• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

En la economía móvil y de cloud actual, las defensas perimetrales dejan de tener sentido, ya que los atacantes están desviando su objetivo de la tecnología a las personas. Las amenazas en seguridad explotan actualmente las vulnerabilidades humanas, en vez de las técnicas, y más del 99% de los ciberataques requiere de la intervención de los usuarios.

El phishing de credenciales es uno de los ejemplos que entraña más riesgos, porque hoy esas credenciales son mails, datos confidenciales, agenda y contactos, es decir, las claves de todo en el entorno empresarial. Además, este tipo de ataques va en aumento: según el último informe State of the Phish de Proofpoint, un 83% de los encuestados afirmó haber sufrido phishing en 2018, lo que supone una subida del 76% respecto a 2017, mientras que los casos de credenciales comprometidas se incrementaron un 70% en solo un año y un 280% desde 2016

La tecnología de ciberseguridad disponible puede ayudar a descubrir quiénes son las personas más atacadas dentro de una organización, a los que llamamos VAP (Very Attacked People), y ofrecerles protección para el correo electrónico, como principal vector de los ataques. Esta sólida defensa debe complementarse también con sesiones de formación para empleados, a fin de que puedan detectar y reportar mensajes fraudulentos, entre otras amenazas mediante ingeniería social.

Esta concienciación sobre ciberseguridad para empleados suele abordarse de manera diferente en cada organización. Desde Proofpoint, se anima a las empresas a que elaboren su propia estrategia en torno a estas iniciativas de educación para el usuario, a fin de que incorporen elementos específicos de su cultura corporativa. Aun así, existen determinados aspectos que son comunes entre los programas de mayor efectividad en esta materia, y que pueden tomarse como referencia a la hora de planificar estas acciones:

Hacer partícipe a toda la empresa

Contar con un enfoque integral es la mejor manera, si no la única, de construir una cultura de ciberseguridad en toda la organización, en la que las mejores prácticas en este sentido formen parte del día a día de los usuarios finales. Si se excluye a ciertos grupos o individuos de estos programas de formación, resultará más difícil fomentar entre los empleados esa conciencia cibernética a todos los niveles por igual.

Comunicar de forma clara

Los ejecutivos de nivel C, miembros de la junta directiva y otros gerentes deben estar al tanto del programa de ciberseguridad con cierta anticipación y periodicidad. No obstante, también se debe considerar a los usuarios finales como parte implicada en este proceso, algo que muchas organizaciones pueden pasar por alto.

Es fundamental, por tanto, que los empleados comprendan el valor y el objetivo de esta formación antes de iniciar cualquier sesión de capacitación. Además, a medida que se desarrolla este programa, los usuarios finales deben tener claro qué está ocurriendo y, lo más importante, por qué sucede y cuál es su papel al respecto.

Medir el grado de vulnerabilidad

Al establecer un sistema de evaluación por puntuaciones sobre los conocimientos en ciberseguridad y la susceptibilidad al phishing, se puede saber cuál es el punto de partida del usuario y su progreso dentro del programa de formación de ciberseguridad. Asimismo, antes de comenzar con la capacitación de los empleados, conviene tener en cuenta otras métricas, como índices de infecciones por malware o ataques de phishing. Poco a poco, debería constatarse una reducción de estos incidentes entre los empleados, lo que además indicaría el éxito del plan formativo.

Evaluar y formar a los empleados continuamente

Para cambiar la mentalidad de los usuarios, así como reducir posibles errores y riesgos asociados a su comportamiento, la ciberseguridad debe convertirse en una práctica habitual dentro de la organización. Si se realizan simulaciones de phishing o sesiones de formación puntualmente, solo una o dos veces a lo largo del año, no se consigue concienciar a los empleados acerca de las mejores prácticas en ciberseguridad. Para que sea verdaderamente efectivo, estos necesitan disponer de recursos educativos de forma regular y así poder aprender conforme avanza el tiempo.

Enlazar la evaluación con la formación

En nuestra metodología de formación continua, hacemos una clara distinción entre los periodos de evaluación y formación. Estas dos acciones funcionan mejor si se llevan a cabo conjuntamente. Por ejemplo, una simulación de ataque de phishing puede ser una manera excelente de motivar a los empleados para que realicen un curso de capacitación. Sin embargo, es imprescindible que estas iniciativas queden vinculadas entre sí con un margen estrecho de tiempo, ya que, si se envía una prueba y, meses después, se programa una formación al respecto, se pierde la conexión lógica entre ambas. A partir de ahí, las organizaciones deben extraer datos de valor y obtener el conocimiento necesario para tomar mejores decisiones en ciberseguridad.

