martes, 31 de marzo de 2020

Los datos faciales con máscara se venden por solo $0.007 USD por cada cara

Es un hecho por cualquier usuario familiarizado con temas de ciberseguridad y protección de datos que China se ha convertido en una especie de paraíso para la venta ilegal de datos de reconocimiento facial y otros indicadores biométricos, aunque especialistas en gestión de la seguridad de la información han reportado nuevas prácticas relacionadas con estos delitos.

Acorde a los más recientes reportes publicados en South China Morning Post, los criminales ahora venden las imágenes faciales con máscaras. Múltiples herramientas de inteligencia artificial pueden reconocer los rostros de las personas aunque estén usando una máscara, por lo que estas imágenes están siendo filtradas y son vendidas en foros de hacking por menos de diez centavos de dólar cada una (0.007 dólares).

Un vendedor anónimo declaró que estas imágenes de rostros enmascarados son recolectadas desde sitios web públicos y redes sociales, aunque también afirmó que algunas de estas imágenes son extraídas de sistemas de vigilancia en vecindarios o centros de trabajo. En el reporte, los expertos en gestión de la seguridad de la información mencionan que estos proveedores han comerciado bases de datos de hasta 20 mil imágenes por menos de 150 dólares.

La irrupción del coronavirus ha llevado a cientos de miles de usuarios a emplear cubrebocas de forma cotidiana, lo que resulta contraproducente para algunos sistemas de reconocimiento facial. Realizando un mapeo de más puntos clave, y reuniendo información más precisa de los ojos y nariz de las personas, los desarrolladores de inteligencia artificial han sorteado el uso de cubrebocas, incluso algunos usuarios de dispositivos Apple han demostrado ser capaces de desbloquear usar Face ID usando estos protectores.

Especialistas en gestión de la seguridad de la información del Instituto Internacional de Seguridad Cibernética (IICS) aseguran que tanto los grupos cibercriminales como los gobiernos y compañías privadas de todo el mundo han mostrado cada vez más interés en la recolección de datos biométricos. Además, el uso de bloqueo biométrico y aplicaciones móviles de monitoreo cardiaco ha incrementado la cantidad de datos biométricos almacenados en los dispositivos inteligentes, por lo que los actores de amenazas tienen a su disposición una gran cantidad de recursos para obtener.

El cargo Los datos faciales con máscara se venden por solo $0.007 USD por cada cara apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Las empresas están pidiendo a sus empleados apagar sus smart speakers mientras trabajan desde casa

El brote mundial de coronavirus ha forzado a miles de organizaciones públicas y privadas a alejarse de los centros de trabajo, recurriendo al trabajo desde casa. Esta práctica tiene sus consecuencias obvias, aunque expertos de una empresa de ciberseguridad han señalado otros posibles resultados no previsibles anteriormente.

Empresas de todo el mundo han solicitado a sus empleados trabajando desde casa desactivar sus altavoces inteligentes (smart speakers) mientras dura la contingencia, pues temen por la posibilidad de que Alexa o Google Home puedan escuchar información confidencial.

Cabe mencionar que ha sido demostrado en múltiples ocasiones que estos dispositivos son capaces de escuchar a los usuarios incluso cuando no se les pide realizar una acción explícitamente. Las compañías realizan estas tareas de seguimiento y recolección de información con la excusa de mejorar el aprendizaje automático de estos dispositivos, aseguran especialistas de una empresa de ciberseguridad.

Esta recolección de datos puede ser perjudicial para los profesionales que operan información confidencial de forma rutinaria, como profesores a distancia, médicos, abogados, funcionarios públicos y ejecutivos de empresas privadas.

Recientemente, un bufete de abogados solicitó a todos sus miembros apagar cualquier dispositivo inteligente de uso no prioritario: “puede que esta sea una medida un tanto paranoica, pero debemos contemplar todos los posibles riesgos”, comentó un representante de una empresa de ciberseguridad.

Especialistas en ciberseguridad afirman que ni siquiera es necesario que el usuario hable en voz alta para desencadenar este escenario, pues un asistente de voz puede ser invocado incluso por el ruido generado por el televisor o la radio. Un experimento llevado a cabo por especialistas de Northeastern University concluyó que un smart speaker empleado en un hogar normal podría ser activado por accidente hasta 20 veces al día.

Cifras reportadas por el Instituto Internacional de Seguridad Cibernética (IICS) aseguran que alrededor de 60 millones de estadounidenses cuentan con al menos un smart speaker en sus hogares. Además, el uso de estos dispositivos se ha vuelto algo increíblemente común, lo que incrementa el alcance de esta actividad de recolección de datos a niveles inusitados. Los usuarios deben ser conscientes de que los empleados de estas compañías escuchan activamente algunas muestras de sus interacciones con estos dispositivos, por lo que no está de más considerar si realmente vale la pena emplear estos equipos de forma rutinaria.

El cargo Las empresas están pidiendo a sus empleados apagar sus smart speakers mientras trabajan desde casa apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Hackear servidores Linux de forma remota con vulnerabilidad de Pi-hole

Un investigador de seguridad en redes inalámbricas ha revelado la presencia de una vulnerabilidad de gravedad media en Pi-hole, una solución de filtrado de contenido basada en la red bastante popular entre los usuarios preocupados por su privacidad en línea.

Pi-hole es una aplicación de bloqueo de publicidad y herramientas de rastreo en sitios web basada en Linux que está diseñada para ejecutarse en dispositivos integrados, como Raspberry Pi. Esta tecnología ofrece una protección de sistema de nombres de dominio (DNS) que mantiene los dispositivos del usuario lejos del contenido no deseado sin la necesidad de instalar ningún software adicional del lado del cliente.

Pi-hole también ofrece un servidor integrado de protocolo de configuración dinámica de host (DHCP), junto con una interfaz de usuario basada en la web que permite la configuración de este servidor, mencionan los especialistas en seguridad en redes inalámbricas.

François Renaud-Philippon, investigador de seguridad en redes inalámbricas, descubrió una vulnerabilidad de ejecución remota de código (RCE) mediante la cual un usuario autenticado en el portal web de este producto podría comprometer el servidor subyacente. La falla afecta a la versión 4.3.2 y anteriores de Pi-hol, y recibió la clave CVE-2020-8816 en el Common Vulnerability Scoring System (CVSS).

El investigador presentó el informe sobre este inconveniente de seguridad el mes pasado, por lo que los desarrolladores de la herramienta tuvieron el tiempo necesario para lanzar una actualización de seguridad.

El riesgo de explotación es moderado/bajo, pues no es posible abusar de esta vulnerabilidad de forma remota. No obstante, los usuarios que aún no hayan actualizado su implementación de Pi-hole deben instalar la más reciente versión (v4.3.3).

Si bien la posibilidad de explotación de esta vulnerabilidad es verdaderamente reducida, la comunidad de la ciberseguridad considera que este es un hallazgo interesante, pues incluso se lanzó una prueba de concepto junto con el reporte.  

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), Pi-hole es una tecnología ampliamente popular entre los desarrolladores y usuarios de Internet preocupados por la seguridad de sus datos de navegación; empleando esta herramienta, es posible bloquear miles de anuncios y dominios de seguimiento en una red doméstica o de pequeñas empresas.

Podría decirse que Pi-hole funciona de forma similar a un firewall, lo que significa que los anuncios y los dominios de seguimiento están bloqueados para todos los dispositivos detrás de la herramienta; esto puede incluir smart TVs, smartphones y otros equipos sin software de bloqueo de anuncios nativo.   

El cargo Hackear servidores Linux de forma remota con vulnerabilidad de Pi-hole apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Encuentran múltiples vulnerabilidades en Apple iCloud

Los productos y soluciones de Apple no están exentos de las fallas de seguridad. Después de una consultoría de ciberseguridad, un grupo de investigadores descubrió múltiples vulnerabilidades en Apple iCloud que podrían ser explotadas por actores de amenazas para esquivar las restricciones de seguridad, generar condiciones de denegación de servicio, ejecutar código arbitrario en el sistema objetivo, desplegar ataques de secuencias de scripts entre sitios (XSS) y obtener información confidencial de las víctimas.

Estas fallas fueron reportadas el pasado 25 de marzo, y se les considera de alta gravedad. A continuación, los especialistas de la consultoría de ciberseguridad presentan una breve explicación de cada una de estas vulnerabilidades, junto con su respectiva clave del Common Vulnerability Scoring System (CVSS).

CVE-2020-9783: Esta es una vulnerabilidad lógica en WebKit que podría ser explotada para esquivar las restricciones de seguridad en el sistema objetivo.

CVE-2020-3909: Falla de desbordamiento del búfer en libxml2 que puede explotarse para generar una condición de denegación de servicio (DDoS) en el sistema de la víctima.

CVE-2020-3910: Esta es una vulnerabilidad de corrupción de memoria en WebKit que ser explotada empleando una página web especialmente diseñada para ejecutar código arbitrario.

CVE-2020-3887: una vulnerabilidad de confusión de tipos en WebKit que puede explotarse a través de una página web especialmente diseñada para ejecutar código arbitrario.

CVE-2020-3895: una vulnerabilidad de validación de entrada en WebKit que podría ser explotada usando una página web especialmente diseñada para realizar ataques XSS.

CVE-2020-3894: una vulnerabilidad de condición de carrera en WebKit que podría ser explotada para obtener información confidencial del usuario objetivo.

CVE-2020-3901: una vulnerabilidad de confusión de tipos en WebKit que los actores de amenazas podrían explotar de forma remota para ejecutar código arbitrario.

CVE-2020-3899: Esta es una vulnerabilidad use-after-free en WebKit que puede ser explotada a través de una página web especialmente diseñada y desencadenar la ejecución de código arbitrario.

CVE-2020-3900: Una vulnerabilidad de consumo de memoria en WebKit que puede explotarse de forma remota para ejecutar código arbitrario.

CVE-2020-3897: Una vulnerabilidad lógica en la página de carga de WebKit que puede ser explotada para esquivar las restricciones de seguridad.

Aún no se han lanzado las correcciones correspondientes, por lo que expertos en consultoría de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) recomienda consultar las plataformas oficiales de la compañía desarrolladora para conocer más sobre estas fallas y la fecha de lanzamiento de las actualizaciones. 

El cargo Encuentran múltiples vulnerabilidades en Apple iCloud apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

COMO EJECUTAR PROGRAMAS SIN PRIVILEGIOS DE ADMINISTRADOR EN WINDOWS

Todo el mundo sabe que, al intentar acceder a alguna aplicación de Windows, necesitamos privilegios anticipados para usarlos correctamente, hasta ahora. Aquí le mostraremos cómo ejecutar programas sin privilegios de administrador. RunWithRestrictedRights es una herramienta que restringe los privilegios de los archivos que deben descargarse e instalarse en un sistema Windows; Según los investigadores de hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), los desarrolladores de malware pueden utilizar esta herramienta para eludir las medidas de seguridad y el control de cuentas de usuario (UAC).

¿Qué es UAC?

Esta es una medida de seguridad relevante para los sistemas Windows. Ayuda a los usuarios a proteger su sistema operativo de cambios no autorizados ((aplicación, virus, malware y más). Cada vez que intentamos instalar cualquier aplicación en Windows, UAC confirma que el usuario la ejecute. Cuando no se aprueban los privilegios, no podemos ejecutar la aplicación.

A continuación podemos ver la imagen del indicador UAC en Windows, mencionan los especialistas en hacking ético.

Para verificar las opciones de UAC en sus sistemas Windows, escriba UAC para obtener la siguiente pantalla:

AJUSTES UAC

  • En estos ajustes, vemos cuatro tipos de modulaciones
    • Notificarme siempre cuando las aplicaciones intenten instalar software o realizar cambios en mi computadora
    • Notificarme solo cuando las aplicaciones intenten hacer cambios en mi computadora (predeterminado); No me notifique cuando realice cambios en mi configuración de Windows
    • Notificarme solo cuando las aplicaciones intenten hacer cambios en mi computadora; No me notifique cuando realice cambios en la configuración de Windows
    • Nunca me notifique cuando las aplicaciones intenten instalar software o realizar cambios en mi computadora y yo realice cambios en la configuración de Windows

CÓMO USAR RUNWITHRESTRICTEDRIGHTS

  • Después de descargar y guardar el exe en C: unidad, abra el símbolo del sistema como administrador
  • Ahora, escriba C:\WINDOWS\system32>C:\RunWithRestrictedRights.exe
  • A continuación verá todas las opciones de RunWithRestrictedRights.exe
  • Ingrese C:\WINDOWS\system32>C:\RunWithRestrictedRights.exe <application-name>
  • Abra el módulo deseado (notepad, word, MSpaint)

C:\WINDOWS\system32>C:\RunWithRestrictedRights.exe

  • Si la aplicación solicita privilegios UCAC, no se solicitarán privilegios usando la herramienta

USO DE LOS PARÁMETROS RUNWITHRESTRICTEDRIGHTS

Cada vez que ejecute el comando con la “aplicación” que desea iniciar, mostrará el archivo de integridad media / baja. Si desea verificar el archivo de integridad baja / media, podemos usar la herramienta Process Explorer o Process Hacker.

  • Ingrese C:\WINDOWS\system32>C:\RunWithRestrictedRights.exe control panel –v
    • v produce una salida detallada   
  • Ingrese C:\WINDOWS\system32>C:\RunWithRestrictedRights.exe notepad -w
  • -w en lugar de regresar inmediatamente después de la aplicaciión, espera a que la aplicación finalice. Esto es opcional

CONCLUSIÓN

Con esta herramienta podemos almorzar cualquier aplicación sin acceso de administrador. Podemos utilizar esta herramienta en todas las máquinas Windows desde Windows XP y superior, y también es compatible con Windows Server 2003 y superior. En 2017, Microsoft anunció que en Windows el no administrador puede proteger el 94% de las vulnerabilidades críticas, mencionan los especialistas en hacking ético.

El cargo COMO EJECUTAR PROGRAMAS SIN PRIVILEGIOS DE ADMINISTRADOR EN WINDOWS apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

lunes, 30 de marzo de 2020

Hackers muestran contenido pornográfico y racista durante videoconferencia de la Universidad de Massachusetts: ¿Qué es Zoom-bombing?

En ocasiones los hackers no parecen perseguir objetivos específicos, pues sus acciones indican que sólo tratan de molestar a otros usuarios, afirman expertos de un curso de pentesting. Recientemente, la Asociación de Gobierno Estudiantil (SGA) llevó a cabo una reunión de forma remota vía el servicio de videoconferencia Zoom en las instalaciones de la Universidad de Massachusetts, aunque las cosas no salieron como se esperaban.

Según reportó Rachel Ellis, participante de la reunión, la sesión de Zoom fue atacada por un grupo de hackers no identificado, quienes alteraron el sistema para mostrar “insultos racistas e imágenes de alto contenido gráfico”. Posteriormente, Ellis añadió: “Me disculpo con los participantes de la reunión vía Zoom por las molestas imágenes e insultos transmitidos durante la sesión; estas acciones no serán toleradas por la SGA”.

El ataque a la sesión de Zoom ocurrió cerca de una hora después del inicio de la reunión, mientras se desarrollaba la intervención de uno de los oradores: “Fue absolutamente despreciable e inaceptable. Si alguien tiene información sobre quién fue responsable de eso, es su obligación informarnos”, menciona Timothy Sullivan, presidente de la SGA. Especialistas de un curso de pentesting participarán en la investigación del incidente. Otras instituciones han reportado incidentes similares en el pasado.

El Instituto Internacional de Seguridad Cibernética (IICS) asegura que el número de incidentes de ataque a sesiones de Zoom han incrementad de forma notable. Conocidos como “Zoom-bombing”, estos ataques consisten en el envío de material inapropiado a sesiones de videoconferencia, mostrando a los participantes material pornográfico, insultos racistas y mensajes antisemitas. Los atacantes pueden obtener acceso robando el acceso a los participantes o incluso explotando algunas vulnerabilidades de seguridad en la plataforma.

Acorde a los especialistas del curso de pentesting, la frecuencia con la que se han presentado estos incidentes podría representar una disminución considerable en el uso de esta plataforma.

A pesar de los recientes ataques, el Senado de E.U. aprobó una moción para enviar un conjunto de recomendaciones de seguridad a múltiples organizaciones no gubernamentales que emplean Zoom con el fin de difundir algunos de los métodos más empleados por los actores de amenazas y así reducir el número de incidentes de hacking de videoconferencias.

El cargo Hackers muestran contenido pornográfico y racista durante videoconferencia de la Universidad de Massachusetts: ¿Qué es Zoom-bombing? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Más de 1700 dominios ZOOM de phishing registrados la semana pasada

Una de las principales medidas para limitar la expansión del coronavirus/COVID-19 ha sido el llamado “distanciamiento social”, por lo que millones de personas han recurrido al uso de herramientas de trabajo remoto, mencionan especialistas de un diplomado de seguridad informática.

Una de las herramientas más utilizadas para esto son las plataformas de video conferencia, cuya popularidad ha incrementado de forma notable a lo largo de las últimas semanas. Esta situación tiene su lado negativo, pues los cibercriminales han comenzado a sacar ventaja del creciente interés en estos servicios para registrar dominios de phishing.

Un reciente informe elaborado por instructores del diplomado de seguridad informática de la firma Check Point detalla una nueva técnica empleada por los actores de amenazas que podría haberles concedido acceso a sesiones activas de Zoom

En el reporte, los especialistas aseguran que, durante los últimos días, ha incrementado de forma considerable el registro de dominios que incluyen el término “ZOOM”, una de las plataformas de video conferencia más utilizadas en todo el mundo.

Los expertos del diplomado de seguridad informática aseguran que, desde enero de 2020, se han registrado casi 1800 nuevos dominios web, con más de 500 registrados durante la semana pasada. Acorde al reporte, cerca del 4% de estos dominios tiene características sospechosas. Además de Zoom, los actores de amenazas también han estado empleando otros dominios similares a plataformas en línea populares, como classroom.google.com.

Algunos de los sitios identificados como maliciosos contienen un archivo que, al ser ejecutado, conduce a la instalación del iframe InstallCore PUA en el equipo de la víctima, con el fin de instalar malware adicional.

Múltiples empresas privadas, instituciones gubernamentales y académicas deberán operar a distancia por tiempo indefinido, por lo que es necesario implementar algunas medidas de seguridad sobre el uso de plataformas de trabajo a distancia. A continuación, el Instituto Internacional de Seguridad Cibernética (IICS) presenta algunas recomendaciones básicas para asegurar las labores durante el periodo que se deba recurrir al “home office”.

  • Tener cuidado con los emails y archivos adjuntos enviados por usuarios desconocidos
  • No abrir ningún archivo o enlace adjunto contenido en un email sospechoso
  • Tratar de identificar dominios con nombres similares a los legítimos. Los actores de amenaza suelen usar los errores ortográficos para registrar dominios maliciosos

La contingencia continuará por tiempo indefinido, por lo que se recomienda a los usuarios apegarse a estas recomendaciones.

El cargo Más de 1700 dominios ZOOM de phishing registrados la semana pasada apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Edward Snowden: Coronavirus, un pretexto para que los gobiernos realicen vigilancia biométrica

Los gobiernos de todo el mundo están empleando todos los recursos tecnológicos a su disposición para hacer frente a la pandemia del coronavirus/COVID-19, aunque en ocasiones esto podría violar la privacidad de los usuarios, mencionan especialistas en seguridad de la información.

Una de las afirmaciones más polémicas al respecto fue expuesta por Edward Snowden, el ex contratista de la CIA encargado de las filtraciones de la NSA, que declaró recientemente sobre la pandemia y la actitud de los gobiernos: “Cuando se aprueban medidas de emergencia, especialmente en estos días, éstas tienden a ser invasivas y duraderas. La emergencia se expandirá y, sin darnos cuenta, las autoridades han adquirido nuevas facultades sobre nosotros”, afirma Snowden.

Los expertos en seguridad de la información mencionan que las acciones de Snowden fueron fundamentales para volver la protección de datos un asunto fundamental. Actualmente aislado en Rusia, Snowden afirma que los gobiernos podrían aprovechar de la pandemia para adoptar medidas de recolección de datos y vigilancia mucho más severas, además de que las medidas podrían extenderse al tiempo posterior a la emergencia.

En esta ocasión, los gobiernos del mundo podrían estar en búsqueda de la recolección de datos biométricos, lo que podría resultar muy útil para llevar las actividades de vigilancia a otro nivel: “Los gobiernos ya tienen acceso a lo que vemos en Internet. Ahora podrían acceder a nuestro ritmo cardiaco, presión arterial, entre otros; ¿qué pasará cuando combinen esta información con la inteligencia artificial?”, cuestiona Snowden.

Por ejemplo: un hombre en E.U. mira un video de YouTube de un funcionario federal dando un discurso. Si el discurso lo hace enojar, el pulso y frecuencia cardíaca del usuario incrementarán, lo que quedará registrado en su smartphone. Empleando algoritmos y esta información biométrica, este individuo podría ser registrado en una lista de potenciales terroristas, mencionan los especialistas en seguridad de la información.

Si bien esto podría parecer una exageración, la pandemia ya ha sido aprovechada por los gobiernos de algunas partes del mundo para incrementar sus actividades de recolección de datos. China, por ejemplo, ha exigido a sus habitantes instalar una aplicación móvil que les asigna códigos que representan su estado de salud. No se conocen detalles adicionales sobre esta política, aunque se han filtrado múltiples reportes sobre esta nueva forma de recolección de datos.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), los gobiernos de todo el mundo deben garantizar que la crisis de salud actual no debe ser aprovechada para incrementar la extracción de datos de usuarios de tecnología.

El cargo Edward Snowden: Coronavirus, un pretexto para que los gobiernos realicen vigilancia biométrica apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Compañías de telecomunicaciones compartirán datos de ubicación de los usuarios con el gobierno para rastrear a los usuarios que visitan hospitales

Una nueva estrategia para combatir la pandemia será implementada a la brevedad. Acorde a instructores de un curso DPO, los países miembros de la Unión Europea comenzarán a adoptar las medidas establecidas por algunos países asiáticos sobre el uso compartido de datos móviles con el fin de dar seguimiento a algunos casos de coronavirus, sin desapegarse de la legislación europea de protección de datos.

Un informe del grupo de cabildeo GSMA, las compañías de telecomunicaciones han decidido compartir los datos de ubicación de los usuarios con las autoridades europeas. Entre las compañías que han decidido unirse a esta iniciativa están:

  • Vodafone
  • Deutsche Telekom
  • Orange
  • Telefónica
  • Telecom Italia

Los especialistas del curso DPO han señalado la posibilidad de que el gobierno comience a usar la tecnología para monitorear las actividades de los usuarios en cuarentena y rastrear nuevos brotes de coronavirus, lo que representa un incremento en las actividades de vigilancia gubernamental.

En recientes declaraciones, un representante de la Comisión Europea mencionó que se emplearán los datos de ubicación de los usuarios para rastrear a usuarios movilizándose a centros hospitalarios para identificar algunas métricas sobre la propagación del virus. Por otra parte, la Comisión asegura que esta información se manejará de forma anónima: “No buscamos centralizar la información de los usuarios o vigilar a las personas”, afirma la Comisión.

Cabe mencionar que los datos anónimos no están contemplados en el Reglamento General de Protección de Datos (GDPR) de la UE, aunque la Comisión asegura que estas medidas no violan de ninguna forma esta legislación, no obstante, es necesario hacer algunas aclaraciones: “La Comisión debe definir con claridad qué información estará recolectando, además de asegurar que esta medida sea aplicable sólo hasta que pase la pandemia”, consideran los expertos del curso DPO.

El Instituto Internacional de Seguridad Cibernética (IICS) considera que la principal preocupación respecto a esta medida es la posibilidad de que sea implementada de forma permanente, por lo que no debe abandonarse el seguimiento a esta decisión.

Países como Singapur y Taiwán están empleando diversos métodos para recolectar información sobre los brotes de coronavirus, siendo la centralización de datos el principal, aunque la legislación en protección de datos en estos territorios es menos enérgica o, en múltiples casos, inexistente.

El cargo Compañías de telecomunicaciones compartirán datos de ubicación de los usuarios con el gobierno para rastrear a los usuarios que visitan hospitales apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

viernes, 27 de marzo de 2020

Zoom está vendiendo los datos de las conferencias de sus usuarios a Facebook

A pesar de que las legislaciones de cada país han impuesto medidas cada vez más severas contra las malas prácticas de privacidad y protección de datos, expertos en seguridad de aplicaciones mencionan que muchas empresas siguen ofreciendo pocas garantías para resguardar la información de sus usuarios.

Un reporte publicado recientemente asegura que la app para iOS del servicio de videoconferencias Zoom comparte los datos de sus usuarios con Facebook, práctica que no está mencionada en las políticas de privacidad del servicio. Entre la información compartida con el gigante de las redes sociales se encuentran detalles como: modelo del dispositivo utilizado, zona horaria, ciudad, compañía telefónica, además de una clave de identificación de usuario. Zoom envía estos datos sin importar si el usuario tiene una cuenta de Facebook o no.

“Al descargar y abrir la app de Zoom para iOS, se inicia una conexión a la API Graph de Facebook, que es la principal forma en la que la red social obtiene datos”, menciona el reporte elaborado por expertos en seguridad de aplicaciones de Motherboard.

Si bien la plataforma de videoconferencia menciona a sus usuarios que podrían recopilarse algunos datos de su perfil de Facebook, en ningún momento se les notifica que esta información será enviada a la red social. Además, los investigadores mencionan que es una práctica común que las aplicaciones empleen el kit de desarrollo de software (SDK) de Facebook: “Muchas aplicaciones emplean este SDK como una forma de implementar funciones en sus aplicaciones de forma sencilla, lo que implica el compartir datos de sus usuarios con Facebook”.

El problema es que esta práctica requiere forzosamente que las compañías notifiquen a sus usuarios, requisito que Zoom ignoró completamente: “Es altamente probable que esta práctica pase desapercibida para los usuarios de Zoom”, mencionan especialistas en seguridad de aplicaciones. 

Al respecto, Facebook sólo comentó que una de sus políticas es requerir que los desarrolladores sean completamente transparentes con sus usuarios sobre la cantidad de información que el servicio podría recolectar. Por otra parte, Zoom no ha emitido una postura referente a este hallazgo.

El Instituto Internacional de Seguridad Cibernética (IICS) señala que, debido a las medidas de distanciamiento social sugeridas ante la emergencia por el coronavirus/COVID-19, la popularidad de servicios como Zoom está incrementando de forma considerable, aunque los usuarios no parecen estar realmente preocupados por la seguridad de su información personal.

El cargo Zoom está vendiendo los datos de las conferencias de sus usuarios a Facebook apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vulnerabilidad “zero-click/no-touch” en macOS permite comprometer un dispositivo de forma remota

Apple lanzó recientemente un par de alertas de seguridad en referencia al hallazgo de al menos cinco vulnerabilidades Bluetooth en MacOS. Acorde a especialistas de un diplomado de seguridad informática, estas fallas permitirían a los actores de amenazas comprometer un dispositivo sin clics y sin contacto (variantes de ataque conocidas como zero-click/no-touch).

El reporte fue presentado por el equipo de investigadores de la firma 360 ​​Alpha Lab. Posteriormente, Apple reconoció el informe y comenzó a trabajar en el lanzamiento de los parches de seguridad correspondientes. Los investigadores recibieron un pago de 75 mil dólares como parte del programa de recompensas por vulnerabilidades de la compañía.

La falla de seguridad, apodada “Bluewave“, existe en el proceso Bluetooth del sistema macOS. En su reporte, los especialistas del diplomado de seguridad informática mencionan que una vez que el hacker compromete un dispositivo, puede usarlo como punto de acceso a un equipo emparejado vía Bluetooth.

Al parecer, la falla es extensiva para todas las portátiles de Apple con sistema macOS, incluyendo Mojave 10.14.6, macOS High Sierra 10.13.6 y macOS Catalina 10.15.2. Los especialistas del diplomado de seguridad informática de 360 recomiendan a los usuarios actualizar a las más recientes versiones del sistema operativo lo antes posible.

Este es un caso particular, en el que una potencial falla de seguridad afecta en mayor medida los dispositivos con sistema operativo macOS que a las máquinas de Windows. En el reporte se menciona que esta vulnerabilidad afecta a más del doble de dispositivos macOS que Windows.

No obstante, los dispositivos Windows siguen dominando la estadística de vulnerabilidades de seguridad, por lo que son uno de los objetivos más frecuentes de los actores de amenazas. Este escenario podría cambiar en el futuro, pues la creciente popularidad de los dispositivos de Apple entre los usuarios de tecnología podría provocar que los hackers comiencen a invertir más recursos para el ataque a estos dispositivos, sin olvidar que los ataques reportados contra los dispositivos Apple han crecido casi 40% en los últimos dos años.

El Instituto Internacional de Seguridad Cibernética (IICS) recomienda consultar las plataformas oficiales de los desarrolladores de tecnología para descargar las actualizaciones correspondientes para encontrar mayores detalles sobre el reporte.

El cargo Vulnerabilidad “zero-click/no-touch” en macOS permite comprometer un dispositivo de forma remota apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

jueves, 26 de marzo de 2020

Vulnerabilidad en iOS evita que redes VPN cifren el tráfico web correctamente

Especialistas en concientización de ciberseguridad han revelado el hallazgo de una vulnerabilidad de omisión de red privada virtual (VPN) que afecta a los dispositivos iOS.

Por lo general, cuando un usuario se conecta a una VPN, el sistema operativo de su dispositivo cierra todas las conexiones de Internet existentes y luego las restablece a través del túnel VPN. En la versión 13.3.1 de iOS, el sistema operativo falla al cerrar las conexiones existentes de forma adecuada. La mayoría de las conexiones son de corta duración y eventualmente se restablecen por sí mismas a través del túnel VPN. No obstante, algunas son persistentes y pueden permanecer abiertas por minutos, e incluso horas, fuera del túnel VPN.

Por ejemplo, el servicio de notificaciones push de Apple, que mantiene una conexión de larga duración entre el dispositivo y los servidores de la compañía, aseguran los especialistas en concientización de ciberseguridad. A pesar de que el problema fue detectado en Apple, los investigadores aseguran que cualquier otro servicio similar podría resultar afectado.  

Esta falla permitiría que los datos de los usuarios se vean expuestos si las conexiones afectadas no se cifran, aunque es necesario mencionar que esta no sería una situación normal. Lo que sí es probable es que los hackers logren generar condiciones de fuga de IP, con lo que podrían acceder a los datos de conexión de los usuarios afectados.  

Acorde a especialistas en concientización de ciberseguridad, los usuarios en mayor riesgo son aquellos que viven en países donde la vigilancia y el monitoreo de actividades en línea son comunes, como China.

El Instituto Internacional de Seguridad Cibernética (IICS) menciona que las conexiones establecidas después de habilitar la VPN no se ven afectadas por esta falla. Sin embargo, las conexiones que ya se encuentran en ejecución previo a la habilitación del servicio VPN sí se ven comprometidas. Se recomienda a los usuarios esperar una actualización de Apple.

El Instituto Internacional de Seguridad Cibernética (IICS) también recomienda consultar las plataformas oficiales de los desarrolladores de esta distribución para descargar las actualizaciones correspondientes y encontrar mayores detalles sobre estas fallas.

El cargo Vulnerabilidad en iOS evita que redes VPN cifren el tráfico web correctamente apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Virus de mensajes de voz en Facebook Messenger que infecta teléfonos y computadoras

Los usuarios de redes sociales siempre han estado expuestos a las campañas maliciosas. En esta ocasión, los especialistas en de una consultoría de protección de datos reportan la aparición de una variante de virus oculto en mensajes de voz de Facebook Messenger. Esta es parte de una campaña de distribución de troyanos y otros tipos de malware vía supuestos mensajes de voz enviados a los usuarios de esta plataforma de mensajería. Se menciona que los actores de amenaza ya han infectado a usuarios en todas partes del mundo.

Los especialistas de la consultoría de protección de datos advierten a los usuarios sobre la posibilidad de recibir este virus de mensaje de voz desde una cuenta de Facebook Messenger hackeada o falsa. Si bien el mensaje no desencadena la instalación del malware por sí mismo, sí podría redirigir al usuario a otros sitios web, controlados por los actores de amenazas e infestados de amenazas informáticas como troyanos, ransomware, software para el minado de criptomoneda y awdare.

Esta podría ser una amenaza de seguridad altamente severa, pues los usuarios nunca imaginarían que una nota de voz recibida vía Facebook Messenger puede contener malware o un enlace malicioso. Además, en los peores casos, el malware podría ejecutarse directamente al presionar el mensaje de voz recibido.

El envío de mensajes a usuarios individuales no es el único vector de ataque empleado por los actores de amenazas. Los expertos de la consultoría de protección de datos señalan que los cibercriminales también podrían realizar publicaciones en múltiples grupos, etiquetar a cientos de usuarios y redirigirlos a sitios externos.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), esta clase de infecciones puede pasar completamente desapercibida para los usuarios con pocos conocimientos en ciberseguridad, por lo que no detectarán nada anormal hasta que la infección se complete. Además, esta variante de malware ha demostrado ser capaz de inhabilitar los sistemas antimalware en dispositivos móviles, por lo que el riesgo incrementa. 

Por otra parte, los usuarios con mayores conocimientos pueden detectar indicios como aumento en el consumo de recursos del dispositivo, aparición de íconos de aplicaciones desconocidas o procesos no identificados en el controlador de tareas. Hasta el momento la compañía no se ha pronunciado al respecto.

Por prevención, se recomienda a los usuarios de Facebook Messenger ignorar cualquier mensaje enviado por un usuario desconocido, además de hacer caso omiso de publicaciones sospechosas. No hacer clic en enlaces a sitios de terceros también es una opción recomendable.  

El cargo Virus de mensajes de voz en Facebook Messenger que infecta teléfonos y computadoras apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Roban código fuente de futuros productos de Xbox y AMD ; exigen rescate de $100 MDD

Las más importantes compañías tecnológicas también están expuestas al hacking. Un grupo de expertos en seguridad web menciona que, durante los días pasados, un hacker no identificado filtró algunos fragmentos del código de la unidad de procesamiento gráfico (GPU) de la consola Xbox Series X, así como de algunos productos de AMD próximos a lanzarse en el mercado. El material robado fue publicado en un repositorio de GitHub.

Al respecto, AMD ya ha comenzado a emprender las acciones legales pertinentes contra los controladores del repositorio de GitHub (xxXsoullessXxx), señalando múltiples violaciones a la Ley de Derechos de Autor de la Era Digital (DMCA, por sus siglas en inglés). La plataforma eliminó de inmediato el repositorio en cuestión, además publicó una nota de prensa que menciona: “Este repositorio contiene propiedad intelectual que fue obtenida ilícitamente de AMD”. De forma extraoficial, comenzó a hablarse de que los hackers exigían un rescate millonario.

Acorde a los expertos en seguridad web, días después la responsable del ataque volvió a aparecer. La supuesta hacker afirma ser una joven que, sin revelar mayores detalles, contactó a una página web especializada en noticias de ciberseguridad para revelar su crimen, asegurando además haber valuado el código robado en alrededor de 100 millones de dólares. La hacker mencionó que, en caso de que AMD no le hiciera un pago por esta cantidad, filtraría todo el código en Internet.   

“Hace unos meses encontré el código fuente de estos productos en un servidor comprometido”, afirmó la hacker. “Esta información estaba en un servidor expuesto al que pude acceder usando algunos exploits. Sobra decir que la seguridad de este sistema era muy pobre, lo cual es muy malo para una empresa como esta”. Finalmente, la hacker mencionó que el código robado es parte de las GPU Navi 10, Navi 21 y Arden, el nombre clave del chip de procesamiento gráfico de la consola Xbox Series, que será lanzada en este año.

Un grupo de expertos en seguridad web asegura haber detectado un rastro dejado por la hacker, aunque no descargaron el código, pues esto podría traerles problemas legales. También mencionaron la existencia de otros cuatro repositorios que ya han sido eliminados.

Si bien AMD ya ha reconocido el incidente, la compañía no parece estar dando la importancia debida al asunto. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), esto podría deberse a que la firma considere que el material expuesto no contenga datos críticos. Cabe mencionar que esta no es la primera ocasión en la que AMD debe lidiar con incidentes similares.

El cargo Roban código fuente de futuros productos de Xbox y AMD ; exigen rescate de $100 MDD apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

¿Por qué las agencias gubernamentales no creen que sea seguro usar Zoom?

Las fallas de seguridad en desarrollos tecnológicos son una de las principales preocupaciones de los altos funcionarios en múltiples países, afirman especialistas en pruebas de seguridad informática. En cumplimiento con las recomendaciones de distanciamiento social por la crisis del coronavirus/COVID-19, el Primer Ministro británico Boris Johnson había estado utilizando la aplicación de videoconferencias Zoom para llevar a cabo algunas reuniones para tratar múltiples temas relevantes, incluyendo seguridad nacional, aunque tal vez el premier deba buscar otras alternativas.

El Ministerio de Defensa británico acaba de emitir un comunicado interno para informar a su personal sobre la suspensión inmediata en el uso de esta plataforma, al menos hasta que se complete una investigación sobre su seguridad. La Defensa también hizo un llamado a pensar en la seguridad de otros servicios y plataformas.

En el mensaje enviado a los miembros del ministerio se menciona que, en el futuro cercano, se decidirá si el gobierno británico puede seguir usando Zoom, o si se dejará de usar definitivamente. Al respecto, expertos en pruebas de seguridad informática aseguran que esta era una medida previsible, pues es vital para los gobiernos y compañías privadas de todo el mundo contar con canales de comunicación seguros ante la contingencia.

Por otra parte, Paul Bischoff, experto en pruebas de seguridad informática de la firma Comparitech, afirma que la popularidad de Zoom ha incrementado notablemente durante las últimas semanas, aunque las compañías que lo usan no suelen detenerse a pensar en la seguridad de esta plataforma.

Empleados de organizaciones públicas y privadas que antes no estaban familiarizados con esta clase de servicios han tenido que recurrir a su uso ante la imposibilidad de asistir a sus centros de trabajo; incluso algunas personas han aprendido a usar Zoom con fines sociales, pues ofrece una mejor calidad en el servicio que plataformas más comunes, como la videollamada de WhatsApp.

A pesar de que esta plataforma cuenta con todas las medidas de seguridad posibles, no están exentos de presentar fallas. Hace unos meses, por ejemplo, el Instituto Internacional de Seguridad Cibernética (IICS) reveló una falla de seguridad de webcam que podría haber sido explotada para comprometer sesiones de Zoom. A pesar de recibir múltiples reportes, la compañía demoró demasiado en corregir la falla, lo que generó descontento entre sus miles de usuarios.

El cargo ¿Por qué las agencias gubernamentales no creen que sea seguro usar Zoom? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

miércoles, 25 de marzo de 2020

Vulnerabilidad de ejecución remota de código en Linux afecta millones de dispositivos de red

Un investigador especializado en auditoría de base de datos ha reportado el hallazgo de una vulnerabilidad de ejecución remota de código en el sistema operativo OpenWrt que podría ser explotada para inyectar cargas maliciosas en un sistema afectado.   

Este es un sistema operativo basado en Linux empleado principalmente para el funcionamiento de dispositivos integrados y enrutadores de red. OpenWrt es empleado por compañías de múltiples ramos industriales en todo el mundo.

Una actualización implementada para abordar una vulnerabilidad anterior permitió que el administrador de paquetes ignore las sumas de verificación SHA-256 incrustadas en el índice de repositorio firmado, lo que permite a los actores de amenazas esquivar la verificación de integridad de los componentes .ipk descargados.

 Acorde a los expertos en auditoría de base de datos, los hackers deben enviar paquetes comprometidos desde un servidor web e interceptar la comunicación entre el dispositivo y la dirección downloads.openwrt.org para explotar la vulnerabilidad. En su defecto, un actor de amenazas podría tomar control del servidor DNS que el dispositivo objetivo empleó para hacer que downloads.openwrt.org se dirija a un servidor web malicioso.

De hecho, opkg en OpenWrt se ejecuta como root, lo que permite a los actores de amenazas obtener acceso de escritura a todos los sistemas de archivos para realizar una inyección de código arbitrario de forma remota mediante paquetes .ipk falsificados con una carga útil maliciosa.

Los expertos en auditoría de base de datos mencionan que completar el ataque también requiere que los hackers desplieguen un ataque Man-in-the-Middle (MiTM) para servir un índice de paquete válido y firmado; por ejemplo, uno obtenido de downloads.openwrt.org, además de uno o más paquetes .ipk falsificados que tengan el mismo tamaño que el especificado en el índice del repositorio mientras se invoca un comando `opkg install` en el sistema de la víctima.

La vulnerabilidad fue identificada como CVE-2020-7982 por el Common Vulnerability Scoring System (CVSS). Se solicita a los administradores de implementaciones afectadas instalar las actualizaciones requeridas a la brevedad. Los parches de seguridad se encuentran disponibles en las plataformas oficiales de los desarrolladores.

El Instituto Internacional de Seguridad Cibernética (IICS) recomienda consultar las plataformas oficiales de los desarrolladores de esta distribución para descargar las actualizaciones correspondientes y encontrar mayores detalles sobre estas fallas.

El cargo Vulnerabilidad de ejecución remota de código en Linux afecta millones de dispositivos de red apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

La privacidad de millones de niños está expuesta debido a estas aplicaciones de Android

A pesar de la implementación de estrictas medidas de seguridad, múltiples aplicaciones maliciosas logran infiltrarse en Google Play Store, afirman especialistas de un diplomado en ciberseguridad. En esta ocasión, se ha reportado la detección de al menos 56 apps maliciosas, descargadas por cerca de 1.7 millones de usuarios, muchos de ellos niños.

Estas eran apps sencillas (juegos para móvil, filtros, guía de horóscopos, entre otros servicios) desarrolladas por compañías casi desconocidas.

Las aplicaciones identificadas estaban infectadas con Tekya, una variante de malware empleado para generar clics fraudulentos en publicidad controlada por Facebook, Google, AdMob, entre otras. Este malware imita la conducta de un usuario legítimo para evitar que las herramientas anti malware y las compañías que colocan estos anuncios identifiquen las acciones anómalas.

Acorde a los instructores del diplomado en ciberseguridad las apps maliciosas lograron esquivar la detección de herramientas como Google Play Protect y la plataforma Virus Total. Finalmente, el malware fue localizado por un equipo de investigadores de Check Point, quienes reportaron que al menos la mitad de estas aplicaciones, enfocadas en el público infantil, contenían el malware Tekya en su código. Google ya ha eliminado estas aplicaciones de Play Store.   

En su reporte, los expertos de Check Point también destacan la dificultad para mantener esta plataforma completamente a salvo de amenazas cibernéticas: “Existen alrededor de 3 millones de apps disponibles en Google Play, y cada día se añaden decenas, o incluso cientos más. Los usuarios deben verificar el perfil de los desarrolladores antes de instalar una nueva app”.

Los expertos del diplomado en ciberseguridad mencionan que los actores de amenazas evitan la detección empleando el código nativo de Android, que generalmente emplea los lenguajes de programación C y C ++, además del uso de Java para implementar la lógica.

Aunque los dispositivos Android suelen desinstalar de forma automática las aplicaciones que Google identifica como maliciosas, este mecanismo no siempre responde como debería, por lo que la compañía recomienda a los usuarios verificar que sus aplicaciones sean reconocidas como legítimas.

Recientemente, el Instituto Internacional de Seguridad Cibernética (IICS) reveló la presencia de una app maliciosa en Play Store, afirmando que ya había sido descargada más de 700 mil veces. Esta app estaba infectada con un malware conocido como Android.Circle.1, y era usada con el fin de infestar el dispositivo afectado con anuncios invasivos.   

El cargo La privacidad de millones de niños está expuesta debido a estas aplicaciones de Android apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Baile del Papa; nuevo virus de Facebook y WhatsApp

Desde que se popularizó el uso de WhatsApp, los usuarios han estado expuestos a múltiples intentos de estafas, aseguran los especialistas en seguridad de la información. Una de las variantes más populares es la “estafa Martinelli”, que habla de un supuesto video que será enviado a todos los usuarios de la plataforma de mensajería, y que tendría la capacidad de hackear un dispositivo. 

La estafa Martinelli era parte de la ampliamente popular campaña conocida como WhatsApp Gold, una supuesta versión mejorada de la app, empleada por funcionarios del gobierno, atletas y celebridades, que es en realidad una variante de malware para móviles.

Recientemente se reportó el resurgimiento de la variable Martinelli, aunque con algunos cambios. En el mensaje se asegura a los usuarios de WhatsApp que al día siguiente será enviado de forma masiva un video capaz de formatear el dispositivo de las víctimas, aunque el tema del supuesto video cambió en esta ocasión.

Acorde a los especialistas en seguridad de la información, el video ahora se llama “Baile del Papa” (Dance of the Pope), y se muestra el siguiente mensaje a los usuarios: “Por favor informe a todos sus contactos para que no abran un video llamado Baile del Papa, pues este es un virus que formatea su móvil; envíe este mensaje a todos los usuarios que pueda”.

FUENTE: Sophos

Por si fuera poco, los mensajes en cadena haciendo alusión al video de Martinelli no han dejado de aparecer. Los especialistas en seguridad de la información sugieren que esta tendencia podría estar relacionada con el crecimiento en la popularidad de un futbolista de apellido Martinelli, recientemente incorporado a las filas del club londinense Arsenal.

Los objetivos de los actores de amenazas detrás de estas campañas fraudulentas son algo ambiguos. Aún así, especialistas aseguran que de hecho sí es posible comprometer un smartphone mediante un video cargado de malware, aprovechándose de vulnerabilidades sin corregir en un reproductor de medios o en una plataforma de mensajería.

Por otra parte, el Instituto Internacional de Seguridad Cibernética (IICS) menciona que, si bien estos ataques son posibles en teoría, la posibilidad de que ocurran en la práctica es remota, pues la labor de actualización constante de estas plataformas previene la mayoría de riesgos de seguridad.

Esta clase de mensajes seguirán apareciendo, por lo que la recomendación principal es hacer caso omiso, además de verificar que sus aplicaciones se mantengan siempre actualizadas.

El cargo Baile del Papa; nuevo virus de Facebook y WhatsApp apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

83 mil servidores Memcached podrían colapsar fácilmente usando esta vulnerabilidad

Un equipo de especialistas en seguridad web ha revelado la existencia de una falla de seguridad persistente que podría comprometer las implementaciones de un popular software de almacenamiento de datos distribuido en memoria caché (conocido popularmente como “Memcached”).

Esta es una vulnerabilidad de desbordamiento de búfer en el encabezado del protocolo binario en las versiones 1.6.0 y 1.6.1 de Memcached  que podría ser explotada para hacer colapsar el software comprometido. Los investigadores no fueron alertados antes de la divulgación pública de la falla.   

Al respecto, uno de los mantenedores de Memcached reveló que la vulnerabilidad fue corregida apenas unas horas antes de la divulgación de su existencia. Además, los usuarios de implementaciones afectadas ya pueden encontrar la versión actualizada (1.6.2) en sus plataformas oficiales.

Los investigadores en seguridad web mencionan que la falla existe debido a una comprobación faltante en el parámetro extlen durante una llamada a la función mamcpy ().   

Si los actores de amenazas pudieran hacer más grande la extensión de extlen, se desencadenaría el desbordamiento de búfer para paralizar el software por completo; los expertos sugieren que esto también podría conducir a la ejecución de código remoto, aunque no se ha demostrado.

Los desarrolladores del proyecto se tomaron el tiempo para criticar la decisión de los expertos en seguridad web que decidieron revelar esta falla (anunciándola como una vulnerabilidad día cero) sin notificar con anterioridad. Cabe recordar que la comunidad de la ciberseguridad establece un periodo de notificación privada a los desarrolladores de un proyecto vulnerable antes de la divulgación pública de los errores.

El Instituto Internacional de Seguridad Cibernética (IICS) recuerda a los administradores de implementaciones afectadas que deben actualizar a la brevedad, además, aconsejan no exponer Memcached en Internet como medida de seguridad adicional.

Desafortunadamente esta es una práctica común, pues se calcula que actualmente existen decenas de miles de servidores ejecutando Memcached expuestos a través del puerto 11211. En un análisis superficial realizado con Shodan, especialistas encontraron al menos 83 mil sistemas expuestos por el mencionado puerto, una deficiente práctica de seguridad.

Se desconoce cuántas de estas implementaciones son vulnerables, aunque una referencia que podría ayudar en este cálculo es que la falla se introdujo con el lanzamiento de la versión 1.6.0, por lo que se recomienda a los administradores de esta versión, y la posterior 1.6.1, actualizar lo antes posible. 

El cargo 83 mil servidores Memcached podrían colapsar fácilmente usando esta vulnerabilidad apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

martes, 24 de marzo de 2020

NetWalker, nueva variante de ransomware creada para colapsar hospitales

Hace algunas semanas, un hospital ubicado en una pequeña región de España fue víctima de un incidente de ciberseguridad que inhabilitó parte de su infraestructura. Acorde a especialistas de un curso de ingeniería inversa, este era el primer ciberataque afectando a un hospital español, al menos hasta ahora.

Reportes similares a este han aparecido durante los últimos días, encendiendo las alarmas entre las autoridades. Finalmente, el Director Adjunto de la Policía Nacional reveló la identificación de NetWalker, una nueva variante de ransomware capaz de inhabilitar completamente toda la infraestructura informática de miles de hospitales españoles.

Las autoridades lanzaron esta alerta hace apenas unas horas, recomendando al personal que labora en estas instituciones tener cuidado con cualquier posible email o sitio web malicioso, pues es cuestión de unos segundos para que el malware pueda infiltrarse en un sistema afectado, mencionan los expertos del curso de ingeniería inversa.

Un reporte de seguridad de la firma Kaspersky menciona que esta es una nueva versión de una variante de ransomware conocida como Kokoklock, además del malware Mailto. Según el reporte, los actores de amenaza emplean una sencilla campaña de ingeniería social para hacer que las víctimas interactúen con algún enlace, archivo adjunto o sitio web malicioso.

Por otra parte, las autoridades de España, en conjunto con instructores de un curso de ingeniería inversa, aseguraron que el principal vector de ataque en este país es el envío de correos electrónicos con archivos maliciosos adjuntos, señalado que la mayoría de herramientas antivirus no pueden identificar la amenaza hasta que es demasiado tarde.

Por si fuera poco, esta amenaza ya ha trascendido las fronteras del país europeo. Diversas instituciones de salud en Illinois han reportado casos de infección de NetWalker, lo que dificulta la labor de combate al brote mundial de coronavirus/COVID-19.

Después de completar la infección del sistema objetivo, el malware muestra una nota de rescate exigiendo un pago por una suma no revelada. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), es poco recomendable negociar un pago con los hackers, pues no existe garantía alguna de que los actores de amenazas cumplirán con su parte del trato, por lo que la información del usuario podría perderse para siempre.

Además, debido a su bajo costo y poca complejidad, las campañas de infección de ransomware siguen siendo uno de los principales riesgos de ciberseguridad para los usuarios en general, por lo que se recomienda tomar previsiones, como la implementación de filtros de correo electrónico y archivos de respaldo.  

El cargo NetWalker, nueva variante de ransomware creada para colapsar hospitales apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Nueva vulnerabilidad en WhatsApp permite hackear códigos 2FA

Cualquier plataforma conectada a Internet está expuesta al hacking, incluso si se implementan las prácticas de seguridad más recomendadas, aseguran expertos de un curso para hackear celulares. Hace un par de años, WhatsApp lanzó un mecanismo de autenticación de dos factores (2FA) para proporcionar una capa de seguridad adicional para sus usuarios.

Un grupo de investigadores reveló recientemente el hallazgo de una nueva vulnerabilidad en las versiones de WhatsApp para iOS y Android que, de ser explotada, podría permitir a los actores de amenazas obtener el código de acceso 2FA enviado por la compañía, el cual está almacenado en texto sin cifrar.

Cabe mencionar que esta no es la primera ocasión en la que se descubre una seria falla en la seguridad de la plataforma de mensajería, empleada por cientos de millones de personas en todo el mundo.

Acorde a los instructores del curso para hackear celulares, la única protección con la que cuenta este código es que está almacenado en un entorno sandbox, por lo que no es posible que aplicaciones de terceros puedan acceder a esta información, además de que la compañía no almacena este código en las copias de seguridad. No obstante, el hecho de que el código se almacene en texto sin cifrar es una deficiente práctica de seguridad. 

A continuación, se muestra cómo WhatsApp almacena la contraseña de 2FA en texto simple. También es posible apreciar que los archivos son almacenados en un contenedor privado.

Los expertos del curso para hackear celulares señalan que esta clave 2FA también es visible en dispositivos Android rooteados, por lo que otras aplicaciones con permisos de root podrían acceder a este código.

Una aplicación de terceros que pudiera acceder a este código aún requeriría de la obtención de un código PIN de seis dígitos enviado al número de teléfono del usuario para comprometer completamente su cuenta, por lo que la posibilidad de explotar esta falla de seguridad con fines maliciosos es reducida de forma considerable.

A pesar de que los usuarios no están ante un peligro inminente, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda a WhatsApp no almacenar esta información en texto sin cifrar para eliminar completamente cualquier riesgo para los usuarios y sus cuentas en la aplicación de mensajería.

El cargo Nueva vulnerabilidad en WhatsApp permite hackear códigos 2FA apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Publican vulnerabilidad día cero de Windows; es posible hackear cualquier computadora con este sistema

La frecuencia con la que han estado apareciendo reportes sobre vulnerabilidades día cero explotadas en escenarios reales es una de las principales preocupaciones de la comunidad de la ciberseguridad. Recientemente, un reporte elaborado por el equipo de análisis de vulnerabilidades de Microsoft reveló que los actores de amenazas han estado explotando activamente un error día cero para ejecutar código malicioso en sistemas Windows, incluso en los que cuentan con todas las actualizaciones de seguridad de la compañía.

Acorde al reporte, esta es una vulnerabilidad de ejecución remota de código vinculada a algunos ataques recientemente detectados y que reside en Adobe Type Manager Library, un DLL de Windows empleado por múltiples aplicaciones para la administración y representación de las fuentes de Adobe Systems.

Para ser específicos, el ataque consiste en la explotación de dos vulnerabilidades de ejecución de código que podrían ser desencadenadas para generar un manejo inapropiado de fuentes maestras diseñadas con fines maliciosos. Para explotar las fallas, los hackers sólo tienen que engañar al usuario objetivo para que abra un documento especialmente diseñado.

El equipo de análisis de vulnerabilidades de Microsoft no especificó si los actores de amenazas han tenido éxito en sus ataques o si, en caso contrario, sólo son intentos de hacking. Cabe mencionar que, en la mayoría de ocasiones, los mecanismos de seguridad de Windows pueden evitar que un exploit funcione tal como esperan los atacantes.

Hasta el momento, Microsoft no ha lanzado un parche, aunque un grupo de especialistas en análisis de vulnerabilidades emitió las siguientes recomendaciones para mitigar el riesgo de explotación:

  • Inhabilitar los paneles de Vista Previa y Detalles en el Explorador de Windows
  • Inhabilitar el servicio WebClient
  • Cambiar el nombre de ATMFD.DLL; o bien desactivar el archivo de registro

Además, se recomienda a los administradores de implementaciones Windows permanecer al tanto de las actualizaciones de la compañía sobre este inconveniente de seguridad y el lanzamiento de los parches completos.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), dadas las características del ataque, y a la aparente opacidad de Microsoft respecto a los objetivos identificados hasta el momento, es altamente probable que se trate de una campaña de espionaje contra altos funcionarios gubernamentales o directivos de alguna compañía.

El cargo Publican vulnerabilidad día cero de Windows; es posible hackear cualquier computadora con este sistema apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Cómo implantar backdoors en un servidor web; lista de todos los backdoors PHP/ASP

Existen numerosas formas para infectar aplicaciones web. El shell backdoor es una forma de script de malware que se usa para crear accesos ocultos en servidores web. Gracias a este backdoor, es posible acceder de forma remota a los archivos del servidor objetivo. Acorde a investigadores en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), hasta la más mínima vulnerabilidad en el código de una aplicación web puede ayudar a un actor de amenazas a inyectar un backdoor, lo que permitiría una amplia variedad de actividades maliciosas.

A continuación, le mostraremos algunos backdoors empleados para la infección de sitios web; esta información puede ser útil para los administradores de sistemas durante los escaneos de servidores web en busca de vulnerabilidades de seguridad. Este es el proceso por el que los hackers cargan backdoors en servidores vulnerables:

  • Para las pruebas, emplearemos DVWA (Dam Vulnerability Web Application)
  • Descargue la ISO de DVWA desde https://ift.tt/2bDamAt 
  • Para ejecutar DVWA ISO, puede usar Oracle Virtualbox. Descargue Virtualbox e instale el ejecutable
  • Después de la instalación de Virtualbox, importe el ISO de DVWA. Inicie la ISO
  • Se abrirá una terminal, escriba ifconfig. En nuestro caso, la dirección IP de la máquina DVWA en la que se ejecuta el servidor web es 192.168.1.105
  • En la máquina del atacante, abra el navegador y escriba http://192.168.1.105
  • Obtendrá la página de inicio de sesión de DVWA
  • Credenciales de acceso predeterminadas
    • Usuario: admin
    • Contraseña: password
  • Ahora, en la máquina hacker, descargue el backdoor de prueba
  • Descargar desde: https://ift.tt/361kRJa
  • Si está utilizando Google Chrome, el navegador podría mostrar una advertencia o bloquear el backdoor antes de descargarlo
  • En ese caso, emplearemos Mozilla Firefox
  • Mozilla Firefox ofrece la opción de descargar este tipo de archivos. Después de descargar el archivo zip, descomprima el shell backdoor
  • Regrese al inicio de sesión de DVWA. Ingrese las credenciales de acceso
    • Usuario: admin
    • Contraseña: password
  • Para comenzar las pruebas en DVWA, debemos bajar la seguridad tal como se muestra a continuación. Para eso vaya a DVWA Security
  • Haga clic en Low (reducir) y luego haga clic en Submit (enviar), mencionan los expertos en hacking ético
  • Todo el shell backdoor se cargará explotando una vulnerabilidad de carga de archivos. Haga clic en Choose backdoor file y luego haga clic en Upload (cargar). Mostraremos cómo funciona en los siguientes pasos
  • Se cargará el backdoor, descargado anteriormente
  • Comenzando con el primero: 0byt3m1n1_Backdoor
  • Vaya a: https://ift.tt/2tnUqQL

0BYT3M1N1_BACKDOOR

  • Seleccione 0byt3m1n1_Backdoor
  • Haga clic en Upload (cargar); a continuación se mostrará el mensaje “Succsesfully Uploaded” (cargado correctamente)
  • Después de cargar el backdoor, el atacante podrá acceder a los archivos del servidor web. Dependiendo de la funcionalidad del backdoor, el atacante incluso podría hacer cambios o copiar archivos a otra ubicación
  • Para acceder al backdoor, abra el navegador y escriba https://ift.tt/3705NNp
  • Arriba se muestra que el backdoor 0byt3m1n1 tiene acceso a todos los archivos en el servidor web
  • 0byt3m1n1 proporciona una funcionalidad básica para editar, renombrar o eliminar los archivos comprometidos
  • El atacante puede editar los archivos que se encuentran en el servidor
  • Los investigadores de hacking ético de IICS mencionan que, en caso de que la seguridad en el servidor sea alta, el hacker podría emplear métodos avanzados para cargar el backdoor, lo que implica incrustar el código malicioso en un archivo de imagen

AK74SHELL BACKDOOR

  • Para probar otras variantes, vaya a https://ift.tt/2tnUqQL
  • Después de cargar el backdoor, vaya al navegador y escriba https://ift.tt/361l5A0
  • El backdoor ak47shell tiene muchas opciones para explorar el servidor objetivo
  • La opción General Information muestra de forma clara el sistema operativo en el que se ejecuta el sitio web y otros detalles como el software del servidor, la dirección IP de origen y la dirección IP del atacante
  • Pasando a otras opciones, File Manager muestra todos los archivos que están disponibles en el servidor web
  • Arriba muestra los directorios, archivos con fechas de cambio recientes, permiso de acceso y da la opción de editar y eliminar
  • ak74shell cambia los parámetros del archivo para ejecutar el código deseado
  • Este backdoor php también ofrece una opción para ejecutar el comando del shell de Linux
  • Haga clic en Execute the Command y escriba cualquier comando de Linux; ls mostrará los archivos en el directorio actual
  • Arriba se muestra el Shell de comandos de ak74shell, que se puede usar para cambiar o eliminar cualquier archivo importante del servidor

P0WNY BACKDOOR

  • Probemos otro backdoor; abra el navegador y escriba https://ift.tt/38c2VNx
  • Después de cargar el backdoor, abra el navegador y escriba https://ift.tt/371IId0
  • Este backdoor brinda acceso directo a los archivos en el servidor web
  • p0wny abrirá el shell de comandos de Linux
  • El atacante puede ejecutar diferentes comandos de Linux para acceder a directorios y archivos

  • Arriba se muestra el shell de Linux p0wny, que es la vulnerabilidad más peligrosa para cualquier servidor web
  • De manera similar, puede probar otros backdoors que están disponibles en GitHub. Esto puede ayudar en el análisis de vulnerabilidades en aplicaciones web
PHP Shell :
   B374K Shell
 
   C99 Shell
 
   R57 Shell
 
   Wso Shell
 
   0byt3m1n1 Shell
 
  Alfa Shell
 
  AK-47 Shell
 
  Indoxploit Shell
 
  Marion001 Shell
 
  Mini Shell
 
  p0wny-shell
 
  Sadrazam Shell
 
  Webadmin Shell
 
  WordPress Shell
 
ASP Shell :
  Pouya Shell
 
  Kacak Asp Shell
 
  Asp Cmd (Old ISS)
 
  Asp Cmd (New ISS)

El cargo Cómo implantar backdoors en un servidor web; lista de todos los backdoors PHP/ASP apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente