Archives

.

Compartelo:
0

Kaspersky encuentra Zeus para BlackBerry

Jesus Bourne 31 de agosto de 2012

Mientras la gran mayoría trata al alguna vez poderoso BlackBerry como uno más del montón en el mercado de smartphones, los creadores de malware siguen creyendo que es un negocio funcional y han creado un producto diseñado para esparcir una variante del malware Zeus en estos dispositivos.

En la siguiente publicación de Securelist de Kaspersky, Denis Maslennikov detalla los cinco nuevos archivos de Zeus conocidos como ZitMo (Zeus in the Mobile), que han aparecido en Europa. Uno de ellos es un lanzador para Android, mientras que para los otros cuatro su objetivo es la plataforma BlackBerry.

Diseccionando las nuevas muestras, Maslennikov remarca que los archivos maliciosos podrían anunciar una nueva etapa de ataques con Zeus. BlackBerry es el objetivo de tres archivos .cod y uno .jar (que incorpora un archivo .cod).

Los archivos de BlackBerry tienen como objetivo los usuarios de Alemania, Italia, España y Francia con comandos y números de control (C&C) procedentes Suecia, por el operador Tele2. La variante de Android es específica para Alemania.

Si el ataque se lleva a cabo con éxito en el móvil, entonces direcciona la verificación financiera de los códigos de mensajes al número C&C (aunque en el caso de la versión para Android, todos los SMS se reenvían). Maslennikov también menciona un par de nuevas funciones en el código, diseñado para notificar al C&C que el malware ha sido exitosamente instalado.

Maslennikov dijo que la fecha del certificado en la aplicación de Android, sugiere que el software fue escrito durante el mes de julio. 



Fuente: The Register 

0

Vulnerabilidad critica en java RE 1.7 desactiva java

Jesus Bourne 30 de agosto de 2012

Las últimas horas han sido bastante ajetreadas en el mundillo de la seguridad informática y todo por una nueva vulnerabilidad crítica descubierta en la versión más reciente de Java RE (1.7). 

Todo empezó con la publicación de un artículo en el blog de FireEye donde se alertaba de la existencia de un exploit que estaba siendo aprovechado activamente.

 Usando de esta vulnerabilidad un atacante puede descargar software malicioso en el sistema del usuario sin su intervención. Tan solo hace falta que pulsemos sobre un enlace malicioso especialmente preparado para infectar a nuestro sistema.

La gravedad de esta vulnerabilidad se agrava mas aun tras comprobar que Oracle no ha lanzado ni tiene previsto lanzar en breve una actualización de seguridad que la solucione. 

La próxima ronda de actualizaciones del software de Java está prevista para octubre e, incluso si Oracle decidiera lanzar un parche fuera de ciclo, aun tardaría unos días, tiempo más que suficiente para infectar millones de máquinas.

Hasta el momento se ha comprobada que la única rama afectada del software de Java es la mas reciente 1.7, no afectando a versiones 1.6 y anteriores (aunque estas versiones tienen sus propias vulnerabilidades). 

Aunque al principio se pensó que esta vulnerabilidad afectaba únicamente a sistemas Windows, varios investigadores han comprobado que también funciona en sistemas Linux (Mozilla Firefox corriendo en Ubuntu) y Mac (Safari corriendo en Mac OS X 10.7.4) por lo que estaríamos ante una nueva amenaza multiplataforma.

De momento y debido a la ausencia de un parche de seguridad, la única recomendación posible (por muy extrema que parezca) es desactivar Java por completo en todos los navegadores que usemos.

 Tanto nuestros compañeros del blog de seguridad Security by Default como la Oficina de Seguridad del Internauta ya han publicado los pasos necesarios para desactivar Java, pasos que pasamos a reproducir a continuación:


Desactivar Java en Internet Explorer

1.- Acceder al menú Herramientas > Opciones de Internet
2.- Pestaña Programas > Administrar complementos
3.- Seleccionar la opción de mostrar Todos los complementos > Seleccionar Java Plug-in 1.7
4.- Pulsar sobre el botón Deshabilitar y cerrar la ventana

Desactivar Java en Mozilla Firefox

1.- Acceder al menú Herramientas > Complementos
2.- Acceder al apartado de Plugins
3.- Seleccionar todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)
4.- Pulsar sobre el botón Desactivar


Desactivar Java en Google Chrome

1.- Escribir “chrome://plugins/” en la barra de direcciones del  navegador para acceder al menú de plugins.
2.- Buscamos el plugin de Java y pulsamos sobre Inhabilitar

Desactivar Java en Safari

1.- Accedemos al menú Preferencias > Apartado “Seguridad”
2.- Desmarcamos la opción “Permitir Java”

Con estas medidas evitaremos que se instale malware en nuestro sistema si pulsamos por accidente en un enlace malicioso preparado por un atacante que se  esté aprovechando de esta vulnerabilidad. 