Reforzar mensajes clave

Cuando se revisa la ciberseguridad con mayor regularidad y se incorporan sesiones de formación continuamente, estamos ayudando a que los empleados tengan en mente cuáles son las mejores prácticas frente a amenazas. Si no se refuerzan los mensajes clave, siempre tendremos la sensación de partir de cero, en vez de construir sobre una base de conocimiento en la materia.

Motivar al usuario final

Varias organizaciones están utilizando técnicas de gamificación para generar un mayor compromiso y mejores resultados en sus empleados. En Proofpoint creemos que este sistema de recompensas y refuerzos en positivo aumenta el interés y la participación de los usuarios. De hecho, nuestra plataforma educativa sobre seguridad está diseñada para ayudar a las empresas a la hora de hacer un seguimiento sobre la evolución de sus empleados a nivel individual o por departamentos, así como para aplicar de forma sencilla la gamificación en sus programas.

A medida que las ciberamenazas crecen en alcance y sofisticación, las organizaciones tienen que establecer como prioridad la formación a sus empleados en este tema, ayudándose de los anteriores consejos o bien creando una guía propia, para conseguir hacer frente a los atacantes en su intento de comprometer la seguridad del usuario final.

Firmado: Fernando Anaya. Responsable de desarrollo de negocio de Proofpoint para España y Portugal.

 

por Redacción Muy Seguridad Mon, 17 Jun 2019 15:28:33 +0000

seguridad de Gmail

Mejorar la seguridad de Gmail es una tarea recomendable para los usuarios del correo electrónico web de Google, el más usado de un segmento que sigue siendo una vía preferente de entrada de malware.

La cantidad de amenazas es inmensa y si bien las vías de entrada de malware se han ampliado en los últimos años (redes sociales; páginas web, aplicaciones falsas; mensajería instantánea, etc) los piratas informáticos siguen utilizando el correo electrónico para realizar campañas de spam, phishing o directamente introducir troyanos o spyware en los archivos adjuntos o en las imágenes que acompañan al mensaje.

Google y el resto de tecnológicas se esfuerzan por incluir nuevos métodos de protección aunque parece que los ciberdelincuentes siempre van un paso por delante. El usuario tiene mucho que decir para aumentar la seguridad de Gmail (y en general de su cliente de correo electrónico) simplemente siguiendo unos sencillos pasos como los que te proponemos:

Activa la autenticación en dos pasos

El cliente de correo electrónico web de Google fue de los primeros en añadir técnicas como la doble autenticación (autenticación de dos factores o verificación en dos pasos). Una técnica que añade una capa adicional de seguridad al requerir un segundo código de acceso (enviado normalmente por SMS al móvil del usuario) para complementar los métodos -inseguros- de nombre y contraseña. Su activación es sencilla:

  • Entra en Gmail y pincha sobre la imagen de tu cuenta para acceder a la misma.
  • Accede a Inicio de sesión y seguridad < Inicio de sesión en Google.
  • Bajo el método de contraseña, selecciona la verificación en dos pasos.
  • Introduce tu número teléfono y selecciona un método de verificación.

Cifra tus mensajes

Google usa automáticamente conexiones cifradas HTTPS en el envío y recepción del 100 por cien de los mensajes de su servicio de correo electrónico web Gmail, sin importar el dispositivo utilizado (ordenador, tablet, smartphone…) o el tipo de red, incluyendo redes privadas o Wi-Fi públicas. Además, realiza advertencias que alertan a los usuarios cada vez que llega un correo electrónico a través de una conexión no cifrada. Estos correos electrónicos pueden ser fácilmente secuestrados y / o alterados.

Una base la de HTTPS muy adecuada que aumenta la línea de base para la seguridad pero a nivel de conexión. Si te preocupa la privacidad y quieres realmente cifrar tus mensajes de correo y alejarlos de terceros (incluyendo el mismo Google) puedes utilizar herramientas como Mailvelope, una extensión de Chrome que se integra directamente en Gmail (así como GMX, Outlook, Yahoo!, y otros), simplificando el proceso de cifrado y descifrado de mensajes de correo electrónico.

Otras herramientas que puedes utilizar es Secure Mail for Gmail, una extensión Open Source que hace exactamente lo que dice y para el que te ya ofrecimos una guía de uso.

Comprueba la actividad de la cuenta

En la parte inferior-derecha de la interfaz web de Gmail, encontrarás un pequeño fragmento de texto que muestra la última actividad de la cuenta y ofrece un enlace con “información detallada”. No está demasiado visible ni es algo que conozcan los usuarios de forma general.

Pero puede ser muy útil para conocer si alguien externo ha accedido a nuestra cuenta. Si accedes a la información detallada, verás las últimas 10 direcciones IP que han accedido a la cuenta. La mayoría corresponderán a tu propia IP pero si ves alguna distinta, puede señalar que la cuenta ha sido violada.

