Bienvenido a Indetectables.net

Plantean la introducción de mecanismos contra el minado de criptodivisas en Google Chrome

La utilización de páginas web para el minado de criptodivisas es una práctica cada vez más común. Sitios web generalmente vinculados a actividades perseguidas por las autoridades públicas terminan incrustando código JavaScript que utilizan las CPU de sus visitantes para minar criptodivisas.

Entre los casos conocidos tenemos a The Pirate Bay. El sitio web de torrents utiliza las CPU de sus visitantes para minar criptodivisas. A pesar de que es algo que no esconden, eso no le ha impedido recibir una gran cantidad de críticas. Por otro lado, ESET también avisó sobre el uso de código JavaScript para minar criptodivisas incrustado en sitios web de juegos visitados sobre todo desde países de Europa del este.

Aunque el minado provocado en los ordenadores de los visitantes mediante páginas web se puede bloquear, no todo el mundo tiene los conocimientos necesarios para hacerlo. Por eso ingenieros de Google han planteado añadir un permiso adicional a Chromium que facilite la frustración del proceso de minado. Esas mejoras, en caso de ser aprobadas, llegarían con toda probabilidad a Google Chrome y posiblemente a otros navegadores basados en la misma tecnología, como Opera y Vivaldi.

La discusión se inició el mes pasado en el localizador de errores de Chromium, cuando se lanzó el servicio Coinhive para minado de criptodivisas desde navegadores web. Una de las preocupaciones de los usuarios es la de ver parte de los recursos de su ordenador secuestrados por un proceso de minado de criptodivisas ejecutado mediante el navegador web.

El mecanismo de bloqueo no se basaría en la detección de un proceso de minado propiamente dicho, sino en un uso excesivo de la CPU por parte de alguna pestaña en ejecución debido a que las “condiciones desencadenantes inusuales solo se disparan cuando se está haciendo algo malo”, explica el ingeniero de Ojan Vafai. Eso fue lo que ha motivado su propuesta de añadir una petición de permisos explícita en caso de darse esas condiciones.

Esta no es la primera propuesta para establecer un mecanismo que bloquee el minado de criptodivisas mediante el navegador web. Anteriormente se descartó implementar en Chromium algo para bloquear código JavaScript de minado mediante listas negras, ya que solo haría falta unos cambios en el código para saltárselas.

De forma alternativa, los usuarios de Chromium y Google Chome pueden utilizar las extensiones AntiMiner, No Coin y minerBlock para neutralizar el minado de criptodivisas desde el navegador. Algunos antimalware también incluyen capacidades similares.

Fuente: BleepingComputer

por Eduardo Medina Fri, 20 Oct 2017 10:20:29 +0000

Un exploit contra Flash Player está siendo usado para esparcir el spyware FinFisher

Investigadores en seguridad de Kaspersky Lab han descubierto una nueva vulnerabilidad zero-day de ejecución de código remoto en Adobe Flash que está siendo explotada por el grupo de amenaza persistente avanzada (APT) BlackOasis.

La ejecución de código en remoto deriva de una vulnerabilidad crítica de confusión de tipo cuyo código es CVE-2017-11292, afectando a Flash Player 21.0.0.226 en los sistemas operativo Linux, macOS y Windows. Los investigadores comentan que BlackOasis también está detrás de la explotación de vulnerabilidad CVE-2017-8759, descubierta el mes pasado.

El grupo de hackers está utilizando la vulnerabilidad CVE-2017-11292 para esparcir FinSpy como carga útil, un spyware que utiliza el mismo servidor de mando y control que la otra vulnerabilidad mencionada en esta entrada. Hasta el momento BlackOasis ha tenido como objetivo prioritario a países como Rusia, Irak, Afganistán, Nigeria, Libia, Jordania, Túnez, Arabia Saudí, Países Bajos, Baréin, Reino Unido y Angola. Otro punto importante que señala el informe de los investigadores es que se trata de al menos la quinta vulnerabilidad zero-day explotada por este grupo.

El exploit es incrustado en documentos de Microsoft Office, sobre todo Word, que es la aplicación más usada de la suite. Estos documentos de Microsoft Office, que son enviados mediante email a las vícitmas, contienen en su interior objetos ActiveX que son los que ejecutan el exploit.

Una vez ejecutado el exploit, se aprovecha la situación para implementar en el ordenador de la víctima FinSpy, una herramienta de vigilancia secreta vinculada a Gamma Group, una empresa británica que vende de forma legal software para espionaje y vigilancia a agencias gubernamentales de todo el mundo.

FinSpy, también conocido como FinFisher, puede hacer un seguimiento en vivo de la víctima mediante la activación de la webcam y el micrófono, grabar las pulsaciones del teclado, interceptar llamadas de Skype y extraer de ficheros.

También puede hacer otras tareas maliciosas como provocar ataques de phishing y de agujero de riego (Watering hole), explotar otros zero-day e incluye un mecanismo de instalación manual con acceso físico a un dispositivo afectado.

Tras ser reportada a Adobe, la compañía desarrolladora de Flash corrigió la vulnerabilidad en las versiones 27.0.0.159 y 27.0.0.130, mientras que Microsoft también está moviendo fichas para corregirla en los componentes de Flash Player utilizados en sus productos.

Fuente: The Hacker News

por Eduardo Medina Thu, 19 Oct 2017 14:56:45 +0000

Google quiere mejorar la seguridad de tu cuenta con el Programa de Protección Avanzada

Google lanzó ayer su Programa de Protección Avanzada, creado para proteger las cuentas de sus usuarios de posibles ataques como los de phishing, pudiendo abarcar también correos electrónicos y archivos, limitar el acceso a la cuenta desde servicios que no son de Google, además de bloquear el acceso fraudulento mediante la incorporación de pasos adicionales en el proceso de verificación.

Para reforzar la seguridad de los usuarios, el Programa de Protección Avanzada utilizará claves de seguridad en formato de pequeños dispositivos USB o Bluetooth que serán requeridos para acceder a las cuentas. Google comenta que la versión más segura de su programa es la verificación en dos pasos, la cual utiliza una clave critpográfica y firmas digitales para confirmar la identidad de una persona.

Dispositivo perteneciente al Programa de Protección Avanzada de Google

Las claves de seguridad pueden ser difíciles de usar, así que Google ha comentado que estarán destinadas a usuarios que no les importe llevarlas consigo, siendo compatible con el navegador web Chrome y las aplicaciones del gigante de Mountain View, no funcionando con las aplicaciones de email, calendario y contactos del iPhone.

Los usuarios que decidan formar parte del Programa de Protección Avanzada tendrán pasos adicionales en procesos como la recuperación de cuenta, que incluirá revisiones y peticiones sobre por qué el usuario ha perdido el acceso a su cuenta. Esta característica también limitará de forma automática el acceso completo a servicios y aplicaciones específicos como Gmail y Google Drive.

La seguridad y la privacidad son dos aspectos que importan cada vez a más usuarios, por lo que Google parece que ha decidido lanzar su Programa de Protección Avanzada para satisfacer esos perfiles de usuario que son recelosos al máximo con su propia seguridad.

Fuente: The Verge

por Eduardo Medina Wed, 18 Oct 2017 10:48:59 +0000

Microsoft habría recibido en 2013 un ataque se aprovechó de una base de datos mal protegida

Cinco exempleados de Microsoft dicen que una de las bases de datos internas de la compañía recibió hace cuatro años y medio un ataque que provocó una brecha de datos. El ataque habría sido realizado por un “grupo de hackers altamente sofisticado” que explotó un bug.

Obviamente, si damos por ciertas las palabras de los exempleados, el ataque habría quedado en secreto por parte de Microsoft, no habiéndose hecho público hasta hace poco. Por su parte, las autoridades de Estados Unidos están preocupadas debido a que este hecho podría haber expuesto vulnerabilidades de software a los atacantes.