Pueden parecer medidas drásticas pero viendo la gravedad de esta vulnerabilidad 0-day, y sabiendo que ya ha sido incorporado un módulo en el conocido framework Metasploit, es mejor tomar todas las precauciones posibles ante la avalancha de malware que aprovecha esta vulnerabilidad que se nos viene encima.

Fuentes: Ontinet.com





0

Nuevo scam disfrazado de notificación de facebook

Jesus Bourne

Si estás en Facebook, seguro que más de una vez has recibido notificaciones de todo tipo, dependiendo de cómo las hayas configurado en el apartado de administración de la plataforma. 

Pero si lo que tienes en tu correo es un aviso de que alguien ha publicado una foto en la que apareces, ten cuidado con abrirlo, ya que podría ser un engaño.

El email aparenta ser de Facebook sin lugar a dudas e invita al usuario a descargar una foto que supuestamente viene adjunta. Al hacerlo, nos estaremos descargando un archivo zip que realmente instala un troyano en nuestro ordenador y que daría acceso y control externo a un cibercriminal.

El aspecto del email es el siguiente:


No es la primera vez que se ve  este tipo de engaños circulando por la Red, y mucho nos tenemos que tampoco será la última, se recomienda a todos los usuarios que extremen las precauciones y que, en caso de recibir algún tipo de notificación de la conocida red social, accedan a través del propio portal en vez de utilizando el link que contenga el correo electrónico.

Fuentes : Ontinet.com
0

Investigador muestra backdoor basado en hardware llamado Rakshasa

Jesus Bourne 27 de agosto de 2012

El investigador de seguridad Jonathan Brossard creó una prueba de concepto (proof-of-concept) de un backdoor basado en hardware llamado Rakshasa, que reemplaza el BIOS (Basic Input Output System, Sistema Básico de Entrada y Salida) de una computadora y puede comprometer el sistema operativo desde el arranque sin dejar huellas en el disco duro.

En resumen, el firmware es un software que está almacenado en memoria no volátil dentro del chip de una computadora y es usado para inicializar la funcionalidad de una pieza de hardware. En una PC, la BIOS es el ejemplo más común de firmware pero en el caso de los routers inalámbricos, un sistema operativo GNU/Linux completo está almacenado en el firmware.

Las puertas traseras en hardware son letales por tres razones:

1-.No pueden ser removidos por medios convencionales (antivirus, formateo).
Pueden evitar otros mecanismos de seguridad (contraseñas, sistemas de archivos cifrados).

2-.Se pueden inyectar desde su fabricación.

3-.Rakshasa, nombrado así haciendo referencia a un demonio de la mitología Indú, no es el primer malware que tiene como objetivo el BIOS de una tarjeta madre que inicializa otros componentes de hardware. 

Rakshasa remplaza la BIOS de la tarjeta madre, pero también puede infectar el firmware PCI de otros dispositivos periféricos como tarjetas de red y lectores ópticos, con la finalidad de alcanzar un alto nivel de redundancia.

Rakshasa puede ser instalado por cualquier persona que tenga acceso físico al hardware del equipo, ya sea durante el  proceso de fabricación o en la oficina con una memoria USB. Afortunadamente Brossard no ha liberado el código de Rakshasa, pero él parece bastante seguro respecto a que otros grupos y agencias de seguridad ya hayan desarrollado herramientas similares.

Brossard construyó Rakshasa combinando una gran cantidad de paquetes de software libre legítimos para alterar firmware. Debido a los esfuerzos de programadores que han contribuido a esos proyectos, Rakshasa funciona en 230 modelos diferentes de tarjetas madre, dijo Brossard.

La única forma de deshacerse del malware es apagar el equipo de cómputo y manualmente cargar de nuevo el firmware de cada dispositivo periférico, un método que es impráctico para la mayoría de los usuarios porque requiere equipo especializado y un conocimiento avanzado.



Fuentes: The Hacker News 

0

El spyware FinFisher se esparce alrededor del mundo

Jesus Bourne

Una herramienta de spyware disponible a nivel comercial creada para reforzar agencias de seguridad se ha encontrado en países donde supuestamente nunca debió ser vendida, lo que levanta sospechas acerca de la posible relación de ciberdelincuentes con el caso.

La firma de seguridad Rapid7 ha logrado identificar las direcciones de IP de un grupo de servidores de comando y control (C&C) mediante la herramienta de espionaje FinFisher, que es desarrollada por el Grupo Gamma. La compañía dijo que ha analizado las características que le permiten identificar las comunicaciones entre la herramienta y los servidores C & C.

