• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

telemetría de Microsoft Office

Investigadores del regulador oficial holandés, han publicado un informe donde identificaron una “recopilación de datos personales a gran escala y encubierta” en las suites ofimáticas de Microsoft, Office 2016 y Office 365 de ProPlus. 

Microsoft recopila datos con fines ‘funcionales y de seguridad’ en todas sus soluciones de software. Sin embargo, el informe aseguran que ocho apartados descubiertos en la telemetría de Microsoft Office y Window 10 Enterprise incumplirían el nuevo reglamento de protección de datos de la UE, GDPR, y la propia privacidad de los usuarios.

Privacy Company, compañía que realizó la investigación en nombre del gobierno holandés, asegura que Microsoft realiza “procesamiento de datos a gran escala y en secreto”, encontrando recopilación de datos privados como asuntos de correo electrónico y frases completas recopiladas por las herramientas de traducción y corrector ortográfico de Microsoft.

El informe también dice que la telemetría de Microsoft Office envió datos de usuarios holandeses a servidores de EE. UU., lo que deja abierta la posibilidad que las autoridades de ese país aprovechen los datos.

El gobierno holandés dice estar extremadamente preocupado de que Microsoft hubiera recopilado sus propios datos, incluidos los de 300.000 empleados gubernamentales que usan productos del gigante del software. El regulador de datos holandés dijo que si Microsoft no avanzaba en su procesamiento de datos, consideraría medidas de cumplimiento. O multas que el GDPR establece en el 4% de los ingresos. 

Es curioso observar que los investigadores descubrieron que la recolección de datos de telemetría de Microsoft Office (hasta 25.000 tipos de datos de eventos de Office a los que pueden acceder al menos 30 equipos de ingeniería) es mucho más amplia que la efectuada en Windows 10, otro software polémico en sus aspectos de privacidad y que Microsoft ha tenido que mejorar en las últimas actualizaciones. 

Un portavoz de Microsoft respondió al informe de la manera esperada, sin entrar en las acusaciones del mismo. “Estamos comprometidos con la privacidad de nuestros clientes, poniéndolos en control de sus datos y asegurando que Office ProPlus y otros productos y servicios de Microsoft cumplan con el reglamento GDPR y otras leyes aplicables. Apreciamos la oportunidad de discutir nuestras prácticas de diagnóstico de manejo de datos en Microsoft Office con el Ministerio de Justicia de los Países Bajos y esperamos una resolución exitosa de cualquier inquietud”

por Juan Ranchal Sun, 18 Nov 2018 23:02:51 +0000

Pwn2Own 2018

Apple iPhone X, Samsung Galaxy S9 y Xiaomi Mi6, han sido algunos de los smartphones para los que se han encontrado vulnerabilidades O-Day (para las que no se conoce solución) en el concurso de hacking Pwn2Own 2018 celebrado esta semana en Tokio.

Varios equipos de hackers de diferentes países o en representación de compañías de seguridad cibernéticas, revelaron hasta 18 vulnerabilidades críticas 0-Day y otras que les permitieron acceder o controlar los dispositivos. Se confirma que estos especialistas, pueden romper la seguridad de los móviles inteligentes más avanzados y actualizados a la última versión de su sistema.

Afortunadamente, este concurso organizado por el Zero Day Initiative (ZDI) de Trend Micro (como otros similares del calendario mundial) está destinado precisamente para eso, adelantarse a lo que pueda llegar del cibercrimen y reforzar la seguridad de los dispositivos porque todas las técnicas utilizadas se comunican en privado a las compañías.

iPhone X hackeado

El hackeo a un iPhone X totalmente actualizado con iOS 12.1 ha sido quizá lo más destacado y dos investigadores que formaron un equipo denominado “Fluoroacetato” fueron las estrellas del evento al conseguir 215.000 dólares en premios, la puntuación más alta de todos los participantes y el título de “Maestros de Pwn” al lograr cinco de seis demostraciones de ataque exitosos sobre los terminales propuestos.

Para romper la seguridad del iPhone X combinaron una vulnerabilidad del motor en tiempo de ejecución JIT (Javascript) en el navegador web de iOS (Safari), junto con un error de escritura para superar el sandbox y obtener privilegios para acceder a los datos del terminal o borrarlos.

Para la demostración, utilizaron una red Wi-Fi pública y recuperaron una fotografía que se había eliminado recientemente del iPhone de destino. Ganaron uno de los premios gordos de 50.000 dólares. El mismo equipo también intentó explotar la banda base en el iPhone X, pero no pudo hacer funcionar su exploit en el tiempo asignado.

Otro equipo de investigadores de MWR Labs (una división de F-Secure), también utilizó una vulnerabilidad del navegador, pero no lograron poner en funcionamiento su vulnerabilidad. En todo caso y a pesar del marketing de “infranqueable” un último modelo de iPhone totalmente actualizado, se puede hackear, como todos. 

Pwn2Own 2018

Galaxy S9 hackeado

El mismo equipo que hackeó el iPhone X también rompió la seguridad del Galaxy S9, otro de los terminales más avanzados del mercado. En este caso explotaron una vulnerabilidad de desbordamiento de memoria en el componente de banda base del terminal para ejecutar código y obtener acceso al terminal. Preocupante al afectar al baseband.

El equipo de MWR también fue premiado al descubrir otras tres vulnerabilidades diferentes en el S9, con las que consiguieron que el terminal accediera a un portal malicioso sin ninguna interacción del usuario para desde allí instalar una aplicación personalizada para controlar el terminal.

Xiaomi Mi6 hackeado

Fluoroacetato no se paró ahí y rompió por dos veces el terminal de Xiaomi. En la primera demostración lograron acceder al Mi6 a través de la tecnología de campo cercano NFC forzando a abrir una página web diseñada para insertar apps maliciosas.  También utilizaron con éxito una vulnerabilidad de desbordamiento de enteros en el motor de JavaScript del navegador web del terminal, lo que les permitió eliminar una imagen del dispositivo.

El equipo de F-Secure también logró por dos veces hackear el Mi6. La primera combinaron cinco errores diferentes para instalar silenciosamente una aplicación personalizada a través de JavaScript y omitir la lista blanca. El segundo día, combinaron un fallo en el sistema de descarga para instalar su aplicación personalizada y eliminar algunas imágenes del teléfono. Un investigador independiente también logró ejecutar código en el móvil chino mediante una vulnerabilidad de ofuscación en JavaScript.

Tras esta noticia, la compañía nos ha comunicado lo siguiente: “Estamos al tanto de este asunto y hoy mismo (19 de noviembre) hemos procedido al lanzamiento de una actualización OTA para solucionarlo. Desde Xiaomi, nos tomamos la seguridad de nuestros smartphones muy en serio y, por supuesto, agradecemos cualquier esfuerzo que contribuya a hacer nuestros dispositivos todavía más seguros“.

Los detalles de todas las vulnerabilidades descubiertas y explotadas estarán disponibles en 90 días, según el protocolo del concurso pwn2Own, que, por supuesto, incluye la notificación privada a los proveedores afectados para la implementación de parches. Confirmamos, ningún dispositivo electrónico es infranqueable.

por Juan Ranchal Thu, 15 Nov 2018 23:02:20 +0000

vulnerabilidades en GPUs de NVIDIA

Investigadores de seguridad de la Universidad de California en Riverside, han descubierto que los ataques de canal lateral no se limitan a los procesadores y las mismas técnicas usadas aprovechando las vulnerabilidades Mettdown y Spectre también se pueden aplicar a las GPUs de NVIDIA.

En un nuevo artículo, los investigadores han demostrado tres tipos de ataque que pueden usarse para robar contraseñas, monitorear la actividad web y romper servicios basados ​​en la nube. Para los consumidores, las implicaciones son limitadas ya que los tres ataques solo son posibles después de que las máquinas ya está comprometidas por el malware. Para los centros de datos y los proveedores en nube, las implicaciones pueden ser más graves.

El primer ataque rastrea la actividad del usuario en la web. Cuando la víctima abre la aplicación maliciosa, utiliza OpenGL para crear un espía para inferir el comportamiento del navegador mientras usa la GPUCada sitio web tiene una traza única en cuanto a la utilización de la memoria de la GPU debido a la diferente cantidad tamaños de objetos que se representan. Esta señal es consistente en la carga del mismo sitio web varias veces y no se ven afectadas por el almacenamiento en caché.

Los investigadores supervisaron las asignaciones de memoria de la GPU a lo largo del tiempo o los contadores de rendimiento de la GPU y entregaron estas características a un clasificador basado en aprendizaje automático, logrando la huella digital del sitio web con alta precisión. El espía puede obtener de manera confiable todos los eventos de asignación para ver lo que el usuario ha estado haciendo en la web. 

En el segundo ataque, los autores fueron capaces de extraer las contraseñas de los usuarios. Cada vez que el usuario escribe un carácter, todo el cuadro de texto de la contraseña se carga en la GPU como una textura a representar.

El tercer ataque apunta a una aplicación computacional en la nube. El atacante lanza una carga de trabajo computacional maliciosa en la GPU que opera junto con la aplicación de la víctima. Dependiendo de los parámetros de la red neuronal, la intensidad y el patrón de contención en la memoria caché, la memoria y las unidades funcionales difieren con el tiempo, lo que crea fugas mensurables. El atacante utiliza la clasificación basada en el aprendizaje automático en las trazas del contador de rendimiento para extraer la estructura de red neuronal secreta de la víctima, como el número de neuronas en una capa específica de una red neuronal profunda.

NVIDIA fue informado de los hallazgos y está trabajando en un parche que ofrece a los administradores la opción de deshabilitar el acceso a los contadores de rendimiento de los procesos a nivel de usuario. En este momento, se desconoce si las GPU de AMD tienen las mismas o similares vulnerabilidades que permitan ataques de canal lateral. 

por Juan Ranchal Tue, 13 Nov 2018 23:14:25 +0000

Ransomware Europol

El Ransomware mantiene la supremacía como la principal ciberamenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de Europol, Internet Organised Crime Threat Assessment (IOCTA) correspondiente a 2018.

El informe, “tiene como objetivo informar a los responsables de la toma de decisiones a nivel estratégico, político y táctico en la lucha contra la ciberdelincuencia, con el objetivo de dirigir el enfoque operativo para la aplicación de la ley en la UE”, dice el informe de Europol, el órgano encargado de coordinar, apoyar y facilitar las operaciones de los cuerpos policiales europeos a nivel de la Unión.

Al igual que con otros tipos de malware, los ciberataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como mostró WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.

Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.

Cómo prevenir el Ransomware

un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte o a todo el equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos.

Por ello, si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es imprescindible para frenarlo. Te recordamos algunos consejos imprescindibles para frenarlo:

  1. Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows.
  2. Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
  3. Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  4. Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
  5. Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
  6. Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
  7. Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
  8. Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
  9. Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.
  10. Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio “limpio” y no tener que pagar el “rescate” exigido por estos ciberdelincuentes.

Otro tipo de malware en crecimiento

Europol señala en su informe otro tipo de malware en tendencia al alza. Uno de ellos es el cryptojacking, un ataque que requiere muchos menos recursos y gran rendimiento y es utilizado aprovechando las máquinas de las víctimas para explotar las criptomonedas.

Europol también espera que los kits de explotación como el principal vector de ataque de infecciones sigan disminuyendo, siendo reemplazados lentamente por otras técnicas y métodos más modernos, como el Protocolo de escritorio remoto (RDP), la ingeniería social y el correo no deseado o spam, con el Phishing como protagonista de las técnicas de ataque.

Las violaciones de datos también han aumentado después de la entrada en vigor del GDPR de la UE en mayo de 2018, el mayor cambio normativo de privacidad de las últimas dos décadas y un cambio de rumbo en la manera de recopilar y manejar los preciados datos personales.

Más información: Internet Organised Crime Threat Assessment (IOCTA) | Europol

por Juan Ranchal Sun, 11 Nov 2018 23:07:24 +0000

seguridad informática

Las amenazas de ciberseguridad siguen al alza y se han convertido en un gran problema para todo el sector tecnológico, desde un joven que comienza en Internet con su smartphone a una gran empresa. La introducción de malware en todo tipo de plataformas, el robo de datos, la invasión a la privacidad o los ataques tanto DDoS a servicios comerciales como el uso de estrategias de ciberespionaje en ataques dirigidos contra empresas estratégicas, ha sido una constante en los últimos años y obliga a usuarios y empresas a tomar medidas pro-activas para su control.

Además, la era de la movilidad en la que nos encontramos, ha aumentado las maneras de alojar información y también el modo de acceder a ella, hoy posible desde múltiples dispositivos. El auge del fenómeno BYOD -a pesar de sus ventajas- ha aumentado el número de dispositivos vulnerables que se conectan a las redes empresariales y tienen acceso a los datos corporativos. Todo un desafío para los departamentos TI.

Fabricantes de equipos y proveedores se esfuerzan por incluir las últimas tecnologías de seguridad en sus equipos, pero estas características pueden ser insuficientes si el propio usuario o profesional no toma conciencia de la importancia de este apartado y refuerza su seguridad. Te recordamos algunas medidas básicas de protección para navegar por la red de redes, mitigar el riesgo y proteger datos personales y profesionales:

1.- Sentido común

La prudencia es la mejor barrera contra el malware. Cuida especialmente el apartado de descargas e instalación de aplicaciones de sitios no seguros; la navegación por determinadas páginas de Internet; la apertura de correos electrónicos o archivos adjuntos no solicitados o que llegan de remitentes desconocidos o los que llegan de redes sociales o aplicaciones de mensajería que contienen vulnerabilidades explotables por los ciberdelincuentes para las campañas de malware.

2.-Utiliza  soluciones de seguridad

Son múltiples los proveedores que ofrecen soluciones de seguridad tanto comerciales como gratuitas cuyo uso conviene valorar. Lo mismo con las aplicaciones nativas contra el malware que incluyen algunos sistemas operativos. Un profesional de negocios móvil debería valorar el uso de una suite de seguridad comercial integral y también otras herramientas de seguridad como un firewall o sistemas de cifrado de datos.

3.- Actualiza el sistema operativo y aplicaciones 

Todos los sistemas operativos cuentan con herramientas para mantener actualizados sus equipos. Y son de uso obligado porque incluyen actualizaciones de seguridad contra amenazas conocidas. Tan importante -o más- que lo anterior es la actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir parches de seguridad. Cuando las versiones son más antiguas, tienen mayor riesgo de ser atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa, con especial incidencia en algunas como Java, Adobe Flash o Reader.

4.- Protege los navegadores

Todos los navegadores web incluyen características avanzadas de seguridad cuya activación debemos revisar y configurar porque son las aplicaciones con las que accedemos a Internet y sus servicios. Además del cifrado de extremo a extremo en la sincronización o el aislamiento de procesos (sandbox), debemos prestar atención a los avisos sobre sitios inseguros que muestran los navegadores. También revisar las extensiones instaladas porque algunas son fuente frecuente de introducción de malware. Otra posibilidad interesante para mejorar la privacidad es utilizar una sesión en “Modo Invitado” el cual está totalmente desligado del perfil original del usuario, incluyendo configuración o historial.

5.- Cuida las contraseñas

Además del uso de técnicas avanzadas de identificación biométrica en equipos que las incluyan, la regla de oro para estar seguro en línea es contar con una contraseña aleatoria fuerte y distinta para cada sitio web, especialmente para uso en los destinados a banca en línea y comercio electrónico. Las contraseñas largas y complejas (combinando números, mayúsculas y símbolos) previenen los ataques de fuerza bruta y el uso de una contraseña diferente para cada cuenta evita tener todas ellas comprometidas a la vez cuando se produce una violación de datos. Puedes utilizar gestores de contraseñas que las creen y las recuerden por nosotros.

6.- Usa autenticación de dos factores

La autenticación de dos factores (o en dos pasos) proporciona un nivel adicional de seguridad en las cuentas a las típicas contraseñas ya que no basta con vulnerar el nombre de usuario y contraseña. El servicio está disponible en la mayoría de servicios importantes de Internet y conviene utilizarlo siempre que podamos. Generalmente, utiliza un código de verificación servido mediante una aplicación móvil o SMS, para aplicar además del nombre de usuario y la contraseña al iniciar sesión.

7.- Realiza copias de seguridad

La seguridad al 100% en un mundo conectado simplemente no existe y no sólo por un virus ya que un error en el hardware puede provocar la pérdida de preciada información personal y/o profesional. La realización de copias de seguridad es por tanto altamente recomendable para un usuario o profesional que pretenda proteger la información personal y corporativa de un equipo informático. además de ser una tarea de mantenimiento que contribuye a la salud del hardware. Las copias de seguridad deben almacenarse en un dispositivo de almacenamiento externo al de nuestro equipo o en un servicio de almacenamiento en nube.

8.- Precaución con las redes Wi-Fi públicas

Los puntos de acceso a Internet inalámbricos y gratuitos se han extendido por múltiples zonas en poblaciones, zonas de restauración, aeropuertos, estaciones de tren o metro, hoteles y en todo tipo de negocios. Demostradas altamente inseguras, se pueden utilizar para una navegación intrascendental guardando las debidas precauciones, pero no para accesos que requieran mostrar tus datos, accesos y contraseñas. Un usuario de negocios móvil no debería confiar en ellos su actividad profesional, optando por redes de banda ancha móvil dedicadas de mayor seguridad.

9.- Activa la restauración del sistema

La restauración de los sistemas operativos es una herramienta que puede “salvarnos la vida” ante un error del software, instalación de drivers o de alguna aplicación que no funciona correctamente y también ante la entrada de un virus en nuestro equipo. Las herramientas de recuperación del sistema permiten revertir los cambios realizados en los archivos del sistema operativo, configuración, ajustes, controladores, claves del registro o programas instalados, y que en ocasiones desestabiliza el sistema operativo.

10.- Valora el cifrado de datos

Cifrar o “codificar” los datos de tu equipo para mantenerlos protegidos haciendo frente a amenazas como el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos, es una medida interesante especialmente en el segmento profesional y corporativo. Los proveedores de software ofrecen múltiples soluciones para hacerlo y algunos sistemas operativos cuentan con herramientas nativas.

por Juan Ranchal Thu, 08 Nov 2018 23:03:23 +0000

cifrado nativo de SSD

Investigadores de seguridad holandeses han descubierto vulnerabilidades críticas en el cifrado nativo de SSD, las unidades de estado sólido que están dominando el mercado de consumo.

En comparación con los discos duros, la lógica que hace funcionar a las SSD es mucho más compleja, e incluye un SoC más potente y un sofisticado firmware que le dice al controlador dónde está físicamente cada bit de datos del usuario almacenado a través de una serie de chips flash NAND. No es sorprendente que cuanto más sofisticado sea el firmware de una SSD, más vulnerabilidades de seguridad potenciales pueda tener.

Es lo que han descubierto estos investigadores, básicamente que las tecnologías de cifrado nativo de SSD por hardware que incluyen la mayoría de unidades modernas son superables y permitirían a un atacante romper la seguridad y hacerse con los datos sin necesidad de la contraseña de acceso.

El equipo ha examinado dos de las marcas de SSD más vendidas, Crucial y Samsung, y sus productos más populares para el segmento cliente: MX100, MX200, MX300, 840 EVO, 850 EVO, T4 y T5 externos.

“El análisis descubre un patrón de problemas críticos entre los proveedores. En varios modelos, es posible omitir el cifrado por completo, lo que permite una recuperación de los datos sin ningún conocimiento de contraseñas o claves”

Los investigadores comentan que el patrón encontrado revela que los problemas “no son incidentales sino estructurales” y explican que en este escenario estándares como el TCG Opal utilizado es “extremadamente difícil de implementar correctamente”

Con acceso físico a los puertos de depuración del dispositivo, los investigadores pudieron realizar ingeniería inversa del firmware y modificarlo para acceder a los datos cifrados del hardware ingresando cualquier contraseña. También identificaron varias vulnerabilidades de corrupción de memoria, aunque “ninguna de las cuales pudieron ser explotadas con éxito para ganar control sobre la ejecución”, explican.

También comprobaron que BitLocker, el software de cifrado integrado en Microsoft Windows no ofrece una protección efectiva en estos casos cuando se utiliza cifrado por hardware. El cifrado por software parece no verse afectado.

Los investigadores informaron de las vulnerabilidades a Crucial y Samsung antes de publicar sus hallazgos. Crucial ya ha lanzado parches de firmware para todas las unidades afectadas y Samsung ha lanzado parches de seguridad para sus SSD portátiles T3 y T5. Para sus unidades EVO, Samsung recomienda instalar un software de cifrado (disponible gratuitamente en línea) que sea compatible con su sistema hasta que publique un firmware dedicado.

La investigación no descarta que estas vulnerabilidades críticas en el cifrado nativo de SSD afecten a otros fabricantes y unidades. Borrador de investigación | PDF

por Juan Ranchal Tue, 06 Nov 2018 23:02:00 +0000

PortSmash

Un equipo de investigadores de seguridad ha descubierto otra vulnerabilidad de canal lateral en CPUs Intel. La han bautizado como PortSmash y no descartan que pueda afectar a otros procesadores como los de AMD.

La vulnerabilidad PortSmash (CVE-2018-5407), se ha unido a la lista de otras vulnerabilidades peligrosas descubiertas el año pasado que permiten ataques de canal lateral como Meltdown y Spectre , TLBleed y Foreshadow, y podría permitir que un atacante acceda a datos confidenciales protegidos como contraseñas y claves criptográficas.

Descubierta por un equipo de investigadores de seguridad de la Universidad de Tecnología de Tampere en Finlandia y la Universidad Técnica de La Habana, Cuba, la nueva vulnerabilidad reside en la tecnología Hyper-Threading, la implementación de Intel de la técnica del MultiThreading simultáneo (SMT), una característica que funciona al dividir cada núcleo físico de un procesador en núcleos virtuales conocidos como subprocesos, lo que permite que cada núcleo ejecute dos flujos de instrucciones a la vez para aumentar su rendimiento.

Este tipo de ataque de canal lateral se describe como una técnica utilizada para filtrar datos cifrados de la memoria de una computadora o del procesador que funciona a través del registro y análisis de discrepancias en los tiempos de operación, consumo de energía, fugas electromagnéticas o incluso sonido para obtener información adicional que sea útil para romper los algoritmos de cifrado y recuperar los datos procesados ​​por la CPU.

Los investigadores han publicado una prueba de concepto en GitHub donde realizan un ataque exitoso contra la biblioteca de cifrado OpenSSL, probando la vulnerabilidad en procesadores Intel Core de sexta y séptima generación (Skylake y Kaby Lake). No descartan que pueda afectar a otras arquitecturas de Intel que usen Hyper-Threading y también a procesadores de AMD que emplean técnicas similares bajo tecnología de múltiples procesos SMT.

La tecnología multihilo que permite trabajar con subprocesos en los tiempos de espera de cada proceso que manejan los núcleos físicos ha demostrado ser muy útil,

A pesar de su utilidad, no es la primera vez que aparecen vulnerabilidades críticas en estas tecnologías multihilo como mostró TLBleed el pasado junio. Al igual que Meltdown y Specter, atacan técnicas de mejora de rendimiento. Theo de Raadt, el fundador de OpenBSD y líder en proyectos OpenSSH, aconsejó a los usuarios desactivar el SMT / Hyperthreading en todas las BIOS de Intel.

De momento no hay ninguna solución salvo desactivar estas funciones de múltiples procesos con lo que ello supone en términos de rendimiento. Los investigadores comentan que un parche de Intel está en camino, pero no hay fechas para su despliegue. AMD también está investigando el informe de vulnerabilidades para conocer el alcance a sus procesadores.

por Juan Ranchal Sun, 04 Nov 2018 23:03:12 +0000

reCAPTCHA v3

Google ha anunciado una nueva versión de su herramienta para autenticación humana, reCAPTCHA v3, que reducirá las molestias a los usuarios permitiendo navegar por Internet sin interrupciones.

Como sabes, los sistemas Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) son una prueba-desafío para determinar si el usuario que está detrás de un ordenador es o no humano y combatir el correo basura y el malware asociado.

Hasta comienzo de la década, los sistemas empleados eran altamente indeseables mediante incomprensibles textos. Además, estos sistemas fueron fáciles de romper lo que obligó a emplear textos aún más difíciles de descifrar terminando de hartar al usuario.

reCAPTCHA fue la propuesta de Google para mejorar la situación de seguridad pero no la frustración del usuario. Hay pocos sistemas más molestos, pero al tiempo, necesarios para impedir que los robots spambots arrasen los servicios de Internet.

reCAPTCHA V3 no se basará en una dinámica de desafíos para identificar a los usuarios sino en un análisis de riesgos. Se ejecutará en segundo plano, e irá identificando y clasificando automáticamente a los usuarios entre robots o humanos, utilizando un sistema de puntuación basado sobre las pautas de actividad de los usuarios.

A través de las diferentes páginas web que integren este servicio, se irán analizando el desplazamiento por la web, clics, comentarios y otras interacciones. De esta manera, para cada solicitud que se envíe mediante reCAPTCHA desde cualquier web, Google habrá generando una puntuación, clasificándolo y filtrándolo según su naturaleza.

El resultado es que se podrán descartar bots automatizados y otros ataques maliciosos sin las molestias al usuario, permitiendo navegar por Internet sin interrupciones.

por Juan Ranchal Thu, 01 Nov 2018 23:02:58 +0000

Bing Chrome malware

El buscador Bing instalado en el navegador Edge, ha estado devolviendo búsquedas hacia un sitio web disfrazado como página de descarga de Chrome, pero que realmente instalaba malware en los ordenadores personales de los usuarios, según ha advertido un desarrollador.

Lo primero que hacen la inmensa mayoría de usuarios de Windows 10 cuando acceden por primera vez al sistema operativo es abrir Edge para descargar e instalar Chrome u otro alternativo como Firefox o en menor medida Opera.

Los intentos de Microsoft para que el usuario use el navegador nativo del sistema han sido hasta ahora infructuosos. 2016 vivió un vuelco histórico en navegadores web de escritorio. Era la primera vez que Internet Explorer perdía el número uno a manos de Chrome, algo que no sucedía desde que aquél defenestrara a Netscape y se convirtiera en el gran navegador web de la década de 1990.

Desde entonces, la tendencia se ha consolidado y Chrome camina imparable con una cuota de mercado que se acerca al 65% de cuota de mercado, subiendo mes a mes ante la caída de Firefox por debajo del 10% y la tendencia a la irrelevancia de las soluciones de navegación de Microsoft.

Edge no es un mal desarrollo, es una buena base de un navegador moderno, más rápido, seguro y compatible con estándares que los Internet Explorer. Además, Microsoft lo ha venido mejorando en cada versión de Windows 10, pero la tendencia es tozuda, los usuarios prefieren otras soluciones.

Microsoft ha usado en el pasado acciones para impulsar su cuota de mercado que no se pueden considerar ‘juego limpio’, desde spam contra Chrome o aseveraciones de que Edge es “más seguro” que Chrome o Firefox.

Bing “promociona” malware al descargar Chrome

La noticia que nos ocupa se las trae. Inicias Edge en un nuevo PC, buscas “descargar Chrome” y el primer resultado dirigido a “google.com” en Bing es un sitio web de phishing disfrazado para parecerse a la página de descarga de Chrome, pero que instala malware en los equipos. 

 

El desarrollador que lo ha descubierto, destaca que la página web “promocionada” por Bing no usa cifrado seguro mediante el protocolo HTTPS, algo que no advierte el buscador, como tampoco el navegador como correspondería a un sitio no seguro. Curiosamente, al realizar la búsqueda con Bing en otro navegador, no hay ni rastro de este anuncio malicioso.

Responsables de Bing han agradecido la información del desarrollador, han eliminado el anuncio y han baneado la cuenta del falsificador. El buscador lo catalogo como un “error”, pero no es difícil pensar en otras cosas más allá de un fallo en el filtrado teniendo en cuenta los antecedentes.

por Juan Ranchal Wed, 31 Oct 2018 15:30:09 +0000

sandbox para Windows Defender

Microsoft ha implementado un entorno aislado o sandbox para Windows Defender. La compañía asegura que es la “primera solución antivirus completa en tener esta capacidad”. 

Los ataques más inteligentes no solo superan las defensas, sino que en realidad ponen a tus defensores en tu contra. Ocurre en medicina con casos como el del VIH, un retrovirus que ataca al sistema inmunitario como una forma de extenderse en el cuerpo humano.

Un análogo en el mundo electrónico es la posibilidad de diseñar malware que se active mediante el proceso de análisis del software de seguridad y, finalmente, tome el control del software antivirus. Esta técnica puede causar estragos porque un antivirus tiene acceso casi libre a un equipo informático lo que le permite examinar y modificar componentes como la memoria o unidad de almacenamiento. 

El sandbox para Windows Defender significa que Microsoft ha encontrado una manera de ejecutar esta solución de seguridad nativa en un entorno aislado y protegido, un recinto de seguridad que no pueda ser comprometido cuando el software realice la peligrosa tarea de escanear cada flujo de datos entrante. 

Cómo activar el sandbox para Windows Defender

Microsoft está testeando la función en el programa Insiders, pero ya puede activarse en Windows 10 (versión 1703 o superior) de la siguiente forma:

  • Accede a la consola de Windows como administrador.
  • Ejecuta el comando setx /M MP_FORCE_USE_SANDBOX 1
  • Presiona enter y espera la validación
  • Reinicia el PC

Si el Microsoft Security Essentials original y las primeras versiones de Windows Defender se quedaban muy cortas en detección y eliminación de malware, exigiendo sí o sí la instalación de una aplicación comercial de terceros, las últimas pruebas muestran que Windows Defender en Windows 10 conseguía una alta tasa de detección.

Aunque Microsoft sigue denominando a Defender como “la primera línea de protección” y permite que la solución trabaje con soluciones de seguridad de terceros, viendo las mejoras de este Windows Defender Security Center y el resto de características de seguridad incluidas en Windows 10, se confirma que este antivirus nativo puede ser suficiente para una parte de usuarios.

Por supuesto, hay antivirus de terceros gratuitos iguales o mejores que este Windows Defender.

por Juan Ranchal Sun, 28 Oct 2018 23:02:42 +0000