Según los exempleados, que informaron del presunto incidente a Reuters por separado, la base de datos estaba pobremente protegida, lo que habría facilitado el trabajo a los hackers. La compañía no ha hecho declaraciones sobre este asunto más allá de decir que sus “equipos de seguridad monitorizan las amenazas cibernéticas para ayudar a priorizar y tomar la acción apropiada con el fin de mantener a los clientes protegidos.”

Eric Rosenbach, Subsecretario Adjunto para la Defensa Cibernética de Estados Unidos en el momento del presunto ataque, ha comentado que “los chicos malos con acceso interno a esa información podrían haber obtenido una clave maestra para cientos de millones de computadoras en todo el mundo”, dejando entrever que esto podría afectar a usuarios de productos Microsoft en todo el mundo.

Cuando Microsoft descubrió el incidente a nivel de seguridad, se dedicó a seguir otras que afectaron a distintas empresas y concluyó que no había datos relacionados con la brecha utilizados contra estas. Los exempleados comentan que Microsoft tomó buena nota, aislando la base de datos afectada del resto de redes pertenecientes a la corporación e introduciendo una autenticación dual.

La presunta brecha de datos habría sido provocada por un grupo de hackers que ha actuado bajo nombres como Morpho, Butterfly y Wild Neutron, el cual se sabe que también ha atacado a Facebook, Apple y Twitter.

Fuente: BetaNews

por Eduardo Medina Tue, 17 Oct 2017 14:31:38 +0000

KRACK incluye devastadores ataques que han puesto en jaque al protocolo WPA2

Un equipo de investigadores en seguridad ha hallado importantes debilidades en el protocolo WPA2, utilizado para proteger la seguridad de todas las redes Wi-Fi modernas. Todo apunta a que este problema puede tener consecuencias catastróficas y difícil arreglo.

Los atacantes que están dentro del rango de la víctima pueden explotar las debilidades de WPA2 utilizando ataques de reinstalación de clave, los cuales han recibido como nombre el acrónimo de KRACK (Key Reinstallation Attacks). A través de su ejecución los atacantes pueden leer toda la información que presuntamente va cifrada mediante el protocolo WPA2, abarcando números de tarjetas de crédito, contraseñas, mensajes de chat, emails, fotografías y, en definitiva, cualquier dato que pase por la red Wi-Fi. Además, dependiendo de la configuración de la red, también se podría abrir la puerta a la manipulación de los datos transmitidos, pudiendo el atacante colar un ransomware en el ordenador de la víctima o bien manipular el contenido de las páginas web visitadas para introducir malware en ellas.

Al afectar al protocolo WPA2 se abre la posibilidad de atacar cualquier dispositivo que lo utilice como cliente, abarcando OpenBSD, Windows, macOS e iOS, aunque los más afectados son aparentemente Android y Linux. De momento parece que los ataques no pueden llevarse a cabo contra los puntos de acceso.

Un investigador ha realizado una demostración de KRACK en las conferencias CCS y Black Hat Europe. En la prueba de concepto que ha aportado mostró la ejecución de uno de los ataques contra un smartphone Android. De hecho sobre Android y Linux KRACK resulta especialmente devastador, ya que esos sistemas pueden ser engañados para reinstalar una clave de cifrado totalmente a cero. En el resto de dispositivos resulta más difícil descifrar todos los paquetes transmitidos, aunque sí es posible en un gran porcentaje.

Los detalles clave de KRACK

El principal ataque utilizado por los investigadores ha sido contra el handshake de 4 vías utilizado por el protocolo WPA2, que es ejecutado cuando un cliente quiere unirse a una red Wi-Fi protegida. Este mecanismo se usa para confirmar que tanto el cliente como el punto de acceso Wi-Fi poseen los credenciales correctos. Por otro lado, también se encarga de negociar la clave para cifrar el tráfico producido mediante la Wi-Fi.

El handshake de 4 vías es empleado en todas las redes Wi-Fi modernas. El ataque funciona sobre las dos versiones de WPA e incluso aquellas que solo emplean AES para cifrar. Cuando un cliente se une a una red inalámbrica, ejecuta el handshake de 4 vías para negociar la clave de cifrado, la cual se instalará tras recibir el tercer mensaje. Una vez instalada la clave, esta será usada para cifrar los datos mediante un protocolo. Sin embargo, debido a que los mensajes pueden perderse, el punto de acceso retransmite el tercero en caso de no recibir una respuesta apropiada de su llegada por parte del cliente, abriendo la posibilidad de retransmitirlo varias veces. Cada vez que se recibe este mensaje se reinstalará la misma clave de cifrado, por lo tanto se reinicia el número incremental de paquete transmitido (nonce) y se recibe un contador de repetición utilizado por el protocolo de cifrado.

Un atacante podría forzar reinicios de nonce mediante la recolección y reproducción de la retransmisión del mensaje 3, pudiendo así atacar el mismo protocolo de cifrado para reproducir los paquetes, descifrados e incluso falsificados. Por otro lado, existen otras vías (PeerKey, TDLS y Fast BSS) para explotar las debilidades halladas en WPA2, formando el conjunto de ataques una nueva técnica que ha recibido el nombre de KRACK.

En resumidas cuentas, KRACK requiere que el atacante engañe a la víctima para que reinstale una clave que ya se está usando. Esto se consigue mediante la manipulación y reproducción de los manejes criptográficos del handshake. Cuando la víctima reinstala la clave, los parámetros asociados al número de paquete de transmisión incremental y el número de paquete recibido son reiniciados a su valor inicial. En teoría la clave tendría que ser instalada y usada solo una vez, pero los investigadores han descubierto que WPA2 no garantiza que ese mecanismo funcione de esa manera, haciendo posible la manipulación de las comunicaciones criptográficas.

La capacidad de descifrar los paquetes se puede utilizar para obtener los TCP SYN. Esto permite que un atacante obtenga los números de secuencia TCP de una conexión con el fin de secuestrarlas. Como resultado, el atacante puede llevar a cabo uno de los ataques más comunes contra las redes Wi-Fi, la inyección de datos maliciosos en las conexiones HTTP no cifradas, y todo esto sobre el más que extendido WPA2.

Utilizar el protocolo de cifrado WPA-TKIP o GCMP es incluso peor que AES-CCMP, ya que el tercero solo pone facilidades para descifrar los paquetes, mientras que los dos primeros también permiten la inyección y falsificación de paquetes. Al usar GCMP la misma clave de cifrado en ambas direcciones de la comunicación, esta puede ser recuperada si los nonces son reutilizados. Por otro lado, esta tecnología se está extendiendo bajo el nombre de Wireless Gigabit (WiGig), esperándose una gran expansión en los próximos años.

Estos son los códigos identificadores CVE asignados a las distintas tecnologías que han podido ser explotadas para llevar a cabo KRACK: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088.

¿Por qué Android y Linux son los sistemas más afectados?

El principal ataque llevado a cabo por los investigadores tiene catastróficas consecuencias en wpa_supplicant 2.4 y versiones posteriores, siendo este componente de software el más usado como cliente de Wi-Fi en Linux.

Mediante el ataque se puede hacer que el cliente instale una clave de cifrado todo a cero en lugar de reinstalar la real. La vulnerabilidad parece estar causada por una indicación en el estándar Wi-Fi que sugiere limpiar la clave de cifrado de la memoria una vez haya sido instalada por primera vez. Cuando el cliente recibe el mensaje 3 retransmitido mediante el handshake de 4 vías, se hará efectiva la instalación de la clave todo a cero.

Los investigadores han descubierto que Android 6 Marshmallow y posteriores son vulnerables a KRACK y que el 41% de todos los smartphones Android en funcionamiento son vulnerables a uno de los ataques más devastadores que han sido capaces de ejecutar.

