lunes, 31 de agosto de 2020

3 vulnerabilidades críticas en Trend Micro Vulnerability Protection

Especialistas en ciberseguridad reportan el hallazgo de al menos tres fallas de seguridad en Vulnerability Protection, una solución desarrollada por Trend Micro para la protección de endpoints de forma más rápida y sólida para complementar la seguridad antivirus y antimalware. Acorde a los reportes, la explotación exitosa de estas vulnerabilidades permitiría a los actores de amenazas esquivar mecanismos de seguridad, ejecutar código malicioso, entre otras actividades maliciosas.

A continuación se presentan breves descripciones de algunas de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2020-8602: Esta falla existe debido a una insuficiente verificación de problemas de autenticidad de los datos en la consola de administración de la aplicación afectada. Los expertos mencionan que un actor de amenazas remota podría esquivar algunas de las comprobaciones de integridad de archivos para ejecutar código arbitrario en el sistema comprometido.

Esta falla recibió un puntaje de 6.2/10 en la escala CVSS, por lo que los especialistas consideran que este es un riesgo de seguridad bajo.

CVE-2020-15601: Por otra parte, esta vulnerabilidad existe debido a un problema en el procesamiento de solicitudes de autenticación cuando el mecanismo LDAP está habilitado. Los actores de amenazas remotos podrían esquivar la autenticación y obtener acceso a recursos restringidos en el sistema vulnerable.

Esta es una falla de severidad alta que recibió un puntaje de 7.1/10, mencionan los especialistas en ciberseguridad.

CVE-2020-15605: Un error al procesar las solicitudes de autenticación dentro de la consola de Vulnerability Protection permite a los actores de amenazas esquivar el mecanismo de autenticación y obtener acceso no autorizado, siempre y cuando el mecanismo LDAP esté habilitado.

La falla recibió un puntaje de 7.1/10, por lo que se le considera un riesgo de seguridad alto.

Acorde al reporte, estas tres vulnerabilidades están presentes en la versión 2.0 SP2 de Vulnerability Protection.

Si bien las vulnerabilidades podrían ser explotadas de forma remota por actores de amenazas no autenticados, los expertos aún no detectan intentos de explotación activa o algún malware capaz de desencadenar estos ataques. Trend Micro ya ha lanzado los parches de seguridad correspondientes, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

El cargo 3 vulnerabilidades críticas en Trend Micro Vulnerability Protection apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nueva estafa vía SMS que incluye el nombre del destinatario

Por desgracia para los usuarios y organizaciones, los hackers maliciosos nunca dejan de buscar nuevos métodos de ataque. Recientemente se detectó una nueva variante de estafa en la que las potenciales víctimas reciben mensajes de texto que mencionan que se les ha enviado un paquete y deben confirmar su dirección en un enlace adjunto.

Aunque esta parece una estafa poco sofisticada y muy común, los expertos señalan que esta campaña destaca por sí misma, pues el mensaje SMS incluye el nombre de la víctima, lo que incrementa las posibilidades de éxito en el ataque.

Estas son muy malas noticias para los usuarios de teléfonos móviles de todo el mundo, y se pone peor considerando la enorme cantidad de incidentes de brecha de datos reportados cada día. Dave Hatter, especialista en seguridad informática, describe este modo de operación: “La información expuesta en brechas de datos se vende de un hacker a otro a través de toda la dark web, por lo que es posible detallar el perfil de millones de personas”.

Todo indica que si el usuario hace clic en el enlace, los actores de amenazas pueden recopilar aún más información de la víctima empleando un formulario malicioso, además de actividades como la descarga de malware para ataques posteriores: “Los atacantes podrían recolectar información de forma masiva para venderla a otros grupos de actores de amenazas, generando un enorme círculo vicioso de hacking, ingeniería social y phishing“, menciona Hatter. El experto concluyó mencionando que en casos específicos los actores de amenazas incluso podrían llamar por teléfono a las víctimas potenciales, aunque es probable que esto solo ocurra en escenarios muy específicos.

La principal recomendación de seguridad en un caso como este es hacer caso omiso a cualquier mensaje SMS o llamada telefónica sospechosa, pues podría tratarse de una estafa capaz de generar considerables pérdidas económicas a las víctimas.    

El cargo Nueva estafa vía SMS que incluye el nombre del destinatario apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Hacker roba $ 16 millones de dólares a través de un exploit de billetera Bitcoin

Los ataques contra poseedores de grandes cantidades de dinero en criptomoneda se han convertido en una tendencia de reciente crecimiento, aseguran especialistas en ciberseguridad. Uno de los incidentes más recientes afectó al propietario de mil 400 Bitcoin (unos 16 millones de dólares), que sufrió un ataque contra su billetera virtual

Si bien muchas plataformas de intercambio de criptomoneda han logrado reducir el índice de incidentes de seguridad, los hackers han decidido enfocar sus ataques contra los usuarios de cualquier recurso para el almacenamiento de activos virtuales, lo que parece estar dando resultados.

Un indicio de esto es el reciente ataque contra múltiples cuentas de Twitter propiedad de políticos, celebridades y empresarios; las cuentas comprometidas fueron utilizadas para anunciar una supuesta inversión en Bitcoin demasiado buena para ser verdad. Desafortunadamente algunos usuarios cayeron en la trampa, por lo que perdieron cientos e incluso miles de dólares.

Respecto al más reciente ataque, expertos descubrieron un nuevo fraude que permitió el robo de alrededor de 16  millones de dólares de un solo usuario que corrió con muy mala suerte, menciona un reporte publicado en NewsBTC.  

El usuario (cuya identidad permanece anónima) accedió a su billetera Bitcoin desarrollada por la firma Electrum por última vez en 2017, por lo que no contaba con las más recientes actualizaciones de seguridad emitidas por Electrum, lo que el atacante aprovechó para instalar un exploit que le notificó cuando el usuario trató de actualizar su billetera, lo que le permitió acceder a los mil 400 Bitcoin almacenados por la víctima.

El experto en ciberseguridad Ben Kaufman menciona que antes de conectarse al blockchain, el software de Electrum debe conectarse a un servidor público que actúa como un tercero de confianza. No obstante, los actores de amenazas pueden explotar algunas fallas en este proceso; en este caso, el atacante explotó el recordatorio para que no se confíen claves privadas con terceros.   

Dada la naturaleza de las transacciones de criptomoneda, es muy probable que la víctima no pueda recuperar sus activos virtuales, aunque se han presentado casos en los que una víctima potencial detecta esta conducta maliciosa y actúa lo suficientemente rápido para prevenir que el fraude se complete. Expertos mencionan que este es un buen ejemplo de por qué se deben mantener actualizadas todas las herramientas tecnológicas que usamos de forma regular.   

El cargo Hacker roba $ 16 millones de dólares a través de un exploit de billetera Bitcoin apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Hacker de Football Leaks demandado por la salida de Cristiano Ronaldo del Real Madrid

Las actividades de hacking pueden afectar a toda clase de organizaciones, como el escándalo de Football Leaks en el que un hacker expuso las prácticas de los directivos y empresarios relacionados con el deporte más popular del mundo. Expertos en seguridad lógica mencionan que el club de fútbol Real Madrid ha decidido mantener el proceso legal contra Rui Pinto, el individuo responsable de estas filtraciones, pues lo considera el principal responsable de la partida de Cristiano Ronaldo al fútbol italiano hace un par de años.

A través del sitio web Football Leaks, Pinto reveló múltiples filtraciones sobre contratos, cifras de traspasos, salarios de futbolistas e información sobre los dueños y dirigentes de los más importantes clubes de futbol europeos. Muchos miembros de la comunidad de la ciberseguridad conocen a este sitio como la versión deportiva de WikiLeaks.  

