Boletín nº 45 Noticias Seguridad en Comunidad Movistar Empresas
* Google retira 500 aplicaciones que podrían estar espiando a millones de usuarios de Android Más de 500 aplicaciones maliciosas fueron retiradas de la tienda de apps Google Play Store por contar con una puerta trasera secreta para instalar spyware, y así espiar a los usuarios Android y robar sus datos. Las apps, en conjunto, habían sido descargadas más de 100 millones de veces en todo el mundo. El código malicioso instalado en estas apps fue descubierto por la firma de seguridad informática Lookout, quienes notificaron a Google para que pudiera tomar acciones al respecto. Ahora, tras haber eliminado las aplicaciones maliciosas de la tienda virtual de la compañía, han decidido anunciar su hallazgo. http://es.gizmodo.com/google-retira-500-aplicaciones-que-podrian-estar-espian-1798320652 * WhatsApp para Android sin la clave de cifrado Desde el principio, al menos en los sistemas operativos Android, la base de datos de WhatsApp que se almacena en el dispositivo se ha mantenido cifrada, para evitar que alguien fácilmente pudiera llevarse los mensajes de las conversaciones con solo acceder a la base de datos. En este enlace se explica cómo es posible que alguien que tenga acceso a un móvil puede descifrar los backups de WhastApp en Android sin clave de acceso. http://www.elladodelmal.com/2017/08/aprende-como-descifrar-los-mensajes-de.html * Foxit soluciona dos 0-Day Foxit Software solucionó un par de vulnerabilidades 0-Day en su lector de PDF Foxit Reader y PhantomPDF, su software de edición de PDF. Las vulnerabilidades fueron reportadas por Zero Day Initiative (ZDI) hace varias semanas. En mayo Foxit dijo que no podía reproducir los problemas que ZDI describía y que no solucionaría las vulnerabilidades porque podrían ser mitigadas a través del Modo Seguro del software. Ahora han cambiado de opinión luego de que ZDI revelara los detalles de los errores. https://threatpost.com/foxit-to-fix-pdf-reader-zero-days-by-friday/127576/ * Roban 8 millones de dólares en Ethereum con un simple hack El Ethereum y el Bitcoin, a pesar de estar pasando unos días de cierta inestabilidad (la primera ha llegado a caer hasta 134 dólares por moneda, mientras que el Bitcoin llegó a los 1.800 dólares el pasado 16 de julio), han vuelto a crecer y vuelven a situarse en valores estables. Cuando quedan apenas dos semanas para que el Bitcoin se “separe”, un hacker ha conseguido robar 8 millones de dólares en Ethereum en apenas 3 minutos. https://www.adslzone.net/2017/07/18/roban-8-millones-de-dolares-en-ethereum-con-un-simple-hack/ * Mejoras de seguridad de Android Oreo La presencia en una red doméstica de un dispositivo del Internet de las cosas que esté mal configurado o que contenga vulnerabilidades puede tener consecuencias desafortunadas. Uno de los escenarios más comunes es la inclusión de un dispositivo en una botnet. Esta es quizás la opción más inofensiva para el propietario, porque los otros usos posibles son más peligrosos. Por ejemplo, los dispositivos de la red doméstica pueden utilizarse como un eslabón intermedio para cometer acciones ilegales. Además, un atacante que haya obtenido acceso a un dispositivo del Internet de las cosas puede espiar al propietario con el propósito de extorsionarlo. Ya se conocen casos de tales incidentes. Por último, y esto está lejos de ser el peor escenario, el dispositivo infectado puede simplemente dejar de funcionar. https://www.android.com/versions/oreo-8-0/ * Dispositivos inteligentes utilizados para rastrear movimientos remotamente Un grupo de estudiantes relacionado con el hacking, ha demostrado que existe un nuevo método de ataque para convertir los dispositivos inteligentes en herramientas de espionaje. Con esto podrían averiguar los movimientos y actividad de una persona y recopilar todo tipo de datos. El ataque ha sido desarrollado por cuatro investigadores de la escuela Paul G. Allen de Ciencias de la Computación e Ingeniería de la Universidad de Washington, y es tan poderoso que puede registrar lo que una persona está haciendo a través de una pared. Este sistema de seguimiento ha sido denominado como CovertBand y utiliza los micrófonos incorporados y los altavoces, algo que incluyen todos los teléfonos inteligentes, tabletas, portátiles, etc. Captan todas las ondas sonoras que se reflejan, así como el seguimiento de los movimientos de cualquier persona cerca de esta fuente de audio. Este ataque implica el secuestro remoto de los dispositivos inteligentes. Pueden reproducir música incrustada con impulsos repetitivos que logran rastrear la posición del individuo, los movimientos del cuerpo y las actividades realizadas tanto cerca del dispositivo como incluso a través de paredes. covertband-attack. Para llevar a cabo este proceso, el atacante primero debe engañar a la víctima. Tiene que lograr que instale una aplicación para Android de terceros en su dispositivo inteligente. Esta aplicación no requiere de permisos importantes. Una vez instalada, de forma secreta la aplicación utiliza la API de AudioTrack para reproducir las señales acústicas a 18-20 kHz. Para enmascarar esta acción, la aplicación cubrió con pulsaciones de CovertBand tocando canciones y otros sonidos que actúan como un sonar. https://securityintelligence.com/news/covertband-hijacks-smart-devices-for-surveillance-purposes-using-sound-waves/ * PoshKPBrute, un simple script para romper la seguridad de KeePass Este script es de código abierto, y podemos encontrarlo, junto a una breve documentación, en GitHub. Junto al script podemos descargar un completo diccionario de claves (más de 8 MB de texto plano) que será el que se cargue al programa para empezar a romper la seguridad de la base de datos. Este script tiene el defecto de ser bastante lento y, aunque es capaz de probar hasta 500 contraseñas por segundo, si la base de datos utiliza una clave bastante compleja es muy probable que tardemos varias horas, o días, en romper su seguridad. https://www.redeszone.net/2017/08/27/poshkpbrute-romper-contrasenas-keepass/ * RopeMaker: convierte emails legítimos en maliciosos tras recibirlos Investigadores en seguridad están avisando del descubrimiento de un nuevo exploit que podría permitir a un atacante modificar un email legítimo para volverlo malicioso, incluso después de que este haya llegado a la bandeja de entrada del destinatario. El exploit ha recibido el nombre de RopeMaker, y aunque literalmente se podría traducir por "fabricante de cuerdas" o "sogas", la realidad es que hace referencia a Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky. Su descubridor ha sido Francisco Ribeiro, investigador de Mimecast dedicado a la seguridad de servicios de email y cloud. http://securityaffairs.co/wordpress/62310/hacking/ropemaker-attack.html * Va a la cárcel el programador que manipuló el software de varias loterías de EE UU para ganar En la CNBC cuentan el curioso caso de un infiltrado que ha defraudado durante años a la Asociación de Loterías estadounidense, donde trabajaba como programador. Ahora se enfrenta a 25 años de prisión por haberse hecho ilegalmente con los premios de varios estados, además de haber formado una red de colaboradores con su hermano, un antiguo juez, un amigo y un hombre de negocios que cobraban por él los premios. http://www.microsiervos.com/archivo/azar/carcel-programador-software-loteria-eeuu.htmlBoletín semanal nº 34 Noticias Seguridad en Comunidad Movistar Empresas
* El perímetro de seguridad ha desaparecido, el phishing está triunfando y el ransomware está desenfrenado Los usuarios hacen cosas sin tener en cuenta la importancia de la seguridad, los administradores de TI también, y los criminales son cada vez más inteligentes. Las respuestas se limitan a lo elemental y a la adopción de nuevas tecnologías como la inteligencia artificial y el aislamiento. Algo anda totalmente mal con la ciberseguridad. Han sido dos décadas de inversión en hardware, software y servicios de seguridad, ¿y qué tienen que mostrar las empresas y los gobiernos? lo que hemos visto sido una continua sucesión de brechas de seguridad. https://diarioti.com/el-perimetro-de-seguridad-ha-desaparecido-el-phishing-esta-triunfando-y-el-ransomware-es-desenfrenado-una-perspectiva-realista-sobre-ciberseguridad/104011 * El 30% del malware es `0-day´, indetectable por antivirus tradicionales La firma de seguridad capturó 18,7 millones de variantes de malware en el cuarto trimestre de 2016. Algunos de los clientes contaban con un antivirus tradicional basado en firmas y con el nuevo servicio de prevención de malware APT Blocker de la compañía. El antivirus tradicional capturó 8.956.040 variantes de malware, mientras que el nuevo sistema basado en el comportamiento capturó además otras 3.863.078 variantes de software malicioso que los antivirus legacy no detectaron. APT Blocker ejecuta aplicaciones potencialmente peligrosas en una sandbox en la nube y realiza análisis de comportamiento para detectar el malware. http://cso.computerworld.es/cibercrimen/el-30-del-malware-es-0day-indetectable-por-antivirus-tradicionales * Nueva versión de iOS para evitar grave vulnerabilidad en el chip WiFi Apple publicó un conjunto de actualizaciones para múltiples productos, incluyendo la nueva versión iOS 10.3 para sus dispositivos móviles (iPad, iPhone, iPod...). Ahora publica la versión 10.3.1 destinada a solucionar una grave vulnerabilidad en el chip WiFi. http://unaaldia.hispasec.com/2017/04/nueva-version-de-ios-para-evitar-grave.html * Hallan 40 vulnerabilidades zero-day en los televisores Samsung con Tizen El investigador en seguridad Amihai Neiderman ha descubierto que Tizen, el sistema operativo de Samsung incluido en sus televisores inteligentes, relojes inteligentes y en algunos de sus smartphones de bajo coste, contiene al menos 40 vulnerabilidades zero-day que dejan totalmente comprometida su seguridad y en consecuencia la confiabilidad que pueda depositar el usuario. http://muyseguridad.net/2017/04/05/40-zero-day-televisores-samsung-tizen/ * El Touch ID no es tan seguro como parece según unos investigadores de Nueva York En las simulaciones llevadas a cabo, los investigadores fueron capaces de desarrollar un conjunto de "MasterPrints" artificiales que podrían coincidir con impresiones reales similares a las utilizadas por los dispositivos hasta en un 65% del tiempo. Los investigadores no probaron estos datos con dispositivos reales, por lo que otros expertos han indicado que en condiciones reales la tasa de acierto sería menor. Sin embargo, las conclusiones plantean un escenario lleno de preguntas sobre la eficacia de la seguridad de huellas digitales en este tipo de dispositivos. http://www.seguridadapple.com/2017/04/el-touch-id-no-es-tan-seguro-como.html * La asombrosa historia de los reclusos que construyeron dos ordenadores dentro de una prisión Tan asombroso como increíble que incluso daría para guión de película o al menos serie de televisión. Y es que se acaba de descubrir que dentro de la Institución Correccional de Marion, en Ohio, una prisión de baja seguridad con capacidad para 2.500 reclusos, un par de presos construyó dos ordenadores con todo y conexión a internet, lo que les permitió seguir delinquiendo aún tras las rejas. https://www.xataka.com/seguridad/la-asombrosa-historia-de-los-reclusos-que-construyeron-dos-ordenadores-dentro-de-una-prision * MouseJack o cómo comprometer un ordenador "secuestrando" un ratón inalámbrico Hoy vamos a ver una de esas vulnerabilidades que llaman la atención por su originalidad y cuya repercusión incluso deriva en la creación de una página web con su nombre: http://www.mousejack.com/. Se trata de MouseJack descubierta hace más o menos un año por el equipo de Bastille y es una clase de vulnerabilidades que afecta a la gran mayoría de los teclados y ratones inalámbricos, no Bluetooth. Estos periféricos están 'conectados' al ordenador usando un transceptor de radio, comúnmente un pequeño dongle USB. Dado que la conexión es inalámbrica y los movimientos del ratón y las pulsaciones de teclas se envían por aire, es posible comprometer el PC de una víctima mediante la transmisión de señales de radio especialmente diseñadas utilizando un dispositivo que cuesta tan sólo unos 15€ aproximadamente. http://www.hackplayers.com/2017/04/mousejack-o-como-comprometer-un-raton-wifi.html * Nuevos exploits para todas las versiones de Windows publicados por #ShadowBrokers El grupo ShadowBrokers lanzó un nuevo conjunto de herramientas de hacking para Windows que presuntamente fueron robadas a la NSA y funcionan contra casi todas las versiones de Windows, desde Windows 2000 y XP hasta Windows 7 y 8, y sus variantes para servidor Windows Server 2000, 2003, 2008, 2008 R2 y 2012 (excepto Windows 10 y Windows Server 2016). Estos exploits podrían dar a casi cualquier persona con conocimientos técnicos la capacidad de ingresar a millones servidores Windows. "De las tres explotaciones restantes: EnglishmanDentist, EsteemAudit y ExplodingCan, ninguna se reproduce en las plataformas soportadas, lo que significa que los clientes que ejecutan Windows 7 y versiones más recientes de Windows o Exchange 2010 y versiones más recientes de Exchange no están en riesgo" dijo Microsoft. http://blog.segu-info.com.ar/2017/04/nuevos-exploits-para-todas-las.html * Monero, la alternativa a Bitcoin que se ha convertido en la divisa de los criminales Se trata de la criptodivisa que más creció en 2016, aunque lo hizo gracias a su popularidad en la internet oscura. A pesar de existir desde el año 2014, ha sido ahora cuando el uso de Monero en los mercados ilegales de armas y drogas de la 'deep web' han hecho despegar a esta moneda virtual, tristemente convertida en la divisa favorita de los delincuentes a causa de su total anonimato. “A pesar de que Bitcoin se empezase a usar en la ‘deep web’, porque no es necesario dar tu nombre y apellidos para tener un monedero de bitcoines, lo cierto es que no fue diseñada para eso. Sin embargo, Monero sí”, explica Alberto Gómez Toribio, director de tecnología de la ‘startup’ especializada en criptodivisas Clluc. En concreto, la principal diferencia entre una moneda y otra es que la creada en 2014 hace que las transacciones sean totalmente opacas: no hay forma alguna de conocer cuánto dinero se mueve o en qué dirección lo hace. http://www.eldiario.es/hojaderouter/internet/monero-criptomoneda-mercado_negro-criminalidad_0_610688987.htmlBoletín semanal nº 31 Noticias Seguridad en Comunidad Movistar Empresas
* 1 de cada 5 páginas web utiliza certificados vulnerables, según revela Venafi Según la información del último estudio de la compañía de ciberseguridad Venafi, el 21% de todas las páginas web analizadas continúan empleando certificados como el SHA-1, que son vulnerables frente a ataques “man-in-the-middle”, de fuerza bruta o de colisión. Este tipo de ataques pueden implicar el acceso no autorizado a datos sensibles y de carácter personal de los usuarios. Nuevo ataque masivo infecta a servidores de bancos, gobiernos y multinacionales. http://www.ticbeat.com/seguridad/1-de-cada-5-paginas-web-utiliza-certificados-vulnerables-segun-revela-venafi/ * Los nuevos retos en ciberseguridad contados por Chema Alonso Es conocido por todos la importancia de la ciberseguridad para las empresas. Cada vez son más los negocios que sufren ataques informáticos de algún tipo dado el auge de esta tendencia, por lo que muchas empresas han decidido poner solución frente a estos posibles ataques a fin de evitar estas acciones. Uno de los principales inconvenientes, es la falta de personal capacitado para proteger la información, aunque cada vez son más los profesionales especializados en seguridad. Para más información os dejamos este vídeo de Chema Alonso. http://cincodias.com/cincodias/2017/03/22/tecnologia/1490194082_115020.html * Es Posible hackear teléfonos mediante ondas sonoras Un grupo de investigadores de seguridad en ordenadores de la Universidad de Michigan, en Carolina del Sur, ha descubierto una vulnerabilidad en los smartphones que permite que éstos sean hackeados haciendo uso de ondas sonoras. En una prueba realizada por los mismos investigadores, éstos fueron capaces de hacerse con el control del acelerómetro, un componente utilizado tanto en teléfonos móviles, como en pulseras de deporte o automóviles, mediante unos determinados archivos de audio que hicieron sonar. http://blog.elhacker.net/2017/03/es-posible-hackear-telefonos-mediante-ondas-sonoras.html * Telegram vs WhatsApp Web Telegram afirma que no es vulnerable al ataque que sí afecta a WhatsApp Web. Quizás recuerdes nuestra noticia asegurando que las cuentas de WhatsApp y Telegram podrían estar en peligro, gracias al envío de una imagen maliciosa transmitida hacia la versión web de tu cuenta en las dos apps de mensajería más usadas en el mundo. https://voltaico.lavozdegalicia.es/2017/03/telegram-no-vulnerable-ataque-whatsapp-web-confusion/ * NoSQL INSecurity: Preview and Basic Attacks Cuando hablamos de bases de datos NoSQL, lo primero que pensamos es en rendimiento, flexibilidad y escalabilidad, las características propias y necesarias de las bases de datos utilizadas por los gigantes de Internet como Adobe, Amazon, Ebay, Twitter, Google, Netflix. Pero analizando los features de bases de datos NoSQL como MongoDB, Cassandra, CouchDB, Hbase, Redis o Riak podemos darnos cuenta a primera vista que las medidas de seguridad que poseen son insuficientes o están pensadas para bases de datos utilizadas en ambientes "trusted", donde la posibilidad de ataques sea ínfima y existan otras medidas de protección por fuera del nivel de base de datos. Ahora, ¿Cómo hacemos para detectar las debilidades de seguridad de una determinada instalación de base de datos NoSQL para poder explotarlas (o para poder remediarlas y hacer nuestra base de datos NoSQL mas segura)? http://www.hacking4badpentesters.com/2017/03/nosql-insecurity-attacks-and-protection.html * Pwn2Own 2017 con exploits para Adobe, Apple, Microsoft, Mozilla, Ubuntu y VMware El concurso anual de hackers patrocinado por Zero Day Initiative (ZDI) y Trend Micro, ha establecido un récord de exploits exitosos, registrando 17 intentos con 11 exitosos. El récord se produjo en el segundo día del evento, que este año celebra su décimo aniversario. En total, los concursantes recibieron U$S340.000 y 97 puntos de Master of Pwn por la investigación del día. Según el blog de Trend Micro, Track A se centró en los productos de Adobe y Microsoft y dio como resultado el lanzamiento de exploits exitosos sobre Adobe Flash, Microsoft Edge y Microsoft Windows. ZDI otorgó U$S220.000 y 60 puntos de Master of Pwn a los concursantes de Track A. En el día 1, los concursantes recibieron U$S 233.000 y 45 puntos, con cinco intentos exitosos (y 20 errores), un éxito parcial, dos fracasos y dos entradas retiradas. https://www.infosecurity-magazine.com/news/pwn2own-2017-sets-record-on-day-2 * 0-Day para más de 300 modelos de Switch Cisco IOS/IOS XE (Desactiva Telnet) La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. La falla identificada como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo. https://arstechnica.com/security/2017/03/a-simple-command-allows-the-cia-to-commandeer-318-models-of-cisco-switches/ * Security Awareness según la ISO/IEC 27001:2013 Para aquellos que se preguntan si la norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, la respuesta es sí, vamos a encontrar que está mencionada en el propio cuerpo de la norma como requisito, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concientización sino también contar con un registro que lo evidencie. http://blog.smartfense.com/2017/02/security-awareness-segun-iso-27001.html * EE UU acusa a espías rusos del robo masivo de datos sufrido por Yahoo El Departamento de Justicia de Estados Unidos tiene ya montada la batería de cargos penales contra los responsables del asalto masivo informático que hace tres años puso al descubierto los datos personales de más de 500 millones de usuarios de Yahoo. Washington confirma que detrás de uno de los robos de datos más graves de la historia hay cuatro hackers, de los que dos pertenecen a los servicios de espionaje de Rusia. Actuaron para enriquecerse con esa información. Los cuatro acusados son Dmitry Aleksandrovich Dokuchaev, Igor Anatolyevich Sushchin, Alexsey Alexseyevich Belan y Karim Baratov. Los dos primeros son funcionarios de la FSB, el sucesor de la temida KGB. Los investigadores estadounidenses aseguran que actuaban en nombre de la agencia y explican que trabajan en la unidad de información conocida como Centro 18, que hace de enlace con el FBI en asuntos relacionados con la cibercriminalidad. http://internacional.elpais.com/internacional/2017/03/15/actualidad/1489590898_242085.html * Wikileaks desclasifica el programa de hackeo global de la CIA Wikileaks acaba de realizar una acusación bastante grave en la cual acusa a la CIA (Agencia Central de Inteligencia) de llevar a cabo un proyecto de hackeo a nivel global en el cual productos triviales como celulares y televisores se utilizaban como micrófonos ocultos. La situación es llamada Year Zero por parte de Wikileaks y en el comunicado de prensa indican que "la CIA perdió el control de la mayoría de su arsenal de hackeo que incluye malware, virus, troyanos, exploits tipo 'dia cero' convertidos en armas y la documentación asociada". Con "Year Zero", Wikileaks espera dar a conocer "el alcance y la dirección del programa de hackeo global de la CIA". https://git.kernel.org/pub/scm/linux/kernel/git/gregkh/tty.git/commit/?h=tty-linus&id=82f2341c94d270421f383641b7cd670e474db56b