Rapid7 usó esta huella digital para realizar un seguimiento de los programas espía y encontró 12 servidores C&C en EUA, Indonesia, Australia, Qatar, Etiopía, República Checa, Estonia, Mongolia, Letonia y Dubai.

El investigador de seguridad Claudio Guarnier dijo que la compañía no podría confirmar si las agencias o los gobiernos utilizaban activamente la herramienta para montar campañas de ciber-espionaje, era poco probable aún que la herramienta de espionaje estuviera siendo utilizada por los ciberdelincuentes.

"No somos capaces de determinar si en realidad está siendo utilizada por alguna agencia gubernamental, si son operados por la población local o si no hay alguna relación en absoluto", escribió Guarnier.

"El malware parece bastante complejo y bien protegido/ofuscado, pero la cadena de infección es bastante débil y poco sofisticada. La capacidad de la huella digital del C&C era francamente vergonzosa, sobre todo en busca de malware como éste. La combinación de estos factores en realidad no son compatibles con la idea de que ladrones modificaron el malware para uso en el mercado negro. "

El mes pasado, Bloomberg informó a Grupo Gamma que las copias de su software que fueron encontradas en Bahrein debieron haber sido robadas. Sin embargo, Guarnier advirtió que dada la naturaleza de los delitos cibernéticos, es probable que FinFisher pronto sea aceptado por los delincuentes. 

"Una vez que algún tipo de malware se encuentra en activo, por lo general sólo es cuestión de tiempo antes de que sea utilizado para propósitos nefastos", dijo Guarnier.

"La comunidad INFOSEC tiene que prestar atención y tomar la exposición del malware en serio. Tomar medidas para proteger la infraestructura y desalentar la propagación, producción y adquisición de software malicioso.

Como hemos visto en innumerables ocasiones, y sin duda volveremos a ver, es imposible mantener este tipo de cosas bajo control en largo plazo".

FinFisher es capaz de grabar las comunicaciones de Skype y de otro tipo de voz sobre IP (VoIP), registrar las pulsaciones y encender la cámara web de una computadora y el micrófono. FinFisher también puede robar archivos de un disco duro y está diseñado para pasar por alto numerosos sistemas antivirus.

En el momento de escribir estas líneas, el Grupo Gamma no había respondido a las peticiones de V3 para que formulen observaciones sobre las conclusiones de Rapid7.



Fuentes: v3.co.uk 

0

IBM proclama avance en Espintrónica

Jesus Bourne

Los investigadores de IBM están anunciando un gran avance en la Espintrónica, una tecnología que podría incrementar significativamente la capacidad y el poco uso de energía en dispositivos de memoria y almacenamiento.

La Espintrónica, traducción de la combinación de palabras “spin transport electronics”, usa el giro (spin) natural de los electrones dentro de un campo magnético en combinación con un cabezal de lectura/escritura para leer bits de datos en materiales semiconductores.

Al cambiar el eje de un electrón en una orientación hacia arriba o hacia abajo -todo en relación al espacio en el que existe- los físicos pueden hacer que represente bits de datos. Por ejemplo, un electrón con un eje hacia arriba es un 1, y un electrón con un eje hacia abajo es un 0.

La Espintrónica ha enfrentado por mucho tiempo un problema intrínseco ya que los electrones han mantenido una orientación “hacia arriba o hacia abajo” solo por 100 picosegundos. Un picosegundo es la billonésima parte de un segundo. 

Cien picosegundos no es tiempo suficiente para un ciclo de cómputo, por ello los transistores no pueden completar una función computacional y el almacenamiento de datos no es persistente.

En el estudio publicado en Nature, IBM Research y el Solid State Physics Laboratory del ETH Zurich anunciaron que habían encontrado una forma de sincronizar los electrones, lo cual ampliaría el tiempo de vida de su giro en 30 veces a 1,1 nanosegundos (1 ns es la milmillonésima parte de un segundo), el tiempo que le toma a un procesador de 1GHz un ciclo.

Los científicos de IBM usaron pulsos de laser ultracortos para monitorear la evolución de miles de giros de electrones que fueron creados simultáneamente en un lugar muy pequeño, sostuvo Gian Salis, uno de los autores del paper y científico del grupo de investigación Physics of Nanoscale Systems de IBM Research.

Generalmente, tales giros encuentran a los electrones rotando de forma aleatoria y perdiendo rápidamente su orientación. En este estudio, los investigadores de IBM y el ETH encontraron, por primera vez, como acomodar los giros cuidadosamente en un patrón regular: el llamado persistent spin helix.

El concepto de controlar la rotación del giro fue originalmente propuesto como una teoría en el 2003, afirmó Salis. Desde entonces, algunos experimentos encontraron indicios de tal control, pero el proceso nunca había sido directamente observado hasta ahora, añadió.

“Estas rotaciones de dirección de giro eran completamente no correlacionadas”, afirmó Salis. “Ahora podemos sincronizar esta rotación, de tal forma que no pierdan su giro pero que roten como en un baile, todos en una dirección”.

“Hemos mostrado que entendemos completamente lo que está pasando, y hemos probado que la teoría funciona”, agregó.

Los investigadores de IBM han estado usando arsenido de galio, un material generalmente usado en electrónica, diodos y celdas solares, como sus materiales semiconductores básicos.

En la actualidad la tecnología de computación codifica y procesa los datos mediante la carga eléctrica de los electrones. Sin embargo, los investigadores afirman que la técnica queda limitada a medida que las dimensiones del semiconductor se reducen al punto en donde el flujo de electrones ya no se puede controlar.

Por ejemplo, los productos flash NAND ya usan circuitería que es menor a los 20 nanómetros de ancho, lo cual es cercano al tamaño atómico. La Espintrónica puede superar este problema con la memoria al aprovechar el giro de los electrones en lugar de su carga.

El nuevo entendimiento de la Espintrónica no solo puede dar a los científicos un control sin precedentes sobre los movimientos magnéticos dentro de los dispositivos, sino que también abre nuevas posibilidades para crear dispositivos electrónicos más eficientes en cuanto a energía.


Computerworld US / IDG News

0

Fundador de Apple advierte de terribles riesgos en computación en la nube

Jesus Bourne 23 de agosto de 2012

El cómputo en la nube causará grandes problemas, según Steve WozniaK, el cofundador de Apple. Wozniak dijo a la audiencia en Washington DC: “Realmente me preocupa todo lo relacionado a la nube. Creo que será terrible. Creo que tendremos una gran cantidad de problemas graves en los próximos cinco años.”

Steve Wozniak, fundador de Apple junto con Steve Jobs en 1976, hizo estas declaraciones después de la presentación "La agonía y el éxtasis de Steve Jobs", un monólogo sobre las condiciones de trabajo en las fábricas chinas de Apple.

La obra atrajo la controversia a principios de este año, cuando Mike Daisey, el artista, admitió que había fabricado algunas de las historias en la pieza. 

Daisey declaró originalmente que las historias en el monólogo fueron tomados de las entrevistas que realizó con los trabajadores chinos durante una visita al país en 2010.

Daisey, que desde entonces ha re-trabajado el guion, invitó a Wozniak a la penúltima actuación del espectáculo. Respondiendo a las preguntas de la audiencia, Wozniak, de 61 años de edad, dijo: "Con la nube, no te pertenece nada. Ya lo aceptaste."

Y agregó: "Quiero sentir que soy dueño de las cosas, mucha gente lo siente así, 'Oh, todo está realmente en mi computadora, pero creo que cuanto más trasladamos a la web, a la nube, menos control vamos a tener".

Preguntado sobre las condiciones laborales en China, donde Apple y prácticamente todas las demás empresas de tecnología, incluyendo Samsung, Microsoft y Sony, manufacturan sus productos, Wozniak, dijo: "Sabemos que [los clientes] tenemos voz. Podemos hablar pero no actuamos al respecto, solo decir Foxconn es malo o Apple es malo."

Dijo que creía que las condiciones para los trabajadores chinos mejorarían a su vez que el país se enriquezca. Wozniak, quien ahora trabaja para la  la empresa de memorias Fusion IO, inventó la Apple I y Apple II. Dejó el empleo de tiempo completo con la empresa en 1987 a pesar de que permanece en la nómina.



Fuente: The Telegraph 

0

Ya disponible Attack Surface Analyzer 1.0 de Microsoft

Jesus Bourne 21 de agosto de 2012

Attacks Surface Analyzer es la misma herramienta usada por las áreas de productos internos de Microsoft para catalogar los cambios que se realizan a los sistemas operativos cuando se instala nuevo software.

Esta herramienta realiza muestreos del sistema en una organización y los compara para identificar cambios, la herramienta no analiza el sistema con base en firmas o a partir de vulnerabilidades conocidas, en su lugar busca debilidades de seguridad en aplicaciones que son instaladas en los sistemas operativos Windows.



Esta herramienta cuenta con asistencia independiente para ayudar a los usuarios en los procesos de escaneo y análisis. La versión de línea de comandos (command-line version) soporta automatización y versiones anteriores de Windows, además de asistir a profesionales de TI al integrarla con otras herramientas de mantenimiento que existen en la empresa.

La versión actualizada de la herramienta incorpora mejoras en bugs, enriqueciendo la experiencia para el usuario, además permite:

A los desarrolladores, observar los cambios en la superficie de ataques resultado de introducir código en la plataforma Windows.

