Noticias de Seguridad a nivel mundial: boletín nº 108
¿Hay alguien espiándolo? revise sus navegadores móviles La privacidad es fundamental para cualquier usuario de tecnología actualmente, en especial si el usuario recurre al uso de un navegador convencional. Existen múltiples métodos para proteger su identidad en Internet, aunque también hay diversas formas en las que un navegador tratará de recolectar toda la información posible del usuario. Cada sitio web visitado por un usuario recolecta múltiples detalles, además, hay muchas URL que muestran cuán propenso es su navegador a filtrar información. Expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética comentan que los métodos que se mostrarán a continuación pueden ser usados en la recopilación de información, o fase de reconocimiento. Las pruebas realizadas a continuación se realizaron usando un proxy en India, para que el usuario pueda probar sus navegadores con o sin proxy. Hay muchos métodos para mostrar lo vulnerable que puede ser un navegador. Existen, por ejemplo, muchos ataques de scripts entre sitios (XSS) usados para robar credenciales de usuario desde los navegadores, incluso campañas de ingeniería social para recolectar información sobre el objetivo. A continuación, veremos un sitio web que puede ayudar a encontrar qué información están filtrando los navegadores a los hackers. Más información en https://noticiasseguridad.com/ Corredores y empresas de bolsa de valores son atacados con nuevo malware Una empresa de tecnología detectó una infección con un troyano para extraer información. Expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética confirman la aparición de un nuevo troyano infectando las redes de múltiples comercios minoristas. En esta nueva campaña, los hackers ya han conseguido robar grandes cantidades de datos confidenciales para ponerlos a la venta en foros de Dark Web. La compañía especializada en el desarrollo de tecnología para pequeños comercios Panda Trading Systems afirma haber detectado el troyano hace algunas semanas. Más información en https://noticiasseguridad.com/ Google reconoce haber escondido un micrófono sin permiso en un dispositivo Nes Polémica en torno a la privacidad de la gama Nest de Google: la compañía ha reconocido que Nest Guard tiene un micrófono oculto, pero no lo había indicado en las especificaciones supuestamente “por error”: Hace unos días, Nest anunció en su página web que los dispositivos Nest Secure recibirían una actualización que permitía controlarlos con la voz usando el Asistente virtual de Google. ¿Cómo es posible, si los dispositivos Nest Secure no tienen micrófono para recibir las órdenes de voz? El problema es que Nest Guard tiene un micrófono oculto, pero no lo indica en las especificaciones. Un portavoz de Google ha asegurado que el dispositivo Nest Guard, una especie de teclado de seguridad que sirve de alarma y pertenece a la plataforma Nest Secure, sí contiene un micrófono, pero no lo indicaron en las especificaciones “por un error“. Su intención nunca fue ocultar el micrófono, y ha pedido disculpas por ello. Más información en https://www.ticbeat.com/ Nueva variante de ataque contra redes 4g y 5g Un equipo de investigadores dio a conocer una serie de vulnerabilidades en redes de telefonía móvil que impactan los protocolos 4G y 5G LTE. En su investigación, titulada “Violaciones de privacidad contra los protocolos de telefonía celular 4G y 5G”, los expertos afirman que las nuevas variantes de ataque podrían permitir acceso remoto a las telecomunicaciones evadiendo las medidas de seguridad implementadas en estos protocolos, con lo que de nueva cuenta posible el uso de dispositivos IMSI (como el conocido StingRay) para la intercepción de señales de telefonía móvil. Variantes de ataques: Ataque Torpedo Este ataque explota el protocolo de búsqueda en telefonía móvil, permitiendo a los usuarios maliciosos rastrear la ubicación del dispositivo de la víctima. Ataques de cracking de IMSI y PIERCER Además de lo mencionado anteriormente, el ataque TORPEDO parece habilitar otras dos variantes de ataques, llamados IMSI cracking y PIERCER. El ataque de exposición de información por red CORE (PIERCING) existe debido a un error de diseño y permite a los atacantes vincular el IMSI de la víctima con su número de teléfono. Más información en https://noticiasseguridad.com/ Manipulación de WhatsApp en Android El siguiente material de la h-c0n 2019 que publicamos es el de la charla de Pablo Espada Bueno, perito judicial e ingeniero informático, que también se acercó desde Cáceres a Madrid para presentarnos "Manipulación de WhatsApp en Android". En esa charla, además de repasar los conceptos básicos de Whatsapp desde un punto de vista forense (algo que ya se ha hecho en charlas como la de Manu Guerra en Cybercamp 2017), explicó cómo utilizando un segundo teléfono (este sí que estará "rooteado") se pueden manipular los mensajes de Whatsapp sin necesidad de manipular el teléfono original, lo que hace que dicha manipulación resulte indetectable para cualquier perito. La técnica se basa en el uso de copias de seguridad locales cifradas, que pueden ser descifradas en otro teléfono siempre que se pueda acceder a las llamadas o a los SMS utilizados como 2FA. Aprovechando esto, se extrajo la BBDD de Whatsapp en abierto en el teléfono auxiliar, pudiendo manipular los mensajes y devolviéndolos luego al teléfono original, de nuevo a través de una copia de seguridad. Como dice Pablo esta técnica no es nada especial, ni requiere unos conocimientos exhaustivos para realizarla, pero no hemos encontrado que haya sido mostrada en ningún artículo técnico, por lo que elevó aún más el interés de la charla. Más información en https://www.hackplayers.com/ Investigadores extraen contraseña maestra en texto claro de 1Password (y otros gestores) Los usuarios regulares de Internet hacen malabarismos con sus cuentas en diversas plataformas y sitios web, a menudo usando la misma contraseña débil para todos ellos. Los usuarios con conocimientos tecnológicos emplean distintas contraseñas fuertes para diferentes cuentas. Aquellos que son verdaderamente conscientes usan un administrador de contraseñas. Pero ¿es eso realmente algo tan inteligente? ISE, una firma de consultoría de seguridad independiente con sede en Baltimore, Maryland, decidió probar esta idea investigando cinco administradores de contraseñas populares para ver si podían hacerles entregar sus secretos. Si bien no es fácil, aparentemente se puede hacer. Denominan a estas como "estados" (bloqueados, desbloqueados, en ejecución) y, dependiendo de cada estado en el que se encuentre la aplicación, se deben imponer ciertas garantías. Desafortunadamente, cada aplicación que ISE probó contenía vulnerabilidades que filtraban contraseñas, y el equipo incluso recuperó la contraseña maestra de una instancia bloqueada de 1Password v4. Más información en https://blog.segu-info.com.ar. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Noticias de Seguridad a nivel mundial: boletín nº 105
Google ha retirado bastantes apps de la Play Store por robar datos Google ha eliminado unas docenas de aplicaciones de Android que contenían código fuente malicioso. Las apps habían sido descargadas en millones de ocasiones por parte de usuarios de todo el mundo sin que Google se diera cuenta, hasta que una compañía de seguridad las ha podido encontrar con sus análisis externos. Fueron los expertos de ciberseguridad de Trend Micro los que descubrieron que aplicaciones como “Pro Camera Beauty”, “Cartoon Art Photo” o “Emoji Camera”, entre otras, estaban realizando operaciones sospechosas. Sobre el papel se trataban de apps de fotografía o edición de imágenes divertidas o que permitían hacer cosas curiosas, pero en realidad estaban subiendo las fotografías del usuario a los sus propios servidores sin decir nada, y mostrando anuncios a pantalla completa que buscaban confundir al usuario y enviarlo a sitios web con estafas. Trend Micro revela en su reciente investigación que la mayoría de las instalaciones fueron realizadas en Asia, especialmente en países como India o China, pero también se dieron casos en España. Más información en https://www.lavanguardia.com/ Vulnerabilidades en routers Cisco Small Business RV320 y RV325 Se han publicado dos vulnerabilidades que afectan a los routers Cisco Small Business RV320 y RV325, modelos enfocados a pequeñas empresas y oficinas. Estas son las vulnerabilidades. CVE-2019-1653: este identificador describe un fallo en la interfaz de administración basada en web debido a controles de acceso incorrectos para URL´s. Permitiría la obtención de información confidencial, sin necesidad de autentificación y manera remota, a través de dos vías diferentes. La primera de ellas se podría aprovechar para descargar la configuración del router -incluyendo nombre usuario y clave de acceso- a través de una petición a ‘/cgi-bin/config.exp’ La segunda, permitiría la recuperación de datos de diagnóstico mediante una petición a ‘/cgi-bin/export_debug_msg.exp’. Los datos obtenidos se encuentran encriptados con una clave conocida (e incrustada en el código), con lo cual es posible obtener también la información de configuración del dispositivo. CVE-2019-1652: otro fallo en la interfaz de administración, debido a la incorrecta validación de las entradas proporcionadas por el usuario al generar nuevos certificados X.509 directamente en el dispositivo. Esto podría permitir ejecutar comandos arbitrarios en el shell de Linux como root a un atacante remoto autenticado con privilegios administrativos. Más información en https://unaaldia.hispasec.com/ 8 Predicciones que marcarán Blockchain en 2019 Fujitsu ha presentado sus predicciones para el desarrollo de blockchain para este año 2019. La multinacional señala 8 tendencias fundamentales que marcarán su evolución y son: Las empresas incrementarán significativamente la adopción de Blockchain y la Tecnología Distributed Ledger. Diferentes Ledgers y sistemas existentes jugarán mejor juntos. IA comenzará a hacer que los “smart contracts” sean más inteligentes. Los reguladores y los gobiernos sufrirán cada vez más presión para adaptar el entorno regulatorio. La convergencia de los ledgers públicos y privados impulsará transformaciones empresariales más amplias. El Blockchain como servicio y almacenamiento distribuido ganará impulso. Conceptos de Identidad y Pruebas de Conocimiento Zero se convertirán en una parte vital de las aplicaciones Blockchain. La resiliencia y el endurecimiento de la tecnología blockchain y ledger están en el horizonte. Más información en https://www.revistacloudcomputing.com Vulnerabilidades críticas afectan protocolos 3G, 4G y el futuro 5G Especialistas en seguridad en redes reportan el hallazgo de una vulnerabilidad en el protocolo de comunicación 5G, próximo a implementarse. Al parecer esta vulnerabilidad es más severa que las descubiertas con anterioridad, pues afecta a los protocolos 3G y 4G además del próximo 5G. Acorde a expertos del Instituto Internacional de Seguridad Cibernética, la falla permite el monitoreo de comunicaciones a través del uso de receptores IMSI (intercepción de identidad de suscriptor móvil internacional) de última generación funcionales en todos los protocolos de telefonía. Third Generation Partnership Project (3GPP), entidad responsable de la estandarización de comunicaciones móviles a nivel mundial, diseñó y ordenó la implementación del protocolo Authentication and Key Agreement (AKA) para proteger a los usuarios de servicios de telefonía móvil, sin embargo, múltiples ataques en contra de este protocolo han sido realizados con éxito, algunas de estas fallas han sido corregidas o mitigadas en el protocolo AKA mejorado para 5G. Más información en https://noticiasseguridad.com/ Nuevo malware usa Google App Engine para generar archivos PDF maliciosos El grupo de hackers maliciosos Cobalt Strike está abusando de Google App Engine para distribuir malware incrustado en documentos PDF. Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una compleja campaña de ataques de malware en la que los hackers explotan Google App Engine, una plataforma de computación en la nube, para desplegar malware usando archivos PDF especialmente diseñados. Los principales objetivos de esta campaña son las instituciones de gobierno y financieras, en especial bancos con presencia a nivel mundial, según se menciona en la investigación. A partir de la evidencia recolectada hasta ahora, los investigadores creen que el grupo de hackers Cobalt Strike está detrás de estos ataques. A principios de 2019, múltiples organizaciones comenzaron a recibir correos electrónicos, los especialistas en seguridad en redes pudieron confirmar que estos archivos adjuntos estaban activando los sistemas de detección de las empresas.Los expertos recomiendan a los usuarios no descargar archivos adjuntos de fuentes desconocidas, sobre todo si se encuentran en correos electrónicos de procedencia dudosa. Se recomienda además mantener todos los sistemas actualizados. Más información en https://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 81 Noticias Seguridad en Comunidad Movistar Empresas
56% de las organizaciones sufrieron el ransomware El Informe Global sobre Ransomware de 2018 de SentinelOne pone sobre la mesa datos sobre organizaciones en Estados Unidos que han sido víctimas de un malware del tipo mencionado. La encuesta muestra que el 53% de las organizaciones en Estados Unidos han culpado de la infección por ransomware a las soluciones de antivirus antiguas, que fallaron a la hora de proteger sus sistemas. Dentro de ese grupo, el 68% se siente más seguro tras sustituir las soluciones antimalware obsoletas que utilizaban por protección de última generación. Con un panorama cada vez más complejo en torno a los malware y ciberataques, tener una protección que responda a los verdaderos desafíos actuales en términos de ciberseguridad puede terminar siendo crítico. El 56% de las organizaciones indicaron que están poniendo en marcha planes de formación y concienciación para sus empleados con el fin mejorar el conocimiento y participación en la seguridad a nivel organizacional. Los cibercriminales no se quedan ni mucho estancados, sino que sus métodos no paran de evolucionar. Aquí siempre es mejor ser malpensado y asumir que siempre están un paso por delante de las medidas defensivas, más si tenemos en cuenta que llegan a tener hasta acceso a peligroso material procedente de las más importantes agencias de inteligencia y seguridad. Fuente: muyseguridad.net. Facebook vuelve a filtrar datos de 120 millones de usuarios Una nueva aplicación vuelve a poner a Facebook en el centro de las críticas respecto al mal uso de los datos de sus usuarios. Los que tienen un perfil hace una década podrán recordar el furor que fueron los tests de personalidad, en donde el usuario respondía unas preguntas y a cambio la plataforma te decía a qué jugador de fútbol te parecías o qué princesa de Disney eras. Esta última es la que llamó la atención de Inti De Cukelaire, un experto en seguridad informática que expuso como la aplicación NameTests.com filtró datos de sus usuarios durante años con la vista gorda de la red social. La plataforma acumulaba información de más de 120 millones de usuarios cada mes y, desde hace dos años, permitía que cualquiera pueda tener acceso a la información de los que iniciaron el test. Según se abría el test, la app era capaz de hacer un barrido de la información privada, se hubieran dados permisos o no. El otro grave error de seguridad de la plataforma era que esos datos estaban disponibles en un archivo que podía consultarse o que se compartía con terceros a través de los sitios visitados por los usuarios. Desde Facebook reconocieron el error y confirmaron que ya trabajaron para corregir la vulnerabilidad. Fuente: www.businessinsider.es. Redes LTE y 5G podrían verse afectadas por nuevas vulnerabilidades Un grupo de investigadores en pruebas de penetración ha demostrado la capacidad de identificar pasivamente detalles de sesión y de realizar hijacking, lo que permite ataques de phishing. Acorde al Instituto Internacional de Seguridad Cibernética, los investigadores han encontrado vulnerabilidades en los estándares de LTE, que dejan a los usuarios vulnerables a posibles ataques, como determinar identidades de usuario, determinar a qué sitios web accedió un usuario determinado y alterar el tráfico DNS, lo que permite a los atacantes secuestrar una conexión y redirigir a las potenciales víctimas a sitios de phishing. Las vulnerabilidades fueron descubiertas por expertos en pruebas de penetración de las universidades Ruhr-Universität y la Universidad de Nueva York en Abu Dhabi, remarcando que de los tres tipos de posibles ataques dos son pasivos, lo que permite a los atacantes escuchar el tráfico e intentar derivar información en función de esos datos. El tercero es un ataque activo, llamado por los investigadores “aLTEr”. El ataque aLTEr es técnicamente complejo, en parte porque depende en gran medida de que exista infraestructura externa: funciona como una redirección de DNS, lo cual es posible debido a la aplicación inconsistente de la autenticación en las capas de LTE. Fuente: noticiasseguridad.com. Hackean la tienda de Adidas en estados unidos para robar datos de los clientes Todo parece indicar que la tienda oficial de Adidas en Estados Unidos ha sido hackeada, exponiendo datos comprometedores entre los que se encontrarían los detalles de contacto, las direcciones físicas, las direcciones de email y las contraseñas, con casi toda probabilidad cifradas. La compañía de ropa deportiva ha comunicado que otros datos comprometedores como las tarjetas de crédito y la información sobre el estado físico de sus usuarios (derivada de productos como las pulseras que miden la actividad física) no han sido expuestos. Adidas empezó a ser consciente del ataque el 26 de junio de este este año, cuando se detectó el acceso no autorizado a la tienda por parte de alguien que dijo haber obtenido de forma limitada ciertos datos de los clientes de Adidas. La multinacional ha iniciado una investigación y está notificando a los clientes sobre la brecha de datos que ha padecido en su tienda. Como suele ser habitual en este tipo de incidentes, se está recomendando a los clientes cambiar la contraseña cuanto antes a pesar de que en teoría los hackers no tendrían que tener acceso a las cuentas con las contraseñas cifradas. Fuente: noticiasseguridad.com. Ataque RAMpage: afecta a todos los Android desde 2012 RAMpage fue descubierto por un grupo de ocho académicos en tres universidades diferentes y el documento de investigación oficial se publicó el 28 de junio de 2018. Hasta ahora con el ataque se han conseguido replicar en un LG G4 y aseguran que cualquier teléfono fabricado desde 2012 hasta hoy se encuentra potencialmente expuesto al peligro que supone este error en el sistema. Es esto último, precisamente, lo que hace notoria a la vulnerabilidad, pues afecta de manera inmediata a millones de smartphones alrededor del mundo. RAMpage rompe el aislamiento fundamental entre las aplicaciones del usuario y el sistema operativo. Si bien las aplicaciones generalmente no tienen permiso para leer datos de otras aplicaciones, un programa malicioso puede crear un exploit de RAMpage para obtener control administrativo y es capaz de acceder a los datos, por ejemplo, de contraseñas guardados en el navegador o de apps administradoras de contraseñas, fotos personales, emails, mensajes y hasta incluso documentos. Este ataque se centra en subsistema ION, un driver que se dedica a la gestión de memoria, el cual, Google introdujo en Android 4.0 Ice Scream Sandwich. Aunque RAMpage afecte de momento a Android también se espera que se adapten versiones que impacten a iOS y otros dispositivos como ordenadores. Fuente www.androidcentral.com. Rastreo de correos electrónicos y cómo evitarlo Imagina que dentro de tu buzón de correo ordinario hay una cámara que supervisa qué folletos lees y cuáles tiras sin pensártelo. Puede que nunca te lo hayas planteado, pero el correo electrónico ha otorgado esta habilidad a los creadores de spam y de correo directo. Durante su existencia, el correo electrónico ha evolucionado de un simple texto a mensajes llamativos con todo tipo de fuentes, estilos e imágenes incorporadas. En cuanto a sus habilidades, los correos ahora son muy parecidos las páginas web, es decir, los remitentes pueden insertar elementos en mensajes para rastrear lo que tiene lugar en el buzón. Los investigadores de la Universidad de Princeton han analizado unos mil correos publicitarios y han descubierto que el 70% de los mensajes contenían rastreadores de publicidad, elementos de descarga automática como imágenes invisibles que no solo informan al remitente cuándo y cuántas veces abres el mensaje, sino que también transmite datos personales (por ejemplo, tu dirección de correo electrónico) en la cadena de consulta. Además, la consulta del dominio de rastreo refleja tu dirección IP, a través de la cual se puede determinar tu ubicación aproximada. Estas tecnologías permiten que los creadores de publicidad en correos electrónicos dirijan sus mensajes de forma más eficaz. Por ejemplo, el rastreo es muy útil en los famosos test A/B, que ayuda a determinar qué temas y qué tipo de mensajes suelen ser más atractivos (como usar o no emoticonos).Fuente: www.kaspersky.es. Vulnerabilidad en McDonald's permite robar contraseñas de usuarios Abusando de Insecure Cryptographic Strorage y un Server Cross-Site-Scripting es posible robar contraseñas de usuarios de McDonald's, además de otros detalles como nombres de usuario, direcciones y detalles de contacto. Reflected XSS a través de AngularJS sandbox es lo que permite lograr esto, pero necesitas forzar el inicio de sesión de un usuario para poder realizarlo. McDonald's usa CryptoJS para cifrar y descifrar datos sensibles como la cookie de sesión pero usan la misma clave y IV (Vector de Inicialización) para cada usuario. Para robar la cookie, el método getCookie no funciona pero Tijme Gommers ha publicado un código en Javascript que carga la página de inicio en una iframe para robar la cookie. McDonald's recibió múltiples reportes de la vulnerabilidad pero no respondieron y por eso se ha hecho pública la vulnerabilidad. Fuente: finnwea.com. Cómo un malware podría dañar físicamente tu equipo Cuando navegamos, cuando utilizamos cualquier equipo informático, estamos expuestos a sufrir infecciones en forma de malware. Son muchas las variedades que podemos encontrarnos. También son múltiples las formas en las que podemos ser víctimas de algún ataque. Es vital tener ciertas precauciones de cara a protegernos. Ahora bien, ¿el malware solamente puede afectar al buen funcionamiento, al sistema, o podría afectar de forma física? La realidad es que un equipo afectado podría ser dañado físicamente incluso hasta el punto de quemarse o sufrir algún fallo de hardware. Todas las variedades de malware alteran, de una u otra forma, un sistema. Puede provocar ralentización, una navegación más lenta, mal funcionamiento de algunas aplicaciones… También puede afectar a los mineros de criptomonedas. Un ejemplo son los mineros de criptomonedas. Este tipo de malware utiliza los recursos de un equipo para llevar a cabo su función. Puede poner al límite una tarjeta gráfica o CPU y, en última instancia, llegar a quedar completamente inutilizado. A quemarse el hardware, incluso. Fuente: www.redeszone.net. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
