Boletín semanal nº 17 Noticias Seguridad

*  Black Nurse Attack

Sí, sólo necesitas un ordenador portátil con una conexión a Internet decente, más bien una botnet masiva, para lanzar abrumadores ataques de denegación de servicio (DDoS) con el fin de derribar los principales servidores de Internet y los firewalls modernos.

Los investigadores del Centro de Operaciones de Seguridad de TDC han descubierto una nueva técnica de ataque que los atacantes solitarios con recursos limitados (en este caso, un portátil y al menos 15Mbps de ancho de banda) pueden utilizar para desconectar a los servidores grandes.

http://thehackernews.com/2016/11/dos-attack-server-firewall.html

 *   Wi-Fi puede filtrar sus contraseñas y pulsaciones de teclas

Un grupo de investigadores de la Universidad Jaio Tong de Shanghai, la Universidad del Sur de la Florida y la Universidad de Massachusetts en Boston han demostrado una nueva técnica que puede revelar información privada mediante el análisis de la interferencia de señal de radio, utilizando sólo un hotspot WiFi rogue.

Apodado WindTalker, el ataque olfatea el movimiento de los dedos de un usuario en la pantalla táctil del teléfono o en el teclado de una computadora leyendo los patrones de señal de radio llamados Información del Estado del Canal (CSI).

http://thehackernews.com/2016/11/hack-wifi-password.html

*   WhatsApp agrega verificación en dos pasos

Para habilitar la verificación en dos pasos (2SV), debe usar la versión Beta de WhatsApp y siga estos sencillos pasos:

Ir a Configuración de WhatsApp → Cuenta → Verificación en dos pasos.

Haga clic en habilitar, establezca una contraseña de 6 dígitos y vuelva a confirmarla.

En la siguiente pantalla, introduzca su ID de correo electrónico (opcional) para permitir la recuperación código de acceso por correo electrónico. (Se recomienda utilizar el correo electrónico como copia de seguridad de manera que usted no está bloqueado de su cuenta si usted olvida su contraseña.) Haz clic en "Hecho", y ya está listo.

http://thehackernews.com/2016/11/whatsapp-two-step-verification.html

*  IPhone secretamente envía su historial de llamadas a Apple incluso si las copias de seguridad de iCloud están desactivadas

En la lucha contra el cifrado, Apple se ha posicionado como un firme defensor de la privacidad de los usuarios, al negarse las autoridades federales para proporcionar cifrado puertas traseras en sus productos, así como implementar mejor cifrado para sus productos.

Sin embargo, un nuevo informe de una empresa de seguridad sugiere que el servicio de sincronización en línea de Apple, iCloud, almacena secretamente los registros de la información privada de sus usuarios durante cuatro meses, incluso cuando la copia de seguridad de iCloud está desactivada.

La firma digital de la medicina forense rusa Elcomsoft descubrió que los dispositivos móviles de Apple envían automáticamente el historial de llamadas de sus usuarios a los servidores de la empresa, si se habilita icloud, y almacena los datos para un máximo de cuatro meses.

http://thehackernews.com/2016/11/icloud-backup.html 

*   3 ISP de UK Hacked - 6 millones de datos privados de los clientes en riesgo

Tres, uno de los mayores operadores de telefonía móvil del Reino Unido, se ha convertido en la última víctima de una violación masiva de datos que según se informa dejó la información personal y detalles de contacto de 6 millones de sus clientes expuestos.

La compañía admitió el fallo de datos el jueves pasado, diciendo que los piratas informáticos obtuvieron acceso a una base de datos de actualización de teléfono de tres clientes móviles que contiene los detalles de la cuenta de casi 6 millones de clientes.

http://thehackernews.com/2016/11/3-mobile-uk-hacked.html

*  Actualización crítica en Avira Antivirus

Se ha publicado una vulnerabilidad crítica de ejecución de comando en el producto Avira Antivirus >= 15.0.21.86 que permite ejecutar comandos del sistema operativo. La explotación fue probada con éxito en Windows 7 pero seguramente puede ser explotada en versiones superiores.Cuando se realiza una actualización manual de Avira y se importa un archivo ZIP, la aplicación no verifica "../" en el nombre del archivo, lo cual permite realizar un "path traversal" y escribir un programa en cualquier ubicación del sistema operativo base.

http://seclists.org/fulldisclosure/2016/Nov/att-49/vulnerability.txt

*   Facebook compra contraseñas robadas en el mercado negro

Una de las formas de mantener segura su propia red es introducirse en mercados fraudulentosy recomprar las contraseñas robadas para restablecerlas a sus dueños, sin que ellos tengan la menor noticia. Pero, ¿por qué querría hacer Facebook esto, cuando podría argumentar perfectamente que no es su problema,  que ellos proveen un servicio seguro y son los usuarios con sus contraseñas predecibles los que favorecen el hackeo? Sencillamente porque les vale la pena el tremendo esfuerzo informático de recabar la información y relocalizarla, ya que el resultado es la imagen de una red completamente segura, donde el usuario puede compartir sus intimidades, subir fotos y vídeos personales y sentir que no van a estar siendo “cotilleados” por nadie más que por quien el propio usuario decida.

http://www.tuexperto.com/2016/11/10/facebook-compra-contrasenas-robadas-en-el-mercado-negro/

*   Filtrados los datos de más de 300 millones de usuarios de ADULTFRIENDFINDER

Desde luego, 2016 está siendo un año muy prolífico en lo que a filtraciones de datos se refiere. No pasa un mes en el que no tengamos noticias de alguna brecha de seguridad que termina con millones de datos de usuarios expuestos. En esta ocasión volvemos a ver cómo esta filtración es bastante grande y además afecta a una red social especializada en relaciones personales entre adultos que buscan “algo más”, tal y como le sucedió el año pasado a Ashley Madison. El origen de esta filtración masiva de datos se encuentra en una vulnerabilidad en la inclusión de ficheros locales (LFI por sus siglas en inglés) en el sitio web de Adult Friend Finder. Esta vulnerabilidad fue inicialmente descubierta y explotada por un investigador anónimo a mediados del pasado mes de octubre. Este investigador mostró capturas de pantalla de cómo logró aprovechar este fallo de seguridad en un módulo utilizado en los servidores de producción utilizados por Adult Friend Finder.

http://thehackernews.com/2016/11/bangladesh-swift-hack-casino_9.html

*  Saltarte el cifrado de disco LUKS de Linux en 70 segundos

LUKS es el estándar de cifrado de discos utilizado por la mayor parte de las distribuciones Linux. Un investigador español, llamado Hector Marco, ha descubierto un fallo en la herramienta Cryptsetup utilizada para cifrar discos duros que puede permitir a un usuario saltarse el cifrado LUKS del disco pulsando tan solo la tecla “Intro” y manteniéndola pulsada durante 70 segundos (o un poco más, dependiendo de equipos). Al hacer esto, el sistema abre un terminal con permisos de root, teniendo así control total sobre el equipo.

http://www.redeszone.net/2016/11/15/asi-puedes-saltarte-cifrado-disco-luks-linux-70-segundos/ 

 *   Rootkit peligroso encontrado preinstalado en casi 3 millones de teléfonos Android

Casi 3 millones de dispositivos Android en todo el mundo son vulnerables a ataques de man-in-the-middle (MITM) que podrían permitir a los atacantes ejecutar remotamente código arbitrario con privilegios de root, transfiriendo el control total de los dispositivos a los Cibercriminales, no hackers.

De acuerdo con un nuevo informe de la firma de evaluación de seguridad BitSight, el problema se debe a una vulnerabilidad en la implementación de inseguridad de la OTA (Over-the-Air) mecanismo de actualización utilizado por ciertos dispositivos Android de bajo costo, incluida la BLU Studio G de US- Basado Best Buy. El Backdoor / Rootkit viene preinstalado.

http://thehackernews.com/2016/11/hacking-android-smartphone18.html