Si accedes a este apartado regularmente -por ejemplo una vez por semana- puedes controlar actividades potencialmente sospechosas en la cuenta. En la parte inferior de esta pantalla se muestra tu IP por si no la conoces y también puedes activar alertas de actividad inusual.

Observa buenos hábitos con las contraseñas

La historia de las contraseñas y su inseguridad es el cuento de nunca acabar pero hasta que nuevas tecnologías que deben venir de la identificación biométrica o de sistemas combinados no estén plenamente extendidas, la típica contraseña sigue siendo el método a utilizar para mejorar la seguridad de Gmail y en general de cualquier servicio en Internet.

Un método intrínsecamente difícil para los humanos ya que hay que crear, recordar y administrar contraseñas largas y complejas, y de ahí la conveniencia de utilizar gestores de contraseña u observar una serie de normas para su creación que se ha repetido hasta la saciedad. Entre ellas:

  • Aquí el tamaño sí importa, cuanto más larga mejor
  • Evita nombres comunes y personales. No uses series o repeticiones, fáciles de hackear.
  • Combina números, letras, mayúsculas y minúsculas, y caracteres especiales
  • Utiliza distintas contraseñas para los servicios de Internet que utilices
  • Especialmente deben ser únicas las destinadas a banca electrónica o comercio electrónico
  • Modifícalas (especialmente las importantes cada cierto tiempo)

Utiliza el modo incógnito

Aunque el móvil personal es un dispositivo de uso hoy para revisar nuestro correo, todavía se siguen utilizando ordenadores compartidos, sea en bibliotecas, cibercafés, o incluso en el equipo de un amigo.

Por ello, utiliza el “modo incógnito” para iniciar sesión en Gmail en un ordenador compartido. Hablamos de acceso a Chrome. El equivalente en otros navegadores es el modo de “navegación privada”. La cuenta todavía podría ser comprometida con keyloggers. Ten cuidado con ellos.

Más consejos para mejorar la seguridad de Gmail

Al igual que en cualquier cliente de correo electrónico que utilicemos, hay normas generales de uso que reforzarán nuestra seguridad y cuenta. Seguro que las conoces pero no está de más recordarlas. Algunas de las básicas:

  • Precaución en la apertura de correos electrónicos de destinatarios desconocidos
  • Si no te fías, elimínalos directamente sin abrirlos.
  • Si tienes dudas, activa la vista previa antes de su apertura.
  • Cuidado con las imágenes incluidas en correos no seguros y de destinatarios conocidos. Desactívalas. No pinches sobre ellas.
  • Tampoco sobre los enlaces incluidos en el cuerpo del mensaje de destinatarios desconocidos.
  • Jamás. Jamás descargues y mucho menos ejecutes un archivo adjunto en un correo electrónico de un remitente del que no estés absolutamente seguro.
  • Cuidado con los correos falsos de sitios web comerciales reales. Especialmente los que se hacen pasar por tu banco o tienda electrónica en ataques de phishing.
  • Nunca respondas a los correos anteriores. Nunca escribas y reenvíes (aunque te lo pidan) tus contraseñas, pines ni mucho menos datos de tarjetas de crédito.
  • Gmail hace un buen trabajo con la carpeta de spam pero siempre incluye algún mensaje que nos puede interesar. Cuidado al revisar esta carpeta.
por Juan Ranchal Sun, 16 Jun 2019 22:02:32 +0000

Fallo crítico en Evernote

Una fallo crítico en Evernote, a través de la extensión Evernote Web Clipper en el navegador Chrome, podría haber permitido a un atacante robar datos personales, incluidos correos electrónicos y transacciones financieras de los usuarios.

Evernote Web Clipper es una extensión tremendamente popular usada por más de 4,6 millones de usuarios de Evernote, seguramente la aplicación de toma de notas más importante de la industria. Descubierto por Guardio, el fallo crítico en Evernote (CVE-2019-12592) residía en las formas en que la extensión Web Clipper interactúa con sitios web, iframes y scripts de inyección, y finalmente rompe la política del mismo origen del navegador (SOP) y los mecanismos de aislamiento del dominio.

Según los investigadores, la vulnerabilidad podría permitir que un sitio web controlado por un atacante ejecute código arbitrario en el navegador en el contexto de otros dominios en nombre de los usuarios, lo que lleva a un problema de secuencias de comandos entre sitios universales (UXSS o Universal XSS). «Tras una explotación exitosa, una visita a un sitio web controlado por los ciberdelincuentes, comprometería los datos privados del visitante de los sitios web de terceros afectados», indican.

Los investigadores han publicado una prueba de concepto de la explotación de la vulnerabilidad. Como en muchos otros casos, exige previamente persuadir a un usuario para que vaya al sitio web malicioso preparado por el atacante, seguramente utilizando técnicas de phishing o spam desde un correo electrónico o un enlace de redes sociales. Ese sitio web malicioso luego carga silenciosamente etiquetas de iframe legítimas de sitios web específicos.

Evernote (como muchos grandes servicios) se ha enfrentado a incidentes de seguridad a lo largo de los años. En 2013, atacantes desconocidos comprometieron la información de los usuarios, como las direcciones de correo electrónico y las contraseñas de acceso. Y en 2014, Evernote fue víctima de un ataque distribuido de denegación de servicio (DDoS) que cerró el servicio durante horas. Otra cuestión a analizar es el problema de las extensiones. Agregan muchas funciones útiles a un navegador web, pero al mismo tiempo, la idea de confiar en el código de terceros es mucho más peligrosa de lo que la mayoría de las personas cree.

Los investigadores revelaron internamente el fallo crítico en Evernote el 27 de mayo y la compañía publicó una solución el 4 de junio. Se insta a los usuarios de Evernote a que actualicen a la versión 7.11.1 o posterior.

por Juan Ranchal Thu, 13 Jun 2019 22:03:15 +0000

Los dispositivos de Internet de las Cosas figuran entre los objetivos favoritos de los hackers para, tras atacarlos, acceder a una red. Su seguridad suele pasar desapercibida, por lo que en muchos casos, además de ser objetivos preferidos, son también fáciles para los hackers. Sobre todo, las cámaras de seguridad, que ya son, según un estudio de la compañía de ciberseguridad SAM Seamless Network, receptoras del 47% de ataques en las redes domésticas. Estas tienen de media 17 dispositivos de IoT conectados en Estados Unidos y 14 en Europa.

No importa que la variedad y cantidad de dispositivos de Internet de las Cosas que se conectan a las redes domésticas vaya en aumento desde hace ya algún tiempo. Las cámaras conectadas a Internet sufren el mayor número de ataques.

Muchos de los ataques que sufren son bastante sencillos, y tienen como objetivo saltarse la seguridad de los modelos más económicos, que son también los que suelen tener un menor nivel de protección. Además, gran cantidad de modelos se basan en los mismos planos y esquemas, lo que hace que si un modelo tiene un problema de seguridad, lo tengan muchos modelos más.

Los hubs inteligentes y los dispositivos de almacenamiento conectados a la red son los dispositivos de IoT que siguen a las videocámaras como objetivo de los hackers. Reciben, respectivamente, el 15% y el 12% de los ataques. Por detrás de estos dispositivos están las impresoras, los televisores inteligentes y los teléfonos IP.

El problema de seguridad que presenta este tipo de dispositivos se ve acentuado por su seguridad de fábrica. Muchos cuentan con vulnerabilidades de fábrica, mientras que otros cuentan con contraseñas de acceso bastante sencillas, y que además no pueden cambiarse. Además, en el caso de que sí permitan su cambio, la necesidad de cambiar la contraseña suele pasar desapercibida de cara a sus propietarios, facilitando el acceso de los hackers a las redes a las que se conectan.

Según apuntan desde Sam Seamless Network, los dispositivos de Internet de las Cosas sufren una media de cinco ataques al día. Cuando más los sufren es alrededor de la medianoche, dado que la mayoría se encuentra ya durmiendo en las casas y los ataques pueden pasar desapercibidos durante varias horas.

Diversas entidades y organismos internacionales, como la Unión Europea, así como los gobiernos de países como Reino Unido y Estados Unidos, han empezado a interesarse por la amenaza para la seguridad de las redes que plantean los dispositivos de Internet de las Cosas. Pero deben tomarse ya medidas. Según Sivan Rauscher, una de las fundadoras de SAM Seamless Network, «necesitamos investigaciones profundas y continuas para comprender de dónde vienen las vulnerabilidades. Las regulaciones y políticas gubernamentales que se avecinan sobre Internet de las Cosas y dispositivos conectados atraerán más atención sobre el problema, pero no son suficientes«.

por Redacción Muy Seguridad Thu, 13 Jun 2019 13:00:18 +0000

Vulnerabilidad en Vim

El investigador de seguridad Armin Razmjou descubrió recientemente una vulnerabilidad de alta gravedad (CVE-2019-12735) en Vim y Neovim que permite ejecutar comandos en el sistema operativo y tomar el control del equipo de forma remota.  

Vim es una potente aplicación de edición de texto que está presente en todos los sistemas UNIX y en muchas distribuciones GNU/Linux que la ofrecen preinstalada, permitiendo a los usuarios crear, ver o editar cualquier archivo, incluidos texto, scripts de programación y documentos.

Dado que Neovim es solo una versión extendida de Vim, con una mejor experiencia de usuario, complementos y GUI, la vulnerabilidad de ejecución de código también reside en ella. El fallo reside en la manera que el editor maneja los «modelines«, una característica que está habilitada por defecto para encontrar y aplicar automáticamente un conjunto de preferencias personalizadas mencionadas por el creador de un archivo acerca de las líneas de inicio y finalización del documento.

Aunque el editor solo permite un subconjunto de opciones en modelines (por razones de seguridad) y usa protección sandbox si contiene una expresión insegura, Razmjou encontró que podía usar el comando «:source!» (con un modificador!) para saltar la caja de arena. 

Por lo tanto, con solo abrir con Vim o Neovim un archivo de aspecto inocente especialmente diseñado, podría permitir a los atacantes ejecutar secreta y remotamente comandos Linux para tomar el control de la máquina. El investigador ha publicado dos pruebas de concepto de este tipo de ataques.

Vim (parche 8.1.1365) y Neovim (parche v0.3.6) han sido actualizados para solucionar la vulnerabilidad. Se recomienda a los usuarios aplicarlos tan pronto como sea posible. Además, el investigador recomienda:

  • Deshabilitar la función modelines.
  • Deshabilitar «modelineexpr» para no permitir expresiones en modelines.
  • Usar «securemodelines plugin», una alternativa segura a los modelines de Vim.
por Juan Ranchal Tue, 11 Jun 2019 22:03:13 +0000

Una de las novedades más interesantes que Apple presentó en su WWDC fue sin lugar a dudas, «Sign in with Apple», un sistema de identificación de usuarios, con los que el que los de Cupertino quieren competir con los sistemas de identificación que desde hace años proponen Google o Facebook.

Tal y como explicó Craig Federighi en su puesta en escena, a diferencia de su competencia, el sistema de Apple lo apuesta todo a la privacidad. El mensaje que lanzan a sus usuarios una vez más, no puede ser más claro: tus datos son tuyos, de nadie más.

¿Pero es realmente así? ¿Qué implementa el nuevo sistema que lo hace diferente? Aaron Parecki, máximo responsable del desarrollo del protocolo de identificación OAuth 2.0, lo explica de esta forma: «La mayoría de estos sistemas, como el de Google o de Facebook que se implementan en las distintas web o Apps, entregan a esas aplicaciones tu nombre de usuario en su servicio y habitualmente también tu dirección de e-mail. De esta forma, resulta habitual que muchas de estas aplicaciones vendan estas direcciones de correo electrónico a todo tipo de anunciantes, de manera que por un lado consiguen monetizar el desarrollo de su App y por otra, inundan a sus usuario con mensajes no solicitados».

Como explica este experto, a nivel técnico la solución de Apple funciona de una forma muy diferente: «En el sistema de Apple en cambio, la App o la web que implementa el sistema no recibe ni una dirección de correo electrónico ni un nombre de usuario que resulte identificable. Todo lo que recibe es una opaca cadena de caracteres (del tipo 001473.fe6f33bf4b8e4590aacbabdcb8598bd0.2039), mientras que en vez de una dirección de correo real, reciben una dirección de correo electrónico proxy». En definitiva, el sistema puesto en marcha por Cupertino impide que la App que lo implementa pueda acceder a ningún dato sobre el usuario que se acaba de registrar. ¿Puede enviarle un mail comercial? Sin duda podrá hacerlo. La diferencia es que nunca sabrá «quién está detrás».

Esto por supuesto, tiene una doble lectura. Por un lado los usuarios ganan en privacidad y se aseguran que sus datos personales no acaban en otras manos. Pero por el otro, las apps y las webs interesadas en poner en marcha este tipo de pasarelas, pierden un importante aliciente a la hora de apostar por Apple. Y es que si ni siquiera van a poder identificar a sus «clientes»… ¿qué posible interés podrían en tener implementar el sistema?

En este sentido, con «Sign in with Apple», los de Cupertino corren el riesgo de vivir un nuevo momento «Siri»: presentar una solución interesante pero que debido las limitaciones que se autoimpone, acaba bien siendo superado claramente por la competencia o bien, como podría ser este caso, acabar convirtiéndose en un producto irrelevante. No sería la primera vez que le ocurre. ¿Alguien se acuerda de la red social Ping?

Pero Apple no quiere un nuevo Ping. Y menos en un apartado tan sensible como la gestión y el tratamiento de unos datos que no olvidemos, pertenecen a sus clientes. Así que consciente de que existe un riesgo real de que nadie quiera utilizar su sistema, Apple ha decidido pasar al ataque.

En lo que ha sido una decisión cuanto menos controvertida, ha anunciado que obligará a los desarrolladores que incluyan las opciones de Google o de Facebook en sus Apps, a que también hagan lo propio con la que acaban de presentar. De esta forma, afirman, el usuario siempre tendrá una opción que asegure que su privacidad está garantizada.

por Rodolfo Tue, 11 Jun 2019 10:55:42 +0000

malware Triada

Un grupo desconocido de ciberdelincuentes logró instalar el malware Triada en smartphones Android antes de abandonar las fábricas de algunos fabricantes chinos, han confirmado investigadores de Google.

Triada es un malware de puerta trasera descubierto por Kaspersky en 2016 y definido como «uno de los troyanos móviles más avanzados» que los analistas de la firma de seguridad habían encontrado. Una vez instalado, el propósito principal de Triada era instalar aplicaciones que pudieran usarse para enviar spam y mostrar anuncios.

Empleó un impresionante conjunto de herramientas, que incluía ataques de rooting que evitaban las protecciones de seguridad incorporadas en Android y los medios para modificar el todopoderoso proceso Zygote del sistema. Eso significaba que el malware podía alterar directamente cada aplicación instalada. Triada también se conectó a no menos de 17 servidores de comando y control.

En julio de 2017, la firma de seguridad Dr. Web informó que sus investigadores encontraron que Triada estaba incorporada en el firmware de varios dispositivos Android , incluidos Leagoo M5 Plus, Leagoo M8, Nomu S10 y Nomu S20. Los atacantes utilizaron la puerta trasera para descargar e instalar módulos escondidos. Debido a que la puerta trasera estaba incorporada en una de las bibliotecas del sistema operativo y ubicada en la sección del sistema, no se pudo eliminar utilizando métodos estándar, según el informe.

Dos años después, Google ha confirmado la información aunque sin nombrar modelos y fabricantes. El malware se instaló mediante un ataque a la cadena de suministro en la imagen del firmware final utilizada en los dispositivos afectados.

El año pasado, Google implementó un programa que requiere que los fabricantes envíen imágenes de compilación nuevas o actualizadas para un conjunto de pruebas de compilación. «Una de estas pruebas de seguridad analiza las PHA preinstaladas [aplicaciones potencialmente dañinas] incluidas en la imagen del sistema».

malware Triada

«Si encontramos una PHA en la compilación, trabajamos con el socio OEM para remediar y eliminarla de la compilación antes de poder ofrecerla a los usuarios». Aún así, el informe reconoce que, a medida que Google refuerza la seguridad en un área, los atacantes seguramente se adaptarán explotando nuevas debilidades como ha sucedido con las variantes de Triada.

«Triada fue incluido por un vendedor procedente de China en la imagen del sistema como un código de terceros para funciones adicionales solicitadas por los fabricantes de dispositivos, infectando todo el proceso», explican. Si aumentar la seguridad en Android es obligatorio cuando está en manos del usuario, no digamos nada antes de salir de la fábrica donde debe existir un control exhaustivo que en el caso que nos ocupa no hubo.

por Juan Ranchal Sun, 09 Jun 2019 22:03:36 +0000

A pesar de que Firefox sigue acaparando bastante protagonismo en los medios, cuando se miden las cuotas de uso se puede ver que está más cerca de luchar contra la irrelevancia que de competir contra Chrome. El navegador de Google se muestra como el claro dominador de este segmento del mercado desde hace tiempo, sobre todo por la falta de un competidor que al menos ensombrezca su casi 70% de cuota.

Una de las razones de por qué estamos en esta situación ha sido porque Mozilla ha tardado demasiado en comenzar la implementación de Quantum, ya que Gecko llevaba años sin ser un motor competitivo en la era de los procesadores multinúcleo. Esto ha convertido la mejora del rendimiento de Firefox en una prioridad absoluta, pero si la fundación quiere empezar a remontar en términos de cuota de mercado tiene que aportar algo más que un buen rendimiento, y aquí es donde entra en juego la privacidad de los usuarios.

Mozilla ha ido añadiendo nuevas características de privacidad a Firefox con el fin de mostrarlo como una alternativa realmente diferente y con valor añadido frente a Chrome. Tras la inclusión de diversas opciones que ofrecen facilidades para bloquear rastreadores y cookies, la fundación anunció ayer que su navegador bloqueará por defecto todas las cookies de terceros mediante la característica llamada “Protección de rastreo mejorada”. Esta medida está orientada sobre todo a ofrecer una defensa frente a situaciones como la derivada del escándalo de Cambridge Analytica y Facebook, ya que según Mozilla, debido a sucesos como ese “la gente se siente cada vez más vulnerable”. Parece que para tener esta característica habilitada por defecto es necesario descargar y configurar Firefox partiendo de cero.

Además del bloqueo por defecto de las cookies de terceros, la fundación ha anunciado la disponibilidad de la última versión de la extensión Facebook Container, la cual está orientada a impedir que la conocida red social rastree a través de la web. A partir de ahora la mencionada extensión evitará que los usuarios sean rastreados a través de sitios web que tengan elementos de Facebook integrados, como los botones de Me Gusta (Like) y Compartir (Share). Con esto se dificulta la creación de “perfiles en la sombra” generados con datos de personas que no están registradas en la red social.

A todo lo mencionado hasta aquí se suma el renombramiento del gestor de contraseñas de Mozilla para Android e iOS, Firefox Lockbox, que ha pasado a llamarse Firefox Lockwise. A la aplicación para móviles se ha sumado una extensión para el navegador de escritorio con el fin de ofrecer soporte a través de distintos tipos de dispositivos. Desde MuyComputer hacemos hincapié en recomendar la utilización de este tipo de soluciones para proteger las cuentas de los usuarios.

Está claro que la privacidad es la gran apuesta de Mozilla para hacer frente a Google, algo que queda reforzado si tenemos en cuenta las intenciones del gigante del buscador de imponer cómo debe ser gestionado el despliegue de la publicidad a través de Chrome. Veremos si todos estos movimientos terminan generando buenos resultados a largo plazo para la fundación.

por Redacción Muy Seguridad Fri, 07 Jun 2019 14:16:28 +0000

BlueKeep

La Agencia de Seguridad Nacional estadounidense (NSA) ha emitido una alerta a los usuarios de Windows para que instalen los últimos parches de seguridad contra BlueKeep, una amenaza que a su juicio puede provocar una situación similar a la de WannaCry, el ransomware más peligroso de la historia que afectó a miles de máquinas en 160 países después de aprovechar una vulnerabilidad parcheada dos meses antes. 

BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se pueden operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.

Microsoft ya parcheó esta vulnerabilidad en su actualización de seguridad mensual de mayo y recomendó la actualización, pero un investigador de seguridad externo ha descubierto que un millón de máquinas siguen siendo vulnerables. Como mínimo, porque hay que sumar todas las que se encuentren en redes cerradas que el investigador no pudo analizar.

La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.

«Hemos visto gusanos de computadora devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta fallo», explica en la alerta la NSA.

Medidas contra BlueKeep

Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:

  • Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.
  • Habilitar la autentificación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autentificación de código remoto.
  • Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
por Juan Ranchal Wed, 05 Jun 2019 22:02:46 +0000

El pentesting (conocido habitualmente también como test de penetración) es una de las tareas preferidas para los profesionales de la seguridad informática. Básicamente, consiste en atacar un sistema o una red, con el objetivo de identificar posibles errores, fallos de configuración o vulnerabilidades, de modo que al corregirlos, se puedan prevenir ataques externos.

Los pentatesters también cono conocidos como «hackers éticos» ya que habitualmente ponen sus conocimientos al servicio de las empresas, que cada vez más, demandan este tipo de perfiles profesionales. Para desarrollar su trabajo, utilizan todo tipo de herramientas: analizadores de puertos, interceptadores de tráfico web, inyectores de código, etc. En este artículo especial os hablamos de diez de las más conocidas y populares.

Kali Linux

No es la primera vez que hablamos de Kali Linux en MuySeguridad. Ya os contamos que más que una herramienta de intrusión, lo que Kali Linux nos ofrece es una distribución de Linux completa orientada a la auditoría de seguridad informática y el hacking ético. No es la única por supuesto (ahí están ejemplos como el de Parrot OS) pero sin duda es la más conocida.

En su última versión, Kali Linux incluye novedades como la actualización del kernel Linux 4.19 y la suite de pentesting Metasploit 5.0, además de mejoras específicas de la edición ARM y dispositivos concretos como Raspberry Pi. Más allá de lo anterior, el conjunto de herramientas que ofrece es realmente completo.

En su versión «out of the box», Kali Linux ofrece a los usuarios más de 300 herramientas de pentatesting y seguridad, si bien está más pensado para atacar antes que defender una red informática.

nmap

nmap (network mapper) es una de las grandes veteranas del sector. Este escáner de puertos es una de esas herramientas que forman parte del ABC de cualquier auditor de sistemas.  Algunas de las respuestas que proporciona son las siguientes: ¿qué puerto están abiertos en una máquina? ¿qué es lo que hay detrás de esos puertos?

Acceder a esa información es clave en las primeras fases de trabajo de cualquier pentatester. Utilizarla equivale a llamar a la puerta de una máquina que nos interesa y preguntar…¿hay alguien ahí? ¿quién es? En este sentido, tiene soporte para llamadas ping, es capaz de detectar protocolos de servicio y las versiones de las aplicaciones que se encuentran detrás de cada puerto o acceder al ID de un dispositivo.

Metasploit

Metaploit es otra de esas navajas suizas que tiene que tener a mano cualquier pentatester que se precie de serlo. Su objetivo no puede ser más sencillo: encontrar agujeros de seguridad en todo tipo de redes, aplicaciones y dispositivos.

Para ello la herramienta permite en primer lugar cargar el código (o el destino) que se quiere «explotar» para a continuación, someterlo a uno o varios de los más de 900 exploits conocidos que hay registrado en su base de datos.

El uso de Metasploit suele seguir al de nmap (o similar), una vez el investigador ha accedido a más información sobre tipo de sistema operativo, aplicación o dispositivo de hardware que se encuentra «al otro lado». En caso de querer defender una red corporativa, el uso de Metasploit puede ser fundamental a la hora de entender dónde se encuentran los eslabones más débiles.

Wireshark

Wireshark es probablemente, en analizador de protocolos y tráfico de red más utilizado en el mundo. La herramienta captura tráfico en tiempo real y analiza a nivel «microscópico» qué es lo que está pasando.

Aunque los pentatesters lo utilizan fundamentalmente para analizar el tráfico a nivel TCP/IP, la herramienta es capaz de analizar cientos de protocolos, de modo que el investigador pueda conocer qué es exactamente lo que se está moviendo dentro de una red.

sqlmap

No hay nada que le «siente mejor» a una base de datos que una inyección de código SQL. Y para demostrar que estamos en lo cierto, nada mejor que utilizar sqlmap. Si esta herramienta es tan interesante es porque automatiza el proceso de detectar y explotar fallos y brechas de seguridad en servidores  BBDD basados en SQL. Es decir, casi todos.

En este sentido, sqlmap tiene soporte para MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, HSQLDB y H2.

John the Ripper

Si quieres desencriptar ese archivo que «misteriosamente» ha llegado a tus manos, una buena forma de empezar es con John the Ripper.

Aunque siempre dependerá de la potencia de tu GPU, este proyecto open-source no debería de tener demasiados problemas a la hora de «reventar» la mayoría de las «contraseñas populares», realizando un ataque de «fuerza bruta» que se puede prolongar hasta el infinito si tienes paciencia. Evidentemente, no es lo ideal para contraseñas complejas o si el archivo ha sido encriptado con una buena herramienta.

Hydra

Mientras que John de Ripper intenta averiguar la contraseña de ese archivo que de alguna forma has obtenido, Hydra hace lo propio con cualquier servicio on-line. Para ello tiene soporte para protocolos como SSH, FTP, IMAP, IRC entre otros.

Para conseguir que funcione correctamente deberemos seleccionar el servicio que queremos «crackear», poner el nombre de usuario y subir un archivo que contenga las contraseñas que queremos probar.

aircrack-ng

¿Sabes cómo es de segura la red inalámbrica de la empresa? Si quieres descubrirlo y detectar si tiene alguna vulnerabilidad, nada mejor que probar con la herramienta aircrack-ng.

En muchos casos descubrirás que las principales vulnerabilidades se encuentran en una mala configuración de la red, el uso de contraseñas débiles o la falta de actualización del firmware de los dispositivos.

Burp Suite

Ninguna colección de herramientas de pentatesting está completa si no contamos con Burp Suite, uno de los analizadores de vulnerabilidades web más completo. A diferencia de las herramientas de las que hemos hablado hasta ahora, Burp Suite ni es un proyecto open source ni es gratuito.

Más bien todo lo contrario. Hablamos de una herramienta cara (3.999 euros) al año, y que se encuentra solo al alcance de aquellos que hacen de la auditoría de seguridad, su medio de vida. Es cierto que existe también una versión gratuita de la suite (la conocida como community edition), pero carece de la mayoría de los servicios que convierten a Burp Suite en un producto realmente interesante.

Si resulta tan caro es que existe una razón realmente válida. Basta apuntar una página web, para al soltar la «artillería» descubrir en unos segundos si resulta vulnerable ante alguno de los ataques que han sido reportados.

Zed Attack Proxy

Aquellos que no tengan o no quieran invertir 4.000 dólares anuales en Burp Suite, pueden «conformarse» con el gratuito Zed Attack Proxy (ZAP). No es ni tan completo ni tan fácil de utilizar, pero dispone de herramientas que lo convierten en un arma de intrusión igualmente efectiva.

ZAP se configura como un «man in the middle» que se sitúa entre nuestro navegador y la web que nos interesa inspeccionar, capturando el tráfico, para que a continuación podamos inspeccionarlo o modificarlo si descubrimos que reporta alguna vulnerabilidad.

 

por Rodolfo Wed, 05 Jun 2019 10:56:46 +0000