A los profesionales de TI, estimar el cambio en la demanda de la superficie de ataques a partir de la instalación de una línea de organización en aplicaciones de negocios.

A los auditores de TI, evaluar el riesgo de una pieza de software específica instalada en el sistema Windows durante las revisiones de amenazas y riesgos.

A los equipos de respuesta a incidentes, obtener una mejor comprensión del estado de seguridad en los sistemas durante las investigaciones (si una línea de escaneo de base es tomada del sistema durante la fase de desarrollo).

Ligas de descarga:

Attack_Surface_Analyzer_x86.msi

Fuente: Help Net Security 
0

Herramientas de spam en Skype, muy fáciles de acceder


No es sorpresa que muchos individuos que buscan hacer dinero fácil realicen scam en línea, sobre todo cuando las herramientas para hacerlo están ampliamente disponibles y a un bajo costo. Además, las posibilidades de ser atrapado son mínimas.

Skype Flooder es un ejemplo. Esta herramienta de Skype para el envío de spam se encuentra en su segunda versión. Se puede comprar en foros underground por tan solo 10 dólares, y como un bono extra, el comprador también recibe 5000 nombres de usuarios de Skype anteriormente obtenidos.

Según el anuncio, la herramienta permite al usuario agregar, buscar y envíar spam a los contactos, para recoger nombres de usuarios de Skype basándose en búsquedas por país o género, así como información disponible como la ciudad, nombre de usuario y el estado de conexión. Esta nueva versión también es capaz de analizar archivos de registro.

Pero también hay buenas noticias. “Dado que la herramienta sólo es capaz de difundir un mensaje particular a quienes deben dar autorización a la cuenta del spammer, así como el hecho de que no soporta múltiples cuentas de spam y proxies, no representa una amenaza escalable. En su lugar, se basa principalmente en técnicas de ingeniería social”, señala Webroot.

“Aunque la herramienta es capaz de segmentar los objetivos para una mejor tasa de conversión, el usuario todavía tiene que autorizar al spammer para recibir mensajes de él”.

Afortunadamente para los usuarios de Skype, pueden protegerse fácilmente de los distintos spammers ajustando sus configuraciones, para imposibilitar recibir llamadas, videos, pantallas y mensajes instantáneos de cualquiera que no se encuentre en la lista de contactos.

Entonces, sólo es necesario tener cuidado de no agregar usuarios spammers (cuentas) a la lista.



Fuente: Help Net Security 

0

Científico crea contraseñas subliminales basándose en Guitar Hero, contrarresta coerción contra la seguridad

Jesus Bourne 12 de agosto de 2012

Investigadores de la Universidad de Stanford revelarán la siguiente semana un sistema de seguridad que puede derrotar los ataques más agresivos para garantizar que los usuarios no puedan ser obligados a revelar sus contraseñas, incluso por la fuerza bruta, pues sencillamente ellos no las conocen, son contraseñas subliminales.

El equipo detrás de las contraseñas subliminales quería saber si podían utilizar el aprendizaje implícito, cuando alguien aprende patrones, sin darse cuenta conscientemente de esto,  para anular la amenaza de los usuarios de verse obligados a revelar una contraseña.

Para crear la contraseña subliminal, el equipo creó un juego de entrenamiento para computadora, que imitaba las características del popular video juego Guitar Hero, haciendo que los usuarios dediquen tiempo a las instrucciones en pantalla.

El equipo creó un sitio web de este juego de entrenamiento y enseñó a los sujetos cómo utilizarlo, los prospectos fueron reclutados de Mechanical Turk de Amazon.

En el juego de entrenamiento, se representarton círculos cayendo en una de las seis columnas; los jugadores anotaban puntos si pulsaban las teclas correspondientes a las posiciones de las columnas en la pantalla justo antes de que el círculo golpeara el piso de la columna.

Cada columna tenía tres posibles posiciones donde los círculos podían caer, junto con una columna vacía, que servía de ayuda a los usuarios para asignar los círculos de las columnas de manera más eficaz cuando el juego se reproducía rápidamente.

La contraseña subliminal está creada a partir de una secuencia de 30 caracteres que utilizan ese juego de teclas, pero a los usuarios nunca se les dice qué secuencia es.

En su lugar, se presentan con una serie de sesiones de entrenamiento que incluyen esa secuencia de 30 caracteres, junto con algunas secuencias al azar.

Los jugadores gastan alrededor de 35 a 40 minutos repitiendo esta sesión de entrenamiento.

Para autenticar el usuario, el equipo probó a los sujetos nuevamente con el juego. Pero esta vez, el tema se presenta con algunos círculos que se encuentran en los patrones que veían en el programa de capacitación y otros que no lo hicieron.

El equipo mostró que los usuarios siempre obtuvieron mejores resultados en las secuencias que habían sido entrenadas para aprender implícitamente las secuencias aleatorias. Los usuarios que nunca se habían sometido a las sesiones de entrenamiento no mostraron tales distinciones.

El equipo, que se compone de Hristo Bojinov y Dan Boneh de Stanford, junto con sus colegas Daniel Sanchez y Paul Reber de la Uniersidad de Northwestern y Patrick Lincoln de SRI, presentarán sus trabajos en el Usenix Security Symposium en Bellevue, Washington, la semana próxima.

Asimismo, reconocen que el sistema es sólo un modelo de prueba de concepto en la actualidad. "Esperamos seguir analizando la velocidad a la que las contraseñas aprendidas implícitamente se olvidan, y la frecuencia requerida de las sesiones de reforzamiento", mencionaron en su trabajo de investigación.

Sin embargo, los investigadores de Mechanical Turk proporcionaron una "base de confianza de que es posible" construir un sistema de contraseñas a través del aprendizaje subliminal implícito, agregaron. Una forma muy pura para derrotar ataques de fuerza bruta.



Fuente: v3.co.uk 

0

Rastrear teléfonos Android es sencillo, afirma investigador



Para ahorrar tiempo, batería y ciclos de procesador, los teléfonos inteligentes (smartphones) no dependen únicamente de GPS "puro" para determinar su ubicación, obtienen ayuda de datos de localización en la red de telefonía móvil. 

Una investigación, presentada la semana pasada en la conferencia Black Hat en Las Vegas, advierte a los usuarios que este hecho representa una seria vulnerabilidad a la seguridad.

Bajo esquemas llamados A-GPS (Assisted-GPS), la red puede enviar la ubicación y tiempo satelital actuales al receptor, permitiéndole adquirir señales más rápidamente, también el dispositivo puede enviar sus datos de la señal GPS a un servidor en la red para procesamiento más rápido.

 En ambos casos, la tecnología depende de que el dispositivo pida asistencia a la red, y cuando eso sucede, los datos de localización se intercambian a través de ésta.

Los problemas, de acuerdo al investigador de la Universidad de Luxemburgo, Ralf-Philipp Weinmann, son que las solicitudes de ayuda son enviadas en claro y son aparentemente fáciles de secuestrar.

Por ejemplo, si un atacante tiene acceso a la red WiFi a la que se conecta el teléfono, su solicitud de asistencia podría ser capturada y redirigida al servidor del atacante. El atacante ahora sabría dónde está el teléfono y, peor aún, la redirección permanecería a donde sea que el teléfono vaya en el futuro.

De acuerdo a Technology Review, Weinmann describió el ataque como "bastante despreciable" debido a que "si lo enciendes sólo una vez y te conectas a esa red, puedes ser rastreado en cualquier momento que intentes hacer una sincronización de GPS"

Debido a que el procesamiento no es frecuentemente designado al procesador principal del dispositivo, dice Weinmann, puede ser utilizado [el ataque] como puerta para otros ataques, desde colapsar el dispositivo atacado hasta instalar malware.



Fuentes: The Register 


0

Troyano "hecho en Alemania" espiando en Bahrein

Jesus Bourne 6 de agosto de 2012

Citizenlab publicó un análisis detallado de las actividades de un troyano, el cual expertos concluyen, está muy probablemente relacionado a FinFisher, una herramienta spyware comercial desarrollada por la compañía Gamma International. 

El troyano atenta contra activistas políticos en Bahrein e incluye nombres de remitentes tales como corresponsales de Al Jazeera y asuntos de correo como “Reportes de torturas en Rabil Najaab”.

El archivo adjunto .EXE, oculto como una imagen, deshabilita el software antivirus e instala un conjunto completo de programas spyware en el equipo del destinatario. El spyware procede entonces a monitorear, entre otras cosas, las comunicaciones de la víctima a través de Skype, incluyendo conversaciones y transferencias de archivos.

Un análisis del desempeño de la memoria de los sistemas infectados, mostró que en repetidas ocasiones se produjo la cadena de caracteres “finspy”. Este nombre es utilizado por Gamma, para anunciar módulos de FinFisher.

El troyano incluso despliega imágenes mientras implementa sus actividades en segudno plano

Los investigadores mencionaron que el malware utiliza un empaquetador .EXE muy especial, cuya firma también fue reconocida en otra muestra de malware la cual se cree es una versión de prueba del troyano.

El malware se comunica con servidores como tiger.gamma-international.de, cuyo dominio está registrado con Gamma International GmbH en Alemania. Aunque los productores de FinFisher, Gamma International Ltd, oficialmente operan desde Reino Unido, existe evidencia significativa de que el software está siendo desarrollado en Alemania.

La herramienta de inspección FinFisher ha llamado la atención repetidamente, debido al monitoreo de activistas políticos realizado por agencias gubernamentales. Recientemente, Gamma International recibió el premio Big Brother por sus actividades.

Fuentes: The H Security 


0

Herramienta de seguridad de Microsoft incluye defensas inspiradas en finalista de BlueHat


Microsoft publicó una versión preliminar de un nuevo kit de herramientas de seguridad que usa técnicas inspiradas por uno de los participantes de su competencia de seguridad BlueHat Prize, dijo la compañía este miércoles.

La herramienta incluye protección contra ataques del tipo Return-oriented programming (ROP), una técnica avanzada que utilizan los atacantes para combinar pequeñas piezas de código válido presentes ya en un sistema, para fines maliciosos, dijo Microsoft. 

Una defensa contra ese tipo de ataques fue desarrollada por Ivan Fratric, un investigador de la Universidad de Zagreb, en Croacia, quien cuenta con un doctorado en Ciencias de la Computación.

Fratric envió una herramienta de seguridad llamada ROPguard para la competencia BlueHat, la cual ayuda a detener ataques del tipo ROP al definir un conjunto de verificaciones que pueden ser usadas para detectar cuándo ciertas funciones están siendo invocadas en el contexto de código ROP, dijo Microsoft. 

El sistema de defensa de Fratric puede ayudar a protegerse de ataques que exploten vulnerabilidades de manejo de memoria, agregó la compañia.

El Trustworthy Computing Group (Equipo de Cómputo Confiable) de Microsoft, publicó el miércoles una versión preeliminar del kit de herramientas Enhanced Mitigation Experience (EMET) 3.5, que incluye técnicas de defensa para ROP "inspiradas por" el ROPguard de Fratric.

La tecnología fue integrada en EMET en un lapso de 3 meses, lo que ayudó al software a ser significativamente más resistente a explotación, dijo Microsoft en un comunicado, agregando que Fratric ayudó a incorporar la tecnología en EMET.

La competencia BlueHat Prize tiene como objetivo motivar a investigadores a desarrollar tecnologías defensivas otorgando más de $250 mil dólares en efectivo y otros premios. 

Fue iniciada en la conferencia de seguridad BlackHat del año pasado en Las Vegas y terminó el primero de abril de este año. Microsoft aún debe determinar si Fratric, quien es uno de los tres finalistas, recibirá el gran premio de $200 mil dólares.


Fuentes: PCWorld

0

Aumento significativo en ataques de inyección SQL

Jesus Bourne 1 de agosto de 2012
El servicio de almacenamiento en la nube FireHost reporta que el número de ataques de inyección de código SQL fue de cerca del 69% en el trimestre pasado.

Según un reporte, los servidores localizados en centros de datos alrededor de Europa y EUA registraron al menos medio millón de estos ataques en abril y junio de 2012; menos de 300 mil fueron registrados durante el primer trimestre.

El termino inyección de SQL se refiere a un ataque en el que el atacante utiliza información diseñada por él mismo, por ejemplo, en un sitio web el atacante inyecta comandos de base de datos en la opción de búsqueda, de tal manera que la aplicación web envía al atacante directamente a su base de datos.

Atacantes con más habilidades pueden optimizar estos comandos para que devuelvan contenido específico de los campos de la base de datos, como las direcciones de correo electrónico y contraseñas de los usuarios registrados.

Por lo tanto, los huecos de seguridad que ofrecen la posibilidad de inyección SQL en las aplicaciones web están entre las más peligrosas, ya que ponen directamente los datos del servidor afectado en riesgo.

Las vulnerabilidades de inyección de SQL en los servidores son probablemente la principal causa de las filtraciones de contraseñas reveladas de Linkedln a Gamigo.

Sin embargo, sería difícil establecer una conexión concreta entre las observaciones de FireHost y el notable incremento en el número de incidentes en la fuga de contraseñas; después de todo, muchas de las intrusiones se llevaron a cabo hace bastante tiempo.

Sin embargo, podría haber una relación de origen en dirección opuesta, es decir, que los atacantes podrían haber sido inspirados por la fuga de datos recientes. En cualquier caso, es tiempo de que los operadores de servidores consideren la implementación de medidas preventivas antes de que se conviertan en un objetivo.


Fuente: The H Security
0

Alertas de malware en Mac en el día de lanzamiento de Mountain Lion

Mientras el sistema operativo Mac OS X Mountain Lion apenas llega a los mercados, la compañía de seguridad Sophos identificó una nueva pieza de malware para Mac.

El malware es conocido como Crisis y Morcut, llegó como un archivo llamado “AdobeFlashPlayer.jar”. La extensión “.jar” hace referencia a un “archivo de Java”, similar a un archivo ZIP pero con otro nombre, según Sophos.

En este caso, al abrir el archivo se creará un archivo .class llamado WebEnhancer y dos archivos de apariencia discreta llamados win y mac. El archivo “mac” es el instalador de Crisis o Morcut.

Sin embargo, la buena noticia es que el applet WebEnhancer activará la alerta mediante una firma digital

El investigador advierte que el malware no necesariamente es entregado a través de un archivo “.jar”, eso solo fue una forma en la que se produjo. Si se descarga Morcut/Crisis, se debe tener cuidado.

De acuerdo con Sophos, “Morcut tiene componentes de controladores del kernel que ayudan a ocultarlo, un componente de backdoor que abre la Mac a los demás que comparten la red, un componente de command-and-control para que pueda aceptar instrucciones remotas y adaptar su comportamiento, código para robo de datos y más”.

Sophos advierte a los usuarios de Mac sobre no asumir que están a salvo de ataques de malware. De hecho, estas amenazas han ido en aumento a medida de que la plataforma ha crecido en popularidad. Otro consejo es desinstalar Java si no es necesario.

“Esto deja un incoveniente más para los creadores de malware”.

Fuente: Yahoo

0

Hackers embisten contra Gamigo, roban 8 millones de contraseñas

Más de 8 millones de contraseñas han sido robadas del sitio de juegos alemán Gamigo y han sido publicadas en línea a más de 4 meses de que los hackers irrumpieran en la red.

Los hashes de las contraseñas fueron colocados en el foro de crypto-cracking InsidePro, el mismo sitio donde el mes pasado usuarios publicaran una lista de cerca de 6.5 millones de datos de inicio de sesión de usuarios de LinkedIn.

Un usuario del foro, apretantemente logró romper el hash de una vía y afirmó haber descifrado el 94% de las contraseñas.

El servicio de monitoreo de información comprometida PwnedList dio aviso a Forbes del botín y descubrió que contenía la escandalosa cantidad de 8.2 millones de direcciones de correo electrónico.

Tres millones de las direcciones son procedentes de Estados Unidos, 2.4 millones de Alemania y 1.3 millones de Francia.

Esta fuga de datos es por mucho la más cuantiosa de los incidentes de filtraciones reportados en 2012.
La lista de contraseñas cifradas ‘all.txt’ fue retirada del sitio web de archivos compartidos en el cual fue publicado.

Ningún portavoz de Gamigo respondió hasta el momento de la publicación de esa nota a las llamadas telefónicas hecha con el fin de buscar comentarios.


Fuente: SC Magazine



0

Hacker de la App Store de Mac dice que se "termina el juego"

Jesus Bourne
El creador de un exploit que permite a usuarios comprar aplicaciones para iOS sin costo alguno confirma que el parche de Apple soluciona el problema.

"Actualmente no tenemos forma de violar las APIs actualizadas," dijo el creador Alexei Borodin en una publicación de su blog de desarrollo. "Son buenas noticias para todos, hemos actualizado la seguridad en iOS, los desarrolladores tendrán su dinero digital."

Borodin dijo que el exploit, que requiere el uso de servidores de terceras partes y especialmente certificados digitales instalados, continuarán en línea y funcionando hasta que Apple libere iOS 6. La semana pasada Apple dijo que el software estará listo dentro de unos meses y que parchará el exploit. Por ahora la compañía solo ha distribuido actualizaciones de APIs que validan cada compra digital.

"Examinando la última declaración de Apple acerca de las compras de aplicaciones en iOS 6, puedo decir que el juego ha terminado," añadió Borodin.

Según una entrevista con el programador la semana pasada, el exploit permitió compras de aplicaciones por más de 8.4 millones de dólares.

Con un precio mínimo de 99 centavos de dólar por cada aplicación comprada, representa un total de 5.82 millones de dólares que pudieron haber recibido los desarrolladores, más otros 2.49 millones de dólares que Apple habría ganado sobre la base de división de ganancia de 70/30.

Sin embargo, las cifras podrían ser considerablemente mayores, ya que las compras dentro de iOS pueden ir más allá de 99 centavos de dólar.

A pesar de la victoria temporal de Apple en materia de seguridad de iOS, Borodin dice que una versión modificada del exploit que tiene como objetivo el Mac App Store de Apple sigue activa. "Estamos esperando la reacción de Apple,” dijo en la misma publicación. “Tenemos algunas cartas bajo la manga."

El exploit sigue siendo uno de los pocos esfuerzos de alto perfil que tienen como objetivo las tiendas digitales de Apple desde el interior de las aplicaciones. Esfuerzos separados se han centrado en cuentas de usuario de forma individual y la protección de copia de las aplicaciones.


Fuente: CNet News

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT