siglas en inglés) dijo que el pequeño grupo de alumnos a los que se les dará admisión ya son de los mejores en su campo.

La agencia de inteligencia militar de Dinamarca informó de la creación de una "academia hacker" en la que entrenará a especialistas en tecnología informática, a los que se les ofrecerá empleo una vez que se gradúen.


Por medio de un comunicado, el Servicio Danés de Inteligencia (DDIS por sus siglas en inglés) dijo que el pequeño grupo de alumnos a los que se les dará admisión "ya son de los mejores en su campo".
La agencia señaló el miércoles que la academia "no les enseñará a hackear" pero "analizará su modo de pensar y sus habilidades, para que puedan ser utilizadas" por el servicio, que realiza espionaje fuera de las fronteras de Dinamarca.
La DDIS, con sede en Dinamarca, informó que el curso de cuatro meses y medio de duración comenzará en agosto.

Saludos.
Lexer Pars.

miércoles, 16 de marzo de 2016

La City se fía de un conocido hacker para que vigile un sistema de pagos

Mustafa Al-Bassam, juzgado y condenado en 2013 a una pena de 20 meses de prisión por sus actividades como hacker, ha entrado por la puerta principal en la City, uno de los castillos del capitalismo occidental, y lo ha hecho de la mano de una firma especializada en vigilar y asegurar las transacciones de dinero por internet, precisamente el tipo de empresa que hace unos años era objetivo de sus ataques.

Al-Bassam, que entre otras hazañas tiene en su curriculum el haber ayudado a fundar el archiconocido grupo de hackers LulzSec bajo el pseudónimo de tFlow, ha entrado en la plantilla de Secure Trading, en Canary Wharf, donde se encargará de asesorar como experto en seguridad en varios proyectos relacionados con las finanzas electrónicas.

En especial, Al-Bassam participará en el desarrollo de una plataforma de verificación distribuida que ha sido bautizada como Trustery, como deja claro su perfil en el sitio para desarrolladores Github.

En términos simples, el que fuera tFlow se encargará ahora de ayudar al desarrollo de una tecnología del tipo de Blockchain, el verdadero núcleo de la moneda virtual bitcoin. Este tipo de tecnologías se caracterizan por unir la descentralización de las herramientas P2P con sistemas muy avanzados de encriptación.

Sin embargo, Al-Bassam sólo podrá trabajar a tiempo parcial. Con apenas 21 años de edad, y pese a su larguísima experiencia, tiene aún pendiente de terminar su grado en ingeniería informática en el Kings College de Londres.

"Hay muy pocos expertos en la tecnología blockchain, así que tenemos mucha suerte de tener a Mustafa a bordo. Usaremos sus habilidades para crear una tecnología que haga más seguro el comercio electrónico", afirma Kobus Paulsen, presidente de la firma de seguridad que le ha contratado.
Saludos.
Lexer Pars.

martes, 15 de marzo de 2016

Capturan a Celebgate

Ryan Collins, el hacker que supuestamente estuvo detrás de la filtración masiva de fotografías privadas de famosas en 2014, fue capturado el martes por investigadores federales de Estados Unidos, según informó el mismo día el sitio Re/Code.

Collins, originario de Lancaster, Pennsylvania, se declaró culpable y enfrenta un tiempo en prisión de hasta 18 meses, según documentos vistos por el sitio.

Supuestamente, Collins utilizó un ataque del tipo phishing con el que engañó a sus víctimas fingiendo ser Google o Apple. Este tipo de software simula ser una entidad en especial y simula una petición real para restaurar la contraseña. Los afectados, al pensar que es verdadero el ataque, introducen su nombre de usuario y contraseña.

La captura de Collins llega después de un año y medio de que se suscitara la filtración, en septiembre de 2014. El hecho, conocido coloquialmente en Internet como "Celebgate", afectó a actrices de la talla de Jennifer Lawrence, Kate Upton y Ariana Grande, entre muchas otras.

Cuando se dio el "Celebgate", se señaló a Apple como la culpable, pero posteriormente se reveló que se trató de un vía phishing y que fueron las propias afectadas quienes dieron sus credenciales a Collins, aunque sin que ellas lo supieran. Sin embargo, a partir de ese incidente Apple reforzó su seguridad con la verificación de dos pasos e incluso la gigante de Cupertino publicó una carta explicando lo importante que es la seguridad de sus usuarios.
Saludos.
Lexer Pars.

lunes, 14 de marzo de 2016

Lista de redes preferidas LRP

Los teléfonos inteligentes son un medio de comunicación, considerado de uso básico e indispensable, para poder interactuar en linea. Y ya todos incorporan hardware para conexiones WLAN, con el cual podemos acceder a las distintas redes disponible en un área, desde la red de tu casa, trabajo, universidad o cualquier WiFi que se considere de "confianza", hasta redes publicas en centros comerciales o redes inseguras.        

Cada vez que nos conectamos a un red en un smartphone, esta se incorpora en un listado de redes preferidas, esto permite que el smartphone busque estas redes en un área, para poder realizar la conexión, pues estas son consideras redes de "confianza".
  
La forma en que un AP le indica a los dispositivos de su presencia, es enviando broascast de Beacon Frames con un tiempo constante. En el caso de los  smartphone, cuando se activa el WiFi, envía paquetes probe_request, preguntando si una red, del listado de redes preferidas estas en esa área para conectarse, mientas el WiFi este activo, y no se conecte a ninguna red, este estará enviando los nombres de cada una de las redes de la LRP.


Imagen 1: Captura de paquetes probe_request.

En la imagen anterior se puede ver como se capturan cada SSID de la LRP de un smartphone. Para capturar los paquetes, basta con tener una tarjeta que sosporte el modo monitor, para capturar los paquetes, se puede utilizar wireshark


El riesgo de esto, es que un atacante capture estos nombres de red, con el fin de levantar un rogue AP, falsificando alguna red de "confianza", ya que el dispositivo al detectar una red perteneciente a la LRP, se conectara a esta, ya sea legitima o no. 

Una vez conectado, se podría realizar diferentes ataques, capturar el trafico, robar información, infectar el smartphone, etc. Así que por recomendación, si no utilizas el WiFi, apágalo, ya que alguien podría capturar estos paquetes y hacerte un ataque dirigido.
Saludos.
Lexer Pars.    



domingo, 13 de marzo de 2016

La actualización KB3140768 falla al instalarse en Windows 10

Microsoft lleva una política de actualizaciones muy agresiva con Windows 10, por medio de la que intenta mantener a todos sus usuarios al día. Sin embargo, a veces las cosas no salen como se espera, y ahora descubrimos que la actualización KB3140768 falla al instalarse en Windows 10. Por desgracia, no podemos decir que esto nos sorprenda tras otros casos similares en el pasado.

KB3140768 es la última actualización de Windows 10 1511, es decir, que se aplica sobre la versión de noviembre que la mayoría de los usuarios usan a día de hoy. Se trata de un parche aparecido el 9 de marzo que no añade nuevas funciones, pero supone un problema que falle al instalarse, porque corrige errores y elimina vulnerabilidades. Por desgracia, los usuarios están sufriendo dificultades con este complemento.

Desde el mismo lanzamiento de la actualización KB3140768 comenzaron las quejas respecto a fallos de instalación. Tras el paso de las horas, el número de afectados ha aumentado. No se trata de un problema general, pero determinadas personas verán como Windows 10 no puede actualizarse para ponerse al día.

Por ahora no está claro qué es lo que causa las dificultades para instalar la actualización KB3140768. Se cree que puede tener que ver con el hardware de cada equipo, porque en algunos se instala y en otros no. Pero, por el momento, no se ha ha podido identificar el elemento que provoca estos errores.

KB3140768 en Windows 10, ¿hay solución?

A pesar de que los usuarios no han dejado de buscar una solución para instalar KB3140768 en Windows 10, por ahora no la han encontrado. Microsoft no se ha pronunciando respecto al problema tampoco. Si echas un vistazo a lo que trae la actualización KB3140768, te darás cuenta de que resulta importante poder disfrutarla en nuestros equipos.

Así que la actualización KB3140768 falla al instalarse en Windows 10 y, si eres uno de los afectados, tendrás que esperar para actualizar, ya que la solución al problema aún no se ha localizado. Microsoft está pasando unos días algo complicados tras saberse que Windows 10 desinstala algunos programas por sí mismo, pero seguro que consigue solucionar sus dificultades con las actualizaciones.

Saludos.
Lexer Pars.

sábado, 12 de marzo de 2016

Hardsploit

Julien Moinard y Gwénolé Audic de Opale Security han creado un framework para automatizar la revisión de vulnerabilidades de los dispositivos de Internet de las Cosas.

Se trata del proyecto Hardsploit, una herramienta todo-en-uno para las auditorías de seguridad de hardware que será presentada próximamente en:

  • Hack In The Box (HITB) – May 26 2016 10:45 am – 11:45 am – Amsterdam
  • NullCon – 11 / 12th March 2016 – Goa
  • (FORMACIÓN) BlackHat – July 30 / 31 & August 1 / 2 – Mandala Bay / Las Vegas

Pretende convertirse en el Metasploit o Nessus para hardware, sin duda un punto de revisión más a cubrir en cualquier pentesting. Tener en cuenta que en estas auditorías de seguridad normalmente no se cubren análisis del hardware de firewalls, antivirus, IDS y otras aplicaciones que funcionan en dispositivos embebidos. Y no es raro por ejemplo encontrar contraseñas hardcodeadas en los sistemas de archivos y otros fallos de configuración en el firmware...

"La brecha entre el software y el hardware de seguridad se ha ampliado desde la década de 2000 ... porque el hardware es fundamentalmente sólo una forma de obtener acceso a software" dice Gwénolé. Por otro lado Julien comenta que "el objetivo es crear un puente entre el hardware y el software ... la mayor parte del tiempo de pruebas de intrusión saben cómo acceder a software, pero cuando se tiene el hardware, entonces es más complicado".

HardSploit se presenta como un tool box con una placa modular HSP-R1-001 (300€) más software y un GUI para Kali Linux. Esta le permitirá al pentester interceptar, reenviar o enviar datos a través de cualquier bus I2C, JTAG, SPI, PARALLEL o UART del hardware analizado.
Saludos.
Lexer Pars.