Bienvenido a Indetectables.net

Detectadas 4 extensiones maliciosas de Chrome dedicadas a inyectar JavaScript malicioso

Google intenta por todos los medios evitar que se cuele malware o software con propósitos ilegítimos en sus tiendas, sin embargo, abarcar todo su ecosistema de forma minuciosa es una tarea difícil, por lo que a veces hackers y cibercriminales consiguen colar software malintencionado tanto en la Play Store como en la Chrome Store.

ICEBRG detectó hace unos días cuatro extensiones maliciosas en la Chrome Store que han infectado a alrededor de medio millón de computadoras, entre las cuales hay estaciones de trabajo pertenecientes a organizaciones tan importantes Google, el Equipo de Respuesta Rápida a Emergencias Informáticas de Estados Unidos (US-CERT) y el Centro Nacional de Ciberseguridad de Países Bajos (NCSC-NL). Las extensiones maliciosas son las siguientes:

  • Change HTTP Request Header
  • Lite Bookmarks
  • Nyoogle – Custom Logo for Google
  • Stickies – Chrome’s Post-it Notes

Tras ser publicado el informe de ICEBRG, Google reaccionó rápidamente para eliminar las extensiones de la Chrome Store. Aquí es importante recordar que el gigante del buscador eliminó hace tiempo la posibilidad de instalar extensiones procedentes de terceros en su navegador web, por lo que las posibilidades de que más usuarios acaben infectados por esos malware se reducen drásticamente.

Las extensiones fueron utilizadas para llevar a cabo fraudes y manipulaciones en el SEO, a lo cual se suma la posibilidad de obtener acceso a redes corporativas e información de los usuarios. Para su descubrimiento, los investigadores de ICEBRG llevaron a cabo una investigación relacionada con un brusco incremento en el tráfico de red saliente entre un proveedor de hosting europeo y la estación de trabajo de un cliente.

Las extensiones combinaban dos características diferentes que permitían a los atacantes ejecutar un JavaScript malicioso siempre que un servidor de actualización recibiera una solicitud para recuperar un código JSON que era recibido de una fuente externa. El script malicioso crea un túnel de WebSocket utilizando change-request.info y luego la extensión pasa el tráfico por un proxy mediante Google Chrome.

En lo que se refiere a la navegación web, la víctima verá publicidad que la tentará hacer clic para picar en el fraude de los cibercriminales. Las extensiones también tenían capacidades para infectar los sitios web internos alojados en las redes privadas de la víctimas, eludiendo las protecciones implementadas.

Una de las dos características encontradas por los investigadores permitían la detención del JavaScript inyectado en caso de iniciarse el depurador de Chrome, siendo esto una técnica antidetección implementada por los cibercriminales. De momento no está claro si solo hay un grupo o varios detrás las extensiones maliciosas.

Diagrama de las extensiones maliciosas halladas en la Chrome Store

Fuente: HackRead

por Eduardo Medina Thu, 18 Jan 2018 14:00:23 +0000

3 vulnerabilidades de Microsoft Office están siendo explotadas para expandir el malware Zyklon

Investigadores en seguridad de FireEye han descubierto una campaña activa dedicada a explotar tres vulnerabilidades de Microsoft Office para infectar ordenadores con un malware llamado Zyklon.

Zyklon no es un malware nuevo, ya que está activo desde 2016. Se dedica a generar una botnet mediante HTTP pudiendo comunicarse con un servidor de mando y control al que se conecta mediante la red Tor, anonimizando así el tráfico entre el malware y los atacantes. Como acciones, según lo ordenado por los atacantes, puede registrar las pulsaciones del teclado y robar datos sensibles como contraseñas almacenadas en navegadores web o clientes de email. Mediante la adición de complementos es capaz realizar otras tareas como la ejecución de ataques DDoS y el minado de criptomonedas. En un principio sus objetivos principales fueron los servicios de telecomunicaciones, seguros y financieros. Se han descubierto dos versiones de Zyklon que han sido encontradas en el mercado negro. Una es la compilación normal, que cuesta 75 dólares estadounidenses, mientras que la otra, con Tor habilitado, cuesta 125 dólares.

Según FireEye y como ya comentamos al principio, los atacantes están explotando tres vulnerabilidades halladas en Microsoft Office, utilizando para ello scripts de PowerShell que son ejecutados sobre las computadoras objetivo para descargar la carga útil definitiva desde el servidor de mando y control.

  • Vulnerabilidad de ejecución de código en remoto hallada en .NET Framework (CVE-2017-8759): Se explota cuando .NET Framework ejecuta una entrada no confiable, permitiendo a un atacante tomar el control del sistema afectado mediante el engaño de la víctima para que abra un documento malicioso específicamente diseñado que ha enviado mediante email. Esta vulnerabilidad fue parcheada en septiembre de 2017.
  • Vulnerabilidad de ejecución de código en remoto hallada en Microsoft Office (CVE-2017-11882): Ya la hemos tratado en más de una ocasión, siendo una vulnerabilidad que llevaba presente en la suite ofimática 17 años y permitía a los atacantes ejecutar código en remoto tras la apertura de un documento malicioso.
  • La tercera vulnerabilidad genera polémica, ya que Microsoft no la considera un fallo. Se trata de una técnica que permite a los atacantes apoyarse en Dynamic Data Exchange Protocol, una característica de Microsoft Office, para llevar a cabo una ejecución de código sobre el ordenador objetivo sin que se requiera de habilitar las macros o provocar una corrupción de memoria. El gigante de Redmond han publicado una guía sobre cómo evitarla.

Las personas tras la campaña recientemente descubierta se dedican a enviar documentos maliciosos dentro de ficheros ZIP, los cuales llegan a las víctimas mediante ataques de phishing por email. El documento malicioso que recibe la víctima está preparado para explotar de forma inmediata una de las vulnerabilidades expuestas mediante un script de PowerShell que se ejecuta nada más abrir el documento. Luego se descarga la carga útil final, que suele ser el malware Zyklon.

Un dato interesante sobre los scripts de PowerShell creados para esta campaña es que tienen en su código unas IP escritas sin puntos, o sea, en formato decimal. En la red se pueden encontrar conversores para pasar una IPv4 en formato decimal. Por ejemplo, la IP de Google es 216.58.207.206, que convertida a decimal es http://3627732942. También se puede copiar y pegar la dirección HTTP en decimal en un navegador web moderno para comprobar que dirige al mismo buscador.

La IP de Google convertida a decimal

Debido a que la vía de difusión son los emails a modo de phishing, recomendamos revisar minuciosamente el origen, el texto y el formato de los correos electrónicos recibidos, además de no abrir ningún documento de procedencia desconocida o no confiable.

Fuente: The Hacker News

por Eduardo Medina Thu, 18 Jan 2018 10:39:42 +0000

Los mineros de criptomonedas se consolidan como una de las principales amenazas

Durante el transcurso de 2017 vimos que las incidencias tanto a nivel de seguridad como de privacidad relacionadas con las criptodivisas han ido a más, y es que su creciente popularidad las ha convertido en algo más que un sector nicho, sino que se han consolidado como un sector en el que invertir y en una fuente de financiación.

La incidencia que más se está extendiendo es la utilización de recursos ajenos para minar criptomonedas. Siendo más concretos, sitios web y aplicaciones están implementando software que se dedica a utilizar los recursos (CPU y/o GPU) de los ordenadores de los visitantes/usuarios para minar criptomonedas. Uno de los casos más conocidos de esto es el sitio web de descargas The Pirate Bay, que no esconde el uso de la biblioteca Coinhive.

Coinhive está construida con JavaScript para minar Monero en los ordenadores de los visitantes de páginas web o usuarios de aplicaciones. The Pirate Bay es al menos transparente, sin embargo, se ha detectado su utilización maliciosa tanto en otros sitios web como en aplicaciones de Android.

Resulta interesante ver la lista que ha publicado CheckPoint con los 10 malware “más buscados” de diciembre 2017. Aquí el primer puesto lo tiene el ya mencionado Coinhive, mientras que otros mineros como Cryptoloot y Rocks ocupan el tercer y décimo puesto respectivamente. La lista completa la siguiente:

  1. Coinhive: Minero de cirptomonedas.
  2. Rig ek: Kit de exploits contra Java, Flash, Silverlight e Internet Explorer.
  3. Cryptoloot: Minero de criptomonedas.
  4. Roughted: Malvertising mediante web utilizado para esparcir estafas, kit de exploits, adware y ransomware.
  5. Fireball: Secuestrador de navegadores web para usarlos como descargadores de malware.
  6. Globeimposter: Ransomware variante de Globe. Distribuido mediante campañas de spam, malvertising y kits de exploits.
  7. Ramnit: Troyano bancario que roba credenciales bancarias, contraseñas de FTP, datos personales y cookies.
  8. Virut: Botnet usado por cibercrminales para lanzar ataques DDoS, spam, robar datos, además actividades fraudulentas y de pago por instalación. Se distribuye mediante USB y web.
  9. Conficker: Gusano que permite operaciones remotas y descarga de malware. El ordenador infectado pasa a formar parte de una botnet controlada por un servidor de mando y control.
  10. Rocks: Minero de criptomonedas.

Lo mineros de criptomonedas se han convertido en una de las mayores amenazas cibernéticas de la actualidad, ya que CheckPoint ha estimado que el 55% de las organizaciones del mundo ha sido víctima en alguna ocasión de un software de este tipo durante el mes de diciembre de 2017.

La compañía de seguridad informática ha comentado que ha detectado la utilización de mineros por parte de algunos de los sitios web más populares, sobre todo relacionados con servicios de streaming y compartición de ficheros y siendo esto algo que generalmente se hace sin consentimiento ni conocimiento del usuario. Por un lado reconoce que su uso puede ser legal y legítimo, pero que también pueden ser modificados para “dominar la potencia y generar más ingresos, utilizando hasta el 65% de la potencia de la CPU de los usuarios finales.”

La razón de por qué ha aumentado el uso de los mineros es por culpa de los bloqueadores de publicidad, sobre todo cuando se refiere banners excesivos y ventanas emergentes. Muchos usuarios, debido a las dificultades que encuentran para navegar en muchos sitios web debido a la publicidad, han decidido recurrir a bloqueadores, lo que ha reducido la cantidad que ingresan los sitios web por esta vía.

por Eduardo Medina Wed, 17 Jan 2018 16:46:02 +0000

Skygofree es un poderoso spyware contra Android que roba datos de múltiples aplicaciones

Investigadores de Kaspersky han descubierto una poderosa herramienta de espionaje contra Android que se dedica a explotar vulnerabilidades para robar datos desde múltiples frentes.

Llamado Skygofree, se trata de un spyware contra Android posiblemente creado para propósitos de vigilancia y activo desde 2014. Su desarrollo parece haber sido responsabilidad de Negg, una empresa tecnológica italiana que supuestamente ha trabajado para el gobierno del país transalpino en varias ocasiones.

Kaspersky no está en condiciones de afirmar con rotundidad quién es el autor de Skygofree, pero tiene fuertes sospechas sobre Negg después de encontrar el nombre de la compañía repetido en múltiples ocasiones en el código fuente del spyware.

Las primeras versiones de Skygofree no parece que hayan sido distribuidas de forma indiscriminada por Internet. Con el paso del tiempo ha ido incorporando características como el grabar sonido mediante el micrófono si el smartphone se encontraba en algunas zonas específicas, utilizar los servicios de accesibilidad de Android para robar mensajes de WhatsApp y es capaz de conectar dispositivos infectados a redes Wi-Fi maliciosas controladas por los atacantes, abriendo así la puerta a ataques de tipo man-in-the-middle.

El principal medio de distribución de Skygofree ha sido el phishing mediante la falsificación de los sitios web de los principales operadores móviles. La mayoría de los procesos de infección se habrían producido en 2015, año en el que el malware ha estado más activo según Kaspersky.

Evolución de Skygofree

Skygofree es aparentemente un malware bastante sofisticado. Después de ser instalado en un smartphone Android, esconde su icono y se pone a ejecutar servicios en segundo plano para llevar a cabo acciones contra la víctima sin que esta se entere. Además, incluye características de protección que impiden que se puedan matar los servicios que ejecuta.

La versión más reciente de Skygofree conocida fue publicada en octubre de 2017. Para entonces se había convertido en una sofisticada herramienta de espionaje en múltiples etapas que daba a los atacantes control total y remoto sobre el dispositivo infectado, utilizando para ello una carga de shell inversa y un servidor de mando y control.

Para poder exprimir aun más el dispositivo infectado, utiliza múltiples exploits de escalada de privilegios que le otorgan acceso como root (administrador), pudiendo así ejecutar cargas útiles más complejas. De esas cargas útiles, una de ellas era capaz de robar datos de Facebook, WhatsApp, Line y Viber.

El servidor de mando y control ampliaba las posibilidades de espionaje, permitiendo a los atacantes realizar fotografías y grabar vídeos de forma remota, hacerse con los registros de llamadas y SMS, así como monitorizar la geolocalización del usuario, los eventos del calendario y cualquier información que esté almacenada en el dispositivo.

Además de Android, los investigadores de Kaspersky han encontrado una versión de Skygofree contra Windows, cosa que no tendría que sorprendernos si tenemos en cuenta que el sistema de Microsoft sigue siendo el más acosado por el malware.

Volviendo a Android, no instalar aplicaciones procedentes de tiendas de terceros es importante para no acabar infectado por un malware. Por otro lado, la gran cantidad de dispositivos sin soporte que hay funcionamiento allana demasiado el terreno a los cibercriminales.

Fuente: The Hacker News

por Eduardo Medina Wed, 17 Jan 2018 12:08:43 +0000

Descubren una campaña de phishing para obtener los datos de los usuarios de Netflix

Los servicios de contenidos vía streaming, ya sean de música o de vídeo, han ganado mucha popularidad en los últimos años. Una de las empresas con más pegada en el sector es Netflix, que ha sabido atraer a muchos usuarios mediante la creación de contenidos propios destinados a un público objetivo y la adición de otros de calidad procedentes de terceros.

Sin embargo, que un servicio vía Internet se haga popular significa otra cosa, y es el convertirse en un buen reclamo para llevar a cabo ataques de phishing, con los cuales los hackers pretenden sobre todo hacerse con los datos de los usuarios, mejor cuando se trata de los detalles de la tarjeta de crédito, como le ha pasado recientemente a OnePlus.

La semana pasada se detectó una campaña de phishing que ha utilizado el logo original de Netflix, y con la cual los actores maliciosos que están detrás pretenden hacerse con los detalles de acceso, los de las tarjetas de crédito, fotografías y las identificaciones de los usuarios. Para llevar a cabo el ataque, la víctima recibe un email procedente de Netfli𝛘 (véase la diferencia con Netflix) avisándole de que tiene que cambiar los detalles de su cuenta.

01 Phishing de Netflix

Luego la víctima es redirigida a una conseguida falsificación de la web de Netflix, en la cual se la invita a introducir sus credenciales de acceso en primer lugar. El hecho de que el sitio web perteneciente al ataque de phishing use HTTPS hace que el engaño sea todavía más creíble. Sin embargo, esta última parte se puede desenmascarar viendo el origen del certificado, cosa que pocos usuarios hacen.

02 Phishing de Netflix

03 Phishing de Netflix

Tras acceder al sitio web perteneciente al ataque de phishing, se le pedirá a la víctima que vaya introduciendo todos sus datos, incluidos los detalles de la tarjeta de crédito. En caso de estar visitando el sitio web en inglés, se puede encontrar la siguiente frase con un error gramatical:

You need to confirm your informations to be able to fix this problem and access to your account Netflix.

07 Phishing de Netflix

Con el fin de asegurarse la obtención de los detalles de la tarjeta de crédito, los ladrones exigirán a la víctima que verifique los datos mediante una falsa página web de Visa. Por último, pedirán que se le envíe una fotografía y la identificación, para luego redirigir a la víctima al sitio web legítimo de Netflix.

05 Phishing de Netflix

06 Phishing de Netflix

El año pasado ya comentamos que los ataques mediante phishing iban a más, tanto en sofitisticación como en cantidad, por lo que los usuarios tienen que estar muy atentos tanto a las URL como a los emails que reciben, ya que ciertas falsificaciones están muy conseguidas y resultan difíciles de distinguir del contenido legítimo.

Fuente: Naked Security

por Eduardo Medina Tue, 16 Jan 2018 12:56:21 +0000

OnePlus ha sido presuntamente hackeado para robar los detalles de las tarjetas de crédito

Mal empieza el año para el fabricante chino de smartphones OnePlus, debido a que muchos de sus clientes están denunciando la realización de operaciones fraudulentas con sus tarjetas de crédito.

El asunto empezó a emerger el pasado fin de semana, cuando un cliente dijo que dos de las tarjetas de crédito que utilizó para comprar en OnePlus podrían estar siendo usadas de forma fraudulenta, ya que en los últimos seis meses solo las había utilizado para comprar en la tienda del mencionado fabricante. Esto despertó las sospechas de otros clientes que empezaron a denunciar lo mismo a través del foro de OnePlus, Twitter y Reddit.

Muchos clientes empezaron a explicar que las actividades fraudulentas con sus tarjetas de crédito empezaron después de comprar un smartphone o accesorios en la tienda electrónica de OnePlus, por lo que se reforzaron los indicios de una filtración de datos procedente de ahí. La empresa de ciberseguridad Fidus ha publicado una entrada en su blog corporativo detallando el posible problema con el sistema de pago utilizado por el sitio web de OnePlus, el cual ha podido ser comprometido.

Fidus explica que OnePlus realiza actualmente las transacciones ella misma desde su sitio web, esto significa que los datos de facturación, junto con los detalles de la tarjeta de crédito, pueden ser interceptados por actores maliciosos. “Si bien los detalles del pago se envían a un proveedor tercero al tramitar el formulario, hay una ventana con código malicioso que puede desviar los detalles de la tarjeta de crédito antes de que sean cifrados”. Tras explicar esto, Fidus quiere dejar claro que OnePlus no ha padecido (al menos supuestamente) ninguna brecha de datos, sino que la instalación de Magento que utiliza el fabricante chino como comercio electrónico ha sido hackeado para robar los datos de las tarjetas de crédito.

Cómo han sido interceptado los detalles de las tarjetas de crédito de los clientes de OnePlus según Fidus

Ante el revuelo generado, OnePlus se ha visto forzada a tener que dar la cara, explicando que no almacena ningún dato de tarjeta de crédito y que todos los pagos son llevados a cabo a través de un socio de procesamiento de pagos compatible con PCI-DSS, al menos que el usuario haya seleccionado la opción “guardar esta tarjeta para futuras transacciones”, con la cual entonces sí se almacena la tarjeta de crédito del usuario, pero esta no es introducida tal cual en el servidor, sino que se protege con un mecanismo de tokenización. Además, el sitio web de OnePlus funciona enteramente con HTTPS, por lo que las comunicaciones están cifradas. La compañía ha confirmado que los que hayan comprado a través de otros servicios como PayPal no están afectados por este problema.

De momento el fabricante no aclara de dónde ha podido venir el problema, pero confirma que no se trata de ninguna vulnerabilidad hallada en la tienda electrónica Magento. Sin embargo, es importante decir que OnePlus no utiliza una implementación estándar de la conocida solución de comercio electrónico, sino que en 2014 dicha parte fue reconstruido en su totalidad utilizando código personalizado para así añadir pagos mediante tarjeta de crédito, que nunca fueron implementados en el módulo de pago de Magento según OnePlus.

Hasta ahora el incidente ha afectado a unas 100 tarjetas de crédito según datos que se pueden extraer del foro de OnePlus. El fabricante ha anunciado una investigación en torno a este asunto y ha recomendado a los usuarios afectados ponerse en contacto con los bancos para revertir los pagos fraudulentos.

Fuente: The Hacker News

por Eduardo Medina Tue, 16 Jan 2018 10:58:20 +0000

Un nuevo malware contra macOS se dedica a secuestrar las DNS

Investigadores de Objetive-See han publicado los detalles de un nuevo malware que se dedica a secuestrar las DNS en el sistema operativo macOS y que, al menos de momento, parece indetectable.

Siendo bautizado como OSX/MaMi, se trata de un ejecutable Mach-O de 64-bit que tiene algunas similitudes con DNSChanger, un malware multiplataforma (afectaba a Windows, Mac y Linux) que infectó a millones de ordenadores en el año 2012. Poniéndonos en situación, tanto DNSChanger como OSX/MaMi se dedican a modificar las DNS configuradas en el sistema operativo para así desviar el tráfico a servidores maliciosos dedicados a recopilar información sensible.

La primera vez que OSX/MaMi se dio a conocer fue en el foro de Malwarebytes, donde un usuario publicó sobre un malware desconocido que había cambiado de forma inadvertida la configuración de las DNS del ordenador Mac de un amigo, estableciendo las direcciones IP a 82.163.143.135 y 82.163.142.137. El exhacker de la NSA Patrick Wardle analizó el malware, descubriendo que se trataba de un secuestrador de DNS que se apoya en las herramientas de seguridad para instalar un nuevo certificado raíz con el fin interceptar comunicaciones cifradas mediante man-in-the-middle, abriendo la puerta a otras acciones maliciosas como el minado de criptomonedas.

DNS configuradas en macOS tras la infeccion de OSX/MaMi

OSX/MaMi no parece ser un malware que se encuentre en un estado muy avanzado de su desarrollo (apareció hace poco y se encuentra en sus primeras versiones). La versión 1.1.0 de este malware tiene las siguientes capacidades:

  • Capturas de pantalla.
  • Simular eventos con el ratón.
  • Descargar y subir ficheros.
  • Ejecutar órdenes remotas.
  • Podría ser capaz de poner en marcha elementos persistentes.

Al ser un malware aparentemente reciente, todavía no se conocen cuáles son las verdaderas intenciones de sus desarrolladores. Se especula que los atacantes podrían estar utilizándolo para enviar correos electrónicos maliciosos, incrustar falsas alertas o ventanas emergentes en la navegación web de la víctima o incluso realizar ataques de ingeniería social contra los usuarios de Mac.

Sería recomendable para todos los usuarios de Mac revisar las DNS que se tienen configuradas en el sistema operativo. En caso de ser 82.163.143.135 y 82.163.142.137, significa que el usuario está infectado por OSX/MaMi. Como medida de prevención se recomienda utilizar un firewall que pueda detectar y bloquear el tráfico saliente.

Fuente: The Hacker News

por Eduardo Medina Mon, 15 Jan 2018 12:00:01 +0000

Un fallo de seguridad en Intel AMT permite acceder remotamente y sin restricciones a computadoras

Investigadores F-Secure han descubierto un fallo de seguridad en Intel AMT que permite a un atacante saltarse los accesos en las computadoras que lo implementen, pudiendo así acceder de forma remota a dichos ordenadores.

El fallo de seguridad se trata de una técnica que puede ser llevada a cabo en menos de un minuto, sin embargo, hasta ahora se sabe que requiere de acceso físico a la computadora para explotarlo, además de comprobar que el objetivo no tenga configurado el sistema para proteger la cuenta de Management Engine BIOS Extension (MEBx) en ordenadores Intel que soportan la tecnología Active Management Technology (AMT).

AMT es una característica de mantenimiento remoto incluido en los ordenadores Intel que soportan vPro y la familia Xeon, mientras que MEBx es una extensión de la BIOS que permite la configuración manual del servicio AMT. MEBx se encuentra configurada correctamente cuando está protegida por una contraseña, pero aquellos que no la hayan configurado utilizan la que está por defecto: admin“Mediante la selección de Management Engine BIOS Extension (MEBx) de Intel, se puede acceder utilizando la contraseña por defecto, admin, que generalmente no es cambiada por el usuario. Mediante el cambio de la contraseña por defecto, la habilitación del acceso remoto y la configuración del usuario de AMT a None (ninguno), un ciberdelincuente habilidoso podría comprometer un ordenador.”

Realizando lo descrito en el párrafo anterior, un atacante puede acceder más tarde de forma remota a la computadora objetivo, pero esto tiene un requisito adicional, y es que tanto atacante como víctima deben de estar en el mismo segmento de red, como por ejemplo la misma red Wi-Fi. Al menos que la red Wi-Fi no esté protegida, el proceso de ataque requerirá de algunos pasos extra, lo que obviamente limita el alcance y la peligrosidad del fallo de seguridad y además fuerza la necesidad de tener un equipo de dos personas para explotarlo rápidamente, con una encargada de la red Wi-Fi y otra de la computadora objetivo. Pero por otro lado, no se puede descartar que el ataque sea llevado a cabo por empleados deshonestos.

Intel ha comentado que no puede hacer nada ante este problema, ya que su origen está en que “algunos fabricantes no han configurado sus sistemas para proteger Intel MEBx”. Sin embargo, según la compañía Plixer, parece que esto se puede arreglar mediante una actualización del firmware de la BIOS que evite la elusión de los protocolos normales de la BIOS, además de cambiar la contraseña por defecto y analizar el tráfico de red para las conexiones mediante los puertos de Intel ATM. Por su parte, F-Secure propone seguir las mejores prácticas de Intel en torno la característica AMT o bien inhabilitarla completamente.

Parece que a Intel se le acumulan los problemas, ya que desde principios de año está luchando contra los vectores de ataque Meltdown y Spectre, a veces no con todos los buenos resultados que le gustaría. Por otro lado, el pasado mes de noviembre se descubrió una vulnerabilidad en el firmware de sus procesadores.

Fuente: ThreatPost

por Eduardo Medina Mon, 15 Jan 2018 07:00:00 +0000

El FBI sigue insistiendo en la introducción de un mecanismo para romper el cifrado

El actual director del FBI bajo la Administración Trump, Christopher Wray, cree que el cifrado que no se puede romper (fácilmente) es un problema de seguridad pública. No es la primera vez que un director de la agencia estadounidense muestra una postura similar, ya que su predecesor, James Comey, dijo que el cifrado incluido en iOS y Android protegería a los criminales.

Christopher Wray ha insistido en la necesidad de introducir algún mecanismo para acceder a los dispositivos cifrados de presuntos criminales de forma que no se ponga en peligro el cifrado de cada dispositivo que haya sobre el planeta. La respuesta de los defensores de la privacidad y expertos en la materia ha sido que lo propuesto por el FBI no es realista, ya que se apoya en exceso en la buena fe que tendría que tener la cooperación entre las compañías tecnológicas y el gobierno.

No es la primera vez que Wray expone estos argumentos, ya que hizo lo mismo el pasado 7 de diciembre de 2017 en el Comité Judicial de la Cámara, defendiendo la rotura selectiva del cifrado y que es necesaria su aplicación para proteger a ciudadanos de criminales y terroristas que usan dispositivos cifrados para quedarse “en las sombras”.

Christopher Wray también ha publicado números sobre la agencia que dirige, reconociendo que en 2017 fue incapaz de acceder a 7.775 dispositivos, que suponen más de la mitad de todos los que la agencia ha metido mano durante el mencionado periodo de tiempo. Siguiendo la línea argumental, no podían faltar las menciones sobre las dificultades y barreras que plantea el cifrado de los dispositivos en la lucha en asuntos tan graves como el tráfico humano, el terrorismo, la contrainteligencia, las bandas, el crimen organizado, la explotación infantil y la cibercrminalidad.

Para el “cifrado responsable” que quiere implantar, Wray dice que los creadores de dispositivos cifrados pueden crear una clave secreta que permita el acceso cuando una fuerza de la ley necesite desbloquear uno, siempre y cuando consigan antes una orden. Como ejemplo ha señalado a Symphony, una plataforma de mensajería utilizada por los mayores bancos y que garantiza la eliminación de los datos, algo que preocupa a los reguladores sobre todo por sus investigaciones en torno a Wall Street. Aquí ha destacado que cuatro bancos de Nueva York “acordaron mantener una copia de todas las comunicaciones electrónicas a través de Symphony durante siete años. Los bancos también acordaron almacenar copias duplicadas de las claves de descifrado que son custodiadas por entes independientes que no están controlados por los bancos. Esto hace que las comunicaciones mediante Symphony estén seguras y cifradas, pero a la vez accesibles a los reguladores para que puedan llevar a cabo su trabajo.”

En su intento de ofrecer un tono menos agresivo en su mensaje, Wray dice que el FBI no quiere acabar con el cifrado a través de la introducción de puertas traseras, algo que entiende como algún tipo de acceso secreto e inseguro. Ante estos argumentos, Bruce Schneier, director de tecnología en IBM Resilient Systems y experto en encriptación, ha explicado muchas veces que no tiene ningún sentido eso de que un cifrado trabajará correctamente hasta la llegada de una orden judicial, comparando eso con envenenar toda la comida de un restaurante, algo que no solo afectará a los criminales y delincuentes, sino también a cualquier inocente.

Como vemos, se trata de un asunto un tanto rocambolesco, ya que por un lado tenemos al FBI sosteniendo, quizá con una postura algo suavizada, la necesidad de un mecanismo para tener acceso sin restricciones a los dispositivos cifrados, mientras que los defensores de la privacidad argumentan que si hay una puerta, esta se podrá abrir cada vez que se quiera.

A esto hay que sumar antecedentes como el caso de San Berndardino, en el cual se sigue sin tener información oficial sobre cómo ha desbloqueado el FBI el iPhone de Syed Farook; la pésima actuación en la masacre ocurrida en Texas en noviembre de 2017; y la filtración de herramientas de la NSA y la CIA por parte de WikiLeaks.

Fuente: Naked Security

por Eduardo Medina Fri, 12 Jan 2018 16:06:16 +0000

Intel y AMD actualizan sus microcódigos para mitigar Meltdown y Spectre

Como ya dijimos cuando NVIDIA actualizó sus drivers, la industria de la computación está totalmente volcada en intentar evitar la explotación tanto de Meltdown como de Spectre desde cualquier frente, sobre todo cuando se trata del segundo, ya que de momento no existen parches definitivos contra las dos vulnerabilidades que abarca dicho vector de ataque.

La situación está provocando que veamos actualizaciones para todo tipo de software imaginable, habiendo aparecido en los últimos días actualizaciones de los microcódigos de Intel y AMD para aportar mitigaciones contra Sepctre y Meltdown.

Intel

La última versión del microcódigo de Intel se encarga de añadir mitigaciones contra Spectre y Meltdown y abarca los siguientes modelos de procesadores además de los soportados previamente:

CPU adicionales cubiertos por el último microcódigo de Intel

Intel se ha comprometido a suministrar actualizaciones para el 90% de las CPU producidas en los últimos 5 años para el próximo día 15 de enero, mientras que el resto de ordenadores serán cubiertos a finales del presente mes.

Los usuarios de Windows pueden beneficiarse de las mejoras incluidas en el microcódigo de Intel, pero en vez de poder descargarlo manualmente, tiene que ser Microsoft la que lo suministre a través de las actualizaciones. Mientras, los usuarios de los siguientes sistemas operativos Linux pueden aplicarlo manualmente: Red Hat Enterprise Linux 7.4, 7.3, 7.2, 7.1 y 7.0; Red Hat Enterprise Linux 6.8, 6.7, 6.6, 6.5, 6.4, 6.3 y 6.2; SUSE Linux Enterprise Server 12, SP3, SP2 y SP1; SUSE Linux Enterprise Server 11, SP4, SP3, SP2 y SP1; SUSE Linux Enterprise Server (SLES) 12.2; CentOS 7.4, 7.3, 7.2, 7.1 y 7.0; Debian 8 y 7; Fedora 24 y 23; Ubuntu 16.04 LTS y 14.04 LTS; Chromium OS; y Chrome OS.

Ciertas distribuciones Linux tienen el microcódigo de Intel como un paquete más que se puede obtener desde sus repositorios. En el caso de Ubuntu, la última versión ya se puede obtener desde el el gestor de controladores adicionales.

Microcódigo de Intel disponible desde los controladores adicionales de Ubuntu 16.04

Sin embargo, la aplicación del nuevo microcódigo parece que no está libre de problemas, ya que según ha comunicado la misma Intel, algunos clientes están experimentando reinicios en los procesadores de generación Broadwell y Haswell, por lo que la compañía todavía tendrá que trabajar más para que sus mitigaciones no den problemas a los usuarios.

AMD

AMD no se ha visto afectada (al menos de momento) por Meltdown, así que la actualización de su microcódigo va sobre todo para mitigar Spectre en Windows y Linux.

De momento la compañía hará que la actualización de su firmware esté disponible para los procesadores Ryzen y EPYC, mientras que los usuarios de familias más antiguas lo recibirán “en las próximas semanas”, según el comunicado oficial publicado por AMD. De momento la compañía no ha hecho ninguna mención sobre pérdida de rendimiento en sus productos, pero también es importante tener en cuenta que el problema en ese aspecto lo tenía Meltdown, por lo que en un principio no se espera que las mitigaciones para Spectre tengan un impacto significativo en el rendimiento.

Por otro lado, la compañía de Sunnyvale ha dicho que de momento sus GPU Radeon no están afectadas por Meltdown ni Spectre debido a que estas no utilizan ejecución especulativa, siendo este un caso parecido al de Raspberry Pi. Obviamente, la actualización del microcódigo solo será el primer paso en el desarrollo de más mitigaciones contra Spectre.

Fuentes: The Verge (1 y 2), iTnews, BleepingComputer y Softpedia
Imagen: Pixibay

por Eduardo Medina Fri, 12 Jan 2018 11:34:19 +0000