¿Qué hacer para evitar ser atacado mediante KRACK?

Según informan nuestros compañeros de MuyComputer, los investigadores dicen que la prioridad es “la actualización de los equipos cliente, tales como ordenadores portátiles y teléfonos inteligentes.”

Otras cosas que se pueden hacer es desactivar las funcionalidades de cliente de los routers y puntos de acceso, como el modo repetidor y el 802.11r “roaming rápido”. Actualizar el firmware del router o el punto de acceso sería una buena medida aunque no definitiva, la cual puede ser combinada con la ocultación del SSID, la desactivación del acceso remoto, la activación de los filtros mediante Mac, etc. Es muy importante tener en cuenta que cambiar la contraseña de la Wi-Fi no protege de KRACK, aunque eso no quita la utilización de una robusta para reforzar la seguridad.

Lo que conocemos hasta ahora de KRACK podría ser solo la punta del iceberg, ya que estamos hablando de unas deficiencias a nivel de seguridad que afectan a uno de los protocolos más utilizados del mundo, impactando en miles de millones de dispositivos.

La Wi-Fi Alliance está probando los distintos ataques en un laboratorio y se espera dentro de poco la liberación de una herramienta que sirva para detectar dispositivos clientes vulnerables.

por Eduardo Medina Mon, 16 Oct 2017 15:41:58 +0000

Hallada una vulnerabilidad grave en RubyGems que permite la ejecución de código en remoto

RubyGems es un paquete de herramientas de software que sirve para instalar, actualizar y configurar bibliotecas y programas de Ruby. Los encargados de desarrollar este paquete han anunciado que el lunes parchearon una vulnerabilidad grave que afectaba a su producto.

La vulnerabilidad, que era una deserialización de objetos inseguros, permitía a un hacker apoyarse en ella para llevar a cabo una ejecución de código en remoto. Para ello el atacante tendría que ser capaz de inyectar una instancia de un objeto sobre un sistema vulnerable, abriendo así la puerta a la ejecución de código en remoto.

Los desarrolladores de RubyGems comentan que han auditado todas las Gems y no han encontrado ninguna que haya sido afectada por la explotación de la vulnerabilidad descubierta. Sin embargo, matizan su afirmación (ya que solo mencionan a lo que han podido abarcar) diciendo que “no podemos dar por seguro que ninguna Gem haya sido impactada”, ya que el fallo fue introducido en 2012 y ha estado presente durante cinco años, no habiendo sido descubierto hasta el viernes de la semana pasada.

Según Max Justicz, descubridor de la vulnerabilidad, los ficheros YAML de las Gems contienen información relacionada con su nombre, autor, versión, el código fuente y los hash criptográficos. Al subirse una Gem a rubygems.org se usa llamadas inseguras para cargar ficheros YAML a la Gem. Por otro lado, ha especulado que los autores del sitio web conocían esto y habrían parcheando YAML y las biblioteca de análisis para permitir la deserialización de clases sobre una lista blanca.

Max Justicz explica junto a la prueba de concepto que ha aportado que “una de las ventajas de YAML es que es muy potente, y a veces se usa en contextos donde los formatos de intercambio menos expresivos (pero más seguros) como JSON son más apropiados. Quizá en el futuro YAML.load podría ser modificado para tomar una lista blanca de clases como un parámetro opcional, haciendo que la deserializacion de objetos complejos sea un comportamiento optativo”. El investigador también dijo que se “sorprendió al ver que el análisis de YAML no confiable resultaba peligroso. Siempre había pensado que era un formato de intercambio benigno como JSON. De hecho, YAML permite la codificación de objetos arbitrarios, al igual que pickle (objeto de serialización) de Python.”

Los mantenedores y desarrolladores de RubyGems han parcheado la vulnerabilidad añadiendo un código para permitir solo la deserialización de tipos seguros.

Fuente: ThreatPost

por Eduardo Medina Fri, 13 Oct 2017 09:01:14 +0000

G DATA Anti-Ransomware está ahora disponible en las soluciones empresariales de la marca alemana

El ransomware se ha convertido en el tipo de malware más peligroso que hay actualmente, aunque no sea el más extendido. Su peligrosidad viene sobre todo a que sus efectos son muchas veces imposibles de revertir, ya que no existe una vía gratuita para poder descifrar los ficheros afectados, por lo que tomar precauciones termina siendo fundamental para evitar desgracias.

Por otro lado, los cibercriminales están al corriente de que los usuarios conocen de la existencia del ransomware, por lo que en algunos como Petya se han incluido métodos de infección alternativos para evitar que el usuario se escape, aunque sea simplemente provocando daño sin poder obtener ningún pago a cambio.

En los últimos años distintos ransomware han ido acaparando la atención de los medios. Además de Petya, también están CryptoLocker, Locky y el conocido WannaCry, que causó estragos a nivel mundial por no aplicar con diligencia un parche disponible para Windows.

Además de las precauciones contra el ransomware, las cuales se tienen que tomar en cualquier caso, estas pueden ser compaginadas con la tecnología G DATA Anti-Ransomware, que ha sido incorporada recientemente a las soluciones empresariales de la firma alemana tras llevar funcionando con éxito un año en los productos para uso doméstico. G DATA Anti-Ransomware es una tecnología proactiva e independiente diseñada para combatir la amenaza que supone este tipo de malware, complementando la detección basada en comportamientos y detectando mecanismos en tiempo real de cifrado masivo desencadenados por el ransomware para detenerlos de forma inmediata. Para obtenerla solo se necesita realizar una actualización estándar de una de las soluciones corporativas de G DATA.

Las nuevas versiones de las soluciones corporativas de G DATA permiten configuraciones personalizadas por usuario, pudiendo, por ejemplo, establecer qué usuarios tienen o no privilegios de acceso sobre los puertos USB de un equipo determinado. Esto permite a los administradores proteger con más garantías unas redes empresariales que son cada vez más grandes y heterogéneas, tanto a nivel de sistema como de tipos de dispositivos conectados, que además soportan configuraciones diferentes.

La privacidad es otro aspecto que preocupa a los expertos de G DATA. La compañía de ciberseguridad alemana ha firmado un compromiso público con TeleTrust asegurando que en sus productos no se incorporarán puertas traseras, reduciendo al máximo la recolección de datos para solo obtener aquellos que sean de tipo técnico, además de almacenarlos en Alemania. Estos pasos se han dado con el fin de cumplir con el Reglamento de Protección de Datos Europeo (GDPR).

Actualmente estas son las soluciones empresariales de G DATA, las cuales van por la versión 14.1:

  • G DATA Antivirus Business.
  • G DATA Client Security Business.
  • G DATA Endpoint Protection Business.
  • G DATA Managed Endpoint Security.
  • G DATA Managed Endpoint Security powered by Microsoft Azure.
por Eduardo Medina Thu, 12 Oct 2017 11:04:19 +0000

Corea del Norte ha robado los planes de guerra de Corea del Sur mediante un ataque hacker

Según informan desde la CNN estadounidense, hackers vinculados a Corea del Norte habrían robado presuntamente en septiembre de 2016 documentos militares clasificados pertenecientes al Ministerio de Defensa de Corea del Sur. Esta información habría sido mostrada por Rhee Cheol-hee, un miembro de la asamblea nacional de Corea del Sur.

Que la fuente haya sido Rhee no es casualidad, ya que, además de miembro de la asamblea por el Partido Demócrata, también forma parte del Comité de Defensa. Según ha confesado él mismo, fue el martes cuando recibió la información sobre el presunto ataque hacker llevado a cabo contra el Ministerio de Defensa de su país.

Hasta el momento se conoce que los hackers norcoreanos habrían robado 235GB de datos, los cuales son suficientes como para contener información comprometedora sobre la defensa de Corea del Sur, algo muy importante si tenemos en cuenta la caliente situación con su vecino del norte, derivada de un conflicto que se mantiene desde hace décadas y siendo además uno de los pocos vestigios activos que quedan de la Guerra Fría.

Entre los documentos presuntamente robados habría planes operacionales conjuntos de Corea del Sur y Estados Unidos, además de otro documento que incluye procedimientos para acabar con los líderes de Corea del Norte, muy posiblemente con el foco puesto en la persona de Kim Jong-Un.

Sin embargo, nada de esto tiene confirmación oficial, ya que el Ministerio de Defensa de Corea del Sur se ha limitado a decir que es “información clasificada”. Por su parte, el Pentágono también se ha abstenido de comentar, aunque un portavoz, el coronel Robert Manning, dijo el martes que “confía en la seguridad de nuestros planes de operaciones y en nuestra capacidad para hacer frente a cualquier amenaza de Corea del Norte”, a lo que añadió: “Los planes de operaciones a los que se está refiriendo es un plan bilateral, así que la alianza entre Estados Unidos y Corea del Sur sigue firme en su compromiso de garantizar y salvaguardar esa información, además de asegurar la preparación en la península coreana para contrarrestar cualquier amenaza norcoreana.”

Hasta ahora no se conoce con exactitud qué datos han sido robados, pero según su importancia, podrían suministrar información sobre los planes defensa para Corea del Sur, dejando expuesto a este país a ataques militares de su vecino del norte. Tampoco se puede descartar que revelen cosas propias de Estados Unidos.

El asunto se ha destapado en un momento en el que el presidente de Estados Unidos, Donald Trump, continúa implicándose en los esfuerzos diplomáticos para controlar los programas nucleares y de misiles de Corea del Norte, todo en unas negociaciones que se están mostrando inefectivas. Mientras la vía diplomática sigue sin dar frutos, al presidente estadounidense se le está acabando la paciencia. Por otro lado, el Secretario de Defensa, James Mattis, ha comentado que desde el gobierno están discutiendo “una serie de opciones para responder a cualquier forma de agresión por parte de Corea del Norte o, si fuera necesario, evitar que Corea del Norte amenace a Estados Unidos y sus aliados con armas nucleares”. De momento parece que se mantendrá una línea basada en sanciones económicas.

No es la primera vez que se vincula al régimen de Kim Jong-Un con el cibercrimen, de hecho a Corea del Norte se le atribuye al menos implicación en los casos correspondientes al ataque hacker contra Sony Pictures y el robo a bancos a través del sistema SWIFT. Todo apunta a que el régimen de ese país tiene un capacitado equipo de hackers llamado Lazarus que está trabajando contra intereses relacionados con occidente en general y Estados Unidos y Corea del Sur en particular.

por Eduardo Medina Wed, 11 Oct 2017 10:36:52 +0000

Kovter está siendo distribuido a través de falsas actualizaciones de navegadores web

Un grupo de malvertisting, cuyos descubridores le han puesto el nombre de KovCoreG, está empleando falsas actualizaciones de Flash y los navegadores web más conocidos para instalar el malware Kovter.

Los atacantes han usado anuncios maliciosos sobre PornHub para redirigir a los usuarios hacia sitios falsos que anunciaba una actualización urgente del navegador web o Flash. Para que todo fuera más convincente, el mensaje variaba si se usaba Google Chrome, Mozilla Firefox, Internet Explorer o Microsoft Edge. En el caso de los dos primeros se notificada a los usuarios sobre una actualización de la aplicación, mientras que para los dos últimos se avisaba de una nueva versión de Flash, debido a que esos navegadores son puestos al día a través de Windows Update.

Una vez descargado el fichero que se hace pasar por un navegador o un plugin, lo que realmente hace el usuario es descargar ficheros en JavaScript en los casos de Chrome y Firefox o una Aplicación en HTML (HTA) si la acción se realiza desde Internet Explorer o Microsoft Edge. Ambos software se encargan de instalar Kovter, un descargador de malware multipropósito capaz de suministrar software fraudulento, ransomware, programas para robar información, etc.

Los investigadores de Proofpoint, que han sido los descubridores del grupo KovCoreG y de la campaña de malvertising, han avisado que los hackers han abusado tanto de Pornhub como de Traffic Junky para llevar a cabo su campaña. La reacción de ambas empresas no se ha hecho esperar y ahora la campaña de publicidad maliciosa ha sido trasladada a los sitios web de Yahoo.

La campaña tiene como objetivo principal al público anglosajón, ya que se ha centrado en Estados Unidos, Canadá, Reino Unido y Australia. KovCoreG ha utilizado filtros que han separado por países y proveedores de servicios de Internet, y aquí hay un aspecto que ha dejado muy sorprendidos a los investigadores en seguridad, ya que los ficheros descargados no se ejecutarán si la IP pública empleada por el PC de la víctima no cumple los requisitos de geolocalización e ISP.

Fuente: BleepingComputer

por Eduardo Medina Tue, 10 Oct 2017 09:42:00 +0000

Robadas 17,5 millones de contraseñas de Disqus tras un ataque hacker ocurrido en 2012

Disqus, el conocido servicio de comentarios para sitios web (incluidos los de TPNet) y blogs, ha admitido que fue hackeado hace 5 años, siendo la consecuencia el robo de 17,5 millones de contraseñas.

Estamos ante otro caso similar a los que afectaron a Yahoo y Myspace. En el caso de Disqus, los hackers obtuvieron nombres de usuario, direcciones de email, fechas de registro, fechas de último acceso y contraseñas cifradas en SHA-1. La compañía tras el conocido plugin de comentarios ha reconocido que la primera exposición de datos se remonta a 2007, habiendo ocurrido la más reciente en julio de 2012.

¿Por qué nos enteramos ahora de este ataque cuando ocurrió hace tanto tiempo? La razón es que Troy Hunt, un conocido investigador en seguridad independiente, consiguió el 5 de octubre de 2017 una copia de los datos robados. Tras comprobar que podrían ser verdaderos, decidió notificar a Disqus, que a su vez informó de forma pública sobre la brecha de datos y empezó a avisar a los usuarios afectados para forzarles a cambiar la contraseña:

No se ha expuesto ninguna contraseña en texto plano, pero es posible que este dato sea descifrado (aunque sea improbable). Como medida de precaución, hemos reiniciado las contraseñas de todos los usuarios afectados. Hemos recomendado a todos los usuarios cambiar sus contraseñas en otros servicios en los cuales usen la misma.

Disqus ha implementado desde 2012 diversas mejoras en la seguridad de su servicio, destacando el cambio de SHA-1 a bcrypt. Esto explicaría el porqué 2012 es el último año en el que los hackers pudieron hacerse con datos almacenados en el servicio de comentarios.

¿Por qué tendrías que cambiar tu contraseña de Disqus?

Aunque las contraseñas robadas estaban cifradas, es importante tener en cuenta que el algoritmo utilizado es SHA-1, que lleva tiempo siendo puesto en duda y considerado como poco seguro.

Usar un cifrado poco fuerte da más posibilidades a los atacantes de poder romper las contraseñas mediante el uso de fuerza bruta. Esto, unido a que muchos usuarios usan la misma contraseña en diversos servicios, invitaría a los hackers a intentar probarla en distintos sitios una vez obtenida para provocar aún más daño.

Con riesgo a sonar repetitivos, desde MuySeguridad recomendamos encarecidamente el uso de un gestor si el usuario utiliza una gran cantidad de contraseñas (algo nada sorprendente en estos días), más si las está repitiendo en distintos servicios y sitios web.

Fuente: The Hacker News

por Eduardo Medina Mon, 09 Oct 2017 11:18:52 +0000