Rui Pinto, principal operador de Football Leaks

Rui Pinto ha permanecido bajo arresto domiciliario desde el pasado mes de abril, cuando llegó a un acuerdo con las autoridades para salir de la prisión, donde fue recluido en marzo de 2019. El hacker logró esto mediante la cooperación con las autoridades en diversas investigaciones relacionadas con las filtraciones.

Parte de su cooperación con las autoridades fue la entrega de ocho unidades de almacenamiento, mencionan expertos en seguridad lógica. En estos dispositivos Pinto almacenaba detalles sobre Cristiano Ronaldo y sus problemas fiscales en España, por los que recibió una condena de 23 meses de prisión; aunque el futbolista portugués no fue a prisión gracias a un acuerdo con las autoridades, este lío habría sido determinante para que decidiera salir del club español con rumbo al club italiano Juventus.

Aunque la prensa especializada señala muchas otras causas para que Ronaldo tomara esta decisión, al interior del Real Madrid consideran que estas filtraciones se realizaron con el objetivo específico de dañar la relación entre el club y el futbolista, por lo que su departamento legal inició un proceso en contra de Rui Pinto, el cual continuará hasta las últimas consecuencias.

Además de las acusaciones del club de fútbol español, Pinto enfrenta una sentencia de hasta 25 años de cárcel por los delitos de acceso no autorizado a sistemas de cómputo e intento de chantaje, mencionan especialistas en seguridad lógica.

El cargo Hacker de Football Leaks demandado por la salida de Cristiano Ronaldo del Real Madrid apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

domingo, 30 de agosto de 2020

TRANSFERIR CUALQUIER DATO CONFIDENCIAL MEDIANTE EL SONIDO USANDO DEEPSOUND

INTRODUCCIÓN

La gente siempre busca la forma de ocultar datos y transferirlos a sus amigos. Imagina que puedes obtener un archivo MP3 con contraseña, ahora puede transferir cualquier archivo o información confidencial a través de un archivo de audio (MP3, WMA, WAV, APE, el cual puede ser recuperado con facilidad. Investigadores en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) comentan: “hemos visto casos forenses en los que se comparte información utilizando estos canales de esteganografía”.

A continuación se presenta un tutorial sobre el uso de DeepSound, una herramienta para convertir un archivo extensión MP3 a .wav y flac.

ENTORNO

  • Sistema Operativo: Microsoft Windows [Versión 10.0.18363.1016], 64 bits

PASOS DE INSTALACIÓN

  • Haga clic aquí para descargar la herramienta
  • Descargue el archivo zip y extraiga el archivo
DeepSound-2.0 - Extracted Files
  • A continuación, ejecute el archivo DeepSound.exe para usar la herramienta, mencionan los especialistas en hacking ético
DeepSound-2.0 - Tool Launch
  • Ahora, haga clic en “abrir archivo portador”, para agregar cualquier archivo de audio de estas extensiones (.MP3, .ape, .wav y .flac)
  • A continuación, haga clic en “Agregar archivo secreto” para agregar cualquier archivo confidencial
DeepSound-2.0 - Add Audio/Secret Files
  • Se agregó correctamente el archivo de audio y confidencial
  • También puede seleccionar la calidad del audio
DeepSound-2.0 - Security Key
  • Haga clic en codificar archivo seguro, marque la casilla Cifrar archivos secretos e ingrese la contraseña y luego haga clic en codificar archivos secretos para proteger el archivo
  • Esto guardará el archivo de audio en una ruta específica. El archivo cifrado será el mismo que el archivo original

DESCIFRAR ARCHIVO DE AUDIO

  • Agregue un archivo de audio cifrado haciendo clic en un archivo de operador abierto, le pedirá contraseñas de seguridad
DeepSound-2.0 - Decrypt Audio File
  • Ingrese la clave de seguridad y haga clic en Aceptar
DeepSound-2.0 - Extract Audio File
  • Ahora, seleccione un archivo secreto y haga clic en Extraer archivos secretos. Esto descargará el archivo secreto en nuestra máquina

CAMBIAR LA EXTENSIÓN DEL ARCHIVO DE AUDIO

  • Haga clic en Convertidor de audio, agregue el archivo de audio y seleccione la extensión, luego haga clic en convertir
DeepSound-2.0 - Change Audio File Extension
  • El archivo de audio convertido se guardará en la ruta del directorio de salida

CONCLUSIÓN

Hemos visto cómo transferir o almacenar datos confidenciales en cualquier archivo de audio. Si usamos esta técnica, nadie puede identificar o robar sus datos y es mejor transferir el archivo de datos a cualquier usuario final, aseguran los especialistas en hacking ético. Para encontrar datos ocultos en un archivo de audio, se requiere algún análisis binario.

El cargo TRANSFERIR CUALQUIER DATO CONFIDENCIAL MEDIANTE EL SONIDO USANDO DEEPSOUND apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

sábado, 29 de agosto de 2020

CÓMO HACKEAR EL WHATSAPP DE UN AMIGO CON SÓLO UN ENLACE

INRODUCCIÓN

WhatsApp se ha convertido en una parte importante de la vida de miles de millones de personas, que a diario despiertan y se van a dormir no sin antes enviar o recibir un nuevo mensaje. A pesar de que es una herramienta privada, seguro muchos de nosotros nos hemos preguntado cómo espiar en la cuenta de WhatsApp de amigos, familiares o pareja. Para esto, los investigadores de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) mostrarán un método para acceder a una cuenta de WhatsApp empleando un enlace.

Utilizaremos una herramienta de ingeniería social llamada Ohmyqr. Esta herramienta permite secuestrar la cuenta de WhatsApp de cualquier persona utilizando un código QR malicioso. Le enviaremos a la Víctima una URL utilizando técnicas de ingeniería social; cuando la víctima abra esa URL, recibirá un código QR malicioso de WhatsApp en su máquina. Este código QR es una réplica de lo que normalmente ves cuando usas la web de WhatsApp. Al escanear el código QR, los hackers podrán secuestrar la cuenta atacada.

ENTORNO

  • Sistema Operativo: Kali Linux 2019.3 64 bit
  • Versión de Kernel: 5.2.0

PASOS DE INSTALACIÓN

  • Use el siguiente comando para clonar el proyecto
  • git clone https://ift.tt/2M3zBRO
root@kali:/home/iicybersecurity# git clone https://github.com/thelinuxchoice/ohmyqr
Cloning into 'ohmyqr'…
remote: Enumerating objects: 23, done.
remote: Total 23 (delta 0), reused 0 (delta 0), pack-reused 23
Receiving objects: 100% (23/23), 20.95 KiB | 437.00 KiB/s, done.
Resolving deltas: 100% (8/8), done.
  • Use el comando cd para ingresar al directorio ohmyqr
root@kali:/home/iicybersecurity# cd ohmyqr/
root@kali:/home/iicybersecurity/ohmyqr#
  • Cuando intentamos iniciar la herramienta, recibimos un error por no instalar los paquetes necesarios para la herramienta como se muestra a continuación
  • Use el comando bash ohmyqr.sh
OhMyQR - Scrot Missing Package
  • Para esto utilizamos el siguiente comando, que instalará el paquete de que falta
  • sudo apt-get install scrot
root@kali:/home/iicybersecurity/ohmyqr#  sudo apt-get install scrot
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
  giblib1 libid3tag0 libimlib2
The following NEW packages will be installed:
  giblib1 libid3tag0 libimlib2 scrot
0 upgraded, 4 newly installed, 0 to remove and 1564 not upgraded.
Need to get 293 kB of archives.
After this operation, 1,011 kB of additional disk space will be used.
================================================================================================================SNIP=============================================================================================================
Selecting previously unselected package scrot.
Preparing to unpack .../archives/scrot_1.3-1_amd64.deb ...
Unpacking scrot (1.3-1) ...
Setting up libid3tag0:amd64 (0.15.1b-14) ...
Setting up libimlib2:amd64 (1.6.1-2) ...
Setting up giblib1:amd64 (1.2.4-12) ...
Setting up scrot (1.3-1) ...
Processing triggers for man-db (2.8.6.1-1) ...
Processing triggers for libc-bin (2.30-4) ...
Scanning processes...
Scanning linux images...
  • De la misma manera, obtuvimos otro error por la falta de un paquete al iniciar la herramienta
  • Usaremos el siguiente comando para instalar el paquete xdotool
  • sudo apt-get install xdotool
root@kali:/home/iicybersecurity/ohmyqr# sudo apt-get install xdotool
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
  libxdo3
The following NEW packages will be installed:
  libxdo3 xdotool
==============================================================================================================SNIP===============================================================================================================
Setting up libxdo3:amd64 (1:3.20160805.1-4) ...
Setting up xdotool (1:3.20160805.1-4) ...
Processing triggers for man-db (2.8.6.1-1) ...
Processing triggers for libc-bin (2.30-4) ...
Scanning processes...
Scanning linux images..
  • Ahora, use el comando bash ohmyqr.sh para iniciar la herramienta
OhMyQR - Tool Launch
  • Lanzamos la herramienta de forma exitosa
  • Ahora, elija la opción 1 para iniciar el servidor Ngrok
  • Seleccione el sitio web para duplicar o presione ENTER para default WhatsApp e iniciar el servidor PHP y Ngrok y luego generará un enlace malicioso (enlace ngrok)
  • Luego presione Enter para iniciar WhatsApp Web en la máquina de los hackers
  • Se iniciará web.whatsapp.com en el navegador Firefox en modo de pantalla completa en la máquina atacante
  • Ahora envíe un enlace malicioso (enlace ngrok) a la víctima utilizando técnicas de ingeniería social
  • Como se muestra a continuación, cuando la víctima abre el enlace malicioso en el navegador, mostrará el mismo código QR de WhatsApp  Web que está llegando a la máquina atacante
  • En la captura de pantalla siguiente se muestra a la derecha la pantalla atacante, mientras que a la izquierda está la máquina de la víctima
OhMyQR - right is the Hacker screen and on the left is the Victim screen
  • Cuando la víctima escanea el código QR, se completa el ataque
  • La máquina atacante obtendrá acceso a la cuenta web.whatsapp de la víctima. La sesión de WhatsApp de la víctima ha sido secuestrada
  • Los atacantes podrán acceder a la cuenta de WhatsApp Web objetivo sin que la víctima pueda hacer nada al respecto
OhMyQR - Victm's WhatsApp Account Right is the Hacker screen and on the left is the Victim screen
  • En la imagen de arriba, podemos ver las pantallas de la víctima y de los atacantes
  • Hemos hackeado la cuenta de forma exitosa
  • Es muy fácil hackear una cuenta de WhaysApp Web usando técnicas de ingeniería social, aseguran los investigadores de IICS, que han colaborado en muchas otras investigaciones relacionadas con el hacking de cuentas en línea

CONCLUSIÓN

Hemos visto lo fácil que es ver y acceder a la cuenta de WhatsApp de una víctima usando un enlace malicioso. Esta variante de ataque para el secuestro de cuentas de mensajería es muy común, por lo que se recomienda a los usuarios ignorar cualquier enlace sospechoso o enviado por un usuario desconocido.

El cargo CÓMO HACKEAR EL WHATSAPP DE UN AMIGO CON SÓLO UN ENLACE apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

FORMAS RÁPIDAS DE OCULTAR EL USUARIO, UNIDAD, ARCHIVOS, CARPETAS Y DATOS EN SISTEMAS WINDOWS

INTRODUCCIÓN

Hay momentos en los que necesitamos una solución inmediata para ocultar cualquier archivo/carpeta/unidad/usuario o cualquier dato en nuestra máquina de Windows. Aunque hay muchas variantes de software en línea para esta labor, la mayoría de ellos no siempre están disponibles de inmediato. Es por eso que le mostraremos algunos pasos básicos para ocultar cualquier cosa en Windows. Investigadores en hacking ético del Instituto Internacional de Seguridad Cibernética comentan que “los creadores de malware utilizan algunas de estas técnicas para ocultar el software malicioso”.   

Le mostraremos el proceso para ocultar cualquier cosa, lo que solo requiere una serie de comandos y, en algunos casos, herramientas de software. Empleando estos métodos podremos ocultar nuestros datos personales confidenciales y nadie podrá acceder a ellos. Estos son métodos seguros y fáciles de usar.   

OCULTAR ARCHIVOS USANDO LÍNEAS DE COMANDO

Podemos ocultar un archivo o carpeta usando el comando attrib. Esta línea de comando muy simple de implementar en un solo paso

  • Presione Win + r
  • Escriba cmd y presione enter
  • Escriba este comando para ingresar attrib +s +h “<Ruta de archivo>”
Hide Floder - Command Line

MY LOCK BOX

My Lock Box esta es una herramienta utilizada para ocultar cualquier aplicación en una máquina de Windows. Esta aplicación es muy segura y nadie puede acceder a ella sin el código de seguridad.

  • Descargue la herramienta aquí
  • Esto descargará el archivo zip, extraerá el archivo e instalará la aplicación
  • Ahora, ejecute la aplicación. Solicita crear una contraseña para esta herramienta y luego examinar el archivo u ocultar una carpeta específica
  • Haga clic en Aceptar
Hide Floder - My LockBox

WISE FOLDER HIDER

Wise Folder Hider es otra herramienta gratuita de código abierto para ocultar cualquier carpeta de una manera fácil simplemente seleccionando la ruta del archivo de destino, mencionan los especialistas en hacking ético.

  • Haga clic en Descargar para usar la aplicación
  • Descargue el archivo zip, extraiga el archivo zip y ejecute el archivo exe
Hide Floder - Wise Folder Hider

Hide Folders

Hide Folders es otra herramienta para ocultar carpetas confidenciales. Esta herramienta de carpetas ocultas no puede ser encontrada por otras personas, pues nadie puede identificar si estas carpetas existen en un sistema. No hay un límite de carpetas para ocultar.

  • Haga clic aquí para descargar la aplicación
  • Esto descargará directamente un archivo exe, ejecutará el archivo y seleccionará el archivo especificando la ruta del archivo, luego haga clic en ocultar
Hide Folder - Hide Folders

USUARIO OCULTO

También podemos ocultar a los usuarios en nuestra máquina Windows usando un solo comando en el símbolo del sistema.

Primero tendremos que crear y activar un usuario usando este comando:

  • net user iics /add
  • net user iics /active:yes
Hiding User
  • Se activó con éxito al usuario
  • Ahora, use el mismo comando pero en lugar de “yes” escriba “no” para ocultar al usuario.
  • net user iics /active:no
  • En el reinicio, verá los cambios
Hiding user Fig 2

UNA FORMA SENCILLA DE OCULTAR LA CARPETA

  • Todos conocemos esta opción para ocultar la carpeta.
    • Haga clic derecho en la carpeta -> Propiedades -> Marca de verificación en la opción Oculto -> Aplicar -> Aceptar
Hide Floder - System Properties

OCULTAR EL USUARIO USANDO EL REGISTRO

  • También podemos ocultar al usuario mediante el editor de registro
  • Siga estos pasos para agregar un usuario y ocultarlo
    • Win + r y escriba regedit, luego siga la ruta
    • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
    • Haga clic derecho en winlogon -> Seleccionar nuevo -> Seleccionar clave e ingrese el nombre de la cuenta
    • A continuación, haga clic derecho en “iics” y cree otra clave con el nombre “usuario“.
    • Ahora, vaya a la página en blanco del lado derecho, haga clic derecho -> Seleccionar nuevo -> Válvula DWORD (32 bits).
User IICS Fig 1
  • Ahora cierre la carpeta de registro y reinicie el sistema, luego se cambiará la configuración
  • Para mostrar al usuario sigue el mismo camino
    • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\iics\user
    • En el archivo iics del lado derecho, haga clic derecho -> haga clic en Modificar -> Cambiar la opción de datos de la válvula a “1” -> ok
User IICS Fig 2

OCULTAR EL SISTEMA DE ARCHIVOS

Ahora también podemos ocultar la unidad de almacenamiento que contiene el archivo de datos confidenciales. Esto se puede hacer usando el símbolo del sistema con una sola línea de comando.

  • Abra el símbolo del sistema, escriba “diskpart
  • Escribe “Select volume 3”
  • Luego elimine el volumen de movimiento 3, usando este comando “remove letter E”
  • Ahora, verifiquemos abriendo Este Equipo
Hiding Disk Fig 2

ATRIBUTOS DE ARCHIVO NTFS

Ahora, podemos usar los atributos de archivo NTFS para ocultar datos confidenciales/archivos de datos maliciosos en cualquier máquina con Windows. La partición formateada NTFS contiene una MFT que almacena todos y cada uno de los archivos/directorios del sistema. Investigadores del curso de hacking ético del Instituto Internacional de Seguridad Cibernética mencionan que la capacitación cubre el enfoque conceptual para recuperar datos de particiones/unidades NTFS.

Siga estos pasos para crear y ocultar el archivo de datos

  • Abrir cmd como administrador
  • Luego ingrese “echo iics research data > iics.txt”
  • Esto creará un archivo con los datos
  • Ahora, use este comando para crear otro archivo en iics y hacerlo como oculto
  • “echo iics research data > iics.txt:hidden”
Hiding File using NTFS
  • Para ver el contenido del archivo oculto, use este comando
    • more < iics.txt:hidden

El cargo FORMAS RÁPIDAS DE OCULTAR EL USUARIO, UNIDAD, ARCHIVOS, CARPETAS Y DATOS EN SISTEMAS WINDOWS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 28 de agosto de 2020

Nueva estafa: Personas reciben tarjetas de débito en casa aunque no las hayan solicitado

Especialistas en seguridad reportan la detección de una nueva variante de fraude bancario en la que las personas reciben en sus hogares tarjetas de débito no solicitadas. Aunque a simple vista esto parece ser solo un error, los expertos creen que esto es parte de un nuevo método de lavado de dinero.

Tony Novak narró cómo recibió en su hogar dos tarjetas de débito del U.S. Bank, cada una con una versión diferente del nombre de su esposa. Las tarjetas estaban listas para ser activadas y parecían provenir de uno de los programas de estímulos económicos que el gobierno de E.U. implementó para combatir el impacto de la pandemia del coronavirus.

Al respecto, Novak afirma que no encuentra explicación para que estas tarjetas hayan llegado a su domicilio, pues ni él ni su esposa solicitaron tal beneficio económico. A pesar de lo que se afirmaba en los documentos que recibieron, el señor Novak y su esposa fueron más listos que los hackers, por lo que en lugar de tratar de activar las tarjetas llamaron al banco, que canceló de inmediato los plásticos: “Pensé que esto era algo muy extraño, así que sería mejor comprobar la procedencia de la tarjeta”, mencionó el señor Novak.  

El caso de la familia Novak es solo uno de tal vez cientos de personas que reciben tarjetas de débito sin haberlas solicitado. Los expertos creen que los actores de amenazas presentan solicitudes fraudulentas empleando los datos de personas al azar; una vez que las solicitudes son aprobadas, los criminales comienzan a rastrear las tarjetas y a los usuarios, haciéndose pasar por agentes gubernamentales y solicitando la devolución de las tarjetas, alegando un error. Si la tarjeta fue activada antes de que los usuarios reciban esta llamada, los actores de amenazas podrán cobrar el dinero.

Sobre esta campaña maliciosa, el Centro de Recurso de Robo de Identidad recomienda a los usuarios no activar la tarjeta y llamar de inmediato al banco para su cancelación: “No hay otra explicación, si recibe una tarjeta de débito no solicitada, tenga por seguro que se trata de un fraude”, menciona un funcionario del gobierno de E.U.

El cargo Nueva estafa: Personas reciben tarjetas de débito en casa aunque no las hayan solicitado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

El troyano bancario Qbot recopila mensajes de correo electrónico en Outlook para obtener datos confidenciales

Los especialistas en seguridad informática consideran que las amenazas de seguridad más peligrosas son aquellas que reciben actualizaciones constantes. Un ejemplo de ello es el troyano bancario Qbot (también conocido como Qakbot y Pinkslipbot), que lleva más de diez años causando estragos gracias a que sus desarrolladores lo actualizan continuamente. Qbot cuenta con múltiples características maliciosas, entre las que destacan:

  • Robo de información de los sistemas infectados (direcciones email, contraseñas, detalles bancarios, etc.)
  • Instalación de otras variantes de malware
  • Conexión con los controladores del malware para realizar transacciones bancarias desde la IP de la víctima
  • Secuestro de conversaciones vía email legítimas para propagar la infección a otros usuarios

En marzo pasado, los especialistas de Check Point Research detectaron una campaña de ataque empleando Qbot que se extendió hasta el mes de junio; tal como previeron los expertos, los operadores de esta campaña pausaron sus actividades (presuntamente para llevar a cabo ataques posteriores), no obstante, estos hackers volvieran a aparecer de forma imprevista menos de un mes después del hiato.

A finales de julio los expertos detectaron el regreso de Emotet, uno de los troyanos más peligrosos de la actualidad, con el que lograron infectar alrededor del 5% de las compañías a nivel mundial. En algunas de estas infecciones también se detectó una versión actualizada de Qbot, la cual contenía una nueva infraestructura de comando y control, además de técnicas actualizadas para la propagación del malware. La mayoría de estas infecciones fueron detectadas en Estados Unidos y Europa, afectando principalmente a organizaciones públicas, milicia, manufactura, entre otras, mencionaron los expertos de Check Point Research.

Países más afectados por Qbot. FUENTE: Check Point Research

Industrias más afectadas por Qbot: FUENTE: Check Point Resarch

A pesar de las múltiples actualizaciones que recibió este troyano, los especialistas consideran que la etapa más importante del proceso de infección sigue siendo el uso de correos electrónicos maliciosos. A continuación se muestra un diagrama que describe el proceso de infección de esta nueva variante de Qbot:

Cadena de infección de Qbot. FUENTE: Check Point Research

Aunque a simple vista el uso de emails maliciosos no parece mostrar algo innovador, los expertos detectaron que los operadores de esta campaña eran capaces de secuestrar conversaciones de correo electrónico (como se menciona al inicio). Al parecer, las conversaciones pueden ser secuestradas usando “Email Collector“, un módulo recientemente añadido a Qbot. Las siguientes imágenes muestran ejemplos de los correos electrónicos maliciosos:

Ejemplos de correo electrónico malicioso. FUENTE: Check Point Research

Como puede apreciarse, estos mensajes contienen una URL que redirige a los usuarios a un ZIP con un archivo de Virtual Basics Script (VBS) malicioso. Los expertos detectaron cientos de URLs diferentes usadas en esta campaña, la mayoría de ellas redirige a sitios de WordPress comprometidos o bien creados específicamente para estos fines.

A pesar de que no pareciera una campaña de hacking sofisticada, la nueva versión de Qbot cuenta con peligrosas capacidades que podrían poner en riesgo la infraestructura informática de cualquier organización, por lo que las compañías deberán permanecer alertas ante cualquier intento de ataque.

El cargo El troyano bancario Qbot recopila mensajes de correo electrónico en Outlook para obtener datos confidenciales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 27 de agosto de 2020

Decodificadores de TV de Phillips y Thomson permiten a los hackers ingresar a su hogar

Fueron muchos los investigadores que alertaron a la industria sobre los riesgos de seguridad presentes en los dispositivos de Internet de las Cosas (IoT) antes de que su uso se masificara. Ahora, cuando en prácticamente todos los hogares del mundo hay múltiples dispositivos conectados, se experimentan severos problemas para los usuarios, mencionan especialistas.

Un grupo de investigadores de Avast IoT Lab reveló el hallazgo de severas vulnerabilidades de seguridad en dos de los decodificadores para TV más usados del mundo, fabricados por Thomson y Philips. Acorde al reporte, la explotación de estas fallas permitiría a los actores de amenazas usar malware para botnets e incluso infectar con ransomware un dispositivo afectado.

FUENTE: Avast IoT Lab

Esta investigación está a cargo de Vladislav Ilyushin, director de Avast IoT Lab, y el experto Marko Zbirka.

El primer hallazgo de los expertos fue que los dos fabricantes venden decodificadores conectados a la red con puertos telnet abiertos, un protocolo sin cifrar que fue diseñado hace más de 50 años empleado para manejar la comunicación con dispositivos o servidores remotos. Estas debilidades permiten a los actores de amenazas acceder a los dispositivos para lanzar ataques de denegación de servicio (DoS), entre otras variantes de ataque. En las pruebas, los expertos de Avast lograron ejecutar un archivo binario de la botnet Mirai, una variante de ataque muy común entre esta clase de dispositivo.

FUENTE: Avast IoT Lab

El equipo de Avast también identificó una falla en la arquitectura los decodificadores de estas compañías, que utilizan la versión 3.10.23 del kernel Linux, instalado el 2016. El kernel actúa como vínculo entre hardware y software, garantizando la correcta ejecución de los decodificadores. El problema es que la compatibilidad con la versión 3.10.23 venció en noviembre de 2017, lo que implica que las correcciones sólo se publicaron por un año; al suspenderse la actualización de fallas de seguridad, miles de usuarios podrían verse expuestos.

Los expertos encontraron múltiples fallas adicionales, como una conexión sin cifrar entre los decodificadores y la aplicación heredada del servicio meteorológico AccuWeather. Un actor de amenazas podría modificar el contenido que visualizan los usuarios.   

Para mitigar los riesgos de explotación, los usuarios pueden habilitar las siguientes medidas:

  • No conectar el decodificador si no se están usando sus características inteligentes
  • Adquirir estos dispositivos sólo con proveedores autorizados
  • Ingresar a la interfaz de administración web de su dispositivo para inhabilitar la función Universal Plug and Play (UPnP) en caso de que esté habilitada

Las compañías ya han sido contactadas para notificarles estos hallazgos, aunque no se han pronunciado al respecto.

El cargo Decodificadores de TV de Phillips y Thomson permiten a los hackers ingresar a su hogar apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

“Romance” entre un sacerdote y un hacker resultó en el robo de millones de dólares en donaciones

Cualquier usuario puede ser víctima de extorsión en línea, tal como ha pasado con este sacerdote brasileño. Acorde a un reciente reporte, después de una investigación las autoridades de Goiás, Brasil, determinaron que el padre Robson Oliveira desvió una cantidad millonaria de la Asociación de Hijos del Padre Eterno. Al parecer parte del dinero fue invertido para cumplir con las exigencias de un chantajista que conocía algunos oscuros secretos sobre el padre Oliveira.  

Este no fue un incidente menor, tomando en cuenta la cantidad de miembros de las fuerzas del orden que participaron en la llamada “Operación Mercaderes”, compuesta por un total de 16 órdenes de allanamiento realizadas por 20 fiscales, 50 funcionarios públicos y 68 agentes locales y federales. Se menciona que el padre Oliveira desvió más de 120 millones de reales brasileños (alrededor de 23.3 millones de dólares).

Lo interesante es que parte del dinero desviado (unos 600 mil dólares) fue usado para comprar el silencio de algunos hackers, entre ellos el joven Welton Nunes Junior, de quien se menciona sostuvo una relación sentimental con el sacerdote de 46 años. Los expertos incluso mencionan que la investigación fue posible gracias a este chantaje, pues las autoridades detectaron algunos correos electrónicos en los que un grupo de individuos exigen dinero al padre a cambio de no revelar sus secretos.

Sobre cómo es que estos individuos conocían tanto sobre el sacerdote, los expertos mencionan dos de estos hackers accedieron al teléfono móvil y a la computadora personal de Oliveira empleando el seudónimo de “Detective Miami”. Con esta identidad falsa los hackers contactaron al padre pidiendo dos millones de reales brasileños para no revelar su información personal, en la que se incluían algunos detalles de su supuesta relación con Welton Nunes.

Después de una primera investigación infructífera, Oliveira comenzó a transferir dinero a los hackers, que continuaron con sus amenazas de revelar información comprometedora y aunque todo siguió de forma normal por algún tiempo, eventualmente las millonarias arcas de la asociación religiosa fueron sometidas a escrutinio de las autoridades en Brasil.

Finalmente, las autoridades de Brasil determinaron que Oliveira desvió enormes recursos procedentes de donaciones, asociaciones públicas y colectas para invertir en sus negocios personales (compra de inmuebles, ganado, propiedades rurales, entre otros). El sacerdote ahora enfrenta cargos por delitos como malversación, lavado de dinero, falsificación de documentos, evasión fiscal y asociación delictiva.

El cargo “Romance” entre un sacerdote y un hacker resultó en el robo de millones de dólares en donaciones apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Volkswagen Group sufre infección de ransomware Conti

Los operadores de ransomware no se detienen y parecen haber comprometido a una de las compañías más importantes del mundo. Múltiples fuentes y expertos reportan que Volkswagen Group se convirtió en la más reciente víctima del grupo de ransomware Conti, detectado recientemente.

Según los reportes, además de cifrar los sistemas de la compañía automotriz, los actores de amenazas también lograron robar datos confidenciales, publicando la información comprometida en un foro de hacking. Los documentos expuestos incluyen más de 8 mil facturas, reportes de los talleres de la compañía, entre otros datos.

Los reportes anuales de Volkswagen respaldan su posición como una de las compañías automotrices más importantes del mundo, con más de 10 millones de autos vendidos al año y ganancias superiores a los 280 mil millones de dólares al año, compitiendo a la par de General Motors, Hyundai, Ford y Toyota.

Los expertos mencionan que este incidente podría generar múltiples problemas legales para la compañía, sobre todo en lo relacionado con el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea (GDPR), pues muchos de los documentos filtrados contienen detalles confidenciales de los clientes de Volkswagen. Al igual que muchas otras industrias la fabricación de automóviles atraviesa por algunos problemas financieros, por lo que enfrentar las multas establecidas en estos momentos por el GDPR sería catastrófico para la compañía.

Respecto a los perpetradores del ataque, los investigadores mencionan que Conti es un grupo formado a partir de los hackers de Ryuk, operando como una plataforma de “ransomware como servicio” (RaaS, por sus siglas en inglés). Los expertos aseguran que la mayoría de los hackers reclutados por este grupo cuentan con amplia experiencia en el mundo del cibercrimen, por lo que muchas otras compañías de alto perfil podrían sufrir ataques similares en el corto y mediano plazo.   

La compañía no ha emitido declaraciones al respecto, aunque la firma de ciberseguridad Cyble menciona que cuenta con una fuente muy cercana al incidente, además de ya se han detectado algunos problemas en talleres y una concesionaria local con sede en Alemania.

Por seguridad, se recomienda a los propietarios de vehículos Volkswagen ignorar cualquier mensaje de apariencia sospechosa, pues los actores de amenazas pudieron acceder a sus datos personales y podrían tratar de desplegar campañas de phishing y fraude bancario.

El cargo Volkswagen Group sufre infección de ransomware Conti apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 26 de agosto de 2020

Game Project CARS 3 crackeado y pirateado 3 días antes del lanzamiento

El hacking de videojuegos ha incrementado en meses recientes. En días pasados los hackers lograron piratear videojuegos esperados por la comunidad, como Microsoft Flight Simulator 2020, que fue crackeado el mismo día de su lanzamiento, mencionan especialistas en cómputo forense.  

Ahora, los actores de amenazas crackearon Project CARS 3, un simulador de conducción desarrollado por Slightly Mad Studios y Bandai Namco, lo increíble es que este videojuego ni siquiera ha sido lanzado de forma oficial.

Este juego arrivaría a las tiendas el 28 de agosto, aunque fue hackeado el 25 de agosto pasado. Al parecer, el cracking estuvo a cargo de los hackers de CODEX, un reconocido grupo de piratería en videojuegos que logró acceder de forma temprana a Project CARS 3 gracias a la compra de la versión DELUXE.

Los expertos en cómputo forense mencionan que el juego no contaba con grandes protecciones de seguridad, puesto que sólo estaba equipado con la protección DRM estándar de Steam, a diferencia de otros juegos protegidos con Denuvo.

La tercera edición de Project CARS era esperada por múltiples miembros de la comunidad gamer, pues ahora cuenta con múltiples modos de juego, variedades de pistas, autos y más adiciones. El juego también cuenta con un modo de realidad virtual y estará disponible para PlaySation 4 y Xbox One.

El cargo Game Project CARS 3 crackeado y pirateado 3 días antes del lanzamiento apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Mapfre pagará a los clientes afectados por la reciente brecha de datos. ¿Cómo obtener tu dinero?

Hace unos días se reportó que la aseguradora multinacional Mapfre fue víctima de un ataque de ransomware que restringió el acceso a muchos de sus sistemas, lo que afectó las operaciones de sus empelados, en consecuencia generando fallas en sus servicios a usuarios y una potencial brecha de datos. La compañía con sede en España ha anunciado que compensará a los clientes afectados durante el periodo que sus sistemas han experimentado fallas.  

La intención de compensar a los usuarios afectados fue revelada este viernes por múltiples representantes de la aseguradora, quienes también han notificado el ataque ante los órganos reguladores y autoridades españolas.

El primero en reconocer el incidente fue Antonio Huertas Mejías, CEO de Mapfre, quien asegura que: “Los ciberataques están previstos en nuestro Plan de Continuidad de Negocios, que cuenta con protocolos para mantener nuestras operaciones y atender el incidente al instante de su detección”.   

El mencionado plan involucra revelar el incidente durante las primeras 24 horas después de la detección como una muestra de transparencia para los usuarios y socios comerciales de la compañía. La investigación continúa activa y hasta el momento no parece haber rastro de los perpetradores del ataque.   

Los mayores detalles sobre el ataque de malware aportados por la firma tienen que ver con los sistemas afectados; acorde a Mapfre, los sistemas de asistencia en carretera, hogar y comercio fueron los que más afectaciones reportaron, por lo que serán los usuarios de estos servicios quienes se vean más beneficiados por la compensación ofrecida por la compañía ante los retrasos en su tiempo de respuesta. Mapfre aún no ha revelado en qué consiste esta compensación.

Ya ha pasado una semana desde que el ataque fue reportado y la compañía aún no logra restablecer completamente sus sistemas, aunque señalan que sus operaciones han sido restablecidas en un 90%, por lo que el restablecimiento completo podría ser anunciado en breve.

Este no es el único caso de infección de ransomware afectando a una gran compañía, pues estos ataque son más frecuentes de lo que parecen, especialmente durante el periodo de confinamiento debido a la pandemia, que ha forzado a las compañías a establecer comunicación interna de forma remota, exponiendo a una gran cantidad de usuarios sin experiencia en ciberseguridad.

El cargo Mapfre pagará a los clientes afectados por la reciente brecha de datos. ¿Cómo obtener tu dinero? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

¿Cómo localizar su smartphone perdido o robado sin conexión a Internet?

La inmensa mayoría de los usuarios de teléfonos móviles han sufrido el robo o pérdida de sus dispositivos, mencionan especialistas en hacking de celulares. Como una solución, Samsung creó una herramienta incluida en todos sus equipos desde el lanzamiento de la familia de smartphones Galaxy; llamada Find My Mobile, esta app está diseñada para ayudar a los usuarios a localizar sus dispositivos, realizar copias de seguridad, bloquear el dispositivo e incluso eliminar su información de forma remota. No obstante, el punto débil de esta herramienta es que requiere conexión a Internet para realizar estas actividades, al menos hasta ahora.

La más reciente versión de Find My Mobile cuenta con una nueva función que permite a los usuarios encontrar un dispositivo Galaxy extraviado incluso si el smartphone no está conectado a una red. La herramienta también permitirá detectar cualquier dispositivo Galaxy Watch e incluso auriculares vinculados al smartphone del usuario.

Max Weinbach, de XDA-Developers, compartió algunas capturas de pantalla de la nueva función. Como puede apreciarse en las imágenes, el teléfono muestra una notificación de la nueva actualización en cuanto ésta sea instalada en un dispositivo Galaxy.

Al tocar la notificación, se abrirá instantáneamente la página para configurar la función, que podrá ser habilitada tocando el botón en la esquina superior derecha. Los expertos en hacking de celulares mencionan que el usuario también podrá cifrar su ubicación sin conexión desde la misma página de configuración. Una vez que la función esté activada, usted podrá encontrar su teléfono aunque otra persona haya inhabilitado su conexión WiFi.  

A pesar de que son muy buenas noticias, aún es muy pronto para emitir un juicio sobre la efectividad de esta nueva función, pues por el momento sólo está disponible en Estados Unidos y Corea del Sur, menciona un entusiasta de los dispositivos Galaxy que afirma haber accedido a documentación oficial sobre el proyecto.  

Se recomienda a los usuarios de dispositivos Galaxy interesados en esta función mantenerse al tanto del lanzamiento de la próxima versión de Find My Mobile.

El cargo ¿Cómo localizar su smartphone perdido o robado sin conexión a Internet? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 25 de agosto de 2020

Este hombre compró armas químicas de destrucción masiva en dark web

Como han mencionado anteriormente especialistas en cómputo forense, los foros en dark web se han convertido en un refugio de toda clase de células criminales, por lo que es la opción ideal de aquellos interesados en la compra de algún producto o servicio ilegal. Jason Siesser, un ciudadano norteamericano, reconoció haber tratado de comprar armamento químico a través de dar web en al menos un par de ocasiones.

Según mencionan especialistas en el tema, el arma química que el acusado trataba de comprar podría matar a cientos de personas, dependiendo de la cantidad empleada en un potencial ataque. Aunque las autoridades eliminaron el nombre del químico que Siesser trató de adquirir, fuentes cercanas al proceso legal mencionan que, a partir de la explicación presentada ante la corte, es posible concluir que el acusado trató de comprar dimetilmercurio, un material altamente tóxico.

Especialistas en cómputo forense mencionan que si bien el acusado creía haber encontrado a un vendedor serio en dark web, la mayoría de quienes aseguran vender armas químicas en esta red son estafadores o bien agentes encubiertos.

El 4 de julio de 2018, el acusado ordenó dos unidades de diez mililitros de dimetilmercurio a un vendedor de armas dark web. Ningún foro convencional permite la venta de armas químicas, pero es posible encontrar a la venta algunos tipos de veneno en sitios onion. Después de completar la transacción en un foro de hacking cuyo nombre no fue revelado, Siesser proporcionó una dirección de envío al vendedor; cabe señalar que al momento de realizar la compra Siesser trabajaba en una organización que albergaba menores con el permiso de las autoridades estatales. La dirección de envío empleada por el acusado era de uno de estos menores.

Finalmente, oficiales del Buró Federal de Investigaciones (FBI), actuando como los supuestos vendedores, enviaron una sustancia inofensiva a Siesser de forma controlada. Poco después, las autoridades ejecutaron una orden de registro en el domicilio. Durante el registro, los oficiales encontraron

  • El paquete recibido por Siesser
  • Un recipiente desechado que contenía la sustancia que Siesser creía que era dimetilmercurio
  • 10 gramos de arseniuro de cadmio
  • 100 gramos de cadmio metálico
  • 500 ml de ácido clorhídrico
  • Escritos en los que Siesser expresaba su sentir sobre una reciente ruptura

Al ser interrogado, Siesser reconoció haber comprado tres viales de dimetilmercurio en dark web por cerca de 160 dólares pagados en Bitcoin, además de haber utilizado la identidad de un menor durante la negociación. Acorde a especialistas en cómputo forense, Siesser habría intentado comprar esta sustancia de un proveedor de químicos autorizado, quien canceló la transacción después de comprobar que el acusado no contaba con la licencia requerida para

El cargo Este hombre compró armas químicas de destrucción masiva en dark web apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nueva forma automatizada de encontrar vulnerabilidades desarrollada por el Ejército de E.U.

La comunidad del hacking lleva algunos años discutiendo sobre la mejor forma de analizar desarrollos de software en busca de vulnerabilidades. Un grupo de especialistas en análisis de vulnerabilidades recientemente publicó un documento en el que exponen la idea de la “búsqueda en amplitud” (breadth-first search), una alternativa en el análisis de vulnerabilidades enfocada en la automatización de algunos procesos para permitir un análisis detallado de objetivos en particular.

El objetivo de los investigadores, liderados por Timothy Nosco del Ejército de E.U., es descubrir una o más formas de incrementar la eficacia de los equipos de análisis de vulnerabilidades a partir del uso de herramientas automatizadas y la integración de equipos de hackers divididos según su experiencia y conocimientos para encontrar más vulnerabilidades de software antes de que sean explotadas de forma activa.

El primer paso durante el análisis de vulnerabilidades es la recopilación de información sobre el objetivo. El aspecto clave sobre esta información son los detalles generales sobre el desarrollo, prevalencia y fallas conocidas actualmente sobre el objetivo, además de cualquier otra investigación que funcione como referencia. Los métodos de análisis existentes pueden hacer avanzar rápidamente la comprensión de los obstáculos, junto con los métodos para superarlos.

Posteriormente, los hackers se enfocan en obtener conocimientos sobre el funcionamiento y el diseño del objetivo. La información recopilada durante esta fase puede provenir de documentación, código fuente, foros en línea, usuarios, desarrolladores y otras fuentes. La comprensión del programa y la siguiente fase, el análisis de la superficie de ataque, constituyen un ciclo iterativo dentro del proceso de búsqueda y análisis vulnerabilidades.

Investigar la superficie de ataque de un programa implica idear formas de proporcionar información a partes del programa objetivo. La ejecución práctica de esta fase fue asignada a múltiples hackers con diversos niveles de habilidad y conocimiento que participaron en la investigación. En este proceso se les pidió a los hackers con habilidades básicas que aplicaran herramientas conocidas hasta que un obstáculo les impidiera continuar con el proceso de análisis de la superficie de ataque. En pocas palabras, los investigadores se detienen al encontrar un obstáculo, documentan los pasos exitosos de su labor y continúan con el siguiente objetivo de análisis. 

Cuando un equipo de investigación aprende a manipular las entradas del objetivo, se realizan estas manipulaciones de forma iterativa para enumerar la mayor cantidad posible de funciones del programa, maximizando la posibilidad de encontrar un punto vulnerable.

En el siguiente nivel de análisis, un grupo de hackers con mayor experiencia analiza la información elaborada por el primer grupo de investigadores, lo que permite aplicar un análisis superior de forma inmediata, continuando en ciclo de análisis de vulnerabilidades propuesto por Nosco.La última etapa de estos proyectos es el nivel maestro (master), al que sólo llegan los reportes más importantes o que han superado la capacidad de análisis de los investigadores en etapas anteriores.

Al detectar algo raro un hacker debe conformar que se trata de una vulnerabilidad, ya sea tratando de ejecutar la falla en el programa objetivo o probando múltiples posibles escenarios, por lo que la automatización es un punto importante en esta fase para reducir el tiempo que los investigadores deben invertir en una sola etapa.

Cuando se confirma el hallazgo de una vulnerabilidad, los investigadores preparan un informe para que los hackers más experimentados corrijan la falla. Cabe recordar que los informes pueden presentarse de múltiples formas, siempre y cuando se ajusten a los estándares establecidos por la comunidad de la ciberseguridad.

Si bien este experimento arrojó resultados halagadores, los especialistas consideran que su éxito depende en gran medida de los miembros del ciclo de análisis de vulnerabilidades, en este caso todos miembros del Comando Cibernético de E.U. No obstante, la integración de un equipo de analistas capacitado es una labor completamente asequible para cualquier institución pública y privada.

El cargo Nueva forma automatizada de encontrar vulnerabilidades desarrollada por el Ejército de E.U. apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Cuerpo de Marines de E.U. pagará a cualquiera que cree una herramienta para identificar cuentas de redes sociales falsas o clonadas

Las herramientas de reconocimiento facial y recolección de datos son de los desarrollos tecnológicos más preciados de la actualidad, afirman especialistas en seguridad lógica. Prueba de ello es una reciente solicitud de cotización del Cuerpo de Marines de E.U., que ha expresado su deseo de obtener una herramienta comercial para identificar cuentas de redes sociales que puedan representar amenazas para el personal y para la Red Empresarial del Cuerpo de Marines.

La solicitud, publicada el 20 de agosto, menciona que el objetivo de los Marines es identificar cuentas clonadas en redes sociales en las que los actores de amenazas se hacen pasar por personal administrativo o funcionarios militares con el fin de enviar enlaces maliciosos a los miembros del Cuerpo de Marines y extraer información confidencial.

FUENTE: C4ISRNET

El Comandante Adjunto del Servicio para la Rama de Ciberseguridad afirma que los Marines necesitan una herramienta automatizada para complementar sus actividades de rastreo, detección y recolección de datos en sitios de redes sociales, lo que reduciría de forma considerable los riesgos de seguridad informática de sus redes corporativas y sus integrantes individuales.

Además de la detección de perfiles potencialmente maliciosos, los especialistas en seguridad lógica mencionan que el Cuerpo de Marines también pretende que esta herramienta sea utilizada como un sofisticado detector de amenazas de malware.

En la solicitud de cotización, la organización menciona que planea comprar un mínimo de un máximo de 10 y un mínimo de una licencia de la herramienta deseada. Entre las especificaciones requeridas por el Cuerpo de Marines están:

  • La capacidad de extraer información de los principales sitios de redes sociales (Facebook, Twitter, LinkedIn, Instagram, YouTube, Reddit, entre otras)
  • Detección de uso de aplicaciones de mensajería (WhatsApp, Telegram, Facebook Messenger)
  • Búsqueda de información en toda clase de sitios web

Especialistas en seguridad lógica mencionan que la organización militar también pretende que esta herramienta pueda acceder a plataformas chinas como Sina Weibo, WeChat, TikTok, entre otras. Cabe recordar que múltiples compañías tecnológicas chinas enfrentan un bloqueo en todo E.U. debido al conflicto entre el presidente Donald Trump y el gobierno central de China.

El cargo Cuerpo de Marines de E.U. pagará a cualquiera que cree una herramienta para identificar cuentas de redes sociales falsas o clonadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 24 de agosto de 2020

3 fallas en el firmware de las cámaras IP Cisco Video Surveillance 8000 Series

Especialistas de un curso de programación de exploits reportan el hallazgo de tres vulnerabilidades en las cámaras IP Video Surveillance 8000 Series, de la firma tecnológica Cisco. La explotación exitosa de estas vulnerabilidades permitiría a los actores de amenazas comprometer un dispositivo por completo. 

A continuación se presentan breves reseñas de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2020-3506: La validación insuficiente de los paquetes de Cisco Discovery Protocol permitiría a los actores de amenazas enviar tráfico especialmente diseñado al dispositivo objetivo con el fin de ejecutar código arbitrario en el sistema, generando severos daños. Esta vulnerabilidad recibió un puntaje de 7.7/10, mencionan los especialistas de un curso de programación de exploits.

CVE-2020-3507: La insuficiente validación de los paquetes de Cisco Discovery Protocol permitiría a los actores de amenazas locales enviar tráfico especialmente diseñado al dispositivo vulnerable, lo que desencadenaría la ejecución de código remoto en el sistema objetivo. La falla recibió un puntaje de 7.7/10.

CVE-2020-3505: Esta falla existe debido a una fuga de memoria al procesar paquetes de Cisco Discovery Protocol, lo que permitiría a los hackers maliciosos remotos pasar tráfico especialmente diseñado al dispositivo vulnerable, desencadenando una condición de denegación de servicio (DoS).

Acorde a los especialistas del curso de programación de exploits, esta falla recibió un puntaje de 6.4/10.

Las versiones de Cisco Video Surveillance 8000 Series vulnerables a estos ataques son: 1.0.7 y 1.0.9-1.

No todo son malas noticias, pues Cisco ha confirmado que las vulnerabilidades no afectan a las siguientes familias de cámaras IP:

  • Video Surveillance 3000 Series
  • Video Surveillance 4000 Series High-Definition
  • Video Surveillance 4300E and 4500E High-Definition
  • Video Surveillance 6000 Series
  • Video Surveillance 7000 Series
  • Video Surveillance PTZ

Aunque algunos ataques pueden ser desplegados de forma remota, los expertos no han detectado intentos de explotación activa ni la existencia de una variante de malware relacionada con estos ataques. Los parches de seguridad ya han sido lanzados por Cisco, por lo que los administradores de versiones vulnerables deben actualizar a la brevedad.

El cargo 3 fallas en el firmware de las cámaras IP Cisco Video Surveillance 8000 Series apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Grupo anti piratería emprende campaña contra compañía VPN para rastrear a los propietarios y usuarios de The Pirate Bay

La industria del entretenimiento lleva más de una década tratando de evitar que sitios como The Pirate Bay sigan funcionando, incluso tratando de que sus operadores sean considerados criminales peligrosos, mencionan especialistas en cómputo forense. Este sitio de torrents ha enfrentado serios golpes recientemente, aunque siempre que parece que desaparecerá, emerge para beneplácito de quienes dependen de la piratería para su entretenimiento.

Un reporte publicado en ToorentFreak indica que Rights Alliance, el grupo anti piratería radicado en Suecia, ha emprendido una campaña en contra de OVPN, firma proveedora de red privada virtual (VPN), alegando que los operadores de The Pirate Bay han usado este servicio para ocultar su ubicación real, otra forma de decir que han actuado en complicidad con la principal plataforma de piratería digital en el mundo.   

Al respecto, OVPN menciona que no almacena registros, por lo que es imposible saber quién usa sus servicios para navegar por Internet o, en el caso de los operadores de Pirate Bay, usar esta plataforma como una especie de red anónima, ocultando su ubicación real de las autoridades.

Las afirmaciones de la compañía han importado poco para Rights Alliance, que incluso ha iniciado un proceso legal en contra de OVPN. En cuanto a los miembros de la corte, especialistas en cómputo forense afirman que la ley se posicionará en favor de OVPN, que no cuenta con registros y no puede entregar información alguna sobre sus clientes, aunque por supuesto los representantes de Rights Alliance no han dicho su última palabra.   

La más reciente estrategia de Rights Alliance comenzó hace unos días, cuando la organización presentó la opinión de un especialista de la firma de seguridad Cure 53 contratado para evaluar la forma de operación de OVPN. El especialista opina que OVPN se esfuerza demasiado en proteger la privacidad de sus usuarios, almacenando la menor cantidad de información posible en sus bases de datos.

“Aún así, debe haber datos que conecten a los usuarios y las identidades para que el servicio VPN funcione. Un usuario ha pagado por una cuenta VPN con la capacidad de conectar una dirección pública estática a OVPN que luego el usuario ha elegido vincular a The Pirate Bay, es decir, el usuario ha configurado su cuenta VPN para apuntar al dominio dado”, menciona el investigador.

Aunque los expertos en cómputo forense creen que The Pirate Bay podría haber desaparecido para cuando el proceso legal finalice, también creen que sería posible vincular estos datos con la identidad de operadores y  usuarios del sitio de piratería, aunque muchos temen que esto se convierta en una amenaza para los usuarios de servicios VPN en nombre del combate a la piratería.

El cargo Grupo anti piratería emprende campaña contra compañía VPN para rastrear a los propietarios y usuarios de The Pirate Bay apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Estafadores secuestran cuentas de WhatsApp y extorsionan a los usuarios. Tenga cuidado

Los actores de amenazas siempre están al acecho de nuevas víctimas, empleando métodos sofisticados para obtener recursos de forma ilícita. Expertos en seguridad perimetral mencionan que algunos grupos de hacking malicioso han comenzado a secuestrar cuentas de WhatsApp, empleando ingeniería social para obtener los códigos de verificación de cuenta.

Como cualquier usuario habrá notado, al instalar la aplicación de mensajería se debe ingresar un número de celular para verificar su identidad, proceso que deberá repetirse si el usuario cambia de dispositivo. En el reporte se menciona que un hacker malicioso con acceso al dispositivo de la víctima podría tomar control de una cuenta de WhatsApp con facilidad.

“Si el actor de amenazas puede acceder a la cuenta del usuario objetivo, la información de sus contactos y grupos también se vería comprometida”, mencionan los especialistas en seguridad perimetral. Realmente es muy fácil determinar cuáles son los contactos o grupos con los que más interactúa un usuario de WhatsApp, por lo que estos podrían ser los siguientes objetivos del atacante. En la mayoría de estos ataques los usuarios solicitan el reenvío del código de verificación, aunque este dato no puede ser transmitido de esta forma. 

Si los otros usuarios también caen en la trampa, en realidad no estarían ayudando al hacker a acceder a una cuenta de WhatsApp, sino que les estarían proporcionando acceso a sus propias cuentas.

No está claro aún si los ataques detectados hasta ahora han sido perpetrados por el mismo grupo de individuos, aunque los expertos en seguridad perimetral consideran que las similitudes encontradas entre los incidentes detectados indican un modo de operación estructurado. Además, los especialistas consideran que métodos similares podrían ser empleados por los hackers para comprometer las cuentas de usuarios en otras plataformas, como Uber, servicios de email, entre otras.

En anteriores ocasiones los investigadores han reportado métodos similares para apoderarse de cuentas de WhatsApp, principalmente a través de la versión web de la plataforma. En la mayoría de estos incidentes, los criminales emplean fallas en la transmisión de códigos QR para engañar a los usuarios y acceder por completo a sus cuentas en la plataforma de mensajería.  

El cargo Estafadores secuestran cuentas de WhatsApp y extorsionan a los usuarios. Tenga cuidado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente