Publicaciones de la categoría: Ciberseguridad

Heartbleed Bug: Momento de cambiar contraseñas

En días recientes se ha reportado la noticia del hallazgo de una seria vulnerabilidad que afecta páginas web que utilizan cifrado SSL, a la que se la ha llamado Heartbleed Bug. El hallazgo fue hecho por un miembro del equipo de seguridad de Google y una firma de seguridad llamada Codenomicon. La vulnerabilidad afecta servidores que utilizan software de Apache y Nginx con el potencial peligro de que información personal de usuarios entrada a páginas web, correos electrónicos o aplicaciones, pueda ser divulgada. Esta vulnerabilidad permite a un atacante burlar el cifrado SSL y capturar contraseñas, así como falsificar la autenticación. A pesar de que se publicó un parcho se seguridad para corregir el problema, se está advirtiendo de la posibilidad de que la vulnerabilidad haya sido descubierta por delincuentes antes de la publicación de la medida correctiva. Las recomendaciones para protegerse son las siguientes:

  • Estar atento a los anuncios oficiales de servicios o páginas web que utilices donde notifiquen la aplicación del parcho correctivo.
  • Cambiar la contraseña en cada una de esas páginas una vez sus administradores hayan corregido la vulnerabilidad. Algunos sitios para los que se recomienda cambiar la contraseña son: Google, Facebook, GoDaddy y Yahoo!, entre otros
  • Estar atentos a cualquier actividad sospechosa en alguna de tus cuentas.

Aquí varios enlaces de utilidad:

Heartbleed Checker-Verifica aquí si una página en particular es vulnerable

Lista de lugares cuyas contraseñas es recomendable cambiar.

Fuente: Mashable

 

8 de abril: Adiós al apoyo técnico para Windows XP.

El próximo 8 de abril Microsoft cesará el apoyo técnico a Windows XP, sistema operativo que dominó el panorama por unos 7 años y que ya llega al ocaso de su vida útil. Y más allá de ser otra noticia de tecnología, el asunto es serio: Todavía hay individuos y organizaciones que continúan utilizando XP en sus computadoras. De especial preocupación es la industria de la banca, ya que es se estima que un 95% de los cajeros automáticos alrededor del mundo utilizan  Windows XP (aclarando que la versión que utilizan es algo distinta a la que se usa en las PC, con cierto grado de seguridad y similar a Windows Embedded, versión que utilizan los kioscos electrónicos y los “Point-Of-Sale“).  ¿Qué consecuencias pueden resultar debido al uso de un sistema operativo que ya no recibe apoyo técnico? Veamos algunas:

  • No habrán actualizaciones para corregir vulnerabilidades que sean descubiertas posterior al 8 de abril.
  • No estarán disponibles “drivers” para periféricos nuevos en el mercado.
  • En algún momento ya no habrá hardware de fabricación reciente compatible con XP.
  • En ausencia de actualizaciones críticas, XP será un blanco fácil para el malware y sus autores.

La solución a los que esperaron hasta ahora para decidirse a actualizar no será barata. Una migración a a un sistema nuevo puede conllevar compra de nuevos equipos, actualizar aplicaciones o en el peor de los casos, tener que volver a programarlas, la posible contratación de personal adicional o re-adiestrar al que ya se tiene empleado, entre otras cosas y todas conllevan un gasto que puede ir de moderado a mayúsculo. Lo triste es que se venía anunciando desde hace tiempo que Windows XP dejaría de recibir apoyo técnico, como ocurre cuando hay nuevas versiones de un sistema operativo, de forma que los usuarios y encargados de sistemas de información vayan tomando las medidas pertinentes y puedan migrar de forma ordenada, controlando mejor los gastos asociados al cambio.

Fuente: Genbeta

¿Quién o qué domina el tráfico del Internet?

La mayor parte del tráfico que circula por el Internet no es de origen humanos, sino de los programas, en particular los bots. Estos programas constantemente patrullan las páginas cibernéticas para recopilar y organizar información de forma que para nosotros sea más fácil encontrarla. Según el infograma que se muestra a continuación, el 61.5% del tráfico del web es dominado por programas y solamente un 38.5% es humano. Pero ojo, en ese 61.5% están incluidos bots cuyo propósito es robar información personal, diseminar malware o capturar “adeptos” para formar parte de algún botnet, redes con propósitos nebulosos formadas por computadoras comprometidas alrededor del mundo. Resulta por demás interesante ver las cuatro categorías de bots maliciosos  mencionados en el infograma, destacando las que, seguramente son las más conocidas: Spammers y herramientas de hack.

Fuente: Links DV, Punto Geek

 

Infograma: Lo que debes saber de la Web Profunda y TOR.

El tema de la Web Profunda o “Deep Web”  es uno que despierta el interés  y la curiosidad. Cosas como la caída de The Silk Road y la popularidad del Bitcoin, reseñados en las noticias, abonan a ese interés en algo que, hasta ahora, era prácticamente desconocido por la mayoría de los usuarios del Internet.  La gente de WhoIsHostingThis? presenta en su página este excelente infograma que resume lo más relevante del tema y quizá aclara dudas que el usuario pueda tener.

Navegar la Web Profunda es una experiencia mixta. Es altamente recomendable utilizar TOR para la navegación (las páginas utilizan el “low level doman.onion que no es reconocido por los navegadores regulares). Adicional TOR garantiza cierto nivel de anonimato, pero al costo de que la navegación sea lenta. Si quieres añadir una capa adicional de seguridad, puedes utilizar alguna distribución de Linux de forma virtual (usando por ejemplo Virtual Box) y en Linux, TOR. Las páginas parecen de los años ’90, muy diferente a los estamos acostumbrados a ver hoy. Sobretodo,  hay que moverse con precaución por el contenido mencionado en el infograma, que va desde sitios legales con contenido interesante, a sitios de contenido nebuloso e ilegal y con el peligro añadido de contagio de malware para el equipo que se esté utilizando o una acceso no deseado.

Fuente: WhoIsHostingThis?

CryptoBit, ransomware con doble engaño.

El problema del ransomware no es nuevo. El pasado año se publicó en varias fuentes información acerca de Cryptolocker (variantes: Prison Locker, Copycat y Locker). El ransomware consiste en pescar el malware de alguna página infectada, enlace en un correo electrónico o luego de pulsar un popup típicamente de spam. Acto seguido el disco duro de la víctima es encriptado de forma que el usuario pierde el acceso a sus datos, siendo la única forma de recuperar dicho acceso pagar un rescate (en ocasiones oneroso). Para presionar la víctima a pagar con prontitud, se despliega un mensaje advirtiéndole que si no paga en cierto tiempo, toda la información en su disco duro será borrada. Recientemente fue descubierto otro malware similar: CryptoBit. El principio sigue siendo el mismo, una vez infectada la computadora, el disco duro es encriptado y el mensaje de extorsión exigiendo un pago a cambio de la clave para liberar el disco es mostrado. El malware afecta archivos de Word, Excel, PDF’s, imágenes y películas, entre otros, haciendo el acceso al contenido del disco duro nulo. La víctima recibe instrucciones de instalar el navegador Tor para acceder a un sitio oculto dentro del Onion Network donde efectuará el pago del rescate en un término de 24 horas; de no hacerlo, perderá toda su información. La novedad de CryptoBit es que, después de pagar el rescate, el usuario recibe claves falsas que no liberan su disco duro. Sin embargo, el malware puede ser removido utilizando un antivirus que escanee el archivo %AppData%, lugar donde se oculta CryptoBit. Para decriptar el disco duro, basta con utilizar el System Restore de Windows. Ojo, el enlace al malware puede llegar en un correo electrónico que aparenta haber sido enviado por un conocido de la víctima. Las recomendaciones para protegerse siguen siendo las acostumbradas: No acceda a lugares de contenido dudoso o cuestionable, siempre tenga una copia de respaldo actualizada de sus archivos y no dé click en ventanas o popups.

Fuente: The Hacker News

Descubierto troyano multifuncional dirigido a Android.

A pesar de que el esfuerzo de Google por mantener controlada la presencia de malware dirigido  al sistema operativo Android ha sido bastante efectivo (como evidencia el hecho de que en las últimas semanas no se haya escuchado de algún programa malicioso nuevo para el sistema operativo del robot verde), siempre habrá alguno que logre evadir la cerca. Ese es el caso de un troyano multi-funcional que puede enviar mensajes de texto a servicios de pago y descargar e instalar otros malware de forma autónoma, para luego compartirlos vía Blue-tooth y hasta ejeutar comandos a nivel de consola.  Se trata de troyano Backdoor.AndroidOS.Obad.a, que posee un código único de encripción y funciona gracias aun error de tipo DEX2JAR y dos vulnerabilidades de Android: El procesamiento del archivo AndroidManifest.xml y otra vulnerablidad que permite al troyano obtener privilegios de administrador sin que el usuario lo sepa. Por el momento no se ha diseminado forma amplia y como siempre, para que este tipo de malware tenga éxito, depende del eslabón más débil en la cadena de seguridad: El usuario. Las recomendaciones siguen siendo las usuales: No descargue aplicaciones de fuentes fuera de Google Play si no está seguro de lo que hace, ni aplicaciones de contenido cuestionable o con promesas muy buenas para ser verdad.

Fuente: Pocketnow

Share

¿Qué ocurrió con el dominio .su de la extinta Unión Soviética?

Entre el inmenso y vasto espacio del Internet, existe un dominio de alto nivel (TLD) del que posiblemente muy pocos se acuerdan o ni siquiera saben que existe: El dominio .su, asignado a la extinta Unión Soviética hace 23 años. Curiosamente, mientras los dominios de otros países como Alemania Oriental o Yugoslavia desaparecieron junto a sus antiguos dueños, el de la Unión Soviética sigue activo, sirviendo de refugio a hackers y “scammers” que han tenido que abandonar el dominio .ru de Rusia a raíz de regulaciones más estrictas impuestas por sus administradores. Entre 2011 y 2012 la cantidad de sitios que utilizan el dominio .su se había duplicado, destacándose sitios como Exposed.su (que supuestamente publicaba los expedientes crediticios de figuras políticas y artistas, actualmente extinto) y  la presencia de botnets. El dominio es administrado por la organización sin fines de lucro Foundation for Internet Development, con sede en Moscú desde el 2007 y cuenta con unos 120,000 sitios adscritos al dominio, la mayoría de éstos legítimos (por ejemplo, chronicle.su, un sitio que parodia noticias y está en inglés). Por esta razón los administradores planifican establecer políticas más estrictas a partir de este verano con las que se espera controlar su uso por sitios de reputación dudosa.

Fuentes: Gizmodo, The Guardian

Share

Spyware dirigido a OS X que trata de evadir el Gatekeeper.

Cuando se menciona la palabra spyware generalmente en el último sistema en que se piensa es en OS X. Existe el mito de que las Mac son invulnerables al malware, algo que ha quedado desmentido por la aparición reciente de troyanos y otros malwares dirigidos al sistema operativo de la manzana. Y si bien es cierto que todavía Windows sigue siendo el blanco preferido de los programadores de malware, la reciente popularidad de OS X le está convirtiendo en un blanco atractivo para los hackers. Tan reciente como esta semana se descubrió un spyware (programa que accede a nuestro sistema de forma sigilosa, casi siempre oculto detrás de otra aplicación) en una computadora en la conferencia Oslo Freedom Forum. Al programa en cuestión se le ha dado el nombre OSX/KitM.A y su descubridor fue Jacob Applebaum; el objetivo de OSX/KitM.A es espiar activistas y su forma de contagio es la táctica de phishing mediante correos electrónicos.  Una vez instalado en la computadora, actúa como un backdoor que resulta es fácil de  identificar (al menos para el observador) en las carpetas de aplicaciones, descargas o la de Home con el nombre macs.app. Una vez identificado,  podemos eliminarlo borrándolo. Lo interesante de este spyware es que su codigo tiene la firma de un Apple Developer ID asociado a un tal Rajender Kumar y con esto lo que se pretende es que el malware pueda evadir el método que utiliza OS X para evitar la ejecución de aplicaciones que no provengan del Appstore: Gatekeeper. Esto puede abrir la puerta a un sinnúmero de posibilidades en nuevas formas de vulnerar al sistema que tradicionalmente ha sido visto como la alternativa segura a Windows, algo que de por sí considero una vulnerabilidad indirecta: Pensar que nuestro sistema operativo es impenetrable y que podemos navegar por el Internet sin tomar ninguna precaución. Ante todo, mucho cuidado con los correos electrónicos que recibamos y los sitios web que visitemos.

Fuente:  The Hacker News

Share

Visualización de un ataque DDoS.

Un ataque DDoS consiste en enviar una cantidad masiva de peticiones (de servicios o recursos), que pueden rondar en los millones por segundo, a un servidor de manera intencional, teniendo como resultado la sobrecarga de éste y su consecuente caída o colapso. Es una práctica que ha tomado mucho auge en los últimos años y que en muchos casos se vale de un botnet, una red compuesta de computadoras alrededor del mundo que han sido comprometidas mediante algún malware (generalmente un troyano), otorgándole el control de las mismas a un ente externo (el borherder) que las utiliza para enviar spam o como trampolín para un ataque DDoS. Utilizando el software Logstalgia, diseñado para visualizar tráfico de datos en una red, podemos observar un ataque DDoS de forma gráfica, algo que nos de una idea más clara de esta operación y sus efectos. En este ejemplo el ataque se produjo hacia los servidores de donde es descargada la aplicación VideoLAN.

Fuentes: Gizmodo, Puntogeek

 

 

Share

Se produce uno de lo ataques cibernéticos más grandes en la historia del Internet.

Lo que comenzó como una ataque hacia la compañía Spamhaus, dedicada a crear listas de correos electrónicos de potenciales spammers para venderlas a proveedores de servicios de Internet (ISP’s), se convirtió en lo que  expertos consideran uno de los más grandes ataques en Internet. Según Alex Fitzpatrick de Mashable, el ataque en cuestión provocó que se experimentara lentitud en la velocidad del Internet en todo el mundo, pero en especial en Europa. El ataque del tipo DDoS (Distributed Denial of Service) se produce cuando Spamhaus incluyó en sus listas de potenciales spammers a la empresa Cyberbunker; una vez Spamhaus detecta el ataque, contrata a la compañía CloudFlare  para mitigar el ataque. CloudFlare responde esparciendo los ataques, que típicamente tienen un límite en tamaño de 100 gigabits por segundo, a través de múltiples Data Centers. Pero en este caso, el tamaño de los ataques creció hasta 300 gigabits por segundo y comenzó a dirigirse a diferentes blancos, esto al percatarse los atacantes de la acción de CloudFlare. La red de CloudFlare cayó víctima de los ataques gracias a una vulnerabilidad del Domain Name System o DNS (que traduce direcciones de páginas web en direcciones IP). Los atacantes falsifican una dirección IP (spoofing), envían un pedido a lo que se conoce como un DNS Resolver, que tiene acceso a grandes cantidades de ancho de banda y como consecuencia la respuesta se envía de forma amplificada, creciendo el tamaño del ataque. De los Resolvers disponibles se estima que 21.7 millones son abiertos, detectables y manipulables (los administradores de redes pueden verificar en openresolverproject.org si su red utiliza un Resolver abierto. De obtener una respuesta positiva, su red pudiera estar siendo utilizada para lanzar ataques. Este incidente ha encendido una luz roja para que las empresas de seguridad atiendan con más premura el asunto de los DNS abiertos que pueden ser utilizados para este tipo de ataques.

Fuente:  Mashable-Inside the Biggest Cyberattack in History

Share

Archivos

La Blogosfera

Conoce Otros Blogfesores

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 45 seguidores